Kirjoittaja Aihe: kernelin päivityksestä (tietoturva)  (Luettu 9596 kertaa)

0 jäsentä ja 4 Vierasta katselee tätä aihetta.

guest158

  • Vieras
kernelin päivityksestä (tietoturva)
« : 14.02.2008 - klo:08:56 »
Korjasiko tuo pari päivää sitten tullut 2.6.27.x-kerneli nyt julkisuudessa olevan tietoturva-aukon, jossa tavis saa pääkäyttäjän oikeudet?

Ubuntun sivuilla siitä keskustellaan, mutt täältä ei oo löytyny merkintääkään... oisko ollu aiheellista infota kävijöitä ja käyttäjiä?

Poissa arijoutsi

  • Käännösryhmä
  • *
  • Viestejä: 2062
  • Sukupuoli: Mies
Vs: kernelin päivityksestä (tietoturva)
« Vastaus #1 : 14.02.2008 - klo:10:56 »
Korjaushan tuli aiempiinkin kerneleihin. Mulla näyttää nyt tältä.

Eilen
2.6.22.16-0.2-default

Tänään
2.6.22.17-0.1-default
HP Elite book, openSUSE Leap 15.2
Mac mini Catalina.
Puhelin, iPhone SE.

guest158

  • Vieras
Vs: kernelin päivityksestä (tietoturva)
« Vastaus #2 : 14.02.2008 - klo:11:45 »
 :D ettei vaan tossa mun alkuperäisessä kyssärissäni ois jonkinsortin kirotusvihree   
ei taida ihan vielä olla sitä kerneliä olemassa tai tulemassakaan...  :D

Mutt siis juuri tuosta Arijoutsin mainitsemaa 2.6.22.17-0.1-default kernelipäivitystä tarkoitin
Onko siinä nyt paljon esillä oleva tietoturvaaukko fixattu? ...etteti kävis ku H:kin yliopiston tietojenkäsittelytieteen laitoksella... http://www.tietokone.fi/uutta/uutinen.asp?news_id=32801&tyyppi=1

guest141

  • Vieras
Vs: kernelin päivityksestä (tietoturva)
« Vastaus #3 : 14.02.2008 - klo:11:54 »
Mahtaakohan miten olla sitten toimiva nvidian ajureiden kanssa,(toimiiko sinulla miten arijoutsi?), itselläni kun on vielä 2.6.22.16..jne-default, kun seuraava mitä päivitys antaisi olisi 2.6.22.18   kun on kernel repo laitettuna Yast:iin, ja nvidian repo tukee suoraan vain tätä omaani, ja en ihan ensimmäisenä lähtisi sitä ei yast kautta asentamaan,( nvidian ajureita siis).

banana

  • Vieras
Vs: kernelin päivityksestä (tietoturva)
« Vastaus #4 : 14.02.2008 - klo:12:55 »
Mutt siis juuri tuosta Arijoutsin mainitsemaa 2.6.22.17-0.1-default kernelipäivitystä tarkoitin
Onko siinä nyt paljon esillä oleva tietoturvaaukko fixattu? ...etteti kävis ku H:kin yliopiston tietojenkäsittelytieteen laitoksella... http://www.tietokone.fi/uutta/uutinen.asp?news_id=32801&tyyppi=1
On korjattu. http://www.dslreports.com/forum/r19970312-Critical-Linux-Kernel-Vulnerability-vmsplice-2617-~start=20

Lisäksi tuon hyödyntäminen edellyttää, että tunkeutuja pääsee kirjautumaan henkilökohtaisesti koneelle eli vaarassa lähinnä yleiskäytössä olevat koneet, kuten tuo mainittu tktl:n laitos. Suurimmalle osalle normikäyttäjistä tuosta ei siis varsinaisesti edes ollut vaaraa.

Poissa jmp

  • openSUSE Member
  • *
  • Viestejä: 4553
  • Sukupuoli: Mies
    • openSUSEa suomeksi
Vs: kernelin päivityksestä (tietoturva)
« Vastaus #5 : 14.02.2008 - klo:12:58 »
Ubuntun sivuilla siitä keskustellaan, mutt täältä ei oo löytyny merkintääkään... oisko ollu aiheellista infota kävijöitä ja käyttäjiä?

