elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Estamos en la red social de Mastodon


+  Foro de elhacker.net
|-+  Foros Generales
| |-+  Foro Libre
| | |-+  Noticias (Moderadores: wolfbcn, El_Andaluz)
| | | |-+  Importante fallo en el kernel posibilita la escalada local en sistemas Linux
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Importante fallo en el kernel posibilita la escalada local en sistemas Linux  (Leído 2,720 veces)
DarkDelphi

Desconectado Desconectado

Mensajes: 23


Ver Perfil
Importante fallo en el kernel posibilita la escalada local en sistemas Linux
« en: 21 Septiembre 2010, 08:38 am »

Leo en Barrapunto:

Citar
Según el aviso en CVE-2010-3081, existe una vulnerabilidad en el kernel de 64 bits de Linux introducida desde 2008 y que afecta a casi todas las distribuciones (RHEL, Suse y Debian entre otras), permitiendo acceso como root a la máquina. En Ksplice publicaron una herramienta de prueba  para saber si la vulnerabilidad fue explotada en un servidor (las puertas traseras que pudieran haberse creado hay que eliminarlas manualmente)...

La noticia continúa con detalles sobre la causa del bug y la discusión al respecto en la fuente original.

Para descubrir si el fallo ha sido explotado en vuestra máquina:
https://www.ksplice.com/uptrack/cve-2010-3081.ssi.xhtml

Posible exploit del 0day que ni he leido, ni creo que lea:
http://seclists.org/fulldisclosure/2010/Sep/268


« Última modificación: 21 Septiembre 2010, 08:45 am por DarkDelphi » En línea

DarkDelphi

Desconectado Desconectado

Mensajes: 23


Ver Perfil
Re: Importante fallo en el kernel posibilita la escalada local en sistemas Linux
« Respuesta #1 en: 21 Septiembre 2010, 08:42 am »

Lamento no dejar información y enlaces más detallados (me he enterado hace como diez minutos). Con los que hay en la fuente original se puede llegar al bug tracker de RedHat donde están los detalles y la discusión técnica sobre el asunto.


En línea

lesone-

Desconectado Desconectado

Mensajes: 91



Ver Perfil WWW
Re: Importante fallo en el kernel posibilita la escalada local en sistemas Linux
« Respuesta #2 en: 21 Septiembre 2010, 09:54 am »

Citar
Error de regresión en el kernel Linux resucita una elevación de privilegios

El investigador de seguridad Ben Hawkes se hallaba diseccionando el modo de compatibilidad del kernel Linux de 64 bits para aplicaciones de 32 cuando dio con algo que llamó su atención:

En el 2007 fue publicada una vulnerabilidad que permitía elevar privilegios en el kernel Linux de 64 bits. El problema residía en el archivo 'arch/x86_64/ia32/ia32entry.S', dentro de un procedimiento para emular las llamadas de la arquitectura de 32 bits.

Dicho procedimiento usa el registro eax como índice a una tabla donde están las llamadas del sistema correspondientes a IA32 y comprueba que eax está dentro de los límites de la tabla. Si es así llama a la macro IA32_ARG_FIXUP que realizará una conversión de registros de 64 bits a registros de 32.

Finalmente se realiza la llamada a través de ia32_sys_call_table pero usando el registro 'rax' completo y sin comprobar. Esto permite, si podemos controlar 'rax', efectuar llamadas a direcciones fuera de la tabla de llamadas y con privilegios del sistema (elevación de privilegios).

Dicho fallo, originalmente descubierto por Wojciech Purczynski, fue corregido añadiendo la macro LOAD_ARGS32 para cargar de manera segura los registros previniendo su explotación. En su día fue publicado el exploit correspondiente y se asignó el CVE-2007-4573 a la vulnerabilidad.

Lo que Ben observó fue que en las nuevas versiones del kernel, los desarroladores habían eliminado una linea concreta de la macro LOAD_ARGS32: "movl \offset+72(%rsp),%eax".

Curiosamente se trata de la que efectuaba una asignación segura del valor de 'eax'. Esto puede verse en el commit correspondiente del repositorio del kernel.

De nuevo la vulnerabilidad estaba viva. Ben se lo comunicó a Robert Swiecki, quien creo el exploit original y el cual sólo tuvo que modificarlo para que fuese funcional una vez más.

El fallo ha sido nuevamente parcheado y asignado el CVE-2010-3301.

Un saludo!!
En línea

--------- #Elhacker.net   ---------------
Fayre

Desconectado Desconectado

Mensajes: 32



Ver Perfil WWW
Re: Importante fallo en el kernel posibilita la escalada local en sistemas Linux
« Respuesta #3 en: 21 Septiembre 2010, 12:57 pm »

Interesante gracias por la info el resultado que me da el programa es este:

Citar
Diagnostic tool for public CVE-2010-3081 exploit -- Ksplice, Inc.
(see http://www.ksplice.com/uptrack/cve-2010-3081)

$$$ Kernel release: 2.6.32-24-generic
!!! Not a RHEL kernel, will skip LSM method
$$$ Backdoor in LSM (1/3): not available.
$$$ Backdoor in timer_list_fops (2/3): checking...not present.
$$$ Backdoor in IDT (3/3): checking...not present.

Your system is free from the backdoors that would be left in memory
by the published exploit for CVE-2010-3081.

Así que no estoy infectado gracias salu2 ;-)
En línea

Foxy Rider


Desconectado Desconectado

Mensajes: 2.407


Deprecated


Ver Perfil WWW
Re: Importante fallo en el kernel posibilita la escalada local en sistemas Linux
« Respuesta #4 en: 21 Septiembre 2010, 23:45 pm »

Si tenés un servidor no podés ser infectado, como bien aportó lesone este fallo explota la capa de compatibilidad con 32 bits ... si no la instalaste (instalarla es cosa rara en un server, diría yo ... ), sencillamente olvidate de este fallo ... ^^

Saludos
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines