* [sisyphus] I: kernel local root vulnerability (CVE-2013-2094)
@ 2013-05-14 23:35 Michael Shigorin
2013-05-15 4:00 ` [sisyphus] [Sysadmins] " Nikolay A. Fetisov
2013-05-15 12:01 ` [sisyphus] " Gleb Fotengauer-Malinovskiy
0 siblings, 2 replies; 11+ messages in thread
From: Michael Shigorin @ 2013-05-14 23:35 UTC (permalink / raw)
To: sysadmins; +Cc: sisyphus, community
Здравствуйте.
В ядре Linux от 2.6.37 до 3.8.8 (3.8.9?) включительно при наличии
CONFIG_PERF_EVENTS=y (у нас включено в std-def, un-def, led-ws
из того, что под рукой) присутствует уязвимость, для которой
теперь доступен публичный эксплойт с получением локального рута:
https://news.ycombinator.com/item?id=5703758
http://packetstormsecurity.com/files/121616/semtex.c
Временный объезд до обновления ядра до исправленных сборок
(см. https://bugzilla.redhat.com/show_bug.cgi?id=962792#c7):
sysctl kernel.perf_event_paranoid=2
echo "kernel.perf_event_paranoid=2" >> /etc/sysctl.d/CVE-2013-2094.conf
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [sisyphus] [Sysadmins] I: kernel local root vulnerability (CVE-2013-2094)
2013-05-14 23:35 [sisyphus] I: kernel local root vulnerability (CVE-2013-2094) Michael Shigorin
@ 2013-05-15 4:00 ` Nikolay A. Fetisov
2013-05-15 12:01 ` [sisyphus] " Gleb Fotengauer-Malinovskiy
1 sibling, 0 replies; 11+ messages in thread
From: Nikolay A. Fetisov @ 2013-05-15 4:00 UTC (permalink / raw)
To: sysadmins; +Cc: sisyphus, community
В Ср, 15/05/2013 в 02:35 +0300, Michael Shigorin пишет:
> В ядре Linux от 2.6.37 до 3.8.8 (3.8.9?) включительно ....
Включая _2.6.32_, как минимум 2.6.32-ovz-el.
Причём и изнутри контейнеров тоже работает.
В 2.6.27, 2.6.18 проблемного кода ещё нет,
в 3.8.9, _по-моему_, уже исправлено.
--
С уважением,
Николай Фетисов
^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [sisyphus] I: kernel local root vulnerability (CVE-2013-2094)
2013-05-14 23:35 [sisyphus] I: kernel local root vulnerability (CVE-2013-2094) Michael Shigorin
2013-05-15 4:00 ` [sisyphus] [Sysadmins] " Nikolay A. Fetisov
@ 2013-05-15 12:01 ` Gleb Fotengauer-Malinovskiy
2013-05-15 12:54 ` Mike Lykov
1 sibling, 1 reply; 11+ messages in thread
From: Gleb Fotengauer-Malinovskiy @ 2013-05-15 12:01 UTC (permalink / raw)
To: sysadmins, sisyphus, community
On Wed, May 15, 2013 at 02:35:18AM +0300, Michael Shigorin wrote:
> Здравствуйте.
> В ядре Linux от 2.6.37 до 3.8.8 (3.8.9?) включительно при наличии
> CONFIG_PERF_EVENTS=y (у нас включено в std-def, un-def, led-ws
> из того, что под рукой) присутствует уязвимость, для которой
> теперь доступен публичный эксплойт с получением локального рута:
> https://news.ycombinator.com/item?id=5703758
> http://packetstormsecurity.com/files/121616/semtex.c
>
> Временный объезд до обновления ядра до исправленных сборок
> (см. https://bugzilla.redhat.com/show_bug.cgi?id=962792#c7):
>
> sysctl kernel.perf_event_paranoid=2
> echo "kernel.perf_event_paranoid=2" >> /etc/sysctl.d/CVE-2013-2094.conf
Эта дыра неактуальна для многих наших ядер уже с конца апреля.
Обладателям свежих ядер std-def, std-pae и un-def из p6, t6, p7
и sisyphus не о чем беспокоиться.
--
glebfm
Глеб Фотенгауэр-Малиновский
^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [sisyphus] I: kernel local root vulnerability (CVE-2013-2094)
2013-05-15 12:01 ` [sisyphus] " Gleb Fotengauer-Malinovskiy
@ 2013-05-15 12:54 ` Mike Lykov
2013-05-15 12:58 ` Aleksey Novodvorsky
` (2 more replies)
0 siblings, 3 replies; 11+ messages in thread
From: Mike Lykov @ 2013-05-15 12:54 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
>> sysctl kernel.perf_event_paranoid=2
>> echo "kernel.perf_event_paranoid=2" >> /etc/sysctl.d/CVE-2013-2094.conf
>
> Эта дыра неактуальна для многих наших ядер уже с конца апреля.
> Обладателям свежих ядер std-def, std-pae и un-def из p6, t6, p7
> и sisyphus не о чем беспокоиться.