No oikeastaan ei. En ainakaan itse nähnyt mitään syytä tällaiseen viestiketjuun.
Tuo bugi vaatii toimivat tunnukset koneelle, se ei ollut mikään etäkäyttön salliva bugi. 

Crispin Cowan selitti asian mielestäni hyvin.
Ja muistakaa pitää hauskaa ;)

openSUSE Tumbleweed (x86_64)

Poissa arijoutsi

  • Käännösryhmä
  • *
  • Viestejä: 2062
  • Sukupuoli: Mies
Vs: kernelin päivityksestä (tietoturva)
« Vastaus #6 : 14.02.2008 - klo:13:51 »
Mahtaakohan miten olla sitten toimiva nvidian ajureiden kanssa,(toimiiko sinulla miten arijoutsi?), itselläni kun on vielä 2.6.22.16..jne-default, kun seuraava mitä päivitys antaisi olisi 2.6.22.18   kun on kernel repo laitettuna Yast:iin, ja nvidian repo tukee suoraan vain tätä omaani, ja en ihan ensimmäisenä lähtisi sitä ei yast kautta asentamaan,( nvidian ajureita siis).

Mulla ei tullut mitään ongelmaa. Päinvastoin korjas samalla tuon java päivityksenkin, mikä mulla herjas jatkuvasti.
HP Elite book, openSUSE Leap 15.2
Mac mini Catalina.
Puhelin, iPhone SE.

laulumaa

  • Vieras
Vs: kernelin päivityksestä (tietoturva)
« Vastaus #7 : 15.02.2008 - klo:21:43 »
Mielestäni oli ihan paikallaan aloittaa ketju tästä asiasta. Monella foorumin käyttäjällä voi olla Linux-palvelin jossain harrastuskäytössä ja osa voi jopa ylläpitää jotain laajemmassa käytössä olevaa palvelinta. Ja käsittääkseni tuota reikää voi jopa päästä hyödyntämään ilman paikallista käyttäjätunnusta Apachen kautta, jos PHP-käyttö sallittu ja PHP:n käyttöoikeudet tarpeeksi höllällä.

Poissa jmp

  • openSUSE Member
  • *
  • Viestejä: 4553
  • Sukupuoli: Mies
    • openSUSEa suomeksi
Vs: kernelin päivityksestä (tietoturva)
« Vastaus #8 : 15.02.2008 - klo:22:16 »
Mielestäni oli ihan paikallaan aloittaa ketju tästä asiasta. Monella foorumin käyttäjällä voi olla Linux-palvelin jossain harrastuskäytössä ja osa voi jopa ylläpitää jotain laajemmassa käytössä olevaa palvelinta.

Asiasta on mainittu useasti eri sivustoilla. Korjaus siihen on jo jaossa
Aukko on/oli paikallinen eli sen käyttämiseen tarvittiin olemassa oleva tunnus.

Lainaus
Ja käsittääkseni tuota reikää voi jopa päästä hyödyntämään ilman paikallista käyttäjätunnusta Apachen kautta, jos PHP-käyttö sallittu ja PHP:n käyttöoikeudet tarpeeksi höllällä.

Onko linkkiä lähteeseen tai mahdollisesti esimerkkiä miten tuo toimii.

Jos aukko olisi ollut etäkäytön mahdollistava olisin varmasti (kuten moni muukin) välittömästi siitä täällä ilmoittanut.
Ja muistakaa pitää hauskaa ;)

openSUSE Tumbleweed (x86_64)

laulumaa

  • Vieras
Vs: kernelin päivityksestä (tietoturva)
« Vastaus #9 : 15.02.2008 - klo:22:28 »
Ei ole mitään linkkiä tai esimerkkiä tuohon "PHP-haavoittuvuuteen" tämän kernel-reiän osalta. Se oli vain tarkoitettu toteamukseksi yleisesti PHP:stä, onhan esim. foorumisoftat aika usein murtautumisten kohteena. Miksei sitten tätä kernelin reikää voitaisi hyödyntää sopivasti PHP:n avulla? Pointtini oli se, että kyllä tällaiset reiät kannattaa korjailla omista Linuxeistaan vaikka ei paikallisia tunnuksia olisikaan muille käyttäjille.

