Auteur Sujet: Dirty COW (CVE-2016-5195) - Plus importante faille Linux jamais découverte  (Lu 16495 fois)

0 Membres et 1 Invité sur ce sujet

BadMax

  • Client Free adsl
  • Expert
  • *
  • Messages: 3 481
  • Malissard (26)
Celle-là, elle va faire mal.

http://arstechnica.com/security/2016/10/most-serious-linux-privilege-escalation-bug-ever-is-under-active-exploit/

    Any user can become root in < 5 seconds in my testing, very reliably. Scary stuff.

    The vulnerability is easiest exploited with local access to a system such as shell accounts. Less trivially, any web server/application vulnerability which allows the attacker to upload a file to the impacted system and execute it also works.

    The particular exploit which was uploaded to my system was compiled with GCC 4.8.5 released 20150623, though this should not imply that the vulnerability was not available earlier than that date given its longevity. As to who is being targeted, anyone running Linux on a web facing server is vulnerable.

    For the past few years, I have been capturing all inbound traffic to my webservers for forensic analysis. This practice has proved invaluable on numerous occasions, and I would recommend it to all admins. In this case, I was able to extract the uploaded binary from those captures to analyze its behavior, and escalate to the appropriate Linux kernel maintainers.

BadMax

  • Client Free adsl
  • Expert
  • *
  • Messages: 3 481
  • Malissard (26)

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 076
  • Paris (75)
ALERTE - Plus importante faille Linux jamais découverte
« Réponse #2 le: 21 octobre 2016 à 14:35:27 »
m'enfin la 'surface d'attaque' est quand meme limitée.

Anonyme

  • Invité
ALERTE - Plus importante faille Linux jamais découverte
« Réponse #3 le: 21 octobre 2016 à 15:11:00 »
Celle-là, elle va faire mal.

http://arstechnica.com/security/2016/10/most-serious-linux-privilege-escalation-bug-ever-is-under-active-exploit/

    Any user can become root in < 5 seconds in my testing, very reliably. Scary stuff.

    The vulnerability is easiest exploited with local access to a system such as shell accounts. Less trivially, any web server/application vulnerability which allows the attacker to upload a file to the impacted system and execute it also works.

    The particular exploit which was uploaded to my system was compiled with GCC 4.8.5 released 20150623, though this should not imply that the vulnerability was not available earlier than that date given its longevity. As to who is being targeted, anyone running Linux on a web facing server is vulnerable.

    For the past few years, I have been capturing all inbound traffic to my webservers for forensic analysis. This practice has proved invaluable on numerous occasions, and I would recommend it to all admins. In this case, I was able to extract the uploaded binary from those captures to analyze its behavior, and escalate to the appropriate Linux kernel maintainers.

C'est un peu exagéré,dans le code :
int f=open("/proc/self/mem",O_RDWR);

Il faut déjà pouvoir y accéder.

BadMax

  • Client Free adsl
  • Expert
  • *
  • Messages: 3 481
  • Malissard (26)
ALERTE - Plus importante faille Linux jamais découverte
« Réponse #4 le: 21 octobre 2016 à 16:10:34 »
En environnement chrooté, tu ne devrais pas pouvoir.

Mais pour tout le reste, ça passe. J'ai testé la faille, elle marche partout sauf sur ma Slack en kern 2.6.37.6

vivien

  • Administrateur
  • *
  • Messages: 46 994
    • Twitter LaFibre.info
ALERTE - Plus importante faille Linux jamais découverte
« Réponse #5 le: 21 octobre 2016 à 19:47:42 »
IL y a un site internet dédié à la faille : http://dirtycow.ninja/

A noter que les PC sous Ubuntu qui téléchargent automatiquement les mises-à-jour sont déjà corrigés, sous réserve d'avoir été redémarrées.
(Le correctif a été poussé le 19 octobre)

Le noyaux qui intègrent le correctif sont :
- 4.8.0.26 (Ubuntu 16.10)
- 4.4.0.45 (Ubuntu 16.04 LTS)
- 3.13.0-100 (Ubuntu 14.04 LTS)
- 3.2.0-113 (Ubuntu 12.04 LTS)

Les autres versions d'Ubuntu ne sont plus maintenues.

