Kirjoittaja Aihe: Linuxin haavoittuvuus ?  (Luettu 6874 kertaa)

oh2ir

  • Käyttäjä
  • Viestejä: 447
    • Profiili
Linuxin haavoittuvuus ?
« : 15.05.13 - klo:15.51 »
Tere

Nyt tarttis tarkempia kommentteja tuosta tiedotteesta


https://www.cert.fi/haavoittuvuudet/2013/haavoittuvuus-2013-071.html
« Viimeksi muokattu: 16.05.13 - klo:12.19 kirjoittanut oh2bne »
73's de Kari OH2BNE

Hajakenttä

  • Käyttäjä / moderaattori
  • Viestejä: 1546
    • Profiili
Vs: Linuxin haavoittuvuus ?
« Vastaus #1 : 15.05.13 - klo:17.34 »
Niin... ja mitä oikein tarkoittaa tämä viestintäviraston neuvo?

Lainaus
Päivitystä odotellessa voi julkisen hyväksikäyttömenetelmän käyttöä rajoittaa seuraavasti:

sysctl -w kernel.perf_event_paranoid=2

 :o
DELL Latitude E6220 Xubuntu 20.04, DELL Latitude 5480 Xubuntu 22.04.
– Memento Vivere – Terv: Timo

Karvameduusa

  • Käyttäjä
  • Viestejä: 1055
    • Profiili
Vs: Linuxin haavoittuvuus ?
« Vastaus #2 : 15.05.13 - klo:18.42 »
Haavoittuvuus toimii vain lokaalisti.

Lainaus
The perf_swevent_init function in kernel/events/core.c in the Linux kernel before 3.8.9 uses an incorrect integer data type, which allows local users to gain privileges via a crafted perf_event_open system call.

http://cxsecurity.com/cveshow/CVE-2013-2094
http://www.reddit.com/r/netsec/comments/1eb9iw/sdfucksheeporgs_semtexc_local_linux_root_exploit/c9ykrck
« Viimeksi muokattu: 15.05.13 - klo:18.44 kirjoittanut Karvameduusa »

mrl586

  • Käyttäjä
  • Viestejä: 4638
    • Profiili
Vs: Linuxin haavoittuvuus ?
« Vastaus #3 : 15.05.13 - klo:19.19 »
Haavoittuvuus toimii vain lokaalisti.
Mutta Internetin välityksellä (via SSH) sitä voi hyödyntää etäältäkin.

Täältä voi katsella listaa, mitkä kernelit on jo paikattu.
« Viimeksi muokattu: 15.05.13 - klo:19.28 kirjoittanut mrl586 »

Tomin

  • Palvelimen ylläpitäjä
  • Käyttäjä / moderaattori+
  • Viestejä: 11433
    • Profiili
    • Tomin kotisivut
Vs: Linuxin haavoittuvuus ?
« Vastaus #4 : 15.05.13 - klo:19.33 »
Täältä voi katsella listaa, mitkä kernelit on jo paikattu.
Ei taida auttaa Ubuntun käyttäjiä.

Launchpadin bugiraportti, jossa ei ole paljon luettavaa: https://bugs.launchpad.net/ubuntu/+source/linux/+bug/1179943
Changelogit joista ongin seuraavat tiedot:
Ilmeisesti raringista (13.04) tuo löytyy versiosta 3.8.0-21.32:
https://launchpad.net/ubuntu/raring/+source/linux/+changelog
quantalista (12.10) versiosta 3.5.0-30.51:
https://launchpad.net/ubuntu/quantal/+source/linux/+changelog
precisestä (12.04 LTS) versiosta 3.2.0-43.68:
https://launchpad.net/ubuntu/precise/+source/linux/+changelog
ja ylempiä vastaavat paketit, jos käyttää päivitettyä laitetukea.

Mutta kaikki nuo versiot ovat vasta proposed-varastossa ja huolestuttavasti kiireisyys (oikea suomennos?, engl. urgency) on matala (low)...
Automaattinen allekirjoitus:
Lisäisitkö [RATKAISTU] ketjun ensimmäisen viestin aiheeseen ongelman ratkettua, kiitos.

