Local root-exploit i Linux 2.6

Trädvy Permalänk
Hedersmedlem
Plats
Uppsala
Registrerad
Jul 2001

Local root-exploit i Linux 2.6

http://www.idg.se/2.1085/1.145049
http://it.slashdot.org/article.pl?sid=08/02/10/2011257&from=r...

OK, detta är ingen nyhet längre (det dök upp på slashdot i söndags), men jag märkte precis att det inte fanns nån tråd här!
Kort och gott, det är bara att som lokal användare att kompilera ett program och köra, så är man root. Inte bra för de som har många användare på sina datorer!

[serenity@arch ~]$ gcc -o exploit test.c -static [serenity@arch ~]$ whoami serenity [serenity@arch ~]$ ./exploit ----------------------------------- Linux vmsplice Local Root Exploit By qaaz ----------------------------------- [+] mmap: 0x0 .. 0x1000 [+] page: 0x0 [+] page: 0x20 [+] mmap: 0x4000 .. 0x5000 [+] page: 0x4000 [+] page: 0x4020 [+] mmap: 0x1000 .. 0x2000 [+] page: 0x1000 [+] mmap: 0xb7f1c000 .. 0xb7f4e000 [+] root [root@arch ~]# whoami root [root@arch ~]# uname -a Linux arch 2.6.23-ARCH #1 SMP PREEMPT Tue Jan 15 06:34:36 UTC 2008 i686 AMD Athlon(tm) 64 Processor 3200+ AuthenticAMD GNU/Linux

X370 Taichi / R7 1700 @ 3.75 GHz 1.2 V / 2x8 GB 3200 MHz CL16 / MSI GTX 1070 Gaming, OC / Samsung 960 EVO 500 GB / Corsair RM650x
LG G6 (H870)

Trädvy Permalänk
Medlem
Plats
Brandbergen, Haninge
Registrerad
Jul 2005

Du kör Arch Linux? Varför kör du inte senaste kärnan som finns i repon? http://archlinux.org/news/383/

Min Arch burk är iallafall inte sårbar

Edit: Kom på att du kanske redan kör senaste, och ville bara visa att den kärnan var sårbar?

Till alla, uppgradera om det finns en fix för guds skull!

Trädvy Permalänk
Hedersmedlem
Plats
Uppsala
Registrerad
Jul 2001

Kör bara Arch i vmware än så länge, efter att jag läste att exploiten kunde förstöra filsystem ville jag inte prova den på min riktiga burk bara för att få lite output att klista in här.

X370 Taichi / R7 1700 @ 3.75 GHz 1.2 V / 2x8 GB 3200 MHz CL16 / MSI GTX 1070 Gaming, OC / Samsung 960 EVO 500 GB / Corsair RM650x
LG G6 (H870)

Trädvy Permalänk
Medlem
Plats
Skogås
Registrerad
Jul 2004
Citat:

Ursprungligen inskrivet av Thomas
Kör bara Arch i vmware än så länge, efter att jag läste att exploiten kunde förstöra filsystem ville jag inte prova den på min riktiga burk bara för att få lite output att klista in här.

Haha ja, den kraschade den burken jag testade på ganska hårt. Var en labb-burk i vmware tack och lov, uppsatt just för att testa detta

People... What a bunch of bastards... | Mac Pro 2x2.26GHz QuadCore - Nehalem, 24GB DDR3, ATI HD4870, 3TB HDD | MacBook Pro 13.3 ", Core 2 Duo - 2.26GHz, 8GB DDR3, 9400M 256MB, 120GB SSD | PowerMac G4 MDD, Dual 1,25GHz, 2GB DDR, 1,45TB HDD | FCNSA | VCP4

Trädvy Permalänk
Medlem
Plats
irc
Registrerad
Dec 2004

Åfan.. fungerader "fint" här med. Lite oroväckande. Tid för att kompilera om lite kärnor.
EDIT: Hihi:

exploit.c:138:2: error: #error "unsupported arch"

PPC ftw

Behind every great fortune there is a crime. - Honoré de Balzac
simonb @ irc

Trädvy Permalänk
Medlem
Registrerad
Nov 2005

kan man avaktivera så att man inte kan logga in som root med su som vanlig användare ?
Om man nu kan det skyddar det emot denna exploit ?

