[FYI] Neue Lücke(n) Im Kernel

[captaincrunch]

http://lists.netsys.com/pipermail/full- ... 24759.html

Paul Starzetz hat einmal mehr neue Lücken im Linux-Kernel aufgedeckt. Immerhin schlägt der beigelegte POC auf Systemen mit "meinem" 2.4.26er-Kernel fehl (da ohne MTRR kompiliert). Es ist allerdings wahrscheinlich, dass es noch andere Stellen im Kernel gibt, die für diese Geschichte anfällig sind.

[thorsten]

besonders besorgniserregend:

We have found in an experiment that after the root user logged in using
ssh (in our case it was OpenSSH using PAM), the root passwort was keept
in kernel memory.

Meine kernel sind auch nicht anfällig und ohne grsec hätte ich noch mehr Bauchschmerzen :-/

[captaincrunch]

Meine kernel sind auch nicht anfällig

Sicher?

We have identified numerous places, where invalid conversions from 64 bit sized
file offsets to 32 bit ones as well as insecure access to the file
offset member variable take place.

und ohne grsec hätte ich noch mehr Bauchschmerzen

GRSec hat mit diesem Problem (leider einmal mehr) nichts zu tun, da es sich wieder einmal um schlampige Programmierung handelt, und nicht um Overflows o.ä.

Momentan ist die einzige Lösung, auf Bugfixes zu warten (oder halt selbst welche zu schreiben ;) ).

[thorsten]

Meine kernel sind auch nicht anfällig

Sicher?

Mein 'auch' bezog sich auch auf deine config - denn ich habe mtrr ebenfalls draußen.

We have identified numerous places, where invalid conversions from 64 bit sized
file offsets to 32 bit ones as well as insecure access to the file
offset member variable take place.

jo, ich habe es aufmerksam gelesen... :-/

und ohne grsec hätte ich noch mehr Bauchschmerzen

GRSec hat mit diesem Problem (leider einmal mehr) nichts zu tun, da es sich wieder einmal um schlampige Programmierung handelt, und nicht um Overflows o.ä.

Momentan ist die einzige Lösung, auf Bugfixes zu warten (oder halt selbst welche zu schreiben ;) ).

right - ich hätte mir bei der Formulierung mehr Zeit nehmen sollen.

Wer weiß wie viele Lücken noch auftauchen, oder gar schon aktiv ausgenutzt werden?
Daher mein statement 'ohne grsec ... noch mehr Bauschmerzen'

Ich bin leider leider nicht in der Lage ein Bugfix zu schreiben, deswegen lese ich ebenfalls bugtraq und versuche mit grsec und anderen Mitteln meine betreuten Systeme abzusichern...

[captaincrunch]

Ich bin leider leider nicht in der Lage ein Bugfix zu schreiben, deswegen lese ich ebenfalls bugtraq und versuche mit grsec und anderen Mitteln meine betreuten Systeme abzusichern...

Genau hier liegt das Problem: für dieses eine Problem wäre ein Fix keine allzu große Sache, um alles zu fixen, müsstest du aber

a) genau wissen, wo die weiteren Stellen "verborgen" sind, oder
b) die gesamten Kernelsourcen selbst durchstöbern, um weitere Stellen zu finden.

Der gute Paul hat aber im allgemeinen keine großen Probleme damit, auf persönliche Anfrage hin weitere Details bekannt zu geben, daher dürfte sich a) gar nicht mal soo schwer gestalten (natürlich wiederum vorausgesetzt, dass er bereits "alle" Stellen gefunden hat ;) ).

[dodolin]

Ã?h, nur um das klarzustellen:

da es sich wieder einmal um schlampige Programmierung handelt, und nicht um Overflows o.ä.

Overflows sind schlampige Programmierung. ;)

Edit: Wobei ich den Eindruck habe, als würde GRSec und Co. hauptsächlich gegen Fehler in den Anwendungen helfen, eher weniger, wenn im Kernel selbst Sch.eiße gebaut wird.

[captaincrunch]

Overflows sind schlampige Programmierung.

OK, gewonnen. ;)

Edit: Wobei ich den Eindruck habe, als würde GRSec und Co. hauptsächlich gegen Fehler in den Anwendungen helfen, eher weniger, wenn im Kernel selbst Sch.eiße gebaut wird.

Haargenau so sieht's aus. :roll:

Ich für meinen Teil mache mich aber mal dran, mit den soeben eingetroffenen Bugfixes neue Kernel zu basteln.

[captaincrunch]

So, es ist (endlich) so weit: die gefixten neuen Versionen stehen unter http://linux.roothell.org/kernel/ bereit. Die beiden Patches, die zum Einsatz kamen (i387.h und linux-2.4.26-CAN-2004-0415.patch) sind dort ebenfalls zu finden.

Die IPv6-Version ist mittlerweile auf einem Rechner wenigstens hochgekommen, aber noch nicht ausgiebig gestetet. Nutzung daher (wie immer ;) ) auf eigene Gefahr.

[pf4]

Bisher 0 Probs !

[Joe User]

Bisher 0 Probs !

