kmod / ptrace - Kernelbug

Lesenswerte Artikel, Anleitungen und Diskussionen
captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

kmod / ptrace - Kernelbug

Post by captaincrunch » 2003-03-20 13:08

Wer lokale Shell-User auf seinem Rootie hat, sollte schnellstens über ein Kernel-Update nachdenken :
http://www.securityfocus.com/archive/1/ ... 03-03-23/0

Systeme, die ptrace per GRSecurity deaktivieren sind nicht betroffen ...
Last edited by captaincrunch on 2003-03-20 14:09, edited 1 time in total.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

standbye
Posts: 146
Joined: 2002-10-16 18:05
Location: daheim :)

Re: kmod / ptrace - Kernelbug

Post by standbye » 2003-03-20 13:55

hmm gibts scho irgendwo n how to zwecks kernel update bei nem rooti?

ich glaub vom kernel lass ich lieber die finger da hab ich bisher noch nciht wirklich viel mit gemacht ;)

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: kmod / ptrace - Kernelbug

Post by captaincrunch » 2003-03-20 14:03

Entweder wartest du auf die Updates des Distributors deines geringstens Misstraunes, oder nimmst z.B. diese hier : http://www.rootforum.org/faq/index.php? ... =010&id=45
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

paulchen
Posts: 34
Joined: 2003-02-08 16:08
Location: Horst...wo ist "Horst" ??? ...na gut...Hamburg :-)

Re: kmod / ptrace - Kernelbug

Post by paulchen » 2003-03-20 15:04

noch hat SuSE leider nix im Angebot......

Paulchen

standbye
Posts: 146
Joined: 2002-10-16 18:05
Location: daheim :)

Re: kmod / ptrace - Kernelbug

Post by standbye » 2003-03-20 15:31

nunja die rooties haben ja nen anderen kernel als die suse original version deswegen bin ich mir nicht sicher ob ein suse patch das geht?!

phisch
Userprojekt
Userprojekt
Posts: 41
Joined: 2002-06-07 17:45
Location: Flagstaff

Re: kmod / ptrace - Kernelbug

Post by phisch » 2003-03-20 15:40

Das ist ne gute Frage, mir hat 1und1 auch den aktuellen 2.4.20er drauf. Gibt es die 1und1-Kernels eigentlich auch irgenwo? Gebaut werden sie ja, so wie es aussieht...

phisch

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: kmod / ptrace - Kernelbug

Post by captaincrunch » 2003-03-20 15:57

Falls ihr den Link noch nicht gelesen habt :
Solutions/workarounds:
- patch the kernel
or
- disable kmod/modules
or
- install a ptrace-blocking module
or
- set /proc/sys/kernel/modprobe to /any/bogus/file
Die Möglichkeit ganz unten ist so ziemlich das schnellste, was man machen kann, da auf Rooties wohl kaum jemand so extensiv mit Modulen rumspielen wird ... :wink:
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

kase
RSAC
Posts: 1041
Joined: 2002-10-14 22:56

Re: kmod / ptrace - Kernelbug

Post by kase » 2003-03-20 18:14

>- set /proc/sys/kernel/modprobe to /any/bogus/file

???

bedeutet dass einfach:

mv /proc/sys/kernel/modprobe /proc/sys/kernel/modprobe.irgendwas

und fertig ?

Modprobe brauch ich doch nur, um zu testen, ob ein kernelmodul geladen ist, oder ? Hätte ich durch diese Methode noch andere Nachteile ?

scythe42
RSAC
Posts: 154
Joined: 2002-10-14 18:30
Location: Internet

Re: kmod / ptrace - Kernelbug

Post by scythe42 » 2003-03-20 20:40

Ich sag doch immer kein Module Support aufm Root-Server. Macht ja auch kein Sinn, da sich die Hardware nie ändert...

kase
RSAC
Posts: 1041
Joined: 2002-10-14 22:56

Re: kmod / ptrace - Kernelbug

Post by kase » 2003-03-20 21:44

kase wrote:>- set /proc/sys/kernel/modprobe to /any/bogus/file
bedeutet dass einfach:

mv /proc/sys/kernel/modprobe /proc/sys/kernel/modprobe.irgendwas

und fertig ?
In einem anderen Forum habe ich gelesen, dass bedeutet, man müsse irgendeine leere Datei in modprobe schreiben, also so:

cat /pfad/leere.datei > /proc/sys/kernel/modprobe

Was genau muss man denn nun tun ?

v00dy
RSAC
Posts: 25
Joined: 2002-07-09 14:16
Location: NRW

Re: kmod / ptrace - Kernelbug

Post by v00dy » 2003-03-21 07:22

Was genau muss man denn nun tun ?
echo /nix > /proc/sys/kernel/modprobe

damit ist man gegen den exploit erstmal geschützt.
man sollte aber bevor man rebootet die alten daten wieder reinschreiben.
echo /sbin/modprobe > /proc/sys/kernel/modprobe

Outlaw
Posts: 1500
Joined: 2002-12-04 10:22
Location: 4. Server von rechts, 2. Reihe von oben

Re: kmod / ptrace - Kernelbug

Post by Outlaw » 2003-03-21 11:56

v00dY wrote:
Was genau muss man denn nun tun ?
echo /nix > /proc/sys/kernel/modprobe

damit ist man gegen den exploit erstmal geschützt.
man sollte aber bevor man rebootet die alten daten wieder reinschreiben.
echo /sbin/modprobe > /proc/sys/kernel/modprobe
Hmmmm, bin zwar neu in dem Gebiet aber was ich nicht verstehe ist, was ändert sich, wenn ich erst das File ändere und dann wieder "die alten Daten reinschreibe" ??
:D Gruß Outi :D

sascha
RSAC
Posts: 1345
Joined: 2002-04-22 23:08

Re: kmod / ptrace - Kernelbug

Post by sascha » 2003-03-21 13:47

Es geht IMHO darum dass es sonst bei einem reboot des Systems zu Problemen kommen kann... nach einem Neustart musst du den "Fix" natürlich erneut anwenden!

