Težava je v neustrezni obravnavi ničelnih kazalcev (tim. NULL pointer dereference), za uspešno izvedbo napada pa morata biti na sistemu nameščen SELinux ali pa PulseAudio in mmap_min_addr nastavljen na 0 (to je mogoče preveriti z ukazom "cat /proc/sys/vm/mmap_min_addr").
Kot poročajo na forumu, naj nekatere različice Ubuntu 9.04 ne bi bile ranljive, saj mmap_min_addr ni nastavljen na 0 (zaradi česar so se nekateri uporabniki Ubuntuja sicer pritoževali), moji testi pa kažejo, da je zlonamerno kodo mogoče uspešno pognati tudi na tej različici Ubuntu operacijskega sistema.
Morda pa je končno napočil čas, da Linux skupnost začne nekoliko bolj resno delati na področju varnosti in ustanovi skupni varnostni center, ki se bo še bolj sistematično ukvarjal z varnostjo...
Eh. To pa res ni nek problem. Vsak linux user lahko sam popravi source zadevo in skompajla jedro etc... Pustimo zaj***. Predvidevam, da exploit lahko izvede samo obstoječi uporabnik?
@Brane2: Ne bo delovalo. Ne uporabljaš SELinux in mmap_min_addr != 0.
BigWhale uporablja default Ubuntu 9.04 which is *not* vulnerable.
Tole v novici ne drži: "za uspešno izvedbo napada pa morata biti na sistemu nameščen PulseAudio ali SELinux, hkrati pa mora biti mmap_min_addr nastavljen na 0". SELinux will by default let anyone mmap at NULL. V tem primeru je mmap_min_addr lahko karkoli.
Hm nimam nameščenga SElinux in mmap_min_addr = 0 imam pa nameščen mplayer in pulseaudio. Pa res potem začne špilat en zvok ene francoze potem pa pride not v root :)
Zakaj je nebo modro? Da imamo lahko sladoled Modro Nebo
Tole v novici ne drži: "za uspešno izvedbo napada pa morata biti na sistemu nameščen PulseAudio ali SELinux, hkrati pa mora biti mmap_min_addr nastavljen na 0". SELinux will by default let anyone mmap at NULL. V tem primeru je mmap_min_addr lahko karkoli.
Zakaj bi aplikacija sploh hotela kaj početi na pagu 0? A niso ravno zato dali na 0x0 razne interrupt tabele zato da sigurno res vsak ki dostopa na 0x0 konča s segmentation fault oz. general protection fault... int * p = malloc(sizeof(int); if(p == NULL) ... aja ne, malloc mi je res alociral 0x0
Največja napaka desetletja je bila narejena 4. novembra 2008
Oni so goljufali in Alah je goljufal, Alah je najboljši prevarant. (Koran 3:54)
Citiraj svetega očeta Benedikta XVI. in postani "persona rudis"...
Ja, NSA si je pustila backdoor. Na internih distribucijah imajo ziher pravilno nastavljen mmap_min_addr.
Največja napaka desetletja je bila narejena 4. novembra 2008
Oni so goljufali in Alah je goljufal, Alah je najboljši prevarant. (Koran 3:54)
Citiraj svetega očeta Benedikta XVI. in postani "persona rudis"...
Izkoriscanje "NULL pointer dereference" napak v Linux jedru je ocitno zadnji krik mode
Zakaj bi aplikacija sploh hotela kaj početi na pagu 0?
Ponavadi je aplikaciji vseeno kje dobi zeljen kos pomnilnika, samo da ga dobi. Obstajajo pa tudi primeri, ko se program zanasa na to, da so podatki na tocno dolocenem naslovu ali pa da je naslov 0 mapiran. Taki grdi programi pisani v casih, ko je bil nek cuden pogoj vedno izpolnjen, na Linuxu ne bi delovali, zato obstaja vec "osebnosti" Linuxa. To v bistvu pomeni neke vrste compatibility mode, ki enabla vse obskurnosti nekega starejsega UNIX-a. S SVR4 personality se med drugim mapira naslov 0. Sej ce odmislimo varnostne probleme (katerih vzrok itak tici drugje): zakaj pa ni bi imel neke kompatibilnosti za nazaj. Najbolj znan problematicen program je dosemu, ki pa je problematicen ravno zato ker emulira DOS.
int * p = malloc(sizeof(int); if(p == NULL) ... aja ne, malloc mi je res alociral 0x0
Malloc() je samo en high-level wrapper, ki sploh ne alocira nujno novega pomnilnika, ampak samo dodeljuje delcke vecjega alociranega kosa. Uporabiti bi moral mmap(). Da ne govorimo o tem, da NULL pri tej funkciji lahko pomeni tudi napako.
Default KUbuntu 9.04 z vsemi popravki exploit deluje
Glede tega je precej nejasnosti: sam sem odkril, da na vseh masinah, kjer je bila instalirana neka starejsa verzija Ubunta in so bile nadgrajene na Ubuntu 9.04 mmap_min_addr ostane 0, kar pomeni da se da ranljivost tam izkoristiti. Nove instalacije Ubuntu 9.04 pa imajo mmap_min_addr nastavljen (po defaultu) na 65536. No razen, ce je kaksen paket kriv za to, da je mmap_min_addr postal spet 0 (ne, dosemu ni instaliran). Seveda pa lahko admin kadarkoli spremeni to vrednost.
