LINUX.ORG.RU

Обнаружена очередная local root уязвимость в ядре Linux 3.8

 , ,


0

2

В рассылке OSS-security появился тривиальный эксплоит для ядра 3.8, который посредством использования вызова clone() с параметрами CLONE_NEWUSER|CLONE_FS позволяет непривилегированному пользователю получить права суперпользователя.

Эксплоит работает только в том случае, если в ядре встроена поддержка namespaces, а также у пользователя есть права на запись в корневую файловую систему (в большом количестве систем корень и домашний раздел находятся на одном и том же разделе).

Для запуска эксплоита в 32-битном окружении, поменяйте все вхождения lib64 на lib, а ld-linux-x86-64.so.2 на ld-linux.so.2.

>>> Подробности

★★★★★

Проверено: Shaman007 ()
Последнее исправление: Klymedy (всего исправлений: 3)
Ответ на: комментарий от xtraeft

Причем тут это. Что бы эксплоит заработал, нужно что бы выполнялось множество «если». Не на всех машинах все эти «если» соблюдены.

ivanlex ★★★★★
()
Ответ на: комментарий от actics

Множество софта пишет логи от имени пользователей, из-под которых запущено, множество использует там свои рабочие директории. Там очень часто многое перезаписывается и меняется.

В /usr/ же на запись имеет право только root и данные там статичны и меняются только при обновлении.

Ну и плюс к этому потеря /var - некритична для работы системы, а потеря /usr не испортит мои данные(бд, логи, данные сайтов, почту и т.д.).

В общем, как обычно, всё должно быть отдельно и независимо.

shell-script ★★★★★
()
Ответ на: комментарий от tailgunner

А ведь багфикс не будет перенесен в LTS-ядра!!!11

Ответ на: комментарий от i_gnatenko_brain 14.03.2013 12:41:13
у тебя слишком древнее ядро для этого эксплойта, обновись

/0 там чинить не нужно.

bhfq ★★★★★
()
Ответ на: комментарий от xtraeft

Вот я и удивлен. Столько «если», а шумиху подняли, как будто 99 машинок из ста буду подвержены сабжу.

ivanlex ★★★★★
()
Ответ на: комментарий от Citramonum

Поясните, что такое права пользователя на запись в файловую систему?

Возможность пользователя создать файл/каталог хоть в каком-нибудь месте на этой файловой системе.

no-dashi ★★★★★
()
Ответ на: комментарий от ivanlex

Эксплоит нужен лишь для демонстрации уязвимости, при реальной эксплуатации, естественно, учитываются все «если» и завирусованный андроид на «безопасном» линуксе тому пример.

Reset ★★★★★
()
Ответ на: комментарий от shell-script

Я до сих пор просто не могу понять как мне лучше диск бить. в /usr и так имеет право только root. Как связана возможность потери и разбитие на разделы?

actics
()

Может не стоит сообщать пользователям о подобных вещах? Это не способствует популяризации Linux. Нужно говорить, что всё ЗДОРОВО, всё ХОРОШО! =)

flowers4ever
()
Ответ на: комментарий от ivanlex

Они все такие, ибо эксплоит служит лишь для демонстрации, чтобы скрипт-кидди не смогли их применять на практике.

Reset ★★★★★
()
Ответ на: комментарий от anonymous

Везёт тебе. А у меня:

[+] Found myself: '/0/a.out'

  • Parent waiting for boomsh to appear ...
  • Setting up chroot ...
    [+] Done.
  • Cloning evil child ...
    [-] clone: Invalid argument

    И зависон.
    Пускаю с корня, юзер — хозяин у /0.
    CONFIG_NAMESPACES=y

    Может что не так делаю?
imul ★★★★★
()

На RHEL6 не работает :-(

$ ./a.out [**] clown-newuser — CLONE_NEWUSER local root (C) 2013 Sebastian Krahmer

[+] Found myself: '/tmp/xxx/a.out'

  • Parent waiting for boomsh to appear ...
  • Setting up chroot ... [+] Done.
  • Cloning evil child ... [-] clone: Operation not permitted ^C
anonymous
()

где тег «решето»?

по теме: что-то в последнее время что-то часто находить уязвимости стали. работа кипит)

ymn ★★★★★
()
Ответ на: комментарий от tailgunner

Нет, я в командировке на постном канале. Временно в ногу со временем не шагаю и поэтому довольствуюсь только 3.8.2.

imul ★★★★★
()
Ответ на: комментарий от tailgunner

birdie ракует, что фиксы безопасности на LTS не переносятся.

Т.е. это не так? Я просто не в курсе.

