[LinuxOB] Bug im Linux-Kernel ermöglicht Einbruch

[Christian Hesse]

On Sunday 07 December 2003 00:07, Tobias Scherbaum wrote:
> * Michael Hoffmann <linux at f-j-hoffmann.de> [2003-12-07 00:02]:
> > > Bisher wurden ein Server des Savannah-, ein Server des
> > > Gentoo- sowie mehrere Server des Debian-Projektes kompromittiert.
> >
> > Der Gentooserver wird definitv nicht über den Kernelbug gehackt, sondern
> > über einen Bug in rsync.
>
> 1. Es war kein Server von Gentoo, sondern der eines Sponsoren, der den
>    Portage Tree gespiegelt hat.

Stimmt, es war nur ein Spiegel des Portage Trees, der Server war hauptsächlich 
für einen Sponsor im Einsatz. Übrigens wurde die Kompromittierung bereits 
eine Stunde nach dem Vorfall bemerkt und der Server vom Netz genommen, in 
dieser Zeit haben sich lediglich 20 Clients mit dem Server synchronisiert. 
Die Daten wurden aber auch nicht verändert so weit ich weiß...

> 2. Es war AFAIK eine Kombination aus beidem, rein über rsync, root Rechte
>    über den do_brk().

Wie schon geschrieben, der exploit funktioniert nur lokal. Wie man sich dann 
Zugriff auf einen Useraccount des Servers verschafft ist eine andere Sache. 
Beispiele wären da zum Beispiel Bugs in sendmail, ssl-Überlauf in ssh oder 
Apache (nicht wahr Michael?) oder eben auch rsync. Erst von da aus geht es 
dann weiter mit dem exploit. Im Normalfall braucht man also eine Kombination 
aus zwei Bugs um root-Rechte zu bekommen.
Das ist der Grund, warum Dienste immer mit den Rechten eines unpreviligierten 
users laufen müssen!

Gruß
  Christian

-- 
 Linux - Damit der Ausmehmefehler nicht zur Regel wird.