Ashram de Swâmi Petaramesh - Patchez vos noyaux ! - Commentaires

Patchez vos noyaux ! - Lietho

Lietho — Fri, 15 Feb 2008 23:50:03 +0100

Je profite de ce billet sur Linux pour vous laisser un lien vers le podcast de France Inter et plus précisément sur l'émission "Service public" du 14 fevrier 2008 concernant le monopole Microsoft.

Comme je sais votre non-dualité libre de ses pensées et tenant à ce que ses outils soient tout aussi libre, j'ai pensé de suite à vous.

Patchez vos noyaux ! - Vengeur Masqué

Vengeur Masqué — Fri, 15 Feb 2008 11:33:21 +0100

Pour info, j'ai testé ce matin:
while : ; do exploitz; done
Ma Passoire a freezé en une seconde.
M'en fous, il reste TPE pour me protéger des invités facétieux.

Patchez vos noyaux ! - Swâmi Petaramesh

Swâmi Petaramesh — Thu, 14 Feb 2008 12:22:45 +0100

@Wastedtime : Cela impose seulement que les machines-cible possèdent les clés publiques autorisées à se connecter, et que celui qui veut se connecter à distance possède la clé privée correspondante - pas nécessairement sur une machine particulière, on peut très bien avoir cette clé avec soi, et elle est supposée être de surcroît protégée par mot de passe.

Patchez vos noyaux ! - wastedtime

wastedtime — Thu, 14 Feb 2008 12:14:59 +0100

C'est une solution. Mais elle impose de travailler sur une machine bien précise et reconnue (ou alors je me plante ? )

Patchez vos noyaux ! - Swâmi Petaramesh

Swâmi Petaramesh — Thu, 14 Feb 2008 12:00:05 +0100

@Wastedtime : le plus simple, c'est de ne pas accepter de connexion type ssh

...ou de ne les accepter qu'avec authentification par paire de clés, et surtout pas par login / password.

Patchez vos noyaux ! - wastedtime

wastedtime — Thu, 14 Feb 2008 11:51:14 +0100

+1 Vengeur masqué. La gentoo hardened evite bcp de désagrements liés a la plebe des malfaisants et autres script kiddies. Mais bon, le plus simple, c'est de ne pas accepter de connexion type ssh (bon, j'admet que dans mon cas ca marche bien vu que petipentium (ma machine) est dans mon salon, et que pour un vrai admin avec de vrais serveurs dans un datacenter, c'est un mal necessaire).
Ca faisait quand meme super longtemps que j'avais pas vu aussi d'exploit aussi "straightforward".
Enfin, 1 exploit sur le kernel linux pour 200 patchs critique sous zindozs, ca reste tolerable.

Patchez vos noyaux ! - Vengeur Masqué

Vengeur Masqué — Thu, 14 Feb 2008 11:42:45 +0100

Mon noyau n'a toujours pas crashé...

De toute façon, vu que seul root est dans le groupe "trusted path execution", il faut lui demander de bien vouloir installer l'exploit sous /usr/local/bin pour pouvoir l'exécuter.
Evidemment, on peut toujours trouver un binaire système mal foutu qui appelle vmslicetrucbidule, ou tenter un "return into libc", mais ça devient coton.

Il faudrait quand même que je reconfigure ce fichu RBAC pour vraiment durcir ce système...

Patchez vos noyaux ! - Nico

Nico — Thu, 14 Feb 2008 00:13:07 +0100

-- PaX flingue le processus en annonçant suspicious global protection fault.

Heu non ...
En faite, une partie de la payload a le temps de s'executer avant que PaX intervienne.
Donc tu as un kernel instable et qui crash generalement au bout de 10-15 minutes.

Et pourquoi ne peux-tu pas mettre le noyau à jour ?
C'est un kernel assez particulier sur une machine trés particuliére qui necessite quelqu'un devant elle pour booter correctement.
Et puis, comme c'est devenu un serveur trés frequenté, je peut pas foutre tout le monde dehors sans préavis ...

Patchez vos noyaux ! - Patrick

Patrick — Thu, 14 Feb 2008 00:05:12 +0100

@Danton : moi non plus, je ne comprend pas tout. Tiens, par exemple, j'ai bien essayé de me "patcher le noyau" hier soir, bin j'ai dû mal m'y prendre parce que ça m'a rudement mal, en fait. :o)))

Patchez vos noyaux ! - Le Joker

Le Joker — Wed, 13 Feb 2008 23:40:33 +0100

eh eh eh grsec y a que ca de vrai !

Patchez vos noyaux ! - Swâmi Petaramesh

Swâmi Petaramesh — Wed, 13 Feb 2008 21:27:44 +0100

@Vengeur Masqué : Ce n'est pas le premier "privilege escalation" local, et ce n'est pas le dernier.

Certes, certes. Mais celui-là était vraiment net et sans bavures. J'en ai vu de tordus qui nécessitaient des conditions vachement particulières et marchaient au petit bonheur la chance, mais çui-là, c'était quand même un beau "su" sans mot de passe... Enfin moi, il m'a impressionné, mais c'est parce que je suis encore jeune ;-)

> De mon côté, je donne accès à de sinistres individus sur une machine

Beh, les loups ne se dévorent pas entre eux :-}

En plus, je trouve que faire un privilege escalation chez quelqu'un qui t'ouvre volontairement un accès, c'est un kolossal manque de savoir-vivre ;-)

...Surtout si ce quelqu'un a des munitions ;-))

Patchez vos noyaux ! - Vengeur Masqué

Vengeur Masqué — Wed, 13 Feb 2008 21:19:35 +0100

Il vous en faut peu pour vous émoustiller. Ce n'est pas le premier "privilege escalation" local, et ce n'est pas le dernier.
De totue façon, si vous donnez accès à des extérieurs à une machine, ils finiront root un jour ou l'autre s'ils ne se comportent pas en gens civilisés. De mon côté, je donne accès à de sinistres individus sur une machine qui fait tourner grsecurity en niveau Gentoo Hardened, et ces beaux exploitz foirent minablement -- PaX flingue le processus en annonçant suspicious global protection fault.
Je ne dis pas que ça soit blindé, mais ça réduit considérablement la fréquence des patchs urgents.

