Lokální root v jádrech 2.6.39 a novějších

H-Online píše, jak snadné je získat root shell díky chybě zavlečené do jádra ve verzi 2.6.39. Právě v této verzi byl z jádra odstraněn kód, díky kterému nemohl kdokoliv zapisovat do paměti jiného procesu přes /proc. Alespoň jedno pozitivum tu ale je: díky tomuto existuje nový způsob, jak získat roota na svém telefonu s Androidem.

Komentáře

Je zajímavé, že na Gentoo ten exploit selže na tom, že /bin/su nelze číst. Překvapuje mě, že tahle drobná - i když ne nepřekonatelná - překážka není třeba i na Debianu.

24.1.2012 09:32 Adam
Rozbalit Rozbalit vše Re: Lokální root v jádrech 2.6.39 a novějších

Debian default nie, ludia ako ja ktori ho pouzivaju naozaj na produkcnych serveroch si ho samy prisposobuju, zabezpecuju a osetruju ...

24.1.2012 10:43 a1bert | skóre: 23
Rozbalit Rozbalit vše Re: Lokální root v jádrech 2.6.39 a novějších

produkcni debian ma kernel 2.6.32.x, takze netreba nic zabezpecovat a upravovat ;)

24.1.2012 13:31 Pev | skóre: 28
Rozbalit Rozbalit vše Re: Lokální root v jádrech 2.6.39 a novějších

Taktak, jak už bylo psáno, na unstable to jede :-)

24.1.2012 15:22 marek_hb
Rozbalit Rozbalit vše Re: Lokální root v jádrech 2.6.39 a novějších

i ted? dneska byl update jádra :-)

24.1.2012 15:31 Jakub Lucký | skóre: 40 | Praha
Rozbalit Rozbalit vše Re: Lokální root v jádrech 2.6.39 a novějších

Zatím jsem nedostal debian-security-announce...

If you understand, things are just as they are; if you do not understand, things are just as they are.

26.1.2012 08:57 Pev | skóre: 28
Rozbalit Rozbalit vše Re: Lokální root v jádrech 2.6.39 a novějších

Ne, už ne.

24.1.2012 10:39 pakanek | skóre: 28 | Vyškov
Rozbalit Rozbalit vše Re: Lokální root v jádrech 2.6.39 a novějších

Ve Fedoře 15 také nefunguje.

Všechno dobré je pro něco zlé.

24.1.2012 10:48 Atom321 | skóre: 20
Rozbalit Rozbalit vše Re: Lokální root v jádrech 2.6.39 a novějších

To jen znamená, že si útočník musí sehnat kopii binárky jinde. A nemusí to být přímo /bin/su, zneužít půjde jakýkoliv program s nastaveným set-uid atributem. Možná se může zorientovat přímo v /proc/xxx/mem.

Nejlepší překážka by byla, kdyby vývojářské pomůcky (jako třeba /proc/x/mem, trace, /proc/kmem) na produkčních jádrech vůbec nebyly.

24.1.2012 10:55 Luboš Doležel (Doli) | skóre: 98 | blog: Doliho blog | Kladensko
Rozbalit Rozbalit vše Re: Lokální root v jádrech 2.6.39 a novějších

To jen znamená, že si útočník musí sehnat kopii binárky jinde. A nemusí to být přímo /bin/su, zneužít půjde jakýkoliv program s nastaveným set-uid atributem. Možná se může zorientovat přímo v /proc/xxx/mem.

To sice ano, ale aspoň to zarazí script kiddies.

25.1.2012 22:35 pc2005 | skóre: 38 | blog: GardenOfEdenConfiguration | liberec
Rozbalit Rozbalit vše Re: Lokální root v jádrech 2.6.39 a novějších

uname -a; wget balíček_s_su? To je naopak krásně skriptovatelné :-D

Intel meltdown a = arr[x[0]&1]; karma | 帮帮我，我被锁在中国房

25.1.2012 23:43 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Lokální root v jádrech 2.6.39 a novějších

Gentoo žádný balíček_s_su nemá :)

26.1.2012 00:54 pc2005 | skóre: 38 | blog: GardenOfEdenConfiguration | liberec
Rozbalit Rozbalit vše Re: Lokální root v jádrech 2.6.39 a novějších

Souhlas, vlastní embedded distribuce taky ne. Gentoo a spol. tedy budou bezpečné, kolikže má procent oproti ubuntu? >-D

Intel meltdown a = arr[x[0]&1]; karma | 帮帮我，我被锁在中国房

26.1.2012 12:06 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Lokální root v jádrech 2.6.39 a novějších

Gentoo a spol. tedy budou bezpečné

Jako vtip dobré, zvlášť v reakci na Lubošův komentář :).