Karvameduusa

  • Käyttäjä
  • Viestejä: 1055
    • Profiili
Vs: Linuxin haavoittuvuus ?
« Vastaus #5 : 15.05.13 - klo:22.30 »
Mutta Internetin välityksellä (via SSH) sitä voi hyödyntää etäältäkin.

Voi toki vaatii ssh käyttäjätilin murtamisen tai joku käyttäjä sen tekee lokaalisesti.

oh2ir

  • Käyttäjä
  • Viestejä: 447
    • Profiili
Vs: Linuxin haavoittuvuus ? [RATKAISTU]
« Vastaus #6 : 15.05.13 - klo:23.05 »
Kiitos, tässähän tuota vastausta jo tulikin ensialkuun. Olen sen verran huono Linuxin käyttäjä että en ole koskaan oikein päässyt sisälle tuohon komentorivioperointiin enkä muihinkaan hienouksiin, joten olen tyytynyt noihin graafisiin olemuksiin, joita olen erilaisia kokeillut ja jostain kumman syystä olen onnistunut asennuksissa niin hyvin että nyt on kahdessa läppärissä winkut ja linuxit sekaisin   ;)

Täältä olen lukenut paljon juttuja sekä saanut asiallisia vastauksia mistä suuri kiitos porukalle.
73's de Kari OH2BNE

mrl586

  • Käyttäjä
  • Viestejä: 4638
    • Profiili
Vs: Linuxin haavoittuvuus ?
« Vastaus #7 : 16.05.13 - klo:07.21 »
Mutta kaikki nuo versiot ovat vasta proposed-varastossa ja huolestuttavasti kiireisyys (oikea suomennos?, engl. urgency) on matala (low)...
Debianin puolella ollaan paljon nopeampia: siellä paikka löytyy jo Wheezyn kernelistä 3.2.41-2+deb7u2.
Koodia: [Valitse]
root@it:~# apt-cache policy linux-image-3.2.0-4-686-pae
linux-image-3.2.0-4-686-pae:
  Asennettu: 3.2.41-2+deb7u2
  Ehdokas:   3.2.41-2+deb7u2
  Versiotaulukko:
 *** 3.2.41-2+deb7u2 0
        500 http://security.debian.org/ wheezy/updates/main i386 Packages
        100 /var/lib/dpkg/status
     3.2.41-2 0
        500 http://ftp.it.debian.org/debian/ wheezy/main i386 Package
« Viimeksi muokattu: 16.05.13 - klo:07.28 kirjoittanut mrl586 »

Pendeli

  • Käyttäjä
  • Viestejä: 829
    • Profiili
Vs: Linuxin haavoittuvuus ? [RATKAISTU]
« Vastaus #8 : 16.05.13 - klo:09.29 »
Xubuntuun uusi kernel tänään 3.2.0.43.51

igor_2

  • Käyttäjä
  • Viestejä: 751
    • Profiili
Vs: Linuxin haavoittuvuus ?
« Vastaus #9 : 16.05.13 - klo:10.40 »
Debianin puolella ollaan paljon nopeampia: siellä paikka löytyy jo Wheezyn kernelistä 3.2.41-2+deb7u2.

Mun Debian 6.0:aan päivitys tuli eilen. Saattoi olla jonossa jo aikaisemminkin, mutta päivitysagenttini pyörähtää vain 2 viikon välein.

oh2ir

  • Käyttäjä
  • Viestejä: 447
    • Profiili
Vs: Linuxin haavoittuvuus ?
« Vastaus #10 : 16.05.13 - klo:12.18 »
Tere

Onko kernel versio 3.8.0-21 uusin mahdollinen ?
« Viimeksi muokattu: 16.05.13 - klo:12.20 kirjoittanut oh2bne »
73's de Kari OH2BNE

Hajakenttä

  • Käyttäjä / moderaattori
  • Viestejä: 1546
    • Profiili
Vs: Linuxin haavoittuvuus ? [RATKAISTU]
« Vastaus #11 : 16.05.13 - klo:12.30 »
Xubuntuun uusi kernel tänään 3.2.0.43.51

Niinhän se tuli, mutta... uusikin kuuluu noihin haavoittuviin.

