[Diskussion] Kritische Lücke im Linux-Kernel betrifft alle Versionen seit 2001

[Roger Wilco]

Mit Blick auf die betroffenen Protokolle (AppleTalk, IPX, IRDA, (A)X25, Bluetooth, IUCV(?), PPPoE, ISDN und SCTP über IPv6) dürften die handelsüblichen Root-Server mit dem vorherrschenden Einsatzzweck eher nicht betroffen sein...

 

[chris085]

wunderbar_emporium

Laut meinen Tests ist der 2.6.26-2-openvz-amd64 nicht betroffen.

Dazu heise Artikel

http://www.heise.de/newsticker/Krit...fft-alle-Versionen-seit-2001--/meldung/143515

 

[Whistler]

Mit Blick auf die betroffenen Protokolle (AppleTalk, IPX, IRDA, (A)X25, Bluetooth, IUCV(?), PPPoE, ISDN und SCTP über IPv6) dürften die handelsüblichen Root-Server mit dem vorherrschenden Einsatzzweck eher nicht betroffen sein...

Nach meinem Verständnis sind alle Systeme betroffen, auf denen eines der genannten Protokolle geladen ist oder die die entsprechende Module automatisch nachladen, wenn im Userspace ein entsprechender Socket geöffnet wird.

 

[col]

wie kann ich denn testen ob auch ich betroffen bin und was kann ich dagegen machen???

opensuse 11 hilft da dies?

sysctl -w 'vm.mmap_min_addr=65536'

 

[Whistler]

Der Demo-Exploit ist im Artikel verlinkt.

Die Spielerei mit dem Video kann man sich schenken - man sieht aber, ob man eine Root-Shell kriegt.

 

[LinuxAdmin]

opensuse 11 hilft da dies?

sysctl -w 'vm.mmap_min_addr=65536'

Sofern es diesen Schlüssel im installierten Kernel gibt, ja:

Recent kernels with mmap_min_addr support may prevent exploitation if
the sysctl vm.mmap_min_addr is set above zero. However, administrators
should be aware that LSM based mandatory access control systems, such
as SELinux, may alter this functionality.

It should also be noted that all kernels up to 2.6.30.2 are vulnerable to
published attacks against mmap_min_addr.

Schau halt mal nach, ob der Schlüssel existiert.

 

[Armin]

Mich hat's im Urlaub erwischt.

Ich werd mir das dann mal mit der KVM anschauen...

Vonwegen ein paar Tage Urlaub ohne Probleme.

 

[tyan_trinity]

Sorry, bin da absolut unbedarft - wie testet man mit dem "Demo-Exploit"?

 

[Whistler]

http://www.youtube.com/watch?v=arAfIp7YzZ4

 

[Lord Gurke]

Sehe ich das richtig, dass zumindest für Debian Etch noch keine aktuelleren "Repository-Images" zur Verfügung stehen als 2.6.24-etchnhalf ?

 

[LinuxAdmin]

Das Problem wird doch damit gelöst, oder?

For the oldstable distribution (etch), this problem has been fixed in
version 2.6.24-6~etchnhalf.8etch3.

We recommend that you upgrade your linux-2.6.24 packages.

Note: Debian 'etch' includes linux kernel packages based upon both the
2.6.18 and 2.6.24 linux releases. All known security issues are
carefully tracked against both packages and both packages will receive
security updates until security support for Debian 'etch'
concludes. However, given the high frequency at which low-severity
security issues are discovered in the kernel and the resource
requirements of doing an update, lower severity 2.6.18 and 2.6.24
updates will typically release in a staggered or "leap-frog" fashion.

 

[Lord Gurke]

Danke, der scheint diesen Bug nicht mehr zu haben - zumindest hat der Demo-Exploit keinen Erfolg

Habe gerade unter Zuhilfenahme eines Vodoo-Priesters, einer Geisterbeschwörerin und einem Elvis-Imitator (bitte keine Fragen stellen) den etwas widerspenstigen Kernel updaten können