0-Day-Exploit ermöglicht root-Rechte: Linux-Kernel 2.6.x betroffen

[fritz]

hier gelesen:
http://www.tecchannel.de/news/themen/li ... index.html

http://www.securityfocus.com/bid/18992

[flo]

coole Sache ... funktioniert :-(

Wenigstens habe ich durch Deinen Post endlich einen Workaround gefunden und mich dabei gefragt, warum ich /proc eigentlich immer default-gemounted habe.

merci. :-)

flo.

[blnsnoopy26]

Interessanter Stoff.

Ob es auch funzt, wenn gcc generell verboten is für ottonormal User?

Code: Select all

user@linux:~> gcc
-bash: /usr/bin/gcc: Keine Berechtigung

im im grsec /proc restriction einkompiliert wurde...
Habs noch nicht ausprobiert, daher frage ich hier mal.

[wgot]

Hallo,

Ob es auch funzt, wenn gcc generell verboten is für ottonormal User?

wenn man's nicht compilieren kann wird's auch nicht laufen. :lol: Aber was spricht dagegen auf einer anderen Kiste zu compilieren und direkt das Binary hochzuladen?

Ist in 2.6.17.5 gefixt (seit gestern verfügbar).

Ich finde es nicht besonders erfreulich daß am gleichen Tag an dem der Bugfix verfügbar ist eine idiotensichere Anleitung veröffentlich wird die jeder Webspacekunde mit SSH im Paket mal eben abtippen kann und dann auch noch den Hinweis wegzulassen daß gefixte Kernelsourcen verfügbar sind.

Gruß, Wolfgang

[blnsnoopy26]

Hallo,

Ob es auch funzt, wenn gcc generell verboten is für ottonormal User?

wenn man's nicht compilieren kann wird's auch nicht laufen. :lol: Aber was spricht dagegen auf einer anderen Kiste zu compilieren und direkt das Binary hochzuladen?

Gruß, Wolfgang

Stimmt auch wieder , aber ist mir hinterher dann auch eingefallen :-D

Werd mir dann die neuen Kernel Sourcen laden, aber dafür gibs leider noch kein grsec :? Ich hoffe mal es, das es schnell nachgereicht wird.

Es gibt ja schon Kernelversion 2.6.17.6 :roll:

[captaincrunch]

Ich finde es nicht besonders erfreulich daß am gleichen Tag an dem der Bugfix verfügbar ist eine idiotensichere Anleitung veröffentlich wird die jeder Webspacekunde mit SSH im Paket mal eben abtippen kann und dann auch noch den Hinweis wegzulassen daß gefixte Kernelsourcen verfügbar sind.

Nicht erfreulich? Sicherlich, aber irgendwo war's ja auch nicht anders zu erwarten. Immerhin kommt es ja groß in Mode, sich mal eben einen Linux-Server zu ordern. Ob man Ahnung davin hat oder nicht ist ja egal, Confixx, Plesk etc. regeln ja schließlich alles.
Da es mittlerweile ja auch etwas langweilig ist, ständig über neue Lücken und Exploits im IE zu berichten, schlägt ein solcher "we're 1337 h4x0rs"-Bericht doch richtig effektiv ein. Linus und Co. bekleckern sich jedenfalls einmal mehr nicht mit Ruhm, wenn es an die Sicherheit des Kernels geht. Wohl dem, der momentan auf die stinknormalen Kernelpakete seiner Distribution setzt, immerhin übernehmen die das bauen für einen. ;)

Abgesehen davon nennt der TecChannel-Bericht aber immerhin einen potentiellen Workaround. Wer darüber hinaus nicht in der Lage ist, seine Maschine ansonsten grundlegend abzusichern (wie z.B. die gcc-Maßnahme), hat somit wenigstens einen Anhaltspunkt. Ich befürchte aber (bzw. orakle sogar), dass innerhalb der nächsten Zeit wieder einmal eine kleine "Hilfe, mein Server wurde gehackt"-Welle über uns hinwegrollen wird.

