среда, 6 октября 2010 г.

Внимание! 64-bit Linux Kernel Exploit

Во-первых прошу прощение за задержу :) Очень много было работы, не до блога было)

В общем, хочу рассказать о серьезной уязвимости, которая появилась 18 сентрября 2010 г., пишу для тех, кто еще не вкурсе...

Эксплоит работает практически на всех 64-битных линукс системах... 32-битные в порядке :)

Как проверить, работает ли эксплоит? Если работает, это очень плохо )))

Скачать бинарник (либо скомпилить с исходников), как обычный юзер. Бинарник скомпилен для RHEL 5/CentOS 5, но работает и под Debian Lenny и Ubuntu. Вот пример работы, который показывает, что система защищена и не требует более вмешательства.

$ wget -N https://www.ksplice.com/support/diagnose-2010-3081
$ chmod +x diagnose-2010-3081
$ ./diagnose-2010-3081


$$$ Kernel release: 2.6.18-194.11.3.el5
$$$ Backdoor in LSM (1/3): checking...not present.
$$$ Backdoor in timer_list_fops (2/3): not available.
$$$ Backdoor in IDT (3/3): checking...not present.

Your system is free from the backdoors that would be left in memory
by the published exploit for CVE-2010-3081.
$

Выше приведены все команды, для диагностики, напомню, что запуск должен быть под юзером, а не под рутом!

Итак, как защитится?

1. Смотрим версию ядра

$ uname -a

2. Качаем отсюда патчи для Вашей версии ядра: kernel, kernel-devel, kernel-headers

3. Устанавливаем каждый через: rpm -Uvh kernel*

4. reboot -n

5. проверяем ядро: uname -a

6. запускаем диагностику снова

Вот и все :)

Ссылки:

http://forums.cpanel.net/f185/x86_64-kernel-exploit-165758.html#post692222
https://www.ksplice.com/uptrack/cve-2010-3081.ssi.xhtml
http://linux.slashdot.org/article.pl?sid=10/09/20/0217204

Комментариев нет:

Отправить комментарий