Viestintäviraston sivulta
Lainaus
HAAVOITTUVAT OHJELMISTOT:

    Linux-ytimen versiot 2.6.37 – 3.8.9
    Joissakin jakeluissa myös ytimen versio 2.6.32 on haavoittuva

Toisaalta... mitä väliä? Kun ei ole palvelin, eikä paikallisverkkoa, eikä epäluotettavia käyttäjiä. Mutta käsittääkseni ratkaisu puuttuu yhä.  :(
DELL Latitude E6220 Xubuntu 20.04, DELL Latitude 5480 Xubuntu 22.04.
– Memento Vivere – Terv: Timo

oh2ir

  • Käyttäjä
  • Viestejä: 447
    • Profiili
Vs: Linuxin haavoittuvuus ?
« Vastaus #12 : 16.05.13 - klo:12.56 »
Nyt menee yli ymmärryksen minulta. Miten se käytännössä sitten toimii, tuleeko se normaalin nettisurffailun kautta vai tuleeko esim. sähköpostissa vai millä tavalla sinne kerneliin sitten päästään kopeloimaan. Sorry mutta minä olen ihan pihalla  ???
73's de Kari OH2BNE

SuperOscar

  • Käyttäjä
  • Viestejä: 3993
  • Ocatarinetabellatsumtsum!
    • Profiili
    • Legisign.org
Vs: Linuxin haavoittuvuus ? [RATKAISTU]
« Vastaus #13 : 16.05.13 - klo:13.23 »
Xubuntuun uusi kernel tänään 3.2.0.43.51

Niinhän se tuli, mutta... uusikin kuuluu noihin haavoittuviin.

Viestintäviraston sivulta
Lainaus
HAAVOITTUVAT OHJELMISTOT:

    Linux-ytimen versiot 2.6.37 – 3.8.9
    Joissakin jakeluissa myös ytimen versio 2.6.32 on haavoittuva

Ollaan nyt tarkkoina. Viestintäviraston ohje tarkoittaa, että tuolla versionumerovälillä haavoittuvuus ilmenee ELLEI sitä ole jo paikattu. *buntun uudesta ytimestä en tiedä, mutta ydin, jonka versionumero on välillä 2.6.37–3.8.9, voi toki olla myös jo paikattu.
pöytäkone 1, kannettavat 1–3: Debian GNU/Linux 12; pöytäkone 2: openSUSE Tumbleweed; NUC: openSUSE Leap 15.5; RPi 1: FreeBSD 13.2-RELEASE; RPi 2: LibreELEC 11

lompolo

  • Käyttäjä
  • Viestejä: 852
    • Profiili
Vs: Linuxin haavoittuvuus ?
« Vastaus #14 : 16.05.13 - klo:13.47 »
Niin... ja mitä oikein tarkoittaa tämä viestintäviraston neuvo?

Lainaus
Päivitystä odotellessa voi julkisen hyväksikäyttömenetelmän käyttöä rajoittaa seuraavasti:

sysctl -w kernel.perf_event_paranoid=2

Komento muokkaa yhtä kernelin parametria ajon aikana. Muokkaus ei siis ole voimassa uudelleenkäynnistyksen jälkeen. Ubuntussa sudo antaa riittävät oikeudet muokkaamiseen, kuten allakin.

Koodia: [Valitse]
sudo sysctl kernel.perf_event_paranoidTämä taas tarkistaa parametrin arvon.

Tomin

  • Palvelimen ylläpitäjä
  • Käyttäjä / moderaattori+
  • Viestejä: 11433
    • Profiili
    • Tomin kotisivut
Vs: Linuxin haavoittuvuus ?
« Vastaus #15 : 16.05.13 - klo:15.40 »
Nyt menee yli ymmärryksen minulta. Miten se käytännössä sitten toimii, tuleeko se normaalin nettisurffailun kautta vai tuleeko esim. sähköpostissa vai millä tavalla sinne kerneliin sitten päästään kopeloimaan. Sorry mutta minä olen ihan pihalla  ???

Ei tule noin, jos ei sitten ole selaimessa tai sähköpostissa toista aukkoa, jonka avulla voi suorittaa omaa koodia. Sen sijaan, jos joku käyttäisi konettasi etäyhteyden kautta (vain jos olet sen erikseen asentanut, tuskin olet) tai pääsisi käsiksi koneeseesi paikallisesti tuota hyökkäystä voi käyttää. Tosin viimeksi mainitussa tapauksessa voi tehdä paljon muutenkin.

