Skip navigation

Cuando Roberto me dijo “compilaste el código?, y queadaste como root?” quede bastante descolocado, claro, como linuxero siempre defendiendo al pingüino, hoy me entere de este exploit (tiene fecha de creación el día 9 de este mes).

un pequeño código c que se aprovecha de una vulnerabilidad en las versiones de kernel desde la 2.6.17 a la 2.6.24.1

por suerte en los servidores de producción que administro, todo con kernel 2.6.9 y ningún problema, pero en cualquier otro equipo que intente funciono todo a la perfección, si que protejan sus maquinas o corran en circulos con los brazos en alto.

aquí el exploit

aquí un ejemplo

[test@cesar ~]$ ./exploit
———————————–
Linux vmsplice Local Root Exploit
By qaaz
———————————–
[+] mmap: 0x0 .. 0x1000
[+] page: 0x0
[+] page: 0x20
[+] mmap: 0x4000 .. 0x5000
[+] page: 0x4000
[+] page: 0x4020
[+] mmap: 0x1000 .. 0x2000
[+] page: 0x1000
[+] mmap: 0xb7f88000 .. 0xb7fba000
[+] root
[root@cesar ~]# uname -a
Linux cesar 2.6.23.14-107.fc8 #1 SMP Mon Jan 14 21:37:30 EST 2008 i686 i686 i386 GNU/Linux
[root@cesar ~]# /etc/init.d/cups restart
Parando cups: [ OK ]
Iniciando cups: [ OK ]
[root@cesar ~]#

Como proteger?

No dejen que sus usuarios puedan ejecutar nada que no este en /usr/bin /bin /opt/ y carpetas de ese estilo, es la solución mas a la rápida que se me ocurre.

Anuncios

5 Comments

  1. ¿oye, y este no era un blog no ñoño?
    😛
    Saludos!

  2. Sorry, pero yo soy un ñoño, no puedo evitar hablar ñoñerias 🙂

  3. Bien viejotes tus kernels… Yo que tu le pego una actualizada 😀
    Igual ta notable el exploit. Yo ya lo probe en debian y centos, y unos amigos en arch…

  4. jajaja viejotes pero no dan problemas y ultra testeados (y parchados)
    2.6.9-67.0.4.ELsmp

    67 arreglos encima 🙂

    rhel4.5 😀

  5. la version 2.6.9-67.0.4.ELsmp esta afectada por ese exploit o algun otro?


Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: