Page 1 of 3
neuer Kernel-"Crash-Exploit"
Posted: 2004-06-15 01:55
by andreask2
Hi!
Mit ein paar Zeilen C bekommt ein User sowohl einen aktuellen 2.4er als auch 2.6er Kernel zum Absturz:
http://linuxreviews.org/news/2004-06-11_kernel_crash/
Grüße
Andreas
Re: neuer Kernel-"Crash-Exploit"
Posted: 2004-06-15 05:36
by blnsnoopy26
2.6.xx kernels
A patch for i387.h (2.6.7-rc3-bk5_i387.h.patch.txt) included in kernel 2.6.7-rc3-bk5 has been tested successfully on 2.6.5 and 2.6.7-rc3 by Marc Ballarin
It is tested successfully on Linux-2.6.7-rc2 by yours truly.
The i387.h patch seems to be the best solution. When evil is executed it does not freeze the system, but unlike the other alternative patches it does leave evil running at 99.9% CPU. It can be stopped with ctrl-c, kill and killall.
Read the Kernel Rebuild Guide if this is your first time compiling your own kernel
Get a kernel from kernel.org and unpack it to /usr/src
Get 2.6.7-rc3-bk5_i387.h.patch.txt
patch -p1 -d /usr/src/linux-2.6.7-rc2 <2.6.7-rc3-bk5_i387.h.patch.txt
Follow the usual steps.
Werde das dann mal an meinem 2.6.5 Kernel ausprobieren. Neu saugen und dann neu install mal sehn obs klappt :roll: :)
Re: neuer Kernel-"Crash-Exploit"
Posted: 2004-06-15 06:40
by blnsnoopy26
Moin,...
So Patch auf meinem 1&1 Rootserver erfolgreich ausgeführt ;)
Der neue Kernel läuft erste Sahne :)
Re: neuer Kernel-"Crash-Exploit"
Posted: 2004-06-15 07:30
by tomek
blnsnoopy26 wrote:Moin,...
So Patch auf meinem 1&1 Rootserver erfolgreich ausgeführt ;)
Der neue Kernel läuft erste Sahne :)
Ist ja wahnsinnig interessant... Kernel gebootet, alles funktioniert, stimmts? Super Test!
Ich platze gleich vor Neid.
Re: neuer Kernel-"Crash-Exploit"
Posted: 2004-06-15 07:47
by blnsnoopy26
Tomek wrote:blnsnoopy26 wrote:Moin,...
So Patch auf meinem 1&1 Rootserver erfolgreich ausgeführt ;)
Der neue Kernel läuft erste Sahne :)
Ist ja wahnsinnig interessant... Kernel gebootet, alles funktioniert, stimmts? Super Test!
Ich platze gleich vor Neid.
lol...soll ich jetzt die mega tests machen und versuchen mich da selbst zu hacken oder wie? man man!
Re: neuer Kernel-"Crash-Exploit"
Posted: 2004-06-15 08:20
by ffl
Ja wenn du hier so nen Scheiß postest, von wegen "Der neue Kernel läuft erste Sahne" und nicht getestet hast, dann frag ich mich was das den anderen Usern im Forum bringen soll.
Nur mal so am Rande... :twisted: :twisted: :twisted:
Re: neuer Kernel-"Crash-Exploit"
Posted: 2004-06-15 09:38
by myname
Ist es nicht auch möglich mit einem normalen Web Account mit PHP oder Perl Unterstützung den Server zum Absturz zu bringen?
Man kompiliert einfach den Exploit und stellt das Binary in seinen Webspace und führt es dann mit einem PHP oder Perl Skript aus....
Re: neuer Kernel-"Crash-Exploit"
Posted: 2004-06-15 09:51
by cschwede
Myname wrote:Ist es nicht auch möglich mit einem normalen Web Account mit PHP oder Perl Unterstützung den Server zum Absturz zu bringen?
Man kompiliert einfach den Exploit und stellt das Binary in seinen Webspace und führt es dann mit einem PHP oder Perl Skript aus....
Jupp, ist machbar. Und genau das macht das ganze dann erst richtig interessant...
Re: neuer Kernel-"Crash-Exploit"
Posted: 2004-06-15 09:56
by floschi
Naja, wenn man keine Vorkehrungen getroffen hat und solche Skripte alles dürfen, auf jeden Fall - ansonsten testen ;)
Re: neuer Kernel-"Crash-Exploit"
Posted: 2004-06-15 10:22
by sascha
Welche Vorkehrungen meinst du da im speziellen?
