Faille dans le noyau 2.6.31 : Brad remet le couvert

Posté par Florent Zara (site web personnel, Mastodon) le 19 septembre 2009 à 14:39. Modéré par Bruno Michel.

Étiquettes :

sept.

2009

Brad Spengler a décidé de faire parler de lui cette année :-) Il a écrit le 16 septembre dernier un exploit pour le noyau 2.6.31 tout chaud, à peine sorti du four (le 9 septembre). Il a d'abord posté des vidéos sur Youtube puis, le 18 septembre, le code de son exploit.

La faille se situe dans perf_counter, fonctionnalité introduite dans Linux 2.6.31. Elle n'impacte donc que cette version. La faille a été corrigée le 15 septembre (perf_counter: Fix buffer overflow in perf_copy_attr()), la veille de la première vidéo.

Malgré les corrections apportées à SELinux (ex: Security/SELinux: seperate lsm specific mmap_min_addr), cet exploit arrive à contourner SELinux en utilisant, encore une fois, le mode unconfined_t. Ce mode est utilisé pour les applications ne pouvant pas être confinées dans SELinux, comme par exemple WINE. Dernières histoires de Brad :

DLFP : La fin de Grsecurity ? (6 janvier 2009)
DLFP : Exploit local dans le noyau Linux 2.6.30 (18 juillet 2009)
DLFP : Une interview de Brad Spengler (24 juillet 2009)
Journal : Encore un trou de sécurité, encore Brad qui s'amuse... (14 août 2009)

Sources : hup.hu, linux-magazine.com, googez.com.

Aller plus loin

Journal à l'origine de la dépêche (5 clics)
Linux 2.6.31 perf_counter 0day Local Root Exploit (12 clics)
Linux 2.6.31 perf_counter x64 Local Root Exploit (6 clics)
enlightenment.tgz : exploit ainsi qu'une boite à outils pour faciliter l'écriture d'exploits fiables (9 clics)
CVE-2009-3234 : La faille perf_counter (3 clics)

# ...

Posté par M le 19 septembre 2009 à 20:44. Évalué à 5.

Il est a noter que cet exploit comme tout les autres (de Brad) font exécuter du code en kernel mode à l'adresse 0 [1].
Or depuis les premiers exploits pas mal de choses ont été fait :
- les pb de pulseaudio ont été corrigés [2]
- SELinux a été fixé en partie|3]

Du coup l'exploit devrait marcher sur beaucoup moins de système que le premier.

[1] c'est encore le cas ici, puisque le buffer overflow est forcement fait avec des 0 (le code returne une erreur sinon).

[2] http://blog.cr0.org/2009/06/bypassing-linux-null-pointer.htm(...)
[3] http://blog.namei.org/2009/07/18/a-brief-note-on-the-2630-ke(...)
- [^] # Re: ...
  
  Posté par med le 20 septembre 2009 à 03:05. Évalué à 10.
  
  SELinux a été fixé en partie|3]
  
  Il a été fixé avec un clou ou plutot avec de la colle ? Autant il y a des anglicismes qui passent autant celui-là me file des boutons.
  - [^] # Re: ...
    
    Posté par mosfet le 20 septembre 2009 à 13:29. Évalué à 1.
    
    Moi ca ne me dérange pas et ca montre justement que le français est une langue riche car quand je lis "fixé" j'imagine un cafard accroché sur le mur des trophées et qui viendra plus ramper entre les tubes à vides pour faire planter un programme.
    - [^] # Re: ...
      
      Posté par BAud (site web personnel) le 20 septembre 2009 à 13:56. Évalué à 6.
      
      Il est cramé ton cafard
      sans doute à côté du chat de Schrödinger, mort dans sa boîte depuis que personne ne lui a donné à grailler.
      - [^] # Re: ...
        
        Posté par PegaseYa le 21 septembre 2009 à 11:21. Évalué à 3.
        
        t'en sais quoi, t'as ouvert la boite ?
        
        si oui, c'est donc toi qui l'as tué !!
        
        :D
        
        [^] # Re: ...
        
        Posté par Nopenope le 23 septembre 2009 à 22:52. Évalué à 3.
        
        Et si la boite était…transparente? Personne n'y a pensé?
# selinux et selinux

Posté par fcartegnie le 19 septembre 2009 à 21:25. Évalué à 6.

SELinux en utilisant, encore une fois, le mode unconfined_t

On parle donc du mode 'targeted', pas du 'strict'.
En mode strict pas de unconfined_t.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.