[PLUTO-security] Buco nel kernel
Germano Rizzo
mano a pluto.it
Mar 2 Dic 2003 09:30:34 CET
Ciao,
qualche tempo fa dei cracker sono entrati in tre macchine di
debian.org; la cosa aveva fatto un po' di scalpore, perché tali macchine
erano supposte "sicure", con applicate le ultime patch e tutto. Alla
fine si è scoperto che avevano sfruttato un buco ancora sconosciuto nei
kernel fino al 2.4.22 per ottenere i privilegi di root da un account non
privilegiato di cui avevano sniffato la password.
Per chi se lo fosse perso, ecco un link alla storia di Slashdot.
http://developers.slashdot.org/developers/03/12/01/2133249.shtml?tid=106&tid=185&tid=90
La cosa secondo me offre degli spunti di pensiero interessanti: tutti i
kernel < 2.4.23 (quindi, virtualmente quasi tutti i sistemi linux in
rete) nativi, ma anche patchati da vari vendor paiono vulnerabili a
questo baco (mi chiedo da quanto tempo giri l'exploit); in più, non è
per nulla garantito che non ce ne siano altri. Torna anche alla memoria
l'annoso problema della programmazione sicura in C, e le varie patch per
rendere quanto più inoffensivi i buffer overflow: tra le più semplici e
promettenti, a mio parere, grsecurity per il kernel e protector per gcc:
http://www.research.ibm.com/trl/projects/security/ssp/
Infine, "nel male" è un'altra piccola vittoria della sicurezza "stile
Open Source": tra la scoperta del fatto, l'analisi e la risoluzione del
problema credo siano passati una decina di giorni, e si sono impegnati
assieme tecnici di ditte teoricamente concorrenti tipo SuSE e RedHat
(ovvio, riguardava tutti... ma ciò non fa che confermare la tesi).
Quando poi il buco è stato scoperto, era già stato risolto nel nuovo
kernel ;). Questo se non altro mi fa sentire un po' più sicuro...
Germano
Maggiori informazioni sulla lista
pluto-security