黑客再爆Linux内核高危漏洞，一个命令可以攻击所有Linux系统

earthengine

来源：http://baoz.net/linux-sockops-wrap-proto-ops-local-root-exploit/

在微软本月月经日(8.11)的同一天，国外黑客taviso和julien公开了可以攻击所有新旧Linux系统的一个漏洞，包括但不限于 RedHat,CentOS,Suse,Debian,Ubuntu,Slackware,Mandriva,Gentoo及其衍生系统。黑客只需要执行一个命令，就可以通过此漏洞获得root权限，即使开启了SELinux也于事无补。攻击这个漏洞到底有多简单，下面我们看图说话，有图有真相。

CHANGELOGS:

2009/08/16 chenjun@xfocus提供了debian/ubuntu系统的修复方式。

2009/08/16 根据网友要求添加漏洞详情和exploit下载地址。

2009/08/16 改进修复方式，避免RHEL下的无效修复。感谢小阮MM反馈并提供服务器协助定位解决。

2009/08/16 添加攻击经验记录。感谢cnbird分享经验。

2009/08/17 修正攻击经验记录。感谢xiaoyu,wzt指出selinux相关错误。

                               
登录/注册后可看大图

如上图所示，利用此漏洞极其简单，并且影响所有的Linux内核，baoz强烈建议系统管理员或安全人员参考下列临时修复方案，以防止Linux系统被攻击 。

1、使用Grsecurity或者Pax内核安全补丁，并开启KERNEXEC防护功能。

2、升级到2.6.31-rc6或2.4.37.5以上的内核版本。

3、如果您使用的是RedHa tEnterprise Linux 4/5的系统或Centos4/5的系统，您可以通过下面的操作简单的操作防止被攻击。

在/etc/modprobe.conf文件中加入下列内容：

install pppox /bin/true
install bluetooth /bin/true
install appletalk /bin/true
install ipx /bin/true
install sctp /bin/true

执行/sbin/lsmod | grep -e ppp -e blue -e app -e ipx -e sct，如果没有输出，你不需要重启，如果有输出，你需要重启系统，才可以对此攻击免疫。

下图是免疫前后的效果对比图：

                               
登录/注册后可看大图

                               
登录/注册后可看大图

4、如果您使用的是Debian或Ubuntu系统，您可以通过下面的操作防止被攻击（感谢chenjun提供）

cat > /etc/modprobe.d/mitigate-2692.conf << EOM
install ppp_generic /bin/true
install pppoe /bin/true
install pppox /bin/true
install slhc /bin/true
install bluetooth /bin/true
install ipv6 /bin/true
install irda /bin/true
install ax25 /bin/true
install x25 /bin/true
install ipx /bin/true
install appletalk /bin/true
EOM
/etc/init.d/bluez-utils stop

很明显，第三、四个方案最简单也相对有效，对业务影响也最小，如果您对编译和安装Linux内核不熟悉，千万不要使用前两个方案，否则您的系统可能永远无法启动。

如果你希望了解漏洞详情，请访问下列URL：

http://archives.neohapsis.com/ar ... e/2009-08/0174.html

http://blog.cr0.org/2009/08/linu ... ference-due-to.html

https://bugzilla.redhat.com/show_bug.cgi?id=516949

如果你希望亲手验证此漏洞，你可以下载下列两个代码包测试（有可能导致系统不稳定，当机等现象，后果自负）：

http://www.securityfocus.com/dat ... rbar_emporium-3.tgz

http://www.securityfocus.com/dat ... xploits/36038-4.tgz

攻击经验记录：

1、exp和selinux多多少少有点关系，和内核版本，系统版本也有关系，根据wzt提供的信息Recent kernels with mmap_min_addr support may prevent exploitation if
the sysctl vm.mmap_min_addr is set above zero来看，exp和vm.mmap_min_addr有更紧密的关系，具体如何大家自己去摸索好了。最好的办法是，把所有的RHEL4.x 5.x都装一次，开关selinux，挨个exp一遍。xiaoyu提醒大家，如果改变了exp的状态，首先要重启，其次建议删除老的文件，重新编译一次 exp。

2、回连的shell溢出虽然可以成功，但uid不是0，解决办法是用一个带pty的shell。这个经验由cnbird提供。

Linux在微软的月经日爆如此严重的漏洞，挺值得纪念的。如果您希望了解本漏洞更多的内幕、八卦和细节，请访问http://baoz.net/linux-sockops-wrap-proto-ops-local-root-exploit/

ingeer

。。這個。。 我不太懂LINUX
不過我看了圖。。 根據一個程序員的經驗。。 這不是一個命令，而是一個腳本。。 這個腳本似乎編譯了兩個C文件後執行它們後劫持(PROWN)了kernel,  似乎這個漏洞與mplayer有關。。似乎這個漏洞更象是MPLAYER播放.avi文件時的漏洞。。

什麼‘一個命令攻擊所有LINUX’。。 標題黨得利害了。。

someonehappy

嗯，第一张图的文字比较搞笑。

what a insecure machine!

akai

的确是个高危漏洞 但标题起的不好

kaile

如果是一般用户可以上传一个这样的SHELL命令文件，再执行就获得root权限，确实非常危险

earthengine

原帖由 ingeer 于 18-8-2009 09:08 发表

                               
登录/注册后可看大图

。。這個。。 我不太懂LINUX
不過我看了圖。。 根據一個程序員的經驗。。 這不是一個命令，而是一個腳本。。 這個腳本似乎編譯了兩個C文件後執行它們後劫持(PROWN)了kernel,  似乎這個漏洞與mplayer有關。。似乎這個 ...

图里很明白，系统没有安装mplayer，所以报告命令找不到。这只是示范如何以root权限执行任意命令，在此是mplayer。