neuer Kernel-"Crash-Exploit"

[andreask2]

Hi!

Mit ein paar Zeilen C bekommt ein User sowohl einen aktuellen 2.4er als auch 2.6er Kernel zum Absturz:

http://linuxreviews.org/news/2004-06-11_kernel_crash/

Grüße
Andreas

[blnsnoopy26]

2.6.xx kernels
A patch for i387.h (2.6.7-rc3-bk5_i387.h.patch.txt) included in kernel 2.6.7-rc3-bk5 has been tested successfully on 2.6.5 and 2.6.7-rc3 by Marc Ballarin

It is tested successfully on Linux-2.6.7-rc2 by yours truly.

The i387.h patch seems to be the best solution. When evil is executed it does not freeze the system, but unlike the other alternative patches it does leave evil running at 99.9% CPU. It can be stopped with ctrl-c, kill and killall.


Read the Kernel Rebuild Guide if this is your first time compiling your own kernel
Get a kernel from kernel.org and unpack it to /usr/src
Get 2.6.7-rc3-bk5_i387.h.patch.txt
patch -p1 -d /usr/src/linux-2.6.7-rc2 <2.6.7-rc3-bk5_i387.h.patch.txt
Follow the usual steps.

Werde das dann mal an meinem 2.6.5 Kernel ausprobieren. Neu saugen und dann neu install mal sehn obs klappt :roll: :)

[blnsnoopy26]

Moin,...

So Patch auf meinem 1&1 Rootserver erfolgreich ausgeführt ;)
Der neue Kernel läuft erste Sahne :)

[tomek]

Moin,...

So Patch auf meinem 1&1 Rootserver erfolgreich ausgeführt ;)
Der neue Kernel läuft erste Sahne :)

Ist ja wahnsinnig interessant... Kernel gebootet, alles funktioniert, stimmts? Super Test!
Ich platze gleich vor Neid.

[blnsnoopy26]

Moin,...

So Patch auf meinem 1&1 Rootserver erfolgreich ausgeführt ;)
Der neue Kernel läuft erste Sahne :)

Ist ja wahnsinnig interessant... Kernel gebootet, alles funktioniert, stimmts? Super Test!
Ich platze gleich vor Neid.

lol...soll ich jetzt die mega tests machen und versuchen mich da selbst zu hacken oder wie? man man!

[ffl]

Ja wenn du hier so nen Scheiß postest, von wegen "Der neue Kernel läuft erste Sahne" und nicht getestet hast, dann frag ich mich was das den anderen Usern im Forum bringen soll.

Nur mal so am Rande... :twisted: :twisted: :twisted:

[myname]

Ist es nicht auch möglich mit einem normalen Web Account mit PHP oder Perl Unterstützung den Server zum Absturz zu bringen?

Man kompiliert einfach den Exploit und stellt das Binary in seinen Webspace und führt es dann mit einem PHP oder Perl Skript aus....

[cschwede]

Ist es nicht auch möglich mit einem normalen Web Account mit PHP oder Perl Unterstützung den Server zum Absturz zu bringen?

Man kompiliert einfach den Exploit und stellt das Binary in seinen Webspace und führt es dann mit einem PHP oder Perl Skript aus....

Jupp, ist machbar. Und genau das macht das ganze dann erst richtig interessant...

[floschi]

Naja, wenn man keine Vorkehrungen getroffen hat und solche Skripte alles dürfen, auf jeden Fall - ansonsten testen ;)

[sascha]

Welche Vorkehrungen meinst du da im speziellen?

[ffl]

Hat grsecurity da irgendwelche positiven Auswirkungen? Bringt mir mein suPHP was? Ich befürchte, nicht, da ja dann im Userkontext das Binary ausgeführt werden kann.

2.4.26 -> Rootforum-Kernel auch betroffen?

[rocko]

Da der Bug nur lokal ausnutzbar ist, reicht, alle Shell logins zu sperren, dann kann den auch keiner ausnutzen, bis du updatet hast.

Hier gibts auch noch Infos:
http://www.heise.de/newsticker/meldung/48236

[captaincrunch]

Hat grsecurity da irgendwelche positiven Auswirkungen? [...]

2.4.26 -> Rootforum-Kernel auch betroffen?

Bei meinen gestrigen Tests kamen die Debianhowto-Kernel ganz gut weg, bevor ich mich da aber jetzt ganz weit mit der Behauptung, dass sie nicht betroffen sind aus dem Fenster lehne, warte ich noch einmal ab, ob das jemand bestätigen kann. ;)

[floschi]

Welche Vorkehrungen meinst du da im speziellen?

Ich dachte an die Möglichkeiten, Speicherbedarf und CPU-Nutzung für solche Skripte zu beschränken.

[myname]

Da der Bug nur lokal ausnutzbar ist, reicht, alle Shell logins zu sperren, dann kann den auch keiner ausnutzen, bis du updatet hast.

Hier gibts auch noch Infos:
http://www.heise.de/newsticker/meldung/48236

Ich glaub eben nicht, dass das reicht, warum sollte das C Programm den Server nicht zum Absturz bringen, wenn es von einem PHP ode Perl Skript aufgerufen wird?!

[wonderland]

Ich dachte an die Möglichkeiten, Speicherbedarf und CPU-Nutzung für solche Skripte zu beschränken.

Hilft das denn in diesem Fall? Direkt nach Aufruf des Programms hängt der Kernel in einer Endlosschleife, und dadurch ist das Systen lahmgelegt, es gibt also keine Prozesswechsel o.ä. mehr.

..- Hendrik

[pf4]

Sorry CC, die Kiste is restlos abgekakt.

Kernel ist 2.4.26-grsec

[ffl]

Dann sollte man wohl den 2.4.26er patchen oder cc?
Wäre super wenn du das machen würdest.

[pf4]

Es geht ja auch um die andern Bugs die im Kernel entdeckt wurden

[captaincrunch]

OK, neue Kernel sind in Arbeit.

[pf4]

ich sage einfach mal THX

[ffl]

Ich sag auch THX.
Hätte dann auch wieder Interesse an deinen srcs :)

DANKE

[captaincrunch]

http://linux.roothell.org/kernel/

-> kernel-image-2.4.26-grsec-ipv6_2_i386.deb
-> kernel-image-2.4.26-grsec_2_i386.deb

Bitte um kurze Rückmeldung

[crasline]

was is da nun alles drin? Biste nur nach der Anleitung in dem Link gegangen oder haste auch noch was anderes mit rein? (wenn ja, will ich das auch )

[captaincrunch]

was is da nun alles drin?

Das übliche: GRSecurity, zusätzlich nur der Busgfix für das o.g. Problem. Wenn du wissen willst, was genau alles enthalten ist, schau in das kernel-config-2.4.26, da steht's drin.