Alerte de sécurité dans le noyau Linux

Posté par  . Modéré par rootix.
Étiquettes :
0
20
avr.
2004
Noyau
Une vulnérabilité critique a été identifiée dans le noyau Linux, elle pourrait être exploitée par un attaquant local afin d'obtenir les privilèges "root". Ce problème de type "integer overflow" résulte d'une erreur présente au niveau de la fonction ip_setsockopt() combinée à l'option MCAST_MSFILTER (fichier net/ipv4/ip_sockglue.c) qui ne calcule pas correctement l'espace mémoire noyau (IP_MSFILTER_SIZE), ce qui pourrait permettre à un utilisateur local l'augmentation de ses privilèges.

NdM : a été proposé par jaune également.
NdM2 : les noyaux 2.4.26 et 2.6.4, déjà disponibles, ne sont pas concernés.

Aller plus loin

  • # Re: Alerte de sécurité dans le noyau Linux

    Posté par  . Évalué à 10.

    * Versions Vulnérables *

    Linux kernel version 2.4.22 à 2.4.25
    Linux kernel version 2.6.1 à 2.6.3

    * Solution *

    Linux kernel version 2.4.26
    Linux kernel version 2.6.4

  • # Re: Alerte de sécurité dans le noyau Linux

    Posté par  . Évalué à 3.

    Une question pour ceux qui savent.
    Existe-t-il des patchs de sécurités pour des versions de noyaux antérieurs (2.4.22 dans mon cas) ? Je ne suis pas motivé par une reconfiguration du noyau et un changement en version supèrieure, et je pense que je ne suis pas le seul dans ce cas.

    • [^] # Re: Alerte de sécurité dans le noyau Linux

      Posté par  . Évalué à 3.

      Passer de 2.4.22 au 2.4.26, ne devrait pas etre une très grosse difficulté.
      Avec un make oldconfig, tout devrait fonctionner comme sur des roulettes.

      • [^] # Re: Alerte de sécurité dans le noyau Linux

        Posté par  . Évalué à 3.

        Ma démarche est un peu particulière, je peux le reconnaitre. En gros, pas mal de dépendances sur le noyau comme le module du driver eagle-usb, alsa à recompiler, etc, etc... Enfin, c'est juste de la curiosité.

        • [^] # Re: Alerte de sécurité dans le noyau Linux

          Posté par  (site web personnel) . Évalué à 1.

          Ce qui donne chez moi :

          # cd /usr/local/slackware
          # kernel/kernel.SlackBuild
          (reconstruction du paquet)
          # alsa/alsa.SlackBuild
          (reconstruction du paquet)
          # mach64-dri/mach64-dri.SlackBuild
          (reconstruction du paquet)
          # rt2400/rt2400.SlackBuild
          (reconstruction du paquet)

          Suivi bien sûr des mises à jours de ces paquets fraîchements recréés. Automatiser les taches fréquemment effectuées, y'a que ça de vrai.

      • [^] # Commentaire supprimé

        Posté par  . Évalué à 1.

        Ce commentaire a été supprimé par l’équipe de modération.

    • [^] # Re: Alerte de sécurité dans le noyau Linux

      Posté par  . Évalué à 4.

      Existe-t-il des patchs de sécurités pour des versions de noyaux antérieurs (2.4.22 dans mon cas) ?

      Oui bien sûr, c'est le cas des sources dans debian, qui sont patchées contre les vulnérabilitées connues.
      Exemple le 2.4.18 récemment parché (le 14 avril dernier)
      http://www.debian.org/security/2004/dsa-479(...)

      • [^] # Re: Alerte de sécurité dans le noyau Linux

        Posté par  . Évalué à 1.

        Ca, je le sais bien, et j'imagine qu'ils doivent être disponibles pour tous, mais quelle est la partie sécurité et la partie fonctionnalité ?
        Je sais que des backports du 2.6 existent dans les versions 2.4 de l'unstable, et ce n'est pas nécessaire, voire supperflu dans mon cas (pas fréquent, je le reconnais).

        • [^] # Re: Alerte de sécurité dans le noyau Linux

          Posté par  . Évalué à 3.

          Les backports du 2.6 concernent les éléments IPSec. Ils n'ont aucune incidence si tu n'utilises pas ces options. Par contre, Freeswan étant arrêté, c'est très pratique si tu veux faire des VPN à la mode BSD sous Linux (ou avec Openswan).

    • [^] # Re: Alerte de sécurité dans le noyau Linux

      Posté par  . Évalué à 2.

      Je ne suis pas motivé par une reconfiguration du noyau

      Le fichier de configuration est réutilisable (pas besoin de refaire un make menuconfig et tout recocher).

      hints :

      echo "[-] Building a kernel..."
      echo " - Cleaning..."
      rm -fr linux-$1
      echo " - Uncompressing..."
      tar xfj linux-$1.tar.bz2
      echo " - Copying config file..."
      cd linux-$1
      cp ../$2 .config
      echo " - Compilation..."
      fakeroot make-kpkg --revision=$3 kernel_image
      kdialog --msgbox "Compilation terminée"


      et un changement en version supèrieur

      Ce qui est quand même plutôt étrange, tant qu'a recompiler un kernel, autant recompiler un kernel supérieur dans la même branche, l'épisode Debian a montré qu'il existe toujours potentiellement des failles bouchés non découverte...

      • [^] # Re: Alerte de sécurité dans le noyau Linux

        Posté par  . Évalué à 1.

        Heu, pas mal de raisons pas super intéressantes vraiment. Je vais pas trop m'éterniser avec celles-là, en gros compatibilié avec le reste. Mais je vois bien l'idée générale...

      • [^] # Re: Alerte de sécurité dans le noyau Linux

        Posté par  (site web personnel) . Évalué à 2.

        Et ne pas toucher à quelque chose qui fonctionne très bien est aussi une politique envisageable: c'est d'ailleurs, celle des debian stables.
        En outre, debian ne se cantonne pas à patcher uniquement les noyaux de la stable mais aussi ceux de l'unstable mais pas nécessairement tous: surveiller les changelog.Debian.gz.

    • [^] # Re: Alerte de sécurité dans le noyau Linux

      Posté par  . Évalué à 1.

      This code has been introduced with the 2.4.22/2.6.1 kernel releases.

      Donc si tu as une version antérieur au 2.4.22 tu ne devrais pas être vulnérable (pour cette faille).

  • # Re: Alerte de sécurité dans le noyau Linux

    Posté par  . Évalué à 2.

    Quelqu'un peut m'expliquer ce passage dans le troisieme lien :
    5. Credits:

    Paul Starzetz discovered the vulnerability over half a year ago. Wojciech Purczynski performed further research and developed exploit code.

    J'ai du mal a comprendre.

    • [^] # Re: Alerte de sécurité dans le noyau Linux

      Posté par  (site web personnel) . Évalué à 5.

      Bein ca dit que Paul Starzetz a découvert cette faille de sécurité il y a plus de 6 mois. (de manière théorique avec le code)

      Wojciech Purczynski a approfondi le truc et a développé le code qui permet de mettre la faille en évidence (il a montré que la faille théorique était bien relle en la mettant en pratique)

      • [^] # Re: Alerte de sécurité dans le noyau Linux

        Posté par  . Évalué à 3.

        Merci, c'est bien ce que j'avais compris ;)

        Ce qui me trouble c'est de savoir que cette faille a ete decouvert il y a plus de 6 mois. Apparement, il fallait prouver qu'elle puisse etre exploitable pour qu'elle soit reellement un faille !?

        Bizarre ou quelque chose m'echappe.
        Il y en a combien comme cela datant de plusieurs mois ?

        • [^] # Re: Alerte de sécurité dans le noyau Linux

          Posté par  . Évalué à 4.

          Bin c'est simple, c'est pas par ce qu'une faille est trouvée qu'elle est rendue publique. Celui qui l'a trouvé choisi quand la divulguer.

