0-Day-Exploit ermöglicht root-Rechte: Linux-Kernel 2.6.x betroffen

h00lyshit hat einen 0-Day-Exploit veröffentlicht, mit dem sich ein Anwender root-Rechte beschaffen kann.

Laut Aussage des Entdeckers ist dies ein neuer Bug und hat nichts mit Schwachstelle CVE-2006-2451 zu tun. Der Code wurde auf verschiedenen Distributionen erfolgreich getestet. tecCHANNEL prüfte dies auf einem voll gepatchten Kubuntu 6.06 nach, und es funktioniert tatsächlich. Betroffen scheinen alle Kernel-Versionen 2.6.x zu sein. Sie möchten es selbst versuchen? Mit wenigen Handgriffen können Sie die Anfälligkeit Ihrer Systeme testen. Machen Sie sich bewusst, dass Sie die Grenze der Legalität hiermit leicht überschreiten können. Benutzen Sie Nachfolgendes nur aus Gründen der Sicherheit und auf Systemen, auf denen Sie sowieso root-Rechte besitzen. tecCHANNEL übernimmt auch keine Haftung, sollte der Test eventuelle Schäden verursachen.

Es funktioniert!: Achten Sie in nächster Zeit besonders auf Ihre Systeme!
Es funktioniert!: Achten Sie in nächster Zeit besonders auf Ihre Systeme!

Laden Sie sich zunächst die Datei h00lyshit herunter. Benennen Sie diese um in h00lyshit.c. Auf einem Linux-Rechner kompilieren Sie die ausführbare Datei mit dem Befehl gcc h00lyshit.c -o h00lyshit. Nun brauchen Sie noch eine große Datei. Im Test hier reichten die zirka 42 MByte großen unkomprimierten Sourcen von MPlayer. Der Befehl ./h00lyshit <große Datei> als nicht-root wird Sie in Erstaunen versetzen. Im Test dauerte es inklusive Kompilation nicht einmal eine Minute, um Superuser auf dem System zu sein. Der Exploit funktioniert nur als lokaler Anwender. Stellen Sie also sicher, dass kein Hacker durch anderweitig fehlerhafte Software in irgendeiner Form Zugriff auf Ihre Systeme bekommt. Als mögliche Abhilfe rät ein Anwender, das Verzeichnis /proc als nosuid zu mounten: mount –o remount,noexec,nosuid /proc. (jdo)

Update: Der Exploit oben funktioniert nur, wenn die a.out-Unterstützung im Kernel aktiviert ist. Die Lücke ist dennoch vorhanden, mit a.out-Support oder nicht. SELinux scheint den Exploit zu erfolgreich zu blocken. Auf einem Rechner mit Fedora Core 5 und aktiviertem SELinux funktionierte es nicht.

Sie interessieren sich für Linux? Dann abonnieren Sie doch den kostenlosen Linux-Newsletter von tecCHANNEL. Er wird in der Regel einmal pro Woche am Freitag verschickt und enthält nur die für Linux-Anwender relevanten News und Beiträge von tecChannel.de. So sparen Sie Zeit und sind trotzdem voll informiert. Hier geht es zur Anmeldeseite.

tecCHANNEL Shop und Preisvergleich

Links zum Thema Linux

Angebot

Bookshop

Bücher zum Thema

eBooks (50 % Preisvorteil)

eBooks zum Thema

Software-Shop

Betriebssysteme