新西兰天维网社区

标题: Linux内核高危漏洞:一个命令可攻击所有Linux系统 [打印本页]

作者: ABECD 时间: 2009-8-24 11:24:15 标题: Linux内核高危漏洞:一个命令可攻击所有Linux系统

在微软本月月经日(8.11)的同一天，国外黑客taviso和julien公开了可以攻击所有新旧Linux系统的一个漏洞，包括但不限于RedHat,CentOS,Suse,Debian,Ubuntu,Slackware,Mandriva,Gentoo及其衍生系统。黑客只需要执行一个命令，就可以通过此漏洞获得root权限，即使开启了SELinux也于事无补。攻击这个漏洞到底有多简单，下面我们看图说话，有图有真相。

如上图所示，利用此漏洞极其简单，并且影响所有的Linux内核，baoz强烈建议系统管理员或安全人员参考下列临时修复方案，以防止Linux系统被攻击。

1、使用Grsecurity或者Pax内核安全补丁，并开启KERNEXEC防护功能。

2、升级到2.6.31-rc6或2.4.37.5以上的内核版本。

3、如果您使用的是RedHa tEnterprise Linux 4/5的系统或Centos4/5的系统，您可以通过下面的操作简单的操作防止被攻击。

在/etc/modprobe.conf文件中加入下列内容：

install pppox /bin/true
install bluetooth /bin/true
install appletalk /bin/true
install ipx /bin/true
install sctp /bin/true

很明显，第三个方案最简单也相对有效，对业务影响也最小，如果您对编译和安装Linux内核不熟悉，千万不要使用前两个方案，否则您的系统可能永远无法启动。
(转自internet)

作者: 一天 时间: 2009-8-24 13:58:30

多谢信息。

貌似前些天2.6.30也有个和GCC优化有关的NULL Pointer 安全漏洞，这个NULL Pointer，用C的大忌啊！

不管怎么说，我目前有三台机器用的Linux，所以马上查了一下：Debian Lenny，补丁八月14号推出，同一天Gentoo Unstagle 补丁推出，Ubuntu 9.04补丁晚了两天，不过也早就推出了。Linus本人也于13号推出了Linux的内核的Git补丁，所以其他Linux发行版本也应该早有补丁推出了，保证更新就行了。这个速度，实在是没什么好抱怨的了。。。

感兴趣的话，还有taviso和julien本人13号发布的文章和Email，他们都是发布漏洞的同时也发布了补丁，所以也没什么好担心的。
http://blog.cr0.org/2009/08/linu ... ference-due-to.html
http://archives.neohapsis.com/ar ... e/2009-08/0174.html

作者: newmike 时间: 2009-8-27 20:27:05

在RHEL 5.3下试了下，没问题呀：

[xxxxx@xxxxx ~]$ ./w*
bash: ./w*: No such file or directory
[xxxxx@xxxxx ~]$ uname -rvs
Linux 2.6.18-128.1.14.el5 #1 SMP Mon Jun 1 15:52:36 EDT 2009

是我的版本太高还是太低了？！

作者: ABECD 时间: 2009-8-27 22:33:26

LS的内核OK.

作者: 一天 时间: 2009-8-28 15:07:08 标题: 回复 3# newmike 的帖子

这个内核我不知道。
不过这个漏洞要执行出问题的脚本程序才出问题（从普通用户获得管理员权限），出错提示是说你没有那个脚本文件。

作者: newmike 时间: 2009-8-30 15:09:18

谢谢一天和ABECD的回复，我想我的内核版本还是受这个漏洞影响的：
--------------------
Affected Software
------------------------

All Linux 2.4/2.6 versions since May 2001 are believed to be affected:

- Linux 2.4, from 2.4.4 up to and including 2.4.37.4
- Linux 2.6, from 2.6.0 up to and including 2.6.30.4

但是要利用这个漏洞需要call特定的API, 等有空时再研究一下。

作者: 一天 时间: 2009-9-1 15:38:02 标题: 回复 6# newmike 的帖子

刚刚查了一下，楼上的内核版本好像还是有漏洞。个人用机其实无所谓，我的理解是这个是本地攻击，脚本文件必须到你机器运行。不过你用的红帽的话，还是安全第一吧。

见这个链接：http://rhn.redhat.com/errata/RHSA-2009-1222.html
内核要升级到2.6.18.128.7.。。。才安全。

欢迎光临新西兰天维网社区 (http://bbs.skykiwi.com/)