offizieller Kernel Fix fuer ptrace Bug verfuegbar ?
Hallo, ich habe hier woody laufen mit Kernel 2.4.18-bf2.4. Dieser Kernel ist definitiv vom Bug betroffen (mit exploit-Programm ausprobiert und root geworden!). Ich moechte/darf aber nichts installieren, was nicht zu woody (=stable) gehoert. Frage daher: Gibt es einen offiziellen stable Kernel, der nicht vom bug betroffen ist. Alle grossen Distros habe Bugfixes rausgebracht nur fuer Debian woody finde ich nichts. Oder suche ich nur falsch? Danke Andreas PS: Ich weiss, das ich mir von kernel.org selber einen 2.4.20 inkl. patch besorgen kann, aber ich versuch' hier die Ueberzeugungsarbeit fuer Debian zu leisten: stabil, gut gepflegt, leicht aktuell zu halten, sicher, ... Und irgendwie tue ich mich hier gerade argumentativ schwer! -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: offizieller Kernel Fix fuer ptrace Bug verfuegbar ?
Andreas Kyek [EMAIL PROTECTED] wrote: ich habe hier woody laufen mit Kernel 2.4.18-bf2.4. Dieser Kernel ist definitiv vom Bug betroffen (mit exploit-Programm ausprobiert und root geworden!). Ich moechte/darf aber nichts installieren, was nicht zu woody (=stable) gehoert. Frage daher: Gibt es einen offiziellen stable Kernel, der nicht vom bug betroffen ist. Alle grossen Distros habe Bugfixes rausgebracht nur fuer Debian woody finde ich nichts. [...] Meines Wissens bis dato noch nicht. In woody-proposed-updates gibt es aber ein kernel-source-2.4.20, das entsprechend gepatcht ist. Das Update ist in Arbeit, aber eben fuer Debian extrem aufwendig, mit potato und woody betrifft das drei verschieden Kernelversionen, einen Haufen Abwandlungen (-i386 -k7, -bf, ...) und das ganze multipliziert mit sehr sehr vielen Architekturen (11). Man kann bis dahin ja das autoloading deaktivieren echo /bin/true /proc/sys/kernel/modprobe wirklich zufriedenstellend ist aber zugegebenermassen nicht. cu andreas -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: offizieller Kernel Fix fuer ptrace Bug verfuegbar ?
Norbert Preining [EMAIL PROTECTED] schrieb: On Don, 27 Mär 2003, Andreas Kyek wrote: ich habe hier woody laufen mit Kernel 2.4.18-bf2.4. Dieser Kernel ist definitiv vom Bug betroffen (mit exploit-Programm ausprobiert und root geworden!). Ich moechte/darf aber nichts installieren, was nicht zu woody (=stable) gehoert. Beim Kernel kann ich das nicht wirklich nachvollziehen. Ich nehme normalerweise sowieso die Sourcen von kernel.org, wieso nicht die gepatchten von unstable? Also in unstable gibt es schon 2.4.20-1-k7 2.4.20-6 der den bugfix soweit ich weiß enthält. Wo so was für woody ist, weiß ich nicht... Aus dem changelog dieses Kernels: kernel-image-2.4.20-1-i386 (2.4.20-6) unstable; urgency=low * Moved INITRD modules to initrd from boot (closes: #183349). * Added support for additional revision number in kernel name. * Rebuilt against kernel-source-2.4.20-6. . Fixed ptrace security hole. . Changed modules ABI. * Resplit kernel-build into individual kernel-headers (closes: #180709). Wenn du keine Pakete von unstable nehmen willst, dann mach halt einen backport. Sprich, installiere kernel-source-2.4.20-6 aus unstable, da ist nichts unstables drin. Gruß, Frank -- Frank Küster, Biozentrum der Univ. Basel Abt. Biophysikalische Chemie -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: offizieller Kernel Fix fuer ptrace Bug verfuegbar ?
Andreas Metzler schrieb: Meines Wissens bis dato noch nicht. In woody-proposed-updates gibt es aber ein kernel-source-2.4.20, das entsprechend gepatcht ist. Das Update ist in Arbeit, aber eben fuer Debian extrem aufwendig, mit potato und woody betrifft das drei verschieden Kernelversionen, einen Haufen Abwandlungen (-i386 -k7, -bf, ...) und das ganze multipliziert mit sehr sehr vielen Architekturen (11). Man kann bis dahin ja das autoloading deaktivieren echo /bin/true /proc/sys/kernel/modprobe wirklich zufriedenstellend ist aber zugegebenermassen nicht. Nein, so hilft es gar nicht. Der Exploit funktioniert auch bei /bin/true. Es darf auf keinen Fall ein ausführbares Programm angeben werden. Es muss - wie in meinem Beispiel vor ein paar Tagen - ein 100% nichtexistentes Ziel sein, z.B: /nicht/da Kurz eine vereinfachte Darstellung, wie das Problem funktioniert. ptrace (=Prozessverfolgung) ist eine Kernelfunktion, die es erlaubt die Ausführung von Tochterprozessen zu kontrollieren. Diese Funktion wird hauptsächlich im Debugger, aber z.B. auch von Usermode-Linux verwendet. Sobald ein getracter Prozess ein Signal erhält, kann die Kontrolle übernommen und Code des Prozesses analysiert oder verändert werden. Beim ptrace Bug wird diese Funktion von einem User (nur mit Userrechten) auf einen Prozess angewendet, der Root-Rechte hat. Der User kann dann in den Root-Prozess seinen eigenen Code plazieren und sich somit weiteren Zugang verschaffen. Das Einfallstor auf den meistens Systemen ist daher der Kernel-Module-Loader. Hier kann der User durch Ansprache einer selten (oder auf keinen Fall vorhanden Moduls) den Aufruf des für modprobe definierten Programms provozieren, dass sich dann tracen lässt und Root-Rechte hat. Ob das Programm wirklich modprobe ist oder /bin/true ist egal. Hauptsache Programm. Mit dem Work-around ist das Problem nicht wirklich eliminiert, sondern nur der Hauptangriffstpunkt der meisten betroffenen Systeme mit einem Flicken verstopft. Der Patch von Alan Cox (in kernel-source-2.4.20-6) ist auch keine endgültige Lösung und bringt weitere Problemchen im Detail mit sich. Die einzige saubere und sichere Lösung ist zur Zeit sys_ptrace komplett raus zu werfen bzw. mit einem return -EPERM direkt wieder zu beenden. Nicht-Kernelhacker können den Kernel ohne automatischen Modulloader kompilieren. -- [EMAIL PROTECTED] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
