Wie sicher einige schon gelesen haben wird mal wieder ein Sicherheitsloch im Kernel gefunden [1]. Allerdings hatte ich vorher schon Benachrichtigung von der Debian Mailingliste bekommen, dass Updates vorhanden sind.
eagle
[1] http://www.heise.de/security/news/meldung/44755
Linux Kernel Sicherheitsloch
Linux Kernel Sicherheitsloch
"I love deadlines. I love the whooshing sound they make as they fly by." -- Douglas Adams
- Picknicker
- Beiträge: 654
- Registriert: 25.04.2003 16:28:02
- Wohnort: Saarland
- blackm
- Moderator und Co-Admin
- Beiträge: 5921
- Registriert: 02.06.2002 15:03:17
- Lizenz eigener Beiträge: MIT Lizenz
Wie das bei Sarge Kerneln ist weiss ich nicht...ggf. mal ins changelog schauen
Die Kernel in woody werden aber auch aktualisiert (siehe Debian Security Advisory).
by, Martin
Die Kernel in woody werden aber auch aktualisiert (siehe Debian Security Advisory).
by, Martin
Schöne Grüße
Martin
Neu im Forum? --> https://wiki.debianforum.de/debianforum ... tensregeln
Log- und Konfigurationsdatein? --> pastebin.php
Forum unterstützen? --> https://wiki.debianforum.de/debianforum.de/Spenden
Martin
Neu im Forum? --> https://wiki.debianforum.de/debianforum ... tensregeln
Log- und Konfigurationsdatein? --> pastebin.php
Forum unterstützen? --> https://wiki.debianforum.de/debianforum.de/Spenden
- Picknicker
- Beiträge: 654
- Registriert: 25.04.2003 16:28:02
- Wohnort: Saarland
Also bei dem 2.4.20er den man in SID und bei backports.org bekommt ist leider der letzte Patch am 09.12.2003 eingespielt worden ..
Unter Woody bekommt man den garnimmer .. wobei alle User die den AVM Treiber für CAPI nutzen ziemlich aufgeschmissen sind ..
Denn nach meinen Tests verlang der AVM Treiber zwingend einen 2.4.20er Kernel
Unter Woody bekommt man den garnimmer .. wobei alle User die den AVM Treiber für CAPI nutzen ziemlich aufgeschmissen sind ..
Denn nach meinen Tests verlang der AVM Treiber zwingend einen 2.4.20er Kernel
cu
Picknicker
Picknicker
- kain
- Beiträge: 185
- Registriert: 22.11.2003 08:18:07
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: München
-
Kontaktdaten:
Toll der report kam drei stunden zu spät, hatte auf dem router und auf haupt pc den 2.4.24 mit woody und auf dem haupt pc auch den 2.4.24 am laufen und genau zwei stunden davor schlug aide alarm. Hab jetzt auf beiden pcs ein lkm am laufen mit 12 versteckten prozessen. Und ein OBSD rk v1 (laut chkrootkit auf anderem kernel) am laufen. Konnte das ganze via aide feststehlen.. Die ganzen modutils, gcc und andere grund sachen sind geändert worden... Auf nem anderen kernel schlug dann auch chkrootkit aus. Werd woll jetzt neuinstallieren.
Achja noch ne frage welchen dateien, die auf der hdd sind kann ich jetzt noch auf der hd sind kann ich noch trauen? Oder sollte ich am besten alles löschen? Das ich die linux partitionen lösche ist klar, aber ich würd nur ungern meine fat partition löschen, da sind 40 gb an Musik, Programmen usw. drauf.
Achja noch ne frage welchen dateien, die auf der hdd sind kann ich jetzt noch auf der hd sind kann ich noch trauen? Oder sollte ich am besten alles löschen? Das ich die linux partitionen lösche ist klar, aber ich würd nur ungern meine fat partition löschen, da sind 40 gb an Musik, Programmen usw. drauf.
Meinst du die Meldung im Heise Ticker? Ein paar Stunden bevor die Meldung auf heise erschien, kam sie über die Debian Security Mailingliste. Da gab es auch schon die gefixten Kernel Images.kain hat geschrieben:Toll der report kam drei stunden zu spät
Neu installieren solltest du auf jeden Fall. Sinnvollerweise könntest du vorher noch versuchen rauskriegen, wie die auf dein System kamen.kain hat geschrieben: hatte auf dem router und auf haupt pc den 2.4.24 mit woody und auf dem haupt pc auch den 2.4.24 am laufen und genau zwei stunden davor schlug aide alarm. Hab jetzt auf beiden pcs ein lkm am laufen mit 12 versteckten prozessen.
eagle
"I love deadlines. I love the whooshing sound they make as they fly by." -- Douglas Adams
@kain
das ist ja kein remote-exploit.
Hast du denn User lokal auf deinen Servern ??
@all
Hab den Proof-Of-Concept Code angeschaut.
Hat er auch funktioniert (?).
Das Problem ist:
Ich hab nen PAX Patch auf meinem 2.6.2er.
Der Witz:
Es wird auf dem "verbogegenen" Kernel Memory kein Code ausgeführt (sondern - so wie ich den ProofOfConcept Code versteh - nur gezeigt, dass der Memory verbogen werden kann), weshalb PAX nicht anspricht. Im Prinzip müsste er das ja.
Drum bin ich verunsichert.
Sollte PAX den "erkennen" ?
Gruss,
zyta2k
das ist ja kein remote-exploit.
Hast du denn User lokal auf deinen Servern ??
@all
Hab den Proof-Of-Concept Code angeschaut.
Hat er auch funktioniert (?).
Code: Alles auswählen
kernel BUG at mm/mmap.c:1770!
invalid operand: 0000 [#1]
CPU: 0
EIP: 0060:[<c01f8d68>] Not tainted
EFLAGS: 00210287
EIP is at insert_vm_struct+0x48/0x80
eax: 4055e000 ebx: c33a1180 ecx: c33a1218 edx: c33a1200
esi: c1d43740 edi: c33a1180 ebp: 00000000 esp: c35d7eec
ds: 007b es: 007b ss: 0068
Process mremap (pid: 3537, threadinfo=c35d6000 task=c52092a0)
Stack: c1d43740 4055d000 c35d7f00 c35d7f04 c35d7f08 4055d000 c33a11c0 00000001
c33a11c0 00000001 c01f9ddc c1d43740 c33a1180 40561000 00001000 4055d000
00000000 c02953d0 00000000 c33a1240 00001000 00001000 fffffff4 00000003
Call Trace:
[<c01f9ddc>] move_vma+0x15c/0x4e0
[<c02953d0>] tty_write+0x0/0x290
[<c01fa48c>] do_mremap+0x32c/0x490
[<c01fa642>] sys_mremap+0x52/0x76
[<c01b6417>] syscall_call+0x7/0xb
Code: 0f 0b ea 06 cc a4 36 c0 8b 44 24 1c 89 5c 24 04 89 34 24 89
Ich hab nen PAX Patch auf meinem 2.6.2er.
Der Witz:
Es wird auf dem "verbogegenen" Kernel Memory kein Code ausgeführt (sondern - so wie ich den ProofOfConcept Code versteh - nur gezeigt, dass der Memory verbogen werden kann), weshalb PAX nicht anspricht. Im Prinzip müsste er das ja.
Drum bin ich verunsichert.
Sollte PAX den "erkennen" ?
Gruss,
zyta2k