Faille de Sécurité Linux

• # Wazaaaaaa!

  Posté par Ano le 09 avril 2001 à 11:33. Évalué à 1.

  

  Et hop! Une faille.
  
  bon, ce n'est ni la première ni la dernière...
  
  Mais pour sacrifier à la nouvelle "mode": à quand le "ver" exploitant cette faille?

  • [^] # Re: Wazaaaaaa!

    Posté par Anonyme le 09 avril 2001 à 11:46. Évalué à 0.

    

    D'apres ce que j'ai compris. Il faut deja pouvoir lancer le script sur l'hote en question. Donc il faut que ton vers puisse se connecter et executer le script. Par contre a part telnet et ssh. J'aimerais savoir si d'autres demons permettent d'excuter des scripts a distance.
    J'ai pas le temps de recompiler le noyo de mon 486. Alors j'aimerais savoir si c'est urgent.
    
    Ce genre de news commence a devenir frequentes. Les gens vont prendre peur. Par contre si ça pouvait obliger a mettre a jour les logiciels ce serait pas mal. Faite un scan des serveurs ftp sur l'adsl, il y a pas mal de wu-ftp avec une version plus ancienne que la 2.6.0.

    • [^] # Re: Wazaaaaaa!

      Posté par Orphée le 09 avril 2001 à 12:32. Évalué à 1.

      

      Je sais pas si les gens vont prendre peur, mais je peux déjà te dire que l'arrogance et la morgue des Microsoftien se fait de plus en plus forte.
      Il est clair que Linux a perdu un de ses plus forts arguments (mais ça devait arriver...), et je ne sais plus trop quoi leur répondre. Dois-je relire le Linux Advocacy ?
      Je leur réponds que les trous et virus sont plus facilement, plus rapidement, et gratuitement corrigés, sans être dépendant d'un éditeur, mais cet argument paraît bien faible, puisque le mal est fait, et que payer n'est pas toujours rédhibitoire, surtout dans des entreprises bourrées de pognons.
      Je ne doute pas, bien sûr, mais parfois je me sens bien seul...

      • [^] # Re: Wazaaaaaa!

        Posté par pappy (site web personnel) le 09 avril 2001 à 12:44. Évalué à 1.

        

        Si tu veux leur répondre, tu leur parles du "bug unicode" et tu fais une recherche avec alatavista sur la chaîne suivante : "Welcome to IIS", ce qui te donneras beaucoup de réponses, et beaucoup de serveurs vulnérables.
        
        Le problème dans ls 2 cas est le même : une partie du boulot d'admin est de mettre à jour ses machines ... sauf que l'utilisateur moyen :
        1. il n'est pas admin
        2. il s'en fout d'avoir un type qui vient lui piquer ses photos de vacances sur don disque dur

        • [^] # Re: Wazaaaaaa!

          Posté par pasBill pasGates le 09 avril 2001 à 19:23. Évalué à 1.

          

          Rien a voir, la tu parles du serveur Web par de l'OS.
          
          Rien ne t'empeches d'utiliser Apache sous Windows.
          
          Cherches autre chose :+)

          • [^] # Re: Wazaaaaaa!

            Posté par Wawet76 (site web personnel) le 10 avril 2001 à 11:03. Évalué à 1.

            

            Il y a quelques mois, une faille à été trouvé dans Apache sous Windows car une url style \toto\.......\hop permettait de remonter dans des repertoires parents. (un truc du genre. J'me rappelle plus exactement)
            
            Rien ne dit qu'il n'y a pas d'autres trucs non documenté du même style... Donc on évite Apache en prod sous Windows.

      • [^] # Re: Wazaaaaaa!

        Posté par Wawet76 (site web personnel) le 09 avril 2001 à 13:42. Évalué à 1.

        

        Que répondre si des Windosiens te tracassent ?
        
        Bah... Sous linux on annonce quelles failles souvent difficiles à exploiter (dans le cas de celle-ci, faut déjà avoir un compte sur la machine) ou qui concernent des logiciels que peut de gens ont à mettre en oeuvre (serveur ftp ou DNS).
        
        Et ensuite tu rappelles que la dernière faille Windows/ie/Outlook (bref, ce que *tout le monde* utilise), permettait à n'importe qui d'executer n'importe quoi simplement en envoyant un mail...
        
        Ya quand même encore deux poids deux mesures...

        • [^] # Re: Wazaaaaaa!

          Posté par Jak le 09 avril 2001 à 14:37. Évalué à 1.

          

          D'ailleurs, elle le permet toujours :) Jusqu'à ce que le correctif en Français/Allemand/Espagnol/Italien... sorte et que les gens l'utilisent. Remarquez qu'il semblerait que IE 5.00 ne soit pas affecté, installé par défaut sur un win98 SE.(enfin, en tout cas l'exemple sur kriptopolis ne marche pas sur une build 5.00.26qqch (testé au bureau), alors que ça marche au poil sur un 5.50.qqch (testé sur une machine en libre accès dans un centre commercial)

        • [^] # Re: Wazaaaaaa!

          Posté par Blackknight (site web personnel, Mastodon) le 09 avril 2001 à 14:43. Évalué à 1.

          

          > qui concernent des logiciels que peut de gens ont à mettre en oeuvre (serveur ftp ou DNS)
          Ouais mais quand t'installes une Mandrake ou une RedHat, les démons ftp et named tournent par défaut alors de toutes façons, si t'as pas un minimum de connaissances, tu te feras quand même piquer tes photos de vacances (où que dessus, c'est même pas ta femme mais celle du patron. Enfin, si le pirate bosse pas pour ton patron, tu t'en fous)

          • [^] # Faux!

            Posté par reno le 09 avril 2001 à 16:55. Évalué à 1.

            

            J'ai installer la Mandrake 8.0 Beta 3 ce week-end.
            
            En mode haute securite les daemon ftp et named ne tournent pas..

            • [^] # Re: Faux!

              Posté par Anonyme le 10 avril 2001 à 08:56. Évalué à 0.

              

              Et le reste ? il tourne ?
              </trop facile>

    • [^] # Re: Wazaaaaaa!

      Posté par Anonyme le 10 avril 2001 à 08:17. Évalué à 0.

      

      > D'apres ce que j'ai compris. Il faut deja pouvoir lancer le script sur l'hote en question.
      > (snip)
      > J'aimerais savoir si d'autres demons permettent d'excuter des scripts a distance.
      Au hasard, httpd ? Apache fait ca tres bien et tres vite, c'est sa specialitée mme :)
      > Alors j'aimerais savoir si c'est urgent.
      Bah ca va bientot faire une semaine qu'il est sortis, faudrai te depecher un chouya nan ? m'enfin, moi j'dis ca, j'dis rien...
      
      --
      ker2x (qui se demande pquoi il n'est plus authentifié)
      Qui n'a rien dis

• # Debian 2.2r2

  Posté par Guillaume Estival le 09 avril 2001 à 11:39. Évalué à 1.

  

  Je viens de verifier dans dselect, il n'y a pas de version 2.2.19 (trop recente). Est ce qu'il y a moyen de savoir si le noyau 2.2.18 est vulnerable a cette attaque?
  
  Merci d'avance
  
  (si c'est le cas, va falloir que je me tape la compil des sources 2.2.19 a la pogne. groumpf)

  • [^] # Re: Debian 2.2r2

    Posté par Sylvain F. le 09 avril 2001 à 11:47. Évalué à 1.

    

    il est vulnerable - comme tout les noyau 2.2 <=2.2.18

    • [^] # Re: Debian 2.2r2

      Posté par Anonyme le 10 avril 2001 à 08:28. Évalué à 0.