Re: neuer Kernel-"Crash-Exploit"
Posted: 2004-06-15 10:46
by ffl
Hat grsecurity da irgendwelche positiven Auswirkungen? Bringt mir mein suPHP was? Ich befürchte, nicht, da ja dann im Userkontext das Binary ausgeführt werden kann.
2.4.26 -> Rootforum-Kernel auch betroffen?
Re: neuer Kernel-"Crash-Exploit"
Posted: 2004-06-15 10:49
by rocko
Da der Bug nur lokal ausnutzbar ist, reicht, alle Shell logins zu sperren, dann kann den auch keiner ausnutzen, bis du updatet hast.
Hier gibts auch noch Infos:
http://www.heise.de/newsticker/meldung/48236
Re: neuer Kernel-"Crash-Exploit"
Posted: 2004-06-15 10:55
by captaincrunch
Hat grsecurity da irgendwelche positiven Auswirkungen? [...]
2.4.26 -> Rootforum-Kernel auch betroffen?
Bei meinen gestrigen Tests kamen die Debianhowto-Kernel ganz gut weg, bevor ich mich da aber jetzt ganz weit mit der Behauptung, dass sie nicht betroffen sind aus dem Fenster lehne, warte ich noch einmal ab, ob das jemand bestätigen kann. ;)
Re: neuer Kernel-"Crash-Exploit"
Posted: 2004-06-15 11:12
by floschi
Sascha wrote:Welche Vorkehrungen meinst du da im speziellen?
Ich dachte an die Möglichkeiten, Speicherbedarf und CPU-Nutzung für solche Skripte zu beschränken.
Re: neuer Kernel-"Crash-Exploit"
Posted: 2004-06-15 11:34
by myname
Ich glaub eben nicht, dass das reicht, warum sollte das C Programm den Server nicht zum Absturz bringen, wenn es von einem PHP ode Perl Skript aufgerufen wird?!
Re: neuer Kernel-"Crash-Exploit"
Posted: 2004-06-15 15:16
by wonderland
olfi wrote:Ich dachte an die Möglichkeiten, Speicherbedarf und CPU-Nutzung für solche Skripte zu beschränken.
Hilft das denn in diesem Fall? Direkt nach Aufruf des Programms hängt der Kernel in einer Endlosschleife, und dadurch ist das Systen lahmgelegt, es gibt also keine Prozesswechsel o.ä. mehr.
..- Hendrik
Re: neuer Kernel-"Crash-Exploit"
Posted: 2004-06-15 16:08
by pf4
Sorry CC, die Kiste is restlos abgekakt.
Kernel ist 2.4.26-grsec
Re: neuer Kernel-"Crash-Exploit"
Posted: 2004-06-15 16:19
by ffl
Dann sollte man wohl den 2.4.26er patchen oder cc?
Wäre super wenn du das machen würdest.
Re: neuer Kernel-"Crash-Exploit"
Posted: 2004-06-15 16:37
by pf4
Es geht ja auch um die andern Bugs die im Kernel entdeckt wurden
Re: neuer Kernel-"Crash-Exploit"
Posted: 2004-06-15 17:12
by captaincrunch
OK, neue Kernel sind in Arbeit.
Re: neuer Kernel-"Crash-Exploit"
Posted: 2004-06-15 17:20
by pf4
ich sage einfach mal THX
Re: neuer Kernel-"Crash-Exploit"
Posted: 2004-06-15 17:25
by ffl
Ich sag auch THX.
Hätte dann auch wieder Interesse an deinen srcs :)
DANKE
Re: neuer Kernel-"Crash-Exploit"
Posted: 2004-06-15 18:17
by captaincrunch
http://linux.roothell.org/kernel/
-> kernel-image-2.4.26-grsec-ipv6_2_i386.deb
-> kernel-image-2.4.26-grsec_2_i386.deb
Bitte um kurze Rückmeldung
Re: neuer Kernel-"Crash-Exploit"
Posted: 2004-06-15 18:20
by crasline
was is da nun alles drin? Biste nur nach der Anleitung in dem Link gegangen oder haste auch noch was anderes mit rein? (wenn ja, will ich das auch
)
Re: neuer Kernel-"Crash-Exploit"
Posted: 2004-06-15 18:33
by captaincrunch
was is da nun alles drin?
Das übliche: GRSecurity, zusätzlich nur der Busgfix für das o.g. Problem. Wenn du wissen willst, was genau alles enthalten ist, schau in das kernel-config-2.4.26, da steht's drin.