[FYI] Neue Lücke(n) Im Kernel

Lesenswerte Artikel, Anleitungen und Diskussionen
captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

[FYI] Neue Lücke(n) Im Kernel

Post by captaincrunch » 2004-08-04 14:20

http://lists.netsys.com/pipermail/full- ... 24759.html

Paul Starzetz hat einmal mehr neue Lücken im Linux-Kernel aufgedeckt. Immerhin schlägt der beigelegte POC auf Systemen mit "meinem" 2.4.26er-Kernel fehl (da ohne MTRR kompiliert). Es ist allerdings wahrscheinlich, dass es noch andere Stellen im Kernel gibt, die für diese Geschichte anfällig sind.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

thorsten
RSAC
Posts: 732
Joined: 2003-02-01 13:14
Location: Fuldatal

Re: [FYI] Neue Lücke(n) Im Kernel

Post by thorsten » 2004-08-04 15:18

besonders besorgniserregend:
We have found in an experiment that after the root user logged in using
ssh (in our case it was OpenSSH using PAM), the root passwort was keept
in kernel memory.
Meine kernel sind auch nicht anfällig und ohne grsec hätte ich noch mehr Bauchschmerzen :-/

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: [FYI] Neue Lücke(n) Im Kernel

Post by captaincrunch » 2004-08-04 15:59

Meine kernel sind auch nicht anfällig
Sicher?
ihauqer wrote:We have identified numerous places, where invalid conversions from 64 bit sized
file offsets to 32 bit ones as well as insecure access to the file
offset member variable take place.
und ohne grsec hätte ich noch mehr Bauchschmerzen
GRSec hat mit diesem Problem (leider einmal mehr) nichts zu tun, da es sich wieder einmal um schlampige Programmierung handelt, und nicht um Overflows o.ä.

Momentan ist die einzige Lösung, auf Bugfixes zu warten (oder halt selbst welche zu schreiben ;) ).
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

thorsten
RSAC
Posts: 732
Joined: 2003-02-01 13:14
Location: Fuldatal

Re: [FYI] Neue Lücke(n) Im Kernel

Post by thorsten » 2004-08-04 16:24

CaptainCrunch wrote:
Meine kernel sind auch nicht anfällig
Sicher?
Mein 'auch' bezog sich auch auf deine config - denn ich habe mtrr ebenfalls draußen.
CaptainCrunch wrote:
ihauqer wrote:We have identified numerous places, where invalid conversions from 64 bit sized
file offsets to 32 bit ones as well as insecure access to the file
offset member variable take place.
jo, ich habe es aufmerksam gelesen... :-/
CaptainCrunch wrote:
und ohne grsec hätte ich noch mehr Bauchschmerzen
GRSec hat mit diesem Problem (leider einmal mehr) nichts zu tun, da es sich wieder einmal um schlampige Programmierung handelt, und nicht um Overflows o.ä.

Momentan ist die einzige Lösung, auf Bugfixes zu warten (oder halt selbst welche zu schreiben ;) ).
right - ich hätte mir bei der Formulierung mehr Zeit nehmen sollen.

Wer weiß wie viele Lücken noch auftauchen, oder gar schon aktiv ausgenutzt werden?
Daher mein statement 'ohne grsec ... noch mehr Bauschmerzen'

Ich bin leider leider nicht in der Lage ein Bugfix zu schreiben, deswegen lese ich ebenfalls bugtraq und versuche mit grsec und anderen Mitteln meine betreuten Systeme abzusichern...

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: [FYI] Neue Lücke(n) Im Kernel

Post by captaincrunch » 2004-08-04 16:36

Ich bin leider leider nicht in der Lage ein Bugfix zu schreiben, deswegen lese ich ebenfalls bugtraq und versuche mit grsec und anderen Mitteln meine betreuten Systeme abzusichern...
Genau hier liegt das Problem: für dieses eine Problem wäre ein Fix keine allzu große Sache, um alles zu fixen, müsstest du aber

a) genau wissen, wo die weiteren Stellen "verborgen" sind, oder
b) die gesamten Kernelsourcen selbst durchstöbern, um weitere Stellen zu finden.

Der gute Paul hat aber im allgemeinen keine großen Probleme damit, auf persönliche Anfrage hin weitere Details bekannt zu geben, daher dürfte sich a) gar nicht mal soo schwer gestalten (natürlich wiederum vorausgesetzt, dass er bereits "alle" Stellen gefunden hat ;) ).
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: [FYI] Neue Lücke(n) Im Kernel

Post by dodolin » 2004-08-05 10:54

Ã?h, nur um das klarzustellen:
da es sich wieder einmal um schlampige Programmierung handelt, und nicht um Overflows o.ä.
Overflows sind schlampige Programmierung. ;)

Edit: Wobei ich den Eindruck habe, als würde GRSec und Co. hauptsächlich gegen Fehler in den Anwendungen helfen, eher weniger, wenn im Kernel selbst Sch.eiße gebaut wird.

