[Soci SLIP] Red Hat, Ubuntu, and Arch Linux patch Linux kernel exploit

Lucio Crusca lucio a sulweb.org
Sab 19 Gen 2013 16:04:11 CET

Messaggio precedente: [Soci SLIP] Red Hat, Ubuntu, and Arch Linux patch Linux kernel exploit
Prossimo messaggio: [Soci SLIP] Red Hat, Ubuntu, and Arch Linux patch Linux kernel exploit
Messaggi ordinati per: [ Data ] [ Thread ] [ Oggetto ] [ Autore ]

In data sabato 19 gennaio 2013 14:36:28, loredana ha scritto:
> Red Hat, Canonical, and Arch Linux hanno rilasciato le pezze per una
> vulnerabilità dei kernels Linux dalla release 2.6.39 in sù  che
> permette ad un attaccante di ottenere l'accesso ad un sistema come
> root (via su e, quindi, anche sudo):

La notizia andrebbe un po' ridimensionata, perché detta così rischia di 
seminare terrore.

La vulnerabilità è sfruttabile solo se:

1. si possiede un account di sistema (ovvero non è sfruttabile da remoto)
2. la funzionalità ASLR del kernel non è attiva (ma è attiva di default fin 
dal kernel 2.6.12, quindi è necessario che il sysadmin l'abbia disattivata 
volontariamente)

Inoltre si tenga conto che 
1. i sistemi dove un eventuale attaccante potrebbe avere un account locale 
sono i server. Sui sistemi client l'attaccante al limite può riuscire a far 
eseguire qualcosa al nostro PC solo se riesce a sfruttare prima qualche altra 
vulnerabilità.
2. l'unico motivo che vedo per disabilitare l'ASLR potrebbe essere quello di 
voler debuggare un software sviluppato in assembler o al limite in C, cosa che 
di sicuro nessuno fa su un server (il debug intendo) e ad oggi in pochi fanno 
anche sui client (lo sviluppo in assembler/C). Di questi pochi, ancora meno 
(forse nessuno) ha una necessità reale di disabilitare l'ASLR.

> 
> http://www.linuxfordevices.com/c/a/News/CVE20120056-patched/
> 
> I sistemi sono rimasti esposti per un bel po' prima che le patch
> raggiungessero gli utenti 

Sì, però esposti ad un rischio più teorico che reale, ovvero vulnerabili solo 
se il sysadmin per intervenuta follia decide di digitare il seguente comando 
per disabilitare l'ASLR:

# echo 0 > /proc/sys/kernel/randomize_va_space

> Exploit migrates to Android 4.0

Anche su Android l'ASLR è attivo di default (ho verificato). Qui però diciamo 
che il rischio è leggermente più alto, perché nella maggior parte dei casi è 
impossibile aggiornare il kernel, quindi la vulnerabilità resta lì e magari il 
proprietario del telefono disattiva l'ASLR nel tentativo di debuggare un 
driver che sta sviluppando (per fare debug delle normali app non serve 
disabilitare ASLR) e contestualmente installa una app maligna di terze parti. 
Dobbiamo però immaginare uno sviluppatore di drivers per smartphone Android 
che si fa fregare da uno script kiddie... alla peggio lo sviluppatore sarà 
comunque in grado di reinstallarsi il telefono.

Il tutto per dire che ogni giorno vengono scoperte vulnerabilità ben più 
pericolose di questa, ma non riguardando il kernel non fanno notizia.

Ciò detto, sono comunque d'accordo che un kernel patchato sia meglio di uno 
vulnerabile.

Messaggio precedente: [Soci SLIP] Red Hat, Ubuntu, and Arch Linux patch Linux kernel exploit
Prossimo messaggio: [Soci SLIP] Red Hat, Ubuntu, and Arch Linux patch Linux kernel exploit
Messaggi ordinati per: [ Data ] [ Thread ] [ Oggetto ] [ Autore ]

Maggiori informazioni sulla lista Soci