а что делать пользователям ядра kernel-image-ovz-el , например?
в сизиф оно было только что пересобрано с исправляющим патчем, но p6,t6,p7 ? ставить на серверы (openvz hn) из сизифа?
--
Mike
^ permalink raw reply [flat|nested] 11+ messages in thread* Re: [sisyphus] I: kernel local root vulnerability (CVE-2013-2094)
2013-05-15 12:54 ` Mike Lykov
@ 2013-05-15 12:58 ` Aleksey Novodvorsky
2013-05-15 15:20 ` Aleksey Novodvorsky
2013-05-15 13:23 ` Sergey
2013-05-15 14:43 ` Michael Shigorin
2 siblings, 1 reply; 11+ messages in thread
From: Aleksey Novodvorsky @ 2013-05-15 12:58 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions,
Черепанов
Андрей
15 мая 2013 г., 16:54 пользователь Mike Lykov <combr-desktop@yandex.ru> написал:
>
>>> sysctl kernel.perf_event_paranoid=2
>>> echo "kernel.perf_event_paranoid=2" >> /etc/sysctl.d/CVE-2013-2094.conf
>>
>> Эта дыра неактуальна для многих наших ядер уже с конца апреля.
>> Обладателям свежих ядер std-def, std-pae и un-def из p6, t6, p7
>> и sisyphus не о чем беспокоиться.
>
> а что делать пользователям ядра kernel-image-ovz-el , например?
> в сизиф оно было только что пересобрано с исправляющим патчем, но p6,t6,p7 ? ставить на серверы (openvz hn) из сизифа?
>
Подождать немного.
Rgrds, Алексей
^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [sisyphus] I: kernel local root vulnerability (CVE-2013-2094)
2013-05-15 12:58 ` Aleksey Novodvorsky
@ 2013-05-15 15:20 ` Aleksey Novodvorsky
0 siblings, 0 replies; 11+ messages in thread
From: Aleksey Novodvorsky @ 2013-05-15 15:20 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions,
Черепанов
Андрей
15 мая 2013 г., 16:58 пользователь Aleksey Novodvorsky
<a.e.nvdv@gmail.com> написал:
> 15 мая 2013 г., 16:54 пользователь Mike Lykov <combr-desktop@yandex.ru> написал:
>>
>>>> sysctl kernel.perf_event_paranoid=2
>>>> echo "kernel.perf_event_paranoid=2" >> /etc/sysctl.d/CVE-2013-2094.conf
>>>
>>> Эта дыра неактуальна для многих наших ядер уже с конца апреля.
>>> Обладателям свежих ядер std-def, std-pae и un-def из p6, t6, p7
>>> и sisyphus не о чем беспокоиться.
>>
>> а что делать пользователям ядра kernel-image-ovz-el , например?
>> в сизиф оно было только что пересобрано с исправляющим патчем, но p6,t6,p7 ? ставить на серверы (openvz hn) из сизифа?
>>
>
> Подождать немного.
Исправленные ovz-el и el-def завтра утром в p7.
С ovz-el в p6 придется еще немного подождать.
Rgrds, Алексей
^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [sisyphus] I: kernel local root vulnerability (CVE-2013-2094)
2013-05-15 12:54 ` Mike Lykov
2013-05-15 12:58 ` Aleksey Novodvorsky
@ 2013-05-15 13:23 ` Sergey
2013-05-16 4:27 ` Mike Lykov
2013-05-15 14:43 ` Michael Shigorin
2 siblings, 1 reply; 11+ messages in thread
From: Sergey @ 2013-05-15 13:23 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
On Wednesday 15 May 2013, Mike Lykov wrote:
> а что делать пользователям ядра kernel-image-ovz-el , например ?
Читать sysadmins@lists. Там Michael Shigorin ночью ещё решение с
OpenNet привёл:
sysctl kernel.perf_event_paranoid=2
echo "kernel.perf_event_paranoid=2" >> /etc/sysctl.d/CVE-2013-2094.conf
--
С уважением, Сергей
a_s_y@sama.ru
^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [sisyphus] I: kernel local root vulnerability (CVE-2013-2094)
2013-05-15 13:23 ` Sergey
@ 2013-05-16 4:27 ` Mike Lykov
0 siblings, 0 replies; 11+ messages in thread
From: Mike Lykov @ 2013-05-16 4:27 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
> Читать sysadmins@lists. Там Michael Shigorin ночью ещё решение с
> OpenNet привёл:
>
> sysctl kernel.perf_event_paranoid=2
> echo "kernel.perf_event_paranoid=2" >> /etc/sysctl.d/CVE-2013-2094.conf
а еще лучше читать первоисточники (например, багу redhat. это же не на opennet придумали).
там было прямо сказано, что это НЕ решение, а временная затычка только для этого варианта PoC, которую легко обойти.
Более того, я цитирую тот же opennet в соседнем письме, где другой человек прямо пишет, что нужно изменить в коде эксплоита, чтобы это не сработало.
