ALT Linux Sisyphus discussions
 help / color / mirror / Atom feed
* [sisyphus] I: kernel local root vulnerability (CVE-2013-2094)
@ 2013-05-14 23:35 Michael Shigorin
  2013-05-15  4:00 ` [sisyphus] [Sysadmins] " Nikolay A. Fetisov
  2013-05-15 12:01 ` [sisyphus] " Gleb Fotengauer-Malinovskiy
  0 siblings, 2 replies; 11+ messages in thread
From: Michael Shigorin @ 2013-05-14 23:35 UTC (permalink / raw)
  To: sysadmins; +Cc: sisyphus, community

	Здравствуйте.
В ядре Linux от 2.6.37 до 3.8.8 (3.8.9?) включительно при наличии
CONFIG_PERF_EVENTS=y (у нас включено в std-def, un-def, led-ws
из того, что под рукой) присутствует уязвимость, для которой
теперь доступен публичный эксплойт с получением локального рута:
https://news.ycombinator.com/item?id=5703758
http://packetstormsecurity.com/files/121616/semtex.c

Временный объезд до обновления ядра до исправленных сборок
(см. https://bugzilla.redhat.com/show_bug.cgi?id=962792#c7):

sysctl kernel.perf_event_paranoid=2
echo "kernel.perf_event_paranoid=2" >> /etc/sysctl.d/CVE-2013-2094.conf

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/


^ permalink raw reply	[flat|nested] 11+ messages in thread

* Re: [sisyphus] [Sysadmins] I: kernel local root vulnerability (CVE-2013-2094)
  2013-05-14 23:35 [sisyphus] I: kernel local root vulnerability (CVE-2013-2094) Michael Shigorin
@ 2013-05-15  4:00 ` Nikolay A. Fetisov
  2013-05-15 12:01 ` [sisyphus] " Gleb Fotengauer-Malinovskiy
  1 sibling, 0 replies; 11+ messages in thread
From: Nikolay A. Fetisov @ 2013-05-15  4:00 UTC (permalink / raw)
  To: sysadmins; +Cc: sisyphus, community

В Ср, 15/05/2013 в 02:35 +0300, Michael Shigorin пишет:
> В ядре Linux от 2.6.37 до 3.8.8 (3.8.9?) включительно ....

Включая _2.6.32_, как минимум 2.6.32-ovz-el.
Причём и изнутри контейнеров тоже работает.


В 2.6.27, 2.6.18 проблемного кода ещё нет, 
в 3.8.9, _по-моему_, уже исправлено.


-- 
С уважением,
Николай Фетисов



^ permalink raw reply	[flat|nested] 11+ messages in thread

* Re: [sisyphus] I: kernel local root vulnerability (CVE-2013-2094)
  2013-05-14 23:35 [sisyphus] I: kernel local root vulnerability (CVE-2013-2094) Michael Shigorin
  2013-05-15  4:00 ` [sisyphus] [Sysadmins] " Nikolay A. Fetisov
@ 2013-05-15 12:01 ` Gleb Fotengauer-Malinovskiy
  2013-05-15 12:54   ` Mike Lykov
  1 sibling, 1 reply; 11+ messages in thread
From: Gleb Fotengauer-Malinovskiy @ 2013-05-15 12:01 UTC (permalink / raw)
  To: sysadmins, sisyphus, community

On Wed, May 15, 2013 at 02:35:18AM +0300, Michael Shigorin wrote:
> 	Здравствуйте.
> В ядре Linux от 2.6.37 до 3.8.8 (3.8.9?) включительно при наличии
> CONFIG_PERF_EVENTS=y (у нас включено в std-def, un-def, led-ws
> из того, что под рукой) присутствует уязвимость, для которой
> теперь доступен публичный эксплойт с получением локального рута:
> https://news.ycombinator.com/item?id=5703758
> http://packetstormsecurity.com/files/121616/semtex.c
> 
> Временный объезд до обновления ядра до исправленных сборок
> (см. https://bugzilla.redhat.com/show_bug.cgi?id=962792#c7):
> 
> sysctl kernel.perf_event_paranoid=2
> echo "kernel.perf_event_paranoid=2" >> /etc/sysctl.d/CVE-2013-2094.conf

Эта дыра неактуальна для многих наших ядер уже с конца апреля. 
Обладателям свежих ядер std-def, std-pae и un-def из p6, t6, p7
и sisyphus не о чем беспокоиться.

