Bezpečnostní díra v jádře

9. 11. 2009

Na jednom z blogů na itworld.com, zabývajícího se bezpečností, se objevil zápis o bezpečnostní díře, která umožňuje získat práva roota i těm uživatelům, kteří by tato práva mít neměli. Jestli je chyba zneužitelná si jednoduše ověříte přes:

cat /proc/sys/vm/mmap_min_addr

Pokud na výstupu uvidíte 0 nebo se nevypíše nic, tak je váš systém zranitelný. Nulu uvidíte na většině systémů majících něco společného s Red Hatem (RHEL, CentOS, Fedora) případně s Novellem (SLES, openSUSE). Distribuce jako Ubuntu by měly být v bezpečí, nicméně na mém desktopu s Ubuntu 9.10 je tato hodnota také nastavená na nulu. Druhá instalace Ubuntu 9.10 na mém Eee je v pořádku. Pravděpodobně to souvisí s Wine, jehož balíčky mohou měnit toto nastavení při instalaci.

Oprava byla zahrnuta do jádra 2.6.32 a pro starší jsou k dispozici patche. Vývojový tým vaší distribuce ale problém s velkou pravděpodobností vyřeší nebo už vyřešil za vás.

Za upozornění děkujeme Eduardu Šurinovi.

Našli jste v článku chybu?

Zasílat nově přidané názory e-mailem

Aktualita je stará, nové názory již nelze přidávat.

9. 11. 2009 15:10

Izak (neregistrovaný)

[root@fc8-x86~]# cat /proc/sys/vm/mmap_min_addr
65536
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
9. 11. 2009 18:17

Solitary

Fedora 11, to same…
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
9. 11. 2009 15:22

bez přezdívky

nesro@nesro-desktop:~$ cat /proc/sys/vm/mmap_min_addr
0
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
9. 11. 2009 15:22

mikie (neregistrovaný)

[root@Archie ~]# uname -sr
Linux 2.6.31-ARCH
[root@Archie ~]# pacman -Q | grep kernel26
kernel26 2.6.31.5–1
kernel26-firmware 2.6.31–1
[root@Archie ~]# cat /proc/sys/vm/mmap_min_addr
4096

:)
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
9. 11. 2009 15:38

Jirka (neregistrovaný)

Mandriva (cooker, 2.6.31, x86_64) ma „prekvapive“ taky 4096 ;-)
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
9. 11. 2009 15:27

linuxnew (neregistrovaný)

mohu tu hodnotu zmeni v tom /proc… ? aniz by se stalo neco katastrofalniho?
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
9. 11. 2009 15:42

Jirka P (neregistrovaný)

Můžeš, ale (prý) pak přestanou fungovat některé emulátory, jako dosemu.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
9. 11. 2009 16:29

Izak (neregistrovaný)

Podle me to neni pravda, viz prispevky podemnou, co znamena ta hodnota.
I kdyz kdo pouziva dnes DOSemu ;-)) kdyz zde mame KVM a dosbox
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
9. 11. 2009 15:30

Petr Uzel

openSUSE Factory:

> cat /proc/sys/vm/mmap_min_addr
65536
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
9. 11. 2009 15:32

Peter Fodrek

Zlatý podporovatel

>Nulu uvidíte na většině systémů mající něco společného s Red Hatem (RHEL, CentOS, Fedora) případně s Novellem (SLES, openSUSE)

openSUSE 11.1 jadro 2.6.27.37 chyba nie je vid vypis…

cat /proc/sys/vm/mmap_min_addr
65536
peto@fodrek:~/Documents/Drazdany/Drazdany/plazma> uname -a
Linux fodrek 2.6.25.16–0.1-default #1 SMP 2009–10–15 14:56:58 +0200 x86_64 x86_64 x86_64 GNU/Linux

