DSA 403-1

Javítsatok ki, ha tévedek!

Éles környezetben nem illik modulos kernelt használni ugye? Mert ugyebár a .deb-ek mind engedélyezik a modulok betöltését...

Én csak egy vacak 50 felhasználós gépet tartok karban http,pop3,shell... de magam forgatom kernelem.

Gabriel

>Éles környezetben nem illik modulos kernelt használni ugye?

Ez nekem uj. Miert nem?

Valamely security doksiban olvastam:

1. az install kernel tele van minden sz*rral amire nincs szükség (kissebb kod kevesebb hibaforrás)

2. ha már bent van, ne lehessen: # modprobe backdoor

Gabriel

Az 1.) pont nem tudom hogy jott ide, de azt nem is vittattam, hogy illik sajat kernelt forditani. En is mindig azt teszem.

A 2.) pontrol. Mar regen rossz, ha valaki a modprobe backdoornal tart. Ugyanis csak a root tud modprobe-olni. Ha meg mar root lett... akkor regen rossz. A modulos kernel esetleg az szolhat, hogy a modulba tett stuffok lassabbak a fixen a kernelbe drotozott dolgoknal, de imho security szempontbol nem jatszik szerepelt az, hogy modularis vagy sem egy kernel.

1. Marcello-nak lövése nem volt arról, hogy ez local root lehetne.

2. Ha a Security Team minden egyess .diff-et átnézne (mert ugye a logból itt se derült ki, hogy mi az ábra!), akkor erre meg lehetne a disztribúciók security teameinek létszámát többszörözni!

Én is azt szoktam, de a 'Kézi' módszer helyett make-kpkg -val :-)

Micskó Gábor (trey) wrote:
> Az eddigi infok alapjan ez egy local root exploit, ami annyit tesz, hogy
> helyileg kell futtatni. Igy nem jelent veszelyt tavolrol.

Tegyük hozzá: önmagában. A local root exploitokat mindig hajlamosak
lebecsülni, csak hát a különféle service-eket nem véletlenül nem
rootként szokás futtatni, hogy a a service-ben hiba van, akkor legalább
root jogot ne szerezzen a támadó. Viszont egy local root lehetőségű
kernel esetén a service hibája egyből sokkal veszélyesebb.

--
--- Friczy ---
'Death is not a bug, it's a feature'

jah. ezert mondtam, hogy az eddigi infok alapjan. Ha nem igy lenne, akkor azt a DSA-ban jeleztek volna.

'Doh gyu, miközben én fogalmazom a hírt, te kitetted. :( :)

Mire megfogalmaztam volna a hírt GCS már rég megírta :-)

Ismerjük be Friczy! Most ő volt a gyorsabb :-)

Ok, lehet, hogy kihagyott ilyen 'apróságokat', minthogy a RedHat és a SuSE security teammel együttműködve fejtették vissza a binárist, hogy mi a rákot is csinál, de a lényeget GCS is leírta, meg a legfontosabb: belinkelte ő is Wichert levelét, így bárki olvashatja az eredeti bejelentést :-)

Meg van valakinek az exploit?

Az apt-get update/upgrade páros már működik!

Háááááát.... ebben a pillanatban még nem igazán.....

No a DSA-ban nem volt ennyi részletes infó, hogy az mm/mmap.c do_brk() fv-ben van a hiba. És általában a Debiannál szoktak annyi szót vesztegetni az ilyesmire, hogy legalább megemlítsék, hogy a 2.2.x nem érintett...

Bár minden oldalon azt írják hogy müxik az upgrade, én is az ellenkezőjét tapasztalom....

Sikerült már valakinek az upgrade??? Vagy kell forgatni egy 2.4.23-at...

Sikerült már valakinek az upgrade??? Vagy kell forgatni egy 2.4.23-at...

Ennyi ido alatt mar meg is csinalhattad volna. Kb. 6 perc egy gyors gepen. Ajanlom a figyelmedbe a ``make-kpkg''-t, ha sok gepre akarod telepiteni.