-- 
glebfm
Глеб Фотенгауэр-Малиновский



^ permalink raw reply	[flat|nested] 11+ messages in thread

* Re: [sisyphus] I: kernel local root vulnerability (CVE-2013-2094)
  2013-05-15 12:01 ` [sisyphus] " Gleb Fotengauer-Malinovskiy
@ 2013-05-15 12:54   ` Mike Lykov
  2013-05-15 12:58     ` Aleksey Novodvorsky
                       ` (2 more replies)
  0 siblings, 3 replies; 11+ messages in thread
From: Mike Lykov @ 2013-05-15 12:54 UTC (permalink / raw)
  To: ALT Linux Sisyphus discussions


>>  sysctl kernel.perf_event_paranoid=2
>>  echo "kernel.perf_event_paranoid=2" >> /etc/sysctl.d/CVE-2013-2094.conf
>
> Эта дыра неактуальна для многих наших ядер уже с конца апреля.
> Обладателям свежих ядер std-def, std-pae и un-def из p6, t6, p7
> и sisyphus не о чем беспокоиться.

а что делать пользователям ядра kernel-image-ovz-el , например? 
в сизиф оно было только что пересобрано с исправляющим патчем, но p6,t6,p7 ?  ставить на серверы (openvz hn) из сизифа?

-- 
Mike


^ permalink raw reply	[flat|nested] 11+ messages in thread

* Re: [sisyphus] I: kernel local root vulnerability (CVE-2013-2094)
  2013-05-15 12:54   ` Mike Lykov
@ 2013-05-15 12:58     ` Aleksey Novodvorsky
  2013-05-15 15:20       ` Aleksey Novodvorsky
  2013-05-15 13:23     ` Sergey
  2013-05-15 14:43     ` Michael Shigorin
  2 siblings, 1 reply; 11+ messages in thread
From: Aleksey Novodvorsky @ 2013-05-15 12:58 UTC (permalink / raw)
  To: ALT Linux Sisyphus discussions,
	Черепанов
	Андрей

15 мая 2013 г., 16:54 пользователь Mike Lykov <combr-desktop@yandex.ru> написал:
>
>>>  sysctl kernel.perf_event_paranoid=2
>>>  echo "kernel.perf_event_paranoid=2" >> /etc/sysctl.d/CVE-2013-2094.conf
>>
>> Эта дыра неактуальна для многих наших ядер уже с конца апреля.
>> Обладателям свежих ядер std-def, std-pae и un-def из p6, t6, p7
>> и sisyphus не о чем беспокоиться.
>
> а что делать пользователям ядра kernel-image-ovz-el , например?
> в сизиф оно было только что пересобрано с исправляющим патчем, но p6,t6,p7 ?  ставить на серверы (openvz hn) из сизифа?
>

Подождать немного.

Rgrds, Алексей

^ permalink raw reply	[flat|nested] 11+ messages in thread

* Re: [sisyphus] I: kernel local root vulnerability (CVE-2013-2094)
  2013-05-15 12:54   ` Mike Lykov
  2013-05-15 12:58     ` Aleksey Novodvorsky
@ 2013-05-15 13:23     ` Sergey
  2013-05-16  4:27       ` Mike Lykov
  2013-05-15 14:43     ` Michael Shigorin
  2 siblings, 1 reply; 11+ messages in thread
From: Sergey @ 2013-05-15 13:23 UTC (permalink / raw)
  To: ALT Linux Sisyphus discussions

On Wednesday 15 May 2013, Mike Lykov wrote:

> а что делать пользователям ядра kernel-image-ovz-el , например ?

