这个漏洞主要来源于bluetooth/ppp等有关的无线/接入模块,国外黑客taviso和julien公开了可以攻击所有新旧Linux系统的一个漏洞,包括但不限于RedHat,CentOS,Suse,Debian,Ubuntu,Slackware,Mandriva,Gentoo及其衍生系统。黑客只需要执行一个命令,就可以通过此漏洞获得root权限,即使开启了SELinux也于事无补。攻击这个漏洞到底有多简单,下面我们看图说话,有图有真相。
CHANGELOGS:
2009/08/16 chenjun@xfocus提供了debian/ubuntu系统的防御方式。
2009/08/16 根据网友要求添加漏洞详情和exploit下载地址。
2009/08/16 改进防御方式,避免RHEL下的无效防御。感谢小阮MM反馈并提供服务器协助定位解决。
2009/08/16 添加攻击经验记录。感谢cnbird分享经验。
2009/08/17 修正攻击经验记录。感谢xiaoyu,wzt指出selinux相关错误。
2009/08/18 增加攻击经验记录,感谢wzt分享。debian官方发布新版本内核修复此漏洞。
2009/08/18 增加攻击经验记录,64位系统同样可以被成功攻击。
2009/08/19 更新防御方式。
如上图所示,利用此漏洞极其简单,并且影响所有的Linux内核,baoz强烈建议系统管理员或安全人员参考下列临时修复方案,以防止Linux系统被攻击 。
1、使用Grsecurity或者Pax内核安全补丁,并开启KERNEXEC防护功能。
2、升级到2.6.31-rc6或2.4.37.5以上的内核版本。
3、如果您使用的是RedHa tEnterprise Linux 4/5的系统或Centos4/5的系统,您可以通过下面的操作简单的操作防止被攻击。
在/etc/modprobe.conf文件中加入下列内容:
install pppox /bin/true
install bluetooth /bin/true
install appletalk /bin/true
install ipx /bin/true
install sctp /bin/true
执行/sbin/lsmod | grep -e ppp -e blue -e app -e ipx -e sct,如果没有输出,你不需要重启,如果有输出,你需要重启系统,才可以对此攻击免疫。
4、如果您使用的是Debian或Ubuntu系统,您可以通过下面的操作防止被攻击(感谢chenjun提供)
cat > /etc/modprobe.d/mitigate-2692.conf << EOM
install ppp_generic /bin/true
install pppoe /bin/true
install pppox /bin/true
install slhc /bin/true
install bluetooth /bin/true
install ipv6 /bin/true
install irda /bin/true
install ax25 /bin/true
install x25 /bin/true
install ipx /bin/true
install appletalk /bin/true
EOM
/etc/init.d/bluez-utils stop
5、sysctl -w vm.mmap_min_addr = 1000
很明显,第三、四、五个方案最简单也相对有效,对业务影响也最小,如果您对编译和安装Linux内核不熟悉,千万不要使用前两个方案,否则您的系统可能永远无法启动。
