Bonsoir,
Je suis tombé sur :
silicon.fr/une-breche-de-sec … 71125.html
programmez.com/actualites.php?id_actu=10961
J’ai vu ça aussi, 
Bah, la stable est sur un noyau 2.6.32 donc pas de souci…
Sinon effectivement, l’exploit fonctionne bien: Sur une machine à laquelle j’ai accès
[code]Last login: Fri Jan 27 19:36:42 2012
boisson@XXXXX:~$ ./m
= Mempodipper =
= by zx2c4 =
= Jan 21, 2012 =
[+] Opening socketpair.
[+] Waiting for transferred fd in parent.
[+] Executing child from child fork.
[+] Opening parent mem /proc/4866/mem in child.
[+] Sending fd 5 to parent.
[+] Received fd at 5.
[+] Assigning fd 5 to stderr.
[+] Reading su for exit@plt.
[+] Resolved exit@plt to 0x8049a44.
[+] Calculating su padding.
[+] Seeking to offset 0x8049a2d.
[+] Executing su with shellcode.
sh-4.2# whoami
root
sh-4.2# exit
boisson@XXXXX:~$[/code]
linux-image-2.6.39-bpo.2-486 (2.6.39-3~bpo60+1) [backports]
C’est le premier sur la liste porté sur stable, mais dans l’article linus aurait paché le noyau depuis le 17 janvier…
Quels scénarios peut on imaginer pour qu’un hacker utilise cet exploit sur une machine distante?
Déposer le fichier source .c sur la machine cible, le compiler, l’exécuter…comment se connecte t-il??
A fortiori, cet exploit est inoffensif sur une stable
rien a craindre , c’est deja obsolete !
Et on dit merci à Linus!!
@Grhim : peut être que je vois mal ton avatar mais je le trouve assez bizarre…tu fais dans la perversion??
Les grands mots, tout de suite… y’a juste beaucoup de mains… 
Eh lol!!! c’est rare de te lire à cette heure ci! enfin à l’heure française je veux dire…
Doit être bien tard (ou tôt) à Madagascar??
La machine où j’ai fait ça est un machine wheezy/sid avec le noyau linux-image-3.1.0-1-686-pae
boisson@XXXXXXXX:~$ apt-cache policy linux-image-3.1.0-1-686-pae
linux-image-3.1.0-1-686-pae:
Installé : 3.1.8-2
Candidat : 3.1.8-2
Table de version :
*** 3.1.8-2 0
800 http://ftp.fr.debian.org/debian/ wheezy/main i386 Packages
100 /var/lib/dpkg/status
Ce qui signifie que sur ce noyau au moins en sid, le patch n’est toujours pas appliqué. Pour wheezy ça ne m’étonne pas. Ça n’est pas une distribution donc la sécurité met du temps, mais pour sid c’est plus étonnant. Quand aux backports, je ne suis pas sur que ça suive à la même vitesse. Brtef, je suggère de tester la chose. Ci joint un zip avec les binaires de la faille compilés en 32 et 64 bits
Pour ce qui est de l’utilisation, c’est lorsque quelqu’un entre sur un des tes serveurs ou sur une machine en accès à plusieurs personnes (par exemple celle où j’ai fait ce test, les administrateur ont été avertis et j’ai eu comme retour une ralante (justifiée à mon avis) contre debian. J’ai un souvenir désagrégable de la faille ptrace.
failles.zip.txt (9.62 KB)
Bonjour fran.b,
Merci pour tes réponses.
Ma machine est en Wheezy/Sid avec le noyau linux-image-3.2.0-1-amd64
serge@Debian:~$ apt-cache policy linux-image-3.2.0-1-amd64
linux-image-3.2.0-1-amd64:
Installé : 3.2.1-2
Candidat : 3.2.1-2
Table de version :
*** 3.2.1-2 0
100 /var/lib/dpkg/status
Ton fichier avec les binaires me donnent :
[code]===============================
= Mempodipper =
= by zx2c4 =
= Jan 21, 2012 =
[+] Opening socketpair.
[+] Waiting for transferred fd in parent.
[+] Executing child from child fork.
[+] Opening parent mem /proc/12403/mem in child.
[+] Sending fd 5 to parent.
