RNP - Rede Nacional de Ensino e Pesquisa
 
Segurança de redes 
 

Vulnerabilidade no kernel do Linux

Alerta do CAIS ALR-14062004

[CAIS, 14.06.2004-16:56, revisão 01]


O CAIS teve conhecimento sobre a existência de um código malicioso que, quando executado em um sistema Linux vulnerável, pode causar o travamento do sistema e conseqüente negação de serviços.

Segundo a fonte do alerta, o problema se manifesta quando o código em questão é compilado com o GCC versões 3.0, 3.1, 3.2, 3.3 ou 3.3.2, e é executado em sistemas rodando o kernel do Linux nas versões 2.4.2x ou 2.6.x em arquitetura x86. Sistemas utilizando os processadores AMD64 também podem ser afetados.

O problema se torna mais sério devido ao fato do usuário que compila e executa o programa não necessitar ter acesso privilegiado ao sistema. Assim, qualquer usuário que tenha acesso a um shell no sistema poderá causar o travamento da maquina.


Sistemas afetados:

Sistemas utilizando os seguintes kernels foram testados e são comprovadamente vulneráveis:

  • Kernel Linux 2.6.x
  • 2.6.7-rc2
  • 2.6.6 (vanilla)
  • 2.6.6-rc1 SMP
  • 2.6.6 SMP
  • 2.6.5-gentoo
  • 2.6.5-mm6
  • 2.6.5 (fedora core 2 vanilla)
  • Kernel Linux 2.4.2x
  • 2.4.26 vanilla
  • 2.4.26, grsecurity 2.0 config
  • 2.4.26-rc1 vanilla
  • 2.4.26-gentoo-r1
  • 2.4.22
  • 2.4.22-1.2188 Fedora FC1 Kernel
  • 2.4.18-bf2.4 (debian woody vanilla)
  • Kernel com patches grsecurity
  • Kernel 2.5.6 SMP
  • Kernel 2.6.6 SMP do Linux.

Além disso, outras versões de kernel da série 2.4 e 2.6 podem ser afetadas por esta vulnerabilidade.


Sistemas não afetados:

O código malicioso não causa qualquer estrago e termina exibindo a mensagem de erro "Floating point exception" nos sistemas rodando as seguintes versões de kernel:

  • Linux nudge 2.6.5-1um i686 (o kernel do User Mode Linux) Dylan Smith
  • Linux Kernel 2.6.4 SMP com o patch staircase scheduler Guille aplicado
  • Linux kernel 2.4.26-rc3-gentoo (gcc 3.3.3)
  • Linux kernel 2.4.26_pre6-gentoo (gcc 3.3.2)
  • Linux Kernel 2.4.25-gentoo-r1 Charles A. Haines (3G Publishing)
  • 2.2.19-kernel
  • kernel 2.6.5-1um do User Mode Linux. É possível que outras versões de kernel do User Mode Linux também o sejam.

Correções disponíveis:

Para corrigir o problema recomenda-se a atualização do kernel e aplicação de um patch para o kernel utilizado, de acordo com o que está descrito em:


Mais informações:


O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes.

Os Alertas do CAIS também são oferecidos no formato RSS/RDF:
http://www.rnp.br/cais/alertas/rss.xml



Centro de Atendimento a Incidentes de Segurança


Referências:

New Kernel Crash-Exploit discovered

ALR-14062004.txt download do arquivo

formato: text/xml



Consulta em alertas

 


Contato com o Cais:

+55 (19) 3787-3300
+55 (19) 3787-3301

cais@cais.rnp.br


Chave PGP pública do Cais