Vulnerabilidade de 8 anos no kernel Linux
Em maio de 2001 o nepalês Temba Tsheri tornou-se, aos 16 anos, a pessoa mais jovem a conquistar o Everest, ao mesmo tempo em que a coalizão de Silvio Berlusconi ganhava as eleições gerais na Itália, e… uma vulnerabilidade surgia no kernel Linux, destinada a não ser percebida por seus mantenedores até a semana passada.
A natureza da falha, que permitiria a execução pelo kernel de código arbitrariamente inserido na memória por um atacante, é descrita de forma resumida nesta notícia do OSNews.
Oito anos é bastante tempo, mas possivelmente há bugs ainda mais antigos ainda não descobertos em muitos softwares não-auditados que usamos no dia-a-dia – o que não é grande consolo, já que sempre existe a possibilidade de um potencial atacante descobrir alguma destas falhas antes que ela ganhe divulgação.
Mas, para minorar a gravidade do fato, ao menos a correção já surgiu. (via osnews.com)
Saiba mais (osnews.com).
@brlinuxblog
Feed RSS
Só porque é o Kernel do Linux, o pessoal fala como se fosse o fim do mundo (parece até win users falando). Como se não existisse bugs no windows no mac que nunca foram descobertos!
O que importa é que não foram noticiados casos de vítimas dessa falha.
Além disso, o hacker teria que ter acesso local a máquina para poder explorá-la.
De qualquer forma, assim que foi descoberta, logo saiu a correção.
mas é justamente por isso que linux é interessante. Se o codigo está aberto ai e demoram 8 anos pra perceber algo de errado, imagina então o windows….
E até parece que se eu descobrir alguma vulnerabilidade do windows, eu irei reportar antes de utilizar em proveito proprio…rsrsrs
Não se preocupem. O códido do kernel Linux é regido pelas leis da física quântica.
Ou seja, até ser descoberto (observado) o bug ou vulnerabilidade ainda não existe. É apenas uma possibilidade :)
Ops, código!!!
Mas o problema é que se alguém tem acesso LOCAL a essa máquina, aí a coisa já fica bem mais complicada. Não seria necessariamente essa falha que seria explorada, já que só agora foi descoberta.
As pessoas confundem as coisas e distorcem a notícia para que ela fique mais alarmante/interessante.
Bugs, falhas, sempre vão existir. Algumas serão descobertas de forma intencional, outras por um tropeço em cima do código.
O que realmente importa é a forma como se trata o problema após ter sido descoberto, ou seja, providenciar a correção e divulgação o mais rápido possível.
Além do mais, o correto seria contar o tempo a partir da descoberta/utilização da falha, afinal, é muito provável que “ela não existia” para todo mundo.
Se houver alguma distorção na notícia que publiquei, favor informar para que eu possa corrigir.
O linux é o sistema mais seguro que já usei ( e olha já usei de tudo um pouco…). Mas (infelizmente) não é perfeito e outras falhas, graves ou não, poderão aparecer. O importante, é que logo que é descoberta alguma vulnerabilidade, o pessoal se mobiliza pra disponibilizar correções o mais rápido possível. Afinal de contas, “time is money”.
Augusto Campos, a notícia já esta distorcida na origem (OSNews), ou seja, ela foi republicada tal qual está na fonte. Quem pisou na bola foi o OSNews e eu por não ter me expressado direito (Ficou dúbio o comentário).
Além do mais, quem publicou a notícia no OSNews disse que não é um desenvolvedor/programador e ainda comentou que a falha é para obter privilégios locais. Se for o que estou pensando, com acesso local (e físico a máquina), um provável atacante pouco estaria se importando com a falha, pois se não puder sair com o servidor debaixo do braço, utilizaria sem piscar até mesmo um martelo para retirar o HD para depois trabalhar tranquilamente em outro lugar para acessar os dados.
builder, se alguma distorção que você julga presente na notícia do OSNews foi publicada por mim aqui, favor indicar para que eu possa corrigir.
Vale mencionar que a obtenção de privilégios indevidos explorando uma falha no kernel que permite a execução de código arbitrário usando os privilégios do kernel não tem relação direta com a necessidade de acesso físico ao equipamento, nem com as consequências deste acesso físico hipotético.
Augusto, ao ler o título “Vulnerabilidade de 8 anos no kernel Linux” parece que fazem 8 anos que todo mundo sabe e ninguém fez nada, quando na verdade o bug foi descoberto e corrigido em uma semana. O próprio site OSNews começa fazendo um auee danado com “É um fim do Mundo”. É apenas uma vulnerabilidade (como tantas outras) descoberta e corrigida e o título colocado desta forma ficou ao meu ver, sensacionalista, distorcendo o fato e dando mais importância do que realmente teria. Não há notícias de que esta falha tenha sido explorada. Isto me lembra o caso da invasão dos servidores do Debian a um tempo atrás onde uma conta de usuário local foi usada para ganhar privilégios. Para senhas fracas ou colaboradores mal intencionados não há sistema que resista.
builder, o que “parece” ao ler o título é subjetivo. Para mim, parece apenas o que está escrito: que a vulnerabilidade tem 8 anos. Nem eu nem você sabemos se alguém tinha conhecimento dela ao longo deste tempo todo, ou se a explorou silenciosamente por aí. O título não faz referência nem induz a acreditar o contrário, e o texto da notícia esclarece que os mantenedores não sabiam, e que já há correção, agora que eles sabem.
A importância da existência por longos períodos de falhas não conhecidas é grande, na minha opinião – trata-se de assunto sério, e bastante esforço e recursos são investidos na pesquisa de alternativas para reduzir este risco.
Aparentemente nem todo mundo acha que trata-se de algo que tem pouca importância ou não justifica a atenção recebida ou o destaque à questão cronológica. Veja como exemplo o título de outra notícia a respeito do mesmo problema que li na imprensa internacional: Critical vulnerability in the Linux kernel affects all versions since 2001 (Heise)
Concordo com você de que se trata de uma vulnerabilidade descoberta e corrigida, e me parece que a notícia que escrevi a descreve com objetividade, da mesma forma que o meu título enfatiza exatamente o que diferencia este caso de tantos outros que vemos corriqueiramente – e o faz também de forma objetiva, sem alarde nem exagero.
O fato de que a vulnerabilidade foi mantida por 8 anos é importante e digno de nota, independente de ter sido explorada ou não – negar, esconder ou minimizar o fato é que seria uma distorção.
Sobre o caso de uma distribuição que você lembrou eu não vou comentar, pois aparentemente não tem qualquer relação.
@builder, sim, é só uma vulnerabilidade.
Mas, lembra de uma falha no Windows, parecida com essa, e que postaram aqui no Br-Linux?
Veja os comments daquele post e você verá o porque.
O Ubuntu já fez a correção? Eu ainda não vi entre os pacotes que baixei nos últimos dias.
Olá @Clésio Luiz
A correção é um patch para o kernel.
Para tê-la você mesmo pode aplicar o patch, pegando ele em http://www.kernel.org (terá de recompilar seu atual kernel) ou então aguardar a distribuição empacotá-lo e distribuir. (no caso o Ubuntu)
Testei na última atualização de Kernel do Fedora 11(2.6.29-217.2.7), e o exploit não funcionou ;)
O Kernel backport do Debian que uso(2.6.30-bpo.1-amd64) em minha workstation ainda não aplicou o patch….
(e sim, o Kernel é do backport pq a placa de rede que utilizo so teve suporte adicionado ao módulo e1000e no kernel 2.6.28)….
>>> Mas o problema é que se alguém tem acesso LOCAL a
>>> essa máquina, aí a coisa já fica bem mais complicada.
O que tem de empresa que instala um “PostgreSQL” ou “MySQL” default(com o usuário até tendo uma shell válida no passwd) tá fora do gibi. Acesso LOCAL irrestrito e ssh “dando mole” são os melhores ambientes…
basta conseguir um acesso e wget http://milw0rm.com/sploits/2009-wunderbar_emporium.tgz
E fora o pessoal que instala compiladores em servers de produção, ao invés de montar um ambiente de homologação que preste, onde dê para compilar os fontes(se for o caso), e depois transferir de máquina….
Viva os 0days! o/
af_ipx.c
Quem é que ainda usa soquetes IPX? A propósito:
https://bugzilla.redhat.com/show_bug.cgi?id=516949#c24
Hi,
As following modules are affected by this “Linux Kernel ‘sock_sendpage()’ NULL Pointer Dereference Vulnerability” which is very critical, could you please let us know when the fix for this will be available on RHEL 4.X and RHEL5.X Updates.
The affected module includes PF_APPLETALK, PF_IPX, PF_IRDA, PF_X25 and PF_AX25 families.
Initializations were missing in other protocols, including PF_BLUETOOTH, PF_IUCV, PF_INET6 (with IPPROTO_SCTP), PF_PPPOX and PF_ISDN.
Affected Kernel Modules
=======================
ipx.ko
irda.ko
x25.ko
ax25.ko
bluetooth.ko
sctp.ko
pppoe.ko
pppox.ko
appletalk.ko
Thanks & Regards
-Raghu.
O problema não é só do pessoal que instala compiladores em servers de produção, mas também das empresas que não fornecem ambientes de homologação porque não querem “desperdiçar” uma máquina. Acredite, eu já vi até mesmo empresas sem servidores de testes, obrigando os desenvolvedores a fazer tudo no servidor de produção (!!!).