IPR ★★★★★
()

а также у пользователя есть права на запись в корневую файловую систему

Короче понятно. Эксплойт у нормальных людей сработает только от рута.

shahid ★★★★★
()
Ответ на: комментарий от flowers4ever

Может не стоит сообщать пользователям о подобных вещах? Это не способствует популяризации Linux. Нужно говорить, что всё ЗДОРОВО, всё ХОРОШО! =)

Наоборот, надо говорить, что всё плохо, надо писать новость про каждую незначительную ошибку, а про новомодные свистелки умалчивать. Только так можно спасти GNU/Linux от захвата жадными виндузятниками.

anonymous
()
Ответ на: комментарий от Pyzia

Я думаю ищат.
Винда не мене дырявая, а скорее всего даже намного более. Линукс это сервера, а значит правильная уязвимость может принести много денег. Здесь это делать проще и полезнее. Так что количество найденых уязвимостей это скорее плюс, чем минус. Другое дело, что их ещё нужно править быстро :)

actics
()
Ответ на: комментарий от Polugnom

Так и Testing тоже, но я честно сказать не особо горюю по этому поводу... Как уже высказался один из комментаторов, «соберите с нужным компилятором и дайте права»... В общем фиксить конечно нужно, но юзерам оно не грозит.

t500s ★★★
()
Ответ на: комментарий от ymn

Ну так оно и к лучшему, значит тестят, проверяют, работают. А по теме найдите мне машину, которая до этой новости соблюдала ВСЕ условия для эксплуатации данной уязвимости.

t500s ★★★
()
Ответ на: комментарий от Citramonum

Поясните, что такое права пользователя на запись в файловую систему?

имелся ввиду корневой раздел. Дело в том, что нельзя хардлинки делать в разные разделы, и есть ещё некоторые ограничения.

например

$ ln x1 /tmp/x2
ln: не удалось создать жёсткую ссылку «/tmp/x2» => «x1»: Неверная ссылка между устройствами
обрати внимание, что создавать файлы мне там можно, а делать хардлинки - нельзя. И это только потому, что это другой раздел.

drBatty ★★
()
Ответ на: комментарий от actics

Я до сих пор просто не могу понять как мне лучше диск бить. в /usr и так имеет право только root.

Писать туда может только root, но вот я до сих пор могу загрузить минимальную систему с побитым /usr и прогнать fsck, несмотря на крики о том, что это не нужно.

Как связана возможность потери и разбитие на разделы?

Я не силён в теории, но мне приходилось видеть системы, у которых полностью был поломан один из разделов, а с других всё отлично читалось. Поломался /usr, скажем, данные с /var ты вытянул, систему переустановил(или с аналогичной /usr скопировал, если есть возможность) и работаешь дальше. Было бы всё вместе, потерялось бы всё. Да, понимаю, что бекапы рулят, но дополнительная возможность обезопасить себя для меня никогда не будет лишней. Тем более, что телодвижений для этого особо много делать не надо.

Тут же вроде уже много раз это всё обсуждалось. Поищи поттерингосрачи по поводу отдельного /usr.

shell-script ★★★★★
()
Ответ на: комментарий от Pyzia

Одну минуточку, а кто-то ищет уязвимости в оффтоповских бинарниках?

ищут, находят, и продают. А тебе зачем?

drBatty ★★
()
Ответ на: комментарий от shell-script

Писать туда может только root, но вот я до сих пор могу загрузить минимальную систему с побитым /usr и прогнать fsck

а я - могу. В чём проблема?

drBatty ★★
()
Ответ на: комментарий от tailgunner

Он говорил, что не все фиксы переносятся, ибо security fix'ы от обычных не отличаются, согласно политике партии, простите Торвальдса.

Не надо перевирать чужие слова.

Хотя, что ждать от «Старый быдлокодер и тролль.» - это из вашего профиля.

anonymous
()
Ответ на: комментарий от anonymous

Он говорил, что не все фиксы переносятся

Вот я и беспокоюсь.

Хотя, что ждать от «Старый быдлокодер и тролль.» - это из вашего профиля.

А еще там написано, что у меня скверный характер.

tailgunner ★★★★★
()
Ответ на: комментарий от shell-script

Внимательнее читай. Я как раз написал, что могу загрузить минимальную систему.

а, ну да. Извини.

drBatty ★★
()
Ответ на: комментарий от Reset

и завирусованный андроид на «безопасном» линуксе тому пример.

Очередной резетный громкий пук в лужу.

Андроид заражается в подавляющем большинстве самим пользователем через «у вас опера устарела» при включенной галке «неизвестные источники» и через установку полного говна из кетайских варезников.

Deleted
()
Ответ на: комментарий от tailgunner

А ведь багфикс не будет перенесен в LTS-ядра!!!11

Ты про ядра от kernel.org? Ну тогда это должны сделать мейнтейнеры дистра, разве нет?

true_admin ★★★★★
()
Ответ на: комментарий от true_admin

А ведь багфикс не будет перенесен в LTS-ядра!!!11

Ты про ядра от kernel.org?

Во-первых, это подколка (даже дважды подколка); во-вторых - да, я про ядра от kernel.org.

Ну тогда это должны сделать мейнтейнеры дистра, разве нет?

Не понимаю, причем тут мэйнтейнеры дистров.

tailgunner ★★★★★
()
Ответ на: комментарий от derlafff

Лень ядро пересобирать/перезагружаться, а CONFIG_USER_NS включён?

backbone ★★★★★
()
Ответ на: комментарий от tailgunner

это подколка

Хм, я не въехал, я думал ты знаешь что-то чего не знаем мы :).

Не понимаю, причем тут мэйнтейнеры дистров.

У них задача обеспечивать безопасность системы.

true_admin ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.