We are in the process of migrating this forum. A new space will be available soon. We are sorry for the inconvenience.

Local root Exploit für alle Linux Kernel seit 2001


kro
14.08.09, 18:46
kro wrote:
> updates folgen dann hier.


http://forum.ovh.de/showthread.php?t=7316
--
Felix
OVH Team

kro
14.08.09, 16:06
kro wrote:
> Die OVH-netboot-kernel werden natürlich geprüft, und entsprechend angepasst.


Kleine aktualisierte Info hierzu: von den über den Manager und auf dem
ftp-server verfügbaren Kerneln ist die Lücke ausschliesslich bei den
ipv6-fähigen Kernel ausnutzbar. Die Kernel werden in diesem Moment
aktualisiert, updates folgen dann hier.
--
Felix
OVH Team

pendulum
14.08.09, 11:48
Hm, komisch dass da nichts in dem Advisory dazu steht. Ich denke es ist ein Weg unter mehreren PulseAudio zur hilfe zu nehmen.

kro
14.08.09, 11:42
pendulum wrote:
> Wie kommst du darauf? Ich glaub du verwechselst diesen Bug mit einem
> anderen, der kürzlich die Runde machte (auch NULL-Pointer Problem).
> Weder braucht man hier "eine ganze Menge anderer Verbindungen" (auch
> kein PulseAudio), noch ist es nicht trivial ihn auszunutzen.
>
> Kannst ja mal ausprobieren:
> http://grsecurity.net/~spender/wunderbar_emporium.tgz


pwnkernel.c
34 execl(PULSEAUDIO_PATH, PULSEAUDIO_PATH, "--log-level=0", "-L", PATH_TO_EXPLOIT, NULL);
--
Felix
OVH Team

as1x
14.08.09, 11:23
Zitat Zitat von heise.de
Der neue Exploit ermöglichte in einem kurzen Test der heise-Security-Redaktion auf einem vollständig gepatchen Ubuntu 8.10 den Root-Zugriff auf das System.
http://www.heise.de/newsticker/Kriti...meldung/143515

pendulum
14.08.09, 10:43
Zitat Zitat von kro
Es ist eine Sicherheitslücke, ganz richtig - aber die Ausnutzung ist nicht
trivial. Bisher kursierende Exploits brauchen noch eine ganze Menge anderer
Vorbedingungen, neben einem lokalen account ist dies z.B. ein installiertes
PulseAudio.
Wie kommst du darauf? Ich glaub du verwechselst diesen Bug mit einem anderen, der kürzlich die Runde machte (auch NULL-Pointer Problem).
Weder braucht man hier "eine ganze Menge anderer Verbindungen" (auch kein PulseAudio), noch ist es nicht trivial ihn auszunutzen.

Kannst ja mal ausprobieren: http://grsecurity.net/~spender/wunderbar_emporium.tgz

Ein quick Fix wäre "vm.mmap_min_addr = 65536" in /etc/sysctl.conf einzutragen.


Edit: hm im Exploitcode kommt zwar pulseaudio vor, aber wird nur gekillt. Glaub nicht, dass es benötigt wird. Jedenfalls steht sonst nirgends dergleichen.

kro
14.08.09, 10:24
pendulum wrote:
> Debian hat grad noch keine Patches. Ich denk spätestens morgen wirds
> Updates geben.


Dennoch (in grossen, freundlichen Buchstaben): Keine Panik!

Es ist eine Sicherheitslücke, ganz richtig - aber die Ausnutzung ist nicht
trivial. Bisher kursierende Exploits brauchen noch eine ganze Menge anderer
Vorbedingungen, neben einem lokalen account ist dies z.B. ein installiertes
PulseAudio.

Die OVH-netboot-kernel werden natürlich geprüft, und entsprechend angepasst.
--
Felix
OVH Team

pendulum
13.08.09, 23:53
http://archives.neohapsis.com/archiv...9-08/0174.html

Debian hat grad noch keine Patches. Ich denk spätestens morgen wirds Updates geben.