Kernel

Linus kiadta a 2.6.11-es kernel első kiadásra jelölt verzióját. Változások listája Linus levelében.

Itt a 8. -ac patch Alantól a 2.6.10-es kernelhez.

Letölthető a szokásos helyről. Változások listája Alan levelében.

Brad Spengler (spender) a grsecurity névre hallgató kernelpatch fő fejlesztője a grsecurity 2.1.0 tegnapi bejelentésében 5 komoly, eddig javítatlan Linux kernel biztonsági hibára utalt.

A hibák javításához Brad nem csak a grsec patchet, hanem az általa kiadott egyéb patchek biztonsági javítások alkalmazását is javasolja.

A grsec 2.1.0 bejelentésében Brad azt panaszolja, hogy többször próbáltak kapcsolatba lépni a kernelfejlesztőkkel a hibák javítása miatt, de nem kaptak választ.Az első alkalom tavaly december 15-én volt, mikor Brad jelezte Linusnak az "RLIMIT_MEMLOCK bypass with locked stack" sebezhetőséget. Utána december 27-én a PaX team jelezte a "2.6.9+ mlockall/expand_down DoS by unprivileged users" hibát. Végül 2005. január 2-án a PaX team újra elküldte előző levelét Linus Torvaldsnak és Andrew Mortonnak is.

A levelekben csatolva volt a megfelelő javítás és a PaX team levelében a működő exploit is. Annak ellenére, hogy a kérdéses időszakban Linus és Andrew is commitoltak változtatásokat a kernelbe, választ nem kaptak.

Brad fel van háborodva a dolog miatt, aminek hangot is adott a bejelentésben.

Valaki forward-olta a Brad levelét a Linux listára és választ kért a fejlesztőktől. Andrew Morton válaszában a kövekezőket írta: mivel egy privilégium nélküli felhasználó a halálba tudja DoS-olni a Linux kernelt a malloc-kal és a memset-tel, így a RLIMIT_MEMLOCK bug nem igazán különleges, a többi jelzett bughoz pedig root felhasználó kell. A problémát továbbította a megfelelő embernek, és várható a javítás.

Alan Cox is válaszolt, szerinte az összes javítás benne lesz (az azóta már megjelent -ac7-ben).

Paul Starzetz újra kiadta a tegnapi uselib() hiba figyelmeztetőjét, mert az számos helyen pontatlan volt. Javítva lett az elírt 2.4-es kernel verzió, és az érintett kernelek közé felkerült a 2.2-es is.

Az új advisory itt.

Alan Cox kiadta a hetedik foltját a 2.6.10-es Linux kernelhez. A patch tartalmazza a javítást a tegnap említett uselib() hibára.Egyébként is érdemesebb a 2.6 sorozatban az -ac kernelfát követni, mert konzervatívabb a bekerülő újdonságok tekintetében, és általában gyorsabban frissül, mint a többi 2.6-os kernelfa.

Alan levele a változások listájával itt. Letölthető a kernel.org-ról (innen) és a tükörszervereiről.

Marcelo reagálva a korábban említett helyi root sebezhetőségre, kiadta a 2.4.29-rc1-es kernelt. A patchben már benne van a szükséges javítás. A hibajavítás mellett SATA és hálózati frissítés is található az anyagban. A patch letölthető a kernel.org tükörszervereiről.

Marcelo levele a változások listájával itt.

Összegzés: Linux kernel uselib() privilege elevation

Termék: Linux kernel

Verzió: 2.4-től felfele, beleértve a 2.4.29-rc2-t is; 2.6-tól felfele, beleértve a 2.6.10-et is

CVE: CAN-2004-1235

Szerző: Paul Starzetz (ihaquer () isec ! pl)

Dátum: 2005. január 7.Paul Starzetz olyan hibát talált a Linux kernelekben, amelyet kihasználva a rosszindulatú helyi támadó root jogokhoz juthat.

A hiba a kernel uselib() függvényében található.

A bejelentés itt.

A nemrég kiadott 2.6.10-es Linux kernelben súlyos hibát találtak a biztonsági szakemberek. A hibát az a Xfocus.org-os (Venustech) flashsky jelentette, aki az új Windows exploitokat szállította a minap. Egyre jobban nyomulnak a kínaiak, heh?

Egy kis demo:Futtassuk a vim-et normál felhasználóként. mondjuk azt, hogy:

``:r /etc/shadow"

Eredmény: Permission denied.

Töltsük be a capability-t root-ként egy másik konzolon:

``modprobe capability''

Majd nézzük újra a vim-et: ``:r /etc/shadow''

Az eredmény: olvashatjuk, szerkeszthetjük, írhatjuk normál user-ként a /etc/shadow-ot, ami nem egészséges.

A hiba teljes leírása itt.



Természetesen a hiba ``csak'' a capability-t használókat érinti.

Egy kis mese:

1965-ben Dr. Gordon Moore megfigyelte, hogy az ipar képes minden évben megkétszerezni az egy die-ra szerelt tranzisztorok számát, és ezzel megszületett Moore törvénye, amely (többé-kevésbé) majd 40 éven keresztül igaznak bizonyult.

Ahogy a tranzisztorok száma nőtt, úgy lettek egyre erősebbek a számítógépek. Sajnos a hardvergyártás területei közül nem mindegyik tudott lépést tartani ezzel a fejlődéssel. Ahhoz, hogy az erős processzorok előnyei megmutatkozhassanak, erős IO alrendszerre is szükség lett volna. Az elmúlt pár évben egyre jobban bebizonyosodott, hogy a jelenlegi shared-bus architektúrájú IO alrendszerek a legszűkebb keresztmetszetek a szerverek felépítésében.

Felismerték ezt a neves hardver gyártók is, és megfogalmazódott a jövő: ki kell dobni a shared-bus-t, és ki kell fejleszteni a jövő IO alrendszerét. Jó szokás szerint ismét kétfelé indult el a fejlesztés. Az egyik vonal a Future I/O kezdeményezés volt, amelynek a tagjai a Compaq, IBM, és a Hewlett Packard voltak. A másik vonal a Next-Generation I/O volt, olyan tagokkal, mint a Dell, Hitachi, Intel, NEC, Siemens, és a Sun Microsystems. Amikor a fejlesztések eredményeként megjelentek az első specifikációk, a két szervezet úgy döntött, hogy egyesítik erőfeszítéseiket, és mindegyik hozza azt, ami a saját megoldásában a legjobb. Ennek eredményeképpen 1999. augusztusában 7 iparágvezető cég - a Compaq, Dell, Hewlett-Packard, IBM, Intel, Microsoft, és a Sun Microsystems - megalapította az InfiniBand Trade Association-t (ITA).

A 2.4-es kernel inode cache-ének teljesítményével kapcsolatban merültek fel kétségek az elmúlt napokban az LKML-en. A beszélgetésben felmerült néhány finomhangolható kernel paraméter (vm_vfs_scan_ratio), amely hasznos lehet nagy NFS és Samba mount-ok esetén.

Az egyik felhasználó reprodukálható lassulásról számolt be a ``find /'' használatakor, miközben nagy fileokat cat-olt a /dev/null-ra.Az inode cache egy a memóriában található hash tábla, amely a Virtual File System (VFS) használ. Feladata, hogy az inode-okat gyorsítótárazza a későbbi gyorsabb felhasználás céljából. A beszélgetésben arra a jutottak a felek, hogy a túl kis méretű inode cache hash tábla nagyszámú ütközést (collisions) okozhat, amely jelentős lassulást eredményez a cache-ben való keresésben (lookup).

A thread eredményeképpen megállapításra került, hogy a 2.6-ban (vagy később) javítani kell az inode cache-en.

Fileszervereket üzemeltetőknek érdemes elolvasni a threadet!

Bővebben itt.