Según los informes, se descubrió que un nuevo exploit de día cero afecta a Linux / Android (CVE-2016-0728)

16

Russia Today informa (20 de enero de 2016) que se ha descubierto un nuevo exploit de día cero que afecta a Linux y a todos los sistemas operativos basados ​​en Linux para computadoras y teléfonos.

Cuál es el trato; ¿Cómo afecta a Ubuntu? ¿Y cuándo podemos esperar actualizaciones de seguridad que cierren este agujero de seguridad?

kernel security IWPCHI
fuente
Cuando ? lo antes posible, no puedo darle una fecha u hora específica
Edward Torvalds
¿Qué núcleo es vulnerable y qué mitigación para abordar la vulnerabilidad?
Más detalles aquí: networkworld.com/article/3023447/security/… AND percepción
point.io

Respuestas:

35

Ya ha sido parcheado .

Citando el artículo:

[...] "Yevgeny Pats descubrió que la implementación del llavero de sesión en el kernel de Linux no hacía referencia adecuada al recuento al unirse a un llavero de sesión existente. Un atacante local podría usar esto para causar una denegación de servicio (bloqueo del sistema) o posiblemente ejecutar arbitrariamente código con privilegios administrativos ", lee el Aviso de seguridad de Ubuntu de hoy USN-2872-1 para Ubuntu 15.10. [...]

y

Los parches [...] ahora están disponibles para las distribuciones Ubuntu 15.10 (Wily Werewolf), Ubuntu 15.04 (Vivid Vervet) y Ubuntu 14.04 LTS (Trusty Tahr). [...]

y

[...] se le recomienda actualizar los paquetes del kernel linux-image-4.2.0-25 (4.2.0-25.30)para Ubuntu 15.10 (Wily Werewolf), linux-image-4.2.0-1020-raspi2 4.2.0-1020.27para Ubuntu 15.10 (Raspberry Pi 2), linux-image-3.19.0-47 (3.19.0-47.53)para Ubuntu 15.04 (Vivid Vervet) y linux-image-3.13.0-76 (3.13.0-76.120)para Ubuntu 14.04 LTS (Trusty Tahr). [...]

Por lo tanto, los usuarios de las versiones parcheadas (15.10 / 15.04 / 14.04, y según Canonical también 12.04 ) pueden (y deberían) actualizar de inmediato ejecutando:

sudo apt-get update && sudo apt-get dist-upgrade

y reiniciando la computadora después.

kos
fuente
¡Gracias por su respuesta! Vamos a pasar la información lo antes posible!
IWPCHI
13
@IWPCHI Si encuentra útil esta respuesta, recuerde que también puede aceptarla .
kos
1
@IWPCHI ¡No le agradezcas a Kos! ;-) Si esta respuesta le ayudó, simplemente haga clic en el pequeño gris debajo del número que ahora se convertirá en un hermoso verde. Si no le gusta la respuesta, haga clic en la pequeña flecha gris hacia abajo debajo del 0, y si realmente le gusta la respuesta, haga clic en la pequeña gris ☑ y la pequeña flecha hacia arriba ... Si tiene alguna otra pregunta, solo pregunta a otro !
Fabby
16

Solo complementando la buena respuesta de @ kos:

El exploit de día cero (CVE-2016-0728) fue encontrado por los investigadores en Perception Point .

Fue introducido en 3.8 Vanilla Kernel. Por lo tanto, las versiones de Ubuntu que usan las versiones 3.8 o posteriores del kernel son vulnerables. Como @kos ya mencionó, en una versión compatible solo puede actualizar el kernel para instalar el parche:

sudo apt-get update && sudo apt-get dist-upgrade

Cómo verificar la vulnerabilidad (tomado de aquí ):

Instalar libkeyutils-dev:

sudo apt-get install libkeyutils-dev

Copie este programa C de github , escrito por el equipo de Perception Point para probar el exploit.

Guarde los códigos en un archivo, por ejemplo, test_2016_0728.cy compile:

gcc test_2016_0728.c -o test_2016_0728 -lkeyutils -Wall

Ejecute el programa compilado como usuario normal :

./test_2016_0728 -PP1

Tomaría algún tiempo, si su núcleo es vulnerable después de completar el programa, verá que su privilegio se ha incrementado, es decir, se ha convertido root.

heemayl
fuente
¡Lástima que ya había actualizado o definitivamente lo habría probado!
kos
@kos ummm ... malo para ti: P
heemayl
¿Lograste reproducir el exploit? No encontré a nadie que lo haya hecho hasta ahora.
Jakuje
@Jakuje Actualicé mi kernel antes de leer el artículo del punto de percepción ... De acuerdo con el artículo, es el camino ...
heemayl
@Jakuje Estoy probando el exploit en mi Pi ahora mismo, que ejecuta una versión sin parches de Raspbian Jessie. Está funcionando, pero parece que no está sucediendo mucho.