"Multiple Linux setuid output redirection vulnerabilities"

 ( trey | 2013. április 30., kedd - 8:15 )

Andy Lutomirski egy rakás olyan biztonsági probléma leírását tette közzé az LKML-en, amelyet a legfrissebb stable frissítésekben javításra kerültek. Az egyik egy meglehetősen komoly user namespace sebezhetőség (uid 0 shell capabilities nélkül, de egyszerűen eszkalálható teljes értékű root shellé), amely a 3.8-as kernelben tűnt fel. Egy másik a 2.6.36 idejére datálódik. Lutomirski PoC exploit kódokat is mellékelt.

Részletek a bejelentésben.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Remek. Ti az ilyeneket patcheléssel, vagy egy teljesen új (lehetőleg a legújabb) kernel forgatásával oldjátok meg otthoni környezetben? Megoldjátok-e egyáltalán? Write-only hupperek kedvéért: kizárólag az otthoni környezetről kérdezek ebben a threadben.

Otthoni környezet vs. privilege escalation témában ennyit tudnék hozzátenni: http://xkcd.com/1200/

Ugy latszik, az xkcd-nek ezek a security temak nem igazan mennek.

Ha egy viszonylag elterjedt disztribúciót használsz aminek van támogatottsága, akkor valószínű már be is van foltozva a hiba. Ezt a cikk is megemlíti. Normál esetben ezek a leírások a biztonsági rés megtalálása után pár héttel vagy hónappal jelennek meg, ami idő alatt minden linux disztribútor kiadja a foltozott kernelt vagy csomagot, és amire nyilvános lesz a hiba, már rég be van foltozva a rendszeresen frissülő gépeken.

Új kernel. Bár a kiadott kódok többsége grsec/pax mellett nem életképes.

Fedorát használok, ahhoz meg van binárisan, azaz lefordítva 3.8.10-es kernel, ez futkorászik a gépemen.


tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Egyreszt en elsosorban tuzfal mogul netezek, es nem nagyon mozgatom a laptopot el otthonrol, masfelol pedig rendszeresen felrakom a disztro frissiteseit, ahogy azok megjelennek (feljon a kis ablak, hogy van, akkor egy gyors atfutast mar nyomom is az install gombot).
Ugyanakkor manapsag mar nem akarok kernelforditassal szorakozni. Jo mulatsag, de van mas dolgom. Es egyre kevesbe akarok gondolkodni azon, hogy mi hajtja a munkaeszkozomet. Azert tartjuk a disztrogyartokat, hogy helyettem is ertsenek a temahoz. Nekem van millio mas tema, amihez ertenem kell, ehhez mar csak mersekelten szeretnek.

No meg, ha elbokik, legalabb van kire mutogatni. Ha en bokom el, a mutogatas nem olyan humoros.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant.

Lassan már poliverzum szellemét idézed.

...lassan? nem is tudom mikor volt ertelmes kommentje szofosas helyett

Egyreszt en elsosorban tuzfal mogul netezek, es nem nagyon mozgatom a laptopot el otthonrol

/o\

Ne zavard össze, hogy e legnagyobb támadásforrás ma már a böngésző, ami a tűzfal mögött van ;)

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

a biciklis internetrendőr és a NAT esete...