[FYI] Sicherheitslücke im Kernel 2.4.22

Lesenswerte Artikel, Anleitungen und Diskussionen
captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

[FYI] Sicherheitslücke im Kernel 2.4.22

Post by captaincrunch » 2003-12-01 22:07

http://lists.netsys.com/pipermail/full- ... 14366.html

Anscheinend war genau das der Grund für den Einbruch in die Debian-Server.
Last edited by captaincrunch on 2003-12-02 10:21, edited 1 time in total.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

klausi01
Posts: 115
Joined: 2003-05-19 22:28

Re: [FYI] Sicherheitslücke im Kernel 2.4.22

Post by klausi01 » 2003-12-02 00:42

Verstehe ich das jetzt richtig ?

Ich habe kernel version 2.4.22 am laufen ..

Muss ich um die lücke zu schliessen einen patch für die 2.4.18er version einspielen ???

Denn eine 2.4.22 oder gar 2.4.23 patch quelle koann ich auf der seite nicht finden.

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: [FYI] Sicherheitslücke im Kernel 2.4.22

Post by dodolin » 2003-12-02 01:03

Ich habe kernel version 2.4.22 am laufen ..
Also mit größter Wahrscheinlichkeit einen ungefixten.
Muss ich um die lücke zu schliessen einen patch für die 2.4.18er version einspielen ???
Nein, das wird wohl eher schiefgehen.
Denn eine 2.4.22 oder gar 2.4.23 patch quelle koann ich auf der seite nicht finden.
In 2.4.23 ist es gefixed. Wenn du 2.4.22 von deiner Distri hast, solltest du mal schauen, ob diese Rückportierungen der Fixes für 2.4.23 auf 2.4.22 anbietet.

gopha
Posts: 26
Joined: 2003-02-24 10:02

Re: [FYI] Sicherheitslücke im Kernel 2.4.22

Post by gopha » 2003-12-02 01:13

Steht doch da ...

This bug has been fixed in kernel version 2.4.23 for the 2.4 tree and
2.6.0-test6 kernel tree. For Debian it has been fixed in version
2.4.18-12 of the kernel source packages, version 2.4.18-14 of the i386
kernel images and version 2.4.18-11 of the alpha kernel images.


Für 2.4.22 gibts keinen Patch (bisher), musst also 2.4.23 installieren, in der 2.6er Version wurde der Fehler in 2.6.0-test6 behoben. Sofern du den Kernel von Source kompiliert hast, wurde der Fehler in 2.4.18-12 behoben, in der i386 Version in 2.4.18-14, und in der Alpha Version in 2.4.18-11

pf4
Posts: 91
Joined: 2002-12-09 10:27

Re: [FYI] Sicherheitslücke im Kernel 2.4.22

Post by pf4 » 2003-12-02 06:07

Aus welchen Sourcen ist den der Rootforumkernel gebaut.

bzw. wird es da auch ne akteulle Version gebeb. Denke 21 is auch betroffen.

gopha
Posts: 26
Joined: 2003-02-24 10:02

Re: [FYI] Sicherheitslücke im Kernel 2.4.22

Post by gopha » 2003-12-02 07:51

PF4 wrote:Aus welchen Sourcen ist den der Rootforumkernel gebaut.

bzw. wird es da auch ne akteulle Version gebeb. Denke 21 is auch betroffen.
Klar gibts den auch in 2.4.21, wenn er erst mit 2.4.23 behoben wurde ... ;)

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: [FYI] Sicherheitslücke im Kernel 2.4.22

Post by captaincrunch » 2003-12-02 08:42

Im Laufe des heutigen Morgens wird's aller Wahrscheinlichkeit nach neue DebianHowto-Kernel geben. Dank GRSecurity sollte die Gefahr eines Exploits (den ich übrigens noch nirgendwo finden konnte) aber nicht mehr so groß sein.

Nachtrag : nähere Informationen gibt's hier
http://cve.mitre.org/cgi-bin/cvename.cg ... -2003-0961
und hier
http://www.redhat.com/support/errata/RHSA-2003-389.html

Angeblich existiert bereits ein Exploit.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: [FYI] Sicherheitslücke im Kernel 2.4.22

Post by captaincrunch » 2003-12-02 10:19

Der nächste Nachtrag:

Die neuen Kernel sind fertig. Wie immer gibt's einen IPv6-fähigen, und einen ohne IPv6-Support. In beiden befindet sich der aktuelle GRSecurity-Patch, außerdem wurde bei beiden der Multicast-Support deaktiviert. Wenn es dann immer noch zu Sperrungen wegen dieses vermeintlichen Grundes kommt, wird's spannend, wie sich 1&1 dann "rausreden" will. ;)

Update entweder per wget des jeweiligen Kernel von http://deb.debianhowto.de/dists/testing ... nary-i386/ , oder bei einem bestehenden Eintrag in der sources.list durch apt-get upgrade

WICHTIG : Bei älteren Rooties, in denen eine Realtek-NIC verbaut ist, sollte der Eintrag in der /etc/modules bislang rtl8139 lauten. Noch vor dem Reboot sollte dieser Eintrag entweder in 8139too umbenannt, oder einfach neu hinzugefügt werden, da sonst das Modul nicht automatisch geladen wird, und somit die Kiste nicht erreichbar ist.