On peut même faire d'autres choses pour cantonner les sinistres individus dans le bocal qui leur est réservé:

casserole@~$ ssh -l root passoire
Last login: Wed Feb 13 15:20:28 2008 from 192.168.4.6
passoire ~ # telnet casserole
...
Linux 2.6.23-gentoo-r6 (casserole) (28)

casserole login:
telnet> q
passoire ~ # exit
casserole@~$ ssh -l guru passoire
guru@passoire ~ $ telnet casserole
telnet: socket: Permission denied
guru@passoire ~ $

Et je n'ai pas encore réactivé le RBAC, feignasse que je suis...

Patchez vos noyaux ! - Danton

Danton — Wed, 13 Feb 2008 19:47:53 +0100

Fidèle lecteur, il m'arrive quelquefois de ne rien comprendre à vos billets.
Qu'importe!.
Comme dans un poème de René Char, je me laisse porter par la musique des mots et la beauté des images.
"Patchez vos noyaux", vraiment?

Patchez vos noyaux ! - Swâmi Petaramesh

Swâmi Petaramesh — Wed, 13 Feb 2008 11:15:48 +0100

@Nico : Ben dis donc, par chez toi, c'est un univers impitoyable ! ;-)

Et pourquoi ne peux-tu pas mettre le noyau à jour ? C'est une machine critique et "non-rebootable", ou un noyau vraiment très custom nécessitant ample réflexion avant bidouille ?

Patchez vos noyaux ! - Nico

Nico — Wed, 13 Feb 2008 10:59:55 +0100

À l'ashram, c'est fait.

Mince !
Pourquoi je n'ai pas installé ce r00tk1t alors que j'était r00t il y a 2 jours ?
Encore une occassion manquée :-(

En tous cas, sur un serveur ouvert au public, il y en a des tentatives:

kernel BUG at /home/nico/novmsplice/novmsplice.c:59!
invalid opcode: 0000 [#1]
Modules linked in: novmsplice iptable_filter ip_tables it87 hwmon_vid hwmon i2c_isa xt_physdev x_tables i2c_i801 i2c_core
...
EIP: 0061: Not tainted VLI
EFLAGS: 00010287 (2.6.20-xen-r6 #1)
EIP is at nosuchsyscall+0x0/0x4 [novmsplice]
...
Process jessica_biel_na (pid: 6408, ti=c6c30000 task=c6de4550 task.ti=c6c30000)

J'en suis à 400 oops dans ce style.
Je ne peut pas updater le kernel de cette machine donc j'utilise un workaround de fou furieux: edition de la table syscall du noyaux pour rediriger vmsplice vers rien (ce qui fait oopser le kernel) ...

Patchez vos noyaux ! - Swâmi Petaramesh

Swâmi Petaramesh — Tue, 12 Feb 2008 23:32:28 +0100

À l'ashram, c'est fait. Bon, ben vous avez raté l'occasion de devenir root sur Totor. C'est bête, hein ? ;-)

Sauf pour les blondes. Et quelques brunes à la rigueur, mais à titre exceptionnel. Là, le rootkit peut toujours se négocier ;-)

Patchez vos noyaux ! - Patrick

Patrick — Tue, 12 Feb 2008 23:26:46 +0100

@Swami : t'as raison, tiens, je vais me patcher le noyau. Bonuitre à tous !

Patchez vos noyaux ! - Patrick

Patrick — Tue, 12 Feb 2008 22:22:14 +0100

@krysalia : ah non, ça c'est quand on veux devenir blonde :o))

Patchez vos noyaux ! - krysalia

krysalia — Tue, 12 Feb 2008 22:10:13 +0100

devenir root c'est quand on veut se teindre les cheveux c'est ça :-} ?

Patchez vos noyaux ! - Le Joker

Le Joker — Tue, 12 Feb 2008 17:29:56 +0100

Une faille qui ne concernent pas les gens (comme votre serviteur) pratiquant le downgrade puisque vmsplice() a été introduit dans le noyau depuis la version 2.6.17 :D

Patchez vos noyaux ! - Fred., de L.

Fred., de L. — Tue, 12 Feb 2008 17:25:03 +0100

Il n'y a pas qu'en SSH qu'on peut exécuter des binaires... un site en PHP où l'on trouve le moyen de contourner le script pour télécharger le binaire puis l'exécuter... ça le fait aussi. :-/

Je croise les doigts pour que OVH nous tienne au courant... au plus vite. :-)

Patchez vos noyaux ! - Christine

Christine — Tue, 12 Feb 2008 16:53:31 +0100

D'où l'intérêt, plus que jamais, de ne filer d'accès ssh qu'à des gens en qui on a entièrement confiance

Aaaaaaargh ;-))

Patchez vos noyaux ! - Bob

Bob — Tue, 12 Feb 2008 16:40:33 +0100

J'ai honte je viens de tester chez un pote.

Patchez vos noyaux ! - nattfodd

nattfodd — Tue, 12 Feb 2008 16:32:19 +0100

D'où l'intérêt, plus que jamais, de ne filer d'accès ssh qu'à des gens en qui on a entièrement confiance...