symlink.ch
Wissen Vernetzt - deutsche News für die Welt
 
symlink.ch
FAQ
Mission
Über uns
Richtlinien

Moderation
Einstellungen
Story einsenden

Suchen & Index
Ruhmeshalle
Statistiken
Umfragen

Redaktion
Themen
Partner
Planet

XML | RDF | RSS
PDA | WAP | IRC
Symbar für Opera
Symbar für Mozilla

Freunde
Benutzergruppen
LUG Switzerland
LUG Vorarlberg
LUGen in DE
SIUG
CCCZH
Organisationen
Wilhelm Tux
FSF Europe
Events
LinuxDay Dornbirn
BBA Schweiz
CoSin in Bremgarten AG
VCFe in München
Menschen
maol
Flupp
Ventilator
dawn
gumbo
krümelmonster
XTaran
maradong
tuxedo

 
Bufferoverflow ermöglicht Root-Exploit
Veröffentlicht durch XTaran am Montag 01. Dezember, 23:42
Aus der Auweia Abteilung
Linux ch schreibt "Wichert Akkermann weist im DSA-403-1 auf einen Bug in brk(), einem System-Call zur Änderung der Datensegmentgröße, hin. Dieser kann ausgenutzt werden, um durch einen Integer-Overflow Rootrechte unter Linux zu erlangen. Ein Programm kann so vollen Zugriff auf den Kernel-Adressraum erhalten. Der Bug ist gefixt ab Kernel Version 2.4.23, im 2.4er-Kerneltree sowie seit 2.6.0-test6 und ist nicht debian-spezifisch. "

"Das Gute: Wir wissen nun, wie die Debian-Server kompromitiert wurden. Symlink berichtete mehrmals" und auch Heise hatte am Wochenende nochmals Details dazu gebracht.

"Das Ärgerliche: Das Ganze scheint schon seit September (!) bekannt zu sein, wurde aber leider nicht veröffentlicht. (Gerüchte darüber gab es allerdings die ganze Zeit.) In den nächsten Tagen lohnt es sich also auf jeden Fall die einschlägigen Mailinglisten und Webseiten zu besuchen um mehr zu diesem Thema zu erfahren."

MS gegen Kindsmissbrauch im Internet | Druckausgabe | Filmindustrie: Keine Menschenwürde für Raubkopierer  >

 

 
symlink.ch Login
Login:

Passwort:

extrahierte Links
  • Heise
  • Linux
  • Symlink berichtete
  • mehrmals
  • Details dazu
  • DSA-403-1
  • Mehr zu Linux
  • Auch von XTaran
  • Diese Diskussion wurde archiviert. Es können keine neuen Kommentare abgegeben werden.
    Microsoft wird sich ins Faeustchen lachen (Score:2)
    Von dino (neil@franklin.ch.remove) am Tuesday 02. December, 01:00 MET (#1)
    (User #32 Info) http://neil.franklin.ch/
    ..., das die "ach so sichere" Open Source Gemeinde es schafft nen root Exploit Bug ueber Monate ungefixt zu lassen.

    Gratulationen an die Entscheidungstraeger, die damals nicht sofort ein 2.4.23 mit nur Bugfix drin nachgereicht haben. Ihr habt die ganze "MS ist unsicher, steigt auf Linux um" Strategie vernichtet. Guter Schuss in den eigenen Fuss.
    --
    hardware runs the world, software controls the hardware,
    code generates the software, have you coded today

    Re: Microsoft wird sich ins Faeustchen lachen (Score:1, Troll)
    Von bit (beat@rubis.ch) am Tuesday 02. December, 07:41 MET (#4)
    (User #2 Info) http://www.rubis.ch/~beat/
    Ich hoffe jetzt einmal, dass die Mircosofties nicht begreifen werden, welche Kacke hier einmal mehr gebaut wurde. Ich bin ehrlich gesagt ganz froh, dass der 2.6er Kernel nicht mehr von Marcelo Tossati sondern von Andrew Morton (Symlink berichtete) maintaint werden soll.

    I saw screens of green, red messages too, then came blue, shubidu
    And i think to myself, what a wunderful world

    Re: Microsoft wird sich ins Faeustchen lachen (Score:2, Informativ)
    Von XTaran (symlink /at/ deux chevaux /dot/ org) am Tuesday 02. December, 12:52 MET (#8)
    (User #129 Info) http://abe.home.pages.de/
    Morton ist aber derjenige, der den Bug initial entdeckt hat. Und er hat ihn auch nicht bekannt gegeben...

    Nunja, die Entscheidung bzgl. 2.4.23 kann wohl nur bei Tossati gelegen haben, ja...

    Und ich werde so das dumme Gefühl nicht los, wenn die Debianer nicht den Bug durch ihre forensischen Untersuchungen aufgedeckt hätten, würden wir auch heute noch nix davon wissen.

    --
    There is no place like $HOME
    Re: Microsoft wird sich ins Faeustchen lachen (Score:3, Interessant)
    Von haruschi am Tuesday 02. December, 13:22 MET (#9)
    (User #791 Info)
    Ist ja schon gut, wenn sich alle zuerst mal über die ach so unverantwortlichen Kernel Maintainer aufregen, die nicht an die User denken...

    Laut einer Diskussion auf debian-devel [1] ist das ganze aber nicht ganz so einfach. Andrew Morton und auch alle Distributoren gingen davon aus, das es sich nur um einen normalen Bug und nicht um einen möglichen root Exploit handelte. Erst die Analyse nach dem Debian crack zeigte, dass sich dieser Bug für einen Root Exploit eignete.

    [1] http://lists.debian.org/debian-devel/2003/debian-devel-200312/msg00187.html
    Re: Microsoft wird sich ins Faeustchen lachen (Score:0)
    Von Anonymer Feigling am Tuesday 02. December, 16:22 MET (#15)
    du hättest von mir ein "-1, Troll" verdient, denn du machst hier nichts anderes, als andere an den Pranger zu stellen ohne selbst etwas Produktives zu leisten.

    Bei Linux sind es nicht "die da oben", denen man die Schuld geben kann. Auch du hättest schon lange ein Mail an die LKML schicken können und mit Nachdruck auf diesen lokalen Root-Exploit hinweisen können, statt im Nachhinein anderen Untätigkeit vorzuwerfen.

    Es wurde von der ganzen Community schlicht nicht erkannt, wie gravierend dieser Bug ist (dass er eben als Root Exploit dienen kann). Das Mehraugenprinzip (wie in der Open Source Entwicklung) ist das beste Mittel gegen solche Fehler, eine Garantie kann es aber auch nicht liefern.

    Das nächste Mal bitte selbst Hirn einschalten, bevor du wie ein N00b über andere herziehst. Denk an die Hacker-Ethik.
    Danke :-( (Score:0)
    Von Anonymer Feigling am Tuesday 02. December, 07:01 MET (#2)
    "but unfortunately that was too late for the 2.4.22 kernel release"
    Diese Entscheidung verstehe ich jetzt wirklich nicht. Wenn es ein solches Loch gibt dann sollte man doch verd@*ç& nochmal gleich 2.4.23 nachlegen, sowas kann doch echt nicht sein!
    Wer weis was sonst noch für Systeme durch den Bug betroffen sind.
    Error Handling (Score:1)
    Von gabisoft am Tuesday 02. December, 07:23 MET (#3)
    (User #881 Info) http://gabisoft.ch.vu/
    Wieso kann man nicht einfach, security patches veröfentlichen 2.4.22p2 oder sowas? Und immer wenn ein neuer Kernel herauskommt weiss man welche Bug der alte hatte, war schon bei 2.4.21 so. Schade, man weiss ja eingentlich das das verstecken vor allem bei OpenSource Software nicht funktioniert.
    Re: Error Handling (Score:1)
    Von rca am Tuesday 02. December, 08:27 MET (#5)
    (User #419 Info)
    Das wird ja von den meisten Distributionen auch gemacht. Gepatchte Kernels rausbringen, mein ich.
    Anfängerfrage (Debian Kernel Update) (Score:1)
    Von neo am Tuesday 02. December, 09:19 MET (#6)
    (User #379 Info) http://homepage.mac.com/pkis
    Ist mir mir ziemlich peinlich - aber da ich meinen remote-admin Server nicht zerschiessen will: Wie wird das Update installiert? apt-get update und apt-get dist-upgrade machen gar nichts (ja, security.debian.org steht in der sources.list). Können Kernel-Updates überhaupt via apt-get installiert werden, oder muss das händisch erledigt werden?
    Re: Anfängerfrage (Debian Kernel Update) (Score:2)
    Von gabisoft am Tuesday 02. December, 09:35 MET (#7)
    (User #881 Info) http://gabisoft.ch.vu/
    Ja, wenn das Orginal Debian Kernel Image installiert ist. Das Package heisst sowas wie kernel-image-2.4.18-1-386.

    Nein, wenn man einen eigenen Kernel gebacken hat. Dann sollte man den neusten Kernel von www.kernel.org herunterladen, mit z.b. mit make menuconfig konfigurieren und danach mit make-kpkg --revision=1.0 kernel_image kompilieren. Das Tool generiert automatisch ein Debian Packgage, welches danach einfach mit dpkg installiert werden kann.
    Achtung mit initrd! (Score:2, Informativ)
    Von maNic am Tuesday 02. December, 14:27 MET (#11)
    (User #341 Info)

    Vorsicht!

    Ich habe vor ein paar Monaten auch zum ersten Mal auf meiner Debian-Kiste einen Kernel direkt von kernel.org runtergeladen und mit make-kpkg (Ein geniales Tool, so nebenbei) gebacken.

