[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [linux_var] Kernel bacato, con tanto di PoC

To: talking@ml.linuxvar.it
Subject: Re: [linux_var] Kernel bacato, con tanto di PoC
From: nextime@nexlab.it
Date: Tue, 12 Feb 2008 11:58:09 +0100
In-reply-to: <47B05511.1050301@linuxvar.it>
List-archive: <http://ml.linuxvar.it/wws/arc/talking>
List-help: <mailto:sympa@ml.linuxvar.it?subject=help>
List-id: <talking.ml.linuxvar.it>
List-owner: <mailto:talking-request@ml.linuxvar.it>
List-post: <mailto:talking@ml.linuxvar.it>
List-subscribe: <mailto:sympa@ml.linuxvar.it?subject=subscribe%20talking>
List-unsubscribe: <mailto:sympa@ml.linuxvar.it?subject=unsubscribe%20talking>
References: <47AFA143.6070805@linuxvar.it> <47AFA337.4030305@linuxvar.it> <200802111033.08888.luigi.b@aliceposta.it> <47B05511.1050301@linuxvar.it>
Reply-to: talking@ml.linuxvar.it

On Mon, Feb 11, 2008 at 03:00:49PM +0100, HelLViS69 wrote:
> Wolf L.A.B. wrote:
>> E' uscito il 2.6.24.2 con la patch:
>> http://www.kernel.org/pub/linux/kernel/v2.6/ChangeLog-2.6.24.2
>
> L'exploit ? pubblico dall'8 febbraio. E' stato in the wild nei mesi
> scorsi, e purtroppo ? cosa nota. Il classico "sappiamo che ? buggato ma
> non sappiamo dove, e come fixare."

Io l'8 sera lo dicevo su IRC :D (e c'erano gia' anche gli exp pronti,
non solo il poc ).

> In realt? funziona con tutti i kernel serie 2.6 fino a 2.6.24.1, tutti i
> 2.5 (ma tanto chi se li caga?) e con i 2.4 fino a 2.4.34, che abbiano
> attivo il supporto a vmsplice().

Ehmm, no. la syscall vmsplice() e' stata introdotta solo da 2.6.17. Aka,
prima di quel kernel non c'era del tutto, e quindi non c'e' manco la
vuln ( salvo ovviamente patch esterne che aggiungevano la syscall
backportata dal kernel >= 2.6.17? ).

> E qui esce il bello dell'opensource, l'8 ? reso pubblico e il 10 notte ? 
> fixato

In effetti hanno tentato di fixarlo gia' l'8 notte stessa, ( rilasciando
il 2.6.24.1 ) salvo accorgersi dopo circa 20 minuti dal rilascio che in
realta' la patch non era sufficiente. Poi da li ci hanno messo quasi 2
giorni per sistemare ( pochissimo in termini di tempo confronto ad altri
os piu' diffusi, non proprio pochissimo confronto ai soliti tempi di
patch del kernel ).

Comunque, dall'8 stesso notte, grazie a D'itri che si e' sbattuto
immediatamente, c'era subito disponibile un modulino del kernel che
brutalmente e semplicemente rimuove la vmsplice(), che tanto e' una
syscall che al momento non e' usata da NULLA e NESSUNO, permettendo un
hot-fix al volo senza dover upgradare/ricompilare.

Se qualcuno dovesse averne bisogno:
http://www.linux.it/~md/software/novmsplice.tgz

-- 

Franco (nextime) Lanza
Busto Arsizio - Italy
SIP://casa@casa.nexlab.it

NO TCPA: http://www.no1984.org
you can download my public key at:
http://danex.nexlab.it/nextime.asc || Key Servers
Key ID = D6132D50
Key fingerprint = 66ED 5211 9D59 DA53 1DF7  4189 DFED F580 D613 2D50
-----------------------------------
echo 16i[q]sa[ln0=aln100%Pln100/snlbx]sbA0D212153574F444E49572045535520454D20454B414D204F54204847554F4E452059415020544F4E4E4143205345544147204C4C4942snlbxq | dc
-----------------------------------

Attachment: signature.asc
Description: PGP signature

Follow-Ups:
- Re: [linux_var] Kernel bacato, con tanto di PoC
  - From: HelLViS69 <hellvis69@linuxvar.it>

References:
- [linux_var] Kernel bacato, con tanto di PoC
  - From: HelLViS69 <hellvis69@linuxvar.it>
- Re: [linux_var] Kernel bacato, con tanto di PoC
  - From: HelLViS69 <hellvis69@linuxvar.it>
- Re: [linux_var] Kernel bacato, con tanto di PoC
  - From: "Wolf L.A.B." <luigi.b@aliceposta.it>
- Re: [linux_var] Kernel bacato, con tanto di PoC
  - From: HelLViS69 <hellvis69@linuxvar.it>

Prev by Date: Re: [linux_var] Mezzora sulla programmazione
Next by Date: Re: [linux_var] Mezzora sulla programmazione
Previous by thread: Re: [linux_var] Kernel bacato, con tanto di PoC
Next by thread: Re: [linux_var] Kernel bacato, con tanto di PoC
Index(es):
- Date
- Thread