Exploit de root local en todos los kernels hasta la fecha

gomo · #1 (**permalink**) 19/03/2003, 13:14

Nada si leen habiatualmente algun blog o algun sitio similar ya se habran enterado de que se ha difundido un exploit que da acceso root a cualquier atacante local (logueado al sistema como usuario cualquiera), basandose en una vulnerabilidad en kmod/ptrace (no se que son).
Han salido nuevos kernels parchados, el 2.2.25 y el 2.4.21pre.
Todas las versiones anteriores son vulnerables a menos que tengan parches personalizados, es el caso del de grsecurity.
Un fix temporal es el siguiente (slashdot.org):

Código:

echo "/no/existo" > /proc/sys/kernel/modprobe

Hay un modulo (noptrace) que reemplaza la funcion haciendo que no seamos vulnerables (barrapunto):
http://tasio.net/noptrace.c
Tampoco se es vulnerable si el kernel en uso no tiene soporte para modulos (practicamente todos los kernels por defecto lo tienen).
El exploit esta en
http://isec.pl/cliph/isec-ptrace-kmod-exploit.c
Si bien en barrapunto un tipo dice que apt-get upgrade'eo su debian y dejo de funcionar, a mi me sigue funcionando, asi que habra que compilar el kernel.
Saludos y a parchear ;)

olli · #2 (**permalink**) 19/03/2003, 14:37

totalmente de acuerdo