Ubuntu – ¿Demostración de vulnerabilidad en Ubuntu 9.04?

Se cree que todas las versiones de Linux 2.4/2.6 desde mayo de 2001 están afectadas:2.4.4 hasta 2.4.37.4 inclusive; 2.6.0 hasta 2.6.30.4 inclusive

Entonces parece que el servidor Ubuntu que configuré debería ser adecuado para la demostración. Sin embargo, no pude hacerlo funcionar.

Agregué un usuario (regular) en el servidor y el acceso SSH funciona. Desde Metasploit Framework, puedo crear una sesión SSH usando auxiliary/scanner/ssh/ssh_login . Sin embargo, cuando ejecuto el exploit, obtengo

[*] Writing exploit executable to /tmp/mlcpzP6t (4069 bytes)

[*] Exploit completed, but no session was created.

No obtengo más información, ni siquiera cuando configuro DEBUG_EXPLOIT a la verdad /tmp es writabe, también desde dentro de la sesión Metasploit SSH:

$ sessions -c "touch /tmp/test.txt"
[*] Running 'touch /tmp/test.txt' on shell session 1 ([redacted])

$ sessions -c "ls -l /tmp"
[*] Running 'ls -l /tmp' on shell session 1 ([redacted])

total 0

-rw-r--r-- 1 [redacted] [redacted] 0 2016-03-28 09:44 test.txt

También intenté configurar WriteableDir al directorio de inicio del usuario en el servidor, pero sin ningún cambio. ¿Que me estoy perdiendo aqui? ¿Esta versión del servidor Ubuntu (que deliberadamente no he actualizado) no es vulnerable?

Respuesta aceptada:

La versión 9.04 se admitió hasta el 23 de octubre de 2010. La vulnerabilidad que encontró se informó en agosto de 2009. Parece razonable que, dado que la versión aún era actual y admitía en ese momento, la ISO se revisó y lo que descargó fue una versión que es ya no es vulnerable.

Además, parece que has demostrado muy bien que no es vulnerable. Después de todo, probaste el exploit y parece que falló.

¿Por qué no pruebas un nuevo exploit? Algo como CVE-2013-2094 que también debería afectar a Ubuntu, por ejemplo.