OpenForum RSS: Раздел полезных советов: Использование systemtap для устране... https://www.opennet.me/openforum/vsluhforumID3/82589.html Для устранения [[http://www.opennet.ru/opennews/art.shtml?num=32872 уязвимости]] CVE-2012-0056 в /proc/pid/mem без обновления ядра Linux можно использовать systemtap для ограничения системного вызова. Systemtap из коробки доступен в RHEL/CentOS и может быть установлен из репозитория в Debian/Ubuntu. Без systemtap обходным путем решения проблемы является блокирования доступа пользователя на запуск setuid-программ.<br><br>Проверим, уязвима ли наша система. Для этого загружаем, собираем и запускаем специальную проверочную утилиту:<br><br> $ wget http://grsecurity.net/~spender/correct_proc_mem_reproducer.c<br> $ make correct_proc_mem_reproducer<br> $ ./correct_proc_mem_reproducer<br> vulnerable<br><br>Рассмотрим процесс установки и использования systemtap в Ubuntu и Debian.<br><br>Установим systemtap и пакет для отладки ядра (занимает около 2 Гб)<br><br>Debian:<br><br> sudo apt-get install -y systemtap linux-image-$(uname -r)-dbg<br><br>Ubuntu (требуется подключение отладочного репозитория):<br><br> sudo apt-get install -y lsb-release<br> Использование systemtap для устранения уязвимости в реализац... (Аноним) https://www.opennet.me/openforum/vsluhforumID3/82589.html#10 Mon, 06 Feb 2012 17:52:56 GMT &gt; Иногда нельзя прямо сейчас перезагрузиться, а ошибку исправлять нужно.<br><br>Ну ок, допустим. Правда я так и не понял чем SB в этом плане будут лучше.<br><br> Использование systemtap для устранения уязвимости в реализац... (chemtech) https://www.opennet.me/openforum/vsluhforumID3/82589.html#9 Fri, 03 Feb 2012 17:09:49 GMT Человек же написал:<br><br>Иногда нельзя прямо сейчас перезагрузиться, а ошибку исправлять нужно.<br> Использование systemtap для устранения уязвимости в реализац... (Аноним) https://www.opennet.me/openforum/vsluhforumID3/82589.html#8 Wed, 01 Feb 2012 19:02:26 GMT &gt; Зачем надо столько прыжков с бубном я честно говоря не понял.<br><br>Иногда нельзя прямо сейчас перезагрузиться, а ошибку исправлять нужно.<br> Использование systemtap для устранения уязвимости в реализац... (Аноним) https://www.opennet.me/openforum/vsluhforumID3/82589.html#7 Sun, 29 Jan 2012 19:49:00 GMT &gt; все же тяжко в bb дистрибутивах, что бы юзеры294 (теперь уже анонимусы) <br>&gt; не говорили...<br><br>Честно говоря я не понял чем sb или что там у вас будет принципиально лучше в этом плане. Если вы о пересборе ядра - так это, во первых пересобрать его в дебианообразных - раз плюнуть. Во вторых, заапдейченый кернель прилетел в хоть тех же *бунтах в тот же день как вышла новость. Его установка занимает не более 1 минуты. Такая тяжелая операция, конечно - пару кнопок в пакетном манагере нажать или пару команд ввести... <br><br>Зачем надо столько прыжков с бубном я честно говоря не понял. Ну то-есть можно конечно сделать простую вещь сложно, но по-моему наиболее корректно было бы просто заменить бажное ядро на зафикшеное.<br><br>В общем если это была попытка превознести sb-дистры - я так и не понял, в каком месте у вас наступил EPIC WIN. Может быть я тупой? :)<br> Использование systemtap для устранения уязвимости в реализации /proc/pid/mem (Аноним) https://www.opennet.me/openforum/vsluhforumID3/82589.html#6 Sun, 29 Jan 2012 19:44:44 GMT А не проще, пардон, кернел обновить? <br>$ ./correct_proc_mem_reproducer<br>write: Invalid argument<br>not vulnerable<br> Использование systemtap для устранения уязвимости в реализац... (Аноним) https://www.opennet.me/openforum/vsluhforumID3/82589.html#5 Sat, 28 Jan 2012 05:41:10 GMT &gt; все же тяжко в bb дистрибутивах<br><br>Что такое bb дистрибутивы? И есть ли какие-то там не-bb дистрибутивы, в которых stap работает иначе?<br> Использование systemtap для устранения уязвимости в реализации /proc/pid/mem (Аноним) https://www.opennet.me/openforum/vsluhforumID3/82589.html#4 Fri, 27 Jan 2012 05:52:42 GMT все же тяжко в bb дистрибутивах, что бы юзеры294 (теперь уже анонимусы) не говорили...<br> Использование systemtap для устранения уязвимости в реализац... (eth) https://www.opennet.me/openforum/vsluhforumID3/82589.html#3 Thu, 26 Jan 2012 07:06:16 GMT У меня в debian/sid этот метод почему-то не сработал. <br>После запуска stap -g proc-pid-mem.stp программа correct_proc_mem_reproducer.c всё равно выдаёт vulnerable, т.е. процессу удается перезаписать указатель у себя в /proc/self/mem. Причём не срабатывает именно ограничение аргумента $count. <br>Probe вызывается, проверял добавлением туда printf().<br> Использование systemtap для устранения уязвимости в реализац... (Аноним) https://www.opennet.me/openforum/vsluhforumID3/82589.html#2 Thu, 26 Jan 2012 06:30:08 GMT &gt; probe kernel.function("mem_write@fs/proc/base.c").call { <br>&gt; $count <br>&gt; = 0 <br>&gt; } <br>&gt; означает замену содержимого функции ядра mem_write() на фикцию, в данном случае установку <br>&gt; переменной с произвольным именем? я правильно понял?<br><br>нет, он выступает в роли враппера перед вызовом, который меняет содержимое аргумента count<br>