          Exemple il est connu (ou réputé connu) qu'il y a des failles dans plusieurs patchs de sécu. Spender a l'air d'en avoir trouvé encore une il y a 15 jours dans RSBAC mais il ne publie d'adviso que quand ca l'arrange ou quand l'auteur a trouvé la faille et patch son erreur.

          Quand des failles noyaux sont trouvées par des black hat ca met un certain temps avant d'etre publique en général...

        • [^] # Re: Alerte de sécurité dans le noyau Linux

          Posté par  . Évalué à 1.

          AMA c'est qu'il y a du taf entre la découverte d'une faille potentielle ("tiens, quand je regarde ce bout de code, s'il était possible qu'on y arrive dans telle et telle condition, ben ça serait dangereux") et la réalité de la faille ("ben oui, sauf qu'après moultes analyses de plein de code ailleurs, on peut conclure que non, on ne peut pas arriver à ce bout de code dans telle et telle condition"). [suis-je bien clair ? :)]

          Et cette analyse est nécessaire non seulement pour prouver qu'il y a risque, mais aussi pour trouver la parade correcte plutôt qu'une verrue infâme qui va casser deux fonctionnalités nécessaires et ouvrir trois vulnérabilité pour en fermer une.

          Dans les cas bien tordus, ça ne m'étonne pas qu'il faille :) des mois pour une bonne analyse / preuve / solution.

  • # Re: Alerte de sécurité dans le noyau Linux

    Posté par  . Évalué à 2.

    Est-ce-que les noyaux SELinux (entre autres... Je me pose la question pour tous les autres noyaux spéciaux orientés sécurité) sont vulnérables ?

    • [^] # Re: Alerte de sécurité dans le noyau Linux

      Posté par  . Évalué à -2.

      SeLinux est une surcouche du système de sécurité de Linux. Si tu n'as pas configuré SeLinux sur ta bécane, ton noyau SeLinux se comportera comme un Linux "de base".

      Par contre avec SeLinux (bien configuré et pas seulement activé au niveau noyau) tu peux rendre le compte root inoffensif. Ce qui rend l'exploit moins "intéressant".

      • [^] # Re: Alerte de sécurité dans le noyau Linux

        Posté par  . Évalué à 6.

        N'importe quoi...

        La faille est au niveau du noyau, pas en userland. Elle te permet donc d'exécuter n'importe quel code : le vilain haxor a le contrôle total de ton CPU, pas seulement un "compte root". SELinux ne peut rien faire.

  • # Re: Alerte de sécurité dans le noyau Linux

    Posté par  . Évalué à 6.

    Au fait, de telles news sont-elles encore compatibles avec notre LEN bienveillante ?

  • # Re: Alerte de sécurité dans le noyau Linux

    Posté par  . Évalué à 3.

    http://www.uniras.gov.uk/vuls/2004/236929/index.htm(...)

    Ben c'est la fête ce soir !

  • # encore un fud...?

    Posté par  . Évalué à 0.

    Il parait que j'ai raté des échanges houleux avec la société british MI2G qui aurait "prouvé" en janvier que linux est l'OS le plus percé avec 16 000 attaques réussies contre 2 000 pour Win32 ?

    • [^] # Re: encore un fud...?

      Posté par  . Évalué à 3.

      Ce qu'il faut savoir c'est que:
      1- LEs failles sous GNU/linux, c'est une faille par distro. Exemple, la faille cité ci dessus compte pour au moins 5 failles (1 sous debian + 1 sous mdk + 1 sous rh + 1 sous fedora + 1 sous suse=5)
      2- Quoiqu'il en soit, les BSD demeurent les OS les plus sécurisées, alors denigrer le libre sur les questions de sécurité, c'est bien du FUD .

  • # Re: Alerte de sécurité dans le noyau Linux

    Posté par  . Évalué à 1.

    Du fait de cette faille, j'en ai profité pour installer un noyau 2.4.25-tmb de mandrake, mais que signifie tmb? Est un noyau experimental avec des trucs de mandrake?

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.