more /boot/grub/menu.lst
# Modified by YaST2. Last modification on Mon Nov 9 15:04:23 CET 2009
# THIS FILE WILL BE PARTIALLY OVERWRITTEN by perl-Bootloader
# Configure custom boot parameters for updated kernels in /etc/sysconfig/bootloader

default 3
timeout 8
gfxmenu (hd0,5)/boot/message

###Don't change this comment – YaST2 identifier: Original name: linux###
title Desktop – openSUSE 11.1 – 2.6.32-rc6–15
root (hd0,5)
kernel /boot/vmlinuz-2.6.32-rc6–15-desktop root=/dev/disk/by-id/scsi-SATA_WDC_WD2500YS-01_WD-WCANY3077952-part6 resume=/d
ev/disk/by-id/ata-WDC_WD2500YS-01SHB1_WD-WCANY3077952-part5 splash=silent showopts vga=0×31a
initrd /boot/initrd-2.6.32-rc6–15-desktop

........

###Don't change this comment – YaST2 identifier: Original name: linux###
title openSUSE 11.1 – 2.6.27.37–0.1 (default)
root (hd0,5)
kernel /boot/vmlinuz-2.6.27.37–0.1-default root=/dev/disk/by-id/scsi-SATA_WDC_WD2500YS-01_WD-WCANY3077952-part6 resume=/d
ev/disk/by-id/ata-WDC_WD2500YS-01SHB1_WD-WCANY3077952-part5 splash=silent showopts vga=0×31a
initrd /boot/initrd-2.6.27.37–0.1-default

.......
###Don't change this comment – YaST2 identifier: Original name: linux###
title Ec2 – openSUSE 11.1 – 2.6.27.37–0.1
root (hd0,5)
kernel /boot/vmlinuz-2.6.27.37–0.1-ec2 root=/dev/disk/by-id/scsi-SATA_WDC_WD2500YS-01_WD-WCANY3077952-part6 resume=/dev/d
isk/by-id/ata-WDC_WD2500YS-01SHB1_WD-WCANY3077952-part5 splash=silent showopts vga=0×31a
initrd /boot/initrd-2.6.27.37–0.1-ec2

###Don't change this comment – YaST2 identifier: Original name: linux###
title Rt – openSUSE 11.1 – 2.6.31-rc8-rt9–10
root (hd0,5)
kernel /boot/vmlinuz-2.6.31-rc8-rt9–10-rt root=/dev/disk/by-id/scsi-SATA_WDC_WD2500YS-01_WD-WCANY3077952-part6 resume=/de
v/disk/by-id/ata-WDC_WD2500YS-01SHB1_WD-WCANY3077952-part5 splash=silent showopts vga=0×31a
initrd /boot/initrd-2.6.31-rc8-rt9–10-rt
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
9. 11. 2009 15:34

poohDA (neregistrovaný)

… by tato práva …
… na většině systémů majících …
Už je mi vlastně jedno o čem zpráva je. Jakmile vidím ‚Adam Štrauch‘ jdu dělat korektury.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
9. 11. 2009 16:13

Adam Štrauch

Díky, opraveno.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
9. 11. 2009 15:40

Daniel Housar

Co je to za číslo? Co bych tam měl dát za číslo? Zatím jsem tam dal hodnotu RAM v MB
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
9. 11. 2009 15:54

Jirka P (neregistrovaný)

Je to minimální adresa, na kterou lze z uživatelského prostoru něco namapovat, v bytech. Jako workaround na dereferenci NULL v jádře by tam měl být malý násobek velikosti stránky (=4096 na i386)
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
9. 11. 2009 19:54

Daniel Housar

Tak se mi stalo něco horšího… něco ten soubor přepisuje při restartu a háže tam 0.

Vždy tam napíšu 4096, buď vypnu nebo restartuju a po přihlášení do konzole je tam 0. Jelikož mi systém nabíhá do konzole, ze které pak spouštím GDM, tak to přepisuje něco co se nastaruje během nabíhání nebo při přihlášení.