EDIT: Ich habe gerade eben noch einmal etwas genauer gelesen, wobei mir wie Schuppen von den Augen fiel, dass die Lücke nur dann ausgenutzt werden kann, wenn der Kernel noch mit a.out arbeiten kann. Wer das noch aktiviert hat ist ohnehin selbst Schuld. :P

[flo]

im im grsec /proc restriction einkompiliert wurde...
Habs noch nicht ausprobiert, daher frage ich hier mal.

ich habs gestern noch ausprobiert :-(

Kompiliert habe ich allerdings als root, weil ich den gcc bei mir auch nicht für alle verfügbar habe. Das Ding ist definitiv ernst.

flo.

[blnsnoopy26]

Ich habe jetzt mir ein neuen Kernel gebacken und läuft jetzt mit dem neuen, aber leider ohne grsec :?

Code: Select all

Linux linux 2.6.17.6-default #1 Sun Jul 16 10:53:38 CEST 2006 i686 athlon i386 GNU/Linux

Aber immer noch besser als mit dem Exploit zu leben.

[zg0re]

Also bei mir hatte der exploit nicht funktioniert mit 2.6.14-hardened von gentoo (grsec auf höchster Stufe - kompiliert als root und ausgeführt als normaler user). Gab trotzdem nen update von gentoo :)

[flo]

Also bei mir hatte der exploit nicht funktioniert mit 2.6.14-hardened von gentoo

Wo kriegt man diese Kernel-Sourcen eigentlich her, wenn man kein Gentoo benutzt? Nur mal so am Rande ...

flo.

[spasswolf]

Für den Exploit braucht man ja aout Unterstützung im Kernel, gibt es eigentlich irgendwelche Programme für die man die noch braucht ?

[oxygen]

Für den Exploit braucht man ja aout Unterstützung im Kernel, gibt es eigentlich irgendwelche Programme für die man die noch braucht ?

Für diesen Exploit braucht man das, aber zum Ausnutzten der Sicherheitslücke nicht...

[wgot]

Hallo,

Nicht erfreulich?

da sind mir zuhause schon ein paar andere Ausdrücke rausgerutscht, aber die passen nicht in in seriöses Forum. :roll:

Wohl dem, der momentan auf die stinknormalen Kernelpakete seiner Distribution setzt, immerhin übernehmen die das bauen für einen.

wie schnell?

Auf dem Updateserver eines (auch hier) sehr bekannten Providers liegt erfreulicherweise seit gestern ca. 19 Uhr ein fertig compilierter 2.6.17.5 bereit, ich hab ihn mal ausgepackt und die config angesehen:

Code: Select all

AOUT=m

:oops:

"Hilfe, mein Server wurde gehackt"-Welle

Der Spezialist mit Linux 8.0 und 40 Kunden hat zumindest das heute diskutierte Problem nicht, der müßte Kernel 2.4 haben. :lol:

Gruß, Wolfgang

[flo]

Der Spezialist mit Linux 8.0 und 40 Kunden hat zumindest das heute diskutierte Problem nicht, der müßte Kernel 2.4 haben. :lol:

... wenn er das Problem noch nicht behoben hat, hat er wohl auch keine 40 Kunden mehr ...

[oxygen]

Auf dem Updateserver eines (auch hier) sehr bekannten Providers liegt erfreulicherweise seit gestern ca. 19 Uhr ein fertig compilierter 2.6.17.5 bereit, ich hab ihn mal ausgepackt und die config angesehen:

Code: Select all

AOUT=m

:oops:

Die Unterstützung des a.out Format hat nichts mit der Sicherheitslücke zu tun. Wenn du dich dadurch sicherer fühlst ->

Code: Select all

find / -type f binfmt_aout.ko | xargs rm -f

[athlux]

Ich habe jetzt mir ein neuen Kernel gebacken und läuft jetzt mit dem neuen, aber leider ohne grsec :?

Code: Select all

Linux linux 2.6.17.6-default #1 Sun Jul 16 10:53:38 CEST 2006 i686 athlon i386 GNU/Linux

Aber immer noch besser als mit dem Exploit zu leben.

Mit 2.6.17.5 läuft der Patch von grsec zumindest durch. Aber von grsec gibt es auch schon lange keine "offizielle" Versionen mehr. Irgendwie auch nicht gerade vertrauenserweckend. Aber bei der schnellen Kernel-Entwicklung auch kein Wunder.

