新闻来源:安全焦点
在微软本月月经日(8.11)的同一天,国外黑客taviso和julien公开了可以攻击所有新旧Linux系统的一个漏洞,包括但不限于RedHat,CentOS,Suse,Debian,Ubuntu,Slackware,Mandriva,Gentoo及其衍生系统。黑客只需要执行一个命令,就可以通过此漏洞获得root权限,即使开启了SELinux也于事无补。攻击这个漏洞到底有多简单,下面我们看图说话,有图有真相。
[attach]19789[/attach]
如上图所示,利用此漏洞极其简单,并且影响所有的Linux内核,baoz强烈建议系统管理员或安全人员参考下列临时修复方案,以防止Linux系统被攻击 。
1、使用Grsecurity或者Pax内核安全补丁,并开启KERNEXEC防护功能。
2、升级到2.6.31-rc6或2.4.37.5以上的内核版本。
3、如果您使用的是RedHa tEnterprise Linux 4/5的系统或Centos4/5的系统,您可以通过下面的操作简单的操作防止被攻击。
在/etc/modprobe.conf文件中加入下列内容:
install pppox /bin/true
install bluetooth /bin/true
install appletalk /bin/true
install ipx /bin/true
install sctp /bin/true
很明显,第三个方案最简单也相对有效,对业务影响也最小,如果您对编译和安装Linux内核不熟悉,千万不要使用前两个方案,否则您的系统可能永远无法启动。
Linux在微软的月经日爆如此严重的漏洞,挺值得纪念的。
35749810 于 2009-08-27 16:42:09发表:
唉,,看不懂了。
seoshagua 于 2009-08-21 23:40:28发表:
月经!!!!!!!!!
hetec 于 2009-08-19 22:20:33发表:
呵呵。死猪不怕开水喽。
※乌托邦※ 于 2009-08-19 16:13:52发表:
刚刚试了一下我的CENTOS,好像这个命令不起什么做用!
ffsedan 于 2009-08-19 12:24:32发表:
微软的系统漏洞公告日还是补丁发表日?
spanthrive 于 2009-08-19 12:22:57发表:
没有十全十美的东东 慢慢完善 看好linux
ubuntulover 于 2009-08-19 12:15:09发表:
微软的月经日什么意思?
mountainsli 于 2009-08-18 22:37:14发表:
让大家都知道
mountainsli 于 2009-08-18 22:37:02发表:
顶起来
gdwbg 于 2009-08-18 21:25:51发表:
用过微软的用户来说不是什么大漏洞
ericwu 于 2009-08-18 20:00:20发表:
meiguanxi
除尘 于 2009-08-18 10:09:25发表:
学习了
dchwlinux 于 2009-08-18 09:07:36发表:
玛雅
seoshagua 于 2009-08-18 01:21:46发表:
从楼顶下来,似乎发现一个更有意思的问题,大伙对 月经日 这个更关注呀!!!!娃哈哈。。
看来,中国的性教育真是有很大的问题。。。。希望LINUX在中国的普及不会出现这样的问题。。。。
如萍 于 2009-08-16 23:48:26发表:
那个脚本有问题吧,不会这么简单吧
赤血明空 于 2009-08-16 23:09:14发表:
哈哈~
让黑客来得更猛烈些吧~
哥,大不了重装系统
大宝 于 2009-08-16 21:57:52发表:
[i=s] 本帖最后由 大宝 于 2009-8-16 22:00 编辑 [/i]
这个脚本写得不错嘛
要把脚本传出去还不容易?打包进热门软件,再拼命发到网络上不就行了,地球上的傻瓜比你想像得要多~
实际瘟到死下的病毒也是这样做的:
应用软件不身没毒,可有人把热门的应用软件拿来重新打包,打包时再加入病毒程序或恶意代码(好一点的免费安装包制做程序都可以让你加入要执行的指命,即可以是在安装主文件之前,也可以是之后,还可改写注册表,所以要不要拍掉杀毒软件全看你的心情,如果你是属于“没有技术含量”的类型,格盘、删分区都可以~),打好包之后再往网络上一发,OK
阿浩 于 2009-08-16 21:35:16发表:
安全日
renxy 于 2009-08-16 21:13:40发表:
漏洞好比蚁穴,要防患于未然
aqq5220 于 2009-08-16 21:06:24发表:
微软的月经日什么意思?
AOACGO 于 2009-08-16 16:05:55发表:
对我没用,
玩笑类 于 2009-08-16 15:59:49发表:
是诶
lythonmao 于 2009-08-16 15:30:32发表:
唉,,看不懂了。
小普林斯 于 2009-08-16 13:32:45发表:
很想看看脚本里面的内容……(6)m:b
wangyu 于 2009-08-16 12:02:45发表:
反正我电脑里没有值钱的东西
刘冲 于 2009-08-16 11:01:46发表:
[i=s] 本帖最后由 刘冲 于 2009-8-17 00:01 编辑 [/i]
楼主是在喷子当道的cnbeta看的吧!
