Re: aviso exploit - importante
El mié, 19-07-2006 a las 16:55 -0400, Felipe Tornvall escribió: > hola lista arreglar fstab Gracias por el dato, ahora todos a probarlo :D -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: aviso exploit - importante
El jue, 20-07-2006 a las 01:14 +0200, Inigo Tejedor Arrondo escribió: > El mié, 19-07-2006 a las 16:55 -0400, Felipe Tornvall escribió: > > hola lista arreglar fstab > > Gracias por el dato, ahora todos a probarlo :D > > > Lo intenté compilar y no pude :S De todas formas busqué un poco de info y en Etch y Sid ya estaba arreglado, no se si en sarge. Pero como yo uso SID ... :P Saludos! -- Gabriel Parrondo GNU/Linux User #404138 "The only difference between theory and practice is that, in theory, there's no difference between theory and practice." signature.asc Description: Esta parte del mensaje está firmada digitalmente
Re: aviso exploit - importante
2006/7/19, Gabriel Parrondo <[EMAIL PROTECTED]>: El jue, 20-07-2006 a las 01:14 +0200, Inigo Tejedor Arrondo escribió: > El mié, 19-07-2006 a las 16:55 -0400, Felipe Tornvall escribió: > > hola lista arreglar fstab > > Gracias por el dato, ahora todos a probarlo :D > > > Lo intenté compilar y no pude :S De todas formas busqué un poco de info y en Etch y Sid ya estaba arreglado, no se si en sarge. Pero como yo uso SID ... :P En mi sarge esta la linea del proc, lo tengo actualizado al día de hoy 19 de julio. saludos Saludos! -- Gabriel Parrondo GNU/Linux User #404138 "The only difference between theory and practice is that, in theory, there's no difference between theory and practice." -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.3 (GNU/Linux) iD8DBQBEvrqRIOmrXr7Xv0MRAgSMAJ9ocqK8OGuOZrUEKwict6WfFvGImQCeI1a/ gzY7n82WkQE737bJUMLNQ0A= =bMHN -END PGP SIGNATURE- -- usuario linux #274354 normas de la lista: http://wiki.debian.org/NormasLista
Re: aviso exploit - importante
2006/7/20, Felix Perez <[EMAIL PROTECTED]>: 2006/7/19, Gabriel Parrondo <[EMAIL PROTECTED]>: > El jue, 20-07-2006 a las 01:14 +0200, Inigo Tejedor Arrondo escribió: > > El mié, 19-07-2006 a las 16:55 -0400, Felipe Tornvall escribió: > > > hola lista arreglar fstab > > > > Gracias por el dato, ahora todos a probarlo :D > > > > > > > > Lo intenté compilar y no pude :S > > De todas formas busqué un poco de info y en Etch y Sid ya estaba > arreglado, no se si en sarge. Pero como yo uso SID ... :P > > En mi sarge esta la linea del proc, lo tengo actualizado al día de hoy 19 de julio. Acabo de comprobar 5 sarge y 1 etch/sid y en todos esta la línea del proc. saludos > > > Saludos! > > > -- > Gabriel Parrondo > GNU/Linux User #404138 > > "The only difference between theory and practice is that, in theory, > there's no difference between theory and practice." > > > > -BEGIN PGP SIGNATURE- > Version: GnuPG v1.4.3 (GNU/Linux) > > iD8DBQBEvrqRIOmrXr7Xv0MRAgSMAJ9ocqK8OGuOZrUEKwict6WfFvGImQCeI1a/ > gzY7n82WkQE737bJUMLNQ0A= > =bMHN > -END PGP SIGNATURE- > > > -- usuario linux #274354 normas de la lista: http://wiki.debian.org/NormasLista
Re: aviso exploit - importante
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Inigo Tejedor Arrondo wrote: > El mié, 19-07-2006 a las 16:55 -0400, Felipe Tornvall escribió: > >>hola lista arreglar fstab > > > Gracias por el dato, ahora todos a probarlo :D > > > 2 comentarios a ese correo: 1) La "solucion" propuesta no es adecuada 2) Debian ya parcho este exploit hace 2 dias Mas info: http://www.hispasec.com/unaaldia/2825 - -- Ricardo A.Frydman Consultor en Tecnología Open Source - Administrador de Sistemas jabber: [EMAIL PROTECTED] - http://www.eureka-linux.com.ar SIP # 1-747-667-9534 -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.1 (GNU/Linux) iD8DBQFEv4p4kw12RhFuGy4RAp+/AJ95GB+JkX4aZO4fyec7zLVOiSFbkACeOkIC sN7Gqb4DQKOzrJEs4yXRX/Y= =MX8H -END PGP SIGNATURE-
Re: aviso exploit - importante
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Ricardo Frydman Eureka! escribió: > Inigo Tejedor Arrondo wrote: >>> El mié, 19-07-2006 a las 16:55 -0400, Felipe Tornvall escribió: >>> hola lista arreglar fstab >>> >>> Gracias por el dato, ahora todos a probarlo :D >>> >>> >>> > 2 comentarios a ese correo: > 1) La "solucion" propuesta no es adecuada > 2) Debian ya parcho este exploit hace 2 dias > Mas info: > http://www.hispasec.com/unaaldia/2825 > Aparte de actualizar tambien se puede solucionar montando /proc con nosuid - -- - ~ghostbar @ linux/debian 'testing' on i686 - Linux Counter# 382503 http://ghostbar.ath.cx/ - irc.freenode.net #talug #velug San Cristobal - Venezuela. TALUG -- http://linuxtachira.org Fingerprint = 3E7D 4267 AFD5 2407 2A37 20AC 38A0 AD5B CACA B118 -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.3 (GNU/Linux) iD8DBQFEv4y/OKCtW8rKsRgRAr/nAKCfuoc2rFten3xKTsaKDkpC31+b+ACgsJiY K/lw/CXU8ui4gWe8hsjqIAg= =7K0v -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: aviso exploit - importante
El Miércoles, 19 de Julio de 2006 22:55, Felipe Tornvall escribió: > hola lista arreglar fstab > > > > proc/proc procdefaults0 0 > > agregarlo a la primera linea si ya esta... no hay de q preocuparse > prueba: > crear archivo de 100 mg enb la home del user > yes > xxx > luego compilar > gcc -o archivo source.c > ejecutar > ./archivo xxx > y listo !! estas como root ¿Podrías detallar un poco más el proceso? lo he intentado compilar y me da una lista de errores interminables, empezando así: gcc -o EXPLOIT exploit.c exploit.c:1: error: error de decodificación before ':' token exploit.c:11:46: falta carácter terminando ' exploit.c:11:46: aviso: constante de carácter demasiado grande para su tipo exploit.c:20:43: demasiados puntos decimales en el número exploit.c:22:42: sufijo "MB" inválido en la constante entera In file included from /usr/include/_G_config.h:44, from /usr/include/libio.h:32, from /usr/include/stdio.h:72, from exploit.c:27: /usr/include/gconv.h:72: error: error de decodificación before "size_t" /usr/include/gconv.h:88: error: error de decodificación before "size_t" /usr/include/gconv.h:97: error: error de decodificación before "size_t" ... ... Lo único que he hecho es copiar el source a un fichero como "exploit.c" y compilarlo. He tenido que corregir bastantes saltos de línea debido a los 80 caracteres. ¿Podrías enviar de nuevo el source pero adjunto en vez de pegado en el correo? -- Por el bien de todos respetemos las normas de la lista: http://wiki.debian.org/NormasLista
Re: aviso exploit - importante
[] > ¿Podrías enviar de nuevo el source pero adjunto en vez de pegado en el > correo? http://www.pctools.cl/exploit.tar -- ___ Felipe Tornvall N. lu: 400327 w: http://freeby.pctools.cl w: http://docs.pctools.cl w: http://linux.pctools.cl
Re: aviso exploit - importante
On 7/21/06, Felipe Tornvall <[EMAIL PROTECTED]> wrote: [] > ¿Podrías enviar de nuevo el source pero adjunto en vez de pegado en el > correo? http://www.pctools.cl/exploit.tar [EMAIL PROTECTED]:~$ ls -lh | grep 4P_Server_Comparison.pdf -rw-r--r-- 1 dani users 119K 2006-07-20 16:38 4P_Server_Comparison.pdf [EMAIL PROTECTED]:~$ ./h00lyshit 4P_Server_Comparison.pdf preparing trying to exploit 4P_Server_Comparison.pdf sh-3.1# whoami root sh-3.1# El tamaño del archivo parece que no es muy relevante..
Re: aviso exploit - importante
El Viernes, 21 de Julio de 2006 03:05, Felipe Tornvall escribió: > [] > > > ¿Podrías enviar de nuevo el source pero adjunto en vez de pegado en el > > correo? > > http://www.pctools.cl/exploit.tar Pues efectivamente funciona, es terrible. ¿Alguien muy versado en C y en exploits sabría explicar en qué consiste este código tan perverso? PD: No hace falta que sean 100MB, lo he conseguido con 20MB. Eso si, funciona arbitrariamente, parece que una vez compilado ya no vuelve a funcionar más que la primera vez, pero ni siquiera se cumple eso siempre. En cualquier caso es como para echarse a temblar. -- Por el bien de todos respetemos las normas de la lista: http://wiki.debian.org/NormasLista
Re: aviso exploit - importante
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Iñaki wrote: > El Viernes, 21 de Julio de 2006 03:05, Felipe Tornvall escribió: > >>[] >> >> >>>¿Podrías enviar de nuevo el source pero adjunto en vez de pegado en el >>>correo? >> >>http://www.pctools.cl/exploit.tar > > > > Pues efectivamente funciona, es terrible. ¿Alguien muy versado en C y en > exploits sabría explicar en qué consiste este código tan perverso? > > > PD: No hace falta que sean 100MB, lo he conseguido con 20MB. Eso si, funciona > arbitrariamente, parece que una vez compilado ya no vuelve a funcionar más > que la primera vez, pero ni siquiera se cumple eso siempre. > > En cualquier caso es como para echarse a temblar. > > En tal caso, pensar varias veces antes de permitir a cualquier pelagato un shell - -- Ricardo A.Frydman Consultor en Tecnología Open Source - Administrador de Sistemas jabber: [EMAIL PROTECTED] - http://www.eureka-linux.com.ar SIP # 1-747-667-9534 -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.1 (GNU/Linux) iD8DBQFEwRzRkw12RhFuGy4RAtJoAJ9eyxF0PjcZ/2bY0ppu7ijDC/hPywCggyKR MC6lHaG5AkLAz3ieqNKBKSo= =VPmi -END PGP SIGNATURE-
Re: aviso exploit - importante
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Iñaki wrote: > El Viernes, 21 de Julio de 2006 03:05, Felipe Tornvall escribió: > >>[] >> >> >>>¿Podrías enviar de nuevo el source pero adjunto en vez de pegado en el >>>correo? >> >>http://www.pctools.cl/exploit.tar > > > > Pues efectivamente funciona, es terrible. ¿Alguien muy versado en C y en > exploits sabría explicar en qué consiste este código tan perverso? > > > PD: No hace falta que sean 100MB, lo he conseguido con 20MB. Eso si, funciona > arbitrariamente, parece que una vez compilado ya no vuelve a funcionar más > que la primera vez, pero ni siquiera se cumple eso siempre. > > En cualquier caso es como para echarse a temblar. > > Mmmm Ubuntu Breezy al dia: [EMAIL PROTECTED]:/mnt/extras/exploit $ ./h00lyshit /usr/X11R6/lib/libxf86config.a preparing trying to exploit /usr/X11R6/lib/libxf86config.a sh-3.00$ whoami ricardo Probado en 10 diferentes archivos superiores a 20 MB... Teoria: las actualizaciones de seguridad de testing/unstable aun no lo parcharon... - -- Ricardo A.Frydman Consultor en Tecnología Open Source - Administrador de Sistemas jabber: [EMAIL PROTECTED] - http://www.eureka-linux.com.ar SIP # 1-747-667-9534 -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.1 (GNU/Linux) iD8DBQFEwR3lkw12RhFuGy4RAhNcAKCLk6cViga6VjSTgcaQHBq/xRleowCfeVoE vW3EKKHzfPKh14fv1+ynKJw= =ojr4 -END PGP SIGNATURE-
Re: aviso exploit - importante
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 El jueves 20 de julio del 2006 a las 11:01:35, Jose Luis Rivas Contreras escribió: > Aparte de actualizar tambien se puede solucionar montando /proc con nosuid Sin suid ni exec, según leí [1]. También en el mismo artículo vi que ya está disponible para Sarge una versión parcheada del kernel. ¿Alguien sabe si también lo está para los núcleos disponibles en los repositorios de Etch? Gracias anticipadas. Saludos, Daniel [1] http://beranger.org/index.php?fullarticle=1303 -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.3 (GNU/Linux) iD8DBQFEzMvYZpa/GxTmHTcRAuWQAJ4jwIDKK+N8oaxgpoH4/m8Yp9I7NQCgkJX+ Py4orah/qPOOSmlZ8DRZVaI= =CdDK -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