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: [FYI] Neue Lücke(n) Im Kernel

Post by captaincrunch » 2004-08-05 11:11

Overflows sind schlampige Programmierung.
OK, gewonnen. ;)
Edit: Wobei ich den Eindruck habe, als würde GRSec und Co. hauptsächlich gegen Fehler in den Anwendungen helfen, eher weniger, wenn im Kernel selbst Sch.eiße gebaut wird.
Haargenau so sieht's aus. :roll:

Ich für meinen Teil mache mich aber mal dran, mit den soeben eingetroffenen Bugfixes neue Kernel zu basteln. :wink:
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: [FYI] Neue Lücke(n) Im Kernel

Post by captaincrunch » 2004-08-05 15:50

So, es ist (endlich) so weit: die gefixten neuen Versionen stehen unter http://linux.roothell.org/kernel/ bereit. Die beiden Patches, die zum Einsatz kamen (i387.h und linux-2.4.26-CAN-2004-0415.patch) sind dort ebenfalls zu finden.

Die IPv6-Version ist mittlerweile auf einem Rechner wenigstens hochgekommen, aber noch nicht ausgiebig gestetet. Nutzung daher (wie immer ;) ) auf eigene Gefahr.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

pf4
Posts: 91
Joined: 2002-12-09 10:27

Re: [FYI] Neue Lücke(n) Im Kernel

Post by pf4 » 2004-08-05 17:47

Bisher 0 Probs !

User avatar
Joe User
Project Manager
Project Manager
Posts: 11583
Joined: 2003-02-27 01:00
Location: Hamburg

Re: [FYI] Neue Lücke(n) Im Kernel

Post by Joe User » 2004-08-05 18:04

PF4 wrote:Bisher 0 Probs !
Sorry, aber Du hast offensichtlich nicht verstanden, worum es in diesem Thread geht, sonst hättest Du Dir diesen überflüssigen Kommentar verkniffen.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

andreask2
RSAC
Posts: 701
Joined: 2004-01-27 14:16
Location: Aachen

Re: [FYI] Neue Lücke(n) Im Kernel

Post by andreask2 » 2004-08-05 18:06

Für gentoo gibt es seit gestern auch gepatchte Kernelsourcen, grsec z.B. hier: http://packages.gentoo.org/ebuilds/?grs ... .26.2.0-r7

Grüße
Andreas

pf4
Posts: 91
Joined: 2002-12-09 10:27

Re: [FYI] Neue Lücke(n) Im Kernel

Post by pf4 » 2004-08-05 19:14

Joe User wrote:
PF4 wrote:Bisher 0 Probs !
Sorry, aber Du hast offensichtlich nicht verstanden, worum es in diesem Thread geht, sonst hättest Du Dir diesen überflüssigen Kommentar verkniffen.
Ich wollte damit nur zum Ausdruck bringn das der CC-Kernel ohne Probleme läuft !
Die Aussage von CC gab mir den Eindruck, er möchte eine Rückmeldung !

Sonst lösche den Beitrag eben

User avatar
Joe User
Project Manager
Project Manager
Posts: 11583
Joined: 2003-02-27 01:00
Location: Hamburg

Re: [FYI] Neue Lücke(n) Im Kernel

Post by Joe User » 2004-08-05 20:07

PF4 wrote:Die Aussage von CC gab mir den Eindruck, er möchte eine Rückmeldung !
Feedback ist durchaus erwünscht, nur hätte es in diesem Fall, da lediglich ein kleiner Bug (Anzahl der Zeilen) beseitigt wurde, inhaltlich folgendermassen lauten sollen: "Der Exploit ist mit Deinem Kernel auf meinem woody|sarge nicht mehr nutzbar."

HTH
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: [FYI] Neue Lücke(n) Im Kernel

Post by captaincrunch » 2004-08-05 21:26

"Der Exploit ist mit Deinem Kernel auf meinem woody|sarge nicht mehr nutzbar."
Der bereits existierende POC war mit "meinen" bisherigen Kerneln auch nicht ausnutzbar, da kein MTRR einkompiliert war. ;) Ich bin ehrlich gesagt selbst gespannt, was da noch so kommt...und ob das wirklich alles (für dieses Problem) war.

Der Patch habe ich im übrigen aus dem Gentoo-Hardened Projekt, wobei die Jungs anscheinend den bereits existierenden RedHat-Patch auf 2.4.26 "portiert" haben.
Ich hätte mir allerdings nie träumen lassen, einen Bugfix mal schneller als Debian zu veröffentlichen. ;)
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

User avatar
Joe User
Project Manager
Project Manager
Posts: 11583
Joined: 2003-02-27 01:00
Location: Hamburg