Btw. : Es wird dringend empfohlen, ein Update zu machen, da auch GRSecurity-Kernel (wie eben gelesen) betroffen sind. http://isec.pl/vulnerabilities/isec-0012-do_brk.txt
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

pf4
Posts: 91
Joined: 2002-12-09 10:27

Re: [FYI] Sicherheitslücke im Kernel 2.4.22

Post by pf4 » 2003-12-02 15:53

gopha wrote:
PF4 wrote:Aus welchen Sourcen ist den der Rootforumkernel gebaut.

bzw. wird es da auch ne akteulle Version gebeb. Denke 21 is auch betroffen.
Klar gibts den auch in 2.4.21, wenn er erst mit 2.4.23 behoben wurde ... ;)
Hätte ja sein können das er aus debian sources gebaut wurde. Darin is es schon lange gepatcht

EDIT: Hat schon jemmand den Kernel getestet ?

Oh meine schöne Uptime. Man müste den Timer nach dem reboot weiter laufen lassen können.

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: [FYI] Sicherheitslücke im Kernel 2.4.22

Post by captaincrunch » 2003-12-02 15:57

Hätte ja sein können das er aus debian sources gebaut wurde. Darin is es schon lange gepatcht
Mit Sicherheit nicht. Genau das war nämlich der Grund, warum die Debian-Server gecrackt wurden.
Hat schon jemmand den Kernel getestet ?
Jap, und er läuft prima (bisher). Der 2.4.23er scheint ohnehin (laut LKML etc.) eine recht gute Wahl zu sein.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

pf4
Posts: 91
Joined: 2002-12-09 10:27

Re: [FYI] Sicherheitslücke im Kernel 2.4.22

Post by pf4 » 2003-12-02 16:01

OK danke. 1 mal Update.

Diesmal kommt aber der IPv6 Kernel drauf !

ARG schon fast 120 Tage Uptime dahin.

.... Bugs

metrix
Posts: 94
Joined: 2002-10-26 15:52

Re: [FYI] Sicherheitslücke im Kernel 2.4.22

Post by metrix » 2003-12-02 16:05

habe ich was verpasst oder warum bringt mir mein "apt-get upgrade" kein update für meinen bf24 bei debian?

oder ist NUR der 2.4.22 betroffen? Für die anderen 2.4.18er auf der Deb-Security Seite gibbet Updates.

pf4
Posts: 91
Joined: 2002-12-09 10:27

Re: [FYI] Sicherheitslücke im Kernel 2.4.22

Post by pf4 » 2003-12-02 16:12

@CaptainCrunch

Hi,
ich hab den deine Kiste ind er sources.list und nen apt-get update gemacht.

Trozdem zeit er mit kein Update an.

Habs jetzt manuel installiert. Aber vielleicht für leite die ned so oft ins Forum schauen.

coolsurfer
Posts: 61
Joined: 2002-05-01 18:16

Re: [FYI] Sicherheitslücke im Kernel 2.4.22

Post by coolsurfer » 2003-12-02 16:43

Sorry, wenn ich etwas doof nachfrage, aber warum gebt ihr euch deswegen alle so ein Stress ? Wie viele von euch haben denn SSH-Accounts für "fremde" eingerichtet ?

Oder hab ich da jetzt was falsch verstanden ?
vulnerability allowing local users to gain root privileges
Man kann das Loch also nur dann ausnutzen, wenn man ohnehin schon auf der Maschine als LOKALER Benutzer ist, oder nicht ?

coolsurfer

dea
RSAC
Posts: 619
Joined: 2002-08-13 12:05

Re: [FYI] Sicherheitslücke im Kernel 2.4.22

Post by dea » 2003-12-02 16:46

@coolsurfer: Jau, aber lokalen zugang zu bekommen ist nicht schwer - die meisten Admins machen es auch unbedarften SKs eher leicht ... *seufz*