      

      comme la plupart des noyaux 2.x mme
      y compris la serie 2.0.x,
      et les 2.4.x si tu n'actives pas une certaine options (mais je sais pas laquelle).
      (Tésté et approuvé)
      
      Il est marrant de remarquer que cette faille a été corrigée dans le 2.2.19 avant mme sa découverte :)
      Ou alors ? (FUD :p )
      
      --
      ker2x
      faché avec les cookies.

  • [^] # Re: Debian 2.2r2

    Posté par oliv le 09 avril 2001 à 11:48. Évalué à 1.

    

    le lien bugtrack:
    
    "Here is exploit for ptrace/execve race condition bug in Linux kernels up to 2.2.18."
    
    les release notes de la 2.2.19:
    http://www.linux.org.uk/VERSION/relnotes.2219.html(...)
    "Ptrace/exec race
    Ptrace and exec as well as ptrace/suid races existed that could give a local user privileges."
    
    donc la 2.2.18 est vulnérable, la 2.2.19 non
    et cette vulnérabilité est pour les "local users"

• # mouarf

  Posté par Anonyme le 09 avril 2001 à 11:50. Évalué à 0.

  

  ...registre d'instruction %eip pointe...
  
  mais c'est toujours pour Linux x86 ce genre d'amusement !
  Bon, je continue à dormir sur mes 2 oreilles...

  • [^] # Re: mouarf

    Posté par Anonyme le 09 avril 2001 à 12:00. Évalué à 0.

    

    C'est pas parce que l'exploit proposé sur bugtrack est limité aux machines x86 que la faille n'est pas exploitable sur toutes les architectures ....
    Bon de toutes facons c'est corrigé depuis plus de 15 jours et comme les administrateurs de machines linux font bien leur boulot, il doit plus y avoir de noyau < 2.2.19 en exploitation.
    De plus c'est un exploit pour utilisateurs locaux de la machine, or on sait tous que donner un login a qqun c'est toujours lui permettre de hacker la machine, quelle que soit l'architecture et la version d'OS qui tourne (windows, linux, solaris, hpux ...).
    PLuG

    • [^] # Re: charge d'un upgrade kernel

      Posté par Amaury le 09 avril 2001 à 12:56. Évalué à 1.

      

      > comme les administrateurs de machines linux font
      > bien leur boulot, il doit plus y avoir
      > de noyau < 2.2.19 en exploitation.
      
      T'es gentil mais si les admins devaient passer leur temps a recompiler le kernel a chaque nouvelle version, ils n'auraient le temps de rien faire d'autre.
      
      Imagine la charge de travail que représente le fait de recompiler un noyau sur UNE machine de prod, surtout si comme c'est fréquemment le cas, le kernel est patché (openwall, LIDS). Et ces 2 patches sortent rapidement après le noyau, alors que pour beaucoup d'autres il faut attendre plus longtemps, selon la forme de leurs mainteneurs...
      
      Alors imagine le temps (même sans les patches) passé à recompiler le noyau sur un parc de 50 machines *critiques*.
      
      Je connais plein de machines qui sont en 2.0.3*.
      
      Tout le monde n'a pas que le noyau de sa machine perso à tenir à jour. Et un upgrade kernel n'est *pas* une tâche anodine, surtout quand on touche à la production...
      
      Il est clair que des news comme ca ne font pas de bien à Linux... Remarquez, au moins on est sur que les vulnérabilités ne sont pas "étouffées" par un quelconque service de comm'. On retombe dans l'éternel débat "faut il dévoiler les failles de sécu, au risque de fournir des armes aux [cr|h]ackers".

      • [^] # Re: charge d'un upgrade kernel

        Posté par Anonyme le 09 avril 2001 à 13:19. Évalué à 0.

        

        Je voulais savoir s'il y avait un moyen d'upgradrer le noyau sans redemarrer la machine. Car en prod, c'est souvent le principale probleme.

        • [^] # Re: charge d'un upgrade kernel

          Posté par Anonyme le 09 avril 2001 à 13:47. Évalué à 0.

