[FUG-BR] CVE-2012-0217: Intel's sysret Kernel Privilege Escalation (on FreeBSD

Terça Julho 10 09:08:08 BRT 2012

Em Ter, 2012-07-10 às 08:14 -0300, Enio Marconcini escreveu:
> 2012/7/9 Paulo Henrique BSD Brasil <paulo.rddck em bsd.com.br>
> 
> >
> >
> > Em 9/7/2012 19:23, Enio Marconcini escreveu:
> > > 2012/7/8 Paulo Henrique BSD Brasil <paulo.rddck em bsd.com.br>
> > >
> > >>
> > >>
> > >> Em 8/7/2012 21:20, Enio Marconcini escreveu:
> > >>> 2012/7/8 Enio Marconcini <eniorm em gmail.com>
> > >>>
> > >>>>
> > >>>>
> > >>>> On Sun, Jul 8, 2012 at 9:13 AM, mantunes <mantunes.listas em gmail.com
> > >>> wrote:
> > >>>>
> > >>>>> E ai galera..
> > >>>>>
> > >>>>> alquem já testou ?
> > >>>>>
> > >>>>>
> > >>>>>
> > >>
> > http://fail0verflow.com/blog/2012/cve-2012-0217-intel-sysret-freebsd.html
> > >>>>>
> > >>>>>
> > >>>>> --
> > >>>>> Marcio Antunes
> > >>>>> Powered by FreeBSD
> > >>>>> ==================================
> > >>>>> * Windows: "Where do you want to go tomorrow?"
> > >>>>> * Linux: "Where do you want to go today?"
> > >>>>> * FreeBSD: "Are you, guys, comming or what?"
> > >>>>> -------------------------
> > >>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
> > >>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > >>>>>
> > >>>>
> > >>>>
> > >>>>
> > >>>> pegando carona nessa thread aqui, eu sempre acompanho os avisos, mas
> > >> nunca
> > >>>> testei fazer uma correção, visto que os servidores só rodam na nossa
> > >> LAN e
> > >>>> não fornece nenhum serviço externo.... tem algum tutorial ou
> > explicação
> > >> de
> > >>>> como proceder corretamente as atualizações? Ou se eu fazer um update
> > dos
> > >>>> sources de depois compilar/instalar o kernel/world e estará tudo
> > >> corrigido?
> > >>>>
> > >>>> abraços
> > >>>>
> > >>>> --
> > >>>> *ENIO RODRIGO MARCONCINI*
> > >>>> @eniomarconcini <http://twitter.com/eniomarconcini>
> > >>>> *[ $[ $RANDOM % 6 ] == 0 ] && rm -rf / || echo "You live"**
> > >>>> *
> > >>>> *
> > >>>> *
> > >>>> *"H**ave a trouble with windows: reboot!*
> > >>>> *Have a trouble with unix: be root!"*
> > >>>>
> > >>>>
> > >>>
> > >>> brother foi mal na última pergunta, bem notei que a explicação de como
> > >>> corrigir acompanha o aviso rsrs, falta de ler até o final....
> > >>>
> > >>> mas então mudando a pergunta, alguém já experimentou problemas
> > >> inesperados
> > >>> quando faz a recompilação aplicando uma correção?
> > >>>
> > >>> att
> > >>>
> > >>>
> > >> Se acontece problemas inesperados, sim o tempo todo, porem mais
> > >> percebível quanto a atualização tem que ser feita nos ports.
> > >> A menos que possua uma politica de atualização semanal para os ports, a
> > >> chance de ter alguma coisa quebrada é grande ( para não dizer que terá
> > ).
> > >> Como visto o conhecimento é limitado, de uma lida no handbook do
> > >> freebsd, isso tornará os procedimentos menos inseguros.
> > >>
> > >> E uma boa semana.
> > >>
> > >> --
> > >> "Quando a Morte decide contar uma historia,
> > >> A melhor ação que possa fazer é ouvi-la,
> > >> e torcer por não ser a sua própria a tal história."
> > >>
> > >> Flames > /dev/null ( by Irado !! ).
> > >> RIP Irado!
> > >>
> > >> Paulo Henrique.
> > >> Analista de Sistemas / Programador
> > >> BSDs Brasil.
> > >> Genuine Unix/BSD User.
> > >> Fone: (21) 9683-5433.
> > >>
> > >>
> > >>
> > >> -------------------------
> > >> Histórico: http://www.fug.com.br/historico/html/freebsd/
> > >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > >>
> > >
> > >
> > >
> > > PH, quanto aos ports tenho feito updates constantes, agendei no cron o
> > > pkg_version, quando  noto que saiu alguma atualização, uso o portupgrade
> > > para atualizar.
> > > Obrigado pelos esclarecimentos.
> > > Att.
> > >
> > Bom dentro da base do sistema a chance de problemas é igual a zero,
> > agora quanto a ports como você mantei atualizados constantemente é
> > tranquilo, pode mandar que pouco coisa ruim poderá acontecer, mais faça
> > em ambiente de teste, não arrisque em ambiente de produção pois subir um
> > servidor durante a madrugada é a maior dureza.
> >
> > Não sei quanto ao pkg_version, vou dar uma vista nisso, pois eu a cada
> > duas semanas é csup nos ports e portupgrade -a -f -p $ports_que_uso.
> >
> > para os demais só quando pinta no security diary do portaudit.
> >
> >
> > Att.
> >
> > --
> > "Quando a Morte decide contar uma historia,
> > A melhor ação que possa fazer é ouvi-la,
> > e torcer por não ser a sua própria a tal história."
> >
> > Flames > /dev/null ( by Irado !! ).
> > RIP Irado!
> >
> > Paulo Henrique.
> > Analista de Sistemas / Programador
> > BSDs Brasil.
> > Genuine Unix/BSD User.
> > Fone: (21) 9683-5433.
> >
> >
> >
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> 
> 
> Paulo o pkg_version só mostra a versão dos ports instalados, e se tem
> alguma atualização em relação a árvore de ports, depois uso o portupgrade
> em cada linha de resultado do pkg_version
> 
> abraços
> 

o próprio portsnap tem uma rotina pronta para colocar na crontab e
atualizar a arvore de ports, vide man dele (procure pela a palavra
cron).

Outra pedida é usar o portmaster (ports-mgmt/portmaster) que é um
utilitario bem mais leve que o portupgrade e não faz uso de mais um DB
(como é o exemplo do portupgrade), com a opção -L ele vai listar todos
os updates necessários no seus ports. Coloque isso no seu crontab com um
| grep pela palavra update ou algo do tipo.

Mais uma, é usar o port-audit para sempre ficar antenado em alguma
vulnerabilidade em algum pacote, ele também tem uma rotina pronta para
ser executada no crontab.

Ficam meus R$ 0,05 ;)

-- 
Luiz Gustavo Costa (Powered by BSD)
*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+
mundoUnix - Consultoria em Software Livre
http://www.mundounix.com.br
ICQ: 2890831 / MSN: contato em mundounix.com.br
Tel: 55 (21) 4063-7110 / 8194-1905 / (11) 4063-0407
Blog: http://www.luizgustavo.pro.br