Visite também: Currículo ·  Efetividade BR-Mac

O que é LinuxDownload LinuxApostila LinuxEnviar notícia


Bug permite que usuários locais tenham acesso indevido de root

Falha afeta kernels Linux da versão 2.6.17 a 2.6.24.1 (para ver qual a sua versão, use o comando “uname -r”). Se você tem o vmsplice habilitado no kernel e dá acesso (por exemplo, via ssh) a usuários locais que possam executar código providenciado por eles mesmos, deve se preocupar. Enquanto não sair uma correção oficial, há uma alternativa não-oficial que pode ser rodada com o sistema operacional em execução, e que impede a exploração da falha (e o uso do vmsplice) até o próximo reboot. Detalhes no texto e link abaixo, de autoria do Gustavo Roberto.

“Esse é um texto superficial sobre um novo exploit usado para explorar a vmpslice. Tal exploit eleva os privilégios para root, a partir de um usuário local. Leitura imprescindível ao administradores de servidores.”

Enviado por Gustavo Roberto Rodrigues Gonçalves (gustavorobertuxΘgmail·com) – referência (gustavoroberto.blog.br).


• Publicado por Augusto Campos em 2008-02-11

Comentários dos leitores

Os comentários são responsabilidade de seus autores, e não são analisados ou aprovados pelo BR-Linux. Leia os Termos de uso do BR-Linux.

    Eu não tenho este modulo habilitado, pelo menos eles não esta na lista do modprobe -l.

    Que tipo de modulo é este ? alguem tem mais informação ?

    Esse bug foi noticiado em um comentário de ontem:
    http://br-linux.org/2008/saiu-o-alpha-2-do-opensuse-110-veja-as-screenshots/#comment-1368

    E já existe correção para todas as versões do Kernel desde ontem, poucas horas após a descoberta do bug:

    Vide changelog das versões 2.6.24.2 – 2.6.23.16 – 2.6.22.18

    http://www.kernel.org/pub/linux/kernel/v2.6/

    Att,
    Renato

    O vmsplice não é um módulo. Ele é uma função para gerenciar a memória. Um buffer.

    Att,
    Renato

    Vinícius Fontes (usuário não registrado) em 11/02/2008 às 2:36 pm

    Pra quem usa Debian, basta um apt-get:

    # apt-get install linux-image-2.6.18-6-686

    Após a atualização:

    user@pabx-teste:~$ ./teste
    ———————————–
    Linux vmsplice Local Root Exploit
    By qaaz
    ———————————–
    [+] mmap: 0×0 .. 0×1000
    [+] page: 0×0
    [+] page: 0×20
    [+] mmap: 0×4000 .. 0×5000
    [+] page: 0×4000
    [+] page: 0×4020
    [+] mmap: 0×1000 .. 0×2000
    [+] page: 0×1000
    [+] mmap: 0xb7e23000 .. 0xb7e55000
    [-] vmsplice: Bad address
    user@pabx-teste:~$

    ????
    O Kernel 2.6.18 não é afetado por essa vulnerabilidade, logo o Debian Etch não é afetado.

    Att,
    Renato

    Bom…para quem anda “na crista da moda” como eu, ja pode baixar a nova versão (2.6.24.2) como eu ja o fiz e já estou usando-o, devidamente corrigido.

    zer0c00l (usuário não registrado) em 11/02/2008 às 4:14 pm

    maiconfaria, aonde foi a mensagem no código:

    * This is quite old code and I had to rewrite it to even compile.
    * It should work well, but I don’t remeber original intent of all
    * the code, so I’m not 100% sure about it. You’ve been warned ;)

    que você não leu ou entendeu, que o bug já existia faz algum tempo? Não foi de “ontem” o Bug, Linux fanboy.

    Vinícius Fontes (usuário não registrado) em 11/02/2008 às 5:37 pm

    Yamane,

    Do artigo: “Falha afeta kernels Linux da versão 2.6.17 a 2.6.24.1″. Ok, faltou a crase :) mas acho que ficou bem claro.

    Instalei o Debian Etch (4.01) numa máquina de teste, compilei o exploit, rodei e tive acesso root imediatamente. Após a atualização do pacote linux-image-2.6.18-6-686 o exploit deixou de funcionar.

    Boa noite pessoal,

    Alguém poderia me dizer como é que posso descobrir se esse vmsplice está habilitado no meu Kernel?

    Uso o Kernel 2.6.18.1 do Kurumin 7(baseado no Debian Etch)…

    Em caso do vmsplice estar habilitado como resolvo o problema sem recompilar o Kernel?

    Agradeço a atenção

    pois é.. (usuário não registrado) em 12/02/2008 às 1:27 am

    Pois é, horas depois e todo mundo compilando ou instalando versão nova do kernel… agora imagina a concorrencia… “bug dá adminstrator local usando user32.dll”… 18 meses depois, sai o SPX ….

    Jeronimo Zucco (usuário não registrado) em 12/02/2008 às 9:25 am

    Pelo menos o Grsecurity conseguiu segurar essa :-)

Este post é antigo (2008-02-11) e foi arquivado. O envio de novos comentários a este post já expirou.