Kirjoittaja Aihe: Linuxin haavoittuvuus ? (Luettu 7877 kertaa)

oh2ir · « : 15.05.13 - klo:15.51 »

Tere

Nyt tarttis tarkempia kommentteja tuosta tiedotteesta

https://www.cert.fi/haavoittuvuudet/2013/haavoittuvuus-2013-071.html

Hajakenttä · « **Vastaus #1 :** 15.05.13 - klo:17.34 »

Niin... ja mitä oikein tarkoittaa tämä viestintäviraston neuvo?

Lainaus

Päivitystä odotellessa voi julkisen hyväksikäyttömenetelmän käyttöä rajoittaa seuraavasti:

sysctl -w kernel.perf_event_paranoid=2

Karvameduusa · « **Vastaus #2 :** 15.05.13 - klo:18.42 »

Haavoittuvuus toimii vain lokaalisti.

Lainaus

The perf_swevent_init function in kernel/events/core.c in the Linux kernel before 3.8.9 uses an incorrect integer data type, which allows local users to gain privileges via a crafted perf_event_open system call.

http://cxsecurity.com/cveshow/CVE-2013-2094
http://www.reddit.com/r/netsec/comments/1eb9iw/sdfucksheeporgs_semtexc_local_linux_root_exploit/c9ykrck

mrl586 · « **Vastaus #3 :** 15.05.13 - klo:19.19 »

Lainaus käyttäjältä: Karvameduusa - 15.05.13 - klo:18.42

Haavoittuvuus toimii vain lokaalisti.

Mutta Internetin välityksellä (via SSH) sitä voi hyödyntää etäältäkin.

Täältä voi katsella listaa, mitkä kernelit on jo paikattu.

Tomin · « **Vastaus #4 :** 15.05.13 - klo:19.33 »

Lainaus käyttäjältä: mrl586 - 15.05.13 - klo:19.19

Täältä voi katsella listaa, mitkä kernelit on jo paikattu.

Ei taida auttaa Ubuntun käyttäjiä.

Launchpadin bugiraportti, jossa ei ole paljon luettavaa: https://bugs.launchpad.net/ubuntu/+source/linux/+bug/1179943
Changelogit joista ongin seuraavat tiedot:
Ilmeisesti raringista (13.04) tuo löytyy versiosta 3.8.0-21.32:
https://launchpad.net/ubuntu/raring/+source/linux/+changelog
quantalista (12.10) versiosta 3.5.0-30.51:
https://launchpad.net/ubuntu/quantal/+source/linux/+changelog
precisestä (12.04 LTS) versiosta 3.2.0-43.68:
https://launchpad.net/ubuntu/precise/+source/linux/+changelog
ja ylempiä vastaavat paketit, jos käyttää päivitettyä laitetukea.

Mutta kaikki nuo versiot ovat vasta proposed-varastossa ja huolestuttavasti kiireisyys (oikea suomennos?, engl. urgency) on matala (low)...

Karvameduusa · « **Vastaus #5 :** 15.05.13 - klo:22.30 »

Lainaus käyttäjältä: mrl586 - 15.05.13 - klo:19.19

Mutta Internetin välityksellä (via SSH) sitä voi hyödyntää etäältäkin.

Voi toki vaatii ssh käyttäjätilin murtamisen tai joku käyttäjä sen tekee lokaalisesti.

oh2ir · « **Vastaus #6 :** 15.05.13 - klo:23.05 »

Kiitos, tässähän tuota vastausta jo tulikin ensialkuun. Olen sen verran huono Linuxin käyttäjä että en ole koskaan oikein päässyt sisälle tuohon komentorivioperointiin enkä muihinkaan hienouksiin, joten olen tyytynyt noihin graafisiin olemuksiin, joita olen erilaisia kokeillut ja jostain kumman syystä olen onnistunut asennuksissa niin hyvin että nyt on kahdessa läppärissä winkut ja linuxit sekaisin

Täältä olen lukenut paljon juttuja sekä saanut asiallisia vastauksia mistä suuri kiitos porukalle.

mrl586 · « **Vastaus #7 :** 16.05.13 - klo:07.21 »

Lainaus käyttäjältä: Tomin - 15.05.13 - klo:19.33

Mutta kaikki nuo versiot ovat vasta proposed-varastossa ja huolestuttavasti kiireisyys (oikea suomennos?, engl. urgency) on matala (low)...

Debianin puolella ollaan paljon nopeampia: siellä paikka löytyy jo Wheezyn kernelistä 3.2.41-2+deb7u2.