Poissa jmp

  • openSUSE Member
  • *
  • Viestejä: 4553
  • Sukupuoli: Mies
    • openSUSEa suomeksi
Vs: kernelin päivityksestä (tietoturva)
« Vastaus #10 : 15.02.2008 - klo:23:24 »
Ei ole mitään linkkiä tai esimerkkiä tuohon "PHP-haavoittuvuuteen" tämän kernel-reiän osalta. Se oli vain tarkoitettu toteamukseksi yleisesti PHP:stä, onhan esim. foorumisoftat aika usein murtautumisten kohteena. Miksei sitten tätä kernelin reikää voitaisi hyödyntää sopivasti PHP:n avulla? Pointtini oli se, että kyllä tällaiset reiät kannattaa korjailla omista Linuxeistaan vaikka ei paikallisia tunnuksia olisikaan muille käyttäjille.

Päivitykset ovat tärkeitä ja ne on syytä ladata ja ottaa käyttöön heti kuin mahdollista.
Ja muistakaa pitää hauskaa ;)

openSUSE Tumbleweed (x86_64)

guest158

  • Vieras
Vs: kernelin päivityksestä (tietoturva)
« Vastaus #11 : 16.02.2008 - klo:10:16 »
Mielestäni oli ihan paikallaan aloittaa ketju tästä asiasta. Monella foorumin käyttäjällä voi olla Linux-palvelin jossain harrastuskäytössä ja osa voi jopa ylläpitää jotain laajemmassa käytössä olevaa palvelinta.

Asiasta on mainittu useasti eri sivustoilla. Korjaus siihen on jo jaossa
Aukko on/oli paikallinen eli sen käyttämiseen tarvittiin olemassa oleva tunnus.

Lainaus
Ja käsittääkseni tuota reikää voi jopa päästä hyödyntämään ilman paikallista käyttäjätunnusta Apachen kautta, jos PHP-käyttö sallittu ja PHP:n käyttöoikeudet tarpeeksi höllällä.

Onko linkkiä lähteeseen tai mahdollisesti esimerkkiä miten tuo toimii.

Jos aukko olisi ollut etäkäytön mahdollistava olisin varmasti (kuten moni muukin) välittömästi siitä täällä ilmoittanut.

Minusta kyllä myös ns 'rauhoittavan viestin' kirjoittaminen on monesti paikallaan. Sillä kun välttäisi monta väärinkäsitystä...
siksi olisin toivonut jonkinsortin mainintaa, kun tunnut noin tietävän asiasta.
Mutt miksi muuten kyselet sitlti sen toimivuudesta...?
No kyllä se kaivannee tunnuksen koneeseen, jossa asemaansa haluu korottaa, mutt eioköhän aika moni kaverinsa tunnuksista mahtais olla jopa tietoinenkin.
Mutt tässä se muualla näytetty malli, jota halusit. Testaa ja kokeile:

 $ gcc exploit.c -o exploit
 $ whoami
 heikki
 $ ./exploit
 -----------------------------------
  Linux vmsplice Local Root Exploit
  By qaaz
 -----------------------------------
 
  • mmap: 0x0 .. 0x1000
  • page: 0x0
  • page: 0x20
  • mmap: 0x4000 .. 0x5000
  • page: 0x4000
  • page: 0x4020
  • mmap: 0x1000 .. 0x2000
  • page: 0x1000
  • mmap: 0xb7d90000 .. 0xb7dc2000
  • root

 $ whoami
 root

tässä päivityksen jälkeen:
bash-3.2$ uname -r
2.6.24-ARCH
bash-3.2$ ./exploit
-----------------------------------
 Linux vmsplice Local Root Exploit
-----------------------------------
  • mmap: 0x0 .. 0x1000
  • page: 0x0
  • page: 0x20
  • mmap: 0x4000 .. 0x5000
  • page: 0x4000
  • page: 0x4020
  • mmap: 0x1000 .. 0x2000
  • page: 0x1000
  • mmap: 0xb7e43000 .. 0xb7e75000
  • [-] vmsplice: Bad address


