Journal : Ça faisait longtemps: Local Root Exploit dans linux !
Posté par inico (Jabber id, page perso, ) le 11 février 2008Depuis quelque jours, la nouvelle est tombé dans toute les oreilles: un bug dans vmsplice permet d'élever ses privilèges de simple mortel à Dieu tout puissant.
Le code malfaisant est comme d'habitude sur milw0rm ici => http://www.milw0rm.com/exploits/5092 et là => http://www.milw0rm.com/exploits/5093
Heureusement un patch on-the-fly du kernel est possible: => http://www.ping.uio.no/~mortehu/disable-vmsplice-if-exploita(...)
Le kernel est déjà patché et les distributions devraient incessament sous peu distribué de nouveaux kernel patchés.
http://it.slashdot.org/it/08/02/10/2011257.shtml
----
NdM : Victor Stinner rajoute
Deux exploits root locaux circulent sur Internet : Linux Kernel 2.6.17 - 2.6.24.1 vmsplice Local Root Exploit et Linux Kernel 2.6.23 - 2.6.24 vmsplice Local Root Exploit.
Ils exploitent un bug dans l'appel système vmsplice(). Le noyau 2.6.24.1 corrige partiellement le bug et la version 2.6.24.2 semble le corriger définitivement.
Plus d'informations :
* LKML: "Niki Denev": kernel 2.6.24.1 still vulnerable to the vmsplice local root exploit
* Gentoo : Gentoo Bug 209460 - kernel 2.6.17 - 2.6.24.1 splice: missing user pointer access verification (CVE-2008-{0009,0010})
* Ubuntu : Bug #190587 in linux (Ubuntu): “Local root exploit in kernel 2.6.17 - 2.6.24 (vmsplice)”
* Debian : #464953 - linux-2.6: mmap() local root exploit - Debian Bug report logs
Les patchs dans le noyau : splice: fix user pointer access in get_iovec_page_array() (2.6.24.2) et splice: missing user pointer access verification (CVE-2008-0009/10) (2.6.24.1).
Identifiants CVE : CVE-2008-0009 et CVE-2008-0010.
> Lire le journal (63 commentaires, moyenne: 2,6).
Vous avez demandé le commentaire #903478.
Cette page a été générée par Templeet en 0.0638s (dont 0.0056 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Faire un don !
fermer la porte à double tour
je sais que cela n'est pas forcément bienvenu de prendre à la légère une faille dans un système, mais "local root exploit" cela veut bien dire que cela ne fonctionne que depuis un accès local (et sans doute aussi via un accès type ssh en compte normal, ou sur un système multiutilisateur type école / serveur partagé) et non pas une faille qui compromet un système qui a un simple accès sur internet, il me semble important de le préciser.
Donc avant de sortir de chez vous si vous n'avez pas le temps de patcher votre noyau : fermez la porte à double tour, ou barricadez-là, l'attaque ne pourra pas venir d'ailleurs !
If you can't use GNU/Debian GNU/Linux, you shouldn't be using GNU/Linux at GNU/all.
[^]Re: fermer la porte à double tour
Il y a pas mal de serveur Web sous Linux avec des script php foireux autorisant system();.
Il ne suffit de pas grand chose pour que l'exploit, au lieu d'ouvrir un shell bash, télécharge un r00tk1t et le lance.
"Les États-Unis sont le seul pays à être passé de la barbarie à la décadence sans connaître la civilisation." -- (origine réelle inconnue) Albert Einstein/Oscar Wilde/Georges Clemenceau/etc..
[^]Re: fermer la porte à double tour
Il suffit aussi d'une faille pré-existante (non patchée / mise à jour par l'admin') qui ne donnait auparavant "que" l'accès utilisateur en distant : d'un coup cet exploit avec l'utilisation de 2 failles successive donnerait un accès root en distant. Comme quoi la distinction local / distant n'est pas si éloignée pour ceux qui font un peu tourner tout et n'importe quoi comme services. Ensuite, si votre serveur n'est pas accessible d'internet, cela cantonne l'exploitation à votre réseau local (que vous maîtrisez sans doute un peu mieux).
Effectivement pour ceux qui ont débranché le cable réseau c'est bon (sans aller jusqu'à éteindre le PC si vous n'en avez pas besoin et débrancher son cable d'alim' pour les plus paranos).
[^]Re: fermer la porte à double tour
ouais vous avez parfaitement raison. Ma remarque était un peu (voire très) bête, surtout la partie "l'attaque ne pourra pas venir d'ailleurs", je n'avais pas pensé à php par exemple, même si je ne vois pas trop comment ils peuvent le faire, je suis certain que les crackers eux savent bien comment le mettre en application :)
J'ai testé le code ici : http://www.milw0rm.com/exploits/5092 sur mon ordinateur perso, et cela fonctionne vraiment bien, c'est impressionnant !
C'est mieux qu'un sudo, pas besoin de mot de passe ni même l'autorisation :)
If you can't use GNU/Debian GNU/Linux, you shouldn't be using GNU/Linux at GNU/all.