Koodia: [Valitse]

root@it:~# apt-cache policy linux-image-3.2.0-4-686-pae
linux-image-3.2.0-4-686-pae:
  Asennettu: 3.2.41-2+deb7u2
  Ehdokas:   3.2.41-2+deb7u2
  Versiotaulukko:
 *** 3.2.41-2+deb7u2 0
        500 http://security.debian.org/ wheezy/updates/main i386 Packages
        100 /var/lib/dpkg/status
     3.2.41-2 0
        500 http://ftp.it.debian.org/debian/ wheezy/main i386 Package

Pendeli · « **Vastaus #8 :** 16.05.13 - klo:09.29 »

Xubuntuun uusi kernel tänään 3.2.0.43.51

igor_2 · « **Vastaus #9 :** 16.05.13 - klo:10.40 »

Lainaus käyttäjältä: mrl586 - 16.05.13 - klo:07.21

Debianin puolella ollaan paljon nopeampia: siellä paikka löytyy jo Wheezyn kernelistä 3.2.41-2+deb7u2.

Mun Debian 6.0:aan päivitys tuli eilen. Saattoi olla jonossa jo aikaisemminkin, mutta päivitysagenttini pyörähtää vain 2 viikon välein.

oh2ir · « **Vastaus #10 :** 16.05.13 - klo:12.18 »

Tere

Onko kernel versio 3.8.0-21 uusin mahdollinen ?

Hajakenttä · « **Vastaus #11 :** 16.05.13 - klo:12.30 »

Lainaus käyttäjältä: Pendeli - 16.05.13 - klo:09.29

Xubuntuun uusi kernel tänään 3.2.0.43.51

Niinhän se tuli, mutta... uusikin kuuluu noihin haavoittuviin.

Viestintäviraston sivulta

Lainaus

HAAVOITTUVAT OHJELMISTOT:

Linux-ytimen versiot 2.6.37 – 3.8.9
Joissakin jakeluissa myös ytimen versio 2.6.32 on haavoittuva

Toisaalta... mitä väliä? Kun ei ole palvelin, eikä paikallisverkkoa, eikä epäluotettavia käyttäjiä. Mutta käsittääkseni ratkaisu puuttuu yhä.

oh2ir · « **Vastaus #12 :** 16.05.13 - klo:12.56 »

Nyt menee yli ymmärryksen minulta. Miten se käytännössä sitten toimii, tuleeko se normaalin nettisurffailun kautta vai tuleeko esim. sähköpostissa vai millä tavalla sinne kerneliin sitten päästään kopeloimaan. Sorry mutta minä olen ihan pihalla

SuperOscar · « **Vastaus #13 :** 16.05.13 - klo:13.23 »

Lainaus käyttäjältä: Hajakenttä - 16.05.13 - klo:12.30

Lainaus käyttäjältä: Pendeli - 16.05.13 - klo:09.29
Xubuntuun uusi kernel tänään 3.2.0.43.51

Niinhän se tuli, mutta... uusikin kuuluu noihin haavoittuviin.

Viestintäviraston sivulta
Lainaus
HAAVOITTUVAT OHJELMISTOT:

Linux-ytimen versiot 2.6.37 – 3.8.9
Joissakin jakeluissa myös ytimen versio 2.6.32 on haavoittuva

Ollaan nyt tarkkoina. Viestintäviraston ohje tarkoittaa, että tuolla versionumerovälillä haavoittuvuus ilmenee ELLEI sitä ole jo paikattu. *buntun uudesta ytimestä en tiedä, mutta ydin, jonka versionumero on välillä 2.6.37–3.8.9, voi toki olla myös jo paikattu.

lompolo · « **Vastaus #14 :** 16.05.13 - klo:13.47 »

Lainaus käyttäjältä: Hajakenttä - 15.05.13 - klo:17.34

Niin... ja mitä oikein tarkoittaa tämä viestintäviraston neuvo?

Lainaus
Päivitystä odotellessa voi julkisen hyväksikäyttömenetelmän käyttöä rajoittaa seuraavasti:

sysctl -w kernel.perf_event_paranoid=2

Komento muokkaa yhtä kernelin parametria ajon aikana. Muokkaus ei siis ole voimassa uudelleenkäynnistyksen jälkeen. Ubuntussa sudo antaa riittävät oikeudet muokkaamiseen, kuten allakin.

Koodia: [Valitse]

sudo sysctl kernel.perf_event_paranoidTämä taas tarkistaa parametrin arvon.

