En los últimos días hubo un ligero paniqueo con respecto a un exploit para el kernel de Linux que afecta las versiones entre 2.6.17 y 2.6.24, inclusive. Los parches por fin salieron hoy; pueden leer la noticia en Kernel Trap.
En general yo había oído de exploits desde hacía mucho, pero este fue el primero que vi que funcionaba. En casi todas las máquinas con Gentoo que probé (excepto una que Enrique mantiene) pude convertirme en root sin ningún problema, y por lo visto Ubuntu, Slackware y Suse también sufren el mismo problema. Casualmente en la única versión de Fedora a la que tengo acceso no pude convertirme en root.
Es una vulnerabilidad local; uno debe tener acceso a la máquina como usuario regular para poder convertirse en root. Sería muchísimo más grave si el exploit fuera remoto; pero de cualquier forma está cabrón.
Como sea, lo primero que me vino a la mente cuando me di cuenta de que el exploit funcionaba fue que qué mala suerte. Cuando estaba en la Facultad como estudiante tenía acceso a un montón de máquinas como usuario regular, y me hubiera gustado poder convertirme en root en ellas. Y ahora que este exploit aparece, en todas las máquinas donde tengo acceso como usuario no necesito al exploit, porque también tengo acceso como root.
Si administran una máquina Linux con kernel entre 2.6.17 y 2.6.24, actualícenlo.
El exploit es local, pero en los tiempos que corren y con tanto script kiddie ejecutando shells PHP, piense Ud. Sr. Canek en la combinación shell www-data+exploit vmsplice() y verá cómo se eleva exponencialmente el riesgo…
El problema con el exploit era que no había actualizaciones oficiales para el kernel hasta que publiqué mi entrada.
Si un sitio es vulnerable a script kiddies, eso ya es incompetencia del administrador.
declarado inutil por “incompetencia del administrador” buena frase va al archivo.
Canek, te equivocas. Quizá no hayas trabajado en un datacenter grande y por eso afirmas que es incompetencia del administrador, pero hay muchas formas de que se cuele un script-kiddie en un sistema, y no son por descuido. Si tú ‘securizas’ -o ‘aseguras’- un equipo al 105% perderás clientes porque sus webs no están bien programadas pensando en todas las casuísticas posibles, sino más bien al contrario.
Lo siento, pero he decidido dejar de leer este blog y de comentar después de dos o tres años haciéndolo, pero he visto en los comentarios (no necesariamente hacia mi persona) que siempre quieres tener la razón, aún siendo evidente que no la tienes en algunos casos.
Sí he trabajado en call centers y en data centers, y estoy consciente de la dificultad que implica mantenerlos seguros. Pero fuiste tú el que usó mal los términos: script kiddies por definición son niños que crackean servidores usando código que ellos mismos no saben usar.
Yo sé que es casi (pero no completamente) imposible defenderse contra todos los posibles vectores de ataque; pero contra los script kiddies sólo hay que seguir las reglas mínimas de seguridad, porque (de nuevo) por definición los script kiddies sólo atacan usando vulnerabilidades públicas. Así que sostengo lo que digo: si un sitio es vulnerable a script kiddies, eso es incompetencia del administrador (y ojo, sólo dije script kiddies; no mencioné todos los posibles vectores de ataque). Si tú (usando mal el término script kiddie) te referías a todos los posibles vectores de ataque, entonces estoy de acuerdo.
Y no es que quiera tener la razón siempre; es sólo que defiendo lo que digo. Ha habido varias ocasiones en que reconozco haberme equivocado en mis comentarios; pero en particular en este caso tú fuiste el que se equivocó (o si quieres, el que usó mal un término). Y entonces yo sencillamente voy a sostener lo que digo, porque no estoy equivocado: si un sitio es vulnerable a script kiddies, eso es incompetencia del administrador.
Si por sostener lo que digo vas a dejar de leerme, esa es tu decisión.