Sorry, aber Du hast offensichtlich nicht verstanden, worum es in diesem Thread geht, sonst hättest Du Dir diesen überflüssigen Kommentar verkniffen.

[andreask2]

Für gentoo gibt es seit gestern auch gepatchte Kernelsourcen, grsec z.B. hier: http://packages.gentoo.org/ebuilds/?grs ... .26.2.0-r7

Grüße
Andreas

[pf4]

Bisher 0 Probs !

Sorry, aber Du hast offensichtlich nicht verstanden, worum es in diesem Thread geht, sonst hättest Du Dir diesen überflüssigen Kommentar verkniffen.

Ich wollte damit nur zum Ausdruck bringn das der CC-Kernel ohne Probleme läuft !
Die Aussage von CC gab mir den Eindruck, er möchte eine Rückmeldung !

Sonst lösche den Beitrag eben

[Joe User]

Die Aussage von CC gab mir den Eindruck, er möchte eine Rückmeldung !

Feedback ist durchaus erwünscht, nur hätte es in diesem Fall, da lediglich ein kleiner Bug (Anzahl der Zeilen) beseitigt wurde, inhaltlich folgendermassen lauten sollen: "Der Exploit ist mit Deinem Kernel auf meinem woody|sarge nicht mehr nutzbar."

HTH

[captaincrunch]

"Der Exploit ist mit Deinem Kernel auf meinem woody|sarge nicht mehr nutzbar."

Der bereits existierende POC war mit "meinen" bisherigen Kerneln auch nicht ausnutzbar, da kein MTRR einkompiliert war. ;) Ich bin ehrlich gesagt selbst gespannt, was da noch so kommt...und ob das wirklich alles (für dieses Problem) war.

Der Patch habe ich im übrigen aus dem Gentoo-Hardened Projekt, wobei die Jungs anscheinend den bereits existierenden RedHat-Patch auf 2.4.26 "portiert" haben.
Ich hätte mir allerdings nie träumen lassen, einen Bugfix mal schneller als Debian zu veröffentlichen. ;)

[Joe User]

Ich bin ehrlich gesagt selbst gespannt, was da noch so kommt...und ob das wirklich alles (für dieses Problem) war.

Da bisher weder 2.4.27, noch 2.6.8 relaesed wurden, befürchte ich, dass es noch ein paar andere schwerwiegende Probleme zu beheben gilt.

Der Patch habe ich im übrigen aus dem Gentoo-Hardened Projekt, wobei die Jungs anscheinend den bereits existierenden RedHat-Patch auf 2.4.26 "portiert" haben.

Externe Quellen werden im Changelog und/oder Patchnamen genannt.

Ich hätte mir allerdings nie träumen lassen, einen Bugfix mal schneller als Debian zu veröffentlichen. ;)

;)

[captaincrunch]

Da bisher weder 2.4.27, noch 2.6.8 relaesed wurden, befürchte ich, dass es noch ein paar andere schwerwiegende Probleme zu beheben gilt.

...die aber nichts zwangsläufig etwas mit diesen Busg zu tun haben müssen. ;) Marcello ist halt seit einiger Zeit etwas "vorsichtiher" geworden, was seine Releasezyklen angeht.

[Joe User]

Zumindest im 2.4.27 sind mitlerweile mehrere sicherheitsrelevante Bugs behoben worden, welche jeder für sich selbst ein eigenes Release wert ist/war. Otto Normal schaut schliesslich, wenn überhaupt, nur auf die Versionsnummer, statt ins Changelog und betreibt dadurch seit Monaten eine "offene Kiste". Da ist mir ein Versionbump pro Woche lieber...

[crasline]

nun ist ja 2.4.27 released worden ..

[andreask2]

Und auch das passende grsec-patch, entsprechend auch grsec-sourcen von Gentoo.

[crasline]

irgendwie wunderts mich das CC noch nix dazu gesagt hat ;)

[captaincrunch]

Da kein zwingender Grund besteht, zeitnah den 2.4.27er inkl. GRSec rauszubringen (die nötigen Patches sind in der aktuellen Version enthalten), teste ich das ganze vorher halt noch etwas durch...das sollte schließlich auch im Sinne derjenigen sein, die das Ding nachher im Produktiveinsatz haben.

[Outlaw]

nun ist ja 2.4.27 released worden ..

Nur 1&1 scheint das (noch) nicht zu interessieren, konnte keinen Kernel dieser Version dort finden ....

Gruß Outi

[Joe User]

Kein Wunder, denn 1&1 pflegt lediglich das jeweils aktuelle Installationsimage und dieses basiert auf SuSE 9.1, d.h. Linux-2.6.x ;)

[Outlaw]

Und nu ?? Wat kann ich machen ?? Selbst kompilieren ??

Ich habe meinen letzten Kernel vor ca. 8 Jahren gebacken, trau mich net so recht an nen Rootserver Kernel (ausser nen fertigen austauschen).

Gruß Outi

[sascha]

Und nu ?? Wat kann ich machen ?? Selbst kompilieren ??

Jepp.

Einfach die alte 1&1 config als .config ins neue Sourcen Verzeichnis kopieren, make oldconfig und dann wie üblich backen & installieren. So sollte es eigentlich klappen. :)