openSUSEa suomeksi
Muut => Yleinen keskustelualue => Aiheen aloitti: guest158 - 14.02.2008 - klo:08:56
-
Korjasiko tuo pari päivää sitten tullut 2.6.27.x-kerneli nyt julkisuudessa olevan tietoturva-aukon, jossa tavis saa pääkäyttäjän oikeudet?
Ubuntun sivuilla siitä keskustellaan, mutt täältä ei oo löytyny merkintääkään... oisko ollu aiheellista infota kävijöitä ja käyttäjiä?
-
Korjaushan tuli aiempiinkin kerneleihin. Mulla näyttää nyt tältä.
Eilen
2.6.22.16-0.2-default
Tänään
2.6.22.17-0.1-default
-
:D ettei vaan tossa mun alkuperäisessä kyssärissäni ois jonkinsortin kirotusvihree
ei taida ihan vielä olla sitä kerneliä olemassa tai tulemassakaan... :D
Mutt siis juuri tuosta Arijoutsin mainitsemaa 2.6.22.17-0.1-default kernelipäivitystä tarkoitin
Onko siinä nyt paljon esillä oleva tietoturvaaukko fixattu? ...etteti kävis ku H:kin yliopiston tietojenkäsittelytieteen laitoksella... http://www.tietokone.fi/uutta/uutinen.asp?news_id=32801&tyyppi=1
-
Mahtaakohan miten olla sitten toimiva nvidian ajureiden kanssa,(toimiiko sinulla miten arijoutsi?), itselläni kun on vielä 2.6.22.16..jne-default, kun seuraava mitä päivitys antaisi olisi 2.6.22.18 kun on kernel repo laitettuna Yast:iin, ja nvidian repo tukee suoraan vain tätä omaani, ja en ihan ensimmäisenä lähtisi sitä ei yast kautta asentamaan,( nvidian ajureita siis).
-
Mutt siis juuri tuosta Arijoutsin mainitsemaa 2.6.22.17-0.1-default kernelipäivitystä tarkoitin
Onko siinä nyt paljon esillä oleva tietoturvaaukko fixattu? ...etteti kävis ku H:kin yliopiston tietojenkäsittelytieteen laitoksella... http://www.tietokone.fi/uutta/uutinen.asp?news_id=32801&tyyppi=1
On korjattu. http://www.dslreports.com/forum/r19970312-Critical-Linux-Kernel-Vulnerability-vmsplice-2617-~start=20
Lisäksi tuon hyödyntäminen edellyttää, että tunkeutuja pääsee kirjautumaan henkilökohtaisesti koneelle eli vaarassa lähinnä yleiskäytössä olevat koneet, kuten tuo mainittu tktl:n laitos. Suurimmalle osalle normikäyttäjistä tuosta ei siis varsinaisesti edes ollut vaaraa.
-
Ubuntun sivuilla siitä keskustellaan, mutt täältä ei oo löytyny merkintääkään... oisko ollu aiheellista infota kävijöitä ja käyttäjiä?
No oikeastaan ei. En ainakaan itse nähnyt mitään syytä tällaiseen viestiketjuun.
Tuo bugi vaatii toimivat tunnukset koneelle, se ei ollut mikään etäkäyttön salliva bugi.
Crispin Cowan selitti asian mielestäni hyvin (http://lists.opensuse.org/opensuse-security/2008-02/msg00016.html).
-
Mahtaakohan miten olla sitten toimiva nvidian ajureiden kanssa,(toimiiko sinulla miten arijoutsi?), itselläni kun on vielä 2.6.22.16..jne-default, kun seuraava mitä päivitys antaisi olisi 2.6.22.18 kun on kernel repo laitettuna Yast:iin, ja nvidian repo tukee suoraan vain tätä omaani, ja en ihan ensimmäisenä lähtisi sitä ei yast kautta asentamaan,( nvidian ajureita siis).
Mulla ei tullut mitään ongelmaa. Päinvastoin korjas samalla tuon java päivityksenkin, mikä mulla herjas jatkuvasti.
