Nova Linux rupica :)

[ Ivan Dimkovic @ 04.08.2004. 22:47 ] @

http://securityfocus.com/archive/1/370856/2004-08-01/2004-08-07/0

Citat:

Impact:
=======

Since no special privileges are required to open the /proc/mtrr file for
reading any process may exploit the bug to read huge parts of kernel
memory.

The kernel memory dump may include very sensitive information like
hashed passwords from /etc/shadow or even the root passwort.

Ima tu i neki sors koji cita kernel memoriju :) Bas lepo da user procesi citaju kernel memoriju, aye? Ili je to jos jedan od design feature-a GNUj-a - delimo sve, ukljucujuci i kernel memory space :)

[ Ivan Dimkovic @ 04.08.2004. 22:58 ] @

Citat:

We have found in an experiment that after the root user logged in using
ssh (in our case it was OpenSSH using PAM), the root passwort was keept
in kernel memory. This is very suprising since sshd will quickly clean
(overwrite with zeros) the memory portion used to store the password.
But the password may have made its way through various kernel paths like
pipes or sockets.

Divno :)

[ VRider @ 04.08.2004. 23:39 ] @

E moj Ivane...
Ovaj proof-of-concept ima bug.

[ dinke @ 05.08.2004. 00:05 ] @

Tačnije desetak sintaksnih grešaka. To se i iz aviona vidi.

[ VRider @ 05.08.2004. 00:09 ] @

Cak i nakon ispravljanja sintaksnih gresaka, i dalje ne radi.
Mozda je pisan za MSVC++.

On mnogo toga proguta, a tamo gde greske nema, nadje milion...

[ Dragi Tata @ 05.08.2004. 02:56 ] @

Citat:

VRider: Mozda je pisan za MSVC++. :)
On mnogo toga proguta, a tamo gde greske nema, nadje milion...

Da li bi nam objasnio ukratko koje to greške MSVC++ guta, i u kom slučaju nađe milion kad ih nema?

[ VRider @ 05.08.2004. 03:01 ] @

Kakve asocijacije na detinjstvo u tebi budi to kad me pitas koje to greške MSVC++ guta, i u kom slučaju nađe milion kad ih nema?

[ degojs @ 05.08.2004. 03:24 ] @

:) odlepio sinovac.. odlepio..

[ VRider @ 05.08.2004. 03:40 ] @

Citat:

degojs: :) odlepio sinovac.. odlepio..

[ degojs @ 05.08.2004. 03:46 ] @

Načisto :(

[ srki @ 05.08.2004. 04:27 ] @

Pa preterali ste! Vidite sta ste uradili coveku. Prvo je Marko uplasio Gokija ali se srecom kasnije vratio (na kratko) a sada ovo. Pa kad svi linuksovci odlepe sta cete onda da radite?

[ Reljam @ 05.08.2004. 05:31 ] @

Dobro, covek ne zna, mlad je, naucice, sto ga svi napadate? Jeste da povremeno malo lupi o necemu u sta se ne razume, ali boze moj, svi mi to ponekad radimo.

[ Ivan Dimkovic @ 05.08.2004. 09:26 ] @

A propo sintaksnih gresaka - poznato je da se to namerno stavlja u proof-of-concept kod, kako mali Linux gurui od 12 godina koji znaju i da programiraju i administriraju ne bi sa jednim kompajliranjem pravili exploite...

Sto uopste ne umanjuje cinjenicu da je sistem rupicast :)

Citat:

VRider: Mozda je pisan za MSVC++. :)
On mnogo toga proguta, a tamo gde greske nema, nadje milion...

Pa ne znam bas - meni jedan projekat zesce kasni jer GCC nije u stanju da kompajlira sasvim normalan kod za jednu platformu - i nekoliko GCC gurua nisu u stanju da ga rese, no nije ni bitno.. necemo da mu kvarimo imidz... GCC je dobar projekat, ali los proizvod, kao i gomila OSS aplikacija.

[ Dragi Tata @ 05.08.2004. 13:23 ] @

Citat:

Ivan Dimkovic: GCC je dobar projekat, ali los proizvod, kao i gomila OSS aplikacija.

Dobro, Ivane, a šta ako neko javi Leki? Znam da je njemu Advocacy na ignore listi, ali možda mu neko od Linuxovaca javi i šta ćeš onda? U koju mišju rupu da se sakriješ?

[ Jbyn4e @ 05.08.2004. 13:40 ] @

Mogu ja, mogu ja? ;)
Joj Ivane GOTOV si :P
Necu, stvarno, nisi mi nista skrivio...

[ VRider @ 05.08.2004. 14:13 ] @

Covek je ok, samo je smoren...
Jebem ti najduzi rasput su zivotu.
Taman se ponadam bice neke vatre ovde, ali nema nista od vas... Kako se kaze, t'nka svirka...

[ Zekica @ 05.08.2004. 19:50 ] @

Kod mene, ovaj exploit ispisuje sve, samo ne root lozinku, iako sam se ulogovao kao root preko SSH.

Ispise sadrzaj ovog fajla /proc/mtrr i ostalo sve nule, izgleda da ne radi kako bi ljudi ocekivali.

Inace imam kernel 2.6.7, na kome (bar po onome sto pise) ovaj exploit deluje.

Ajde, neka neko potvrdi da ovaj exploit radi, pa ...

[ VRider @ 05.08.2004. 22:56 ] @

Moze li neki od placenika da napise HowTO, jer ovo ne pije vode ni kod mene. :)
2.4.26 vanilla

[ axez @ 06.08.2004. 10:54 ] @

ni kod mene...ali ja imam izgovor....izbacio sam mtrr iz kernela...:)

[ Dejan Lozanovic @ 06.08.2004. 13:09 ] @

Citat:

Ivan Dimkovic: A propo sintaksnih gresaka - poznato je da se to namerno stavlja u proof-of-concept kod, kako mali Linux gurui od 12 godina koji znaju i da programiraju i administriraju ne bi sa jednim kompajliranjem pravili exploite...
Sto uopste ne umanjuje cinjenicu da je sistem rupicast :)

Pa ni za jedan sistem ne mozes da kazes da je 100% siguran, primera radi pogledaj koliko je veliki source za 2.6.7 kernel(235mb) statisticki gledano mora da postoji negde neka rupa, medjutim prednost open source-a je u tome sto se takve rupe lakse nadju pa se i zakrpe brze. Niko od nas nije rekao da ako pises GPL ili neki drugi open source da si dobio boziji blagoslov da ce tvoj source biti bezgresan. Slicne propuste smo imali i kod MS-a setimo se samo kada je izasao XP pa su mu izvalili odma onaj plug and pray exploit, koji je postojao jos od win95 samo se cuvao nekako do tada.

Citat:

Ivan Dimkovic
Pa ne znam bas - meni jedan projekat zesce kasni jer GCC nije u stanju da kompajlira sasvim normalan kod za jednu platformu - i nekoliko GCC gurua nisu u stanju da ga rese, no nije ni bitno.. necemo da mu kvarimo imidz... GCC je dobar projekat, ali los proizvod, kao i gomila OSS aplikacija.

Ako sumnjas na bug u GCC-u postoji nacin da se to prijavi probaj da izdovjis to parce koda koji pravi problem pa lepo posalji kao bug i bice ispravljeno. A sto se kvaliteta generisanog koda tice pa hmm secas li se mozda testova kada ste ti i DT pravili neke testove pa je MS VC++ bio jako spor, a gcc ga je na win-u tukako po brzini a na linuxu je dobijao jos neki procenat vise. I gde si moj komentar(VC++ se vuce ko crevo po autoputu, nije ni cudo sto je Windows onako spor kada je kompajliran tim cudom) obrisao tvrdeci da je to recnik sa slashdota.

[ popeye @ 06.08.2004. 13:29 ] @

Citat:

axez: ni kod mene...ali ja imam izgovor....izbacio sam mtrr iz kernela...:)

Koliko sam shvatio, radi se o pogrešnoj konverziji 64bit->32bit file offset. Mtrr nije jedino mesto gde se to može iskoristiti, kao što je i navedeno u advisory tekstu.

[ Zekica @ 06.08.2004. 13:43 ] @

Ali ja imam mttr u kernelu a exploit ne radi...

Code:

filip@sun:~/bla$ ./exploit backup20031102.zip
mmaped uncached file at 0x4015f000 - 0x4017c0000 mmaped kernel data file at 0x4017d0000 Race won!READ 208 bytes in 23784 usec
filip@sun:~/bla$ hexdump -C kmem.dat
00000000  72 65 67 30 30 3a 20 62  61 73 65 3d 30 78 30 30  |reg00: base=0x00|
00000010  30 30 30 30 30 30 20 28  20 20 20 30 4d 42 29 2c  |000000 (   0MB),|
00000020  20 73 69 7a 65 3d 20 32  35 36 4d 42 3a 20 77 72  | size= 256MB: wr|
00000030  69 74 65 2d 62 61 63 6b  2c 20 63 6f 75 6e 74 3d  |ite-back, count=|
00000040  31 0a 72 65 67 30 31 3a  20 62 61 73 65 3d 30 78  |1.reg01: base=0x|
00000050  64 30 30 30 30 30 30 30  20 28 33 33 32 38 4d 42  |d0000000 (3328MB|
00000060  29 2c 20 73 69 7a 65 3d  20 31 32 38 4d 42 3a 20  |), size= 128MB: |
00000070  77 72 69 74 65 2d 63 6f  6d 62 69 6e 69 6e 67 2c  |write-combining,|
00000080  20 63 6f 75 6e 74 3d 31  0a 72 65 67 30 32 3a 20  | count=1.reg02: |
00000090  62 61 73 65 3d 30 78 64  38 30 30 30 30 30 30 20  |base=0xd8000000 |
000000a0  28 33 34 35 36 4d 42 29  2c 20 73 69 7a 65 3d 20  |(3456MB), size= |
000000b0  20 33 32 4d 42 3a 20 77  72 69 74 65 2d 63 6f 6d  | 32MB: write-com|
000000c0  62 69 6e 69 6e 67 2c 20  63 6f 75 6e 74 3d 31 0a  |bining, count=1.|
000000d0  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
*
04000000
filip@sun:~/bla$