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

26.1.2012 17:59 pc2005 | skóre: 38 | blog: GardenOfEdenConfiguration | liberec
Rozbalit Rozbalit vše Re: Lokální root v jádrech 2.6.39 a novějších

Intel meltdown a = arr[x[0]&1]; karma | 帮帮我，我被锁在中国房

25.1.2012 23:49 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Lokální root v jádrech 2.6.39 a novějších

Poslední verze exploitu nepotřebuje čitelnou binárku, protože používá ptrace na zjištění adresy, kam ma zapsat shellcode.

24.1.2012 18:02 stativ | skóre: 54 | blog: SlaNé roury
Rozbalit Rozbalit vše Re: Lokální root v jádrech 2.6.39 a novějších

Na mailling listu Archu byla zmínka, že su je jedna z aplikací, kde to nefunguje. Třeba gpasswd by ale už zranitelný být měl.

Ať sežeru elfa i s chlupama!!! ljirkovsky.wordpress.com stativ.tk

v archu uz to nefunguje...ale aspon ted vim, k cemu byl ten vcerejsi upgrade kerenelu

24.1.2012 17:54 Limoto | skóre: 32 | blog: Limotův blog
Rozbalit Rozbalit vše Re: Lokální root v jádrech 2.6.39 a novějších

Já jedu na nějakým starším 3.2.1 z Archu a první exploit mi vytuhne, ale verze pro Fedoru funguje ;-)

24.1.2012 20:58 radek
Rozbalit Rozbalit vše Re: Lokální root v jádrech 2.6.39 a novějších

ano, místo su se použije gpasswd. Momentálně jedu na starším 3.1.9 x86_64 kvuli DVB-T API a zranitelnost je tam :(..

Existuje ale update kernelu (dnesni) myslím, že je to linux-3.2.1-2

25.1.2012 00:26 l4m4
Rozbalit Rozbalit vše Re: Lokální root v jádrech 2.6.39 a novějších

3.2.1-3 z t-u vypadá OK, ale netestoval jsem, na čem přesně to selže, tedy zda to nejde nějak obejít...

25.1.2012 10:18 Delaunay | skóre: 17 | blog: ⁂
Rozbalit Rozbalit vše Re: Lokální root v jádrech 2.6.39 a novějších

Root shell na novém jádře už nezískám. Binárka skončí stavovým kódem 1.

===============================
=          Mempodipper        =
=           by zx2c4          =
=         Jan 21, 2012        =
===============================

[+] Ptracing su to find next instruction without reading binary.
[+] Creating ptrace pipe.
[+] Forking ptrace child.
[+] Waiting for ptraced child to give output on syscalls.
[+] Ptrace_traceme'ing process.
[+] Error message written. Single stepping to find address.
[+] Resolved call address to 0x8049b68.
[+] Opening socketpair.
[+] Waiting for transferred fd in parent.
[+] Executing child from child fork.
[+] Opening parent mem /proc/10390/mem in child.
[+] Sending fd 6 to parent.
[+] Received fd at 6.
[+] Assigning fd 6 to stderr.
[+] Calculating su padding.
[+] Seeking to offset 0x8049b5a.
[+] Executing su with shellcode.

25.1.2012 10:44 l4m4
Rozbalit Rozbalit vše Re: Lokální root v jádrech 2.6.39 a novějších

Verze se su nefungovala na Fedoře AFAIK ani předtím, ale s gpasswd ano.

Ono to krasne funguje i v gentoo, akorat jak si kazdy kompiluje vse sam, tak nesedi adresy (coz bude "problem" i dalsich distribuci). Takze staci si ty adresy ziskat, napriklad objdumpem:

objdump -d /bin/su | grep '<exit@plt>:'

Pak ziskanou adresu predat exploitu. Jen je hacek v tom, ze normalni user nemuze /bin/su cist, takze to chce na jinem kompu nainstalovat stejne distro a adresu si ziskat za roota.

24.1.2012 22:11 Michal Wirth | skóre: 26
Rozbalit Rozbalit vše Re: Lokální root v jádrech 2.6.39 a novějších

autor zx2c4 nove pise ve tretim updatu sveho blogu o zpusobu, jak tento "nedostatek" obejit, takze instalace stejne distribuce zrejme neni potreba

Důležité se časem stává absurdním, absurdní se časem mění v důležité.

25.1.2012 09:16 R
Rozbalit Rozbalit vše Re: Lokální root v jádrech 2.6.39 a novějších

Dnes je v Gentoo nove jadro...

25.1.2012 09:32 Ja
Rozbalit Rozbalit vše Re: Lokální root v jádrech 2.6.39 a novějších

Ve fedoře taky