2 aen: спасибо за информацию о p7, это гораздо лучше чем обсуждать обьезды ;)
--
Mike
^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [sisyphus] I: kernel local root vulnerability (CVE-2013-2094)
2013-05-15 12:54 ` Mike Lykov
2013-05-15 12:58 ` Aleksey Novodvorsky
2013-05-15 13:23 ` Sergey
@ 2013-05-15 14:43 ` Michael Shigorin
2013-05-15 16:52 ` Mike Lykov
2 siblings, 1 reply; 11+ messages in thread
From: Michael Shigorin @ 2013-05-15 14:43 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions; +Cc: community, sysadmins
On Wed, May 15, 2013 at 04:54:53PM +0400, Mike Lykov wrote:
> >> sysctl kernel.perf_event_paranoid=2
> > Эта дыра неактуальна для многих наших ядер уже с конца апреля.
> а что делать пользователям ядра kernel-image-ovz-el , например?
Перечитать предложенное в качестве объезда. См. тж.
http://www.opennet.ru/openforum/vsluhforumID3/90017.html#130
-- там дополнение в виде
sysctl -w kernel.perf_event_max_sample_rate=-1
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [sisyphus] I: kernel local root vulnerability (CVE-2013-2094)
2013-05-15 14:43 ` Michael Shigorin
@ 2013-05-15 16:52 ` Mike Lykov
2013-05-16 6:07 ` Sergey
0 siblings, 1 reply; 11+ messages in thread
From: Mike Lykov @ 2013-05-15 16:52 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
>>> Эта дыра неактуальна для многих наших ядер уже с конца апреля.
>> а что делать пользователям ядра kernel-image-ovz-el , например?
>
> Перечитать предложенное в качестве объезда. См. тж.
> http://www.opennet.ru/openforum/vsluhforumID3/90017.html#130
читаю (следующий же комент)
---
> kernel.perf_event_max_sample_rate=-1
идея, вероятно, отсюда:
if (attr.freq) {
if (attr.sample_freq > sysctl_perf_event_sample_rate) // kernel.perf_event_max_sample_rate
return -EINVAL;
}
но attr.freq в запросе этого эксплоита не выставлен, поэтому особого смысла нет.
А kernel.perf_event_paranoid=2 и впрямь недостаточно, т.к. основывается на этом коде:
if (!attr.exclude_kernel) {
if (perf_paranoid_kernel() && !capable(CAP_SYS_ADMIN))
return -EACCES;
}
достаточно включить attr.exclude_kernel в исходном запросе, чтобы kernel.perf_event_paranoid=2 перестало спасать.
--------------
откуда вообще это благодушие "нам неактуально", "есть же обьезд"? дело-то серьезное, не отмахнешься.
--
Mike
^ permalink raw reply [flat|nested] 11+ messages in thread* Re: [sisyphus] I: kernel local root vulnerability (CVE-2013-2094)
2013-05-15 16:52 ` Mike Lykov
@ 2013-05-16 6:07 ` Sergey
0 siblings, 0 replies; 11+ messages in thread
From: Sergey @ 2013-05-16 6:07 UTC (permalink / raw)
To: sisyphus
On Wednesday 15 May 2013, Mike Lykov wrote:
> откуда вообще это благодушие "нам неактуально", "есть
> же обьезд"? дело-то серьезное, не отмахнешься.
У меня - понятно откуда. Там, где может быть быть доступ
произвольных людей, я никак с 2.6.18 уйти не могу. А где
мня это касается, там абы кого быть не должно. ;-)
В общем, повезло на этот раз.
--
С уважением, Сергей
a_s_y@sama.ru
^ permalink raw reply [flat|nested] 11+ messages in thread
end of thread, other threads:[~2013-05-16 6:07 UTC | newest]
Thread overview: 11+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2013-05-14 23:35 [sisyphus] I: kernel local root vulnerability (CVE-2013-2094) Michael Shigorin
2013-05-15 4:00 ` [sisyphus] [Sysadmins] " Nikolay A. Fetisov
2013-05-15 12:01 ` [sisyphus] " Gleb Fotengauer-Malinovskiy
2013-05-15 12:54 ` Mike Lykov
2013-05-15 12:58 ` Aleksey Novodvorsky
2013-05-15 15:20 ` Aleksey Novodvorsky
2013-05-15 13:23 ` Sergey
2013-05-16 4:27 ` Mike Lykov
2013-05-15 14:43 ` Michael Shigorin
2013-05-15 16:52 ` Mike Lykov
2013-05-16 6:07 ` Sergey
ALT Linux Sisyphus discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sisyphus/0 sisyphus/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sisyphus sisyphus/ http://lore.altlinux.org/sisyphus \
sisyphus@altlinux.ru sisyphus@altlinux.org sisyphus@lists.altlinux.org sisyphus@lists.altlinux.ru sisyphus@lists.altlinux.com sisyphus@linuxteam.iplabs.ru sisyphus@list.linux-os.ru
public-inbox-index sisyphus
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sisyphus
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git