Local Root Exploit II February 11, 2008
Posted by Tobias Scherbaum in : Sysadmin , add a commentDer splice() Local Root Exploit ist derweil in Linux Kernel 2.6.24.2 gefixt (ein erster Fix in 2.6.24.1 war unvollständig) - solange bis Distributoren ein neues Kernel-Paket bereitstellen oder Wartungsfenster den notwendigen Reboot der Maschinen erlauben, schafft ein Kernel-Modul abhilfe. Dieses deaktiviert den durch die Exploits genutzten System Call, natürlich nur so der laufende Kernel denn das Laden von Modulen auch unterstützt.
Auf einem Ubuntu System (nicht nachfragen … *hust*) habe ich das Modul kurz verifiziert, als Tipp seit weiterzugeben, dass man auf das Laden des Moduls aus einer über den Exploit geöffneten root-Shell heraus verzichten sollte :P
Benutzer und Administratoren von Systemen auf denen ein “gehärterter” Kernel mit Grsecurity/PaX-Patch läuft, schlafen weiterhin besser - verzeinzelten Erfahrungsberichten zufolge soll der Exploit hier vergleichbar eines DoS “wüten”, wiederum andere berichten, dass sie den Exploit wirkungs- und auswirkungslos skriptgesteuert 1000 Mal aufrufen konnten.
Update: gentoo-sources-2.6.23-r8 and gentoo-sources-2.6.24-r2 enthalten die nötigen Korrekturen und sind für x86/amd64 bereits “stable”. Daniel Drake fasst die Fehlerbeschreibung und betroffenen Versionen detailliert zusammen.
