Local Root Exploit II February 11, 2008
Posted by Tobias Scherbaum in : Sysadmin , add a commentDer splice() Local Root Exploit ist derweil in Linux Kernel 2.6.24.2 gefixt (ein erster Fix in 2.6.24.1 war unvollständig) - solange bis Distributoren ein neues Kernel-Paket bereitstellen oder Wartungsfenster den notwendigen Reboot der Maschinen erlauben, schafft ein Kernel-Modul abhilfe. Dieses deaktiviert den durch die Exploits genutzten System Call, natürlich nur so der laufende Kernel denn das Laden von Modulen auch unterstützt.
Auf einem Ubuntu System (nicht nachfragen … *hust*) habe ich das Modul kurz verifiziert, als Tipp seit weiterzugeben, dass man auf das Laden des Moduls aus einer über den Exploit geöffneten root-Shell heraus verzichten sollte :P
Benutzer und Administratoren von Systemen auf denen ein “gehärterter” Kernel mit Grsecurity/PaX-Patch läuft, schlafen weiterhin besser - verzeinzelten Erfahrungsberichten zufolge soll der Exploit hier vergleichbar eines DoS “wüten”, wiederum andere berichten, dass sie den Exploit wirkungs- und auswirkungslos skriptgesteuert 1000 Mal aufrufen konnten.
Update: gentoo-sources-2.6.23-r8 and gentoo-sources-2.6.24-r2 enthalten die nötigen Korrekturen und sind für x86/amd64 bereits “stable”. Daniel Drake fasst die Fehlerbeschreibung und betroffenen Versionen detailliert zusammen.
[Bug 209460] New: Linux vmsplice Local Root Exploit February 10, 2008
Posted by Tobias Scherbaum in : Sysadmin , 2commentsBug 209460 kam gestern in Gentoos Bugzilla an …
I got root on my sys-kernel/gentoo-sources-2.6.24 with this exploit:
% ./a.out
———————————–
Linux vmsplice Local Root Exploit
By qaaz
———————————–
[+] mmap: 0×0 .. 0×1000
[+] page: 0×0
[+] page: 0×20
[+] mmap: 0×4000 .. 0×5000
[+] page: 0×4000
[+] page: 0×4020
[+] mmap: 0×1000 .. 0×2000
[+] page: 0×1000
[+] mmap: 0xb7db8000 .. 0xb7dea000
[+] root
# whoami
rootReproducible: Always
Steps to Reproduce:
1. Compile exploit using gcc
2. Execute it
3. Got root…Actual Results:
Privilege escalation
Betroffen sind logischerweise nicht nur Gentoo Systeme - sondern alle Systeme, auf denen ein Linux Kernel neuer als 2.6.17 und älter als 2.6.24.1 läuft. Nach einem ersten Test auf ein paar Maschinen scheint es, als sei der Exploit auf Gentoo Hardened Systemen (bzw. generell Systeme mit GRsecurity/PaX-Patch / bei Gentoo “hardened-sources”) auch mit den entsprechenden Kernel-Versionen nicht anwendbar. puh …
Ein neues Wordpress … February 5, 2008
Posted by Tobias Scherbaum in : Sysadmin , 1 comment so farDie Tage unkte ich noch, dass das mit einem für Ende März angepeilten Termin für Wordpress 2.5 nicht alles sein kann - vorher findet bestimmt noch wer eine Lücke … ich sollte mal wieder recht behalten. Uwe war wieder mal schneller, ich hab dann aber auch grade mal ein kleines Update gemacht.
Linux 2.6.24 January 26, 2008
Posted by Tobias Scherbaum in : Aktuelles, Sysadmin , add a commentund sowohl der Treiber für die NVidia Grafikkarte als auch die Module für VMware lassen sich kompilieren - und funktionieren auf Anhieb. Ich bin begeistert :)
BIND Benchmark January 26, 2008
Posted by Tobias Scherbaum in : Sysadmin , add a commentDas ISC hat (vor schon ein paar Tagen) die Performance verschiedener Betriebssysteme getestet - neben Windows und FreeBSD auch einige Linux-Distributionen, das gute Gentoo hat die beste Performance an den Tag gebracht. Vollständiger Bericht und Testaufbau hier.
