Guadagno di privilegi per Linux

Sulla mailing list full disclosure è stato pubblicato il sorgente di un programma di Dan Rosenberg che permette il guadagno di privilegi per un utente locale di Linux fino alla versione 2.6.37 inclusa.

Il programma sfrutta tre diverse vulnerabilità note del kernel, che vengono utilizzate per guadagnare i privilegi di root.

Benché sia una vulnerabilità sfruttabile solo localmente, un programma del genere potrebbe essere caricato su un server di cui si è guadagnato il controllo attraverso un sito con bachi o vulnerabilità.

Aggiornamento del 8/12/2010 17:25: Marcus Meissner sulla lista bugtraq propone un sistema temporaneo per evitare il guadagno di privilegi. Dando il comando

echo 1 > /proc/sys/kernel/panic_on_oops

si forza il kernel ad andare in panico se qualcuno tenta di sfruttare la vulnerabilità.

Autore: Luigi Rosa

Consulente IT, sviluppatore, SysAdmin, cazzaro, e, ovviamente, geek.

2 pensieri riguardo “Guadagno di privilegi per Linux”

Spazio per un commento