Linux te kapen via de Kernel

22-10-2010,19:56 doorPeter V

Door een fout in de implementatie van Reliable Data Sockets in de Linux-kernel kunnen hackers een systeem volledig overnemen. Er is al een patch voor dit gat beschikbaar. Voor meer info verwijs ik even naar het artikel in Webwereld.

Wie Linux heeft, doet er zijn voordeel mee. Er is een workaround en een patch beschikbaar.

http://webwereld.nl/nieuws/67563/linux-te-kapen-door-rds-fout-in-kernel.html#utm_source=category_sub_beveiliging&utm_medium=website&utm_campaign=ww

Laatst gewijzigd: 22-10-2010, 19:58

Gehacked d.m.v. MMC

Persoonsgegevens onveilig bij Biebpanel.nl?

Filter:

Reacties

22-10-2010,

20:47 door

Anoniem

-1 Rating:

Quote deze reactie | Reactie niet OK

Bedankt om even te melden voor de Linux gebruikers.

22-10-2010,

21:30 door

Anoniem

-1 Rating:

Quote deze reactie | Reactie niet OK

Das supersnel, kan Windows nog iets van leren.
Oeps zeg ik weer eens iets te veel, of blijft het stil aan de Windows gebruikers kant?

23-10-2010,

10:22 door

nix_nix

+0 Rating:

Quote deze reactie | Reactie niet OK

Is dit een lokaal of remote te misbruiken?

23-10-2010,

11:24 door

Peter V

+0 Rating:

Quote deze reactie | Reactie niet OK

De afgelopen dagen heeft het nogal wat security-patches geregend voor Ubuntu. Bij controle bleek dat de Kernel nog niet was geupdated. Verwachting is dat in de eerst komende dagen deze update via de updatefunctie uitgegeven zal worden.

Laatst gewijzigd: 23-10-2010, 16:24

23-10-2010,

12:18 door

Anoniem

-1 Rating:

Quote deze reactie | Reactie niet OK

Ik vermoed dat er niet veel zullen zijn die RDS daadwerkelijk gebruiken, dus je kan het veilig deactiveren met de geleverde workaround of simpelweg deactiveren in je kernel configuratie.

Voor wie zich af vraagt wat RDS is een quote uit de documentatie (Documentation/networking/rds.txt):

RDS provides reliable, ordered datagram delivery by using a single
reliable connection between any two nodes in the cluster. This allows
applications to use a single socket to talk to any other process in the
cluster - so in a cluster with N processes you need N sockets, in contrast
to N*N if you use a connection-oriented socket transport like TCP.

RDS is not Infiniband-specific; it was designed to support different
transports. The current implementation used to support RDS over TCP as well
as IB. Work is in progress to support RDS over iWARP, and using DCE to
guarantee no dropped packets on Ethernet, it may be possible to use RDS over
UDP in the future.

23-10-2010,

13:56 door

SirDice

+0 Rating:

Quote deze reactie | Reactie niet OK

Vergeet ook deze niet:

http://webwereld.nl/nieuws/67546/kernonderdeel-linux-geeft-hackers-root-access.html

23-10-2010,

14:17 door

Peter V

-1 Rating:

Quote deze reactie | Reactie niet OK

Door SirDice: Vergeet ook deze niet:

http://webwereld.nl/nieuws/67546/kernonderdeel-linux-geeft-hackers-root-access.html

Yep, die kende ik al. Vind het alleen jammer dat de versienummers van Ubuntu (die niet lek zijn) hier niet genoemd worden.

Laatst gewijzigd: 23-10-2010, 14:20

23-10-2010,

14:40 door

pikah

+0 Rating:

Quote deze reactie | Reactie niet OK

Door nix_nix: Is dit een lokaal of remote te misbruiken?

Aan de exploit te zien dit erbij zit is het local.