不要去那里。
来看这个更详细的:
在微软本月月经日(8.11)的同一天,国外黑客taviso和julien公开了可以攻击所有新旧Linux系统的一个漏洞,包括但不限于RedHat,CentOS,Suse,Debian,Ubuntu,Slackware,Mandriva,Gentoo及其衍生系统。黑客只需要执行一个命令,就可以通过此漏洞获得root权限,即使开启了SELinux也于事无补。攻击这个漏洞到底有多简单,下面我们看图说话,有图有真相。
CHANGELOGS:
2009/08/16 [email=chenjun@xfocus]chenjun@xfocus[/email]提供了debian/ubuntu系统的修复方式。
2009/08/16 根据网友要求添加漏洞详情和exploit下载地址。
2009/08/16 改进修复方式,避免RHEL下的无效修复。感谢小阮MM反馈并提供服务器协助定位解决。
2009/08/16 添加攻击经验记录。感谢cnbird分享经验。
[img=623,360]http://baoz.net/wp-content/2009/08/linuxlocalroot1.png[/img]
如上图所示,利用此漏洞极其简单,并且影响所有的Linux内核,baoz强烈建议系统管理员或安全人员参考下列临时修复方案,以防止Linux系统被攻击 。
1、使用Grsecurity或者Pax内核安全补丁,并开启KERNEXEC防护功能。
2、升级到2.6.31-rc6或2.4.37.5以上的内核版本。
3、如果您使用的是RedHa tEnterprise Linux 4/5的系统或Centos4/5的系统,您可以通过下面的操作简单的操作防止被攻击。
在/etc/modprobe.conf文件中加入下列内容:
install pppox /bin/true
install bluetooth /bin/true
install appletalk /bin/true
install ipx /bin/true
install sctp /bin/true
执行/sbin/lsmod | grep -e ppp -e blue -e app -e ipx -e sct,如果没有输出,你不需要重启,如果有输出,你需要重启系统,才可以对此攻击免疫。
下图是免疫前后的效果对比图:
[img=737,216]http://baoz.net/wp-content/2009/08/2.6local.png[/img]
[img=454,162]http://baoz.net/wp-content/2009/08/mianyi.png[/img]
4、如果您使用的是Debian或Ubuntu系统,您可以通过下面的操作防止被攻击(感谢chenjun提供)
cat > /etc/modprobe.d/mitigate-2692.conf << EOM
install ppp_generic /bin/true
install pppoe /bin/true
install pppox /bin/true
install slhc /bin/true
install bluetooth /bin/true
install ipv6 /bin/true
install irda /bin/true
install ax25 /bin/true
install x25 /bin/true
install ipx /bin/true
install appletalk /bin/true
EOM
/etc/init.d/bluez-utils stop
很明显,第三、四个方案最简单也相对有效,对业务影响也最小,如果您对编译和安装Linux内核不熟悉,千万不要使用前两个方案,否则您的系统可能永远无法启动。
如果你希望了解漏洞详情,请访问下列URL:
http://archives.neohapsis.com/archives/fulldisclosure/2009-08/0174.html
http://blog.cr0.org/2009/08/linux-null-pointer-dereference-due-to.html
https://bugzilla.redhat.com/show_bug.cgi?id=516949
如果你希望亲手验证此漏洞,你可以下载下列两个代码包测试(有可能导致系统不稳定,当机等现象,后果自负):
http://www.securityfocus.com/data/vulnerabilities/exploits/wunderbar_emporium-3.tgz
http://www.securityfocus.com/data/vulnerabilities/exploits/36038-4.tgz
攻击经验记录:
1、如果selinux没开,会报缺少Pulseaudio文件,实际上根本不需要他,只是selinux没开导致的,用另外一个exp攻击同样不成功。从这里可以总结出来,如果你没开selinux,在现有的exploit下,不需要做任何操作,也不会受到攻击。当然,这个是我个人经验总结,并且只在RHEL5上验证过,请各位自己评估风险。顺带说一下,SElinux这东西,默认是开启的,如果你没关闭过他。根据我的猜测,可能是exp在bypassselinux那段代码里出了点问题。所以说改/etc/selinux/config文件,禁用selinux,也可以在一定程度上防范公开的exp。
[xiaoruan@localhost wunderbar_emporium]$ ./wunderbar_emporium.sh
[+] Personality set to: PER_SVR4
Pulseaudio does not exist!
[xiaoruan@localhost run]$ sh run.sh
padlina z lublina!
mprotect: Cannot allocate memory
2、回连的shell溢出虽然可以成功,但uid不是0,解决办法是用一个带pty的shell。这个经验由cnbird提供。
Linux在微软的月经日爆如此严重的漏洞,挺值得纪念的。如果您希望了解本漏洞更多的内幕、八卦和细节,请访问http://baoz.net/linux-sockops-wrap-proto-ops-local-root-exploit/
呵呵,Linux啊,慢慢让大家发现漏洞吧,只要你走的太靠前,没有什么系统是安全的。
微宝贝 于 2009-08-16 10:32:00发表:
问题是./w*是什么。从图片上看是wunderbar_emporium.sh脚本。
这个漏洞确实有点可怕,但是想直接得到这样的权限,首先得有普通账户的权限,可以在系统上执行文件吧。
csodv 于 2009-08-16 10:02:59发表:
哎
xzj4167 于 2009-08-16 09:44:46发表:
微软的月经日是哪一天?