-
Mielestäni oli ihan paikallaan aloittaa ketju tästä asiasta. Monella foorumin käyttäjällä voi olla Linux-palvelin jossain harrastuskäytössä ja osa voi jopa ylläpitää jotain laajemmassa käytössä olevaa palvelinta. Ja käsittääkseni tuota reikää voi jopa päästä hyödyntämään ilman paikallista käyttäjätunnusta Apachen kautta, jos PHP-käyttö sallittu ja PHP:n käyttöoikeudet tarpeeksi höllällä.
-
Mielestäni oli ihan paikallaan aloittaa ketju tästä asiasta. Monella foorumin käyttäjällä voi olla Linux-palvelin jossain harrastuskäytössä ja osa voi jopa ylläpitää jotain laajemmassa käytössä olevaa palvelinta.
Asiasta on mainittu useasti eri sivustoilla. Korjaus siihen on jo jaossa
Aukko on/oli paikallinen eli sen käyttämiseen tarvittiin olemassa oleva tunnus.
Ja käsittääkseni tuota reikää voi jopa päästä hyödyntämään ilman paikallista käyttäjätunnusta Apachen kautta, jos PHP-käyttö sallittu ja PHP:n käyttöoikeudet tarpeeksi höllällä.
Onko linkkiä lähteeseen tai mahdollisesti esimerkkiä miten tuo toimii.
Jos aukko olisi ollut etäkäytön mahdollistava olisin varmasti (kuten moni muukin) välittömästi siitä täällä ilmoittanut.
-
Ei ole mitään linkkiä tai esimerkkiä tuohon "PHP-haavoittuvuuteen" tämän kernel-reiän osalta. Se oli vain tarkoitettu toteamukseksi yleisesti PHP:stä, onhan esim. foorumisoftat aika usein murtautumisten kohteena. Miksei sitten tätä kernelin reikää voitaisi hyödyntää sopivasti PHP:n avulla? Pointtini oli se, että kyllä tällaiset reiät kannattaa korjailla omista Linuxeistaan vaikka ei paikallisia tunnuksia olisikaan muille käyttäjille.
-
Ei ole mitään linkkiä tai esimerkkiä tuohon "PHP-haavoittuvuuteen" tämän kernel-reiän osalta. Se oli vain tarkoitettu toteamukseksi yleisesti PHP:stä, onhan esim. foorumisoftat aika usein murtautumisten kohteena. Miksei sitten tätä kernelin reikää voitaisi hyödyntää sopivasti PHP:n avulla? Pointtini oli se, että kyllä tällaiset reiät kannattaa korjailla omista Linuxeistaan vaikka ei paikallisia tunnuksia olisikaan muille käyttäjille.
Päivitykset ovat tärkeitä ja ne on syytä ladata ja ottaa käyttöön heti kuin mahdollista.
-
Mielestäni oli ihan paikallaan aloittaa ketju tästä asiasta. Monella foorumin käyttäjällä voi olla Linux-palvelin jossain harrastuskäytössä ja osa voi jopa ylläpitää jotain laajemmassa käytössä olevaa palvelinta.
Asiasta on mainittu useasti eri sivustoilla. Korjaus siihen on jo jaossa
Aukko on/oli paikallinen eli sen käyttämiseen tarvittiin olemassa oleva tunnus.
Ja käsittääkseni tuota reikää voi jopa päästä hyödyntämään ilman paikallista käyttäjätunnusta Apachen kautta, jos PHP-käyttö sallittu ja PHP:n käyttöoikeudet tarpeeksi höllällä.
Onko linkkiä lähteeseen tai mahdollisesti esimerkkiä miten tuo toimii.
Jos aukko olisi ollut etäkäytön mahdollistava olisin varmasti (kuten moni muukin) välittömästi siitä täällä ilmoittanut.
Minusta kyllä myös ns 'rauhoittavan viestin' kirjoittaminen on monesti paikallaan. Sillä kun välttäisi monta väärinkäsitystä...
siksi olisin toivonut jonkinsortin mainintaa, kun tunnut noin tietävän asiasta.
Mutt miksi muuten kyselet sitlti sen toimivuudesta...?
No kyllä se kaivannee tunnuksen koneeseen, jossa asemaansa haluu korottaa, mutt eioköhän aika moni kaverinsa tunnuksista mahtais olla jopa tietoinenkin.
