» »

Resna ranljivost v Linuxu: Cheddar Bay

Slo-Tech - Pred kratkim je Brad Spengler iz GRsecurity objavil ranljivost Cheddar Bay.

Gre za lokalno ranljivost v operacijskem sistemu Linux, na katerem teče SELinux. SELinux (Security Enhanced Linux) je zbirka varnostnih ojačitev Linux sistemov, ki naj bi onemogočala oziroma vsaj otežila napade. Ranljivost je bila potrjena na Linux jedru 2.6.30 in 2.6.30.1 (trenutno to jedro uporablja le RHEL 5 v testnih okoljih) na katerem tečeta SELinux ali PulseAudio. Ranljivost omogoča eskalacijo privilegijev.

Očitno pada še en mit - mit o varnosti Linuxa - precej nenavadno pa je, da Linus Tornvalds zatrjuje, da pri vsem skupaj ne gre za problem Linux jedra (kar je tehnično gledano sicer res) in problem skuša zminimalizirati.

Očitno so nekateri v fazi zanikanja. Faza streznitve pa še pride...

30 komentarjev

smihael ::

ta SELinux, produkt ameršiških varnostnih agencij je itak samo za odstrel
Ubuntu @ KDE 4.13

Matrin ::

Po prebranju članka sem dobil vtis, da je dejansko potrebno popraviti optimizacijo GCC-ja (ali pa jo izklopiti). alternativna rešitev bi potem bila tudi uporaba drugega prevajalnika, so sploh kake alternative GCC-ju?

COKS ::

Linux je še vedno dosti bolj varen sistem kot Windows, zaradi tega ima tudi tako visok tržni delež na strežnikih. Tu gre sicer za varnostno luknjo, ki pa nima vpliva na večino Linux instalacij in ni del jedra. To je približno tako, kot če si na Windows instaliraš program, ki ni popolnoma varen in potem kriviš Windows za morebitno okužbo.
Ranljivih programov je verjetno precej več na Windows sistemih kot na Linuxu.

Je pa zanimiv čas v katerem se je začela napihovati ta novica. Namreč ne dolgo nazaj je bila odkrita kritična varnostna luknja v Microsoft sistemih in sicer v ActiveX, ki se aktivno uporablja na praktično vsakem desktopu, ter na Visual Studio razvojnem okolju, na katerem se razvijajo praktično vse .NET aplikacije.

Microsoft je sicer uspel narediti patch za to, s katerim je onemogočil uporabo določenih kontrol. Izdal ga je v torek 28. julija. Vendar so na Black Hat konferenci že naslednji dan prikazali kako zaobiti patch.

"However, some security researchers found that they were able to bypass the killbit function and still execute certain controls. A presentation on how this is done is slated for tomorrow afternoon (Wed, July 29th 2009) at the Blackhat Conference. "

več o tem si preberite tu:

To luknjo bo Microsoft moral boljše rešiti in jo bo, le vprašanje časa je. Saj je trenutno ogrožen najpomembnejši člen pri Microsoftu to so razvijalci, ki razvijajo programsko opremo na Microsoft platformi.
Trenutno jo je samo "zalepil z lepilnim trakom", verjetno pa delajo na polno na tem. Microsoft bo ta čas poskušal pomagati preusmerjati pozornost na varnost konkurenčnih produktov. Tudi za Apple Iphone je "čisto slučajno" prišla na dan novica o možnem napadu preko SMS sporočil....

Na Centru odprte kode Slovenije pozorno spremljamo informacije o varnosti operacijskih sistemov in bomo uporabnike tudi v naprej obveščali o njih.


Lep pozdrav vsem Slo-Tech uporabikom
Andrej
Novice COKS
splošne informacije o odprti kodi

Zgodovina sprememb…

  • spremenil: COKS ()

pecorin ::

na rhel5 je ranljiv testni 2.6.18, ker so patche portali nazaj.

no v exploitu pise tudi kako skompajlati brez selinuxa tako, da verjetno se da exploitati tudi brez selinuxa.