Trädvy Permalänk
Hedersmedlem
Plats
Uppsala
Registrerad
Jul 2001

Ja, det kan du, bara se till att /bin/su inte får köras av alla (t ex chmod 4550 /bin/su) och sen ha de som ska få su-access i gruppen som äger filen, oftast wheel.
MEN, det skyddar *inte* mot denna exploit. Problemet ligger i kärnan.

X370 Taichi / R7 1700 @ 3.75 GHz 1.2 V / 2x8 GB 3200 MHz CL16 / MSI GTX 1070 Gaming, OC / Samsung 960 EVO 500 GB / Corsair RM650x
LG G6 (H870)

Trädvy Permalänk
Medlem
Plats
Vara
Registrerad
Jul 2001

Nasty.

Tur att man undviker Linux numera.

"Linux is good because it keeps people out of real kernels"

Trädvy Permalänk
Medlem
Registrerad
Aug 2003

Hotet dök upp på söndag och på tisdag ville Ubuntu av någon anledning uppdatera kärnan

Trädvy Permalänk
Medlem
Plats
Höör
Registrerad
Jun 2002

Wow, tur man inte delar ut konton på servern :S

Provade precis i Ubuntu Server 7.10 AMD64, funkar kanon(dåligt).

fog@oxen:~/test$ whoami fog fog@oxen:~/test$ ./exploit ----------------------------------- Linux vmsplice Local Root Exploit By qaaz ----------------------------------- [+] mmap: 0x100000000000 .. 0x100000001000 [+] page: 0x100000000000 [+] page: 0x100000000038 [+] mmap: 0x4000 .. 0x5000 [+] page: 0x4000 [+] page: 0x4038 [+] mmap: 0x1000 .. 0x2000 [+] page: 0x1000 [+] mmap: 0x2b5d068c3000 .. 0x2b5d068f5000 [+] root root@oxen:~/test# whoami root

Citera mig för svar.
Arch Linux

Trädvy Permalänk
Medlem
Plats
at home
Registrerad
Nov 2007

Allting är relativt....:) de från Redmond brukar vara "Highly critical" eller högre...:)

http://secunia.com/advisories/28835/

http://www.ubuntu.com/usn

Utmaningen är ju alla "drönare" som inte håller sina burkar uppdaterade,
vet inte hur man gör eller att det är för jobbigt att confa om tex servertjänster.
Då gör man hellre som strutsen och gömmer huvet i sanden...:)

ASUS K56CB i7, W10.
HTC 10 ICE InsertCoin SVN, Nougat
ASUS Transformer Prime 32GB, Nougat :)
Ubiquiti Edge Lite, UniFi AP-AC-Lite (AP) samt ASUSAC68U och N66U (AP), fiber 250/100Mbit/s.
Mitt nätverk: http://imgur.com/VYJjrzL Bild http://imgur.com/89WYq81

Trädvy Permalänk
Medlem
Plats
Höör
Registrerad
Jun 2002

Sådär, en dist-upgrade och reboot löste problemet.

Antar att man inte ställt till med nått annat i systemet genom att testa Exploiten? Någon som kan bekräfta att de exploiten gjorde "resetas" vid reboot?

Citera mig för svar.
Arch Linux

Trädvy Permalänk
Medlem
Plats
Värmland
Registrerad
Aug 2006

Skulle testat den i går i vmware, men jag sög visst ganska hårt, lyckades inte ens kompilera skiten utan fick en massa errorz

Citera mig gärna om du vill ha svar!

Trädvy Permalänk
Medlem
Plats
Bollnäs
Registrerad
Maj 2002
Citat:

Ursprungligen inskrivet av fog
Wow, tur man inte delar ut konton på servern :S

Provade precis i Ubuntu Server 7.10 AMD64, funkar kanon(dåligt).

fog@oxen:~/test$ whoami fog fog@oxen:~/test$ ./exploit ----------------------------------- Linux vmsplice Local Root Exploit By qaaz ----------------------------------- [+] mmap: 0x100000000000 .. 0x100000001000 [+] page: 0x100000000000 [+] page: 0x100000000038 [+] mmap: 0x4000 .. 0x5000 [+] page: 0x4000 [+] page: 0x4038 [+] mmap: 0x1000 .. 0x2000 [+] page: 0x1000 [+] mmap: 0x2b5d068c3000 .. 0x2b5d068f5000 [+] root root@oxen:~/test# whoami root

Över SSH eller Lokalt?

Trädvy Permalänk
Medlem
Plats
Höör
Registrerad
Jun 2002
Citat:

Ursprungligen inskrivet av bogg
Över SSH eller Lokalt?

Förstår inte vad du syftar på när du ställer frågan

Om jag sitter vid servern när jag skriver det eller om jag ansluter till den via SSH?

Eller om jag inte delar ut konton via internet(ssh) / lokalt?

Citera mig för svar.
Arch Linux

Trädvy Permalänk
Hedersmedlem
Plats
Uppsala
Registrerad
Jul 2001
Citat:

Ursprungligen inskrivet av N1ghtCrawler
Skulle testat den i går i vmware, men jag sög visst ganska hårt, lyckades inte ens kompilera skiten utan fick en massa errorz

Samma här, fick ta reda på PAGE_SIZE manuellt, inte allt för mycket jobb (speciellt inte för någon som faktiskt försöker exploita på riktigt ).

bogg: Nu körde jag ju inte ubuntu, men jag körde via ssh iaf.

X370 Taichi / R7 1700 @ 3.75 GHz 1.2 V / 2x8 GB 3200 MHz CL16 / MSI GTX 1070 Gaming, OC / Samsung 960 EVO 500 GB / Corsair RM650x
LG G6 (H870)

Trädvy Permalänk
Medlem
Plats
Växjö
Registrerad
Sep 2002
Citat:

Ursprungligen inskrivet av bogg
Över SSH eller Lokalt?

jag hoppas du skojjar? det spelar självklart ingen roll...

Trädvy Permalänk
Medlem
Plats
Linköping
Registrerad
Jun 2007

Det här är ju varför man kör linux. Såg denna nyhet på slashdot i söndags, och körde bara "pacman -Suy" så fort jag läst den. Fick kärnan uppdaterad, och problemet var väck

Trädvy Permalänk
Medlem
Plats
Bollnäs
Registrerad
Maj 2002
Citat:

Ursprungligen inskrivet av =JoNaZ=
jag hoppas du skojjar? det spelar självklart ingen roll...

Har jag sagt att det spelar roll?

1. Jag undrade

2. Det finns vissa exploits som bara fungerar om man sitter fysiskt vid burken,
Jag testade själv en exploit för några år sedan som vägrade fungera över SSH men med samma användarkonto fungerade den jättebra om man satt fysiskt vid datorn.

Trädvy Permalänk
Medlem
Registrerad
Feb 2005
Citat:

Ursprungligen inskrivet av =JoNaZ=
jag hoppas du skojjar? det spelar självklart ingen roll...

Eftersom felet ligger i kärnan så ska det väl inte spela någon roll. Men det kan ju faktiskt vara så att det är ett fel som bara finns när man sitter lokalt, det är inte så dumt att tro det. Du kommer inte komma åt viss hårdvara och och vissa program utan att vara inloggad lokalt. Tex kan man inte starta X på skärmen via ssh i Debian, men det går bra om man loggar in via tangentbordet.