CVE-2010-3081 - quanti di voi hanno formattato i server usati per il webhosting?

[EvolutionCrazy]

Full Disclosure: Ac1db1tch3z vs x86_64 Linux Kernel

La portata della cosa sembra MOLTO ampia... e le macchine compromesse possono essere veramente tante...

https://access.redhat.com/kb/docs/DOC-40265
0004518: CVE-2010-3081 - CentOS Bug Tracker

[andrea.paiola]

riassumendo, è un bug che permette una scalata di privilegi?

[EvolutionCrazy]

ti fa diventare root all'istante si... coinvolge solo gli OS 64bit

il buco esiste dal 2008 ... ed è stato portato persino nei kernel rhel/centos...

non sono coinvolti rhel 4 ed rhe mrg

mi vien da pensare per esempio in che stato possono essere quei server basati su centos 64bit che permettono exec() / system() tanto per far esempi banali... alla portata di tutti e possibili su famosi (e grossi) host....

[cxcs]

Il buco esisteva già prima ma era stato chiuso.Un'errore dei programmatori ha escluso la patch dalle successive release del kernel.Per quanto riguarda le principali distro,la patch è già uscita,tranne su RH.Per CentOS è disponibile un kernel patchato in testing che sto utilizzando per tamponare.

[EvolutionCrazy]

quello che chiedevo è appunto se c'e' gente che, pur essendo consapevole di avere con alta probabilità il proprio sistema compromesso (dal 2008 ad oggi), si limita semplicemente ad aggiornare il kernel convinta di non avere rootkit/backdoor o chissà cos'altro (e chissà da quanto tempo)

[Nessunowin32]

Per Centos è uscito il kernel 2.6.18-194.11.4.el5 che risolve questo bug,

[EvolutionCrazy]

la cosa che mi preoccupa è appunto il fatto che la maggior parte degli interventi che si leggono in giro sono del tipo:

è uscito l'aggiornamento, uscirà l'aggiornamento, io uso ksplice etc etc etc...

spero pero' tutti siano consci del fatto che una macchina rooted anche col kernel nuovo ma con un backdoor che gira comunque per il sistema resta sempre rooted...

[Nessunowin32]

E già finchè non si va a rimuoverlo anche se fai update su update rimarrà sempre li

[nginx]

Per formattare il server deve essere pesantemente compromesso, altrimenti qualche backdoor si elimina a mano

[EvolutionCrazy]

tu vedendo un server sei in grado di dire che non ci sono backdoor? io no

a meno di controllare uno ad uno l'md5 di qualsiasi cosa venga mandata in esecuzione

[Derevko]

quello che chiedevo è appunto se c'e' gente che, pur essendo consapevole di avere con alta probabilità il proprio sistema compromesso (dal 2008 ad oggi), si limita semplicemente ad aggiornare il kernel convinta di non avere rootkit/backdoor o chissà cos'altro (e chissà da quanto tempo)

Tu parti dal presupposto che dal 29 Apr 2008 (data del commit in upstream) c'è gente che ha usato quella vulnerabilità. Non è così (per fortuna).

[Shazan]

Questo link potrebbe essere utile a molti (spero):

https://www.ksplice.com/uptrack/cve-2010-3081.ssi.xhtml

[xAnder]

Derevko, come fai a sapere quante volte è stata usata quella vulnerabilità?

[Derevko]

Derevko, come fai a sapere quante volte è stata usata quella vulnerabilità?

Dove ho scritto che so quante volte è stata usata quella vulnerabilità?

[xAnder]

Beh hai scritto che dal 29 Aprile 2008 non c'è gente che ha usato quella vulnerabilità.