" A Linux kernelben most felfedezett hiba újabb bizonyíték a mellett, hogy bár a forráskód nyilvános elérhetősége kedvező hatással lehet a program fejlesztésének menetére, önmagában nem jelent védelmet a hibák ellen, sőt, a támadók számára nagyban egyszerűsítheti azok kihasználását, miközben a fejlesztőket nem feltétlenül segíti lepleplezésükben. A hibát a fejlesztőknek a mostani incidens esetében is az azt kihasználó ún. exploit program elemzésével sikerült elcsípniük, nem pedig a forráskód átfésülésével, amelyben világszerte felhasználók milliói segíthetik őket."

Szerintem sejtitek honnan ideztem...

Stink?

Szerintem nem kene vele foglalkozni, ugyis tudjuk, hogy mennyire elfogult masik iranyban. Eljen csak a sajat kis rozsaszin felhos alomvilagaban, ha az neki megfelel :-)

Andras

Mindenesetre ez shell hozzáférés nélkül nem jelent veszélyt, ugye?

Az eddigi infok alapjan ez egy local root exploit, ami annyit tesz, hogy helyileg kell futtatni. Igy nem jelent veszelyt tavolrol.

Huh.. Kicsit bővebben?

Feltételezem Sting-től...

De ettől függetlenül, kivételesen igaza van, és tényleg tényeket közölt! A hibát még a 2.4.23 előtt észrevették. És a Debian kernelébe (és persze a többi disztró kernelébe se) pedig nem lett átvezetve a javítás.

Hogy ez minek/kinek a hibája?

Passzolom!

Talán egyszerű emberi mulasztás. De azért még nem kell fejeket hullajtani a Debian Security Teamben, mert nem figyeltek fel a hiba súlyosságára, hiszen egyik disztró Sec Teamjében se vették ennyire komolyan először a dolgot, vagy ami inkább imho valószinű fel sem figyeltek rá...

Tehát, amennyiben valóban igaz az, hogy teljesen nyitott a közösség, akkor hibákat követtek el...

No, akkor nézzük csak a közösség nyitottságát!

Ugye mindenki emlékszik Alan Cox-ra, aki minden egyes változásról ChangeLog-ot írt. Igen, így múlt időben a helyes. (Most ne a nyugdijjazására gondoljunk!!!)

Írt. Azért csak írt mert sok fejlesztő az óceánon túl, egy fasiszta diktatúra módszereivel, konkértan a DMCA-val, kell szembenézzen, ami megtiltja neki, hogy az ilyen jellegű javításokra külön felhívja a figyelmet bárki is, mert az terrorizmussal egyenértékű tett...

A magánvéleményem meg az, hogy amit ők kormányzati szinten csinálnak az a terrorizmus, ti. ha lett volna egy rendesebb ChangeLog, és a Security Teameknek nem .diff-ekből meg exploitok visszafejtéséből kellene ezt kideríteni, (amellett, hogy a kernelnél sokkal nagyobb számú userspace programok biztonságát figyelemmel kell kövessék, ami még ennél is nagyobb munka), akkor mindez nem következik be.

A másik, amiről ne felejtkezzünk el: A Debian jelenlegi stabil kiadása a Woody. A woody-ban a javasolt kernelszéria a 2.2.x. Ezért is hiányoltam a 2.2.x-re vonatkozó megnyugtató írást, mert ahol semmi kényszerítő erő (pl. spéci hardver, v. iptables szükségszerűsége) nincs, ami miatt 2.4.x-et kellene használjak, ott máig 2.2.25-öt használok. Vagyis, a Debian stabil szériájátt amit a javaslatoknak megfelelően alkalmaztak production környezetben, nem érinti annyira egetrengető módon ez a luk.

Mióta lettél te is make-kpkg párti??? :-)

Eddig nem szeretted! :-)

feltetelezem hogy a sokak altal istenitett bk is tud olyan alap dolgokat, mint a cvs, pl h minden commitrol

levelet kuld egy listara, azt pedig egy ,,security teamnek'' illene neha atfutnia. gondolom a commit logban csak

megemlitettek h local root exploit elvben (most meg mar a gyakorlatban is:) lehetseges. ehhez nem kell

reverse engineering.

nem vagyok az. kernel.org-os forrast forditok minden gepre. minden egyes gepre kulon, kezzel.