Dr_M ::

heh. eni imajo pa res dobro kristalno kroglo,da verjetno vse vedo. obenem pa se poskusajo preusmeriti pozornost na nasprotni tabor. pateticno...
I offended you?
How does it feel like to be so weak that mere words hurt you?

linuxdady ::

Ranljivost je bila potrjena na Linux jedru 2.6.30 in 2.6.30.1 (trenutno to jedro uporablja le RHEL 5 v testnih okoljih)

Resna ranljivost v Linuxu? Bodite no resni!
Mandriva na primer v stabilni različici uporablja jedro 2.6.28.6, v razvojni pa 2.6.31.0. Zelo podobno je tudi pri drugih distribucijah. Če že gre za omembe vredno ranljivost, je to ranljivost v RHEL in ne v Linuxu nasploh.

WhiteAngel ::

Od kdaj je pa PulseAudio v strežniških jedrih? Jaz osebno ga ne bi rad videl ...

jype ::

Saj ni... SELinux pa je, pogosto.

mtosev ::

prelepi Linux ima resen problem. haha. zdaj se lahko linuxaci sekirate. :D
i like:)

moj labradorec max 2002-2013

Matthai ::

No, resnici na ljubo je bil problem rešen v 12 urah.

Je pa zanimiva tale kombinacija: na serverjih pogosto teče SE Linux, na desktopu pa PulseAudio. Double win. :D
Zloraba oblasti, avtokracija in tema nikoli ne pridejo hipoma, vedno je vmesno
obdobje mračenja, ko se dan preveša v noč; biti moramo pozorni opazovalci
okolja in varuhi luči, da ne postanemo nemočni ujetniki teme. --W. Douglas

jype ::

Matthai> na desktopu pa PulseAudio

Ce noces, da ti dela audio, pol ga imas, ja :)

lukaz ::

jype: Na kolikih serverjih se pa uporabla unstable branch?

Matthai ::

jype - sem ze hotel prijaviti bug oz. rešitev problema, ko v PA skripto na začetku napišeš exit 0, pa ti začne vse delat... Ampak ja, še kakšno leto, pa bo zadeva spimpana.
Zloraba oblasti, avtokracija in tema nikoli ne pridejo hipoma, vedno je vmesno
obdobje mračenja, ko se dan preveša v noč; biti moramo pozorni opazovalci
okolja in varuhi luči, da ne postanemo nemočni ujetniki teme. --W. Douglas

Matthai ::

COKS - mislim, da se motiš. Na BH so pokazali kako zaobiti killbit, vendar pa je MS v sodelovanju z avtorji popravek izdal dan prej. In 29. ni bilo pokazanega nič novega.
Zloraba oblasti, avtokracija in tema nikoli ne pridejo hipoma, vedno je vmesno
obdobje mračenja, ko se dan preveša v noč; biti moramo pozorni opazovalci
okolja in varuhi luči, da ne postanemo nemočni ujetniki teme. --W. Douglas

MrStein ::

Še kako leto, da bo zvok delal ??? ;)

Zanimivo, da se ne posveča pozornost temu, da GCC odstrani oziroma spremeni pomen/delovanje programa.
(sicer je opcija, da to ne dela, samo to bi moralo biti po defaultu, z možnostjo opcijskega vklopa)
Teštiram če delaž - umlaut dela: ä ?

Matthai ::

Še kako leto, da bo zvok delal ??? ;)

... na novem sistemu, ja. Pod starim sistemom pa seveda deluje. Novi bo boljši.
Zloraba oblasti, avtokracija in tema nikoli ne pridejo hipoma, vedno je vmesno
obdobje mračenja, ko se dan preveša v noč; biti moramo pozorni opazovalci
okolja in varuhi luči, da ne postanemo nemočni ujetniki teme. --W. Douglas

denial ::

Tega res nisem nikdar razumel. Ko se odkrije kakšna pomanjkljivost v Linux-u se s strani radikalnih FOSS userjev nemudoma razširijo govorice o teoriji zarote. Bolno!

COKS torej pozorno spremlja informacije o varnosti operacijskih sistemov. Lepo. Prepričan sem, da zelo pogosto preverjate tudi ST Forum, kjer so bile omenjene pomanjkljivosti tudi objavljene. Vključno s kritičnim ATL bugom, katerega globino je dejansko odkril Halvar Flake. Svoje odkritje je nato posredoval Microsoftu. Osovražena korporacija namreč zelo plodno sodeluje z mnogimi white hat hekerji. Za razliko od ljubljenega Linus Torvaldsa, ki o teh postopačih nima ravno pozitivnega mnenja.

Enjoy the Pwnies.
SELECT finger FROM hand WHERE id=3;

fiction ::

Na forumu 17.7., med novicami 31.7. :)
In ja, tudi jaz se ne strinjam z GCC optimizacijo. Vec sem pa ze tam povedal.

COKS ::

@Matthai, @denial:
Hvala za opozorilo. Sem šel ponovno preverit, leto in pol star bug so patchali en dan pred Black Hat konferenco. Vzamem nazaj.

Ni prvič na Slo-techu boj med varnostjo Linuxa in Windowsev, vendar je to neskončna tema.

Varnost je odvisna predvsem od tistih, ki sistem vzdržujejo.

lp

Smeagol ::

Vseeno pa je dejstvo, da ste kljub "pozornemu" spremljanju varnostni sistemov to (namerno?) spregledali oz. niste preverili, vsaj predno si napisal post.

Nisem sel preverit kaj je za tistim MS bugom, ampak je tudi v tvoj drugi post usla nerodnost oz. zavajanje. Leto in pol star bug? Ok. Mogoce je res star leto in pol. Mogoce dve. Kdaj je bil pa odkrit? Ce je verjeti, tvojemu zgornjemu postu, ne dolgo nazaj.

Koliko po tem, ko je bil objavljen, je bil na voljo popravek?

Saj ne bi odgovarjal na to, samo me je pa zbodla tista na koncu kako pozorno spremljate varnost, pa jo ocitno vendarle povrsno.

In zakaj se vam zdi zanimiv cas? Ker je to prva varnostna pomanjkljivost linuxa? Ker takih oz. podobnih novic drugace ni? Ali ste sumnjicavi ob vsaki podobni?

Da ne bom samo kritiziral. Vsa cast, da si se tudi podpisal, oz. predstavil, ceprav to ni zahtevano.

Zgodovina sprememb…

  • spremenil: Smeagol ()

denial ::

@COKS:
Res je, MSFT je bil obveščen o type confusion bugu v msvidctl.dll pred letom in pol s strani Hustle Labs. Zadevo so (neuspešno) patchali z kill-bitom v julijskem patch ciklu. Kmalu zatem je Halvar Flake odkril, da gre dejansko za bug v ATL, kar so delno odpravili z OOB patchom. Delno zato, ker bodo ranljive AX komponente sedaj poganjale kakor gobe po dežju. MSFT je zadevo glede zamude priznal in objasnil. OK, PR bullshit, vendar je vseeno zanimivo opazovati sodelovanje med white-hat folkom in Microsoftom.
SELECT finger FROM hand WHERE id=3;

Smeagol ::

No potem je vseeno mogoce minilo vec casa do popravka, kot mi je zgledalo ob branju zgornjih dveh novic.

In pa sigurno gre za bolj kriticno zadevo, kot ta problem v linuxu. Vseeno pa ostaja cuden obcutek ob branju zgornjih postov.

jype ::

No, no, resnost takšne ranljivosti ni tako majhna, sploh na strežniški platformi, ki tako pogosto poganja... php.

COKS ::

@Smeagol

Če lahko verjamemo www.networkworld.com je MS za to vedel leto in pol. http://www.networkworld.com/community/n...

Zmotilo da se skupaj z ranljivostjo testne distribucije RHEL 5 jedra zraven krivično napiše v prispevku "Očitno pada še en mit - mit o varnosti Linuxa" to pa zelo spominja na MS FUD.
Sicer pa je Matthai že popravil vtis ;)
lp

Zgodovina sprememb…

  • spremenil: COKS ()

Matthai ::

Ja treba se je zavedat, da jaz na forumu sicer dostikrat konkretno provociram in pretirano hvalim Linux ter kritiziram ostale.

Ampak ko pa napišem novico, javno predavam ali ko me nekdo izrecno vpraša za resno mnenje, pa skušam povedat tisto, kar je strokovno utemeljeno.