Читать sysadmins@lists. Там Michael Shigorin ночью ещё решение с
OpenNet привёл:

sysctl kernel.perf_event_paranoid=2
echo "kernel.perf_event_paranoid=2" >> /etc/sysctl.d/CVE-2013-2094.conf

-- 
С уважением, Сергей
a_s_y@sama.ru


^ permalink raw reply	[flat|nested] 11+ messages in thread

* Re: [sisyphus] I: kernel local root vulnerability (CVE-2013-2094)
  2013-05-15 12:54   ` Mike Lykov
  2013-05-15 12:58     ` Aleksey Novodvorsky
  2013-05-15 13:23     ` Sergey
@ 2013-05-15 14:43     ` Michael Shigorin
  2013-05-15 16:52       ` Mike Lykov
  2 siblings, 1 reply; 11+ messages in thread
From: Michael Shigorin @ 2013-05-15 14:43 UTC (permalink / raw)
  To: ALT Linux Sisyphus discussions; +Cc: community, sysadmins

On Wed, May 15, 2013 at 04:54:53PM +0400, Mike Lykov wrote:
> >> sysctl kernel.perf_event_paranoid=2
> > Эта дыра неактуальна для многих наших ядер уже с конца апреля.
> а что делать пользователям ядра kernel-image-ovz-el , например? 

Перечитать предложенное в качестве объезда.  См. тж.
http://www.opennet.ru/openforum/vsluhforumID3/90017.html#130
-- там дополнение в виде

sysctl -w kernel.perf_event_max_sample_rate=-1

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/


^ permalink raw reply	[flat|nested] 11+ messages in thread

* Re: [sisyphus] I: kernel local root vulnerability (CVE-2013-2094)
  2013-05-15 12:58     ` Aleksey Novodvorsky
@ 2013-05-15 15:20       ` Aleksey Novodvorsky
  0 siblings, 0 replies; 11+ messages in thread
From: Aleksey Novodvorsky @ 2013-05-15 15:20 UTC (permalink / raw)
  To: ALT Linux Sisyphus discussions,
	Черепанов
	Андрей

15 мая 2013 г., 16:58 пользователь Aleksey Novodvorsky
<a.e.nvdv@gmail.com> написал:
> 15 мая 2013 г., 16:54 пользователь Mike Lykov <combr-desktop@yandex.ru> написал:
>>
>>>>  sysctl kernel.perf_event_paranoid=2
>>>>  echo "kernel.perf_event_paranoid=2" >> /etc/sysctl.d/CVE-2013-2094.conf
>>>
>>> Эта дыра неактуальна для многих наших ядер уже с конца апреля.
>>> Обладателям свежих ядер std-def, std-pae и un-def из p6, t6, p7
>>> и sisyphus не о чем беспокоиться.
>>
>> а что делать пользователям ядра kernel-image-ovz-el , например?
>> в сизиф оно было только что пересобрано с исправляющим патчем, но p6,t6,p7 ?  ставить на серверы (openvz hn) из сизифа?
>>
>
> Подождать немного.

Исправленные ovz-el и el-def завтра утром в p7.
С ovz-el в p6 придется еще немного подождать.

Rgrds, Алексей

^ permalink raw reply	[flat|nested] 11+ messages in thread

* Re: [sisyphus] I: kernel local root vulnerability (CVE-2013-2094)
  2013-05-15 14:43     ` Michael Shigorin
@ 2013-05-15 16:52       ` Mike Lykov
  2013-05-16  6:07         ` Sergey
  0 siblings, 1 reply; 11+ messages in thread
From: Mike Lykov @ 2013-05-15 16:52 UTC (permalink / raw)
  To: ALT Linux Sisyphus discussions



>>>  Эта дыра неактуальна для многих наших ядер уже с конца апреля.
>>  а что делать пользователям ядра kernel-image-ovz-el , например?
>
> Перечитать предложенное в качестве объезда.  См. тж.
> http://www.opennet.ru/openforum/vsluhforumID3/90017.html#130

читаю (следующий же комент)

---
> kernel.perf_event_max_sample_rate=-1

идея, вероятно, отсюда:
    if (attr.freq) {
        if (attr.sample_freq > sysctl_perf_event_sample_rate) // kernel.perf_event_max_sample_rate
            return -EINVAL;
    }

но attr.freq в запросе этого эксплоита не выставлен, поэтому особого смысла нет.