23-10-2010,

14:59 door

ej__

+0 Rating:

Quote deze reactie | Reactie niet OK

Volgens de security focus lijst is het een local exploit.

23-10-2010,

16:27 door

Peter V

-1 Rating:

Quote deze reactie | Reactie niet OK

Door pikah:

Door nix_nix: Is dit een lokaal of remote te misbruiken?

Aan de exploit te zien dit erbij zit is het local.

Mijn excuses. Ik heb de tekst van 11:24 uur al aangepast. Had de exploit nog niet in handen gehad.

Laatst gewijzigd: 23-10-2010, 16:29

23-10-2010,

18:09 door

Anoniem

-1 Rating:

Quote deze reactie | Reactie niet OK

w000t

PS Is m´n eigen Fedora 14 machine.

[Nelis@Kleiduif ~]$ ./linux-rds-exploit
[*] Linux kernel >= 2.6.30 RDS socket exploit
[*] by Dan Rosenberg
[*] Resolving kernel addresses...
[+] Resolved rds_proto_ops to 0xffffffffa051f680
[+] Resolved rds_ioctl to 0xffffffffa0519000
[+] Resolved commit_creds to 0xffffffff8106b731
[+] Resolved prepare_kernel_cred to 0xffffffff8106b619
[*] Overwriting function pointer...
[*] Triggering payload...
[*] Restoring function pointer...
[*] Got root!
sh-4.1# id
uid=0(root) gid=0(root) groups=0(root)
sh-4.1#

24-10-2010,

02:33 door

Anoniem

-1 Rating:

Quote deze reactie | Reactie niet OK

Local exploit > dus niks aan het handje.

24-10-2010,

19:09 door

unaniem

+0 Rating:

Quote deze reactie | Reactie niet OK

Door Peter V:

Door pikah:

Door nix_nix: Is dit een lokaal of remote te misbruiken?

Aan de exploit te zien dit erbij zit is het local.

Mijn excuses. Ik heb de tekst van 11:24 uur al aangepast. Had de exploit nog niet in handen gehad.

Word journalist, die passen zelfs na minuten hun tekst aan. Je bent geen uitzondering; al ben/lijk je geen journalist.

25-10-2010,

00:35 door

Anoniem

+0 Rating:

Quote deze reactie | Reactie niet OK

apart,
als je leest dat er een exploit voor linux is weet je dus waar die update de dag er voor was en als je leest dat er een exploit voor windows is weet je dat er misschien de volgende week woensdag een update voor komt...

25-10-2010,

12:12 door

Peter V

+0 Rating:

Quote deze reactie | Reactie niet OK

Door unaniem:

Door Peter V:

Door pikah:

Door nix_nix: Is dit een lokaal of remote te misbruiken?

Aan de exploit te zien dit erbij zit is het local.

Mijn excuses. Ik heb de tekst van 11:24 uur al aangepast. Had de exploit nog niet in handen gehad.

Word journalist, die passen zelfs na minuten hun tekst aan. Je bent geen uitzondering; al ben/lijk je geen journalist.

Ik heb een hekel aan mensen die hun eigen fouten niet erkennen. Ik erken ze wel.

25-10-2010,

12:24 door

SirDice

+0 Rating:

Quote deze reactie | Reactie niet OK

Door Anoniem: Local exploit > dus niks aan het handje.

Alleen jammer dat zo'n local exploit misbruikt kan worden bijv. via een lekke web applicatie. Of via ssh (nadat een gebruikers account gekraakt is). Dus zo "niks aan het handje" is het niet en ik raad je aan om de boel zo snel mogelijk te patchen.

28-10-2010,

17:04 door

Dev_Null

+0 Rating:

Quote deze reactie | Reactie niet OK

Zo langzamerhand ga je overal backdoors in zien (by default) :-(

29-10-2010,

13:29 door

Anoniem

+0 Rating:

Quote deze reactie | Reactie niet OK

linux.... je kan het verwachten