Was ist mit der "Ptrace" Sicherheitslücke in allen Kerneln
Hallo Leute, ohne das ich jetzt hier einen Flamewar auslösen will. Hat jemand die oben genannte Sicherheitslücke schon gepacht ? http://www.heise.de/newsticker/result.xhtml?url=/newsticker/data/ju-20.03.03-000/default.shtml&words=Linux Wenn ja mit was für einem Patch (URL), warum hört man von SuSe nichts ? Ich hab einen Server laufen, auf der sich jeder Benutzer per SSH-einloggen kann, allerdings alles unter chroot ! Muss ich Sicherheitsbedenken hab mit einem 2.4.20 kernel ? Würde gerne euere Meinungen hören. Gruss Patrick Klaus
Am Mon, 2003-03-24 um 20.11 schrieb Patrick Klaus:
Wenn ja mit was für einem Patch (URL), warum hört man von SuSe nichts ?
Laß die armen Entwickler doch einfach mal in Ruhe arbeiten. Dann kommt da auch schon was. Aber immer nur meckern, das sich da nichts tut bringt nichts. Ciao, Torsten -- http://www.hall-music.de/ letzte Änderung 19.01.2003
Am Montag, 24. März 2003 20:11 schrieb Patrick Klaus:
Hallo Leute,
ohne das ich jetzt hier einen Flamewar auslösen will.
Warum?
Hat jemand die oben genannte Sicherheitslücke schon gepacht ?
Bin dabei :-)
http://www.heise.de/newsticker/result.xhtml?url=/newsticker/data/ ju-20.03.03-000/default.shtml&words=Linux
Wenn ja mit was für einem Patch (URL), warum hört man von SuSe nichts ?
SuSE bietet doch die Patches an. (OK erst seit heute :-) Alternativ kann man auch den Vanilla Kernel mit Alan Cox Patch bearbeiten.
Gruss
Patrick Klaus
Viele Grüße Andreas Ich bin mal so frei und hänge die Mail von Roman Drahtmüller in SuSE-security an: ---------schnipp------------- Hi, long awaited, it's there now: The kernel updates for 7.1-8.1 are on their way to the mirrors. 8.2 already has the fix when it hits the stores. You'll find directories named kernel/2.4.18-20030324/ in each of the update directories of the 7.1, 7.2, 7.3, 8.0, 8.1 distributions. The changelogs are not fully consistent, but the packages are ok and fix the known problems. 8.1 has a 2.4.19 kernel, 8.0 and below have 2.4.18. Basically, the 2.4.19 kernel from 8.1 should run with the older distributions as well, but your mileage may vary. We have had some problems when we tested the kernel packages, mostly because the first suggested fixes were incorrect. This is why it took us so long. The announcement will follow later tonight. It will be copied to the update/*/kernel/2.4.1?-20030324 directories as soon as it is published. It will contain detailed information about the commands necessary to install the updates. In short: rpm -qf /boot/vmlinuz download the package for your system. rpm -Uhv your_package mk_initrd . /etc/sysconfig/bootloader case "$LOADER_TYPE" in *lilo*) lilo ;; *) ;; esac Roman. -- Check the headers for your unsubscription address For additional commands, e-mail: suse-security-help@suse.com Security-related bug reports go to security@suse.de, not here ---------------schnapp---------- -- "640 KiloByte ought to be enough for anybody" (Bill Gates, 1981)
Andreas Hergesell wrote: Subject: Re: Was ist mit der "Ptrace" Sicherheitslücke inallen Kerneln ^^^ Macht dein KMail, oder dein amavis das Subject kaputt? Peter
Hallo Peter, Am Dienstag, 25. März 2003 14:36 schrieb Peter Wiersig:
Andreas Hergesell wrote: Subject: Re: Was ist mit der "Ptrace" Sicherheitslücke inallen Kerneln ^^^ Macht dein KMail, oder dein amavis das Subject kaputt?
:-) Hmm. Das Subject von Patrick kam schon so bei mir an. Auch das Subject von Markus Kolb ist kaputt: Re: Was ist mit der "Ptrace" Sicherheitslückein allen Kerneln ^^^ Liegt wohl am <ü>, aber ich kann dir die Frage nicht wirklich beantworten. Wie krieg ich das raus?
Peter
Viele Grüße Andreas PS: SuSE-KDE 3.1 und SuSE Amavis (von der 8.1) -- "Computers in the future may weigh no more than 1.5 tons" (Popular Mechanics, 1949)
Andreas Hergesell wrote:
Am Dienstag, 25. März 2003 14:36 schrieb Peter Wiersig:
Andreas Hergesell wrote: Subject: Re: Was ist mit der "Ptrace" Sicherheitslücke inallen Kerneln ^^^ Macht dein KMail, oder dein amavis das Subject kaputt?
Schoen gewuerfelt :)
:-) Hmm. Das Subject von Patrick kam schon so bei mir an.
Auch das Subject von Markus Kolb ist kaputt:
Bei mir nicht.
Re: Was ist mit der "Ptrace" Sicherheitslückein allen Kerneln ^^^ Liegt wohl am <ü>, aber ich kann dir die Frage nicht wirklich beantworten. Wie krieg ich das raus?
Quelltext der Mail anschauen: Subject: Was ist mit der "Ptrace" =?ISO-8859-1?Q?Sicherheitsl=FCcke_in_?= =?ISO-8859-1?Q?allen_Kerneln?= Richtig kodiert. Wenn KMail das nicht entziffert, muss man wohl mal einen Bug aufmachen. Ich meine naemlich auch, das KMail nicht mit fortgesetzten Headerzeilen umgehen kann (Oder mit fortges. und QP-Kodierung) Testfaelle lokal erstellt, den Bug bewundert und mach nu mal bugs.kde.org... Peter
Am Dienstag, 25. März 2003 15:49 schrieb Peter Wiersig:
Andreas Hergesell wrote:
Am Dienstag, 25. März 2003 14:36 schrieb Peter Wiersig:
Andreas Hergesell wrote: Subject: Re: Was ist mit der "Ptrace" Sicherheitslücke inallen Kerneln ^^^ Macht dein KMail, oder dein amavis das Subject kaputt?
Schoen gewuerfelt :)
:-/
:-) Hmm. Das Subject von Patrick kam schon so bei mir an.
Auch das Subject von Markus Kolb ist kaputt:
Bei mir nicht.
Oha!
aber ich kann dir die Frage nicht wirklich beantworten. Wie krieg ich das raus?
Quelltext der Mail anschauen: Subject: Was ist mit der "Ptrace" =?ISO-8859-1?Q?Sicherheitsl=FCcke_in_?= =?ISO-8859-1?Q?allen_Kerneln?=
Schon wieder diese Umbrüche. Das sollte aber auch nicht sein, oder?
Richtig kodiert.
Das kann ich eben nicht beurteilen :-(
Wenn KMail das nicht entziffert, muss man wohl mal einen Bug aufmachen. Ich meine naemlich auch, das KMail nicht mit fortgesetzten Headerzeilen umgehen kann (Oder mit fortges. und QP-Kodierung)
Bahnhof. Sorry, aber ich werde mich mal damit beschäftigen.
Testfaelle lokal erstellt, den Bug bewundert und mach nu mal bugs.kde.org...
Aber nicht mehr heute, ich schreib morgen ne Klausur... Aber es könnte doch immernoch Amavis sein, oder? (auch wenn ich`s nicht glaube :-)
Peter
Vielen Dank schonmal Andreas -- "640 KiloByte ought to be enough for anybody" (Bill Gates, 1981)
Andreas Hergesell wrote:
Am Dienstag, 25. März 2003 15:49 schrieb Peter Wiersig:
Quelltext der Mail anschauen: Subject: Was ist mit der "Ptrace" =?ISO-8859-1?Q?Sicherheitsl=FCcke_in_?= =?ISO-8859-1?Q?allen_Kerneln?=
Schon wieder diese Umbrüche. Das sollte aber auch nicht sein, oder?
Doch. Eine Mail besteht aus Header und Body-Zeilen. In den Headerzeilen ist folgendes erlaubt: subject: ein langer Text, den der Autor auf mehrere Zeilen umbrechen will ein korrekter Parser darf sich durch nichts aus der Ruhe bringen lassen und sollte eine lange Subject-Zeile generieren. KMail macht das auch richtig, wenn es so wie ich geschreiben habe steht. Nur wenn jemand Umlaute im Subject hat, wird ein KMail-Bug ausgeloest. Der Parser zieht dann "in" und "alle" zusammen. Und das obwohl "in_?=" da steht, was zu "in " dekodiert werden sollte.
