В общем, хочу рассказать о серьезной уязвимости, которая появилась 18 сентрября 2010 г., пишу для тех, кто еще не вкурсе...
Эксплоит работает практически на всех 64-битных линукс системах... 32-битные в порядке :)
Как проверить, работает ли эксплоит? Если работает, это очень плохо )))
Скачать бинарник (либо скомпилить с исходников), как обычный юзер. Бинарник скомпилен для RHEL 5/CentOS 5, но работает и под Debian Lenny и Ubuntu. Вот пример работы, который показывает, что система защищена и не требует более вмешательства.
$ wget -N https://www.ksplice.com/support/diagnose-2010-3081
$ chmod +x diagnose-2010-3081
$ ./diagnose-2010-3081
$$$ Kernel release: 2.6.18-194.11.3.el5
$$$ Backdoor in LSM (1/3): checking...not present.
$$$ Backdoor in timer_list_fops (2/3): not available.
$$$ Backdoor in IDT (3/3): checking...not present.
Your system is free from the backdoors that would be left in memory
by the published exploit for CVE-2010-3081.
$
Выше приведены все команды, для диагностики, напомню, что запуск должен быть под юзером, а не под рутом!
Итак, как защитится?
1. Смотрим версию ядра
$ uname -a
2. Качаем отсюда патчи для Вашей версии ядра: kernel, kernel-devel, kernel-headers
3. Устанавливаем каждый через: rpm -Uvh kernel*
4. reboot -n
5. проверяем ядро: uname -a
6. запускаем диагностику снова
Вот и все :)
Ссылки:
http://forums.cpanel.net/f185/x86_64-kernel-exploit-165758.html#post692222
https://www.ksplice.com/uptrack/cve-2010-3081.ssi.xhtml
http://linux.slashdot.org/article.pl?sid=10/09/20/0217204
- Ресурсы по CVE-2010-3081:
- redhat.com | Red Hat vulnerabilities by CVE name | CVE-2010-3081
- access.redhat.com | Red Hat Knowledgebase: Does CVE-2010-3081 affect Red Hat Enterprise Linux?
- Red Hat Bugzilla | Bug 634457 – CVE-2010-3081 kernel: 64-bit Compatibility Mode Stack Pointer Underflow
- www.centos.org - Forums - CentOS 5 - Security Support - CVE-2010-3081
- CentOS Bug Tracker - Bug 0004518: CVE-2010-3081
- Исчо ресурсы:
