Helyi "root" Grsecurity / PaX sebezhetőségre figyelmeztet egy biztonsági cég

Bug

Tegnap jelent meg egy levél a Bugtraq archívumában, amely arra figyelmeztet, hogy a Grsecurity névre hallgató, Linux kernel biztonságát fokozni hivatott keretrendszerben olyan hiba található, amelyet a helyi támadó kihasználva "root" jogokhoz juthat. A bejelentésben semmi konkrétum nincs, a bejelentő cég a részletek publikus közlését fél év múlva teszi meg.

A bejelentést a Digital Armaments névre hallgató cég tette meg. A honlapja szerint 2003 óta biztonsággal összefüggő kutatásokat végző cég azt állítja, hogy működő exploitja van a sebezhetőséghez, de a részleteket csak a prémium előfizetőinek árulja el. A bejelentésből annyi derül ki, hogy a hiba az expand_stack() függvényében van.

A bejelentés itt.

A cég által tett bejelentést még nem erősítették meg, de nem is cáfolták a Bugtraq-en, így ennek megfelelően kell kezelni az infót. Mindenesetre érdemes jobban figyelni a megszokottnál.

A cég honlapját böngészve a látogató szeme elé kerül egy "Linux Grsecurity Remote Vulnerability available to the Platinum Customers." link is, ami arra enged következtetni, hogy távolról kihasználható Grsecurity hiba is a tudomására jutott a cégnek. A link jelenleg nem működik.

Lehet, hogy fake, de nem emiatt. Sokan csinálják ez. A 3com elmondta egy előadáson, hogy a TippingPoint is így működik. Előbb kiszolgálják az ügyfeleiket akik fizetnek, majd később (akár hetekkel / hónapokkal) kiadják a részleteket publikusan. Ebből élnek.

--
trey @ gépház

Mivel TippingPoint már előadáson voltam, azt el tudom mondani hogyan működik.

Vannak cégek, akiknek fontos a biztonság. Úgy gondolják, hogy van erre pénzük is. Azt gondolják, hogy a TippingPoint-hoz hasonló dobozok nyújtják nekik ezt a védelmet. Megveszik, felteszik a hálózatra. A gyártó (3com) vállalja, hogy a nála előfizető cégeket minél előbb értesíti a biztonsági résekről és azokat "betömi". Ennek érdekében a 3com megvásárolja az 0day hibákat (lásd: Zero Day Initiative) azoktól akik felfedezték és hajlandóak eladni. Ha megvan a hiba, akkor azt elemik, csinálnak rá workaround-ot, majd az infókat elküldik (mint a vírusírtó szoftverek frissítését) a cégnél levő TippigPoint dobozba (ez egy IDS/IPS szerű rendszer). Hogy ez mennyit ér, azt döntse el mindenki maga.

A 3com leányvállalata, a TippingPoint abból él, hogy megveszi a még nem publikus sebezhetőséget és az infó birtokában azt mondja cégeknek, hogy "megvédlek benneteket". Nem adja ki azonnal az infót - visszatartja -, mert az neki pénz. Majd amikor már visszatartotta, akkor - legalábbis a 3com ezt mondta - átadja az infót a versenytársaknak, konkurens cégeknek, és majd ezután valamennyi idővel publikussá is teszi. Ez lehet akár fél év is.

Ez az elmélet. Hogy mi a gyakorlat, azt nem tudom.

--
trey @ gépház

...megveszi a még nem publikus sebezhetőséget és az infó birtokában azt mondja cégeknek, hogy "megvédlek benneteket".

Erről valahogy nekem a Monty Python jutott eszembe:

"- You've... you've got a nice army base here, Colonel."

:))))

--
Sokan nincsenek tudatában annak, / hogy egyszer mindenki meghal. / Akik ráébrednek erre, / azonnal abbahagyják az ellenségeskedést.

Mi értelme így az egész opensource őrületnek? Végülis a legnagyobb előnyét veszik el, hogy bárki fejleszthet/javíthat, nem? A sokatt szidott MS nem ugyanígy csinálja véletlen? A nagy, fizetős partnerek előbb kapnak patchet/workaroundot, a többiek meg majd a következő havi fixben.

Úgy tudtam, a nyíltság egyik (fő) nagy előnye, hogy ha hibát talál valaki a kódban, egyből közzé teheti és hamar jön rá javítás a közösségtől. Így, hogy nem publikálják, ugyanúgy hibás marad a termék (a legtöbbeknek), mintha zárt lenne. Nincs javítás, csak x idő múlva, amikor hajlandóak kiadni. Nem tudom, nekem ez az üzletiesség itt az egész dolog szellemétől nagyon távol áll. Más kérdés, hogy ilyen világban élünk, de én szebbet képzeltem.. :)

Tudod, a mai civilizált társadalom egyik fő tényezője a pénz. Anélkül mit enne a hiba észlelője? Valamiből meg kell élni, ha tetszik, ha nem, és ha jól sejtem, ők ezt úgy oldják meg, hogy eleinte pénzért árulják a cuccot, és ha összeszedtek eleget, kiadják ingyenesen is....

--
sha
loser.
user.
computer abuser.
http://digitaldynamite.demoscene.hu

Igazsag szerint senki nem tiltja, hogy raugorj egy grsec-es kernel forrasara, megkeresd benne a expand_stack() fv-t, es megkeresd, majd javitsd a hibat (hacsak az nem, hogy az adott hiba nagy valoszinuseggel nem letezik, vagy nem ugy, ahogy mondjak).
Zart forrasu dolgoknal viszont ott az EULA, ahol eleg gyakran kikotik, hogy ilyesmit nem tehetsz.

( uid_1062 | 2007. 01. 12., p – 08:48 )

O, ha ez a Slashdot lenne...
Mar tagelnem is hogy "haha"

Meg is nezem odaat.

( thuglife | 2007. 01. 12., p – 09:12 )

23:10 < xxxx> Digital Armaments Security Pre-Advisory 11.01.2007: Grsecurity Kernel PaX - Local root vulnerability
23:10 < xxxx> yummy
23:11 < yyyyy> we are probably affected as well, since we are a copy of pax
23:11 < xxxx> ``A vulnerability exist in expand_stack() of grsecurity patch. This vulnerability is exploitable only locally.''
23:12 < xxxx> do we have an expand_stack() function?
23:12 < xxxx> oh wait, we're evil, so we renamed it to uvm_grow().

( Oscon | 2007. 01. 12., p – 12:57 )

D.A "Platinum előfizetés":

Price

The annual Platinum Subscription fee is 80,000 $ (US Dollars)

hehe
-------

Nem a zsömle kicsi, a pofátok nagy...

( Botond | 2007. 01. 12., p – 21:28 )

Ha igaz, akkor ciki. A grsec pont az ilyenek ellen van.