Escalada de privilegios remota con /proc/pid/mem write
Interesante el documento que ha publicado un experto en seguridad que ha descubierto un mecanismo por el cual es posible conseguir privilegios de superusuario si tenemos acceso a una cuenta de usuario normal en un sistema Linux no parcheado.
La vulnerabilidad reside en el acceso a /proc/pid/mem, que por lo visto no está bien gestionado y que permite que mediante cierto tipo de accesos se pueda obtener acceso a una cuenta con privilegios de administrador.
La explicación al completo la tenéis en el blog ZX2C4 -nombre curioso, habría que buscar su explicación- en donde este experto ha explicado cómo funciona el exploit para la vulnerabilidad con número CVE-2012-0056, además de ofrecer un programa que la explota llamada Mempodipper, disponible en el repositorio git de ese usuario.
Todos los kernels Linux 2.6.39 y superiores (incluyendo la serie 3.x) son vulnerables al problema, aunque Linus ya publicó una corrección al problema hace unos días. Es interesante ver el vídeo del exploit en acción, y si tenéis sistemas que puedan estar afectados por el problema, os recomiendo actualizar cuanto antes para evitar problemas mayores, ya que varias distros (Ubuntu y RHEL, entre otras) ya han preparado los paquetes necesarios para solucionar el tema.
Cito:
“Todos los kernels Linux 2.6.39 y superiores (incluyendo la serie 3.x) son vulnerables al problema.”
¿Y los inferiores?
Anon, por lo que he entendido, no.
¡Oh!, fui un patán al no revisar la fuente del artículo.
Gracias.
en archlinu no va
3.2.1-1-ARCH
ya ha salido por gestor de actuliaciones al menos en ubuntu 11.10 el parche de seguridad, eso es rapidez
Ahh!
En Gentoo funciona hasta la versión 3.2.1-gentoo-r1 (lo acabo de comprobar).
Agrego:
Acaba de terminar el emerge –sync, y ya esta la nueva versión parcheada (3.2.1-gentoo-r2).
Menudo susto…
probe la prueba (valga la rebusnancia) de redhat actualize hace una semana y me dice que no soy vulnerable
$./test
write: : Invalid argument
not vulnerable
A los que sepais algo de C y el krnel os aconsejo que os mireis la vulnerabilidad y el como la explota. Esta muy bien explicada y aunque para los q no estamos metidos en este tipo de codgos cueste se aprende mucho viendolo
En Debian squeeze 64bits la vulnerabilidad funciona con kernel 3.2.1
Menudo susto me anda en el ultimo gentoo-sources de Gentoo, claro hasta la 3.2.1-gentoo-r1, a compilar el kernel e instalarlo, y reiniciar se ha dicho !!!!
che, pero la vulnerabilidad NO es remota.. es local..
[...] Escalada de privilegios remota con /proc/pid/mem write. Share this:TwitterFacebookMe gusta:Me gustaSé el primero en decir que te gusta esta [...]