Bug permite que usuários locais tenham acesso indevido de root
Falha afeta kernels Linux da versão 2.6.17 a 2.6.24.1 (para ver qual a sua versão, use o comando “uname -r”). Se você tem o vmsplice habilitado no kernel e dá acesso (por exemplo, via ssh) a usuários locais que possam executar código providenciado por eles mesmos, deve se preocupar. Enquanto não sair uma correção oficial, há uma alternativa não-oficial que pode ser rodada com o sistema operacional em execução, e que impede a exploração da falha (e o uso do vmsplice) até o próximo reboot. Detalhes no texto e link abaixo, de autoria do Gustavo Roberto.
“Esse é um texto superficial sobre um novo exploit usado para explorar a vmpslice. Tal exploit eleva os privilégios para root, a partir de um usuário local. Leitura imprescindível ao administradores de servidores.”
Enviado por Gustavo Roberto Rodrigues Gonçalves (gustavorobertuxΘgmail·com) – referência (gustavoroberto.blog.br).
@brlinuxblog
Feed RSS
Eu não tenho este modulo habilitado, pelo menos eles não esta na lista do modprobe -l.
Que tipo de modulo é este ? alguem tem mais informação ?
Esse bug foi noticiado em um comentário de ontem:
http://br-linux.org/2008/saiu-o-alpha-2-do-opensuse-110-veja-as-screenshots/#comment-1368
E já existe correção para todas as versões do Kernel desde ontem, poucas horas após a descoberta do bug:
Vide changelog das versões 2.6.24.2 – 2.6.23.16 – 2.6.22.18
http://www.kernel.org/pub/linux/kernel/v2.6/
Att,
Renato
O vmsplice não é um módulo. Ele é uma função para gerenciar a memória. Um buffer.
Att,
Renato
Pra quem usa Debian, basta um apt-get:
# apt-get install linux-image-2.6.18-6-686
Após a atualização:
user@pabx-teste:~$ ./teste
———————————–
Linux vmsplice Local Root Exploit
By qaaz
———————————–
[+] mmap: 0×0 .. 0×1000
[+] page: 0×0
[+] page: 0×20
[+] mmap: 0×4000 .. 0×5000
[+] page: 0×4000
[+] page: 0×4020
[+] mmap: 0×1000 .. 0×2000
[+] page: 0×1000
[+] mmap: 0xb7e23000 .. 0xb7e55000
[-] vmsplice: Bad address
user@pabx-teste:~$
????
O Kernel 2.6.18 não é afetado por essa vulnerabilidade, logo o Debian Etch não é afetado.
Att,
Renato
Bom…para quem anda “na crista da moda” como eu, ja pode baixar a nova versão (2.6.24.2) como eu ja o fiz e já estou usando-o, devidamente corrigido.
maiconfaria, aonde foi a mensagem no código:
* This is quite old code and I had to rewrite it to even compile.
* It should work well, but I don’t remeber original intent of all
* the code, so I’m not 100% sure about it. You’ve been warned ;)
que você não leu ou entendeu, que o bug já existia faz algum tempo? Não foi de “ontem” o Bug, Linux fanboy.
Yamane,
Do artigo: “Falha afeta kernels Linux da versão 2.6.17 a 2.6.24.1″. Ok, faltou a crase :) mas acho que ficou bem claro.
Instalei o Debian Etch (4.01) numa máquina de teste, compilei o exploit, rodei e tive acesso root imediatamente. Após a atualização do pacote linux-image-2.6.18-6-686 o exploit deixou de funcionar.
Boa noite pessoal,
Alguém poderia me dizer como é que posso descobrir se esse vmsplice está habilitado no meu Kernel?
Uso o Kernel 2.6.18.1 do Kurumin 7(baseado no Debian Etch)…
Em caso do vmsplice estar habilitado como resolvo o problema sem recompilar o Kernel?
Agradeço a atenção
Pois é, horas depois e todo mundo compilando ou instalando versão nova do kernel… agora imagina a concorrencia… “bug dá adminstrator local usando user32.dll”… 18 meses depois, sai o SPX ….
Pelo menos o Grsecurity conseguiu segurar essa :-)