Faille de sécurité dans le noyau Linux

Posté par (page perso) . Modéré par Pascal Terjan.
0
17
mar.
2003
Noyau
Une importante faille de sécurité a été découverte dans le noyau Linux par Andrzej Szombierski. Elle permet aux utilisateurs locaux de gagner les privilèges du super-utilisateur (root) grâce à un bug dans l'appel système ptrace. La mise à jour immédiate de votre noyau est donc chaudement recommandée.

La faille est corrigée dans Linux 2.2.25 pour le noyau 2.2, et un patch est fourni par Alan Cox pour les noyaux 2.4. Les versions 2.0 et 2.5 ne sont pas vulnérables (de lapin).
  • # Lapin compris ... enfin si apres tout

    Posté par (page perso) . Évalué à 1.

    Merci Pterjan pour m'avoir expliqué ce fabuleux jeu de mot
    vulnerable de lapin
    rable de lapin

    Et j'attribue a Jar Jar Binks un point Kadreg .

    Merci
    [-1]
  • # Re: Faille de sécurité dans le noyau Linux

    Posté par (page perso) . Évalué à 10.

    Bon ça va, j'ai confiance en mes utilisateurs locaux. De toutes façons, les failles locales, il doit en rester des centaines dans Linux et autres outils système.
  • # Re: Faille de sécurité dans le noyau Linux

    Posté par . Évalué à 8.

    Ouf, mon 2.5 de_tous_les_jours n'est pas atteint :-)
    Et puis il est nettement plus performant en utilisation desktop. Bientot, Linux sera fin prêt pour le desktop, et on pourra passer le prendre.
    • [^] # Re: Faille de sécurité dans le noyau Linux

      Posté par (page perso) . Évalué à 10.

      Euh, on n'avait pas déjà dit ça pour Linux 2.4 ?

      Ne te méprends pas, je suis content d'apprendre que le futur 2.6 tourne rond.
      • [^] # Re: Faille de sécurité dans le noyau Linux

        Posté par . Évalué à 10.

        Si, on avait dit ça, mais on s'était trompé :)
        La différence de comportement, surtout au niveau de l'interactivité, est vraiment énorme «à vue de nez». J'ai l'impression que ma machine (certes très puissante) est bien plus à l'aise que sous 2.4. Et encore, y'a plein de modifs concernant l'ordonnancement dans le 2.5.65 à venir.
        • [^] # Re: Faille de sécurité dans le noyau Linux

          Posté par . Évalué à 7.

          > dans le 2.5.65 à venir.

          qui est deja la :)
          • [^] # Re: Faille de sécurité dans le noyau Linux

            Posté par . Évalué à 10.

            Surprise dans la 2.5.65 : ya "make gconfig". Utilisation de gtk (version 2). J'ai testé : c'est comme "make xconfig" mais avec gtk.
            • [^] # Re: Faille de sécurité dans le noyau Linux

              Posté par . Évalué à 1.

              G essayé aussi, mais j'ai trouvé ca bien plus beau (pas difficile) et surtout plus pratique que le xconfig. En effet l'arborescence sur le coté est bien utile dès qu'il faut revenir en arrière sur plusieurs options (comme pour ma grr de carte TV dont j'arrive jamais à me souvenir quels sont les modules à activer ...)

              De quoi laisser tomber le menuconfig si l'on dispose de gtk ...
  • # Re: Faille de sécurité dans le noyau Linux

    Posté par . Évalué à 7.

    Comment je dois faire si j'ai une distrib Mandrake avec un noyau de base de la distrib ?
    Est ce qu'il ya moyen d'appliquer des patchs sans devoir recompiler?

    Merci d'avance pour l'info

    Alex
    • [^] # Re: Faille de sécurité dans le noyau Linux

      Posté par . Évalué à 10.

      Deux solutions:
      1) attendre que la Mandrake sorte le rpm du noyau patché que tu installeras
      2) patcher le noyau toi-meme, le compiler, et l'installer.

      Bref si tu ne veux pas recompiler, attends que quelqu'un le fasse pour toi.

      PS: ceci sous-entend que le noyau que tu utilises actuellement est bien vulnérable, ce que je ne sais pas (meme si je le soupçonne fortement).
      • [^] # Re: Faille de sécurité dans le noyau Linux

        Posté par (page perso) . Évalué à 5.

        Attention: compiler le noyau signifie "adieu supermount" (faudra écrire les paramètres autofs ou mounter tes disquettes/cd/zip/usb à la main) et plein d'autres joyeusetés.
        Ce qui te montre qu'un kernel compilé pour une distrib comme Mandrake qui patche à mort, c'est sympa à l'usage, mais galère pour tout rattraper.

        Sinon ça marche sans soucis. Ou presque.
        • [^] # Re: Faille de sécurité dans le noyau Linux

          Posté par . Évalué à 6.

          Bah supermount est buggué de partout donc de toute façon le "adieu supermount" il est quasi automatique après l'installation non ?
          • [^] # Re: Faille de sécurité dans le noyau Linux

            Posté par . Évalué à 8.

            Entièrement d'accord. J'ai installé 4 fois la Mandrake 9 (je compte pas les installations des précédentes Mandrake) et j'ai eu 2 fois le supermont qui bug (lecteur CD surtt) et 2 fois où ça passait bien. Et pourtant, dans le MandrakeUpdate, y'a eu un patch qui soit disant "résout les pb avec le supermount". En fait, y'a aucun changement.
            Tt ça pr dire que si au final ça désactive le supermount, ça rend plus services qu'autre chose !
          • [^] # Re: Faille de sécurité dans le noyau Linux

            Posté par (page perso) . Évalué à 7.

            Ah, naïveté quand tu me tiens...
            Si j'ai bien compris, le supermount permet de connecter/déconnecter des choses de stoquages amovible (disquettes, cédérom, clef USB, lecteur de cartes perforées, etc.) sans avoir besoin de faire des mount/umount.

            Mais il me semblait que ce genre de truc existait déjà sous le DOS et de facon plutot fonctionelle (quand la lumière s'etteind tu peux virer la disquette). Je ne dis pas que c'était parfait mais je n'ai personnellement eu aucun problème durant les années sombres ou j'utilisait ce système d'exploitation.

            La question est donc : ben, pourquoi donc le supermount marche mal ? Régression technique ? On nous cache des choses ? Un complot des fabriquants de lecteurs amovibles ?

            nota : j'utilise encore le vieux mount/umont pour mes disquettes et j'ai pas de lecteur CD-ROM (au diable l'accadémie)...
            • [^] # Re: Faille de sécurité dans le noyau Linux

              Posté par (page perso) . Évalué à 9.


              Mais il me semblait que ce genre de truc existait déjà sous le DOS et de facon plutot fonctionelle (quand la lumière s'etteind tu peux virer la disquette). Je ne dis pas que c'était parfait mais je n'ai personnellement eu aucun problème durant les années sombres ou j'utilisait ce système d'exploitation.


              Le DOS ne gérant ni cache, ni VFS, ni locks, il n'y avait pas d'interet a monter et/ou demonter quoi que ce soit. Rien que l'arrivée de SmartDrive a posé des soucis pour les lecteurs de disquette, ainsi que pour les durs (obligeant a faire Ctrl-Alt-Suppr avant d'éteindre).
            • [^] # Re: Faille de sécurité dans le noyau Linux

              Posté par (page perso) . Évalué à -1.

              Supermount est pourri de par sa conception.

              Par contre, les automonteurs (autofs et am-utils, au choix), ça marche au poil, et c'est carrément plus souple.
        • [^] # Re: Faille de sécurité dans le noyau Linux

          Posté par . Évalué à 2.

          meuh non , urpmi kernel-source , prendre le config qui est dans /boot patcher ce qu il faut ( surtout que la faille ptrace y a pas grd chose ) puis make....
  • # Comment faire pour patcher?

    Posté par . Évalué à 1.

    Oui, question idiote. J'ai l'expérience d'avoir déjà compilé des logiciels et de les installer mais là je ne vois pas comment on fait à partir de ce lien... faut faire un copier-coller???
    • [^] # Re: Comment faire pour patcher?

      Posté par . Évalué à 0.

      PS: je suis avec un kernel 2.4.19
      • [^] # Re: Comment faire pour patcher?

        Posté par (page perso) . Évalué à 5.

        En effet, il faut faire un copier/coller dans un fichier puis appliquer le patch bètement à coup de "patch" (-p0/1 suivant ou tu trouve)
        • [^] # Re: Comment faire pour patcher?

          Posté par . Évalué à 0.

          Euh, je n'ai pas très bien compris la procédure pas à pas... il n'est pas nécessaire de compiler? Et je ne connais pas trop la commande patch...
          • [^] # Re: Comment faire pour patcher?

            Posté par . Évalué à 10.

            Si, il faut recompiler.

            Exemple :
            $ cd /usr/src/linux
            $ patch -p1 < ~/patch-ptrace
            [...]

            pour plus d'info :
            $ info diff

            ou utiliser gnome-help puis choisir "pages d'infos" puis "diff (info)".

