[LinuxOB] Bug im Linux-Kernel ermöglicht Einbruch

Michael Gisbers Michael at Gisbers.de
Mo Dez 8 08:44:40 CET 2003 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Am Sonntag, 07. Dezember 2003 02:25 schrieb Christian Hesse:

> On Sunday 07 December 2003 00:07, Tobias Scherbaum wrote:
> > * Michael Hoffmann <linux at f-j-hoffmann.de> [2003-12-07 00:02]:
> > > > Bisher wurden ein Server des Savannah-, ein Server des
> > > > Gentoo- sowie mehrere Server des Debian-Projektes kompromittiert.
> > >
> > > Der Gentooserver wird definitv nicht über den Kernelbug gehackt,
> > > sondern über einen Bug in rsync.
> >
> > 1. Es war kein Server von Gentoo, sondern der eines Sponsoren, der den
> >    Portage Tree gespiegelt hat.
>
> Stimmt, es war nur ein Spiegel des Portage Trees, der Server war
> hauptsächlich für einen Sponsor im Einsatz. Übrigens wurde die
> Kompromittierung bereits eine Stunde nach dem Vorfall bemerkt und der
> Server vom Netz genommen, in dieser Zeit haben sich lediglich 20 Clients
> mit dem Server synchronisiert. Die Daten wurden aber auch nicht verändert
> so weit ich weiß...
>
> > 2. Es war AFAIK eine Kombination aus beidem, rein über rsync, root Rechte
> >    über den do_brk().
>
> Wie schon geschrieben, der exploit funktioniert nur lokal. Wie man sich
> dann Zugriff auf einen Useraccount des Servers verschafft ist eine andere
> Sache. Beispiele wären da zum Beispiel Bugs in sendmail, ssl-Überlauf in
> ssh oder Apache (nicht wahr Michael?) oder eben auch rsync. Erst von da aus
> geht es dann weiter mit dem exploit. Im Normalfall braucht man also eine
> Kombination aus zwei Bugs um root-Rechte zu bekommen.
> Das ist der Grund, warum Dienste immer mit den Rechten eines
> unpreviligierten users laufen müssen!

Warum hackst Du als mein Sicherheitsberater jetzt auf mir rum??? ;-)

Nee, im Ernst. Nach der deface - Attacke war das Problem zunächst den Weg 
herauszufinden und die entsprechenden Interfaces dicht zu machen. Der nächste 
Schritt war dann ein sicheres Linux aufzuspielen. Dies war vorher immer ein 
Zeitzproblem, aber wenn man ein großes Problem hat, dann ist die Zeit 
meistens nur noch nebensächlich...

Aber unter dem Strich kann man sagen, daß solche Attacken auch ihre Vorteile 
haben. Man sieht wie einfach es sein kann und sammelt einige schöne kleine 
Tools mit denen sich Attacken ausführen lassen. Vor allem ist interessant wie 
schön die Programmierer auch alles dokumentieren.

- -- 
 Michael Gisbers
 http://www.linuxob.de
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.3 (GNU/Linux)

iD8DBQE/1Cvtgp6ccyw//rwRAtUjAKCx+OMZrCb3OoWiWwoO64WHf9iIJQCg0VEO
C197qLXoNKQ4usznOwun2go=
=ntWH
-----END PGP SIGNATURE-----

Mehr Informationen über die Mailingliste linux