Da li ovde ima negde root lozinke? Mislim da nema.
Naravno da sam prvo uradio:

Code:

filip@earth:~$ ssh root@sun

sa druge masine...

I na njoj sam probao, isto ne radi, i isti je kernel (linux 2.6.7)

Imate li neki HOW-TO da ovo proradi... Unapred zahvalan...

[ popeye @ 06.08.2004. 13:47 ] @

Nemam pojma da li ćeš uhvatiti lozinku ili ne, ali čini se da radi - čitaš kernel memoriju.

[ Dragi Tata @ 06.08.2004. 13:51 ] @

Nego bre, primećujem da je mnogo Linuxovaca ovde iz Pirota. Slučajnost?

[ VRider @ 06.08.2004. 14:11 ] @

Nije slucajnost.
Pirot je mali grad (svi se znaju), narocito oni koji iole ozbiljnije rade sa kompjuterima. Vecina je uz to i u Gimnaziji (sto bila, sto sada).
Linux sam instalirao kod bar 10 ljudi, a kod jos 10-15 su ga instalirali ljudi kojima sam ja ranije instalirao. Slobodan i Filip su iz druge grane sirenja linuxa, ali aktivno saradjujemo.

[ Dragi Tata @ 06.08.2004. 14:25 ] @

A, to je u pitanju!

A ja naivan mislio da to ima neke veze sa cenom. Nego imam ja drugara rodom iz Pirota (pojavi se katkad na ES-u) pa se i on nešto zanosio Linuxom ali ga je prošlo. Tako da i za vas ostale još uvek gajim nadu :)

[ VRider @ 06.08.2004. 14:38 ] @

Kakvom cenom? Linux je ovde skuplji od Windowsa. Njega narucujemo sa neta, po ceni od 350-400 dinara za 3-4 diska na svakih godinu dana, a windows mozes da prerezes (nije da to radimo - nelegalno je

) od koga hoces (hipoteticki - svi imaju instalaciju windowsa) na disk od 10 dinara. Pa ti kazi sada nesto o Pirocancima.

[ Zekica @ 06.08.2004. 14:56 ] @

Citat:

popeye: Nemam pojma da li ćeš uhvatiti lozinku ili ne, ali čini se da radi - čitaš kernel memoriju.

Neznam, ako čitam kernel memoriju, zašto su u fajlu sve nule, osim onog fajla čiji je sadržaj i trebao da bude pročitan.

Znači u tom fajlu kmem.dat vidim samo sadržaj fajla /proc/mtrr i ostalo nule. Ja zato mislim da ne radi...

[ Slobodan Milivojevic @ 06.08.2004. 17:24 ] @

@ Dragi tata, samo ti gaji nadu, uvek je bolje imati tracak nade u sebi.

[ Not now, John! @ 07.08.2004. 17:37 ] @

Citat:

Nova Linux rupica

I šta? Sad ćemo čekati godinu dana da izađe Service Pack?

[ Zekica @ 08.08.2004. 09:12 ] @

Ja neću, na mom sistemu taj proof of concept exploit ne radi, ne znam kako je sa drugima.

1. Da bi bilo koji server bio exploitovan, treba imati shell account i pristup /proc filesystemu (barem sam ja tako shvatio)
2. Ako se neko iole razume u kernel programiranje, može to da ispravi.

Mada bi bilo dobro da se izbaci patch...

[ Ivan Dimkovic @ 08.08.2004. 10:52 ] @

Da, treba imati shell account... a sta cemo sa multiuser sistemima, na koje Linux i te kako puca - kao multiuser OS... dakle, user moze da "peekuje" kernel memoriju... vrlo lose.

[ VRider @ 08.08.2004. 18:12 ] @

Ivane, 'ajde budi dobar, instaliraj neki Linuxic (markom mi jednom rece da bi se ja iznenadio koliko ti radis sa linuxom - sta god da je time hteo da kaze), pa iskoristi taj exploit. Nama ne radi. Mozda ti budes bolje srece.