          

          Pas sous Linux. Sur certains machines professionnelles, en Solaris 8, je crois que c'est possible et encore: on peut mettre à jour le noyau, pas upgrader le kernel.

          • [^] # Re: charge d'un upgrade kernel

            Posté par Annah C. Hue (site web personnel) le 09 avril 2001 à 15:01. Évalué à 1.

            

            Quelle est la différence entre "mettre à jour le noyau" et "upgrader le kernel" ?

            • [^] # Re: charge d'un upgrade kernel

              Posté par oliv le 09 avril 2001 à 15:53. Évalué à 1.

              

              one is in english, l'autre en français ;)

              • [^] # Re: Re: charge d'un upgrade kernel

                Posté par Anonyme le 11 avril 2001 à 12:16. Évalué à 1.

                

                oliv <olivier.ripoll@antispam.unine.ch> wrote:
                > one is in english, l'autre en français ;)
                
                Non, franglais :)
                
                Simon.
                
                --
                [ "Life... Don't talk to me about life..." - Marvin ]
                
                ---------------------------------------------------------------------------
                Ce message a été envoyé par Usenet.
                Path: not-for-mail
                From: Simon Huggins <huggie-usenet@earth.li>
                NNTP-Posting-Host: the.earth.li

      • [^] # Re: charge d'un upgrade kernel

        Posté par Pat Le Nain le 09 avril 2001 à 14:12. Évalué à 1.

        

        > Imagine la charge de travail que représente le fait de recompiler un noyau sur UNE machine de prod
        Tu peux toujours le compiler sur une machine de dével (en cross-compilation) et le déposer ensuite sur ta machine de prod. Tu peux ainsi factoriser la compil du noyau si t'as un parc de machines homogène (le point délicat restant toujours l'install du noyau et le reboot, je te l'accorde).
        
        > Je connais plein de machines qui sont en 2.0.3*.
        Ya au moins la mienne en 2.0.36 modifié (un bug ds le pilote oss). Mais le problème est que de plus en plus de softs utilisant les capacités du noyau ont besoin d'un 2.2.* ou 2.4.*, ce qui est normal.
        Là se pose la question du pourquoi changer de noyau ?, question dont la réponse est un compromis sécurité/fonctionnalités/temps passé à la recompil/upgrades nécessaires/je veux le dernier/etc

      • [^] # Re: charge d'un upgrade kernel

        Posté par Anonyme le 09 avril 2001 à 14:17. Évalué à 0.

        

        Ma remarque etait une boutade, de l'humour quoi.
        Cependant, j'ai participé à la création d'une architecture qui une fois déployée représente plus de 2000 machines linux. Je peux te dire que j'ai prévu des moyens de mettre à jour à distance les logiciels installés sur ces machines (des serveurs centralisés sont chargés de gérer en conf les machines linux). Dans le cas de mises à jour simples (genre le produit samba), c'est facile. Pour le noyau comme il faut rebooter c'est plus chaud. Mais l'architecture que nous avons batie repose sur des machines linux redondantes 2 à 2 pour pouvoir en "sortir" une de prod (toutes les connexions se font sur l'autre temporairement, c'est un mode dégradé) pendant qu'on fait la maintenance.
        Bref, si vous déployez des 50aines de machines sans outils pour les gérer, et bien effectivement elles sont difficiles à gérer.
        Remarque: je ne travaille plus dans la meme boite mais je suis sûr que les 2000 serveurs en question sont toujours vulnérables vu que le temps de réaction de cette entreprise est tres long [pour corriger la faille, il faut planifier une réunion entre le chef de projet, le déploiement, un prestataire pour réaliser le package, faire des tests ... bref 15 jours c'est pas assez :-)]
        PLuG

      • [^] # Re: charge d'un upgrade kernel

        Posté par Anonyme le 09 avril 2001 à 16:22. Évalué à 0.

        

        LIDS ...
        