Zanimivo odkritje da mmap_min_addr ne spremeni vrednosti po upgejdu distribucije...
Sej ne vem, ce je to res. Tako sem samo sklepal po tem ko sem videl n Ubuntu 9.04 masin z mmap_min_addr = 0, zadnjic sem pa opazil se eno reinstalirano masino z istim OS, kjer to ni bilo res. Sem se ze pri Cheddar Bay spraseval o tem, ker se mi je zdelo cudno. Mogoce lahko kdo drug kaj vec pove o tem namesto da se kregate samo v stilu "tukaj dela, tukaj ne dela".
Bo kar tako kot sem jaz napisal. Kar poskusi :)
No mogoce se samo nisva razumela. PulseAudio rabis zato, da spravis podatke na naslov 0. Ce je mmap_min_addr 0 tega ne rabis, ker kdorkoli lahko mmapa() naslov 0. SELinux je pa tudi nekako v stilu PulseAudio - se pravi karkoli od tega pa si zmagal. Nisem pa (se) pogledal kako tocno exploit deluje, tako da mogoce ni edina fora samo v tem.
Mah, nihče se nič ne krega. Bilo bi pa super, če bi vsi ki so exploit poskusili (ne glede na končni rezultat) vsaj prilimali output ukazov uname -a && cat /proc/sys/vm/mmap_min_addr ter navedli ali uporabljajo SELinux oz. PulseAudio. Simple as that...
Če imaš mmap_min_add = 0, res ne potrebuješ PulseAudio, vendar če imaš PulseAudio in mmap_min_addr > 0 zadeva ne deluje. Je pa to delovalo pri Cheddar Bay-u kjer PER_CLEAR_ON_SETID mask ni spucal MMAP_PAGE_ZERO.
Zabavno postane pri uporabi SELinux-a kjer je mmap_min_addr lahko karkoli. SELinux will override the LSM restriction :)
Imam tri kište z nameščenim Ubuntu 9.04 (fresh install) ... mmap_min_addr = 65536.
zee - v bistvu imam več računalnikov. "Domačica verzija" pa je zato, ker si jaz pogosto instaliram vse živo, tudi kakšne patche in custom zadeve in precej spreminjam default nastavitve...
Aaaaaaaa. Se pardoniram. Se mi zdi sicer, da nas ima precej Linuxasev vec razlicnih distribucij instaliranih...pri meni sta trenutno Gentoo (totalna domacica) in Ubuntu.
zee
Linux: Be Root, Windows: Re Boot
Giant Amazon and Google Compute Cloud in the Sky.
bigwhale@thefish:~/Documents$ uname -a && cat /proc/sys/vm/mmap_min_addr Linux thefish 2.6.28-14-generic #47-Ubuntu SMP Sat Jul 25 00:28:35 UTC 2009 i686 GNU/Linux 65536
@der_Alte: Možno, da je v tvojem primeru "krivec" PAE. Zadeva naj bi delovala na Fedora 11 (2.6.16/2.6.18/2.6.27/2.6.29).
Sicer pa Brad Spender pravi takole: "Maybe they fix it in Fedora. RedHat is more interesting target and they won't fix it due to compatibility issues."
Lahko še kdo testira na Fedori 11. Zanimivo bi bilo videti rezultate.
Men ni nič več jasno: $ cat /proc/sys/vm/mmap_min_addr cat: /proc/sys/vm/mmap_min_addr: No such file or directory rezultat: [+] Got root!
Pri tebi je zgleda kernel tako star da niti nima /proc/sys/vm/mmap_min_addr, kar je ekvivalentno kot ce bi bil mmap_min_addr 0. Torej vsak lahko mmap()-a naslov 0 in tako tudi exploita napako.
Če imaš mmap_min_add = 0, res ne potrebuješ PulseAudio, vendar če imaš PulseAudio in mmap_min_addr > 0 zadeva ne deluje. Je pa to delovalo pri Cheddar Bay-u kjer PER_CLEAR_ON_SETID mask ni spucal MMAP_PAGE_ZERO.
Mas prav ja. Na to niti nisem pomislil. Ta PER_CLEAR_ON_SETID fix je bil ocitno backportan tudi na starejse Ubuntu kernele. Se pravi PulseAudio "pride prav" samo na nekem majhnem intervalu jeder - tam kjer mmap_min_addr > 0 in PER_CLEAR_ON_SET se ne vsebuje MMAP_PAGE_ZERO. Za SELinux pa ni nic drugace kot takrat.
Če pa dam echo 65536 > /proc/sys/vm/mmap_min_addr, pa exploit ne deluje več.
Jasno. Vsakdo, ki ima mmap_min_addr, bi ga naceloma moral nastaviti na 65536, razen ce ima kaksen eksoticen program, ki zaradi tega mogoce ne bi vec dobro delal.
void extract_and_play_video(void) in tzameti.avi
Ugh. Zadeva vsebuje 4 MB .avi file, ki ga potem z mplayer predvaja kot ASCII art.
Sploh ni štos v tem al je al ni. Sem mogu neki napisat kot večina linux fan boyov po drugih temah. Osebno pa mi je vseeno kdo kaj uporablja. Za sebe osebno vem da linux NE ;)