Pour filtrer les log d'un serveur miroir : grep -E "/linux/linux-image-4.8.0.26|/linux/linux-image-4.4.0.45|/linux/linux-image-3.13.0-100|/linux/linux-image-3.2.0-113" access.log

corrector

  • Invité
ALERTE - Plus importante faille Linux jamais découverte
« Réponse #6 le: 22 octobre 2016 à 07:24:04 »
IL y a un site internet dédié à la faille : http://dirtycow.ninja/
J'adore le nom.

Synack

  • AS16080 Rentabiliweb Telecom
  • Expert
  • *
  • Messages: 689
ALERTE - Plus importante faille Linux jamais découverte
« Réponse #7 le: 22 octobre 2016 à 11:11:05 »
"plus importante faille Linux jamais découverte" <- euh c'est pas un poil racoleur et exagéré ?

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 076
  • Paris (75)
ALERTE - Plus importante faille Linux jamais découverte
« Réponse #8 le: 22 octobre 2016 à 12:51:02 »
"plus importante faille Linux jamais découverte" <- euh c'est pas un poil racoleur et exagéré ?

Ce journaliste cite un 'expert' qui travaille pour une boite de sécurité... boites dont le CA augmente chaque fois que la presse parle de ce genre de chose.

Ca me rappelle l’excitation qu'il y a eu en aout concernant la faille Stagefright et Android ... ce qu'on a pu lire a l'époque dans la presse s'approchait de la fin du monde tellement c'était "grave", bien pire que celle ci... sauf que quelques jours plus tard plus personne en parlais. Et comme par hasard la boite qui a rendu cela public l'a fait 1 jour avant la conférence ou elle présentait un nouveau produit pour Android...

Il y a un petit jeu entre les médias et les boites de sécurité car chacun y trouve son compte et au royaume des aveugles les borgnes gagnent de l'argent.

Il commence a y avoir un tel business autour de la sécurité, business basé sur la peur et la comm, que les dérives sont déjà la et ne font que s'accentuer de plus en plus.

corrector

  • Invité
Noms "catchy" des failles de sécurité
« Réponse #9 le: 22 octobre 2016 à 15:23:26 »
Ce journaliste cite un 'expert' qui travaille pour une boite de sécurité... boites dont le CA augmente chaque fois que la presse parle de ce genre de chose.

Ca me rappelle l’excitation qu'il y a eu en aout concernant la faille Stagefright et Android ...
Qui invente les noms des faille? Des publicitaires?

Il y a des experts pour ça?

corrector

  • Invité
ALERTE - Plus importante faille Linux jamais découverte
« Réponse #10 le: 22 octobre 2016 à 15:31:36 »
"plus importante faille Linux jamais découverte" <- euh c'est pas un poil racoleur et exagéré ?
Quand même, une faille
- qui fait passer root
- qui est dans du code de base (pas dans un module optionnel)
c'est pas rien.

Enfin bref, ces choses sont passablement subtiles, l'histoire "tout le monde peut lire le code" est une plaisanterie.

Rien que la taille du bouzin....

Synack

  • AS16080 Rentabiliweb Telecom
  • Expert
  • *
  • Messages: 689
ALERTE - Plus importante faille Linux jamais découverte
« Réponse #11 le: 22 octobre 2016 à 15:50:31 »
On a déjà connu ptrace dans le passé qui a fait bien des dégâts à une époque où les gens étaient moins sensibilisés à la sécurité.

Je sais bien que le sensationnel c'est alléchant, mais bon. On n'a même pas le recul des impacts encore...