    Funktioniert alles prima, solange man keine initrd verwendet. make-kpkg erzeugt nämlich initrd's, die von einem kernel.org - Kernel nicht gelesen werden können. Da braucht es einen speziellen Debian-Patch, den ich leider bis jetzt nirgends 'standalone' gefunden habe.

    Abhilfe: Kein initrd verwenden oder warten, bis der neue Kernel gepatcht als kernel-source...deb in unstable erscheint. Das .deb kann auch auf einem woody-System mit dpkg -i installiert werden, ohne gleich auf testing/unstable ugraden zu müssen.

    Es gibt auch noch die Möglichkeit, mkinitrd.conf so anzupassen, dass kein cramfs sondern ein anderes Format für die initrd verwendet wird. Das habe ich allerdings nicht getestet. AFAIK müsste ein 'plain vanilla' kernel diverse andere komprimierte Formate lesen können.


    Patch gefunden ! (Score:1)
    Von maNic am Wednesday 03. December, 12:10 MET (#18)
    (User #341 Info)

    Da hat sich doch mal einer die Mühe gemacht, den Patch zu extrahieren. Allerdings gesteht der Autor des Blogs, dass er seinen Kernel trotzdem nicht zum Laufen gebracht hat, ich habe es auch noch nicht getestet. Aber besser als nichts.


    local-exploit? Wer war das? (Score:2)
    Von P2501 am Tuesday 02. December, 13:58 MET (#10)
    (User #31 Info) http://www.p2501.ch/

    Using this bug it is possible for a userland program to trick the kernel into giving access to the full kernel address space.

    Man muss also erst ein Programm auf die Kiste bringen und starten. Jemand mit User-Zugriff hat das Ding wohl dort platziert. Fragt sich also weiterhin, wer dahinter steckt.


    --
    Linux ist eine Turboprop. HURD ist ein Düsenjetprototyp, der seinen Heimatflughafen nie verlassen hat.

    Re: local-exploit? Wer war das? (Score:1)
    Von dino (neil@franklin.ch.remove) am Tuesday 02. December, 15:04 MET (#13)
    (User #32 Info) http://neil.franklin.ch/
    Jemand mit User-Zugriff hat das Ding wohl dort platziert

    Ja, das ist aber bereits laenge gesichert. Jemand sein Passwort wurde gesnifft.
    --
    hardware runs the world, software controls the hardware,
    code generates the software, have you coded today

    Patch? (Score:0)
    Von Anonymer Feigling am Tuesday 02. December, 14:38 MET (#12)
    Gibt es einen einzelen kleinen Patch denn ich am entsprechender Stelle meiner Kernel-Sources einfuegen kann?
    Dann kann ich alles beim alten lassen, nur diesen Bug fixen und neu kompilieren.
    Re: Patch? (Score:0)
    Von Anonymer Feigling am Tuesday 02. December, 16:11 MET (#14)
    Das würde ich nicht machen, denn vermutlich hat dein alter Kernel auch sonst noch ein paar Sachen, die in der aktuellsten Version besser gelöst sind.

    1.) neuen Kernel runterladen und in /usr/src entpacken
    2.) cd /usr/src/neuerkernel
    3.) make mrproper
    4.) cp ../alterkernel/.config .
    5.) make oldconfig

    danach wie üblich den Kernel inklusive Module neu kompilieren und installieren:

    6.) make dep bzImage modules modules_install

    (dep ist ab 2.6.x nicht mehr nötig)

    7.) cp arch/i386/boot/bzImage /boot/bzImage-neuerkernel

    (bzw. statt i386 deine architektur angeben)

    und bei grub das menu aktualisieren oder mit lilo den neuen Kernel eintragen
    Re: Patch? (Score:0)
    Von Anonymer Feigling am Tuesday 02. December, 18:09 MET (#16)
    BTW du kannst statt des ganzen neuen Kernels natürlich auch nur den Patch von der Vorversion zur aktuellen Version runterladen (spart Zeit und Bandbreite). Den musst du dann aber noch anwenden.
    Re: Patch? (Score:1)
    Von haruschi am Tuesday 02. December, 18:11 MET (#17)
    (User #791 Info)
    Das würde ich nicht machen, denn vermutlich hat dein alter Kernel auch sonst noch ein paar Sachen, die in der aktuellsten Version besser gelöst sind.

    Ich würde das an seiner Stelle genau so machen (zumindest wenn das installieren eines Update von meiner Distribution keine Option ist). Sicherheitsupdates sollte immer so klein wie möglich sein, damit nicht nebenbei irgendetwas anderes plötlich nicht mehr funktioniert, das vorher lief. Updates würde ich nur machen, wenn ich auch weis, dass es etwas bringt und nicht einfach aus Prinzip.

    Linux User Group Schweiz
    Durchsuche symlink.ch:  

    Never be led astray onto the path of virtue.
    trash.net

    Anfang | Story einsenden | ältere Features | alte Umfragen | FAQ | Autoren | Einstellungen