ptrace ist ein System-Call und dient zum Debuggen von Tochterprozessen. Näheres siehe ManPage.

Bugfix für aktuellen ptrace-Exploit

Wen betrifft dieses Problem?

• jeden mit einem nicht korrigierten LinuxKernel <=2.4.21pre5

• jeden, der auf seinem Rechner fremde Programme ausführt oder andere User ausführen lässt (auch "eigene CGIs" bei Webservern)

Wen betrifft es nicht?

• jeder, der nur alleine auf seinem Rechner arbeitet und nur aus gesicherten Quellen Programme installiert/startet.

• jeder, der den offiziellen Linuxkernel >=2.4.21pre6 verwendet oder ein entsprechendes gefixtes Kernel-Update seiner Distribution

20.3.2003: Bis Kernel 2.4.21-pre5 inklusive gibt es leider nen üblen Bug, der einen lokalen root-Exploit von einem Useraccount aus zulässt. Sollte also auf jedem Multi-User-System gefixt werden, ebenso auf Systemen auf denen ein remote-Userlevel-Exploit denkbar ist, der damit eskaliert werden könnte.

Patch:

• http://www.spinics.net/lists/kernel/msg162986.html (Mail von AlanCox, Patch 2.4.20)

• http://www.spinics.net/lists/kernel/msg163020.html (Patch 2.4.21pre5)

• http://sinuspl.net/ptrace/linux-2.4.20-ptrace.patch

• http://www.hardrock.org/kernel/2.4.20/linux-2.4.20-ptrace.patch (2.4.20 clean patch)

/!\ Für die Patches wird KEINE Gewähr übernommen - ungeprüft, ungetestet, unbekannte Quelle!

Anleitung zum Patchen siehe patch.

Ansonsten hilft auch ein

echo "none" >/proc/sys/kernel/modprobe

um erstmal Schlimmeres zu vermeiden.

Details:

• http://www.securityfocus.com/archive/1/315635

• http://www.heise.de/newsticker/data/ju-20.03.03-000/

• http://slashdot.org/article.pl?sid=03/03/18/199208&mode=thread&tid=106&tid=172

Debian

Debian empfiehlt auf http://www.debian.de/security/2003/dsa-270, "kernel-images Pakete unverzüglich zu aktualisieren". Betrifft aber nur die MIPS-Architektur, für i386 gibt es seit kurzem in unstable passende Images 2.4.20-1: http://ftp.de.debian.org/debian/pool/main/k/kernel-image-2.4.20-1-i386/