Poissa jmp

  • openSUSE Member
  • *
  • Viestejä: 4553
  • Sukupuoli: Mies
    • openSUSEa suomeksi
Vs: kernelin päivityksestä (tietoturva)
« Vastaus #12 : 16.02.2008 - klo:12:05 »
Minusta kyllä myös ns 'rauhoittavan viestin' kirjoittaminen on monesti paikallaan. Sillä kun välttäisi monta väärinkäsitystä...
siksi olisin toivonut jonkinsortin mainintaa, kun tunnut noin tietävän asiasta.

Siinä vaiheessa kun tämän viestiketjun aloitit, aukko oli jo korjattu.

Lainaus
Mutt miksi muuten kyselet sitlti sen toimivuudesta...?

Samasta syystä kuin koko ketjun järkevyyttä epäilin.
Kun kerrotaan aukosta, ei mene kovin pitkää aikaa kun tällaiset arvelut jokin etäyhteyden mahdollistavan exploitin olemassa olosta.
Tästä syystä pyysin linkkiä, mutta sellaista väitteen esittäjä ei pystynyt antamaan.

Lainaus
No kyllä se kaivannee tunnuksen koneeseen, jossa asemaansa haluu korottaa, mutt eioköhän aika moni kaverinsa tunnuksista mahtais olla jopa tietoinenkin.
Mutt tässä se muualla näytetty malli, jota halusit. Testaa ja kokeile:

No kerro kuinka tulet koneelleni/koneeseeni ja suoritat sen siinä?

Jos et luota ihmisiin joilla on pääsy joko fyysisesti tai etäyhteydellä koneeseesi,
niin kysymys kuuluu miksi heillä yleensä on tunnukset (viittaa aiemmin mainitsemaani Cowanin viestiin).

Isommat etäyhteyden sallivat palvelimet ovat eri juttu, mutta jos sellaista ylläpidät luulisi että olet ollut tietoinen tuosta aukosta hyvin aikaisessa vaiheessa.
Ja muistakaa pitää hauskaa ;)

openSUSE Tumbleweed (x86_64)

guest158

  • Vieras
Vs: kernelin päivityksestä (tietoturva)
« Vastaus #13 : 16.02.2008 - klo:19:03 »
Ja taas saatiin 'sota' pystyyn - miksi? Siksi, että olisin toivonut teiltä jo ENNEN tän ketjun aloitusta jotain rauhoittavaa infoa epäileville käyttäjille, kun tunnutte asiasta tietävän muita enemmänkö?

Näin sen tahtoni ilmaisin tuolla ylempänä:
Minusta kyllä myös ns 'rauhoittavan viestin' kirjoittaminen on monesti paikallaan. Sillä kun välttäisi monta väärinkäsitystä...
siksi olisin toivonut jonkinsortin mainintaa, kun tunnut noin tietävän asiasta.

Oliko siinä jukoliste jotain väärää? P%¤#&le!

ja sitt sinä pyysit sitä julkistettua menetelmää nähtäväksesi, jonka siis annoin. Etkä mitenkään reagoinut toiveeseen ajoissa annettavaan informaation puuttumiseen. Siinä oli koko juttuni pointi. Sitä tietoa täältä kaipasin itselleni ja muille.

Tää on kumma paikka, kun jotain hiukankin moittii tai kyseenalaistaa, niin heti väännetään juttu muille raiteille ja kysyjää lydään ku vierasta sikaa.

No tuolta Ubuntun sivuilta sentään löytää infoa tällaisiinkin tilanteisiin!

Kehotankin jatkossa kaikkia kääntymään sinne


fsu

  • Vieras
Vs: kernelin päivityksestä (tietoturva)
« Vastaus #14 : 17.02.2008 - klo:11:55 »
Ja taas saatiin 'sota' pystyyn - miksi? Siksi, että olisin toivonut teiltä jo ENNEN tän ketjun aloitusta jotain rauhoittavaa infoa epäileville käyttäjille, kun tunnutte asiasta tietävän muita enemmänkö?

