Linux內核高危漏洞，一個命令可以攻擊所有Linux系統

linux_Ultra

黑客再爆Linux內核高危漏洞，一個命令可以攻擊所有Linux系統2009-08-15 at 10:44 下午  baoz                                                        在微軟本月月經日(8.11)的同一天，國外黑客taviso和julien公開了可以攻擊所有新舊Linux系統的一個漏洞，包括但不限于RedHat,CentOS,Suse,Debian,Ubuntu,Slackware,Mandriva,Gentoo及其衍生系統。黑客只需要執行一個命令，就可以通過此漏洞獲得root權限，即使開啟了SELinux也于事無補。攻擊這個漏洞到底有多簡單，下面我們看圖說話，有圖有真相。


CHANGELOGS:
2009/08/16 [email=chenjun@xfocus]chenjun@xfocus[/email]提供了debian/ubuntu系統的修復方式。
2009/08/16 根據網友要求添加漏洞詳情和exploit下載地址。
2009/08/16 改進修復方式，避免RHEL下的無效修復。感謝小阮MM反饋并提供服務器協助定位解決。
2009/08/16 添加攻擊經驗記錄。感謝cnbird分享經驗。

如上圖所示，利用此漏洞極其簡單，并且影響所有的Linux內核，baoz強烈建議系統管理員或安全人員參考下列臨時修復方案，以防止Linux系統被攻擊 。
1、使用Grsecurity或者Pax內核安全補丁，并開啟KERNEXEC防護功能。
2、升級到2.6.31-rc6或2.4.37.5以上的內核版本。
3、如果您使用的是RedHa tEnterprise Linux 4/5的系統或Centos4/5的系統，您可以通過下面的操作簡單的操作防止被攻擊。
在/etc/modprobe.conf文件中加入下列內容：
install pppox /bin/true
install bluetooth /bin/true
install appletalk /bin/true
install ipx /bin/true
install sctp /bin/true
執行/sbin/lsmod | grep -e ppp -e blue -e app -e ipx -e sct，如果沒有輸出，你不需要重啟，如果有輸出，你需要重啟系統，才可以對此攻擊免疫。
下圖是免疫前后的效果對比圖：


4、如果您使用的是Debian或Ubuntu系統，您可以通過下面的操作防止被攻擊（感謝chenjun提供）
cat > /etc/modprobe.d/mitigate-2692.conf << EOM
install ppp_generic /bin/true
install pppoe /bin/true
install pppox /bin/true
install slhc /bin/true
install bluetooth /bin/true
install ipv6 /bin/true
install irda /bin/true
install ax25 /bin/true
install x25 /bin/true
install ipx /bin/true
install appletalk /bin/true
EOM
/etc/init.d/bluez-utils stop
很明顯，第三、四個方案最簡單也相對有效，對業務影響也最小，如果您對編譯和安裝Linux內核不熟悉，千萬不要使用前兩個方案，否則您的系統可能永遠無法啟動。
如果你希望了解漏洞詳情，請訪問下列URL：
http://archives.neohapsis.com/archives/fulldisclosure/2009-08/0174.html
http://blog.cr0.org/2009/08/linux-null-pointer-dereference-due-to.html
https://bugzilla.redhat.com/show_bug.cgi?id=516949
如果你希望親手驗證此漏洞，你可以下載下列兩個代碼包測試（有可能導致系統不穩定，當機等現象，后果自負）：
http://www.securityfocus.com/data/vulnerabilities/exploits/wunderbar_emporium-3.tgz
http://www.securityfocus.com/data/vulnerabilities/exploits/36038-4.tgz
攻擊經驗記錄：
1、如果selinux沒開，會報缺少Pulseaudio文件，實際上根本不需要他，只是selinux沒開導致的，用另外一個exp攻擊同樣不成功。從這里可以總結出來，如果你沒開selinux，在現有的exploit下，不需要做任何操作，也不會受到攻擊。當然，這個是我個人經驗總結，并且只在RHEL5上驗證過，請各位自己評估風險。順帶說一下，SElinux這東西，默認是開啟的，如果你沒關閉過他。根據我的猜測，可能是exp在bypassselinux那段代碼里出了點問題。所以說改/etc/selinux/config文件，禁用selinux，也可以在一定程度上防范公開的exp。
[xiaoruan@localhost wunderbar_emporium]$ ./wunderbar_emporium.sh
[+] Personality set to: PER_SVR4
Pulseaudio does not exist!
[xiaoruan@localhost run]$ sh run.sh
padlina z lublina!
mprotect: Cannot allocate memory
2、回連的shell溢出雖然可以成功，但uid不是0，解決辦法是用一個帶pty的shell。這個經驗由cnbird提供。
Linux在微軟的月經日爆如此嚴重的漏洞，挺值得紀念的。如果您希望了解本漏洞更多的內幕、八卦和細節，請訪問http://baoz.net/linux-sockops-wrap-proto-ops-local-root-exploit/

sinanjj

經測試，debian lenny 確實成功。。。。。

看來得看下源碼了。。。

wsjc1999

學習學習。

alpha321

路過看看.

rockrush

截圖不足以說明已獲得root權限。

8051

好東西！
為了下載個東西，被迫回復。唉。。。。。。

風中飛絮

試試看

fymbl

了解。

lising

學習一下