Mutt tässä se muualla näytetty malli, jota halusit. Testaa ja kokeile:
$ gcc exploit.c -o exploit
$ whoami
heikki
$ ./exploit
-----------------------------------
Linux vmsplice Local Root Exploit
By qaaz
-----------------------------------
- mmap: 0x0 .. 0x1000
- page: 0x0
- page: 0x20
- mmap: 0x4000 .. 0x5000
- page: 0x4000
- page: 0x4020
- mmap: 0x1000 .. 0x2000
- page: 0x1000
- mmap: 0xb7d90000 .. 0xb7dc2000
- root
$ whoami
root
tässä päivityksen jälkeen:
bash-3.2$ uname -r
2.6.24-ARCH
bash-3.2$ ./exploit
-----------------------------------
Linux vmsplice Local Root Exploit
-----------------------------------
- mmap: 0x0 .. 0x1000
- page: 0x0
- page: 0x20
- mmap: 0x4000 .. 0x5000
- page: 0x4000
- page: 0x4020
- mmap: 0x1000 .. 0x2000
- page: 0x1000
- mmap: 0xb7e43000 .. 0xb7e75000
[-] vmsplice: Bad address
-
Minusta kyllä myös ns 'rauhoittavan viestin' kirjoittaminen on monesti paikallaan. Sillä kun välttäisi monta väärinkäsitystä...
siksi olisin toivonut jonkinsortin mainintaa, kun tunnut noin tietävän asiasta.
Siinä vaiheessa kun tämän viestiketjun aloitit, aukko oli jo korjattu.
Mutt miksi muuten kyselet sitlti sen toimivuudesta...?
Samasta syystä kuin koko ketjun järkevyyttä epäilin.
Kun kerrotaan aukosta, ei mene kovin pitkää aikaa kun tällaiset arvelut jokin etäyhteyden mahdollistavan exploitin olemassa olosta.
Tästä syystä pyysin linkkiä, mutta sellaista väitteen esittäjä ei pystynyt antamaan.
No kyllä se kaivannee tunnuksen koneeseen, jossa asemaansa haluu korottaa, mutt eioköhän aika moni kaverinsa tunnuksista mahtais olla jopa tietoinenkin.
Mutt tässä se muualla näytetty malli, jota halusit. Testaa ja kokeile:
No kerro kuinka tulet koneelleni/koneeseeni ja suoritat sen siinä?
Jos et luota ihmisiin joilla on pääsy joko fyysisesti tai etäyhteydellä koneeseesi,
niin kysymys kuuluu miksi heillä yleensä on tunnukset (viittaa aiemmin mainitsemaani Cowanin viestiin).
Isommat etäyhteyden sallivat palvelimet ovat eri juttu, mutta jos sellaista ylläpidät luulisi että olet ollut tietoinen tuosta aukosta hyvin aikaisessa vaiheessa.
-
Ja taas saatiin 'sota' pystyyn - miksi? Siksi, että olisin toivonut teiltä jo ENNEN tän ketjun aloitusta jotain rauhoittavaa infoa epäileville käyttäjille, kun tunnutte asiasta tietävän muita enemmänkö?
Näin sen tahtoni ilmaisin tuolla ylempänä:
Minusta kyllä myös ns 'rauhoittavan viestin' kirjoittaminen on monesti paikallaan. Sillä kun välttäisi monta väärinkäsitystä...
siksi olisin toivonut jonkinsortin mainintaa, kun tunnut noin tietävän asiasta.
Oliko siinä jukoliste jotain väärää? P%¤#&le!
ja sitt sinä pyysit sitä julkistettua menetelmää nähtäväksesi, jonka siis annoin. Etkä mitenkään reagoinut toiveeseen ajoissa annettavaan informaation puuttumiseen. Siinä oli koko juttuni pointi. Sitä tietoa täältä kaipasin itselleni ja muille.
Tää on kumma paikka, kun jotain hiukankin moittii tai kyseenalaistaa, niin heti väännetään juttu muille raiteille ja kysyjää lydään ku vierasta sikaa.
