[HaBo]
| News & Ankündigungen Aktuelle News rund ums Netz - recherchiert von unseren Usern, sowie offizielles vom Team und Ankündigungen der Moderatoren findet ihr hier. |
Kritische Sicherheitslücke in Linux: wunderbar_emporium
Diskussion: Kritische Sicherheitslücke in Linux: wunderbar_emporium im Forum News & Ankündigungen, in der Kategorie Allgemeines; Von meinem Blog gerade eben (dachte, es könnte ein paar Leute interessieren): Mit dem exploit wunderbar_emporium kann man sich auf ...
 |
14.08.09, 15:13
| #1 (permalink) |
| Registriert seit: 26.12.08   Likes: 0 |  Kritische Sicherheitslücke in Linux: wunderbar_emporium Von meinem Blog gerade eben (dachte, es könnte ein paar Leute interessieren): Mit dem exploit wunderbar_emporium kann man sich auf einem Linux Computer, auf dem man einen shell account mit normalen userrechten besitzt, innerhalb von Sekunden root-Rechte erschleichen. Ich habe nicht versucht, das Prinzip genauer zu verstehen, aber soweit ich mitbekommen habe, nutzt es Bugs in weitgehend unbekannten Protokollen, die deswegen noch nicht entdeckt wurden. Betroffen sind alle Linux-Versionen seit Mai 2001: ???????? Affected Software ???????? All Linux 2.4/2.6 versions since May 2001 are believed to be affected: - Linux 2.4, from 2.4.4 up to and including 2.4.37.4 - Linux 2.6, from 2.6.0 up to and including 2.6.30.4 Ich habe es mal auf meinem eigenen Computer ausprobiert: Code: athelstan@spaceshuttle:~/wunderbar_emporium$ ./wunderbar_emporium.sh [+] MAPPED ZERO PAGE! [+] Resolved selinux_enforcing to 0xc08653bc [+] Resolved selinux_enabled to 0xc08653b8 [+] Resolved apparmor_enabled to 0xc06a0d84 [+] Resolved apparmor_complain to 0xc0866fb8 [+] Resolved apparmor_audit to 0xc0866fc0 [+] Resolved apparmor_logsyscall to 0xc0866fc4 [+] Resolved security_ops to 0xc0863b60 [+] Resolved default_security_ops to 0xc069fb40 [+] Resolved sel_read_enforce to 0xc0293a70 [+] Resolved audit_enabled to 0xc0822564 [+] got ring0! [+] detected 2.6 style 8k stacks sh: mplayer: not found [+] Disabled security of : nothing, what an insecure machine! [+] Got root! # whoami root # Entweder ist das der Anfang einer Linux-Krise oder die Bugs sind schnell gefixt. Mich persönlich betrifft es weniger, da ich keinen Server am laufen habe. Aber verschiedene andere dürften sich wohl sorgen machen. Das Exploit kann nicht ausgeführt werden, wenn man den Wert in ?/proc/sys/vm/mmap_min_addr? von 0 auf 1 ändert. Hier die Ausgabe: Code: athelstan@spaceshuttle:~/wunderbar_emporium$ ./wunderbar_emporium.sh [+] Personality set to: PER_SVR4 I: caps.c: Limited capabilities successfully to CAP_SYS_NICE. I: caps.c: Dropping root privileges. I: caps.c: Limited capabilities successfully to CAP_SYS_NICE. E: alsa-util.c: Error opening PCM device hw:0: Device or resource busy E: module.c: Failed to load module ?module-alsa-sink? (argument: ?device_id=0 sink_name=alsa_output.pci_8086_27d8_sound_card_0_alsa_playback_0 tsched=0″): initialization failed. UNABLE TO MAP ZERO PAGE! ^C athelstan@spaceshuttle:~/wunderbar_emporium$ |
|  |
|
14.08.09, 15:31
| #2 (permalink) |
| Guest Likes: | auf meinen Ubuntu Server hat die Datei einen anderen Wert als 0. |
| |
| HaBOT | |
|
|
14.08.09, 15:39
| #3 (permalink) |
| Themenstarter Registriert seit: 26.12.08 Likes: 0 | Dann dürfte es auch nicht funktionieren, allerdings kann ich es nur an meinem eigenen Computer testen, und der hat das neueste ubuntu. Den Link zum Exploit poste ich aus Sicherheitsgründen und wegen der Forenregeln nicht, man kann es aber relativ einfach per google finden, denke ich mal. |
|
| |
|
14.08.09, 15:47
| #4 (permalink) | |
| Guest Likes: | Gestern erst auf Full Disclosure, heute schon auf Heise, und damit auch im Habo! Was für eine Geschwindigkeit! Der Bug stellt meiner Meinung nach eine viel größere Gefahr für Desktop-Rechner dar, da meist bei diesen die bei Servern häufig abgeschalteten Protokolle wie Appletalk oder Bluetooth aktiviert sind und diese Kernel somit einen Angriffspunkt für Viren und Trojaner darstellen. Auch werden wohl wenig Desktoprechner mit PaX oder GrSecurity ausgestattet sein, die derzeit noch eine Gegenmaßnahme gegen die im Umlauf stehenden Exploits darstellen. Lediglich PF_INET6 und PF_PPPOX sind hierbei für viele Serveradministratoren wohl interessant. Nebenbei sollte man (wie z.b. auch im Blogartikel von cr0 angedeutet) bei mmap_min_addr aufpassen: Zitat:
(Postet man neuerdings eigentlich seinen Homepagecontent im Forum, oder warum häuft sich das zur Zeit?) | |
| |
|
14.08.09, 15:59
| #5 (permalink) |
| Moderator   Registriert seit: 30.09.06   Likes: 371 | @.doc: Das stimmt so nicht ganz. Die wenigstens Admins deaktivieren ungenutzte Protokolle explizit. Das wuerde naemlich bedingen, dass man auf den Kisten die Kernel rekompiliert und nicht die Kernel der Distros nutzt. Insofern ist das Exploit auch eine Gefahr fuer Server, allerdings dort eher im Zusammenhang mit anderen Exploits, die zuvor einen Shell-Zugriff ueberhaupt ermoeglichen.
