Serial-ATA … February 27, 2008
Posted by Tobias Scherbaum in : Sysadmin , 3commentsHeute vormittag hatte ich mich mit meinen Arbeitskollegen noch über S-ATA Festplatten und deren (Nicht-)Eignung für den 24×7 Einsatz im Server unterhalten, heute Abend ist dann eine Festplatte in elmer.gentoo-ev.org ausgefallen. Eine Serial-ATA Festplatte, natürlich … Weniger als 80 Minuten von Meldung der Störung bis Abschluss des Plattenwechsels hat es heute gedauert, Danke Hetzner und Gute Nacht ;)
libvmwareui.so.0/libvmwareui.so.0: undefined symbol February 21, 2008
Posted by Tobias Scherbaum in : Sysadmin , add a commentNachdem ich nun schon mehrfach über
symbol lookup error: libvmwareui.so.0/libvmwareui.so.0: undefined symbol: _ZThn24_N4view10FieldEntry17delete_text_vfuncEii
gestolpert bin, darf ich mich an diesen Forenthread erinnern. In Kurz: nachdem gtkmm mit USE=”accessibility” installiert wurde, wollen libview und libsexy einmal neu installiert werden … (Wer anstelle der VMware Workstation den VMware Player nutzt benötigt hier nur die libsexy.)
Local Root Exploit II February 11, 2008
Posted by Tobias Scherbaum in : Sysadmin , add a commentDer splice() Local Root Exploit ist derweil in Linux Kernel 2.6.24.2 gefixt (ein erster Fix in 2.6.24.1 war unvollständig) - solange bis Distributoren ein neues Kernel-Paket bereitstellen oder Wartungsfenster den notwendigen Reboot der Maschinen erlauben, schafft ein Kernel-Modul abhilfe. Dieses deaktiviert den durch die Exploits genutzten System Call, natürlich nur so der laufende Kernel denn das Laden von Modulen auch unterstützt.
Auf einem Ubuntu System (nicht nachfragen … *hust*) habe ich das Modul kurz verifiziert, als Tipp seit weiterzugeben, dass man auf das Laden des Moduls aus einer über den Exploit geöffneten root-Shell heraus verzichten sollte :P
Benutzer und Administratoren von Systemen auf denen ein “gehärterter” Kernel mit Grsecurity/PaX-Patch läuft, schlafen weiterhin besser - verzeinzelten Erfahrungsberichten zufolge soll der Exploit hier vergleichbar eines DoS “wüten”, wiederum andere berichten, dass sie den Exploit wirkungs- und auswirkungslos skriptgesteuert 1000 Mal aufrufen konnten.
Update: gentoo-sources-2.6.23-r8 and gentoo-sources-2.6.24-r2 enthalten die nötigen Korrekturen und sind für x86/amd64 bereits “stable”. Daniel Drake fasst die Fehlerbeschreibung und betroffenen Versionen detailliert zusammen.
[Bug 209460] New: Linux vmsplice Local Root Exploit February 10, 2008
Posted by Tobias Scherbaum in : Sysadmin , 2commentsBug 209460 kam gestern in Gentoos Bugzilla an …
I got root on my sys-kernel/gentoo-sources-2.6.24 with this exploit:
% ./a.out
———————————–
Linux vmsplice Local Root Exploit
By qaaz
———————————–
[+] mmap: 0×0 .. 0×1000
[+] page: 0×0
[+] page: 0×20
[+] mmap: 0×4000 .. 0×5000
[+] page: 0×4000
[+] page: 0×4020
[+] mmap: 0×1000 .. 0×2000
[+] page: 0×1000
[+] mmap: 0xb7db8000 .. 0xb7dea000
[+] root
# whoami
rootReproducible: Always
Steps to Reproduce:
1. Compile exploit using gcc
2. Execute it
3. Got root…Actual Results:
Privilege escalation
Betroffen sind logischerweise nicht nur Gentoo Systeme - sondern alle Systeme, auf denen ein Linux Kernel neuer als 2.6.17 und älter als 2.6.24.1 läuft. Nach einem ersten Test auf ein paar Maschinen scheint es, als sei der Exploit auf Gentoo Hardened Systemen (bzw. generell Systeme mit GRsecurity/PaX-Patch / bei Gentoo “hardened-sources”) auch mit den entsprechenden Kernel-Versionen nicht anwendbar. puh …
Ein neues Wordpress … February 5, 2008
Posted by Tobias Scherbaum in : Sysadmin , 1 comment so farDie Tage unkte ich noch, dass das mit einem für Ende März angepeilten Termin für Wordpress 2.5 nicht alles sein kann - vorher findet bestimmt noch wer eine Lücke … ich sollte mal wieder recht behalten. Uwe war wieder mal schneller, ich hab dann aber auch grade mal ein kleines Update gemacht.