Näkyy paikkaus tulleen raringiin (13.04) sillä tänään päivittyi ydin tuohon versioon, josta eilen mainitsin. Sen sijaan precisessä (12.04 LTS) tuota paikkaa ei vielä näy.

Muokkaus: Otappa noista nyt sitten selvää, versio on jo 3.8.0.21.37, pitänee etsiä muutoslokit.
Koodia: [Valitse]
$ apt-cache policy linux-image-generic
linux-image-generic:
  Asennettu: 3.8.0.21.37
  Ehdokas:   3.8.0.21.37
  Versiotaulukko:
 *** 3.8.0.21.37 0
        500 http://archive.ubuntu.com/ubuntu/ raring-updates/main amd64 Packages
        500 http://archive.ubuntu.com/ubuntu/ raring-security/main amd64 Packages
        100 /var/lib/dpkg/status
     3.8.0.19.35 0
        500 http://archive.ubuntu.com/ubuntu/ raring/main amd64 Packages
« Viimeksi muokattu: 16.05.13 - klo:15.47 kirjoittanut Tomin »
Automaattinen allekirjoitus:
Lisäisitkö [RATKAISTU] ketjun ensimmäisen viestin aiheeseen ongelman ratkettua, kiitos.

roikale

  • Käyttäjä
  • Viestejä: 321
    • Profiili
Vs: Linuxin haavoittuvuus ?
« Vastaus #16 : 20.05.13 - klo:18.38 »
Niin kauan kuin Linux-koneeseeni ei tule todistettavasti haittaohjelmaa ei tuollaiset uutiset meikäläistä kiinnosta. On minulla sentään ollut lähes 15 vuoden kokemus Windowsin "turvallisuudesta".  ;D
Kannettava (17,3") Intel - järjestelmät Linux Mint 17.2 ja Ubuntu 15.04

Pendeli

  • Käyttäjä
  • Viestejä: 829
    • Profiili
Vs: Linuxin haavoittuvuus ?
« Vastaus #17 : 24.05.13 - klo:18.26 »
Tulihan sieltä taas xubuntuun 12.04 uusi kernelin päivitys, joka on 3.2.0.44.53 tms. ellen väärin muista. Kuitenkin kaukana vielä 3.8-sarjasta, joten täytynee pitää tätä 3.2-sarjan  korjattuna versiona jo, kun ei mitään 3.8:aa vielä näytä??

Tomin

  • Palvelimen ylläpitäjä
  • Käyttäjä / moderaattori+
  • Viestejä: 11433
    • Profiili
    • Tomin kotisivut
Vs: Linuxin haavoittuvuus ?
« Vastaus #18 : 24.05.13 - klo:18.59 »
Tulihan sieltä taas xubuntuun 12.04 uusi kernelin päivitys, joka on 3.2.0.44.53 tms. ellen väärin muista. Kuitenkin kaukana vielä 3.8-sarjasta, joten täytynee pitää tätä 3.2-sarjan  korjattuna versiona jo, kun ei mitään 3.8:aa vielä näytä??

Julkaistun jakelun ydintä ei päivitetä kesken kaiken uuteen versioon, vaan tarvittavat turvallisuuspäivitykset tuodaan vanhempaan versioon. Tämä on käytäntö Ubuntussa ja myös monessa muussa jakelussa.

Ubuntu 12.04 LTS:ään (eli myös tuohon Xubuntuusi) voi kuitenkin asentaa tuetun uudemman ytimen, mutta se ei ole mitenkään pakollista. Ajatus on, että myös uudemmat koneet, joiden ajurituki on tullut uudemman ytimen (tai esimerkiksi Mesa-ajurin) myötä, voivat käyttää LTS-versiota haluttaessa. Tällä hetkellä asennuslevyllä (12.04.2) on 3.5 version ydin, mutta myös 3.8 on saatavilla. Kannattaa kuitenkin huomata ettei AMD:n vanhemmille näytönohjaimille tarkoitettu Catalyst-ajuri tue päivitettyä X:ää.
https://wiki.ubuntu.com/Kernel/LTSEnablementStack
Automaattinen allekirjoitus:
Lisäisitkö [RATKAISTU] ketjun ensimmäisen viestin aiheeseen ongelman ratkettua, kiitos.