» »

Linux kernel exploit, še ne patchaš?

Linux kernel exploit, še ne patchaš?

c3p0 ::

Sam sem že popatchal vse kritične kište. Želim prijetno delo.

https://copy.fail/

Še hiter začasni patch:

echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif-aead.conf
rmmod algif_aead 2>/dev/null || true


Aja, ranljivi bi naj bili več ali manj vsi distro kerneli, od 2017 naprej. Bug najden s pomoči AI, slutim da bo tega kmalu še dosti, Mythos in tako naprej.
  • spremenil: c3p0 ()

joez7 ::

A ne rabiš za tole fizični dostop?
Sem mali provokator, po potrebi diktator, dvomim v vse in nič ne vem.
Marsikdaj se motim, zato prosim me popravi.

c3p0 ::

Fizičnega ne, moraš pa bit nek user. Torej, npr. ranljiva php skripta je dovolj.

iloveboobz ::

hmm, naj še kdo to sporta na kakšn drug jezik/okolje, k python, da bo useful tut na zaprtih embedded sistemih, kjer usually nimaš roota :D

https://github.com/badsectorlabs/copyfa...

lol ze obstaja :D
smoki

Zgodovina sprememb…

karafeka ::

Ne bodi len, pa vprašaj chatgpt. :)

Sicer pa zanimiva ideja.

Ales ::

c3p0 je izjavil:

Sam sem že popatchal vse kritične kište. Želim prijetno delo.

https://copy.fail/

Še hiter začasni patch:

echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif-aead.conf
 rmmod algif_aead 2>/dev/null || true


Aja, ranljivi bi naj bili več ali manj vsi distro kerneli, od 2017 naprej.

Samo kerneli pri distribucijah, ki ne sledijo hitro upstreamu in niso opazile, da bi bilo ta popravek potrebno dodati v starejše kernele. Sicer pa je bilo to že popravljeno pred objavo.

Archov kernel recimo ni ranljiv, Fedora 44 tudi ne. Precej distribucij, ki so pogosto na strežnikih pa je.

Predvsem je problem bil v tem, da so distribucije narobe ocenile pomembnost te ranljivosti, komunikacija med kernel developerji in distribucijami pa ni bila ravno sjajna. Obstaja določena disonanca tu - kernel developerji smatrajo, da so vsi bugi za popravit in ne želijo posebej izpostavljati nobenega. Distribucije pa ne želijo popravljati vsega, če menijo, da ni dovolj pomembno. In posledica...

Glede obvozov - ta zgornji deluje le, če je algif_aead prisoten kot zunanji modul, za preostale so ustrezna navodila tu.

Bug najden s pomoči AI, slutim da bo tega kmalu še dosti, Mythos in tako naprej.

"Mythos" je marketinški ploy. LLM-ji se že leta namensko uporabljajo za iskanje lukenj v kernelu, tudi s strani samih kernel developerjev oz. projekta samega, to ni nova stvar. Se pa zdaj še več ljudi ukvarja s tem, tako da bodo popravki (in exploiti) verjetno res pogostejši, kar je dobro.

pegasus ::

Naslednjih par let bo zaradi AIjev tako kot je bilo konec 90ih, ko je bil praktično vsak dan objavljen nov remote buffer overflow v popularnih softverih (npr. sendmail). Trajalo je čisto predolgo, da so se developerji zavedli, kakšne neumnosti počnejo in se naučili preverjat dolžino sumljivih stringov. Bomo videli, koliko bo trajalo sedaj, da se naučijo hendlat ai grožnje. Problem bo, ker ne bodo ena lepa kategorija kot so bili buffer overflowi, ampak bodo all over the specturm, vse neumnosti, tako kot npr. recent openssh auth bypass, če uporabljaš certifikate za auth in je v imenu certa vejica. ;((

c3p0 ::

Ales je izjavil:


Glede obvozov - ta zgornji deluje le, če je algif_aead prisoten kot zunanji modul, za preostale so ustrezna navodila tu.

Bug najden s pomoči AI, slutim da bo tega kmalu še dosti, Mythos in tako naprej.

"Mythos" je marketinški ploy. LLM-ji se že leta namensko uporabljajo za iskanje lukenj v kernelu, tudi s strani samih kernel developerjev oz. projekta samega, to ni nova stvar. Se pa zdaj še več ljudi ukvarja s tem, tako da bodo popravki (in exploiti) verjetno res pogostejši, kar je dobro.


Če je compiled-in v kernel, ne kot modul, je druga opcija obvoda preko grub in initcall_blacklist, potreben je sicer reboot - no, saj piše na tvojem linku. Če je na voljo kernel (zdaj že verjetno je za vse distroje, imeli so 30 dni časa), je bolj smiseln seveda upgrade kernela.

To ni nova stvar, kot LLM niso nova stvar. So pa čedalje boljši.

Ales ::

c3p0 je izjavil:

Če je na voljo kernel (zdaj že verjetno je za vse distroje, imeli so 30 dni časa), je bolj smiseln seveda upgrade kernela.

RedHat še nima popravljenih kernelov (in nanje navezujoče se distribucije tudi ne). SUSE tudi ne. Ubuntu je izdal nadgradnjo kmod paketa in po tej poti za vse uveljavil obvoz, kernelov tudi še niso popravili. Novi Ubuntu 26.04 LTS pa ni ranljiv, ker ima kernel 7.0.

Tokrat je res prišlo do kratkega stika tu. Popravek je bil že 1.4. dodan v mainline kernel repozitorij, pa se večje strežniške distribucije iz različnih razlogov niso odzvale.

Glede LLM vloge pri tem odkritju: "Was this AI-found?

AI-assisted. The starting insight — that splice() hands page-cache pages into the crypto subsystem and that scatterlist page provenance might be an under-explored bug class — came from human research by Taeyang Lee at Xint.

From there, Xint Code scaled the audit across the entire crypto/ subsystem in roughly an hour. Copy Fail was the highest-severity finding in the run." (vir, neposredno na njihovi promocijski strani).

Sem pa zih, da bo zdaj kup rumenih medijev (na žalost s Slo-tech vred) poročalo, kako je "AI" našel to. ;)

Randomness ::

Saj ga je AI našel, samo malo začetnega poriva (v pravo smer) je rabil

Ales ::

Tudi tvoj brskalnik je ravnokar spletno stran našel, le malo začetnega poriva (v pravo smer) je rabil.

Da ne boš torej mislil, da ti brskaš po spletu, to tvoj brskalnik dela. Brskalnik-assisted brskanje je to... :D

Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Ranljivost v vseh distribucijah Linuxa

Oddelek: Novice / Varnost		387622 (1481) Randomness
»

Googlova raziskava: oddaljene ekipe enako učinkovite in nagrajene

Oddelek: Novice / Ostalo		3511191 (9414) Tear_DR0P
»

Napredno znanje Linuxa

Oddelek: Operacijski sistemi		132093 (1632) BlaY0
»

Linux jedro z resno varnostno luknjo

Oddelek: Novice / Varnost		486502 (3328) 'FireSTORM'
»

Išče se informacija o nepodprti strojni opremi za Linux (strani: 1 2 3 )

Oddelek: Novice / Ostala programska oprema		1389804 (9804) Matevžk

Več podobnih tem