Notera att det nyligen har uppdagats en ny, minst sagt otrevlig, säkerhetsbrist i Linuxkärnan. I korthet handlar den om att en lokal användare, alldeles för lätt, kan bli root. Se följande sidor för mer info
http://blog.cr0.org/2009/08/linux-null- ... ue-to.html
http://archives.neohapsis.com/archives/ ... /0174.html
Det här är alltså främst ett problem om man har icke-betrodda lokala användare. Sålunda inget man i regel behöver oroa sig alltför mycket för på sin vanliga arbetsdator.
Givet att man kör ett fleranvändarsystem kan det sålunda vara aktuellt att antingen manuellt patcha upp sin kärna alternativt att se över vilka användare som tillåts logga in på maskinerna över huvud taget. På mitt jobb har vi tillsvidare valt det sistnämnda valet, och infört rätt strikta restriktioner på vilka som kan logga in på våra Linux-servrar.
Ny local root exploit (varning för lokala användare)
Ny local root exploit (varning för lokala användare)
Senast redigerad av 2 andol, redigerad totalt 14 gång.
Re: Ny local root exploit (varning för lokala användare)
Och här är patchen som Linus mosade ut den 13'e; http://git.kernel.org/?p=linux/kernel/g ... 45cf0f1b98
ǁ A: Because it obfuscates the reading.
ǁ Q: Why is top posting so bad?
ǁ Q: Why is top posting so bad?
Re: Ny local root exploit (varning för lokala användare)
Det verkar gälla alla kärnor upp till 2.6.30.4 så antingen får man patcha (hur man nu gör det?) eller vänta på 2.6.30.5 eller kanske stable 2.6.31?
Xubuntu på flera maskiner. Men inte Unity!
Mer Terminalanvändande i Ubuntu vore bra. Och Xfce. Och Mate.
Mer Terminalanvändande i Ubuntu vore bra. Och Xfce. Och Mate.
-
philip5
- HC-IRCare
- Inlägg: 1099
- Blev medlem: 21 feb 2009, 14:32
- OS: Kubuntu
- Utgåva: 23.10 Mantic Minotaur
- Ort: Uppsala
- Kontakt:
Re: Ny local root exploit (varning för lokala användare)
Det lär komma uppdatering av de officiella kärnorna som är patchade mot detta rätt snart så man ska inte stirra sig blind på ett versionsnummer för det säger mest vad som finns i vanilla-kärna vilket ubuntu i sig inte är utan den är ju patchad med sånt som både inte finns i vanillakärnan och även nu mer med säkerhetsfixar som inte finns i motsvarande vanilla med samma versionsnummer...
-------------------------------------------------------------
Min PPA för Ubuntu: http://launchpad.net/~philip5
Twitter: http://twitter.com/philip_johnsson
IRC: Philip5 @ freenode.net #ubuntu-se #kubuntu-se
Min PPA för Ubuntu: http://launchpad.net/~philip5
Twitter: http://twitter.com/philip_johnsson
IRC: Philip5 @ freenode.net #ubuntu-se #kubuntu-se
Re: Ny local root exploit (varning för lokala användare)
Jag menar om man kompilerar själv.
Xubuntu på flera maskiner. Men inte Unity!
Mer Terminalanvändande i Ubuntu vore bra. Och Xfce. Och Mate.
Mer Terminalanvändande i Ubuntu vore bra. Och Xfce. Och Mate.
-
Rasmus
- Inlägg: 2291
- Blev medlem: 07 sep 2006, 18:33
- OS: Ubuntu
- Utgåva: 24.04 Noble Numbat LTS
- Ort: Svalsta
Re: Ny local root exploit (varning för lokala användare)
Släng in 2.6.31-6, lite skit rensar magen 
Re: Ny local root exploit (varning för lokala användare)
2.6.30.5 har fixat problemet ser det ut som:
commit d245fc6aa1bdaba06603d251e431f3d6d110a00a
Author: Linus Torvalds <torvalds@linux-foundation.org>
Date: Thu Aug 13 08:28:36 2009 -0700
Make sock_sendpage() use kernel_sendpage()
commit e694958388c50148389b0e9b9e9e8945cf0f1b98 upstream.
kernel_sendpage() does the proper default case handling for when the
socket doesn't have a native sendpage implementation.
Now, arguably this might be something that we could instead solve by
just specifying that all protocols should do it themselves at the
protocol level, but we really only care about the common protocols.
Does anybody really care about sendpage on something like Appletalk? Not
likely.
commit d245fc6aa1bdaba06603d251e431f3d6d110a00a
Author: Linus Torvalds <torvalds@linux-foundation.org>
Date: Thu Aug 13 08:28:36 2009 -0700
Make sock_sendpage() use kernel_sendpage()
commit e694958388c50148389b0e9b9e9e8945cf0f1b98 upstream.
kernel_sendpage() does the proper default case handling for when the
socket doesn't have a native sendpage implementation.
Now, arguably this might be something that we could instead solve by
just specifying that all protocols should do it themselves at the
protocol level, but we really only care about the common protocols.
Does anybody really care about sendpage on something like Appletalk? Not
likely.
Xubuntu på flera maskiner. Men inte Unity!
Mer Terminalanvändande i Ubuntu vore bra. Och Xfce. Och Mate.
Mer Terminalanvändande i Ubuntu vore bra. Och Xfce. Och Mate.