Dejstvo pač je, da se dostikrat pojavljajo (pavšalne) ocene, da je Linux varen, Microsoft pa ne. Dejstvo je pa tudi, da to ni strokovno utemeljeno.

En del problema je v tem, da imaš povsod slabe in dober sistemce. En del problema je pa v tem, da imajo vsi sistemi ranljivosti.

Kar me kot nekoga, ki se zanima za varnost veseli, je, da se zadnja leta Microsoft konkretno trudi glede izboljšanja varnosti. Kar me pa kot zapriseženega odprtokodnika moti pa je, da imam občutek, da Linux spi na lovorikah.
Zloraba oblasti, avtokracija in tema nikoli ne pridejo hipoma, vedno je vmesno
obdobje mračenja, ko se dan preveša v noč; biti moramo pozorni opazovalci
okolja in varuhi luči, da ne postanemo nemočni ujetniki teme. --W. Douglas

denial ::

Kako varen je dejansko Linux vam lahko povedo odkritja strokovnjakov kot so Brad Spender, Eugene Teo, Julien Tines, Sgrakkyu in xorl. Verjetno ne pričakujete, da vam bodo slabosti Linux-a priznali pri COKS-u. Raje kot bi uporabnikom konkretno predstavili slabosti sistema - osveščanje in izobraževanje je namreč edina uspešna pot do boljše varnosti - se slepijo z davno zbledelim mitom.
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

COKS ::

Bila je narejena ena dokaj kakovostna raziskava časa nedelovanja strežnikov. Rezultati odsevajo varnost in zanesljivost (večjih) sistemov. Vključevala je 700 sistemov v 27h državah. Je pa res, da so rezultati iz 2007. Če se prav spomnim, so jih opazovali dve leti.
MS Server 2003 je imel povprečni downtime 9 ur na leto, medtem ko na primer grešni kozel tokratne varnostne pomanjkljivosti RHAT le 1,75 ure oziroma za custom instalacije le 52 minut.
link pa je tu: http://bazar.coks.si/?p=251

@Matthai: Se strinjam - ni popolnoma varnega sistema.

dacvetux ::

"Security is a joke." R. H. Stallman

terryww ::

a ne obstaja neko tekmovanje vsake tolko cajta kjer dajo na razpolago najnovejše verzije MacOS, Win in (nazadnje če se prav spomnim) Ubuntu distribucije in nagrado komur uspe remote napad, local itd. Ko sem nazadnje bral, je MS pogrnil zaradi IE, MacOS zaradi Safarija, Ubuntu pa vsaj remote ni pogrnil.
It is the night. My body's weak.
I'm on the run. No time to sleep.

riba1122 ::

a ne obstaja neko tekmovanje vsake tolko cajta kjer dajo na razpolago najnovejše verzije MacOS, Win in (nazadnje če se prav spomnim) Ubuntu distribucije in nagrado komur uspe remote napad, local itd. Ko sem nazadnje bral, je MS pogrnil zaradi IE, MacOS zaradi Safarija, Ubuntu pa vsaj remote ni pogrnil.



Če misliva isto novico, je bilo tako:

Mac je padel v minuti in pol.
Microsoft je padel po 24 urah (po tem, ko so inštalirali dodatno programsko opremo - Flash in Adobe Reader.
Linux (ne vem katera distribucija, najbrž Ubuntu) pa ni.


Pri tej novici pa me moti, da govorite o Linuxih na splošno. Saj ne uporabljajo vse distribucije tega jedra. Kot da je bug v WinXP, in rečete, da ima Vista varnostne težave.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Nova (stara) ranljivost v Linux in OpenBSD

Oddelek: Novice / Varnost
222662 (1194) LightBit
»

Še ena ranljivost v Linux jedru

Oddelek: Novice / Varnost
282497 (1438) fiction
»

Nova resna ranljivost v Linux jedrih 2.4 in 2.6 (strani: 1 2 )

Oddelek: Novice / Varnost
735929 (3327) karafeka
»

Resna ranljivost v Linuxu: Cheddar Bay

Oddelek: Novice / Varnost
303354 (1982) riba1122

Več podobnih tem