        Si tu utilises LIDS, tu n'es pas vulnérable, pas besoin d'upgrader ton noyau (si tu as bien désactivé CAP_SYS_PTRACE dans les capacités par défaut) .
        
        
        -Jedi.

      • [^] # Re: charge d'un upgrade kernel

        Posté par Anonyme le 10 avril 2001 à 09:20. Évalué à 0.

        

        > Je connais plein de machines qui sont en 2.0.3*.
        
        Je dois encore en avoir une ou deux en 1.2.13 !

• # Euh...

  Posté par Jean-Marc Notin le 09 avril 2001 à 12:08. Évalué à 1.

  

  Sur une RedHat 7.0, avec un 2.2.18, en tous cas, ça ne marche pas :
  ptrace: PTRACE_ATTACH: Operation not permitted
  
  Ça fait la même chose sur un 2.4 ...

  • [^] # Re: Euh...

    Posté par pappy (site web personnel) le 09 avril 2001 à 12:35. Évalué à 1.

    

    La distribution n'a rien à voir avec la faille. Celle-ci provient de la version du noyau que tu utilises.
    
    Je l'ai testée sur un noyau 2.2.18, sans et avec le patch d'openwall, et je passe root sans les mains ;-)
    
    Je suppose que tu as mal fait un truc ou que tu as bidouillé ton kernel (genre tu as changé les syscalls via un modules ... enfin, toi ou un rootkit fondés sur les modules ;-)
    
    Tiens, qq'un a ssayé cet exploit avec un noyau "rootkité" (adore, knark ou autre ...), je serai curieux de savoir ce que ça donne :) Pour ceux qui ont testé, mailer moi directement svp (frederic.raynal@inria.fr)

    • [^] # Re: Euh...

      Posté par bmc le 09 avril 2001 à 12:38. Évalué à 1.

      

      C'est probablement un noyau 2.2.18 modifié par Red Hat, modifications dont ils ont le secret et qui ne sont pas toujours très bien reçues...

      • [^] # Re: Euh...

        Posté par Anonyme le 09 avril 2001 à 14:18. Évalué à 0.

        

        Dont ils ont le secret ? Un secret sous forme de .src.rpm en GPL ? vachement secret...

      • [^] # Re: Euh...

        Posté par Anonyme le 09 avril 2001 à 17:36. Évalué à 0.

        

        oui surtout que le dernier noyau fournit par redhat sur rh 7 et sur rh 6.2 est le 2.12.17 :p

      • [^] # Re: Re: Euh...

        Posté par Anonyme le 11 avril 2001 à 12:16. Évalué à 1.

        

        bmc <bmc@bmc.org> wrote:
        > C'est probablement un noyau 2.2.18 modifié par Red Hat, modifications
        > dont ils ont le secret et qui ne sont pas toujours très bien reçues...
        
        </FUD>
        
        Quel joli troll !
        
        En principe tous les paquetages du noyau de redhat (et d'autres
        distributions) sont disponible sous forme source.
        
        Ce n'est donc pas très secret.
        
        
        Simon.
        
        --
        [ "Have you seen a man who's lost his luggage?" -- Suitcase ]
        
        ---------------------------------------------------------------------------
        Ce message a été envoyé par Usenet.
        Path: not-for-mail
        From: Simon Huggins <huggie-usenet@earth.li>
        NNTP-Posting-Host: the.earth.li

    • [^] # Re: Euh...

      Posté par Anonyme le 09 avril 2001 à 12:40. Évalué à 0.

      

      La distribution n'a rien à voir avec la faille. Celle-ci provient de la version du noyau que tu utilises.
      oui et non.
      Les noyaux Redhat sont dérivés des versions standard avec quelques patchs et modifications supplémentaires. Je ne sais pas ce que cela donne dans le cas précis de cette faille, mais on peut imaginer qu'une faille ne touche QUE redhat ou tout le monde SAUF redhat.
      
