Faille locale : passez en root comme rien !

bishop · Le 08/11/2009, à 01:18

sebastien_frade écrit :
@ bishop : désinstaller WINE n'est pas une solution envisageable. Si les gens l'ont installé c'est qu'ils en ont besoin. Toutefois, c'est toujours bon à savoir que cela s'arrange aussi avec la suppression de WINE.

Mon install de Karmic est récente et je n'avais d'applications nécessitant Wine installées.

wido · Le 08/11/2009, à 01:21

sylvainsjc a écrit :

Il y a beaucoup de paranoïaques ici non ?
Buena notte a tutti

Je sens qu'il va y avoir pas mal de pages pour ce sujet

compte supprimé · Le 08/11/2009, à 02:12

Abonnement, je lirai demain.

MoNsTeR · Le 08/11/2009, à 11:19

Je suis sous 9.10, résultat égal à 0, et l'exploit ne fonctionne pas

Bigcake · Le 08/11/2009, à 11:38

rastatux a écrit :

sudo gedit /etc/sysctl.d/mmap_min_addr.conf
/etc/sysctl.d/mmap_min_addr.conf a écrit :
vm.mmap_min_addr=65536

le problème avec cette solution, c'est que wine a aussi un fichier dans ce répertoire et qu'il mets le mmap_min_addr à 0

cat /etc/sysctl.d/wine.sysctl.conf 
# Wine needs to access the bottom 64k of memory in order to launch
# 16 bit programs.
vm.mmap_min_addr = 0

Donc vaut mieux éditer /etc/sysctl.d/wine.sysctl.conf qu'en créer un nouveau.

@MoNsTeR: apparemment la faille ne marche pas avec les multi-cores

Dernière modification par Bigcake (Le 08/11/2009, à 11:40)

Dft-Pnk · Le 08/11/2009, à 12:39

Bigcake a écrit :

@MoNsTeR: apparemment la faille ne marche pas avec les multi-cores

J'ai un multi-core et la faille marche chez moi ...
Par contre c'est pas une version 64 bits.

Bigcake · Le 08/11/2009, à 13:58

Dft-Pnk a écrit :

J'ai un multi-core et la faille marche chez moi ...

Merci pour l'infirmation

J'ai fait un tit tour dans le code voir comment sa marche, si vous n'exécutez pas le binaire avec le nom "gayros", sa ne marchera pas. Donc attention ceux qui ont mmap_min_addr à 0 et qui ont lancé l'exploit avec un autre nom.

rastatux · Le 08/11/2009, à 14:39

Bigcake a écrit :

rastatux a écrit :
sudo gedit /etc/sysctl.d/mmap_min_addr.conf
/etc/sysctl.d/mmap_min_addr.conf a écrit :
vm.mmap_min_addr=65536
le problème avec cette solution, c'est que wine a aussi un fichier dans ce répertoire et qu'il mets le mmap_min_addr à 0
cat /etc/sysctl.d/wine.sysctl.conf 
# Wine needs to access the bottom 64k of memory in order to launch
# 16 bit programs.
vm.mmap_min_addr = 0
Donc vaut mieux éditer /etc/sysctl.d/wine.sysctl.conf qu'en créer un nouveau.

C'est juste. J'ai pas assez réfléchi ! J'avais les cerveau surement embrumé

Askelon · Le 08/11/2009, à 14:43

sylvainsjc a écrit :

Il y a beaucoup de paranoïaques ici non ?
Buena notte a tutti

Sans aller jusqu'à parler de paranoïa, quand comme moi on a un pc sous Ubuntu qui est allumé en permanence (un reboot toutes les 3 semaines en général, plus souvent si maj), des serveurs actif (FTP, Apache, SSH, mail), on fait un peu plus gaffe.

Tu serais surpris du nombre de débiles qui essaient de forcer mon SSH (bon, avec un mot de passe de 16 caractères et un ban d'ip de 24h tous les 2 échecs, j'les attends les mecs... mais on ne sait jamais)

HymnToLife · Le 08/11/2009, à 14:46

Askelon a écrit :

Tu serais surpris du nombre de débiles qui essaient de forcer mon SSH

Aucune raison d'être surpris. C'est pour tout le monde pareil.

sylvainsjc · Le 08/11/2009, à 14:47

Dans ce cas précis c'est compréhensible mais je pensais plutôt à la majorité des autres utilisateurs (comme moi) qui se servent d'Ubuntu pour leur besoins perso (internet, bureautique, jeux, albums photos et musique)

HymnToLife · Le 08/11/2009, à 14:49

sylvainsjc a écrit :

Dans ce cas précis c'est compréhensible mais je pensais plutôt à la majorité des autres utilisateurs (comme moi) qui se servent d'Ubuntu pour leur besoins perso (internet, bureautique, jeux, albums photos et musique)

Suffit d'un mec qui ait une dent contre toi et qui soit un peu malin, et ça peut faire mal aussi.

sylvainsjc · Le 08/11/2009, à 15:59

Of course...