Lze nějak zjistit, který proces k tomu souboru přistupoval?
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
9. 11. 2009 20:40

Daniel Housar

tak to jsem zase něco vymyslel… :-( nj, když je to v sysfs, tak to asi po restartu bude opravdu zpátky.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
9. 11. 2009 22:08

PM (neregistrovaný)

A nebo doplnte nasledujici do souboru /etc/sysctl.conf (pokud ho mate ve Vasi distribuci):

vm.mmap_min_addr = 4096
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
9. 11. 2009 20:59

Ash (neregistrovaný)

…především to totiž není žádný soubor, ale virtuální filesystém jádra, takže hodnoty se po restartu neuchovávají. Buď to tam pište vždy po startu, nebo si překompilujte patchnutý kernel s již nastavenou hodnotou.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
9. 11. 2009 15:44

PM (neregistrovaný)

Neni tohle nahodou ta dira, ktera je i s exploitem znama z poloviny srpna (http://blog.cr0.org/…-due-to.html) a byla jiz v te dobe diskutovana, tusim i tady na rootu?

Reseni tehdy pokud vim spocivalo v nastaveni vm.mmap_min_addr = 4096 coz by odpovidalo popsane chybe. Nebo se jedna o neco noveho se stejnym resenim?
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
9. 11. 2009 16:05

Jirka P (neregistrovaný)

Ne, je to jiná chyba (obávám se, že dereferencí NULL bude v jádře víc).

Jinak „řešení“ s vm.mmap_min_addr = 4096 je spíš workaround.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
9. 11. 2009 16:07

merlyn (neregistrovaný)

Tento problem x86 architektury je v OpenBSD uz davno opravenej…
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
9. 11. 2009 16:32

_xxx (neregistrovaný)

problem x86 architektury? co je tam specificke pre x86?
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
9. 11. 2009 20:52

bez přezdívky

IMHO mají jiné architektury lépe vyřešenou ochranu paměti, takže není potřeba zbytečně všem aplikacím mapovat kusy jádra do paměti – včetně nulové stránky.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
10. 11. 2009 0:22

Jirka P (neregistrovaný)

Ale tohle je nedorozumění – nulová stránka v žádném případě není součástí jádra. Dále, jádro se do paměťového prostoru aplikací mapuje i na jiných architekturách – ne proto, aby aplikace mohla přistupovat k jádru, ale naopak, aby jádro mohlo přistupovat k paměti aplikace. Ne, že by to nešlo jinak (i na 32bitu), viz např. 4G/4G patch, ale je to takový opruz, že se vám na to programátoři víte co… Například na MIPSu je rozdělení paměti dokonce zadrátované v architektuře.

Zabránit, aby jádro spouštělo kód z userspace, by šlo i na x86, ale zas to má svá ale.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
10. 11. 2009 6:43

bez přezdívky

No, to, co jsem řekl určitě není úplně přesné, nejsem expert, proto je tam to IMHO. Zkrátka některé jiné architektury jinak mapují paměť a tak k této chybě nemusí dojít.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
10. 11. 2009 3:31

qaaz (neregistrovaný)

Ano, 8 měsíců po vydání Linuxu 2.6.23 (2007/09) s podporou mmap_min_addr vyšlo OpenBSD 4.3 (2008/05) se zvýšenou hodnotou VM_MIN_ADDRESS. Naštěstí jsou oba systémy tak děravé, že šaškárny s NULLem nejsou vůbec potřeba. Ještě něco nám povíš?
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
10. 11. 2009 3:32

q (neregistrovaný)

± 8 :)
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
10. 11. 2009 8:07

x (neregistrovaný)

Doporucuji napred se vzdelavat, testovat a pak odpovidat. Pak se nestane, ze ze sebe udelate osla ;-)

http://marc.info/?…

Linux mel toto jen jako option a ne jako opravu, takze default bylo nula. I kdyz to ted ma nastavane, tak staci stupidne napsany program (Wine), Pulseaudio (Ubuntu 8.04, 8.10 a kdovi kde jeste) a je to zpatky na nule a navic nektere distra to maji porad na nule. Takze to, ze Linus zacne tvrdit, ze ma nejakou opravu a pritom staci nainstalovat nejaky program aby se to znova zmenilo zpatky na nulu nepovazuji lide co tomu rozumi za opravu ;-) Oprava je neco takoveho, ze uz se s predchozim problemem nesetkate, coz neni v pripade Linuxu pravda. Navic ti co tu chybu zkoumali zjistili, ze RedHat (Fedora,…) se sice tvari jako ze tu volby ma zapnutou, ale skutecnost je uplne jina ;-) OpenBSD zkoumalo skoro dva roky jak tu opravu udelat tak, aby to bylo pouzitelne, bezpecne a neovlivnilo to ostatni programy. Timhle se Linux nezabyval a tezko nekdy bude, protoze si nemuze dovolit to opravit poradne.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
11. 11. 2009 3:03

q (neregistrovaný)

> Doporucuji napred se vzdelavat, testovat a pak odpovidat.

Stalo se. Proto jsem napsal to, co jsem napsal a myslel jsem tím právě a jen to.

> Pak se nestane, ze ze sebe udelate osla ;-)

Tak jako vy dalším odstavcem.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
9. 11. 2009 16:41

s (neregistrovaný)

# cat /proc/sys/vm/mmap_min_addr
cat: /proc/sys/vm/mmap_min_addr: No such file or directory

tak nevim… ;-)
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
9. 11. 2009 17:21

PM (neregistrovaný)

To je ta horsi varianta, pak se tenhle workaround neda pouzit, ale dira tam asi stale je exploitovatelna.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
9. 11. 2009 18:14

bez přezdívky

[jakub@localhost Dokumenty]$ cat /proc/sys/vm/mmap_min_addr
4096

Čili ok.

Mám Mandrivu 2010.0, jádro 2.6.31.5.
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
9. 11. 2009 18:46

Hulka (neregistrovaný)

Výsledek na Debian 5.0 (Lenny) s vlastně sestavovaným jadrem:

hulka@Axson:~$ uname -srm
Linux 2.6.29.6 x86_64
hulka@Axson:~$ cat /proc/sys/vm/mmap_min_addr
0
hulka@Axson:~$

Poslední dobou se chyby v linuxovém jádře objevují jak houby po dešti. Začínám být rozpačitý … je to dobře nebo špatně?
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
9. 11. 2009 22:19

Ped7g

Otazka zni jestli se objevuji, nebo jsou tam pridavane.
Jestli je to stara chyba, ktera se objevi, tak je to myslim dobre, i kdyz ty updaty kernelu jsou docela otravne.
Jestli tam pridavaji nove a nove, tak je to spatne. :) Alespon pro mne, vzhledem k tomu ze aktualne umi kernel vse co potrebuji, takze mne osobne dalsi vyvoj nechybi. :P
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
10. 11. 2009 22:04

ByCzech

Také Debian 5.0, také vlastně sestavované jádro:

$ uname -srm
Linux 2.6.31.5–2-byczech x86_64

$ cat /proc/sys/vm/mmap_min_addr
4096

;-)
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
9. 11. 2009 19:52

miso (neregistrovaný)

# cat /proc/sys/vm/mmap_min_addr
65536
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
9. 11. 2009 21:26

Lukas (neregistrovaný)

To uz je tak trosku dost stara zpravicka ne ? Exploit na tohle uz jsem si prohlizel minuly tyden.
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
10. 11. 2009 0:39

ano, mam (neregistrovaný)

Jde jen o politováníhodné opomenutí několika package mainteinerů. Je to o tom, že když člověk rozbalí zdrojáky nového kernelu, dělá make oldconfig a ono se ho to ptá na něco, o čem nemá ani páru, tak by neměl odentrovat defaultní 0, ale třísknout do otazníku a přečíst si, že:

CONFIG_DEFAULT_MMAP_MIN_ADDR:

This is the portion of low virtual memory which should be protected
from userspace allocation. Keeping a user from writing to low pages
can help reduce the impact of kernel NULL pointer bugs.

