local root exploit kernel 2.2 und 2.4
local root exploit kernel 2.2 und 2.4
steht hier ja noch gar nicht.
hier der patch für kernel 2.4.20 und 2.4.21
http://www.hardrock.org/kernel/2.4.20/l ... race.patch
hier der patch für kernel 2.2
ftp://ftp.kernel.org/pub/linux/kernel/v2.2/
hier der patch für kernel 2.4.20 und 2.4.21
http://www.hardrock.org/kernel/2.4.20/l ... race.patch
hier der patch für kernel 2.2
ftp://ftp.kernel.org/pub/linux/kernel/v2.2/
Der Exploit ist ja ganz schön übel.
Ich glaube in vielen Firmen (vor allen Unis) ist gerade ganz schön was los
Hab den Exploit mal getestet. Unheimlich...
Da zeigt es sich wieder:
Erzeuge keine unnötigen Accounts...
ciao
Walde
Ich glaube in vielen Firmen (vor allen Unis) ist gerade ganz schön was los
Hab den Exploit mal getestet. Unheimlich...
Da zeigt es sich wieder:
Erzeuge keine unnötigen Accounts...
ciao
Walde
JABBER: walde@amessage.de
Ich habe das sample exploit: http://august.v-lo.krakow.pl/~anszom/km3.c ausprobiert. Der Bug ist richtig übel, wenn man bedenkt das auf vielen Rechnern wahrscheinlich kein Kernel Patch einspielt wird.
Mich hat auch gewundert wie wenig darüber berichtet wird.
eagle
PS. Funktioniert der ptrace-patch-2.4 20 auch für den 2.4.18?
Mich hat auch gewundert wie wenig darüber berichtet wird.
eagle
PS. Funktioniert der ptrace-patch-2.4 20 auch für den 2.4.18?
Zuletzt geändert von eagle am 23.03.2003 09:01:03, insgesamt 1-mal geändert.
Welchen Kernel benutzt du denn? Ich habe noch den 2.4.18 von Woody.Blooddrinker hat geschrieben:uff
und wie kann ich meinen kernel mit diesem patch patchen? (hab sowas noch nie gemacht)
Zum Patchen brauchst du die Kernel Sourcen und das Paket patch. Außerdem könnten die Pakete dh-kpatches und kernel-patch-scripts weiterhelfen. Im Linux Anwenderhandbuch gibt es ein Kapitel zum Thema Kernel bauen.
eagle
Na war auch nicht so gemeint .Blooddrinker hat geschrieben:kernel selbst gebaut hab ich schon unzählige male
Normalerweise macht man das patch -p0 < patch-file.
PS. Bin z.Z im Chat.
Zuletzt geändert von eagle am 23.03.2003 08:59:45, insgesamt 1-mal geändert.
zum grsecurity-Patch: http://www.rootforum.de/howto/grsecurity.html
- suntsu
- Beiträge: 2947
- Registriert: 03.05.2002 10:45:12
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: schweiz
-
Kontaktdaten:
k, danke.
Noch ein paar Fragen:
Wenn ich das Script "patch-kernel" ausführe wird nur die Version meines aktuellen Kernels ausgegeben, obwohl der patch unter linux(zum testen auch unter script) lag. Was muss ich noch machen damit ich damit meinen Kernel patchen kann?
Wo sehe ich ob der Patch nach dem Kompilieren auch angewendet wird(ob er korrekt installier ist?)
Und wiso gibt es den patch nicht auf kernel.org? Kann man dem Link den try angegeben hat vertrauen(me ist zwar sonst ned so paranoid, ist nur ne Frage)?
gruss
manuel
Noch ein paar Fragen:
Wenn ich das Script "patch-kernel" ausführe wird nur die Version meines aktuellen Kernels ausgegeben, obwohl der patch unter linux(zum testen auch unter script) lag. Was muss ich noch machen damit ich damit meinen Kernel patchen kann?
Wo sehe ich ob der Patch nach dem Kompilieren auch angewendet wird(ob er korrekt installier ist?)
Und wiso gibt es den patch nicht auf kernel.org? Kann man dem Link den try angegeben hat vertrauen(me ist zwar sonst ned so paranoid, ist nur ne Frage)?
gruss
manuel
zur vollständigkeit
http://www.securityfocus.com/archive/1/ ... 03-03-23/0
http://www.securityfocus.com/archive/1/ ... 03-03-23/0
Patchen tut man die sourcen so:
Kernel sourcen entpacken nach /usr/src
wenn nötig einen link auf das source dir machen (also ln -s /sourcedir/ /usr/src/linux-2.4.20)
Danach das Patch file nach /usr/src/ kopieren.
patch -p0 <patchfile
nach diesem Befehl sollten einige Zeilen ala "patching file .." kommen und ihr könnt den Kernel übersetzen.
Wer zu faul ist den Kernel neu zu übersetzen soll sich das hier angucken:
http://www.securiteam.com/tools/5SP082K5GK.html
mit gcc -Wall -c bla.c
übersetzen, was ein Kernel modul ala bla.o ausgeben würde, das mit insmod laden und der Exploit sollte auch nicht mehr funktionieren.
