[FYI] Sicherheitslücke im Kernel 2.4.22

[captaincrunch]

http://lists.netsys.com/pipermail/full- ... 14366.html

Anscheinend war genau das der Grund für den Einbruch in die Debian-Server.

[klausi01]

Verstehe ich das jetzt richtig ?

Ich habe kernel version 2.4.22 am laufen ..

Muss ich um die lücke zu schliessen einen patch für die 2.4.18er version einspielen ???

Denn eine 2.4.22 oder gar 2.4.23 patch quelle koann ich auf der seite nicht finden.

[dodolin]

Ich habe kernel version 2.4.22 am laufen ..

Also mit größter Wahrscheinlichkeit einen ungefixten.

Muss ich um die lücke zu schliessen einen patch für die 2.4.18er version einspielen ???

Nein, das wird wohl eher schiefgehen.

Denn eine 2.4.22 oder gar 2.4.23 patch quelle koann ich auf der seite nicht finden.

In 2.4.23 ist es gefixed. Wenn du 2.4.22 von deiner Distri hast, solltest du mal schauen, ob diese Rückportierungen der Fixes für 2.4.23 auf 2.4.22 anbietet.

[gopha]

Steht doch da ...

This bug has been fixed in kernel version 2.4.23 for the 2.4 tree and
2.6.0-test6 kernel tree. For Debian it has been fixed in version
2.4.18-12 of the kernel source packages, version 2.4.18-14 of the i386
kernel images and version 2.4.18-11 of the alpha kernel images.

Für 2.4.22 gibts keinen Patch (bisher), musst also 2.4.23 installieren, in der 2.6er Version wurde der Fehler in 2.6.0-test6 behoben. Sofern du den Kernel von Source kompiliert hast, wurde der Fehler in 2.4.18-12 behoben, in der i386 Version in 2.4.18-14, und in der Alpha Version in 2.4.18-11

[pf4]

Aus welchen Sourcen ist den der Rootforumkernel gebaut.

bzw. wird es da auch ne akteulle Version gebeb. Denke 21 is auch betroffen.

[gopha]

Aus welchen Sourcen ist den der Rootforumkernel gebaut.

bzw. wird es da auch ne akteulle Version gebeb. Denke 21 is auch betroffen.

Klar gibts den auch in 2.4.21, wenn er erst mit 2.4.23 behoben wurde ... ;)

[captaincrunch]

Im Laufe des heutigen Morgens wird's aller Wahrscheinlichkeit nach neue DebianHowto-Kernel geben. Dank GRSecurity sollte die Gefahr eines Exploits (den ich übrigens noch nirgendwo finden konnte) aber nicht mehr so groß sein.

Nachtrag : nähere Informationen gibt's hier
http://cve.mitre.org/cgi-bin/cvename.cg ... -2003-0961
und hier
http://www.redhat.com/support/errata/RHSA-2003-389.html

Angeblich existiert bereits ein Exploit.

[captaincrunch]

Der nächste Nachtrag:

Die neuen Kernel sind fertig. Wie immer gibt's einen IPv6-fähigen, und einen ohne IPv6-Support. In beiden befindet sich der aktuelle GRSecurity-Patch, außerdem wurde bei beiden der Multicast-Support deaktiviert. Wenn es dann immer noch zu Sperrungen wegen dieses vermeintlichen Grundes kommt, wird's spannend, wie sich 1&1 dann "rausreden" will. ;)

Update entweder per wget des jeweiligen Kernel von http://deb.debianhowto.de/dists/testing ... nary-i386/ , oder bei einem bestehenden Eintrag in der sources.list durch apt-get upgrade

WICHTIG : Bei älteren Rooties, in denen eine Realtek-NIC verbaut ist, sollte der Eintrag in der /etc/modules bislang rtl8139 lauten. Noch vor dem Reboot sollte dieser Eintrag entweder in 8139too umbenannt, oder einfach neu hinzugefügt werden, da sonst das Modul nicht automatisch geladen wird, und somit die Kiste nicht erreichbar ist.

Btw. : Es wird dringend empfohlen, ein Update zu machen, da auch GRSecurity-Kernel (wie eben gelesen) betroffen sind. http://isec.pl/vulnerabilities/isec-0012-do_brk.txt

[pf4]

Aus welchen Sourcen ist den der Rootforumkernel gebaut.

bzw. wird es da auch ne akteulle Version gebeb. Denke 21 is auch betroffen.

Klar gibts den auch in 2.4.21, wenn er erst mit 2.4.23 behoben wurde ... ;)

Hätte ja sein können das er aus debian sources gebaut wurde. Darin is es schon lange gepatcht

EDIT: Hat schon jemmand den Kernel getestet ?

Oh meine schöne Uptime. Man müste den Timer nach dem reboot weiter laufen lassen können.

[captaincrunch]

Hätte ja sein können das er aus debian sources gebaut wurde. Darin is es schon lange gepatcht

Mit Sicherheit nicht. Genau das war nämlich der Grund, warum die Debian-Server gecrackt wurden.

