[FUG-BR] CVE-2012-0217: Intel's sysret Kernel Privilege Escalation (on FreeBSD

Paulo Henrique BSD Brasil paulo.rddck em bsd.com.br
Terça Julho 10 10:21:47 BRT 2012



Em 10/7/2012 09:08, Luiz Gustavo escreveu:
>
> Em Ter, 2012-07-10 às 08:14 -0300, Enio Marconcini escreveu:
>> 2012/7/9 Paulo Henrique BSD Brasil <paulo.rddck em bsd.com.br>
>>
>>>
>>>
>>> Em 9/7/2012 19:23, Enio Marconcini escreveu:
>>>> 2012/7/8 Paulo Henrique BSD Brasil <paulo.rddck em bsd.com.br>
>>>>
>>>>>
>>>>>
>>>>> Em 8/7/2012 21:20, Enio Marconcini escreveu:
>>>>>> 2012/7/8 Enio Marconcini <eniorm em gmail.com>
>>>>>>
>>>>>>>
>>>>>>>
>>>>>>> On Sun, Jul 8, 2012 at 9:13 AM, mantunes <mantunes.listas em gmail.com
>>>>>> wrote:
>>>>>>>
>>>>>>>> E ai galera..
>>>>>>>>
>>>>>>>> alquem já testou ?
>>>>>>>>
>>>>>>>>
>>>>>>>>
>>>>>
>>> http://fail0verflow.com/blog/2012/cve-2012-0217-intel-sysret-freebsd.html
>>>>>>>>
>>>>>>>>
>>>>>>>> --
>>>>>>>> Marcio Antunes
>>>>>>>> Powered by FreeBSD
>>>>>>>> ==================================
>>>>>>>> * Windows: "Where do you want to go tomorrow?"
>>>>>>>> * Linux: "Where do you want to go today?"
>>>>>>>> * FreeBSD: "Are you, guys, comming or what?"
>>>>>>>> -------------------------
>>>>>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>>>>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>> pegando carona nessa thread aqui, eu sempre acompanho os avisos, mas
>>>>> nunca
>>>>>>> testei fazer uma correção, visto que os servidores só rodam na nossa
>>>>> LAN e
>>>>>>> não fornece nenhum serviço externo.... tem algum tutorial ou
>>> explicação
>>>>> de
>>>>>>> como proceder corretamente as atualizações? Ou se eu fazer um update
>>> dos
>>>>>>> sources de depois compilar/instalar o kernel/world e estará tudo
>>>>> corrigido?
>>>>>>>
>>>>>>> abraços
>>>>>>>
>>>>>>> --
>>>>>>> *ENIO RODRIGO MARCONCINI*
>>>>>>> @eniomarconcini <http://twitter.com/eniomarconcini>
>>>>>>> *[ $[ $RANDOM % 6 ] == 0 ] && rm -rf / || echo "You live"**
>>>>>>> *
>>>>>>> *
>>>>>>> *
>>>>>>> *"H**ave a trouble with windows: reboot!*
>>>>>>> *Have a trouble with unix: be root!"*
>>>>>>>
>>>>>>>
>>>>>>
>>>>>> brother foi mal na última pergunta, bem notei que a explicação de como
>>>>>> corrigir acompanha o aviso rsrs, falta de ler até o final....
>>>>>>
>>>>>> mas então mudando a pergunta, alguém já experimentou problemas
>>>>> inesperados
>>>>>> quando faz a recompilação aplicando uma correção?
>>>>>>
>>>>>> att
>>>>>>
>>>>>>
>>>>> Se acontece problemas inesperados, sim o tempo todo, porem mais
>>>>> percebível quanto a atualização tem que ser feita nos ports.
>>>>> A menos que possua uma politica de atualização semanal para os ports, a
>>>>> chance de ter alguma coisa quebrada é grande ( para não dizer que terá
>>> ).
>>>>> Como visto o conhecimento é limitado, de uma lida no handbook do
>>>>> freebsd, isso tornará os procedimentos menos inseguros.
>>>>>
>>>>> E uma boa semana.
>>>>>
>>>>> --
>>>>> "Quando a Morte decide contar uma historia,
>>>>> A melhor ação que possa fazer é ouvi-la,
>>>>> e torcer por não ser a sua própria a tal história."
>>>>>
>>>>> Flames > /dev/null ( by Irado !! ).
>>>>> RIP Irado!
>>>>>
>>>>> Paulo Henrique.
>>>>> Analista de Sistemas / Programador
>>>>> BSDs Brasil.
>>>>> Genuine Unix/BSD User.
>>>>> Fone: (21) 9683-5433.
>>>>>
>>>>>
>>>>>
>>>>> -------------------------
>>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>>>
>>>>
>>>>
>>>>
>>>> PH, quanto aos ports tenho feito updates constantes, agendei no cron o
>>>> pkg_version, quando  noto que saiu alguma atualização, uso o portupgrade
>>>> para atualizar.
>>>> Obrigado pelos esclarecimentos.
>>>> Att.
>>>>
>>> Bom dentro da base do sistema a chance de problemas é igual a zero,
>>> agora quanto a ports como você mantei atualizados constantemente é
>>> tranquilo, pode mandar que pouco coisa ruim poderá acontecer, mais faça
>>> em ambiente de teste, não arrisque em ambiente de produção pois subir um
>>> servidor durante a madrugada é a maior dureza.
>>>
>>> Não sei quanto ao pkg_version, vou dar uma vista nisso, pois eu a cada
>>> duas semanas é csup nos ports e portupgrade -a -f -p $ports_que_uso.
>>>
>>> para os demais só quando pinta no security diary do portaudit.
>>>
>>>
>>> Att.
>>>
>>> --
>>> "Quando a Morte decide contar uma historia,
>>> A melhor ação que possa fazer é ouvi-la,
>>> e torcer por não ser a sua própria a tal história."
>>>
>>> Flames > /dev/null ( by Irado !! ).
>>> RIP Irado!
>>>
>>> Paulo Henrique.
>>> Analista de Sistemas / Programador
>>> BSDs Brasil.
>>> Genuine Unix/BSD User.
>>> Fone: (21) 9683-5433.
>>>
>>>
>>>
>>> -------------------------
>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>
>>
>>
>> Paulo o pkg_version só mostra a versão dos ports instalados, e se tem
>> alguma atualização em relação a árvore de ports, depois uso o portupgrade
>> em cada linha de resultado do pkg_version
>>
>> abraços
>>
>
> o próprio portsnap tem uma rotina pronta para colocar na crontab e
> atualizar a arvore de ports, vide man dele (procure pela a palavra
> cron).
>
> Outra pedida é usar o portmaster (ports-mgmt/portmaster) que é um
> utilitario bem mais leve que o portupgrade e não faz uso de mais um DB
> (como é o exemplo do portupgrade), com a opção -L ele vai listar todos
> os updates necessários no seus ports. Coloque isso no seu crontab com um
> | grep pela palavra update ou algo do tipo.
>
> Mais uma, é usar o port-audit para sempre ficar antenado em alguma
> vulnerabilidade em algum pacote, ele também tem uma rotina pronta para
> ser executada no crontab.
>
> Ficam meus R$ 0,05 ;)
>

Opa Luiz, valeu as dicas,
O portupgrade/portmaster e portsnap já são companheiros de longas noite 
de sofrimento.

Eu ainda prefiro o csup, rodo sempre que preciso dependente dos alarmes 
que o port-audit reportam.

O port-audit é o único que uso regularmente pois ele disponibiliza uma 
noção geral quanto a segurança dos serviços instalados, afinal não dá 
para ficar acompanhando 70 listas de discussões acerca de segurança, ( 
já tentei no passado mais como sou o único Analista Unix aqui na empresa 
a tarefa fica quase macabra ).


Valeu pela dica do pkg_version.


Att. Paulo Henrique.

-- 
"Quando a Morte decide contar uma historia,
A melhor ação que possa fazer é ouvi-la,
e torcer por não ser a sua própria a tal história."

Flames > /dev/null ( by Irado !! ).
RIP Irado!

Paulo Henrique.
Analista de Sistemas / Programador
BSDs Brasil.
Genuine Unix/BSD User.
Fone: (21) 9683-5433.





Mais detalhes sobre a lista de discussão freebsd