CVE-2016-5195 "Dirty Cow"

Hallo zusammen,

habt ihr schon eure Systeme geupdated? Die Router sind auch alle betroffen… Eine neue Firmware sollte also zeitnah ausgerollt werden.

Reboot und u.U. batman-adv neu kompilieren nicht vergessen!

PBB

1 „Gefällt mir“

Bei den Openwrt-Kisten sehe ich weniger Gefahr, da ist jeder mit shell-login sowieso root…

aber sonst ja, habe da viel geupdated…

1 „Gefällt mir“

Das würde ich nicht pauschal unterschreiben - wobei ich Dir das entsprechende Fachwissen unterstelle. Im Prinzip geht es um jeden Prozess, der (auch mit User-Rechten) Dateien schreiben kann und die dann durch die Rechteausweitung statt als User als root ausgeführt werden können. Ich blicke jetzt nicht die technischen Dinge in der Freifunk-Firmware, aber bei Webservern geht es durchaus auch um mit unprivilegierten Usern ausgeführte Prozesse. Es ist halt ein entscheidender Schritt auf dem Weg zur Übernahme eines Servers. Nicht unbedingt nur die shell-Logins. Die sind sowieso betroffen.

Frage ist auch ob es schon einen Patch dagegen in Gluon gibt :wink: Die Tags selbst haben auch immer eine Gluon Version mit festen Kernel. Neu compilieren wird also wohl nichts bringen.

Also die Panikmache verstehe ich hier nicht :octopus:

Das ist ein „local“ Exploit d.h. man muss bereits Zugang zu diesem System haben um den
Exploit auszunutzen. Ein Webserver der es ermöglicht fremden Code auf dem Server auszuführen
würde ich grundsätzlich nicht ins Internet stellen…wenn doch ist „Dirty Cow“ dein kleinstes Problem :smile:
Also müsste jemand einen anderen Exploit finden um auf deinem Server zu gelangen, um dann „Dirty Cow“ ausführen zu können…öhm ja genau :smiley:

Kannst ja mal ein bisschen testen…gibt auch schon tolle Metasploit Plugin´s :wink:

3 „Gefällt mir“

Du hast ein Betriebsystem, bei dem prinzipiell alle Prozesse verdächtig sind, als root zu laufen. Und sich jedes irgendwie auf’s System schummelnde binary zum root machen kann.
Faktisch hast Du damit einen Dos-Rechner vor Dir.
Das muss nicht schlimm sein.
Wenn man aber bislang etwas darauf gegeben hat, dass Prozesse nur die Rechte haben, die sie auch wirklich benötigen. Und damit halt „ausbrechende Serverdienste“ (seihe ffmap-exploit vor einigen Monaten) ein System übernehmen können.
Man kann natürlich sagen „so wertvoll sind unsere Daten nicht“ und „Nutzende sollen sowieso selbst verschlüsseln“.
Kann aber aber auch anders sehen. Und das tue ich.

2 „Gefällt mir“

Damals kam aber noch deutlich erschwerend hinzu, dass der tendenziell eher angreifbare map Server zusätzlich auch noch Supernode/Gateway war.

Ich würde hoffen, dass dies in aller Regel getrennte Systeme sind und deshalb die Supernodes durch die ja Nutzerdaten gehen sehr viel schwerer angreifbar sind, da wegen kein Webserver läuft.

Ein Update für die Gluon Kisten wäre tatsächlich wünschenswert, aber ich sehe bei dem minimalistischen radvd & Webserver der dort läuft kaum einen Angriffsvektor. 2016.2.1 sollte ja bald kommen.

1 „Gefällt mir“