[+] Received fd at 5.
[+] Assigning fd 5 to stderr.
[+] Reading su for exit@plt.
[+] Resolved exit@plt to 0x401fa8.
[+] Calculating su padding.
[+] Seeking to offset 0x401f91.
[+] Executing su with shellcode.
serge@Debian:~$ su
Mot de passe :
root@Debian:/home/serge# whoami
root
[/code]
J’obtiens les mêmes résultats que toi donc les patches, effectivement, ne sont pas encore appliqués ce matin.
Pour l’utilisation, personnellement, je ne devrais avoir aucun problème car je suis un utilisateur de base avec une tour comme poste de travail et je me sers parfois de Samba pour communiquer avec un autre ordinateur.
Mais j’ai voulu signaler la faille car je sais que vous êtes nombreux sur ce site à posséder des serveurs et ça aurait été malheureux de passer à coté de l’information.
A suivre …
Merci pour les exécutables,
Testé sur ma sid “Linux desktop 2.6.39-1-486 #1 Fri May 20 19:57:02 UTC 2011 i686 GNU/Linux”, faille présente.
Sur mon serveur “Linux matrix 2.6.32-5-686 #1 SMP Thu Nov 3 04:23:54 UTC 2011 i686 GNU/Linux”, pas de soucis comme cela a été dit.
Je garde l’exécutable, j’espère voir les MàJ arriver rapidement, il n’y a pas grand chose a faire en attendant??
Non, tes résultats diffèrent de ceux de François. Visiblement tu as du fournir toi-même le mot de passe root à su.
D’ailleurs le changelog de la version 3.2.1-2 du noyau linux-image-3.2.0-1-amd64
http://packages.debian.org/changelogs/pool/main/l/linux-2.6/linux-2.6_3.2.1-2/changelog#version3.2.1-2
indique bien :
Pour François, apparemment les images binaires de noyau 3.1 ne sont plus dans sid et de toute façon la série 3.1 est abandonnée en amont.
[quote=“PascalHambourg”]
Pour François, apparemment les images binaires de noyau 3.1 ne sont plus dans sid et de toute façon la série 3.1 est abandonnée en amont.[/quote]
Hum, pourtant le noyau est encore dans le dépot. Je vais tout de même dire au gestionnaire du serveur que le 3.2 est patché. C’est bizarre que le 3.1 ne soit pas rectifié tout de même et reste dans le dépot.
Ma machine sur sid obtient les mêmes résultats que ceux de François (nul de besoin de passer par su)
Ce noyau 2.6.39 est donc encore vulnérable!
Non, tes résultats diffèrent de ceux de François. Visiblement tu as du fournir toi-même le mot de passe root à su.
D’ailleurs le changelog de la version 3.2.1-2 du noyau linux-image-3.2.0-1-amd64
http://packages.debian.org/changelogs/pool/main/l/linux-2.6/linux-2.6_3.2.1-2/changelog#version3.2.1-2
indique bien :
Bonjour Pascal et merci pour toutes tes informations et tes explications. Avec vous, François et toi, j’en apprend plus en une matinée qu’en un mois !
Merci à vous. 
Il est dans le dépôt de testing. Mais comme tu l’as dit, il n’y pas pas de politique de sécurité pour testing, sauf lorsqu’on approche de la publication stable. Le reste du temps les patches de sécurité arrivent par sid. Mais si une version n’est plus dans sid, AMA elle ne sera pas patchée.
Damned je suis c…:
[quote]$ apt-cache policy linux-image-3.1.0-1-686-pae
linux-image-3.1.0-1-686-pae:
Installé : 3.1.8-2
Candidat : 3.1.8-2
Table de version :
*** 3.1.8-2 0
800 ftp.fr.debian.org/debian/ wheezy/main i386 Packages
100 /var/lib/dpkg/status
[/quote]
J’étais persuadé d’avoir lu Sid. Donc tout s’explique (et c’est bien la confirmation que testing n’est pas une distribution).
Un patch de sécurité pour sid est prévu bientôt?
Le patch est déjà dans sid (noyau 3.2). Si tu as encore un noyau 2.6.39, ta sid n’est pas à jour car cette version n’est plus dans sid.