__________________ Mein Blog - Mein Job - Diaspora Der Ring uns zu knechten besteht aus 12 Sternen auf blauem Grund. Neue Beiträge im Habo via Twitter - Das HaBo auf FB - Das HaBo bei G+ |
| |
|
14.08.09, 16:17
| #6 (permalink) | |
| Guest Likes: | Zitat:
| |
| |
|
14.08.09, 16:26
| #7 (permalink) |
| Moderator Registriert seit: 30.09.06 Likes: 371 | Gerade in grossen Hosting-Umgebung ist es kein Standard, da dadurch Updates wesentlich zeitaufwendiger werden.
__________________ Mein Blog - Mein Job - Diaspora Der Ring uns zu knechten besteht aus 12 Sternen auf blauem Grund. Neue Beiträge im Habo via Twitter - Das HaBo auf FB - Das HaBo bei G+ |
|
| |
|
18.08.09, 10:40
| #8 (permalink) |
| Moderator Registriert seit: 30.06.08 Likes: 167 | Ich hoffe instaendig auf globales patching! Vielleicht erklaert dieser Bug ja auch die Tatsache dass Linux Server am meisten gehackt werden.
__________________ Wenn ein Gesetz nicht gerecht ist, dann geht die Gerechtigkeit vor dem Gesetz! Habo Blog - http://blog.hackerboard.de/ |
|
| |
|
18.08.09, 10:47
| #9 (permalink) | |
| Moderator  Registriert seit: 09.09.04 Likes: 65 | Zitat:
| |
|
| |
|
18.08.09, 10:59
| #10 (permalink) | ||
| Guest Likes: | Zitat:
| ||
| |
|
18.08.09, 12:22
| #11 (permalink) | |
| Moderator Registriert seit: 30.06.08 Likes: 167 | Zitat:
Xeno hingegen weist auf den leichten Trollcharakter meines Postings hin.
__________________ Wenn ein Gesetz nicht gerecht ist, dann geht die Gerechtigkeit vor dem Gesetz! Habo Blog - http://blog.hackerboard.de/ | |
|
| |
|
18.08.09, 12:31
| #12 (permalink) |
 Registriert seit: 01.07.05 Likes: 3 | Du hast sicherlich eine Statistik, dass es LINUX ist, das "gehackt" wird und nicht unsicherere Applikationen, die darauf laufen?
__________________ The only true thing about religion is that it's false. |
|
| |
|
18.08.09, 12:53
| #13 (permalink) |
| Moderator Registriert seit: 09.09.04 Likes: 65 | nicht aufregen, chromatin weiß wie ich das meinte. wir haben uns ja lieb  |
|
| |
|
18.08.09, 12:55
| #14 (permalink) | |
| Moderator Registriert seit: 30.06.08 Likes: 167 | Zitat:
 Und auch wenn es so gemeint ist, haelt Linux nach wie vor alle Negativrekorde.
__________________ Wenn ein Gesetz nicht gerecht ist, dann geht die Gerechtigkeit vor dem Gesetz! Habo Blog - http://blog.hackerboard.de/ | |
|
| |
|
| | |
|
|
[HaBo] » Allgemeines » News & Ankündigungen » Kritische Sicherheitslücke in Linux: wunderbar_emporium
| Themen-Optionen | |
| Ansicht | |
Linear-Darstellung
| |
Ähnliche Themen | ||||
| Thema | Autor | Forum | Antworten | Letzter Beitrag |
| 2 Fragen über kritische Systemprozesse | disenchant | Windows | 8 | 30.06.05 20:59 |
| Kritische Sicherheitslücke bei Windows XP: Gefahr für MP3-Fans | Tec | News & Ankündigungen | 3 | 20.12.02 13:18 |
| Kritische Sicherheitslücke in Java-VM von Microsoft | Tec | News & Ankündigungen | 0 | 21.09.02 13:16 |
| Kritische Schwachstelle in Winamp | Tec | News & Ankündigungen | 0 | 30.04.02 08:48 |
| Kritische Sicherheitslücke im AOL Instant Messenger | XLoGiC | (In)security allgemein | 2 | 03.01.02 23:26 |
