Y si parecía que lo de ptrace ya era un tema engorroso, bueno... esto lo es aun más. Todo kernel desde 3.3 al 3.8 es afectado por un exploit local, con una shellcode, el exploit ha sido publicado por completo.
Resulta ser, que hay un exploit local para Linux kernel 3.2 hasta el 3.8. RHEL o CentOS no se ve afectado dado que usan 2.6.32, y tampoco SUSE (Enterprise). Se ven afectados Fedora 17 y 18, Ubuntu 12.10
Pueden ver la descripcion completa del bug aca:
https://bugzilla.redhat.com/show_bug.cgi?id=915052
En ese link se hace referencia a el origen y el parche, que aun como es de esperar, no ha sido aplicado, dado que si afecta 3.8... esperemos la 3.8.1 al menos, no?.
Los que se animen, pueden compilar su kernel vanilla aplicando el parche, que es muy facil viendo los + en el diff. Si no saben usar patch, solo editen el archivo .c y agreguen lo que esta en + y dejen intacto lo demas, sacando lo que esté con - .
El exploit: http://sysc.tl/mpougatsa_me_krema_kai_milko.tgz
Dentro del exploit se ve claramente:
printf("Linux kernel >= 3.2 NETLINK_INET_DIAG 0day\n");
En caso de que el archivo sea borrado, lo subí tambien a MEGA, el nuevo servicio de Kim Dot Com. Dentro del tgz van a encontrar los fuentes para compilar, incluso ya tiene su shellcode y todo.
https://mega.co.nz/#!rxhRXDbY!MmEyvA7O35kvtZ1IeIeoXUBBPfwD-GR1HIxuuEMASII
Dentro de el, encontraremos algo asi:
includes.h main.c Makefile README shellcode.c shellcode.h trigger.c trigger.h vmsuck.c vmsuck.h
Mas info: http://www.h-online.com/open/news/item/Vulnerability-in-recent-Linux-kernels-offers-root-rights-1810597.html
Resulta ser, que hay un exploit local para Linux kernel 3.2 hasta el 3.8. RHEL o CentOS no se ve afectado dado que usan 2.6.32, y tampoco SUSE (Enterprise). Se ven afectados Fedora 17 y 18, Ubuntu 12.10
Pueden ver la descripcion completa del bug aca:
https://bugzilla.redhat.com/show_bug.cgi?id=915052
En ese link se hace referencia a el origen y el parche, que aun como es de esperar, no ha sido aplicado, dado que si afecta 3.8... esperemos la 3.8.1 al menos, no?.
Los que se animen, pueden compilar su kernel vanilla aplicando el parche, que es muy facil viendo los + en el diff. Si no saben usar patch, solo editen el archivo .c y agreguen lo que esta en + y dejen intacto lo demas, sacando lo que esté con - .
El exploit: http://sysc.tl/mpougatsa_me_krema_kai_milko.tgz
Dentro del exploit se ve claramente:
printf("Linux kernel >= 3.2 NETLINK_INET_DIAG 0day\n");
En caso de que el archivo sea borrado, lo subí tambien a MEGA, el nuevo servicio de Kim Dot Com. Dentro del tgz van a encontrar los fuentes para compilar, incluso ya tiene su shellcode y todo.
https://mega.co.nz/#!rxhRXDbY!MmEyvA7O35kvtZ1IeIeoXUBBPfwD-GR1HIxuuEMASII
Dentro de el, encontraremos algo asi:
includes.h main.c Makefile README shellcode.c shellcode.h trigger.c trigger.h vmsuck.c vmsuck.h
Mas info: http://www.h-online.com/open/news/item/Vulnerability-in-recent-Linux-kernels-offers-root-rights-1810597.html
3 comentarios:
Bien, había que actualizar a un kernel superior para eliminar el bug de seguridad y ahora hay que parchear el nuevo a mano o volver atrás con el anterior bug...
Después de intentar compilarlo sin éxito, no voy a parchear el nuevo, esperaré a que solucionen el que afecta al kernel antiguo oficialmente y punto.
Afecta tambien a Debian Wheezy
Actualmente?, no han corregido el bug?
Publicar un comentario