Re: [FYI] Neue Lücke(n) Im Kernel

Post by Joe User » 2004-08-05 21:45

CaptainCrunch wrote:Ich bin ehrlich gesagt selbst gespannt, was da noch so kommt...und ob das wirklich alles (für dieses Problem) war.
Da bisher weder 2.4.27, noch 2.6.8 relaesed wurden, befürchte ich, dass es noch ein paar andere schwerwiegende Probleme zu beheben gilt.
CaptainCrunch wrote:Der Patch habe ich im übrigen aus dem Gentoo-Hardened Projekt, wobei die Jungs anscheinend den bereits existierenden RedHat-Patch auf 2.4.26 "portiert" haben.
Externe Quellen werden im Changelog und/oder Patchnamen genannt.
CaptainCrunch wrote:Ich hätte mir allerdings nie träumen lassen, einen Bugfix mal schneller als Debian zu veröffentlichen. ;)
;)
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: [FYI] Neue Lücke(n) Im Kernel

Post by captaincrunch » 2004-08-05 22:41

Da bisher weder 2.4.27, noch 2.6.8 relaesed wurden, befürchte ich, dass es noch ein paar andere schwerwiegende Probleme zu beheben gilt.
...die aber nichts zwangsläufig etwas mit diesen Busg zu tun haben müssen. ;) Marcello ist halt seit einiger Zeit etwas "vorsichtiher" geworden, was seine Releasezyklen angeht.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

User avatar
Joe User
Project Manager
Project Manager
Posts: 11583
Joined: 2003-02-27 01:00
Location: Hamburg

Re: [FYI] Neue Lücke(n) Im Kernel

Post by Joe User » 2004-08-06 10:46

Zumindest im 2.4.27 sind mitlerweile mehrere sicherheitsrelevante Bugs behoben worden, welche jeder für sich selbst ein eigenes Release wert ist/war. Otto Normal schaut schliesslich, wenn überhaupt, nur auf die Versionsnummer, statt ins Changelog und betreibt dadurch seit Monaten eine "offene Kiste". Da ist mir ein Versionbump pro Woche lieber...
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

crasline
Posts: 121
Joined: 2002-05-11 18:39

Re: [FYI] Neue Lücke(n) Im Kernel

Post by crasline » 2004-08-08 12:31

nun ist ja 2.4.27 released worden ..

andreask2
RSAC
Posts: 701
Joined: 2004-01-27 14:16
Location: Aachen

Re: [FYI] Neue Lücke(n) Im Kernel

Post by andreask2 » 2004-08-09 11:27

Und auch das passende grsec-patch, entsprechend auch grsec-sourcen von Gentoo.

crasline
Posts: 121
Joined: 2002-05-11 18:39

Re: [FYI] Neue Lücke(n) Im Kernel

Post by crasline » 2004-08-12 21:45

irgendwie wunderts mich das CC noch nix dazu gesagt hat ;)

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: [FYI] Neue Lücke(n) Im Kernel

Post by captaincrunch » 2004-08-14 09:00

Da kein zwingender Grund besteht, zeitnah den 2.4.27er inkl. GRSec rauszubringen (die nötigen Patches sind in der aktuellen Version enthalten), teste ich das ganze vorher halt noch etwas durch...das sollte schließlich auch im Sinne derjenigen sein, die das Ding nachher im Produktiveinsatz haben.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

Outlaw
Posts: 1500
Joined: 2002-12-04 10:22
Location: 4. Server von rechts, 2. Reihe von oben

Re: [FYI] Neue Lücke(n) Im Kernel

Post by Outlaw » 2004-10-04 12:55

Crasline wrote:nun ist ja 2.4.27 released worden ..
Nur 1&1 scheint das (noch) nicht zu interessieren, konnte keinen Kernel dieser Version dort finden ....

Gruß Outi

User avatar
Joe User
Project Manager
Project Manager
Posts: 11583
Joined: 2003-02-27 01:00
Location: Hamburg

Re: [FYI] Neue Lücke(n) Im Kernel

Post by Joe User » 2004-10-04 21:34

Kein Wunder, denn 1&1 pflegt lediglich das jeweils aktuelle Installationsimage und dieses basiert auf SuSE 9.1, d.h. Linux-2.6.x ;)
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

Outlaw
Posts: 1500
Joined: 2002-12-04 10:22
Location: 4. Server von rechts, 2. Reihe von oben

Re: [FYI] Neue Lücke(n) Im Kernel

Post by Outlaw » 2004-10-08 11:48

Und nu ?? Wat kann ich machen ?? Selbst kompilieren ??

Ich habe meinen letzten Kernel vor ca. 8 Jahren gebacken, trau mich net so recht an nen Rootserver Kernel (ausser nen fertigen austauschen).

Gruß Outi

sascha
RSAC
Posts: 1345
Joined: 2002-04-22 23:08

Re: [FYI] Neue Lücke(n) Im Kernel

Post by sascha » 2004-10-08 17:19

Und nu ?? Wat kann ich machen ?? Selbst kompilieren ??
Jepp.

Einfach die alte 1&1 config als .config ins neue Sourcen Verzeichnis kopieren, make oldconfig und dann wie üblich backen & installieren. So sollte es eigentlich klappen. :)