[^]Re: fermer la porte à double tour
Voici ce que je viens de voir sur un post du forum ubuntu-fr lui-même révélant les dires de OVH :
Communiqué de OVH :
Bonjour,
Une importante faille de sécurité a été mise en évidence ce week-end
sur l'ensemble des noyaux Linux 2.6.XX que vous pouvez utiliser chez
Ovh (et pas seulement). Aucun patch de sécurité (grsecurity, PaX,
Openwall, etc) ne bloque ce bug. La seule possibilité de fixer le
bug est de mettre à jour votre kernel vers la dernière version de
Linux 2.6.24.2 (mis à jour hier soir à 21H51 !!).
Ce bug est TRÈS dangereux: n'importe quel utilisateur du serveur
permet d'avoir les droits de root en moins de 10 secondes !! Très très
simplement. En suite c'est foutu car il fait réinstaller le serveur.
Même si vous ne proposez pas de shell/bash sur vos serveurs, à travers
les scripts php, cgi etc on peut avoir l'accès root sur la machine.
Ne remettez pas à demain ou à ce soir cette mise à jour ! Il y a 1h
environ, on vient de bloquer le 1er serveur hacké avec cette méthode.
Et avec ce bug, c'est la sécurité du réseau qui est en dangers. Nous
n'allons donc pas hésiter 1 seconde de bloquer votre serveur s'il est
hacké. Prenez donc 10 minutes là pour exécuter ces quelques commandes
simples.
Ovh propose des noyaux patchés, verifiés et sécurisés contre ce bug
de sécurité. Aussi, le nouveau noyau supporte mieux les cartes réseaux
utilisés sur le hardware chez Ovh, l'iSCSI, ainsi qu'une tonne de
petits bugs du Kernel.
Comment mettre à jour le noyau en moins de 5 minutes ? Très simplement.
Même si vous n'avez jamais fait, vous allez réussir cette mise à jour smile
1.)
Connectez vous sur le serveur en SSH et tapez (copier coller):
# wget -q ftp://ftp.ovh.net/made-in-ovh/dedie/pat … e-sysfs.sh -O - | /bin/bash
# wget -q ftp://ftp.ovh.net/made-in-ovh/rtm/install_rtm.sh -O - | /bin/bash
Ceci met à jour votre RTM, le patch sysfs, 3ware. Une sécurité de plus
avant le reboot.
2.)
Dans le manager, choisissez "netboot" et puis "ipv4", puis la version
"32bits" ou "64bits" (ça dépend la distribution que vous utilisez)
Par exemple "bzImage-xxxx-std-ipv4-32"
En suite reconnectez sur sur le serveur en SSH et tapez
# reboot
Attendez le redémarrage du serveur (entre 2 et 5 minutes en fonction du
serveur) puis reconnectez-vous sur le serveur en SSH puis tapez:
# uname -a
La commande doit vous renvoyer la version 2.6.24.2. Par exemple:
# uname -a
Linux oles2.ovh.net 2.6.24.2-xxxx-std-ipv4-32 #1 SMP Mon Feb 11 14:51:26
Si vous n'utilisez pas le netboot, vous pouvez telecharger nos noyaux
sur ftp://ftp.ovh.net/made-in-ovh/bzImage
bzImage-2.6.24.2-xxxx-std-ipv4-32
bzImage-2.6.24.2-xxxx-std-ipv4-32-hz1000
bzImage-2.6.24.2-xxxx-std-ipv4-64-hz1000
bzImage-2.6.24.2-xxxx-std-ipv6-32
bzImage-2.6.24.2-xxxx-std-ipv4-32-filer
bzImage-2.6.24.2-xxxx-std-ipv4-64
bzImage-2.6.24.2-xxxx-std-ipv4-64-rescue
bzImage-2.6.24.2-xxxx-std-ipv6-64
Les noyaux GRSecurity ne sont pas encore disponible. Le patch sera dispo
sous quelques jours.
Si vous compilez vous-même le noyau, vous pouvez trouver notre .tar.gz
ainsi que les .config sur ftp://ftp.ovh.net/made-in-ovh/bzImage
Si vous avez des problèmes, merci d'utiliser le forum ou la mailing list
afin qu'on vous aide très directement. N'oubliez pas mettre le nom de
votre serveur dédié dans vos messages (chaque message). Sur le forum:
http://forum.ovh.com/showthread.php?t=31396
Merci à tous et bon patch !
Les clients qui ont pris l'option sécurité totale sont en cours de mise
à jour (déjà).
Amicalement
Octave
[+] [^]Re: fermer la porte à double tour
rassure moi, tu n'as pas fait un cc de leur communiqué .
Parce que le ton (un peu trop copain pour un pro a mon gout) et les fautes d'ortho , voila quoi /o\
Subete ga wakatta toki…watashi ga anta wo korosu.
[^]Re: fermer la porte à double tour
Toi, tu ne connais pas Octave d'OVH ;) Je ne sais plus quel est son poste exact, mais ça ressemble effectivement à un de ses posts. Il faut néanmoins savoir qu'il n'est pas français (Polonais je crois), ce qui explique les fautes.
Pour le ton, je saurais pas dire, je l'ai toujours vu parler comme ça sur la mailing / ng, la première fois ça surprend, après ça passe tout seul
[^]Re: fermer la porte à double tour
C'est le PDG fondateur créateur machin truc :) Le boss quoi.
En effet il n'est pas francophone d'origine, et il mâche pas ses mots (c'est plus sympa).
Le meilleur hébergeur de forums, gratuit et sans pub !