[blnsnoopy26]

Ich habe jetzt mir ein neuen Kernel gebacken und läuft jetzt mit dem neuen, aber leider ohne grsec :?

Code: Select all

Linux linux 2.6.17.6-default #1 Sun Jul 16 10:53:38 CEST 2006 i686 athlon i386 GNU/Linux

Aber immer noch besser als mit dem Exploit zu leben.

Mit 2.6.17.5 läuft der Patch von grsec zumindest durch. Aber von grsec gibt es auch schon lange keine "offizielle" Versionen mehr. Irgendwie auch nicht gerade vertrauenserweckend. Aber bei der schnellen Kernel-Entwicklung auch kein Wunder.

Funzt das Kompilieren selbst auch und bootet der Kernel dann auch?
Weil dann würde ich mir 2.6.17.5 + grsec installieren.

Ja ich schaue auch immer auf der grsecurity webseite, aber da passiert nicht viel, aber wie du schon sagtest... wenn da fast täglich ein neuer Kernel rauskommt, dann kommen die jungs da auch nicht hinterher.... da haben die nen Patch fertig und gibt dann wieder neuere Kernelversionen.

Naja bleibt abzuwarten, ob da noch was passiert.

[athlux]

Funzt das Kompilieren selbst auch und bootet der Kernel dann auch?
Weil dann würde ich mir 2.6.17.5 + grsec installieren.

Also bei mir bootet der Rechner danach wieder problemlos.
Wird auch teilweise auf deine Kernel-Optionen ankommen.

mv linux-2.6.17.6 linux-2.6.17.4
patch -p0 --dry-run grsecurity-2.1.9-2.6.17.4-200607120947.patch

Den Patch findet man unter
http://www.grsecurity.net/~spender/

Bei mir bootet das System dann wie schon gesagt problemlos wieder hoch. Laut Forum sollte man aber nicht "Prevent invalid userland pointer dereference" aktiviert haben, da scheint es noch Probleme geben.

[blnsnoopy26]

Funzt das Kompilieren selbst auch und bootet der Kernel dann auch?
Weil dann würde ich mir 2.6.17.5 + grsec installieren.

Also bei mir bootet der Rechner danach wieder problemlos.
Wird auch teilweise auf deine Kernel-Optionen ankommen.

mv linux-2.6.17.6 linux-2.6.17.4
patch -p0 --dry-run grsecurity-2.1.9-2.6.17.4-200607120947.patch

Den Patch findet man unter
http://www.grsecurity.net/~spender/

Bei mir bootet das System dann wie schon gesagt problemlos wieder hoch. Laut Forum sollte man aber nicht "Prevent invalid userland pointer dereference" aktiviert haben, da scheint es noch Probleme geben.

Riskantes unterfangen, weil ich keine Remotekonsole habe, fals er dann doch nicht mehr hochkommt und dann wirds teuer für mich.

Wo wird das "Prevent invalid userland pointer dereference" aktiviert/deaktiviert? in den grsec einstellungen finde ich dazu nichts.

[wgot]

Hallo,

Die Unterstützung des a.out Format hat nichts mit der Sicherheitslücke zu tun.

schon klar, mir ging's um etwas ganz anderes: wie das Beispiel mit dem Providerkernel zeigt sind es eben nicht nur ein paar ungepflegte Server auf denen der Exploit nach dem Kochrezept funktioniert sondern eine ganze Menge. Ich gehe davon aus daß ein großer Teil der Kunden (sofern er überhaupt regelmäßig updatet) den Service dankbar annimmt.

Auch ist es selbstverständlich daß es einige Stunden dauert bis ein Provider ein Update bereitstellen kann und dann nochmal viel mehr Stunden bis die Kunden so nach und nach das Update installieren.

Würde a.out konsequent deaktiviert erscheint der nächste Exploit in einem anderen Format.

Gruß, Wolfgang

[daemotron]

Wo kriegt man diese Kernel-Sourcen eigentlich her, wenn man kein Gentoo benutzt? Nur mal so am Rande ...