Kernel sourcen entpacken nach /usr/src
wenn nötig einen link auf das source dir machen (also ln -s /sourcedir/ /usr/src/linux-2.4.20)
Danach das Patch file nach /usr/src/ kopieren.
patch -p0 <patchfile
nach diesem Befehl sollten einige Zeilen ala "patching file .." kommen und ihr könnt den Kernel übersetzen.
Wer zu faul ist den Kernel neu zu übersetzen soll sich das hier angucken:
http://www.securiteam.com/tools/5SP082K5GK.html
mit gcc -Wall -c bla.c
übersetzen, was ein Kernel modul ala bla.o ausgeben würde, das mit insmod laden und der Exploit sollte auch nicht mehr funktionieren.
Ich hab da mal, vielleicht dumme, frage. security.debian.org beschäftigt sich ja mit der Sicherheit des stabilen Release, es werden aber eigentlich keine Kernelupdates gefahren, sprich nur Programmpakete aktualisiert.
Was ist jetzt in einem solchen Fall, hier kommt man ja wohl um einen neuen (sprich gepatcheten) Kernel nicht herum und von der Sicherheitslücke liest man leider auf debian security auch nichts. Wie verfahren die denn in einem solchen Fall?
Was ist jetzt in einem solchen Fall, hier kommt man ja wohl um einen neuen (sprich gepatcheten) Kernel nicht herum und von der Sicherheitslücke liest man leider auf debian security auch nichts. Wie verfahren die denn in einem solchen Fall?
Ich habe gelesen, das der Patch bei Suse noch getested wird. Was mit Debian ist weiss ich leider auch nicht. Ich hoffe das apt-get upgrade bald mal was zum Thema sagt.
Fuer alle mit einer richtigen Multiuser Umgebung hilft wohl nur der manuelle Weg ueber den 2.4.20 und patch. Zur Not kann man wohl auch das Nachladen von Modulen verhindern mit echo /just/a/temporary/workaround > /proc/sys/kernel/modprobe.
eagle
Fuer alle mit einer richtigen Multiuser Umgebung hilft wohl nur der manuelle Weg ueber den 2.4.20 und patch. Zur Not kann man wohl auch das Nachladen von Modulen verhindern mit echo /just/a/temporary/workaround > /proc/sys/kernel/modprobe.
eagle
der Patch ist noch nicht offiziell, daher denke ich nicht das was kommt bevor er nicht von den Kernel Developern als offiziell verkündet wird, selbst Alan Cox (der den Patch geschrieben hat) wusste nicht sicher welche Auswirkungen er auf Anwendungen hat. Eine darauf kommentierende Person betonte das eine von ihm geschriebene Sandbox Anwendung nach patchen des Kernels nicht mehr funktionierte.Steffen hat geschrieben:Ich hab da mal, vielleicht dumme, frage. security.debian.org beschäftigt sich ja mit der Sicherheit des stabilen Release, es werden aber eigentlich keine Kernelupdates gefahren, sprich nur Programmpakete aktualisiert.
Was ist jetzt in einem solchen Fall, hier kommt man ja wohl um einen neuen (sprich gepatcheten) Kernel nicht herum und von der Sicherheitslücke liest man leider auf debian security auch nichts. Wie verfahren die denn in einem solchen Fall?
Naja, es wird wohl neue, gepatchte Kernel-Images geben und/oder gepatchte kernel-src Packages.
hm.. try
/der keine Mailinglisten mehr lesen kann weil der webshield der vor dem Exchange hängt die debian listen Mails nicht mag.
- blackm
- Moderator und Co-Admin
- Beiträge: 5921
- Registriert: 02.06.2002 15:03:17
- Lizenz eigener Beiträge: MIT Lizenz
Das Modul wurde aber nicht für diese Sicherheitslücke geschrieben, oder? Es hat ja schon ein paar Jahre auf dem Buckel..oder ist die Lücke schon so lange bekannt?try hat geschrieben:Wer zu faul ist den Kernel neu zu übersetzen soll sich das hier angucken:
http://www.securiteam.com/tools/5SP082K5GK.html
mit gcc -Wall -c bla.c
übersetzen, was ein Kernel modul ala bla.o ausgeben würde, das mit insmod laden und der Exploit sollte auch nicht mehr funktionieren.
by, Martin
Schöne Grüße
Martin
Neu im Forum? --> https://wiki.debianforum.de/debianforum ... tensregeln
Log- und Konfigurationsdatein? --> pastebin.php
Forum unterstützen? --> https://wiki.debianforum.de/debianforum.de/Spenden
Martin
Neu im Forum? --> https://wiki.debianforum.de/debianforum ... tensregeln
Log- und Konfigurationsdatein? --> pastebin.php
Forum unterstützen? --> https://wiki.debianforum.de/debianforum.de/Spenden
hier noch eine Diskussion auf debian-security:
http://lists.debian.org/debian-security ... 00350.html
http://lists.debian.org/debian-security ... 00350.html