А kernel.perf_event_paranoid=2 и впрямь недостаточно, т.к. основывается на этом коде:
    if (!attr.exclude_kernel) {
        if (perf_paranoid_kernel() && !capable(CAP_SYS_ADMIN))
            return -EACCES;
    }
достаточно включить attr.exclude_kernel в исходном запросе, чтобы kernel.perf_event_paranoid=2 перестало спасать.
--------------

откуда вообще это благодушие "нам неактуально", "есть же обьезд"? дело-то серьезное, не отмахнешься.


-- 
Mike


^ permalink raw reply	[flat|nested] 11+ messages in thread

* Re: [sisyphus] I: kernel local root vulnerability (CVE-2013-2094)
  2013-05-15 13:23     ` Sergey
@ 2013-05-16  4:27       ` Mike Lykov
  0 siblings, 0 replies; 11+ messages in thread
From: Mike Lykov @ 2013-05-16  4:27 UTC (permalink / raw)
  To: ALT Linux Sisyphus discussions

> Читать sysadmins@lists. Там Michael Shigorin ночью ещё решение с
> OpenNet привёл:
>
> sysctl kernel.perf_event_paranoid=2
> echo "kernel.perf_event_paranoid=2" >> /etc/sysctl.d/CVE-2013-2094.conf

а еще лучше читать первоисточники (например, багу redhat. это же не на opennet придумали).
там было прямо сказано, что это НЕ решение, а временная затычка только для этого варианта PoC, которую легко обойти.

Более того, я цитирую тот же opennet в соседнем письме, где другой человек прямо пишет, что нужно изменить в коде эксплоита, чтобы это не сработало.

2 aen: спасибо за информацию о p7, это гораздо лучше чем обсуждать обьезды ;)


-- 
Mike


^ permalink raw reply	[flat|nested] 11+ messages in thread

* Re: [sisyphus] I: kernel local root vulnerability (CVE-2013-2094)
  2013-05-15 16:52       ` Mike Lykov
@ 2013-05-16  6:07         ` Sergey
  0 siblings, 0 replies; 11+ messages in thread
From: Sergey @ 2013-05-16  6:07 UTC (permalink / raw)
  To: sisyphus

On Wednesday 15 May 2013, Mike Lykov wrote:

> откуда вообще это благодушие "нам неактуально", "есть
> же обьезд"? дело-то серьезное, не отмахнешься. 
 
У меня - понятно откуда. Там, где может быть быть доступ 
произвольных людей, я никак с 2.6.18 уйти не могу. А где
мня это касается, там абы кого быть не должно. ;-)

В общем, повезло на этот раз.

-- 
С уважением, Сергей
a_s_y@sama.ru


^ permalink raw reply	[flat|nested] 11+ messages in thread

end of thread, other threads:[~2013-05-16  6:07 UTC | newest]

Thread overview: 11+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2013-05-14 23:35 [sisyphus] I: kernel local root vulnerability (CVE-2013-2094) Michael Shigorin
2013-05-15  4:00 ` [sisyphus] [Sysadmins] " Nikolay A. Fetisov
2013-05-15 12:01 ` [sisyphus] " Gleb Fotengauer-Malinovskiy
2013-05-15 12:54   ` Mike Lykov
2013-05-15 12:58     ` Aleksey Novodvorsky
2013-05-15 15:20       ` Aleksey Novodvorsky
2013-05-15 13:23     ` Sergey
2013-05-16  4:27       ` Mike Lykov
2013-05-15 14:43     ` Michael Shigorin
2013-05-15 16:52       ` Mike Lykov
2013-05-16  6:07         ` Sergey

ALT Linux Sisyphus discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/sisyphus/0 sisyphus/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 sisyphus sisyphus/ http://lore.altlinux.org/sisyphus \
		sisyphus@altlinux.ru sisyphus@altlinux.org sisyphus@lists.altlinux.org sisyphus@lists.altlinux.ru sisyphus@lists.altlinux.com sisyphus@linuxteam.iplabs.ru sisyphus@list.linux-os.ru
	public-inbox-index sisyphus

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.sisyphus


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git