Posted by kecoak on Aug 14, 2009

CVE-2009-2692 (Linux NULL pointer dereference)

Categories: 0day, Bug & Exploit | 6 comments

Tavis Ormandy mengeluarkan advisories mengenai NULL pointer dereference vulnerability pada implementasi socket untuk kernel Linux 2.6 dan 2.4. Full advisoriesnya dapat dilihat pada FD-list. Spender dari grsecurity project merilis exploit untuk bug ini dengan memanfaatkan pulseaudio seperti rilis exploit sebelumnya. Jadi jika ada yang memiliki server dengan pulseaudio versi lama dan belum di patch, serta mengaktifkan modul-modul yang vulnerable terhadap hole ini, sebaiknya melakukan uji coba terhadap server tersebut, paling tidak dengan exploit spender yang kemungkinan besar akan digunakan begitu saja oleh script kiddies.

Uninstall pulseaudio jika tidak digunakan, atau merubah pathnya dari default mungkin akan mengurangi dampak serangan para script kiddies. Beberapa tindakan pencegahan dapat dilakukan, namun yang pasti SELinux tidak dapat menolong banyak karena pada exploit ini terdapat implementasi untuk bypass SELinux :).

~ GS

Post a Comment

6 Responses to “CVE-2009-2692 (Linux NULL pointer dereference)”

  1. d0nz says:
    August 18, 2009 at 11:34 am

    chmod -s 🙂

    Reply
  2. Cyberheb says:
    August 20, 2009 at 2:37 am

    Sebetulnya pulseaudio itu cuma jadi salah satu metode untuk bypass kernel protection, bisa dibilang cara terakhir lah. Exploitnya spander memiliki beberapa fitur untuk bypass teknologi security, yang pasti default instalasi untuk SuSe 9 Enterprise (tanpa hardening) jebol dengan mulusnya (kernel < 2.6.30):

    [email protected]:~/public_exploit/wunderbar_emporium> id
uid=1001(cyberheb) gid=100(users) groups=10(wheel),100(users)
[email protected]:~/public_exploit/wunderbar_emporium> ./wunderbar_emporium.sh
 [+] MAPPED ZERO PAGE!
 [+] Resolved security_ops to 0xc03eb7a0
 [+] Resolved sel_read_enforce to 0xc01c9a50
 [+] got ring0!
 [+] detected 2.6 style 8k stacks
 [+] Disabled security of : nothing, what an insecure machine!
 [+] Got root!
sh-2.05b# id
uid=0(root) gid=0(root) groups=10(wheel),100(users)
    Reply
  3. gentoo says:
    August 20, 2009 at 11:14 am

    how come a server need a pulse audio?, dont know if its a game server 🙂 or “new-bundle” fancy things that they call server bundled on CD (like “SuSe 9 Enterprise” that youve mention there h3b :P)…. oh i miss the old time when everythings build from scratch

    Reply
  4. d0nz says:
    August 20, 2009 at 1:10 pm

    hehehe, iya bos dapet server provider telkom paling gede di indo malah ini 🙂

    Reply
  5. d0nz says:
    August 20, 2009 at 1:52 pm

    Btw, have been tasted on
    2.6.9-55.ELsmp RHEL 4 (nahant update 5)
    2.6.18-128.4.1.el5 RHEL 5.3 (Tikanga)

    sukses!

    Reply
  6. Cyberheb says:
    August 20, 2009 at 5:11 pm

    My dear friend Gent00, some feature is embedded by spander’s spl0it, like I said…pulseaudio is the “last” method to bypass mmap protection (method developed by julien tinnes & taviso recently), that’s why there’s pwnkernel bundled there.

    While “SuSe 9 Enterprise” above (unfortunately) using *really* old 2.6 kernel with0ut any pulseaudio installed, so mmap() or mprotect() will always success to map zero page

    Reply

Trackbacks/Pingbacks

  1. Kecoak Elektronik Indonesia » CVE-2009-2698 - [...] NULL ptr dereference kali ini berbeda dengan bug sebelumnya dimana kernel dapat langsung dibawa ke lokasi page 0 untuk…

Leave a Reply

Your email address will not be published. Required fields are marked *