Disons que le genre de parades mentionnées ici n'est pas à la portée de tout le monde...

Pour ma part sans aller jusque là, il faudrait que le mec ait une très grosse dent contre moi et soit vraiment super malin pour passer un routeur freebox et trouver un port ouvert sur mon PC sur lequel Karmic est installé "de base" (c'est à dire sans les ports ssh et ftp ouverts)

De plus le bureau à distance est désactivé

kAzz · Le 08/11/2009, à 18:42

J'ai un Athlon X2, et l'exploit ne marchait pas avec karmic 64 bits. Je l'ai installé en 32 bits sur une autre partition (flash marche beaucoup mieux !), et là... ça marche

kazz@pckazz:~$ cat /proc/sys/vm/mmap_min_addr
0
kazz@pckazz:~$ gcc -o gayros local-root-exploit-gayros.c 
kazz@pckazz:~$ ./gayros 
We got NULL page babe!
Using kernel version 2.6.31-14-generic-pae.
Found version 3 structure, doing our tricks in memory...
Go go go boy!
.We've got bush!
# id
uid=0(root) gid=0(root) groupes=4(adm),20(dialout),24(cdrom),46(plugdev),104(lpadmin),115(admin),120(sambashare),1000(kazz)
# uname -a
Linux pckazz 2.6.31-14-generic-pae #48-Ubuntu SMP Fri Oct 16 15:22:42 UTC 2009 i686 GNU/Linux

Donc à priori le fait qu'il ne marche pas sur certaines configs est davantage lié au 64 bits qu'au double-coeur ou au noyau SMP...

Link31 · Le 08/11/2009, à 19:50

HymnToLife a écrit :

Askelon a écrit :
Tu serais surpris du nombre de débiles qui essaient de forcer mon SSH
Aucune raison d'être surpris. C'est pour tout le monde pareil.

Les miens sont encore plus débiles que la normale, ils recommencent à bruteforcer après s'être faits kicker une heure au bout de trois essais, même si la connexion par mot de passe est de toute façon désactivée

compte supprimé · Le 08/11/2009, à 20:35

Link31 a écrit :

HymnToLife a écrit :
Askelon a écrit :
Tu serais surpris du nombre de débiles qui essaient de forcer mon SSH
Aucune raison d'être surpris. C'est pour tout le monde pareil.
Les miens sont encore plus débiles que la normale, ils recommencent à bruteforcer après s'être faits kicker une heure au bout de trois essais, même si la connexion par mot de passe est de toute façon désactivée

Des comme ça j'en ai en moyenne 1 par jour...

Sinon sur mon laptop sous Hardy et Wine installé
cat /proc/sys/vm/mmap_min_addr renvoie 65536
Mais sur mon serveur sous Debian Lenny sans Wine
cat /proc/sys/vm/mmap_min_addr renvoie 0

Dernière modification par hopimet (Le 08/11/2009, à 20:39)

djiock · Le 08/11/2009, à 23:26

Et le nouveau noyau 15 ne change rien

bloublou · Le 09/11/2009, à 00:34

Ne marche pas chez moi (fedora 12, 64bits, j'ai pas Wine ni de dual core).

Prosis · Le 09/11/2009, à 04:09

Excusez mon ignorance mais, comment est-ce un problème s'il faut compiler l'exploit? Comment est-ce que quelqu'un peut entrer sur notre PC, télécharger un exploit et le compiler?

Patrik · Le 09/11/2009, à 09:22

Ça n'a rien à voir, car il peut le compiler sur son propre PC. Ça fonctionnera tout aussi bien....

Bigcake · Le 09/11/2009, à 10:43

@Prosis : Le truc que tu télécharge est un code de démonstration, il est la pour dire "regardez, la faille existe, sans droit root, je peut devenir root".
Le fait qu'on compile nous même le code permet aussi devoir ce qu'on compile

Maintenant, imaginons que tu télécharge un petit prog sympa sur internet et que ce prog utilise la faille...., t'a pas eu besoin de compiler, et le prog en question peut faire tous ce qu'il veut sur ton PC, comme windows, ouvrir tous tes ports au démarrage, transformer ton pc en zombie/botnet, faire un joli rm bien placé, bref, il a tous les droits de te faire toute les saloperies, sans que tu puisse t'en rendre compte.

