From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: X-Spam-Checker-Version: SpamAssassin 3.2.5 (2008-06-10) on sa.int.altlinux.org X-Spam-Level: X-Spam-Status: No, score=-3.6 required=5.0 tests=BAYES_00,RCVD_IN_DNSWL_LOW, SPF_PASS autolearn=ham version=3.2.5 DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=yandex.ru; s=mail; t=1368636757; bh=APHLpMEnUxSs0UnIKfy6JgWHk9C9Xc7R2HdyIc+JV78=; h=From:To:In-Reply-To:References:Subject:Date; b=q//HyG61WQwz9E/cd6F7LjzH0hbCd9S3hSt0Rz8W3m0vMc4Px7xXol0kjRtIGVxJc 6qM14gJV3i7r1clBQJX5ao3xD62gxv19PkCC3flTp0qMGr7IQAJCYIP7rYDMXC2YmL ZEnX675lBn4kLfsEZp8IFtEPC+h5lQhv2q/wy3gk= From: Mike Lykov To: ALT Linux Sisyphus discussions In-Reply-To: <20130515144332.GD4614@osdn.org.ua> References: <20130514233518.GU4388@osdn.org.ua> <20130515120154.GG13923@glebfm.office.altlinux.ru> <1327531368622493@web18h.yandex.ru> <20130515144332.GD4614@osdn.org.ua> MIME-Version: 1.0 Message-Id: <1545601368636756@web28d.yandex.ru> X-Mailer: Yamail [ http://yandex.ru ] 5.0 Date: Wed, 15 May 2013 20:52:36 +0400 Content-Transfer-Encoding: 8bit Content-Type: text/plain; charset=koi8-r Subject: Re: [sisyphus] I: kernel local root vulnerability (CVE-2013-2094) X-BeenThere: sisyphus@lists.altlinux.org X-Mailman-Version: 2.1.12 Precedence: list Reply-To: ALT Linux Sisyphus discussions List-Id: ALT Linux Sisyphus discussions List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Wed, 15 May 2013 16:52:44 -0000 Archived-At: List-Archive: List-Post: >>>  Эта дыра неактуальна для многих наших ядер уже с конца апреля. >>  а что делать пользователям ядра kernel-image-ovz-el , например? > > Перечитать предложенное в качестве объезда.  См. тж. > http://www.opennet.ru/openforum/vsluhforumID3/90017.html#130 читаю (следующий же комент) --- > kernel.perf_event_max_sample_rate=-1 идея, вероятно, отсюда: if (attr.freq) { if (attr.sample_freq > sysctl_perf_event_sample_rate) // kernel.perf_event_max_sample_rate return -EINVAL; } но attr.freq в запросе этого эксплоита не выставлен, поэтому особого смысла нет. А kernel.perf_event_paranoid=2 и впрямь недостаточно, т.к. основывается на этом коде: if (!attr.exclude_kernel) { if (perf_paranoid_kernel() && !capable(CAP_SYS_ADMIN)) return -EACCES; } достаточно включить attr.exclude_kernel в исходном запросе, чтобы kernel.perf_event_paranoid=2 перестало спасать. -------------- откуда вообще это благодушие "нам неактуально", "есть же обьезд"? дело-то серьезное, не отмахнешься. -- Mike