[Soci SLIP] Red Hat, Ubuntu,
and Arch Linux patch Linux kernel exploit
Lucio Crusca
lucio a sulweb.org
Sab 19 Gen 2013 16:04:11 CET
In data sabato 19 gennaio 2013 14:36:28, loredana ha scritto:
> Red Hat, Canonical, and Arch Linux hanno rilasciato le pezze per una
> vulnerabilità dei kernels Linux dalla release 2.6.39 in sù che
> permette ad un attaccante di ottenere l'accesso ad un sistema come
> root (via su e, quindi, anche sudo):
La notizia andrebbe un po' ridimensionata, perché detta così rischia di
seminare terrore.
La vulnerabilità è sfruttabile solo se:
1. si possiede un account di sistema (ovvero non è sfruttabile da remoto)
2. la funzionalità ASLR del kernel non è attiva (ma è attiva di default fin
dal kernel 2.6.12, quindi è necessario che il sysadmin l'abbia disattivata
volontariamente)
Inoltre si tenga conto che
1. i sistemi dove un eventuale attaccante potrebbe avere un account locale
sono i server. Sui sistemi client l'attaccante al limite può riuscire a far
eseguire qualcosa al nostro PC solo se riesce a sfruttare prima qualche altra
vulnerabilità.
2. l'unico motivo che vedo per disabilitare l'ASLR potrebbe essere quello di
voler debuggare un software sviluppato in assembler o al limite in C, cosa che
di sicuro nessuno fa su un server (il debug intendo) e ad oggi in pochi fanno
anche sui client (lo sviluppo in assembler/C). Di questi pochi, ancora meno
(forse nessuno) ha una necessità reale di disabilitare l'ASLR.
>
> http://www.linuxfordevices.com/c/a/News/CVE20120056-patched/
>
> I sistemi sono rimasti esposti per un bel po' prima che le patch
> raggiungessero gli utenti
Sì, però esposti ad un rischio più teorico che reale, ovvero vulnerabili solo
se il sysadmin per intervenuta follia decide di digitare il seguente comando
per disabilitare l'ASLR:
# echo 0 > /proc/sys/kernel/randomize_va_space
> Exploit migrates to Android 4.0
Anche su Android l'ASLR è attivo di default (ho verificato). Qui però diciamo
che il rischio è leggermente più alto, perché nella maggior parte dei casi è
impossibile aggiornare il kernel, quindi la vulnerabilità resta lì e magari il
proprietario del telefono disattiva l'ASLR nel tentativo di debuggare un
driver che sta sviluppando (per fare debug delle normali app non serve
disabilitare ASLR) e contestualmente installa una app maligna di terze parti.
Dobbiamo però immaginare uno sviluppatore di drivers per smartphone Android
che si fa fregare da uno script kiddie... alla peggio lo sviluppatore sarà
comunque in grado di reinstallarsi il telefono.
Il tutto per dire che ogni giorno vengono scoperte vulnerabilità ben più
pericolose di questa, ma non riguardando il kernel non fanno notizia.
Ciò detto, sono comunque d'accordo che un kernel patchato sia meglio di uno
vulnerabile.
Maggiori informazioni sulla lista
Soci