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: kmod / ptrace - Kernelbug

Post by captaincrunch » 2003-03-21 13:50

nach einem Neustart musst du den "Fix" natürlich erneut anwenden!
Eben drum ist ein Kernel-Update ja auch angeraten ... :wink:
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

kase
RSAC
Posts: 1041
Joined: 2002-10-14 22:56

Re: kmod / ptrace - Kernelbug

Post by kase » 2003-03-21 13:53

Für Debian gibts aber noch keins ;)

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: kmod / ptrace - Kernelbug

Post by captaincrunch » 2003-03-21 13:56

Für Debian gibts aber noch keins
Sofern du GRSecurity drauf hast, brauchst du dir sowieso keine Sorgen machen. Ich hab den Exploit gestern mal auf ein paar (meiner eigenen :wink: ) Kisten ausprobiert. Ist schon krass, daher bin ich auch immer mehr von GRSecurity überzeugt ...
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

kase
RSAC
Posts: 1041
Joined: 2002-10-14 22:56

Re: kmod / ptrace - Kernelbug

Post by kase » 2003-03-21 14:34

nee, ich habe keinen GRSecurity drauf. Habe auch keine weiteren SSH User. Trotzdem habe ich ein ungutes Gefühl, ein Sicherheitsloch zu haben, auch wenns keiner nutzen kann :D

sascha
RSAC
Posts: 1345
Joined: 2002-04-22 23:08

Re: kmod / ptrace - Kernelbug

Post by sascha » 2003-03-21 14:36

Du brauchst keinen Shelluser... es gibt bereits ein CGI Script das die Lücke ausnützt :wink:

kase
RSAC
Posts: 1041
Joined: 2002-10-14 22:56

Re: kmod / ptrace - Kernelbug

Post by kase » 2003-03-21 15:39

ja, aber für das CGI Script brauchst du doch SSH Access um es auszuführn oder es auf den webspace hochzuladen...

rocko
Posts: 30
Joined: 2003-01-16 20:44
Location: Hannover

Re: kmod / ptrace - Kernelbug

Post by rocko » 2003-03-21 15:39

Ist bei GRSecurity der Bug schon fixed, oder kann man da bloß die Sicherheitslücke nicht ausnutzen, weil GRSecurity das nicht zulässt?

P.S. Hab auch den grsec kernel patch drauf *g*

kase
RSAC
Posts: 1041
Joined: 2002-10-14 22:56

Re: kmod / ptrace - Kernelbug

Post by kase » 2003-03-21 15:43

Dort kann man sooviel ich weiß ptrace deaktivieren, dass heißt, eine Funktion, die gebraucht wird, ist gesperrt. Allerdings musst du diese bei den Settings auch gesperrt haben...

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: kmod / ptrace - Kernelbug

Post by captaincrunch » 2003-03-21 15:43

Ist bei GRSecurity der Bug schon fixed, oder kann man da bloß die Sicherheitslücke nicht ausnutzen, weil GRSecurity das nicht zulässt?
Je nachdem, wie du den Patch kompiliert hast, lässt du ptrace einfach nicht zu, was den Erfolg des Exploits zunichte macht ...

Falls du die Option nicht mit drin hast (nachzuschauen unter /proc/sys/kernel/grsecurity/usw ...) kann die Lücke immer noch ausgenutzt werden ...
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

[tom]
RSAC
Posts: 671
Joined: 2003-01-08 20:10
Location: Berlin

Re: kmod / ptrace - Kernelbug

Post by [tom] » 2003-03-21 16:03

CaptainCrunch wrote:Falls ihr den Link noch nicht gelesen habt :
Solutions/workarounds:
- patch the kernel
or
- disable kmod/modules
or
- install a ptrace-blocking module
or
- set /proc/sys/kernel/modprobe to /any/bogus/file
Die Möglichkeit ganz unten ist so ziemlich das schnellste, was man machen kann, da auf Rooties wohl kaum jemand so extensiv mit Modulen rumspielen wird ... :wink:
Würds du dafür wetten, dass das reicht? Gib mir doch mal kurz nen Account auf Deiner Kiste. :-)

Naja, vielleicht klappt es mit GRSecurity nicht.

[TOM]

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: kmod / ptrace - Kernelbug

Post by captaincrunch » 2003-03-21 16:10

Würds du dafür wetten, dass das reicht? Gib mir doch mal kurz nen Account auf Deiner Kiste.
In dem Fall würde ich ... hab's schon den einen oder anderen Test hinter mir ... :wink:
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

sascha
RSAC
Posts: 1345
Joined: 2002-04-22 23:08

Re: kmod / ptrace - Kernelbug

Post by sascha » 2003-03-21 17:13

kase wrote:ja, aber für das CGI Script brauchst du doch SSH Access um es auszuführn oder es auf den webspace hochzuladen...
Nein, FTP oder sonstwas womit man Daten auf den Server bekommt reicht.