      PLuG

  • [^] # Re: Euh...

    Posté par Anonyme le 09 avril 2001 à 12:36. Évalué à 0.

    

    T'as pas lu les explications, si ca marche pas, c'est paske le prog suid que tu utilises est dans le cache disque. Cela dit, moi il me met que ca marche, mais ca marche pas :)

    • [^] # Re: Euh...

      Posté par Anonyme le 09 avril 2001 à 15:00. Évalué à 0.

      

      J'ai un noyau 2.2.14-5.0 de chez RH et il met :
      bug exploited successfully, mais il me demande le password (de la commande su ) ... et donc ça ne marche pas ...

  • [^] # Re: Euh...

    Posté par Anonyme le 09 avril 2001 à 12:49. Évalué à 0.

    

    Pour info j'ai testé sur un noyau 2.2.15 et ça ne marche pas non plus :
    ptrace: PTRACE_ATTACH: Operation not permitted
    Error!
    
    Donc tous les noyaux 2.2 ne sont pas concernés ...

  • [^] # Re: "It has been broken in two places."

    Posté par Amaury le 09 avril 2001 à 16:21. Évalué à 1.

    

    Le source tel quel ne marche pas
    
    Comme c'est souvent le cas sur bugtraq, les exploits sont légèrement modifiés pour empêcher les script kiddies de venir se servir ("It has been broken in two places.").
    
    Seules les personnes disposant d'un minimum de connaissances en C pourront modifier le source en 2 endroits pour le rendre actif.
    
    A vos vi ;-)

    • [^] # Re: "It has been broken in two places."

      Posté par Jean-Marc Notin le 09 avril 2001 à 16:31. Évalué à 1.

      

      Ok, ok... J'ignorais ce détail...
      J'étais juste curieux de savoir comment ça marchait...
      
      Je n'y connaît pas grand chose en sécurité, mais a priori, ce bug ne permet pas plus qu'un 'local root exploit', non ?

      • [^] # Re: &quot;It has been broken in two places.&quot;

        Posté par Amaury le 09 avril 2001 à 16:37. Évalué à 1.

        

        http://www.securityfocus.com/templates/archive.pike?list=1&from(...) pour l'exploit qui marche (amélioré, en plus)

        • [^] # oups

          Posté par Amaury le 09 avril 2001 à 16:40. Évalué à 1.

          

          oups jm'a trompa
          http://www.securityfocus.com/templates/archive.pike?list=1&from(...)

• # Et les noyaux 2.0.xx ?

  Posté par Anonyme le 09 avril 2001 à 14:12. Évalué à 0.

  

  Et les noyaux 2.0.xx sont-ils concernés ?
  En effet, il y a une semaine, l'admin
  de l'ecole nous a demandé de changer tous nos
  mots de passes suite au "vole du fichier shadow"
  
  Bien qu'il n'ai donné aucune precision, je me demande comment les "voleurs" sont rentrés ... ;)

• # L'utiliser!

  Posté par Anonyme le 09 avril 2001 à 16:53. Évalué à 0.

  

  J'ai compilé le pg qui s'appelle epcs.
  Pour l'utiliser il faut passer en argument:
  ./epcs [victim] [address]
  Question, c'est quoi [victim] et c'est quoi [address]
  Merci.

  • [^] # Nan !

    Posté par Anonyme le 09 avril 2001 à 18:12. Évalué à 0.

    

    Pas bien !

    • [^] # Kiddie! Kiddiekiddiekiddie!

      Posté par Ano le 10 avril 2001 à 08:06. Évalué à 1.

      

      Script, script, script kiddie!

  • [^] # Re: L'utiliser!

    Posté par Anonyme le 09 avril 2001 à 19:01. Évalué à 0.

    

    victim c'est le programme sur lequel tu applique l'exploit comme par exemple su ... il doit avoir le bit suid ... address c'est euh ... cf l'exploit sur bugtraq ...

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.