Linux Kernel Sicherheitsloch

[eagle]

Wie sicher einige schon gelesen haben wird mal wieder ein Sicherheitsloch im Kernel gefunden [1]. Allerdings hatte ich vorher schon Benachrichtigung von der Debian Mailingliste bekommen, dass Updates vorhanden sind.

eagle

[1] http://www.heise.de/security/news/meldung/44755

[Picknicker]

Ich hätte mal ne Frage zu den Debian Kernel Packeten .. werden diese weiterhin mit den Security Fixes gepatcht ?

Wenn ich mir nun die Kernel Quellen 2.4.20 von Debian sauge .. sind die dann in sachen security auf heutigem Stand ?

[blackm]

Wie das bei Sarge Kerneln ist weiss ich nicht...ggf. mal ins changelog schauen

Die Kernel in woody werden aber auch aktualisiert (siehe Debian Security Advisory).

by, Martin

[Picknicker]

Also bei dem 2.4.20er den man in SID und bei backports.org bekommt ist leider der letzte Patch am 09.12.2003 eingespielt worden ..

Unter Woody bekommt man den garnimmer .. wobei alle User die den AVM Treiber für CAPI nutzen ziemlich aufgeschmissen sind ..

Denn nach meinen Tests verlang der AVM Treiber zwingend einen 2.4.20er Kernel

[kain]

Toll der report kam drei stunden zu spät, hatte auf dem router und auf haupt pc den 2.4.24 mit woody und auf dem haupt pc auch den 2.4.24 am laufen und genau zwei stunden davor schlug aide alarm. Hab jetzt auf beiden pcs ein lkm am laufen mit 12 versteckten prozessen. Und ein OBSD rk v1 (laut chkrootkit auf anderem kernel) am laufen. Konnte das ganze via aide feststehlen.. Die ganzen modutils, gcc und andere grund sachen sind geändert worden... Auf nem anderen kernel schlug dann auch chkrootkit aus. Werd woll jetzt neuinstallieren.

Achja noch ne frage welchen dateien, die auf der hdd sind kann ich jetzt noch auf der hd sind kann ich noch trauen? Oder sollte ich am besten alles löschen? Das ich die linux partitionen lösche ist klar, aber ich würd nur ungern meine fat partition löschen, da sind 40 gb an Musik, Programmen usw. drauf.

[eagle]

Toll der report kam drei stunden zu spät

Meinst du die Meldung im Heise Ticker? Ein paar Stunden bevor die Meldung auf heise erschien, kam sie über die Debian Security Mailingliste. Da gab es auch schon die gefixten Kernel Images.

hatte auf dem router und auf haupt pc den 2.4.24 mit woody und auf dem haupt pc auch den 2.4.24 am laufen und genau zwei stunden davor schlug aide alarm. Hab jetzt auf beiden pcs ein lkm am laufen mit 12 versteckten prozessen.

Neu installieren solltest du auf jeden Fall. Sinnvollerweise könntest du vorher noch versuchen rauskriegen, wie die auf dein System kamen.

eagle

[zyta2k]

@kain
das ist ja kein remote-exploit.
Hast du denn User lokal auf deinen Servern ??

@all
Hab den Proof-Of-Concept Code angeschaut.
Hat er auch funktioniert (?).

Code: Alles auswählen

kernel BUG at mm/mmap.c:1770!
invalid operand: 0000 [#1]
CPU:    0
EIP:    0060:[<c01f8d68>]    Not tainted
EFLAGS: 00210287
EIP is at insert_vm_struct+0x48/0x80
eax: 4055e000   ebx: c33a1180   ecx: c33a1218   edx: c33a1200
esi: c1d43740   edi: c33a1180   ebp: 00000000   esp: c35d7eec
ds: 007b   es: 007b   ss: 0068
Process mremap (pid: 3537, threadinfo=c35d6000 task=c52092a0)
Stack: c1d43740 4055d000 c35d7f00 c35d7f04 c35d7f08 4055d000 c33a11c0 00000001
       c33a11c0 00000001 c01f9ddc c1d43740 c33a1180 40561000 00001000 4055d000
       00000000 c02953d0 00000000 c33a1240 00001000 00001000 fffffff4 00000003
Call Trace:
 [<c01f9ddc>] move_vma+0x15c/0x4e0
 [<c02953d0>] tty_write+0x0/0x290
 [<c01fa48c>] do_mremap+0x32c/0x490
 [<c01fa642>] sys_mremap+0x52/0x76
 [<c01b6417>] syscall_call+0x7/0xb

Code: 0f 0b ea 06 cc a4 36 c0 8b 44 24 1c 89 5c 24 04 89 34 24 89

Das Problem ist:
Ich hab nen PAX Patch auf meinem 2.6.2er.

Der Witz:
Es wird auf dem "verbogegenen" Kernel Memory kein Code ausgeführt (sondern - so wie ich den ProofOfConcept Code versteh - nur gezeigt, dass der Memory verbogen werden kann), weshalb PAX nicht anspricht. Im Prinzip müsste er das ja.

Drum bin ich verunsichert.
Sollte PAX den "erkennen" ?

Gruss,
zyta2k