So an einem Stück nicht... Auf den Gentoo-Servern stehen die Sourcen für den 2.6.16 bereit, zusammen mit zwei Patch-Paketen:

Code: Select all

linux-2.6.16.tar.bz2
hardened-patches-2.6.16-8.extras.tar.bz2
genpatches-2.6.16-14.base.tar.bz2

emerge übernimmt dann das patchen... Wenn's Dir weiterhilft, die genannten Dateien finden sich z. B. auf dem im distfiles-Verzeichnis (hier der Mesh Solutions Mirror)

[EDIT 1] Von genpatches ist heute ne neue Version rausgekommen => genpatches-2.6.16-15.base.tar.bz2

[EDIT 2] Hab die hardened Kernel-Sourcen mal emerged und dann in ein Archiv gepackt. Steht unter ftp.my-universe.com zum downloaden bereit.

[athlux]

Riskantes unterfangen, weil ich keine Remotekonsole habe, fals er dann doch nicht mehr hochkommt und dann wirds teuer für mich.

Falls du lilo benutzt kannst du mit "lilo -R kernelname" dafür sorgen das der neue Kernel explizit nach dem nächsten Reboot gestartet wird.
Sollte der nicht Booten reicht ein einfaches Reset und der Alte bootet wieder.

Für grub gibts es imho keine solche Option.

Ich hoffe doch dein Hoster stellt dir einmal auf den "Reset" Knopf drücken nicht gleich in Rechnung. Der Nachteil ist aber wenn du kein Automatisches-Reset hast bist du auf die Support-Zeiten des Hosters angewiesen.

Wo wird das "Prevent invalid userland pointer dereference" aktiviert/deaktiviert? in den grsec einstellungen finde ich dazu nichts.

Das ist bei den PAX-Features als Option zu finden. Versteckt sich hinter dem Menüpunkt "Miscellaneous hardening features --->"

[blnsnoopy26]

Riskantes unterfangen, weil ich keine Remotekonsole habe, fals er dann doch nicht mehr hochkommt und dann wirds teuer für mich.

Falls du lilo benutzt kannst du mit "lilo -R kernelname" dafür sorgen das der neue Kernel explizit nach dem nächsten Reboot gestartet wird.
Sollte der nicht Booten reicht ein einfaches Reset und der Alte bootet wieder.

Für grub gibts es imho keine solche Option.

Ich hoffe doch dein Hoster stellt dir einmal auf den "Reset" Knopf drücken nicht gleich in Rechnung. Der Nachteil ist aber wenn du kein Automatisches-Reset hast bist du auf die Support-Zeiten des Hosters angewiesen.

Wo wird das "Prevent invalid userland pointer dereference" aktiviert/deaktiviert? in den grsec einstellungen finde ich dazu nichts.

Das ist bei den PAX-Features als Option zu finden. Versteckt sich hinter dem Menüpunkt "Miscellaneous hardening features --->"

Ich benutze Grub als Bootloader, also kommt dies nicht für mich in frage. Der Reset ist kostenlos, nur wenn ich meinem Hoster sagen muss, das er den anderen Kernel wieder einbinden muss, dann kostet mich das 15 € / 30 Min. (Remote Hand)

Rebooten tu ich immer mit "shutdown -r now" und dann kommt er auch von selber wieder hoch, wenn alles richtig geklappt hat.

Die PAX Optionen habe ich eh immer aussen vor gelassen.
Werd mir das ganze mal genau anschauen.

[flo]

[EDIT 2] Hab die hardened Kernel-Sourcen mal emerged und dann in ein Archiv gepackt. Steht unter ftp.my-universe.com zum downloaden bereit.

Danke - das kann ich mir je gleich mal anschauen ... :-)

flo.

[blnsnoopy26]

Habe es mal Compiliert, aber da gab es soviel Warnings und Errors - selbst dann bei der Ramdisk erstellung, das ich das lieber sein lasse.

Hätte ich ne Remote Konsole würde ich sagen scheiss drauf, weil kann es ja dann rückgängig machen, aber so würde es für mich teuer werden - da warte ich lieber bis Offiziell auf der Seite der neue grsec Patch angekündigt wird.

Ist mir dann doch eine Nummer zu heiss und ein langen ausfall kann ich mir da auch nicht leisten :? :roll: