Note du modérateur: Effectivement il faut upgrader en 2.2.19.
Frédéric Raynal nous dit:
« D'après les messages que j'ai lus rapidement, l'idée est d'utiliser la fonction ptrace(). Le programme crée un processus fils puis le remplace avec le progamme SUID à exploiter (n'importe quel prog suid convient) via un execl(). Le processus fils conserve donc le même PID. Un signal est envoyé au processus père pour lui signaler que le prog suid est lancé. Dès lors, le père change les registres du processus fils de sorte à ce que le registre d'instruction %eip pointe sr le shellcode à exécuter. »
Aller plus loin
- La news (14 clics)
- L'originale de chez bugtack (16 clics)
# Wazaaaaaa!
Posté par Ano . Évalué à 1.
bon, ce n'est ni la première ni la dernière...
Mais pour sacrifier à la nouvelle "mode": à quand le "ver" exploitant cette faille?
[^] # Re: Wazaaaaaa!
Posté par Anonyme . Évalué à 0.
J'ai pas le temps de recompiler le noyo de mon 486. Alors j'aimerais savoir si c'est urgent.
Ce genre de news commence a devenir frequentes. Les gens vont prendre peur. Par contre si ça pouvait obliger a mettre a jour les logiciels ce serait pas mal. Faite un scan des serveurs ftp sur l'adsl, il y a pas mal de wu-ftp avec une version plus ancienne que la 2.6.0.
[^] # Re: Wazaaaaaa!
Posté par Orphée . Évalué à 1.
Il est clair que Linux a perdu un de ses plus forts arguments (mais ça devait arriver...), et je ne sais plus trop quoi leur répondre. Dois-je relire le Linux Advocacy ?
Je leur réponds que les trous et virus sont plus facilement, plus rapidement, et gratuitement corrigés, sans être dépendant d'un éditeur, mais cet argument paraît bien faible, puisque le mal est fait, et que payer n'est pas toujours rédhibitoire, surtout dans des entreprises bourrées de pognons.
Je ne doute pas, bien sûr, mais parfois je me sens bien seul...
[^] # Re: Wazaaaaaa!
Posté par pappy (site web personnel) . Évalué à 1.
Le problème dans ls 2 cas est le même : une partie du boulot d'admin est de mettre à jour ses machines ... sauf que l'utilisateur moyen :
1. il n'est pas admin
2. il s'en fout d'avoir un type qui vient lui piquer ses photos de vacances sur don disque dur
[^] # Re: Wazaaaaaa!
Posté par pasBill pasGates . Évalué à 1.
Rien ne t'empeches d'utiliser Apache sous Windows.
Cherches autre chose :+)
[^] # Re: Wazaaaaaa!
Posté par Wawet76 . Évalué à 1.
Rien ne dit qu'il n'y a pas d'autres trucs non documenté du même style... Donc on évite Apache en prod sous Windows.
[^] # Re: Wazaaaaaa!
Posté par Wawet76 . Évalué à 1.
Bah... Sous linux on annonce quelles failles souvent difficiles à exploiter (dans le cas de celle-ci, faut déjà avoir un compte sur la machine) ou qui concernent des logiciels que peut de gens ont à mettre en oeuvre (serveur ftp ou DNS).
Et ensuite tu rappelles que la dernière faille Windows/ie/Outlook (bref, ce que *tout le monde* utilise), permettait à n'importe qui d'executer n'importe quoi simplement en envoyant un mail...
Ya quand même encore deux poids deux mesures...
[^] # Re: Wazaaaaaa!
Posté par Jak . Évalué à 1.
[^] # Re: Wazaaaaaa!
Posté par Blackknight (site web personnel, Mastodon) . Évalué à 1.
Ouais mais quand t'installes une Mandrake ou une RedHat, les démons ftp et named tournent par défaut alors de toutes façons, si t'as pas un minimum de connaissances, tu te feras quand même piquer tes photos de vacances (où que dessus, c'est même pas ta femme mais celle du patron. Enfin, si le pirate bosse pas pour ton patron, tu t'en fous)
[^] # Faux!
Posté par reno . Évalué à 1.
En mode haute securite les daemon ftp et named ne tournent pas..
[^] # Re: Faux!
Posté par Anonyme . Évalué à 0.
</trop facile>
[^] # Re: Wazaaaaaa!
Posté par Anonyme . Évalué à 0.
> (snip)
> J'aimerais savoir si d'autres demons permettent d'excuter des scripts a distance.
Au hasard, httpd ? Apache fait ca tres bien et tres vite, c'est sa specialitée mme :)
> Alors j'aimerais savoir si c'est urgent.
Bah ca va bientot faire une semaine qu'il est sortis, faudrai te depecher un chouya nan ? m'enfin, moi j'dis ca, j'dis rien...
--
ker2x (qui se demande pquoi il n'est plus authentifié)
Qui n'a rien dis
# Debian 2.2r2
Posté par Guillaume Estival . Évalué à 1.
Merci d'avance
(si c'est le cas, va falloir que je me tape la compil des sources 2.2.19 a la pogne. groumpf)
[^] # Re: Debian 2.2r2
Posté par Sylvain F. . Évalué à 1.
[^] # Re: Debian 2.2r2
Posté par Anonyme . Évalué à 0.
y compris la serie 2.0.x,
et les 2.4.x si tu n'actives pas une certaine options (mais je sais pas laquelle).
(Tésté et approuvé)
Il est marrant de remarquer que cette faille a été corrigée dans le 2.2.19 avant mme sa découverte :)
Ou alors ? (FUD :p )
--
ker2x
faché avec les cookies.
[^] # Re: Debian 2.2r2
Posté par oliv . Évalué à 1.
"Here is exploit for ptrace/execve race condition bug in Linux kernels up to 2.2.18."
les release notes de la 2.2.19:
http://www.linux.org.uk/VERSION/relnotes.2219.html(...)
"Ptrace/exec race
Ptrace and exec as well as ptrace/suid races existed that could give a local user privileges."
donc la 2.2.18 est vulnérable, la 2.2.19 non
et cette vulnérabilité est pour les "local users"
# mouarf
Posté par Anonyme . Évalué à 0.
mais c'est toujours pour Linux x86 ce genre d'amusement !
Bon, je continue à dormir sur mes 2 oreilles...
[^] # Re: mouarf
Posté par Anonyme . Évalué à 0.
Bon de toutes facons c'est corrigé depuis plus de 15 jours et comme les administrateurs de machines linux font bien leur boulot, il doit plus y avoir de noyau < 2.2.19 en exploitation.
De plus c'est un exploit pour utilisateurs locaux de la machine, or on sait tous que donner un login a qqun c'est toujours lui permettre de hacker la machine, quelle que soit l'architecture et la version d'OS qui tourne (windows, linux, solaris, hpux ...).
PLuG
[^] # Re: charge d'un upgrade kernel
Posté par Amaury . Évalué à 1.
> bien leur boulot, il doit plus y avoir
> de noyau < 2.2.19 en exploitation.
T'es gentil mais si les admins devaient passer leur temps a recompiler le kernel a chaque nouvelle version, ils n'auraient le temps de rien faire d'autre.
Imagine la charge de travail que représente le fait de recompiler un noyau sur UNE machine de prod, surtout si comme c'est fréquemment le cas, le kernel est patché (openwall, LIDS). Et ces 2 patches sortent rapidement après le noyau, alors que pour beaucoup d'autres il faut attendre plus longtemps, selon la forme de leurs mainteneurs...
Alors imagine le temps (même sans les patches) passé à recompiler le noyau sur un parc de 50 machines *critiques*.
Je connais plein de machines qui sont en 2.0.3*.
Tout le monde n'a pas que le noyau de sa machine perso à tenir à jour. Et un upgrade kernel n'est *pas* une tâche anodine, surtout quand on touche à la production...
Il est clair que des news comme ca ne font pas de bien à Linux... Remarquez, au moins on est sur que les vulnérabilités ne sont pas "étouffées" par un quelconque service de comm'. On retombe dans l'éternel débat "faut il dévoiler les failles de sécu, au risque de fournir des armes aux [cr|h]ackers".
[^] # Re: charge d'un upgrade kernel
Posté par Anonyme . Évalué à 0.
[^] # Re: charge d'un upgrade kernel
Posté par Anonyme . Évalué à 0.
[^] # Re: charge d'un upgrade kernel
Posté par Annah C. Hue (site web personnel) . Évalué à 1.
[^] # Re: charge d'un upgrade kernel
Posté par oliv . Évalué à 1.
[^] # Re: Re: charge d'un upgrade kernel
Posté par Anonyme . Évalué à 1.
> one is in english, l'autre en français ;)
Non, franglais :)
Simon.
--
[ "Life... Don't talk to me about life..." - Marvin ]
---------------------------------------------------------------------------
Ce message a été envoyé par Usenet.
Path: not-for-mail
From: Simon Huggins <huggie-usenet@earth.li>
NNTP-Posting-Host: the.earth.li
[^] # Re: charge d'un upgrade kernel
Posté par Pat Le Nain . Évalué à 1.
Tu peux toujours le compiler sur une machine de dével (en cross-compilation) et le déposer ensuite sur ta machine de prod. Tu peux ainsi factoriser la compil du noyau si t'as un parc de machines homogène (le point délicat restant toujours l'install du noyau et le reboot, je te l'accorde).
> Je connais plein de machines qui sont en 2.0.3*.
Ya au moins la mienne en 2.0.36 modifié (un bug ds le pilote oss). Mais le problème est que de plus en plus de softs utilisant les capacités du noyau ont besoin d'un 2.2.* ou 2.4.*, ce qui est normal.
Là se pose la question du pourquoi changer de noyau ?, question dont la réponse est un compromis sécurité/fonctionnalités/temps passé à la recompil/upgrades nécessaires/je veux le dernier/etc
[^] # Re: charge d'un upgrade kernel
Posté par Anonyme . Évalué à 0.
Cependant, j'ai participé à la création d'une architecture qui une fois déployée représente plus de 2000 machines linux. Je peux te dire que j'ai prévu des moyens de mettre à jour à distance les logiciels installés sur ces machines (des serveurs centralisés sont chargés de gérer en conf les machines linux). Dans le cas de mises à jour simples (genre le produit samba), c'est facile. Pour le noyau comme il faut rebooter c'est plus chaud. Mais l'architecture que nous avons batie repose sur des machines linux redondantes 2 à 2 pour pouvoir en "sortir" une de prod (toutes les connexions se font sur l'autre temporairement, c'est un mode dégradé) pendant qu'on fait la maintenance.
Bref, si vous déployez des 50aines de machines sans outils pour les gérer, et bien effectivement elles sont difficiles à gérer.
Remarque: je ne travaille plus dans la meme boite mais je suis sûr que les 2000 serveurs en question sont toujours vulnérables vu que le temps de réaction de cette entreprise est tres long [pour corriger la faille, il faut planifier une réunion entre le chef de projet, le déploiement, un prestataire pour réaliser le package, faire des tests ... bref 15 jours c'est pas assez :-)]
PLuG
[^] # Re: charge d'un upgrade kernel
Posté par Anonyme . Évalué à 0.
Si tu utilises LIDS, tu n'es pas vulnérable, pas besoin d'upgrader ton noyau (si tu as bien désactivé CAP_SYS_PTRACE dans les capacités par défaut) .
-Jedi.
[^] # Re: charge d'un upgrade kernel
Posté par Anonyme . Évalué à 0.
Je dois encore en avoir une ou deux en 1.2.13 !
# Euh...
Posté par Jean-Marc Notin . Évalué à 1.
ptrace: PTRACE_ATTACH: Operation not permitted
Ça fait la même chose sur un 2.4 ...
[^] # Re: Euh...
Posté par pappy (site web personnel) . Évalué à 1.
Je l'ai testée sur un noyau 2.2.18, sans et avec le patch d'openwall, et je passe root sans les mains ;-)
Je suppose que tu as mal fait un truc ou que tu as bidouillé ton kernel (genre tu as changé les syscalls via un modules ... enfin, toi ou un rootkit fondés sur les modules ;-)
Tiens, qq'un a ssayé cet exploit avec un noyau "rootkité" (adore, knark ou autre ...), je serai curieux de savoir ce que ça donne :) Pour ceux qui ont testé, mailer moi directement svp (frederic.raynal@inria.fr)
[^] # Re: Euh...
Posté par bmc . Évalué à 1.
[^] # Re: Euh...
Posté par Anonyme . Évalué à 0.
[^] # Re: Euh...
Posté par Anonyme . Évalué à 0.
[^] # Re: Re: Euh...
Posté par Anonyme . Évalué à 1.
> C'est probablement un noyau 2.2.18 modifié par Red Hat, modifications
> dont ils ont le secret et qui ne sont pas toujours très bien reçues...
</FUD>
Quel joli troll !
En principe tous les paquetages du noyau de redhat (et d'autres
distributions) sont disponible sous forme source.
Ce n'est donc pas très secret.
Simon.
--
[ "Have you seen a man who's lost his luggage?" -- Suitcase ]
---------------------------------------------------------------------------
Ce message a été envoyé par Usenet.
Path: not-for-mail
From: Simon Huggins <huggie-usenet@earth.li>
NNTP-Posting-Host: the.earth.li
[^] # Re: Euh...
Posté par Anonyme . Évalué à 0.
oui et non.
Les noyaux Redhat sont dérivés des versions standard avec quelques patchs et modifications supplémentaires. Je ne sais pas ce que cela donne dans le cas précis de cette faille, mais on peut imaginer qu'une faille ne touche QUE redhat ou tout le monde SAUF redhat.
PLuG
[^] # Re: Euh...
Posté par Anonyme . Évalué à 0.
[^] # Re: Euh...
Posté par Anonyme . Évalué à 0.
bug exploited successfully, mais il me demande le password (de la commande su ) ... et donc ça ne marche pas ...
[^] # Re: Euh...
Posté par Anonyme . Évalué à 0.
ptrace: PTRACE_ATTACH: Operation not permitted
Error!
Donc tous les noyaux 2.2 ne sont pas concernés ...
[^] # Re: "It has been broken in two places."
Posté par Amaury . Évalué à 1.
Comme c'est souvent le cas sur bugtraq, les exploits sont légèrement modifiés pour empêcher les script kiddies de venir se servir ("It has been broken in two places.").
Seules les personnes disposant d'un minimum de connaissances en C pourront modifier le source en 2 endroits pour le rendre actif.
A vos vi ;-)
[^] # Re: "It has been broken in two places."
Posté par Jean-Marc Notin . Évalué à 1.
J'étais juste curieux de savoir comment ça marchait...
Je n'y connaît pas grand chose en sécurité, mais a priori, ce bug ne permet pas plus qu'un 'local root exploit', non ?
[^] # Re: "It has been broken in two places."
Posté par Amaury . Évalué à 1.
[^] # oups
Posté par Amaury . Évalué à 1.
http://www.securityfocus.com/templates/archive.pike?list=1&from(...)
# Et les noyaux 2.0.xx ?
Posté par Anonyme . Évalué à 0.
En effet, il y a une semaine, l'admin
de l'ecole nous a demandé de changer tous nos
mots de passes suite au "vole du fichier shadow"
Bien qu'il n'ai donné aucune precision, je me demande comment les "voleurs" sont rentrés ... ;)
# L'utiliser!
Posté par Anonyme . Évalué à 0.
Pour l'utiliser il faut passer en argument:
./epcs [victim] [address]
Question, c'est quoi [victim] et c'est quoi [address]
Merci.
[^] # Nan !
Posté par Anonyme . Évalué à 0.
[^] # Kiddie! Kiddiekiddiekiddie!
Posté par Ano . Évalué à 1.
[^] # Re: L'utiliser!
Posté par Anonyme . Évalué à 0.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.