Tomin · « **Vastaus #15 :** 16.05.13 - klo:15.40 »

Lainaus käyttäjältä: oh2bne - 16.05.13 - klo:12.56

Nyt menee yli ymmärryksen minulta. Miten se käytännössä sitten toimii, tuleeko se normaalin nettisurffailun kautta vai tuleeko esim. sähköpostissa vai millä tavalla sinne kerneliin sitten päästään kopeloimaan. Sorry mutta minä olen ihan pihalla

Ei tule noin, jos ei sitten ole selaimessa tai sähköpostissa toista aukkoa, jonka avulla voi suorittaa omaa koodia. Sen sijaan, jos joku käyttäisi konettasi etäyhteyden kautta (vain jos olet sen erikseen asentanut, tuskin olet) tai pääsisi käsiksi koneeseesi paikallisesti tuota hyökkäystä voi käyttää. Tosin viimeksi mainitussa tapauksessa voi tehdä paljon muutenkin.

Näkyy paikkaus tulleen raringiin (13.04) sillä tänään päivittyi ydin ~~tuohon versioon, josta eilen mainitsin~~. Sen sijaan precisessä (12.04 LTS) tuota paikkaa ei vielä näy.

Muokkaus: Otappa noista nyt sitten selvää, versio on jo 3.8.0.21.37, pitänee etsiä muutoslokit.

Koodia: [Valitse]

$ apt-cache policy linux-image-generic
linux-image-generic:
  Asennettu: 3.8.0.21.37
  Ehdokas:   3.8.0.21.37
  Versiotaulukko:
 *** 3.8.0.21.37 0
        500 http://archive.ubuntu.com/ubuntu/ raring-updates/main amd64 Packages
        500 http://archive.ubuntu.com/ubuntu/ raring-security/main amd64 Packages
        100 /var/lib/dpkg/status
     3.8.0.19.35 0
        500 http://archive.ubuntu.com/ubuntu/ raring/main amd64 Packages

roikale · « **Vastaus #16 :** 20.05.13 - klo:18.38 »

Niin kauan kuin Linux-koneeseeni ei tule todistettavasti haittaohjelmaa ei tuollaiset uutiset meikäläistä kiinnosta. On minulla sentään ollut lähes 15 vuoden kokemus Windowsin "turvallisuudesta".

Pendeli · « **Vastaus #17 :** 24.05.13 - klo:18.26 »

Tulihan sieltä taas xubuntuun 12.04 uusi kernelin päivitys, joka on 3.2.0.44.53 tms. ellen väärin muista. Kuitenkin kaukana vielä 3.8-sarjasta, joten täytynee pitää tätä 3.2-sarjan korjattuna versiona jo, kun ei mitään 3.8:aa vielä näytä??

Tomin · « **Vastaus #18 :** 24.05.13 - klo:18.59 »

Lainaus käyttäjältä: Pendeli - 24.05.13 - klo:18.26

Tulihan sieltä taas xubuntuun 12.04 uusi kernelin päivitys, joka on 3.2.0.44.53 tms. ellen väärin muista. Kuitenkin kaukana vielä 3.8-sarjasta, joten täytynee pitää tätä 3.2-sarjan korjattuna versiona jo, kun ei mitään 3.8:aa vielä näytä??

Julkaistun jakelun ydintä ei päivitetä kesken kaiken uuteen versioon, vaan tarvittavat turvallisuuspäivitykset tuodaan vanhempaan versioon. Tämä on käytäntö Ubuntussa ja myös monessa muussa jakelussa.

Ubuntu 12.04 LTS:ään (eli myös tuohon Xubuntuusi) voi kuitenkin asentaa tuetun uudemman ytimen, mutta se ei ole mitenkään pakollista. Ajatus on, että myös uudemmat koneet, joiden ajurituki on tullut uudemman ytimen (tai esimerkiksi Mesa-ajurin) myötä, voivat käyttää LTS-versiota haluttaessa. Tällä hetkellä asennuslevyllä (12.04.2) on 3.5 version ydin, mutta myös 3.8 on saatavilla. Kannattaa kuitenkin huomata ettei AMD:n vanhemmille näytönohjaimille tarkoitettu Catalyst-ajuri tue päivitettyä X:ää.
https://wiki.ubuntu.com/Kernel/LTSEnablementStack

Ubuntu Suomen keskustelualueet

Uutiset:

Kirjoittaja Aihe: Linuxin haavoittuvuus ? (Luettu 7877 kertaa)