From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Date: Fri, 14 Jul 2006 00:01:33 +0300 From: Michael Shigorin To: ALT Linux sysadmin discuss Message-ID: <20060713210133.GA26570@osdn.org.ua> Mail-Followup-To: ALT Linux sysadmin discuss References: <20060713094416.GQ26570@osdn.org.ua> <20060713095034.GA23205@immo.ru> <20060713104810.GA27955@basalt.office.altlinux.org> Mime-Version: 1.0 Content-Type: text/plain; charset=koi8-r Content-Disposition: inline Content-Transfer-Encoding: 8bit In-Reply-To: <20060713104810.GA27955@basalt.office.altlinux.org> User-Agent: Mutt/1.4.2.1i Subject: Re: [Sysadmins] Fwd: Linux Kernel 2.6.x PRCTL Core Dump Handling - Local r00t Exploit ( BID 18874 / CVE-2006-2451 ) X-BeenThere: sysadmins@lists.altlinux.org X-Mailman-Version: 2.1.7 Precedence: list Reply-To: shigorin@gmail.com, ALT Linux sysadmin discuss List-Id: ALT Linux sysadmin discuss List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Thu, 13 Jul 2006 21:01:29 -0000 Archived-At: List-Archive: On Thu, Jul 13, 2006 at 02:48:10PM +0400, Dmitry V. Levin wrote: > > > Напоминаю тем, у кого linux-2.6 на серверах, что в 2.6.13 > > > до 2.6.17.4 или 2.6.16.24 может быть незаткнут local root и > > > эксплойт уже опубликован. > > > chdir("/etc/cron.d"); > > Вот тут оно благополучно хватает -EPERM и отваливаеццо. > У каталогов /etc/cron.d и /etc/cron.*ly права доступа 0750 как > минимум со времён ALM20; я как в воду глядел. :) Могу сломать их до состояния Защищённого Рхела и ещё раз попробовать, только тогда надо core->/dev/null опять убирать... а оно как-то и лениво ;-) Дим, может, тебе напоминалку повесить про эту настройку хотя бы в заремаренном виде в sysctl.conf? -- ---- WBR, Michael Shigorin ------ Linux.Kiev http://www.linux.kiev.ua/