# Linux Kernel 'sock_sendpage()' NULL Pointer Dereference Vuln

## alexerre

 *Quote:*   

> 
> 
> BugTraq ID: 36038
> 
> Remote: No
> ...

 

Cosa ne pensate? Io ho provato a scaricare e lanciare l'exploit su alcuni server ma sembra che il kernel, compilato in un certo modo, non risulti vulnerabile.

Su debian invece l'exploit funziona e I got root   :Confused: 

Voi che esperienze avete? Come mai, secondo voi, non è ancora stato pubblicato un glsa da parte di gentoo?

----------

## cloc3

```

s939 ~ # grep -A5 "14 Aug 2009" /usr/portage/sys-kernel/gentoo-sources/ChangeLog

*gentoo-sources-2.6.30-r5 (14 Aug 2009)

  14 Aug 2009; Mike Pagano <mpagano@gentoo.org>

  +gentoo-sources-2.6.30-r5.ebuild:

  Fix for (CVE-2009-2692), Kernel: NULL pointer dereference due to incorrect

  proto_ops initializations. Fix for Linux Kernel clock_nanosleep() NULL

  Pointer Dereference, SA36200. Security hid dereference before null check

  fix. New patch for fbcondecor.

```

puntualissimo.

qui da noi non possiamo provare.

----------

## alexerre

 *cloc3 wrote:*   

> 
> 
> puntualissimo.
> 
> qui da noi non possiamo provare.

 

Avete già patchato? Idee sulle hardened-source?

----------

## Apetrini

@alexerre: non sei stato chiaro con che tipo di kernel hai provato l'exploit e con che versione. Sarebbe utile avere questi dati.

----------

## alexerre

 *Apetrini wrote:*   

> @alexerre: non sei stato chiaro con che tipo di kernel hai provato l'exploit e con che versione. Sarebbe utile avere questi dati.

 

La versione di debian che ho testato è l'ultima disponibile in lenny prima dell'aggiornamento 2.6.26-2-amd64.

Su gentoo ho provato dentro vmware esxi il kernel vanilla 2.6.21.1 (patchato per funzionare con vmware) e su server fisici la versione 2.6.25-hardened-r7 (che attualmente ho in produzione su quasi la totalità dei server).

Tutte le mie compilazioni sono fatte con supporto x moduli, per attivazione di hardware a caldo, ma con tutto il necessario all'avvio monolitico...

Lanciando gli exploit presenti su security focus non risultano vulnerabilità...

Ho postato qui per conoscere la Vs. esperienza e se consigliate comunque un aggiornamento...

 :Rolling Eyes: 

----------

## Apetrini

L'exploit su securityfocus hanno bisogno di pulseaudio; il creatore degli exploit ha trovato un modo di sfruttare la falla con pulseaudio (mi pare anche con SELinux). Non è detto che in futuro qualche altro creativo trovi altri modi per sfruttare la falla.

Non saprei se consigliarti di aggiornare o meno, questo dipende dalla situazione. Ovviamente la falla è del tipo escalazione di privilegi quindi se per caso hai dei server che non hanno utenti locali (intesi nel modo canonico), puoi prendertela ben comoda.

Io se fossi in te cercherei di vedere se è uscita(credo proprio di si, se la distro non ti fornisce le patch, tu da un occhio alla cartella pub di kernel.org) una patch per i kernel che uso, poi sui server farei una copia dei sorgenti del kernel, applicherei la patch, dopo dentro il menu di configurazione aggiungerei un nuovo suffisso al kernel, giusto per distinguerlo da quello vecchio. copierei la configurazione dal kernel vecchio, compilerei il tutto, aggiornerei i symlink, compilerei roba esterna se c'è, installerei il nuovo kernel come alternativo cosi per provare, in caso di problemi basta dire al bootloader di caricare il kernel vecchio.

----------