            Mais sur un noyau de distribe qui est généralement fortement patché, ça a peu de chance de marcher sans quelques adaptations.

            Puis recompilation.

            Le mieux pour un "bleu" (on est tous passé par là) c'est d'attendre l'update du distributeur.
  • # Re: Faille de sécurité dans le noyau Linux

    Posté par . Évalué à 10.

    Ne serait-il pas plus pertinent de mettre un lien vers les mirroirs de http://www.kernel.org/(...) ?
    http://master.kernel.org/mirrors/nindex.shtml(...)

    Un lien directe sur linux-2.2.25 sur le mirroir Français :
    http://www.fr.kernel.org/pub/linux/kernel/v2.2/linux-2.2.25.tar.gz(...)

    Plus intelligament prennez le patch 24 -> 25 qui est tout petit (moins d'1 Ko) :
    http://www.fr.kernel.org/pub/linux/kernel/v2.2/patch-2.2.25.gz(...)

    Je dis ça mais je dis rien. Le 2.2 n'est pas autant utilisé que le 2.4 actuellement.
  • # Alan Cox semble connaitre LinuxFR

    Posté par (page perso) . Évalué à 10.

    Dans le mail d'Alan cox publié sur lwn.net l'adresse email de LinuxFr apparait : kernel@linuxfr.org :o)

    http://lwn.net/Articles/25669(...)
    • [^] # Re: Alan Cox semble connaitre LinuxFR

      Posté par . Évalué à 4.

      encore heureux qu'il n'ait pas écrit son message et son patch en Gallois, Fabien n'a pas dépassé la leçon 5 de Assimil ;)
  • # Re: Faille de sécurité dans le noyau Linux

    Posté par . Évalué à 4.

    Et merde, je vais devoir sacrifier mon uptime de 138 jours ...

    (ok ok -> [])
    • [^] # Re: Faille de sécurité dans le noyau Linux

      Posté par (page perso) . Évalué à 9.

      D'ou l'avantage des pannes de courant régulieres, grace a électrabel; je m'habitue à avoir des uptimes ne dépassant pas 3 ou 4 jours.
      • [^] # Re: Faille de sécurité dans le noyau Linux

        Posté par (page perso) . Évalué à 5.

        Heu... Faudrait peut-être envisagé l'achat d'un onduleur ?
        Pas forcément pour améliorer l'uptime, mais je pensais plutôt à la sauvegarde de ton matériel (je doute qu'il apprécie particulièrement les coupures intempestives!)/ J'ai une carte-mère qui à cramé lors d'une coupure de courant :-(
        • [^] # Re: Faille de sécurité dans le noyau Linux

          Posté par (page perso) . Évalué à 1.

          Je ne savais pas que ça pouvait aller jusqu'a la destruction de matériel, c'est bon a savoir, merci.
          • [^] # Re: Faille de sécurité dans le noyau Linux

            Posté par (page perso) . Évalué à 3.

            Je ne suis pas un expert, donc je ne peux pas l'affirmer, ni l'infirmer.

            Mais je me contente de constater : suite à des coupures d'électricité dans une cité U, j'ai perdu une carte-mère et un disque dur.

            A ce que j'ai compris, le problème n'est pas la coupure de courant en elle-même, mais plutôt le moment où le courant revient : il y a, à ce moment, de petites surtensions qui elles peuvent endommager le matériel...
  • # Re: Faille de sécurité dans le noyau Linux

    Posté par (page perso) . Évalué à 1.

    quelqu'un a entendu parlé d'un patch pour le kernel 2.4.18 ?
  • # Rik Van Riel

    Posté par . Évalué à 9.

    Rik Van Riel passe chez Redhat. Suse et redhat vont bientôt avoir tout le "top50" de Linux.

    http://www.surriel.com/nh.shtml(...)
    • [^] # Re: Rik Van Riel

      Posté par . Évalué à 10.

      Ça doit être pour celà que Redhat annonce le fix le jour même du bug alors que les autres sont un peu à la traine...
      J'ai un peu l'impression qu'Alan a attendu le feu vert de redhat pour annoncer le trou de sécurité.
      M'enfin, redhat, n'a toujours pas le fix pour samba...
      • [^] # Re: Rik Van Riel

        Posté par . Évalué à 3.

        Vu la tête du patch, le temps entre la découverte de la faille et le temps de developper le patch devait certainement approcher quelques heures uniquements.

