Forum Rules Register FAQ Members List Search Today's Posts Mark Forums Read


Seeking for qualified help in removing malware from your computer? We can help you! How to submit your query
Go Back   VirusInfo > Форум на русском языке > Новости > Новости компьютерной безопасности
Reload this Page Новая атака на полностью пропатченное ядро Linux
Notices

Reply
This Thread http://virusinfo.info/showthread.php?t=50338
 
Thread Tools
Old 07-20-2009, 08:58 PM   #1
Moderator
 
SDA's Avatar
 
Join Date: Jan 2005
Location: Москва
Posts: 5,868
Rep Power: 2461
Новая атака на полностью пропатченное ядро Linux
Опубликованный недавно метод атаки, эксплуатирующей более новые версии ядра Linux, приковал к себе повышенное внимание, поскольку он срабатывает даже тогда, когда предприняты дополнительные меры безопасности. Кроме того, баг практически невозможно найти в исходном коде.

Код эксплоита был выложен в прошлую пятницу Бредом Шпенглером из компании grsecurity, занимающейся разработкой средств защиты для открытых ОС. Несмотря на то, что эксплоит направлен против тех версий Linux, которые большинству вендоров еще предстоит внедрить, атака привлекла внимание экспертов в области безопасности, поскольку она эксплуатирует невыявленные уязвимости.

Бас Альбертс из Immunity подчеркнул, что эксплоит работал даже тогда, когда разработчики Linux попытались защититься от него, выставив все настройки безопасности на максимальные. По мнению Альбертса, появление эксплоита открывает целый класс весьма серьезных уязвимостей.

Баги кроются сразу в нескольких частях Linux, включая ту из них, которая управляет функциями net/tun. Несмотря на то, что в коде проверка переменной tun на предмет отсутствия NULL-указателей реализована верно, при сборке ядра компилятор убирает ответственные за эту проверку строки в попытке оптимизировать код. Итог: когда переменная указывает на ноль, ядро производит попытку записи в запрещенную область памяти, что приводит к компрометации компьютера, работающего под управлением атакуемой системы.

Наличие бага, получившего название "разыменовывание пустого указателя", подтверждено для версий ядра Linux под номерами 2.6.30 и 2.6.30.1, которые в настоящее время используются лишь в пятой версии Red Hat Enterprise Linux, функционирующей в тестовом окружении. Эксплоит работает только при активированном расширении SELinux, или при наличии установленной программы для обработки аудио под названием PulseAudio.

Сценарий возможного использования эксплоита, если объединить его с эксплоитом для чего-нибудь еще, например – приложения PHP, будет по большей части связан с повышением привилегий пользователя. Сам по себе предложенный Шпенглером эксплоит нельзя запустить удаленно. Впрочем, написание полноценного "боевого" эксплоита, подходящего для 32- и 64-битных версий Linux (включая версию от Red Hat) заняло у Шпенглера около четырех часов. По словам эксперта, опубликовать пример кода он решил после того, как стало ясно, что Линус Торвальдс и другие разработчики ядра Linux не считают данный баг угрозой для безопасности.

http://grsecurity.net/
SDA is online now   Reply With Quote
The Following Users Say Thank You To SDA For This Useful Post:
Advertisement
Advertisement
 
Old 07-20-2009, 09:12 PM   #2
Helper
 
Kuzz's Avatar
 
Join Date: Dec 2006
Location: UA,Днепр
Posts: 2,885
Rep Power: 1513
http://virusinfo.info/showthread.php?t=50185

Quote:
Originally Posted by SDA View Post
как стало ясно, что Линус Торвальдс и другие разработчики ядра Linux не считают данный баг угрозой для безопасности
Принудительный запрет на "-fdelete-null-pointer-checks"?
__________________
Не бывает правил без исключений, правило без исключений - исключение из правила.
Все может быть и быть все может, но лишь того не может быть, чего и вовсе быть не может.
The worst foe lies within the self...
Kuzz is online now   Reply With Quote
Old 07-20-2009, 09:22 PM   #3
Full Member
 
Join Date: Apr 2007
Location: Frolovo MegaTown. Why Mega? I am living in Frolovo
Posts: 247
Rep Power: 128
Ох...
А крутые "специалисты" Линукс на госуровне проталкивают...
Фонтан, млин...
__________________
Я не увижу очередных оскорблений в свой адрес. Да я фрик. Этим и горжусь. Всем огромное спасибо! Удачи Вам!
Shark is offline   Reply With Quote
Old 07-20-2009, 10:17 PM   #4
Moderator
 
AndreyKa's Avatar
 
Join Date: Jan 2005
Location: Россия
Posts: 10,123
Rep Power: 984
Пора открывать раздел Помогите Линуксоиду?
Бред.
__________________
KAV & Dr.Web
AndreyKa is offline   Reply With Quote
Old 07-20-2009, 10:30 PM   #5
Guest
 
Posts: n/a
Quote:
Originally Posted by AndreyKa View Post
Пора открывать раздел Помогите Линуксоиду?
Бред.
Не пора только потому что из за нескольких процентов пользователей никто не будет заниматься созданием реальных експлоитов. Но вот если вдруг линуксоидов станет процентов 30, то такой раздел станет очень нужен.
  Reply With Quote
Old 07-20-2009, 11:14 PM   #6
OpenSource'ник :)
 
Lexxus's Avatar
 
Join Date: Oct 2006
Location: г. Химки
Posts: 425
Rep Power: 357
Не знаю, как у Вас
Но у меня давно вышел фиксенный pulse-audio...

Да еще и исходный код уязвимости...
Сразу скажу - на сборку уйдет как минимум час)) не факт еще что соберется...

P.S. Такой раздел есть уже Называется Linux для начинающих...
Lexxus is offline   Reply With Quote
Advertisement
Advertisement
 
Reply

Bookmarks Tags
атака, пропатченное, новая, полностью, linux, ядро

« Previous Thread | Next Thread »
Thread Tools

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts
BB code is On
Smilies are On
[IMG] code is On
HTML code is Off
Forum Jump


All times are GMT +3. The time now is 10:30 AM.

Contact Us - VirusInfo - Lo-Fi Version - Top


Powered by vBulletin.
Copyright © Jelsoft Enterprises Ltd, software, 2000 - 2010.
Copyright © VirusInfo.info, published data, 2004 - 2010.
Materials published at VirusInfo cannot be republished, distributed, or used in any other way unless referenced correctly, crediting VirusInfo as the source.

службы мониторинга серверов
Page generated in 0.19650 seconds with 9 queries