Jednoduchý test na zraniteľnosť vášho Linuxu

09.11.2009 | 15:24 | dodoedo | Novinky

Článok na itworld.com dáva do pozornosti cat príkaz, ktorý jednoducho spustíte vo vašom termináli. Tu je: cat /proc/sys/vm/mmap_min_addr
Ak tento príkaz vráti hodnotu 0 alebo nevypíše nič, linuxový kernel je potenciálne zraniteľný v zmysle článku a treba aplikovať okamžite príslušný patch.

    • mam ubuntu 9.10 10.11.2009 | 00:58
      klasik   Návštevník
      a pise mi toto: samuel@samuel-laptop:~$ cat /proc/sys/vm/mmap_min_addr
      0
      ,,,, co stym ako to spravit?
      • Re: mam ubuntu 9.10 10.11.2009 | 01:00
        klasik   Návštevník
        dopisal som to aj tu: http://www.abclinuxu.cz/poradna/linux/show/282870#95
      • Re: mam ubuntu 9.10 10.11.2009 | 08:43
        Avatar Samuel BWPOW Kupka CentOS, Mandriva  Používateľ
        Strach dát najevo své pocity a zjednat si u druhých respekt je jedním z problémů civilizovaného člověka, který se naučil zpochybňovat svou vlastní pravdu pro zdání objektivity
      • Re: mam ubuntu 9.10 10.11.2009 | 10:38
        Avatar dodoedo Fedora Linux  Používateľ
        RedHat/Fedora to majú riešené jadrovým patchom t.j. podľa mojich info sa ti hodnota nezmení späť na 0 aj keď si nainštaluješ Wine (alebo Qemu).
        Keď používaš Wine aplikáciu, tak sa ti tá inkriminovaná hodnota v U 9.10 prepisuje z 65535 späť na 0 . Dole od Sama Kupku máš link, tam si pozri v commentoch ďalšie riešenia pre Debian-like distra napríklad tu.
        G. Orwell: "Čím více se společnost vzdaluje od pravdy, tím více bude nenávidět ty, kteří ji říkají."
        • Re: mam ubuntu 9.10 10.11.2009 | 16:57
          klasik   Návštevník
          aha takze ked mam v ubuntu wine a ten wine my hodnotu zmeni na 0 tak som zranitelny alebo nie?
          • Re: mam ubuntu 9.10 10.11.2009 | 17:28
            Avatar dodoedo Fedora Linux  Používateľ
            Ahoj, podľa toho čo píšu tak áno, si zraniteľný.

            Tam v tom linku nájdeš ale aj riešenia pre Debian_like systém, aj s nainštalovaným Wine.
            http://wiki.debian.org/mmap_min_addr
            G. Orwell: "Čím více se společnost vzdaluje od pravdy, tím více bude nenávidět ty, kteří ji říkají."
          • Re: mam ubuntu 9.10 10.11.2009 | 22:46
            Avatar Dušan Ďurech Debian Lenny 5.0  Používateľ
            >wine my hodnotu zmeni na 0 tak som zranitelny alebo nie?

            Menit hodnotu /proc/sys/vm/mmap_min_addr moze iba proces s pravami roota, neviem si predstavit,
            ako tuto hodnotu meni wine na 0. (BTW spustil som wine, a pocas jeho behu sa hodnota (4096) nezmenila
            • Re: mam ubuntu 9.10 10.11.2009 | 22:54
              Avatar dodoedo Fedora Linux  Používateľ
              ahoj.
              Aké máš jadro(verzia) na tom Debiane?
              G. Orwell: "Čím více se společnost vzdaluje od pravdy, tím více bude nenávidět ty, kteří ji říkají."
              • Re: mam ubuntu 9.10 10.11.2009 | 23:17
                Avatar Dušan Ďurech Debian Lenny 5.0  Používateľ
                Pardon, uplne som zabudol 2.6.31.5 vanilla kernel
                ( viem, v 2.6.31.6 je to uz opravene )
                • Re: mam ubuntu 9.10 10.11.2009 | 23:52
                  Avatar dodoedo Fedora Linux  Používateľ
                  Ahoj.

                  K tomu Wine (vzniklo to vraj kvôli Win16 binárkam)
                  http://bugs.winehq.org/show_bug.cgi?id=20578
                  G. Orwell: "Čím více se společnost vzdaluje od pravdy, tím více bude nenávidět ty, kteří ji říkají."
            • Re: mam ubuntu 9.10 11.11.2009 | 09:23
              prv1   Návštevník
              ked si installujes do ubuntu (debian) balik wine tak uz len na outpute vidis ktore sysctl zapisuje -
              Setting up wine (1.0.1-0ubuntu8) ...
              kernel.printk = 4 4 1 7
              net.ipv4.conf.default.rp_filter = 1
              net.ipv4.conf.all.rp_filter = 1
              net.ipv4.tcp_syncookies = 1
              vm.mmap_min_addr = 0
              ....
              aby bolo to 0 zabezpecene po reboote spravi sa /etc/sysctl.d/30-wine.conf ktory obsahuje :

              # Wine needs to access the bottom 64k of memory in order to launch
              # 16 bit programs.
              vm.mmap_min_addr = 0
    • Jadro 2.6.31.6 a 2.6.27.39 rieši tento problém 10.11.2009 | 21:03
      Avatar dodoedo Fedora Linux  Používateľ
      G. Orwell: "Čím více se společnost vzdaluje od pravdy, tím více bude nenávidět ty, kteří ji říkají."