Der nächste Kernel-Bug

[captaincrunch]

Anscheinend haben die Kernel-Gurus immer noch nicht genau hingesehen:
http://isec.pl/vulnerabilities/isec-001 ... -unmap.txt

Jetzt bleibt's spannend, ob zuerst Exploits oder Bugfixes rauskommen. ;)

EDIT: RedHat hat schon Updates draußen.

[pf4]

@CaptainCrunch

wird der Bug immernoch durch die GRsec Patches abgedeckt oder kommt nen neuer Rootforums_kernel ?

Vielleicht gleich 2.6 ?

[captaincrunch]

1. Auch der alte Bug fing nur die bekannten Exploits ab, was noch keine 100%ige Garantie dafür ist, dass der "alte" Debianhowto-Kernel (2.4.23) nicht betroffen war/ist.

2. In diesem Fall hilft GRSecurity ziemlich haargenau nichts, der Kernel ist verwundbar.

Daher wird's wohl (ich hoffe heute noch) einen gepatchten 2.4.24er geben. Den 2.6er habe ich selbst noch so gut wie gar nicht getestet, daher wird's den auch so schnell nicht von mir geben. ;)

[pf4]

Du meintest 2.4.25 oder ?

[captaincrunch]

Nö, 2.4.25 ist noch (AFAIK) im -RC-4-Status. ;)

Daher: gepatchter 2.4.24

[flolein]

2.4.25 ist bereits draußen.

final:

- 2.4.25-rc4 was released as 2.4.25 with no changes.


Summary of changes from v2.4.25-rc3 to v2.4.25-rc4
============================================

<davem:nuts.davemloft.net>:
o [SPARC64]: Fix build with sysctl disabled

<marcelo:logos.cnet>:
o Changed EXTRAVERSION to -rc4

Andrea Arcangeli:
o Return proper do_munmap() error code

Hideaki Yoshifuji:
o [NETFILTER]: Better verification of TCP header len in ip{,6}_tables.c

[pf4]

Also laut Kernel.org is der 2.4.25 Stable.

EDIT :zu spät

[captaincrunch]

Danke für den Hinweis. Als ich das letzte Mal geschaut habe, war der noch nicht draußen. :?

Mal schauen, ob sich der "alte" GRSecurity-Patch da halbwegs problemlos reinpatchen lässt.

EDIT: Für ein zeitnahes Bereitstellen des 2.4.25ers sind die Ã?nderungen zu groß, der Patch hat zu viele Rejects, die ich nicht innerhalb kurzer Zeit fixen kann. Daher wird's wohl erstmal wieder der 2.4.24er.

[pf4]

Wie sieht es mit der 2 noch gefunden Fehler in der gleichen function die auch noch in 2.5.25 und früher vorhanden sein soll ?

[captaincrunch]

Bei denen ist noch nicht sicher, ob sie "exploitable" sind, daher lässt sich dazu noch recht wenig sagen. Wenn sie es sind, dürfte das Spielchen wohl innerhalb der nächsten paar Tage von vorne losgehen. :?

Btw.: Die aktuellen Versionen liegen (noch) unter http://linux.roothell.org/kernel/ , da ich sie momentan leider nicht auf den Debianhowto-Server bringen kann.

[pf4]

Wieder ein Modules spielchen wie beim letzen Kernel ?

Spiele mal versuchskaninchen


Wieder keine 100 Tage uptime mist !

[captaincrunch]

Nein, sofern du den 2.4.23er oder schon den 2.4.24er drauf hast, sind keine Probleme zu erwarten. Die ersten "Erfolgsmeldungen" (inkl. fehlgeschlagenem Proof of Concpt) habe ich schon. ;)

[pf4]

Server läuft wieder.


Der exploid geht nimmer. Danke Cap

[firefox747]

Ich glaub ich bin Blind. Wo finde ich denn den Patch für den 2.4.24er?

[flolein]

patch = update auf 2.4.25.

[captaincrunch]

Nicht wirklich: http://cr0.org/mremap_newvuln.patch

[firefox747]

Ja, genau den hab ich gesucht. Danke CC

[captaincrunch]

Ich hoffe nur, dass Linus und Co. diesmal etwas genauer hingeschaut haben, und wir wenigstens aus dieser Ecke der Sourcen ein wenig verschont bleiben...

[crasline]

Daher: gepatchter 2.4.24

[..]


Nein, sofern du den 2.4.23er oder schon den 2.4.24er drauf hast, sind keine Probleme zu erwarten. Die ersten "Erfolgsmeldungen" (inkl. fehlgeschlagenem Proof of Concpt) habe ich schon.

Wozu willst du denn einen gepatchten 2.4.24er, wenn doch der Debianhowtokernel nach deinen Aussagen (ist doch wie ich mich erinnere der 2.4.23) nicht betroffen ist? Ebenso .. wieso einen Patchen wenn keine Probleme zu erwarten sind? .. Sorry, irgendwie komm ich mit deinen Gedankensprüngen nicht hinterher .. :)

[pf4]

Er meint das er den neuen mit dem Exploid getestet hat und nix passiert ist.


Mal ne andere frage, wird Apache 1.3.xx nimmer von Debian supportet oder wurden einfach keine Lücken mehr entdeckt

[crasline]

hm .. also wenn man http://lists.netsys.com/pipermail/full- ... 17498.html ausführt und in der a.out dann kernel may not be vulnerable drin stehen hat, is man dann ja scheinbar auf der (bereits) sicheren Seite .. oder siehste das anders CC?

[captaincrunch]

Wozu willst du denn einen gepatchten 2.4.24er, wenn doch der Debianhowtokernel nach deinen Aussagen (ist doch wie ich mich erinnere der 2.4.23) nicht betroffen ist?

Die von dir zitierte Aussage bezog sich auf die Frage, ob es Probleme beim Reboot geben könnte, daher bezog sich diese Antowrt ausschließlich darauf. In einem meiner ersten Postings habe ich Stellung zur Gefährdung gegeben, und gesagt, dass die bisherigen Kernel betroffen sind. ;)

[phantom]

Hat sich noch irgendwas seit CCs 23er-Kernel verändert? Der WebObjects Task Daemon verabschiedet sich seit dem Update mit einem Segmentation Fault.

[phantom]

Code: Select all

/opt/Apple/Library/WebObjects/JavaApplications/wotaskd.woa/wotaskd

Reading UNIXClassPath.txt ...
Launching wotaskd.woa ...
java -DWORootDirectory="/opt/Apple" -DWOLocalRootDirectory="/opt/Apple/Local" -DWOUserDirectory="/opt/Apple/Library/WebObjects/Executables" -DWOEnvClassPath="" -DWOApplicationClass=Application -DWOPlatform=UNIX -Dcom.webobjects.pid=1134 -DWOAllowRapidTurnaround=false -classpath WOBootstrap.jar com.webobjects._bootstrap.WOBootstrap
appRoot is /opt/Apple/Library/WebObjects/JavaApplications/wotaskd.woa/Contents
Loading /opt/Apple/Library/WebObjects/JavaApplications/wotaskd.woa/Contents/UNIX/UNIXClassPath.txt
Generated classpath: 
  /opt/Apple/Library/WebObjects/JavaApplications/wotaskd.woa/Contents/Resources/Java/wotaskd.jar
  /opt/Apple/Library/PrivateFrameworks/JavaMonitor.framework/Resources/Java/javamonitor.jar
  /opt/Apple/Library/Frameworks/JavaFoundation.framework/Resources/Java/javafoundation.jar
  /opt/Apple/Library/Frameworks/JavaWOExtensions.framework/Resources/Java/JavaWOExtensions.jar
  /opt/Apple/Library/Frameworks/JavaEOControl.framework/Resources/Java/javaeocontrol.jar
  /opt/Apple/Library/Frameworks/JavaWebObjects.framework/Resources/Java/javawebobjects.jar
  /opt/Apple/Library/Frameworks/JavaXML.framework/Resources/Java/javaxml.jar
  /root/Library/Java
  /opt/Apple/Local/Library/Java
  /opt/Apple/Library/Java/
  /Network/Library/Java
  /opt/Apple/Library/Frameworks/JavaVM.framework/Classes/classes.jar
  /opt/Apple/Library/Frameworks/JavaVM.framework/Classes/ui.jar
  /opt/Apple/Local/Library/WebObjects/Extensions/avalon-framework-4.1.2.jar
  /opt/Apple/Local/Library/WebObjects/Extensions/axis-ant.jar
  /opt/Apple/Local/Library/WebObjects/Extensions/axis.jar
  /opt/Apple/Local/Library/WebObjects/Extensions/jaxrpc.jar
  /opt/Apple/Local/Library/WebObjects/Extensions/logkit-1.0.1.jar
  /opt/Apple/Local/Library/WebObjects/Extensions/commons-discovery.jar
  /opt/Apple/Local/Library/WebObjects/Extensions/commons-logging.jar
  /opt/Apple/Local/Library/WebObjects/Extensions/log4j-1.2.4.jar
  /opt/Apple/Local/Library/WebObjects/Extensions/saaj.jar
  /opt/Apple/Local/Library/WebObjects/Extensions/wsdl4j.jar
  /opt/Apple/Local/Library/WebObjects/Extensions/mm.mysql-2.0.14-bin.jar
  /opt/Apple/Local/Library/WebObjects/Extensions/
Segmentation fault

Irgendeine Idee?

[captaincrunch]

Java-Schrunz? Typischer Fehler, da Java Code zur Laufzeit erzeugt. Such mal nach chpax, eine andere Möglichkeit gibt's da kaum (außer, vernünftige Software zu nutzen ;) ).