[nix]pepe
Userprojekt
Userprojekt
Posts: 244
Joined: 2003-04-08 19:36

Re: [FYI] Sicherheitslücke im Kernel 2.4.22

Post by [nix]pepe » 2003-12-02 20:03

ganz dumme frage: kann mir jemand erklären wie ich auf meinen 1&1 rootie (standart install) den kernel update und was ich da setzen muss, hab das noch nie gemacht :(

lufthansen
Posts: 390
Joined: 2002-09-24 17:31
Location: NRW

Re: [FYI] Sicherheitslücke im Kernel 2.4.22

Post by lufthansen » 2003-12-02 21:43

@coolsurfer
entsinnst du dich hier an nen thread über nen egallery script ?

war soweit ich mich erinner ein modul für nuke und buggy ...
mit dem script hat der h4x0r shell befehler ausführen können und hat sich über ein PHP script nenen ptrace exploit gezogen und ausgeführt ...
so schnell kann das gehen ...

haut mich wenn ich das falsch in erinnerung habe :D

schroedi
Posts: 28
Joined: 2003-10-28 23:10
Location: Koblenz

welchen kernel habe ich?

Post by schroedi » 2003-12-02 22:48

Wie kann ich sehen, ob ich den Kernel geuppt habe, bzw ob schon ein anderer von uns gemacht hat?

dea
RSAC
Posts: 619
Joined: 2002-08-13 12:05

Re: [FYI] Sicherheitslücke im Kernel 2.4.22

Post by dea » 2003-12-02 23:07

@schroedi: ein erster Versuch wäre 'uname -a', das gibt u.a. die Kernelversion zurück. Ansonsten bemühe doch einfach die Paketverwaltung Deiner Installation (dpkg|rpm).

Ansonsten flog bei mir grade eine wunderbare Beschreibung typischer Angriffe ins Haus: http://lists.debian.org/debian-announce ... 00003.html

Gut durchlesen und lernen - es ist spannend geschrieben und hochinteressant :)

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: [FYI] Sicherheitslücke im Kernel 2.4.22

Post by captaincrunch » 2003-12-02 23:07

uname -r
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

crasline
Posts: 121
Joined: 2002-05-11 18:39

Re: [FYI] Sicherheitslücke im Kernel 2.4.22

Post by crasline » 2003-12-03 19:07

apt-get install kernel-image-2.4.23-grsec
Reading Package Lists... Done
Building Dependency Tree... Done
The following NEW packages will be installed:
kernel-image-2.4.23-grsec
0 packages upgraded, 1 newly installed, 0 to remove and 0 not upgraded.
Need to get 996kB of archives. After unpacking 1921kB will be used.
Err http://deb.debianhowto.de testing/debianhowto kernel-image-2.4.23-grsec 1
404 Not Found
Failed to fetch http://deb.debianhowto.de/./kernel-imag ... 1_i386.deb 404 Not Found
E: Unable to fetch some archives, maybe run apt-get update or try with --fix-missing?

hmm? was will er mir damit sagen?

ffl
Userprojekt
Userprojekt
Posts: 269
Joined: 2002-10-23 08:28
Location: Karlsruhe

Re: [FYI] Sicherheitslücke im Kernel 2.4.22

Post by ffl » 2003-12-03 19:58

Das wüsste ich auch gern, hatte denselben Fehler. Manuell wget und dpkg -i hat das gewünschte Ergebnis jedoch dann gebracht.

Gruß
ff

metrix
Posts: 94
Joined: 2002-10-26 15:52

Re: [FYI] Sicherheitslücke im Kernel 2.4.22

Post by metrix » 2003-12-03 20:33

für den bf24 gibts nun auch das update ;-)

[nix]pepe
Userprojekt
Userprojekt
Posts: 244
Joined: 2003-04-08 19:36

Re: [FYI] Sicherheitslücke im Kernel 2.4.22

Post by [nix]pepe » 2003-12-03 21:56

kann mir jemand vielleicht kurz erklären (von mir aus auch schnell per pn) wie ich meinen kernel update?
hab ne standart install drauf (1&1 rootie standart ;) )

danke schonmal

MfG
Pepe

crasline
Posts: 121
Joined: 2002-05-11 18:39

Re: [FYI] Sicherheitslücke im Kernel 2.4.22

Post by crasline » 2003-12-03 22:25

Dec 3 22:04:05 jack init: Id "2" respawning too fast: disabled for 5 minutes
Dec 3 22:04:05 jack init: Id "6" respawning too fast: disabled for 5 minutes
Dec 3 22:09:06 jack modprobe: modprobe: Can't locate module char-major-4
Dec 3 22:09:06 jack getty[5422]: /dev/tty1: cannot open as standard input: No such device
Dec 3 22:09:06 jack getty[5424]: /dev/tty3: cannot open as standard input: No such device
Dec 3 22:09:06 jack getty[5423]: /dev/tty2: cannot open as standard input: No such device
Irgendwie müllt er mir nun auf meinen beiden rooties das log hier mit voll .. was kann da falsch sein?