Après imaginons que ton linux se trouve dans une entrprise ciblé par un hacker "black hat", en imaginant qu'il ait réussi a se connecter sur le linux avec une faille OpenSSH, il pourra DL son propre prog sur la machine, puis passer root.

Dernière modification par Bigcake (Le 09/11/2009, à 10:48)

sylvainsjc · Le 09/11/2009, à 10:48

Maintenant, imaginons que tu télécharge un petit prog sympa sur internet et que ce prog utilise la faille...., t'a pas eu besoin de compiler, et le prog en question peut faire tous ce qu'il veut sur ton PC, comme windows, ouvrir tous tes ports au démarrage, transformer ton pc en zombie/botnet, faire un joli rm bien placé, bref, il a tous les droits de te faire toute les saloperies, sans que tu puisse t'en rendre compte.

Euhhh je pense qu'il n'y a pas besoin de faille de sécurité dans ce cas.

Quand tu installes un programme, tu lui ouvres les droits root donc si ce programme est un "ver" il n'aura pas besoin de la faille puisque tu lui auras ouvert la porte de ton système.

==> Toujours faire attention à ce qu'on installe, c'est tout

Bigcake · Le 09/11/2009, à 11:09

sylvainsjc a écrit :

Quand tu installes un programme, tu lui ouvres les droits root

On doit avoir les même methodes d'installations, ni les même methode de lancement

Quand tu installe un .deb c'est ton installeur de .deb qui va gagner les droits root..

Après, si tu install tous tes prog a base de "sudo make install", linux pourra être sans aucune faille, le problème viens de ce qu'il y a entre le clavier et la chaise

Dernière modification par Bigcake (Le 09/11/2009, à 11:14)

sylvainsjc · Le 09/11/2009, à 11:16

Je re-précise : Quand tu installes un programme, le password administrateur est demandé (donc les droits root sont ouverts)

Si ce programme contient du code malveillant, qu'est ce qui lui empêche à ce moment là de s'octroyer des droits pour faire n'importe quoi à ton insu par la suite ?

Dernière modification par sylvainsjc (Le 09/11/2009, à 11:16)

sylvainsjc · Le 09/11/2009, à 11:22

un exemple ici

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#51 Le 08/11/2009, à 01:18

Re : Faille locale : passez en root comme rien !

#52 Le 08/11/2009, à 01:21

Re : Faille locale : passez en root comme rien !

#53 Le 08/11/2009, à 02:12

Re : Faille locale : passez en root comme rien !

#54 Le 08/11/2009, à 11:19

Re : Faille locale : passez en root comme rien !

#55 Le 08/11/2009, à 11:38

Re : Faille locale : passez en root comme rien !

#56 Le 08/11/2009, à 12:39

Re : Faille locale : passez en root comme rien !

#57 Le 08/11/2009, à 13:58

Re : Faille locale : passez en root comme rien !

#58 Le 08/11/2009, à 14:39

Re : Faille locale : passez en root comme rien !

#59 Le 08/11/2009, à 14:43

Re : Faille locale : passez en root comme rien !

#60 Le 08/11/2009, à 14:46

Re : Faille locale : passez en root comme rien !

#61 Le 08/11/2009, à 14:47

Re : Faille locale : passez en root comme rien !

#62 Le 08/11/2009, à 14:49

Re : Faille locale : passez en root comme rien !

#63 Le 08/11/2009, à 15:59

Re : Faille locale : passez en root comme rien !

#64 Le 08/11/2009, à 18:42

Re : Faille locale : passez en root comme rien !

#65 Le 08/11/2009, à 19:50

Re : Faille locale : passez en root comme rien !

#66 Le 08/11/2009, à 20:35

Re : Faille locale : passez en root comme rien !

#67 Le 08/11/2009, à 23:26

Re : Faille locale : passez en root comme rien !

#68 Le 09/11/2009, à 00:34

Re : Faille locale : passez en root comme rien !

#69 Le 09/11/2009, à 04:09

Re : Faille locale : passez en root comme rien !

#70 Le 09/11/2009, à 09:22

Re : Faille locale : passez en root comme rien !

#71 Le 09/11/2009, à 10:43

Re : Faille locale : passez en root comme rien !

#72 Le 09/11/2009, à 10:48

Re : Faille locale : passez en root comme rien !

#73 Le 09/11/2009, à 11:09

Re : Faille locale : passez en root comme rien !

#74 Le 09/11/2009, à 11:16

Re : Faille locale : passez en root comme rien !

#75 Le 09/11/2009, à 11:22

Re : Faille locale : passez en root comme rien !

Pied de page des forums