Cuando Roberto me dijo “compilaste el código?, y queadaste como root?” quede bastante descolocado, claro, como linuxero siempre defendiendo al pingüino, hoy me entere de este exploit (tiene fecha de creación el día 9 de este mes).
por suerte en los servidores de producción que administro, todo con kernel 2.6.9 y ningún problema, pero en cualquier otro equipo que intente funciono todo a la perfección, si que protejan sus maquinas o corran en circulos con los brazos en alto.
aquí un ejemplo
[test@cesar ~]$ ./exploit
———————————–
Linux vmsplice Local Root Exploit
By qaaz
———————————–
[+] mmap: 0×0 .. 0×1000
[+] page: 0×0
[+] page: 0×20
[+] mmap: 0×4000 .. 0×5000
[+] page: 0×4000
[+] page: 0×4020
[+] mmap: 0×1000 .. 0×2000
[+] page: 0×1000
[+] mmap: 0xb7f88000 .. 0xb7fba000
[+] root
[root@cesar ~]# uname -a
Linux cesar 2.6.23.14-107.fc8 #1 SMP Mon Jan 14 21:37:30 EST 2008 i686 i686 i386 GNU/Linux
[root@cesar ~]# /etc/init.d/cups restart
Parando cups: [ OK ]
Iniciando cups: [ OK ]
[root@cesar ~]#
Como proteger?
No dejen que sus usuarios puedan ejecutar nada que no este en /usr/bin /bin /opt/ y carpetas de ese estilo, es la solución mas a la rápida que se me ocurre.
5 Comentarios
¿oye, y este no era un blog no ñoño?
Saludos!
Sorry, pero yo soy un ñoño, no puedo evitar hablar ñoñerias
Bien viejotes tus kernels… Yo que tu le pego una actualizada
Igual ta notable el exploit. Yo ya lo probe en debian y centos, y unos amigos en arch…
jajaja viejotes pero no dan problemas y ultra testeados (y parchados)
2.6.9-67.0.4.ELsmp
67 arreglos encima
rhel4.5
la version 2.6.9-67.0.4.ELsmp esta afectada por ese exploit o algun otro?