No tuolta Ubuntun sivuilta sentään löytää infoa tällaisiinkin tilanteisiin!
Kehotankin jatkossa kaikkia kääntymään sinne
-
Ja taas saatiin 'sota' pystyyn - miksi? Siksi, että olisin toivonut teiltä jo ENNEN tän ketjun aloitusta jotain rauhoittavaa infoa epäileville käyttäjille, kun tunnutte asiasta tietävän muita enemmänkö?
Tämähän ei varsinaisesti ole mikään tiedostusfoorumi, vaan ensisijaisesti paikka, josta saa apua openSUSE-ongelmiin. Kriittisten järjestelmien ylläpitäjiä suosittelenkin seuraamaan cert-fi:tä, yms paikkoja, joihin tieto tulee yleensä ensimmäisenä.
Näin sen tahtoni ilmaisin tuolla ylempänä:
Minusta kyllä myös ns 'rauhoittavan viestin' kirjoittaminen on monesti paikallaan. Sillä kun välttäisi monta väärinkäsitystä...
siksi olisin toivonut jonkinsortin mainintaa, kun tunnut noin tietävän asiasta.
Oliko siinä jukoliste jotain väärää? P%¤#&le!
Mielestäni tästä bugista on nostettu ihan liian iso meteli. Voisi melkeen sanoa, ettei tästä ole kotikäyttäjälle mitään harmia(toki kannattaa silti päivittää se kone), koska tämä vaatii tunnukset koneelta.
Täytyy muistaa, että esim PHP:n aukot ovat PHP:n aukkoja ja kernelin aukot kernelin aukkoja. Jos ylläpidät koneellasi foorumia(tjv), niin kannattaneekin miettiä, kumpi on tärkeämpää paikata ensin: se kerneli-aukko, jolla hyökkääjä saa rootin oikeudet päästyään koneelle, vai se etähaavoittuvuus, jolla se ylipäätään pääsee sinne koneelle. Kaikkia spämmäreitä ei edes kiinnosta rootinoikeudet. riittää, että saa apassin oikeudet ja pääsee mail()-funktioon käsiksi.
ja sitt sinä pyysit sitä julkistettua menetelmää nähtäväksesi, jonka siis annoin. Etkä mitenkään reagoinut toiveeseen ajoissa annettavaan informaation puuttumiseen. Siinä oli koko juttuni pointi. Sitä tietoa täältä kaipasin itselleni ja muille.
Tää on kumma paikka, kun jotain hiukankin moittii tai kyseenalaistaa, niin heti väännetään juttu muille raiteille ja kysyjää lydään ku vierasta sikaa.
No tuolta Ubuntun sivuilta sentään löytää infoa tällaisiinkin tilanteisiin!
Kehotankin jatkossa kaikkia kääntymään sinne
Täytyy muistaa, että tämän(kin) foorumin ylläpito ja toiminta perustuu täysin ihmisiin, jotka tekevät tätä sen takia, että tämä on mukavaa ja eräänlainen harrastus. Jos tiesit bugista ja olit sitämieltä, että täällä foorumilla olisi pitänyt olla jotain tästä, niin sinun olisi pitänyt aloittaa uusi threadi.
Monet neuvothan toimivat täysin ristiin ubuntun ja susen välillä, joten jos apu löytyy ubuntu-foorumilta, niin lueske sitten sitä. Olen kuitenkin melko varma, että ubuntun-foorumi ei ollut se paikka, jossa oli juttua tästä bugista ensimmäisen kerran..
-
Täytyy muistaa, että tämän(kin) foorumin ylläpito ja toiminta perustuu täysin ihmisiin, jotka tekevät tätä sen takia, että tämä on mukavaa ja eräänlainen harrastus. Jos tiesit bugista ja olit sitämieltä, että täällä foorumilla olisi pitänyt olla jotain tästä, niin sinun olisi pitänyt aloittaa uusi threadi.
Hyvä fsu, tossa kiteytit koko homman ytimen! Kaikki mitä täällä tapahtuu, perustuu käyttäjien omaan aktiivisuuteen ja vapaaehtoisuuteen. Se tuntuu osalta välillä unohtuvan :)