Tämähän ei varsinaisesti ole mikään tiedostusfoorumi, vaan ensisijaisesti paikka, josta saa apua openSUSE-ongelmiin. Kriittisten järjestelmien ylläpitäjiä suosittelenkin seuraamaan cert-fi:tä, yms paikkoja, joihin tieto tulee yleensä ensimmäisenä.

Näin sen tahtoni ilmaisin tuolla ylempänä:
Minusta kyllä myös ns 'rauhoittavan viestin' kirjoittaminen on monesti paikallaan. Sillä kun välttäisi monta väärinkäsitystä...
siksi olisin toivonut jonkinsortin mainintaa, kun tunnut noin tietävän asiasta.

Oliko siinä jukoliste jotain väärää? P%¤#&le!

Mielestäni tästä bugista on nostettu ihan liian iso meteli. Voisi melkeen sanoa, ettei tästä ole kotikäyttäjälle mitään harmia(toki kannattaa silti päivittää se kone), koska tämä vaatii tunnukset koneelta.
Täytyy muistaa, että esim PHP:n aukot ovat PHP:n aukkoja ja kernelin aukot kernelin aukkoja. Jos ylläpidät koneellasi foorumia(tjv), niin kannattaneekin miettiä, kumpi on tärkeämpää paikata ensin: se kerneli-aukko, jolla hyökkääjä saa rootin oikeudet päästyään koneelle, vai se etähaavoittuvuus, jolla se ylipäätään pääsee sinne koneelle. Kaikkia spämmäreitä ei edes kiinnosta rootinoikeudet. riittää, että saa apassin oikeudet ja pääsee mail()-funktioon käsiksi.


ja sitt sinä pyysit sitä julkistettua menetelmää nähtäväksesi, jonka siis annoin. Etkä mitenkään reagoinut toiveeseen ajoissa annettavaan informaation puuttumiseen. Siinä oli koko juttuni pointi. Sitä tietoa täältä kaipasin itselleni ja muille.

Tää on kumma paikka, kun jotain hiukankin moittii tai kyseenalaistaa, niin heti väännetään juttu muille raiteille ja kysyjää lydään ku vierasta sikaa.

No tuolta Ubuntun sivuilta sentään löytää infoa tällaisiinkin tilanteisiin!

Kehotankin jatkossa kaikkia kääntymään sinne

Täytyy muistaa, että tämän(kin) foorumin ylläpito ja toiminta perustuu täysin ihmisiin, jotka tekevät tätä sen takia, että tämä on mukavaa ja eräänlainen harrastus. Jos tiesit bugista ja olit sitämieltä, että täällä foorumilla olisi pitänyt olla jotain tästä, niin sinun olisi pitänyt aloittaa uusi threadi.

Monet neuvothan toimivat täysin ristiin ubuntun ja susen välillä, joten jos apu löytyy ubuntu-foorumilta, niin lueske sitten sitä. Olen kuitenkin melko varma, että ubuntun-foorumi ei ollut se paikka, jossa oli juttua tästä bugista ensimmäisen kerran..

Poissa Owdy

  • Huoltomies
  • Jäsen
  • Viestejä: 3260
Vs: kernelin päivityksestä (tietoturva)
« Vastaus #15 : 05.04.2008 - klo:22:51 »
Täytyy muistaa, että tämän(kin) foorumin ylläpito ja toiminta perustuu täysin ihmisiin, jotka tekevät tätä sen takia, että tämä on mukavaa ja eräänlainen harrastus. Jos tiesit bugista ja olit sitämieltä, että täällä foorumilla olisi pitänyt olla jotain tästä, niin sinun olisi pitänyt aloittaa uusi threadi.
Hyvä fsu, tossa kiteytit koko homman ytimen! Kaikki mitä täällä tapahtuu, perustuu käyttäjien omaan aktiivisuuteen ja vapaaehtoisuuteen. Se tuntuu osalta välillä unohtuvan :)