Microsoft Certified Professional January 22, 2008
Posted by Tobias Scherbaum in : Me, Myself and I, Sysadmin , add a commentJa - ich hab das mal gemacht … Christian wollte mir das nicht glauben, also suchte ich vorhin eine halbe Ewigkeit nach der Seite, auf der man online die Zertifizierung überprüfen kann, hier findet man sie. Wer mich nun “überprüfen” mag, Transcript ID ist 706439 und der Zugangscode tscherb05. In Anbetracht der Tatsache, dass das bald schon drei Jahre her ist, können wir das als Jugendsünde durchgehen lassen - nicht? ;)
Und wie kamen wir darauf? Ich hatte mich doch genervt gezeigt, dass sich Vista immer in den Energiesparmodus setzt, anstelle den Rechner auszuschalten (Systemsteuerung, Energieoptionen, Netzschalter, Netzschalter im Startmenü). Gut, ich hab ja damals auch die Windows XP Prüfung gemacht, ich kann das ja nicht wissen :P
Gentoo Hardened mit Mailman January 11, 2008
Posted by Tobias Scherbaum in : Sysadmin , add a commentFür alle ebenfalls Leidgeplagten - die eigentlich kurzen, aber anfänglich schmerzhaften Schritte ;)
Kurz zu den Vorbedingungen: Es wird Gentoo genutzt, dazu ein Hardened-Kernel, die GRsecurity Optionen sind aktiviert und TPE wollen wir auch nutzen … und dazu darf es Mailman sein.
CONFIG_GRKERNSEC_TPE=y
# CONFIG_GRKERNSEC_TPE_ALL is not set
CONFIG_GRKERNSEC_TPE_INVERT=y
CONFIG_GRKERNSEC_TPE_GID=2000
Zunächst brauchen wir eine neue Gruppe, dieser dann alle Benutzer hinzugefügt werden, für die die Einschränkungen der TPE nicht gelten sollen. In diesem Fall die Benutzer apache und mailman. Vorzugsweise installiert wird die aktuelle Mailman-Version 2.1.9-r2. Revision 2 bevorzugt, da in dieser “korrekte” Installationspfade genutzt werden (im Gegensatz zur Installation unter /usr/local/mailman zuvor) und auch eine Separation von Anwendungsbinaries (/usr)und den Anwendungsdaten (/var) stattfindet.
Um es dann noch ganz bequem zu gestalten erfolgt die Einbindung in Postfix gemäß Anleitung. Zunächst muss dem Mailman Postfix als zu nutzender Mailserver-”Typ”bekannt gemacht werden. An der Stelle zeigt sich eine weitere Verbesserung der Revision 2 des Gentoo Ebuilds - die Konfiguration erfolgt in /etc/mailman, so das bei späteren Updates der Schutz von Konfigurationsdateien greift und Aktualisierungen per etc-update oder (so nicht auf nem Server genutzt) etc-proposals erfolgen können.
/etc/mailman/mm_cfg.py
MTA = ‘Postfix’
Mailman legt beim Erstellen neuer Listen gleich ein passendes Alias-File an, das nur noch in Postfix eingebunden werden will:
/etc/postfix/main.cf
alias_maps = hash:/etc/mail/aliases, hash:/var/lib/mailman/data/aliases
Abschliessend wollen die Verzeichnisse {bin,cgi-bin,mail} noch den Besitzer wechseln - root darf es sein, dann klappts auch mitm Mailen. Zusätzlich müssen noch die Schreibrechte für die Gruppe weg.
cd /usr/lib/mailman
chown root {bin,cgi-bin,mail}
chmod g-w {bin,cgi-bin,mail}
(Fast) fertig - eigentlich ganz einfach …
… nur noch ein Problem bleibt vorerst:
grsec: From 84.62.xxx.xxx: denied untrusted exec of /usr/lib/mailman/pythonlib/japanese/c/_japanese_codecs.so by /usr/bin/python2.4[python:4323] uid/euid:280/280 gid/egid:280/280, parent /usr/lib/postfix/local[local:4313] uid/euid:0/207 gid/egid:0/207
grsec: From 84.62.xxx.xxx: denied untrusted exec of /usr/lib/mailman/pythonlib/japanese/c/_japanese_codecs.so by /usr/bin/python2.4[python:4323] uid/euid:280/280 gid/egid:280/280, parent /usr/lib/postfix/local[local:4313] uid/euid:0/207 gid/egid:0/207
grsec: From 84.62.xxx.xxx: denied untrusted exec of /usr/lib/mailman/pythonlib/japanese/c/_japanese_codecs.so by /usr/bin/python2.4[python:4323] uid/euid:280/280 gid/egid:280/280, parent /usr/lib/postfix/local[local:4313] uid/euid:0/207 gid/egid:0/207
grsec: From 84.62.xxx.xxx: denied untrusted exec of /usr/lib/mailman/pythonlib/korean/c/_koco.so by /usr/bin/python2.4[python:4323] uid/euid:280/280 gid/egid:280/280, parent /usr/lib/postfix/local[local:4313] uid/euid:0/207 gid/egid:0/207
grsec: From 84.62.xxx.xxx: denied untrusted exec of /usr/lib/mailman/pythonlib/korean/c/_koco.so by /usr/bin/python2.4[python:4323] uid/euid:280/280 gid/egid:280/280, parent /usr/lib/postfix/local[local:4313] uid/euid:0/207 gid/egid:0/207
grsec: more alerts, logging disabled for 10 seconds
To be continued …
etc-proposals-1.4.1 and cyrus-imapd-2.3.11 January 2, 2008
Posted by Tobias Scherbaum in : Gentoo, Sysadmin , 1 comment so farJust a few hours after I added etc-proposals to the tree, a bug with initializing the internal DB was discovered and reported. After adding upstream dev Bjoern Michaelsen to that bugreport a fixed 1.4.1 was released within a couple of hours, thanks for your fast response Bjoern :) We need to meet at one of the next Gentoo User-Meetings in Hamburg for sure ;)
While being quite productive today I also finally managed to commit Cyrus 2.3.11 (cyrus-imapd, cyrus-imap-admin and cyrus-imap-dev that is) which was a few days due, I was waiting for the UOA Patches (covering the autosieve and autocreate USE-Flags) and forgot to check if they were available … gladly someone mentioned that the patches were released on the corresponding bug report.
Fingerabdrücke - diesmal in Echt November 29, 2007
Posted by Tobias Scherbaum in : Aktuelles, Sysadmin , add a commentNachdem ich im Rahmen der Einrichtung der Fingerabdruckscanner ja schon das zweifelhafte Vergnügen hatte, den ein oder anderen Fingerabdruck “testhalber” zu hinterlassen, hab ich heute das System mal vollständig getestet - aus Kundensicht. Einmal Links, einmal Rechts - mal schauen ob der Reisepass noch bis Jahresende fertig wird :)
Google hat uns nicht mehr lieb! November 29, 2007
Posted by Tobias Scherbaum in : Aktuelles, Sysadmin , add a commentEtwas verdutzt schauten wir heute Vormittag, als uns ein Kollege nach dem anderen mitteilte, dass es Google Leid tun würde. Ja was denn? Also selbst geschaut - und siehe da: Google tut es Leid. Und zwar dass man hinter unserer Verbindung Computerviren und/oder Spyware vermutet. Nun gut, der ein oder andere Nutzer (multipliziert mit dem Faktor 1000) nutzt diese Verbindung, aber daran kanns ja nun wirklich nicht allein liegen. Uwe schreibt noch ein wenig mehr zu diesem Phänomen …
