Linux内核爆高危漏洞，一个命令可攻击所有Linux系统，打补丁吧。

DebianEdu

在微软本月月经日(8.11)的同一天，国外黑客taviso和julien公开了可以攻击所有新旧Linux系统的一个漏洞，包括但不限于RedHat,CentOS,Suse,Debian,Ubuntu,Slackware,Mandriva,Gentoo及其衍生系统。黑客只需要执行一个命令，就可以通过此漏洞获得root权限，即使开启了SELinux也于事无补。攻击这个漏洞到底有多简单，下面我们看图说话，有图有真相。



呵呵。如果没有.sh角本运行，这个命令是不会有用的。你想下载代码包，测试一下？继续向下看。

CHANGELOGS:
2009/08/16 chenjun@xfocus提供了debian/ubuntu系统的修复方式。
2009/08/16 根据网友要求添加漏洞详情和exploit下载地址。
2009/08/16 改进修复方式，避免RHEL下的无效修复。感谢小阮MM反馈并提供服务器协助定位解决。
2009/08/16 添加攻击经验记录。感谢cnbird分享经验。

如上图所示，利用此漏洞极其简单，并且影响所有的Linux内核，baoz强烈建议系统管理员或安全人员参考下列临时修复方案，以防止Linux系统被攻击 。
1、使用Grsecurity或者Pax内核安全补丁，并开启KERNEXEC防护功能。
2、升级到2.6.31-rc6或2.4.37.5以上的内核版本。
3、如果您使用的是RedHa tEnterprise Linux 4/5的系统或Centos4/5的系统，您可以通过下面的操作简单的操作防止被攻击。
在/etc/modprobe.conf文件中加入下列内容：
install pppox /bin/true
install bluetooth /bin/true
install appletalk /bin/true
install ipx /bin/true
install sctp /bin/true
执行/sbin/lsmod | grep -e ppp -e blue -e app -e ipx -e sct，如果没有输出，你不需要重启，如果有输出，你需要重启系统，才可以对此攻击免疫。
下图是免疫前后的效果对比图：





4、如果您使用的是Debian或Ubuntu系统，您可以通过下面的操作防止被攻击（感谢chenjun提供）
cat > /etc/modprobe.d/mitigate-2692.conf << EOM
install ppp_generic /bin/true
install pppoe /bin/true
install pppox /bin/true
install slhc /bin/true
install bluetooth /bin/true
install ipv6 /bin/true
install irda /bin/true
install ax25 /bin/true
install x25 /bin/true
install ipx /bin/true
install appletalk /bin/true
EOM
/etc/init.d/bluez-utils stop
很明显，第三、四个方案最简单也相对有效，对业务影响也最小，如果您对编译和安装Linux内核不熟悉，千万不要使用前两个方案，否则您的系统可能永远无法启动。
如果你希望了解漏洞详情，请访问下列URL：
http://archives.neohapsis.com/ar ... e/2009-08/0174.html
http://blog.cr0.org/2009/08/linu ... ference-due-to.html
https://bugzilla.redhat.com/show_bug.cgi?id=516949
如果你希望亲手验证此漏洞，你可以下载下列两个代码包测试（有可能导致系统不稳定，当机等现象，后果自负）：
http://www.securityfocus.com/dat ... rbar_emporium-3.tgz
http://www.securityfocus.com/dat ... xploits/36038-4.tgz
攻击经验记录：
1、如果selinux没开，会报缺少Pulseaudio文件，实际上根本不需要他，只是selinux没开导致的，用另外一个exp攻击同样不成功。从这里可以总结出来，如果你没开selinux，在现有的exploit下，不需要做任何操作，也不会受到攻击。当然，这个是我个人经验总结，并且只在RHEL5上验证过，请各位自己评估风险。顺带说一下，SElinux这东西，默认是开启的，如果你没关闭过他。根据我的猜测，可能是exp在bypassselinux那段代码里出了点问题。所以说改/etc/selinux/config文件，禁用selinux，也可以在一定程度上防范公开的exp。
[xiaoruan@localhost wunderbar_emporium]$ ./wunderbar_emporium.sh
  [+] Personality set to: PER_SVR4
Pulseaudio does not exist!
[xiaoruan@localhost run]$ sh run.sh
padlina z lublina!
mprotect: Cannot allocate memory
2、回连的shell溢出虽然可以成功，但uid不是0，解决办法是用一个带pty的shell。这个经验由cnbird提供。
Linux在微软的月经日爆如此严重的漏洞，挺值得纪念的。

来源：oschina

poet

本人测试ubuntu 8.04 发现 selinux 缺省是不开的，pluseaudio缺省也是不会装的。一个影响力极大的linux发行版根本不会受到该问题的影响，报告说“可攻击所有linux系统”似乎过分了点。

kgnn

好像就是这个
http://www.debian.org/security/2009/dsa-1862
Security database references:
    In Mitre's CVE dictionary: CVE-2009-2692.
For the stable distribution (lenny), this problem has been fixed in version 2.6.26-17lenny2.

难怪前几天有内核更新

1. $apt-cache policy linux-image-2.6.26-2-686
   
2. linux-image-2.6.26-2-686:
   
3.   已安装：2.6.26-17lenny2
   
4.   候选的软件包：2.6.26-17lenny2
   
5.   版本列表：
   
6. *** 2.6.26-17lenny2 0
   
7.         500 [url]http://mirrors.163.com[/url] lenny/updates/main Packages
   
8.         500 [url]http://security.debian.org[/url] lenny/updates/main Packages
   
9.         100 /var/lib/dpkg/status
   
10.      2.6.26-17 0
    
11.         500 [url]http://mirrors.163.com[/url] lenny/main Packages

复制代码

每天都会update一下
$alias aptup
alias aptup='sudo /usr/bin/apt-get update && sudo /usr/bin/apt-get upgrade'

1. $pwd
   
2. /var/cache/apt/archives
   
3. $ls -l linux-image-*
   
4. -rw-r--r-- 1 root root 20117860 05-29 04:25 linux-image-2.6.26-2-686_2.6.26-15lenny3_i386.deb
   
5. -rw-r--r-- 1 root root 20258838 06-21 18:32 linux-image-2.6.26-2-686_2.6.26-17_i386.deb
   
6. -rw-r--r-- 1 root root 20259056 07-27 12:00 linux-image-2.6.26-2-686_2.6.26-17lenny1_i386.deb
   
7. -rw-r--r-- 1 root root 20118938 08-14 14:10 linux-image-2.6.26-2-686_2.6.26-17lenny2_i386.deb
   
8. -rw-r--r-- 1 root root     2502 03-28 03:02 linux-image-2.6-686_2.6.26+17+lenny1_i386.deb

复制代码

stable内核的更新次数还是不少的，lenny1,lenny2,lenny3这些都是security update
之前还执行过#apt-get autoclean，清理了一些

AutoXBC

提权漏洞对桌面用户来说毫无疑义。

d00m3d

如果是服务器，系统本来就不应该装 gcc，不提供编译环境，被攻击的机会也可以减低

dwl301

看样子只是本地权限提升。。。。对很多人来说这个漏洞没有什么大的意义

wkt

sid和ubuntu 9.04(amd46)都没事!