[sisyphus] I: kernel local root vulnerability (CVE-2013-2094)

Mike Lykov combr-desktop на yandex.ru
Ср Май 15 20:52:36 MSK 2013



>>>  Эта дыра неактуальна для многих наших ядер уже с конца апреля.
>>  а что делать пользователям ядра kernel-image-ovz-el , например?
>
> Перечитать предложенное в качестве объезда.  См. тж.
> http://www.opennet.ru/openforum/vsluhforumID3/90017.html#130

читаю (следующий же комент)

---
> kernel.perf_event_max_sample_rate=-1

идея, вероятно, отсюда:
    if (attr.freq) {
        if (attr.sample_freq > sysctl_perf_event_sample_rate) // kernel.perf_event_max_sample_rate
            return -EINVAL;
    }

но attr.freq в запросе этого эксплоита не выставлен, поэтому особого смысла нет.

А kernel.perf_event_paranoid=2 и впрямь недостаточно, т.к. основывается на этом коде:
    if (!attr.exclude_kernel) {
        if (perf_paranoid_kernel() && !capable(CAP_SYS_ADMIN))
            return -EACCES;
    }
достаточно включить attr.exclude_kernel в исходном запросе, чтобы kernel.perf_event_paranoid=2 перестало спасать.
--------------

откуда вообще это благодушие "нам неактуально", "есть же обьезд"? дело-то серьезное, не отмахнешься.


-- 
Mike


Подробная информация о списке рассылки Sisyphus