SLX-SA-2003-1 | DSA-403-1 | CAN-2003-0961
Skolelinux Beveiligings Advies 2003 #1

Beschrijving

Kort geleden is er een bug ontdekt in the kernels die gebruikt worden in de Debian testing distributie. Dezelfde kernels gebruiken we ook in Skolelinux. De bug maakt het voor een lokale gebruiker mogelijk om root-toegang te verkrijgen.

Consequenties

Dit betekend dat elke leerling (en leraar) die toegang heeft tot uw Skolelinux server mogelijk (indien die persoon schadelijke code schrijft/verkrijgt) root-rechten kan bekomen in uw Skolelinux netwerk. Wat o.a. inhoud dat hij alle bestanden op de server kan inkijken.

Wat te doen

We hebben nieuwe kernel-pakketten beschikbaar gemaakt via de Skolelinux apt-bron
opmerking: Na de hieronder beschreven kernel-opwaardering dient u de machine te herstarten alvorens de opwaardering van kracht wordt.

Uit te voeren stappen:

Ga na welke kernel u gebruikt. Dit doet u via het commando
```
uname -r 
				
```
Dit geeft de door u gebruikte kernel terug. Mogelijks ontdekt u dat de door u gebruikte kernel niet geoptimalizeerd is voor uw machine. Hier is een lijst van de 5 meest gebruikte kernel-varianten:
- 2.4.22-1-386 (standaard voor oudere machines met minder dan 1GiB geheugen)
- 2.4.22-1-686 voor Pentium II of beter en slechts 1 CPU
- 2.4.22-1-686-smp voor Pentium II of beter en meer dan 1 CPU
- 2.4.22-1-k7 voor 1 enkele AMD CPU
- 2.4.22-1-k7-smp voor meerdere AMD CPUs
Kijk uw /etc/apt/sources.list na, en verzeker u ervan dat de regel
```
deb ftp://ftp.skolelinux.no/skolelinux woody local 
				
```
actief is (er mag geen "#" teken aan het begin van de regel staan)
Voer het volgende commando uit als root:
```
apt-get update
				
```

de kernel-versie die zometeen geinstalleerd zal worden kunt u controleren met het commando

apt-cache policy kernel-image-2.4.22-1-<uwCPU>

vervang hierbij <uwCPU> met 386, 686, 686-smp, k7, of k7-smp Gegeven de juiste CPU dient de uitvoer er als volgt uit te zien:

finnarne@fajdra:~$ apt-cache policy kernel-image-2.4.22-1-686
kernel-image-2.4.22-1-686:
  Installed: 2.4.22-1
  Candidate: 2.4.22-4skolelinux
  Version Table:
 *** 2.4.22-4skolelinux 0
        500 ftp://ftp.skolelinux.no woody-test/local Packages
        100 /var/lib/dpkg/status
     2.4.22-1 0
        500 ftp://ftp.skolelinux.no woody/local Packages

Gelieve erop te letten dat u Candidate: 2.4.22-4skolelinux zult ophalen

Voor de opwaardering doet u;
```
apt-get install kernel-image-2.4.22-1-<yourcpu>
        
```
Gedurende de opwaardering krijgt u een waarschuwing te zien die zegt dat de draaiende kernel opwaardeert en dat u dient te herstarten. Gelieve dit te doen wanneer dit commando klaar is (vergeet de gebruikers die aan het werken zijn niet te waarschuwen aangezien zij niet opgeslagen werk zullen verliezen). 1 manier om hier rekening mee te houden is om eerst naar "single user mode" te gaan op elke server, startend met de thin-client-servers. Dit doet u door "ALT+CTRL+F1" te drukken, in te loggen als root en vervolgens het commando "init 1" te geven. Vervolgens voert u apt-get eerst op de hoofd-server en na de herstart op de thin-client-servers uit.
Om na te gaan dat de kernel opgewaardeerd is kunt u
```
uname -r 
			  
```
uitvoeren, om na te gaan of u de juiste kernel-variant heeft
Daarna doet u
```
dmesg | head 
			  
```
waar u nagaat dat u iets als
```
finnarne@fajdra:~$ dmesg | head 
Linux version 2.4.22-1-686 (root@fajdra) (gcc version 3.3.2 (Debian)) #1 ons des 3 15:32:52 UTC 2003
			  
```
te zien krijgt (de gcc versie moet overeen komen en timestamp moet dichtbij zijn)

Hoe ga ik na of ik gekraakt ben, en hoe voorkom ik dat dit weer gebeurt?

Beveiling is een bewegend doelwit. Het doel is om te voorkomen dat de krakers als eerste bij uw servers geraken. Skolelinux is gebaseerd op Debian, een van de meest veilige Linux Distributies , wat betekend dat dit relatief zelden voorkomt. Er is een HOWTO betreffende het testen van uw installatie op debian.org compromise - Developer Cleanup Info

Meer informatie

Meer informatie betreffende deze bug vindt u in Skolelinux bugzilla, BUG #560