For most ia64, ppc64 and x86 users with lots of address space
a value of 65536 is reasonable and should cause no problems.
On arm and other archs it should not be higher than 32768.
Programs which use vm86 functionality or have some need to map
this low address space will need CAP_SYS_RAWIO or disable this
protection by setting the value to 0.

This value can be changed after boot using the
/proc/sys/vm/mmap_min_addr tunable.
…

Každý normální člověk, tam po přečtení tohodle přece na ia64/ppc64/x86 dá buď 65536 nebo číslo, které mu z nějakého důvodu příjde ještě lepší.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
10. 11. 2009 11:47

hawran.diskuse

42?⠀
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
10. 11. 2009 1:17

ps (neregistrovaný)

docela by me zajimalo odkud se vzala ta informace o /proc/sys/vm/mmap_min_addr na tom linkovanem blogu.

sedim tady na dosud nepatchnutem gentoo-cku s 2.6.30-r6 a ze zabavy jsem zkusil stahnout prvni exploit pro CVE-2009–3547 na ktery jsem na webu narazil a nestih jsem se divit:

$ cat /proc/sys/vm/mmap_min_addr
4096
$ whoami
domuize
$ gcc ImpelDown-2.6.31only.c -o imp
$ ./imp
$ whoami
root

je to prosim nekdo schopny reprodukovat?
pavel
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
11. 11. 2009 13:20

ventYl (neregistrovaný)

negativne, na slacku 13 nejde spustit
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
10. 11. 2009 8:13

x (neregistrovaný)

http://marc.info/?…
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
10. 11. 2009 14:20

M. Prýmek

Jak to souvisí se zprávičkou?
- Zobrazit celé vlákno

Zasílat nově přidané názory e-mailem

Líbí

Nelíbí

Adam Štrauch

Adam Štrauch je redaktorem serveru Root.cz a svobodný software nasazuje jak na desktopech tak i na routerech a serverech. Ve svém volném čase se stará o komunitní síť, ve které je již přes 100 členů.

Sdílet

Byl pro vás článek přínosný?

Autor zprávičky

Adam Štrauch

Bezpečnostní díra v jádře

Sdílet

Byl pro vás článek přínosný?

Autor zprávičky

Adam Štrauch

Dále u nás najdete

Labioplastika neslouží jen vyššímu sebevědomí

Plavání s hlavou nad vodou vám ubližuje

Příčina obřího IT výpadku? Chyba aktualizace

Motání hlavy může být způsobeno problémy s krčními tepnami

Výrobce koupelnového vybavení Laufen čeká oživení poptávky

Intolerance lepku byla po staletí záhadou. Vysvětlil ji až hladomor

Vesna a další, kdo přežili volný pád z několika kilometrů

Pořad 168 hodin v České televizi končí

Propagační leták v Canvě zvládnete za pár minut

Allegro v ČR spouští výdejní boxy, WE|DO se mění na One by Allegro

Proč vystavujeme zápočtový list a proč ho vyžadujeme?

Tesco na jedné straně plasty šetří, na druhé jimi ale plýtvá

Zmatek u důchodové reformy, stejný termín pro dvě opatření

Albert testuje umělou inteligenci, ušetří čas pokladním i zákazníkům

Test Wi-Fi 7 vs. Wi-Fi 6: Další zvýšení rychlostí

S haluxy můžete mít boty na pojišťovnu

Musk: Humanoidní roboty začne Tesla používat už příští rok

Výrobci nemusí udávat přesné složení parfémů

Separační úzkost je normální součástí vývoje dítěte

Revmatická horečka už nepatří mezi běžná onemocnění