        Donc le temps de faire l'annonce, RH a très bien pu réussir à faire la package en un temps record. C'est peut être aussi pour cela que Redhat embauche tout le "top50" de Linux., pour avoir une meilleur qualité de service auprès de ces client.

        Concernant le fix samba, le package corrigeant la faille existe.
        fix samba RH https://rhn.redhat.com/errata/RHSA-2003-095.html(...)
        Parution du package: 3 jours a peine après l'annonce.
        • [^] # Re: Rik Van Riel

          Posté par . Évalué à 10.

          > Vu la tête du patch, le temps entre la découverte de la faille et le temps de developper le patch devait certainement approcher quelques heures uniquements.

          MMooouuaaaaaiiiiissss.

          Si je regarde lwn.net :
          annonce Alan Cox : 16h24
          annonce errata Redhat : 18h19

          Moins de 2 heures !?

          Pour 4 distribes (7.1, 7.2, 7.3, 8.0), faire les paquets, tester par le service qualité (ça doit être la partie la plus longue), diffuser sur les sites www/ftp, mettre à jour les pages arrata avec un joli texte, mettre à jour le serveur "up2date", envoyer un mail à lwn.net, etc...
          2 heures c'est très, très court. Disons 4 heures mais ça reste toujours très très court.

          La preuve que ce n'est pas si immédiat, il n'y a pas d'errata pour Advanced Server (les tests sont plus long car l'OS est certifié DELL, IBM, ORACLE, etc...).

          Je crois qu'une fois rh c'est fait tapé sur les doigts pour avoir sorti un errata alors que les autres distribes ne connaissaient pas le trou de sécurité.

          NB: j'ai un redhat, c'est pas la peine de m'envoyer un uppercute.
        • [^] # Re: Rik Van Riel

          Posté par . Évalué à 1.

          La faille a été officiellement découverte le 17 mars, seulement certaines personnes avaient repéré ce bug depuis déjà quelques mois...
          C'est d'ailleurs impressionant l'intervalle qui existe entre la découverte de la faille et la disponibilité du patch. Comme quoi, les pirates gardent bien leurs secrets !
  • # Plus ou moins corrigé...

    Posté par . Évalué à 1.

    j'ai sur un forum un topic sur cette faille

    ca marche bien sur mon 2.4.18 ;-)

    mais

    soit disant ca touche pas les 2.5

    asphro@minautore asphro $ uname -a
    Linux minautore.synoptick.com 2.5.64 #2 Thu Mar 13 20:58:54 CET 2003 i686 Intel(R) Celeron(TM) CPU 1200MHz GenuineIntel GNU/Linux
    asphro@minautore asphro $ ./ptrace
    root@minautore asphro # id
    uid=0(root) gid=0(root) groups=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel),11(floppy),20(dialout),26(tape),27(video)
    root@minautore asphro #

    (ne vient pas de moi)

    sur le forum en question, il apparait que selon les contextes de compilation du prog exploitant la faille, les patches sont plus ou moins efficaces

    je sais pas s'il c'est "dangereux" que je poste le lien ?
    (dans le doute, mailez moi)
    • [^] # Re: Plus ou moins corrigé...

      Posté par . Évalué à 8.

      > je sais pas s'il c'est "dangereux" que je poste le lien ?

      Pour un utilisateur de Lindows, c'est sans danger :-)

      PS: tout sous Lindows tourne sous root.
      • [^] # Re: Plus ou moins corrigé...

        Posté par . Évalué à 6.

        Lindows serait-il plus sûr ?

        Heu, désolé, j'm'casse ->[]
        • [^] # Re: Plus ou moins corrigé...

          Posté par . Évalué à 1.

          je sais pas mais je me demande s'il faut pas prendre la faille plus au serieux. un gars a test le progremme d'exploit sur une slack 9 ( donc ptet patchee) et ca a marche...
          • [^] # Re: Plus ou moins corrigé...

            Posté par . Évalué à 1.

            DSL

            euh le gars s'est corrigé pour ce qui est de la slack 9, le patch est efficace. m'enfin faut se méfier quand même


            enfin sur mon 2-4-18, c flippant, comment ca déchire. je vire tous les comptes users qui sont pas pour moi !
  • # un exploit ?

    Posté par . Évalué à 1.

    nan, des exploits.

    Le mien arrive tard, tant pis.

    http://sed.free.fr/ptrace.c(...)

    "ptrace exploit" sur groups.google.com
    file plein de trucs.

    Un article sur bugtraq semble-t-il aussi.
    slashdot (pas regardé, pas le temps)

    bon, au boulot maintenant, c'est bien amusant tout
    ça mais ça nourrit pas sa femme.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.