[LinuxOB] Bug im Linux-Kernel ermöglicht Einbruch
Christian Hesse
christian.hesse at lugor.de
So Dez 7 02:25:32 CET 2003
On Sunday 07 December 2003 00:07, Tobias Scherbaum wrote:
> * Michael Hoffmann <linux at f-j-hoffmann.de> [2003-12-07 00:02]:
> > > Bisher wurden ein Server des Savannah-, ein Server des
> > > Gentoo- sowie mehrere Server des Debian-Projektes kompromittiert.
> >
> > Der Gentooserver wird definitv nicht über den Kernelbug gehackt, sondern
> > über einen Bug in rsync.
>
> 1. Es war kein Server von Gentoo, sondern der eines Sponsoren, der den
> Portage Tree gespiegelt hat.
Stimmt, es war nur ein Spiegel des Portage Trees, der Server war hauptsächlich
für einen Sponsor im Einsatz. Übrigens wurde die Kompromittierung bereits
eine Stunde nach dem Vorfall bemerkt und der Server vom Netz genommen, in
dieser Zeit haben sich lediglich 20 Clients mit dem Server synchronisiert.
Die Daten wurden aber auch nicht verändert so weit ich weiß...
> 2. Es war AFAIK eine Kombination aus beidem, rein über rsync, root Rechte
> über den do_brk().
Wie schon geschrieben, der exploit funktioniert nur lokal. Wie man sich dann
Zugriff auf einen Useraccount des Servers verschafft ist eine andere Sache.
Beispiele wären da zum Beispiel Bugs in sendmail, ssl-Überlauf in ssh oder
Apache (nicht wahr Michael?) oder eben auch rsync. Erst von da aus geht es
dann weiter mit dem exploit. Im Normalfall braucht man also eine Kombination
aus zwei Bugs um root-Rechte zu bekommen.
Das ist der Grund, warum Dienste immer mit den Rechten eines unpreviligierten
users laufen müssen!
Gruß
Christian
--
Linux - Damit der Ausmehmefehler nicht zur Regel wird.
Mehr Informationen über die Mailingliste linux