Testfaelle lokal erstellt, den Bug bewundert und mach nu mal bugs.kde.org...
Aber nicht mehr heute, ich schreib morgen ne Klausur...
Das war auf meine Aktivitaet bezogen. Ich hab hier lokal mal das KMail 1.5 ausprobiert und festgestellt, das es Subjects kaputt macht. Und nun kaempf ich mit dem bugzilla, ob das schon mal aufgenommen wurde. http://bugs.kde.org/show_bug.cgi?id=56390 Peter
On Tuesday 25 March 2003 15:04, Andreas Hergesell wrote:
:-) Hmm. Das Subject von Patrick kam schon so bei mir an. Auch das Subject von Markus Kolb ist kaputt:
bei meinem K-Mail werden beide Subjects richtig angezeigt .. ich hab eigentlich auch das K-Mail von KDE 3.1
Frank Wehrsenger wrote:
ich hab eigentlich auch das K-Mail von KDE 3.1
Mein sendmail uebernimmt die Konvertierung von QP nach 8Bit. Vielleicht bei dir ja auch. Steht dann im kompletten Header. Den Bug kann ich mit KMail aber nachvollziehen. http://bugs.kde.org/show_bug.cgi?id=56390 Und dann natuerlich "Post von lokal" abholen. Peter
* On Tue, 25 Mar 2003 at 14:36 +0100, Peter Wiersig wrote:
Andreas Hergesell wrote: Subject: Re: Was ist mit der "Ptrace" Sicherheitslücke inallen Kerneln ^^^ Macht dein KMail, oder dein amavis das Subject kaputt?
KMail verunstaltet Subjects, wenn sie länger als eine Zeile sind, und nicht plain-ASCII sind. Besonders schön in suse-flame zu bewundern, wir hatten da mal einen Subject-Thread am laufen (also der Text immer schön TVFH-mässig - Text vorne, Fullquote hinten - ins Subject rein). Bei ein paar kB Subject wurde es schon lustig, bei 7 oder 8 kB wars dann echt grausam, was da produziert wurde ... -- Adalbert GPG welcome, request public key: mailto:adalbert+key@lopez.at
On Tue, 25 Mar 2003 16:58:04 +0100 Adalbert Michelic wrote:
* On Tue, 25 Mar 2003 at 14:36 +0100, Peter Wiersig wrote:
Andreas Hergesell wrote: Subject: Re: Was ist mit der "Ptrace" Sicherheitslücke inallen Kerneln ^^^ Macht dein KMail, oder dein amavis das Subject kaputt?
KMail verunstaltet Subjects, wenn sie länger als eine Zeile sind, und nicht plain-ASCII sind. Besonders schön in suse-flame zu bewundern, wir hatten da mal einen Subject-Thread am laufen (also der Text immer schön TVFH-mässig - Text vorne, Fullquote hinten - ins Subject rein). Bei ein paar kB Subject wurde es schon lustig, bei 7 oder 8 kB wars dann echt grausam, was da produziert wurde ...
Das hat aber eindeutig an mutt gelegen! *duckundwech* -- j<b>k *scnr*
Peter Wiersig schrieb:
Andreas Hergesell wrote: Subject: Re: Was ist mit der "Ptrace" Sicherheitslücke inallen Kerneln ^^^ Macht dein KMail, oder dein amavis das Subject kaputt?
Peter
Hallo ! User-Agent: Mozilla/5.0 (X11; U; Linux i686; de-AT; rv:1.3) Gecko/20030312 X-Accept-Language: de, de-at, en, en-us Sag doch schon alles oder ? Ich benutze kein Kmail (mehr) war mit der Stabilität nicht zufrieden, is aber schon knapp zwei Jahre her. Gesendet wurde die Mail über postman.nexgo.de also keiner meiner Server. Hab ich nun was falsch gemacht oder nicht ? Gruss Patrick Klaus
Hallo, On Tue, 25 Mar 2003, Patrick Klaus wrote:
Peter Wiersig schrieb:
Andreas Hergesell wrote: Subject: Re: Was ist mit der "Ptrace" Sicherheitslücke inallen Kerneln ^^^ Macht dein KMail, oder dein amavis das Subject kaputt?
User-Agent: Mozilla/5.0 (X11; U; Linux i686; de-AT; rv:1.3) Gecko/20030312 X-Accept-Language: de, de-at, en, en-us
Sag doch schon alles oder ? Ich benutze kein Kmail (mehr) war mit der Stabilität nicht zufrieden, is aber schon knapp zwei Jahre her. [..] Hab ich nun was falsch gemacht oder nicht ?
Du? Nein. Andreas? Auch nicht. Aber die Programmierer von KMail *eg* Dein Subject, so wie's hier ankam: Subject: Was ist mit der "Ptrace" =?ISO-8859-1?Q?Sicherheitsl=FCcke_in_?= =?ISO-8859-1?Q?allen_Kerneln?= Und das ist vollkommen in Ordnung, mal abgesehen davon, dass du nicht unbedingt mehr latin1 verwenden willst. Ein MUA, der obiges Subject nicht dekodieren und ebenso korrekt "weitergeben" kann, der ist schlicht defekt. -dnh -- Just when you think you've got a handle on herding cats, along comes a three-legged cat on amphetamines." -- Skud
Am Dienstag, 25. März 2003 23:50 schrieb Peter Wiersig:
Patrick Klaus wrote:
Hab ich nun was falsch gemacht oder nicht ?
Nein, es war KMail.
Hallo, nur zur Anmerkung: Da ich mir zum normalen Ansehen der Mails "dekorativ" eingestellt habe, wußte ich erst nicht, wovon ihr redet. Bei mir ist das kaputte Subjekt nur beim Original-Header sichtbar. Alle anderen Ansichten stellen das Subjekt korrekt dar. Sven -- "Linux macht Spaß, weil es von intelligenten Menschen gemacht ist." Jörg (Ratti) Roßdeutscher auf suse-linux@suse.com
Sven Rodenbeck wrote:
Bei mir ist das kaputte Subjekt nur beim Original-Header sichtbar. Alle anderen Ansichten stellen das Subjekt korrekt dar.
Nein, das, was du unter "Original-Header" siehst ist das kodierte Subjekt. Bei dem mir vorliegenden KMail 1.5 wird dieses korrekt kodierte Subject falsch dekodiert, so das die Worte "in" und "allen" nicht mehr durch ein Leerzeichen getrennt sind. Peter
Patrick Klaus wrote:
Hallo Leute,
ohne das ich jetzt hier einen Flamewar auslösen will.
Hat jemand die oben genannte Sicherheitslücke schon gepacht ?
Wenn ja mit was für einem Patch (URL), warum hört man von SuSe nichts ?
Mit dem hier: http://www.kernel.org/pub/linux/kernel/v2.4/testing/cset/cset-1.1076.txt ChangeSet 1.1076, 2003/03/19 15:00:47-03:00, alan @ redhat.com [PATCH] Fix kmod/ptrace vulnerability The Linux 2.2 and Linux 2.4 kernels have a flaw in ptrace. This hole allows local users to obtain full privileges. Remote exploitation of this hole is not possible. Linux 2.5 is not believed to be vulnerable. Linux 2.2.25 has been released to correct Linux 2.2. It contains no other changes. The bug fixes that would have been in 2.2.5pre1 will now appear in 2.2.26pre1. The patch will apply directly to most older 2.2 releases. A patch for Linux 2.4.20/Linux 2.4.21pre is attached. The patch also subtly changes the PR_SET_DUMPABLE prctl. We believe this is neccessary and that it will not affect any software. The functionality change is specific to unusual debugging situations. We would like to thank Andrzej Szombierski who found the problem, and wrote an initial patch. Seth Arnold cleaned up the 2.2 change. Arjan van de Ven and Ben LaHaise identified additional problems with the original fix. Alan Warum man von SuSE nichts hört ... gute Frage, aber das Sicherheitsteam ist schon eine Weile recht langsam. Bis auf RedHat scheinen aber alle Distributoren für die Kernel etwas Zeit zu brauchen. Wird an den ganzen Patches liegen die da reingefrickelt werden müssen ;o)
Patrick Klaus wrote:
Wenn ja mit was für einem Patch (URL), warum hört man von SuSe nichts ?
Reicht dir diese Aussage von SuSE? http://lists.suse.com/archive/suse-security/2003-Mar/0229.html Peter
participants (10)
-
Adalbert Michelic
-
Andreas Hergesell
-
David Haller
-
Frank Wehrsenger
-
J�rg *J�rgie* Kirstner
-
Markus Kolb
-
Patrick Klaus
-
Peter Wiersig
-
Sven Rodenbeck
-
Torsten Hallmann