Hat schon jemmand den Kernel getestet ?

Jap, und er läuft prima (bisher). Der 2.4.23er scheint ohnehin (laut LKML etc.) eine recht gute Wahl zu sein.

[pf4]

OK danke. 1 mal Update.

Diesmal kommt aber der IPv6 Kernel drauf !

ARG schon fast 120 Tage Uptime dahin.

.... Bugs

[metrix]

habe ich was verpasst oder warum bringt mir mein "apt-get upgrade" kein update für meinen bf24 bei debian?

oder ist NUR der 2.4.22 betroffen? Für die anderen 2.4.18er auf der Deb-Security Seite gibbet Updates.

[pf4]

@CaptainCrunch

Hi,
ich hab den deine Kiste ind er sources.list und nen apt-get update gemacht.

Trozdem zeit er mit kein Update an.

Habs jetzt manuel installiert. Aber vielleicht für leite die ned so oft ins Forum schauen.

[coolsurfer]

Sorry, wenn ich etwas doof nachfrage, aber warum gebt ihr euch deswegen alle so ein Stress ? Wie viele von euch haben denn SSH-Accounts für "fremde" eingerichtet ?

Oder hab ich da jetzt was falsch verstanden ?

vulnerability allowing local users to gain root privileges

Man kann das Loch also nur dann ausnutzen, wenn man ohnehin schon auf der Maschine als LOKALER Benutzer ist, oder nicht ?

coolsurfer

[dea]

@coolsurfer: Jau, aber lokalen zugang zu bekommen ist nicht schwer - die meisten Admins machen es auch unbedarften SKs eher leicht ... *seufz*

[[nix]pepe]

ganz dumme frage: kann mir jemand erklären wie ich auf meinen 1&1 rootie (standart install) den kernel update und was ich da setzen muss, hab das noch nie gemacht :(

[lufthansen]

@coolsurfer
entsinnst du dich hier an nen thread über nen egallery script ?

war soweit ich mich erinner ein modul für nuke und buggy ...
mit dem script hat der h4x0r shell befehler ausführen können und hat sich über ein PHP script nenen ptrace exploit gezogen und ausgeführt ...
so schnell kann das gehen ...

haut mich wenn ich das falsch in erinnerung habe :D

[schroedi]

Wie kann ich sehen, ob ich den Kernel geuppt habe, bzw ob schon ein anderer von uns gemacht hat?

[dea]

@schroedi: ein erster Versuch wäre 'uname -a', das gibt u.a. die Kernelversion zurück. Ansonsten bemühe doch einfach die Paketverwaltung Deiner Installation (dpkg|rpm).

Ansonsten flog bei mir grade eine wunderbare Beschreibung typischer Angriffe ins Haus: http://lists.debian.org/debian-announce ... 00003.html

Gut durchlesen und lernen - es ist spannend geschrieben und hochinteressant :)

[captaincrunch]

uname -r

[crasline]

apt-get install kernel-image-2.4.23-grsec
Reading Package Lists... Done
Building Dependency Tree... Done
The following NEW packages will be installed:
kernel-image-2.4.23-grsec
0 packages upgraded, 1 newly installed, 0 to remove and 0 not upgraded.
Need to get 996kB of archives. After unpacking 1921kB will be used.
Err http://deb.debianhowto.de testing/debianhowto kernel-image-2.4.23-grsec 1
404 Not Found
Failed to fetch http://deb.debianhowto.de/./kernel-imag ... 1_i386.deb 404 Not Found
E: Unable to fetch some archives, maybe run apt-get update or try with --fix-missing?

hmm? was will er mir damit sagen?

[ffl]

Das wüsste ich auch gern, hatte denselben Fehler. Manuell wget und dpkg -i hat das gewünschte Ergebnis jedoch dann gebracht.

Gruß
ff

[metrix]

für den bf24 gibts nun auch das update ;-)

[[nix]pepe]

kann mir jemand vielleicht kurz erklären (von mir aus auch schnell per pn) wie ich meinen kernel update?
hab ne standart install drauf (1&1 rootie standart ;) )

danke schonmal

MfG
Pepe

[crasline]

Dec 3 22:04:05 jack init: Id "2" respawning too fast: disabled for 5 minutes
Dec 3 22:04:05 jack init: Id "6" respawning too fast: disabled for 5 minutes
Dec 3 22:09:06 jack modprobe: modprobe: Can't locate module char-major-4
Dec 3 22:09:06 jack getty[5422]: /dev/tty1: cannot open as standard input: No such device
Dec 3 22:09:06 jack getty[5424]: /dev/tty3: cannot open as standard input: No such device
Dec 3 22:09:06 jack getty[5423]: /dev/tty2: cannot open as standard input: No such device

Irgendwie müllt er mir nun auf meinen beiden rooties das log hier mit voll .. was kann da falsch sein?