Este bug ja eh do mes passado, ja foi noticiado aqui no br-linux.
Creio que o a renoticia fora dos canais apropriados serve apenas para alarde. Ja que a idade que o bug existe não tem nada de importante.
Creio que somente para gerar flame, ja que como iremos saber se uma falha do MacOS não existe desde o Apple 2 ou do “Uindows” não existe desde o NT 4, ja que não divulgam maiores detalhes.
O bug noticiado hoje data de 13 de agosto, quinta-feira passada. O do mês passado era outro: http://br-linux.org/2009/exploit-para-o-kernel-linux-2630/
Não creio que a situação do Mac OS, do Windows, do BSD ou do AmigaOS tenha qualquer participação no processo de aferir a importância de uma notícia sobre uma vulnerabilidade do Linux, a não ser sob um ponto de vista puramente comparativo, que ignore a segurança efetiva dos sistemas em que o código vulnerável estiver instalado.
O importante mesmo é que tão logo a falha foi descoberta, ela já foi corrigida.
já conheci alguns script kiddies br que sabem muito mais do que estes programadores que comentam nestes sites a fora rsrs
e nem são considerados os verdadeiros h4x0rs!!! rsrs
pena que script kiddies são geralmente adolescentes e muito mal educados, também tem “nojinho” de comentar em certos websites …
mas de boa, o que vale é participar!
so não tentem fritar um ovo com site aqui rsrs
Nota: eu não sei de nada também :P
Levou 8 anos para ser descoberta, e ainda por cima foi descoberta por uma pessoa de fora. 8 anos é uma marca que supera a Microsoft, agora sim, podemos celebrar que superamos
a Microsoft.
Para os arqueólogos de plantão, que tal um bug de 25 anos? ou 33 anos? http://devlog.waltercruz.com/bugs-antigos-bsd-unix-corrigidos
Mesmo somando todos os caras (ipx, x25, bluetooth, pppoe e appletalk) dá um número ridículo de servidores afetados em produção…
O Augusto é chato, heim. Hehehe… eu concordo com o builder. Quando eu li o título, pensei que fosse uma vulnerabilidade que já se sabia há 8 anos. Achei que levaram 8 anos para corrigi-la depois de sua descoberta. O título da notícia é sim sensacionalista.
Curiosidade apenas, ví que o Debian stable corrigiu no dia 14/08. O Fedora 11 também.
Agora a dúvida, o RHEL 5 ainda não tem correção ?
Felipe, o título da notícia é objetivo e dá destaque a algo que diferencia esta falha recém-corrigida.
Sensacionalismo em meios de comunicação, aqui no meu dicionário (recente), é “uso e efeito de assuntos sensacionais, capazes de causar impacto, de chocar a opinião pública, sem que haja qualquer preocupação com a veracidade” (com grifo meu).
No caso específico, a atenção à veracidade se faz presente (exceto da parte de quem aparentemente preferiria ver a notícia publicada de forma “atenuada”, ou sem dar destaque ao que a diferencia), e a estupefação se dá (nos casos em que ocorre) pelo fato em si, e não por uma cobertura que exagere algum detalhe.
Abro uma exceção para os casos de quem forma opinião sobre a notícia ao ler apenas o título dela, e dele entende algo que ele não afirma. Mas sobre estes casos eu pouco posso fazer, exceto ficar aqui ajudando a interpretar o texto – ou, mais especificamente, a não interpretarem o que ele não diz e nem dá a entender.
Mas se existe e não foi descoberto é a mesma situação do Linux. Por que no Linux não é importante ter falha sem ser descoberta e no Windows é importante? Não podemos ter dois pesos e duas medidas.
Parece que o Ubuntu já tem uma correção “nativa” (isto é, o kernel está configurado para não usar mmap para páginas baixas).
$ cat /proc/sys/vm/mmap_min_addr
65536
Xis,
O que o Mark disse sobre o Ubuntu também é válido para o RHEL 5/CentOS 5. Ambos são configurados por padrão com mmap_min_addr maior que 0 e, portanto, não são vulneráveis.
Para os usuários desses sistemas que também usam o SELinux, existem algumas observações em http://kbase.redhat.com/faq/docs/DOC-18042.
Os novos pacotes do kernel com a correção definitiva deverá sair em breve. Você poderá acompanhar o quadro de atualizações do RHEL 5 em https://rhn.redhat.com/errata/rhel-server-errata.html.
Apesar de não poder confirmar, existem rumores de que o RHEL 4 e o CentOS 4 são vulneráveis.
Corrigindo meu comentário anterior, a vulnerabilidade pode ser explorada inclusive nos sistemas em que /proc/sys/vm/mmap_min_addr > 0. No caso do RHEL/CentOS existe uma solução paliativa descrita em http://kbase.redhat.com/faq/docs/DOC-18065.