IMPORTANT et URGENT: serveur =?ISO-8859-15?Q?d=E9di=E9?= bug de securite

11/02/2008, 17h10

Bonjour,
Une importante faille de sécurité a été mise en évidence ce week-end
sur l'ensemble des noyaux Linux 2.6.XX que vous pouvez utiliser chez
Ovh (et pas seulement). Aucun patch de sécurité (grsecurity, PaX,
Openwall, etc) ne bloque ce bug. La seule possibilité de fixer le
bug est de mettre à jour votre kernel vers la dernière version de
Linux 2.6.24.2 (mis à jour hier soir à 21H51 !!).

Ce bug est TRÈS dangereux: n'importe quel utilisateur du serveur
permet d'avoir les droits de root en moins de 10 secondes !! Très très
simplement. En suite c'est foutu car il fait réinstaller le serveur.
Même si vous ne proposez pas de shell/bash sur vos serveurs, à travers
les scripts php, cgi etc on peut avoir l'accès root sur la machine.

Ne remettez pas à demain ou à ce soir cette mise à jour ! Il y a 1h
environ, on vient de bloquer le 1er serveur hacké avec cette méthode.
Et avec ce bug, c'est la sécurité du réseau qui est en dangers. Nous
n'allons donc pas hésiter 1 seconde de bloquer votre serveur s'il est
hacké. Prenez donc 10 minutes là pour exécuter ces quelques commandes
simples.

Ovh propose des noyaux patchés, verifiés et sécurisés contre ce bug
de sécurité. Aussi, le nouveau noyau supporte mieux les cartes réseaux
utilisés sur le hardware chez Ovh, l'iSCSI, ainsi qu'une tonne de
petits bugs du Kernel.

Comment mettre à jour le noyau en moins de 5 minutes ? Très simplement.
Même si vous n'avez jamais fait, vous allez réussir cette mise à jour

1.)
Connectez vous sur le serveur en SSH et tapez (copier coller):
# wget -q ftp://ftp.ovh.net/made-in-ovh/dedie/...3ware-sysfs.sh -O - | /bin/bash
# wget -q ftp://ftp.ovh.net/made-in-ovh/rtm/install_rtm.sh -O - | /bin/bash
Ceci met à jour votre RTM, le patch sysfs, 3ware. Une sécurité de plus
avant le reboot.

2.)
Dans le manager, choisissez "netboot" et puis "ipv4", puis la version
"32bits" ou "64bits" (ça dépend la distribution que vous utilisez)
Par exemple "bzImage-xxxx-std-ipv4-32"
En suite reconnectez sur sur le serveur en SSH et tapez
# reboot
Attendez le redémarrage du serveur (entre 2 et 5 minutes en fonction du
serveur) puis reconnectez-vous sur le serveur en SSH puis tapez:
# uname -a
La commande doit vous renvoyer la version 2.6.24.2. Par exemple:
# uname -a
Linux oles2.ovh.net 2.6.24.2-xxxx-std-ipv4-32 #1 SMP Mon Feb 11 14:51:26

Si vous n'utilisez pas le netboot, vous pouvez telecharger nos noyaux
sur ftp://ftp.ovh.net/made-in-ovh/bzImage
bzImage-2.6.24.2-xxxx-std-ipv4-32
bzImage-2.6.24.2-xxxx-std-ipv4-32-hz1000
bzImage-2.6.24.2-xxxx-std-ipv4-64-hz1000
bzImage-2.6.24.2-xxxx-std-ipv6-32
bzImage-2.6.24.2-xxxx-std-ipv4-32-filer
bzImage-2.6.24.2-xxxx-std-ipv4-64
bzImage-2.6.24.2-xxxx-std-ipv4-64-rescue
bzImage-2.6.24.2-xxxx-std-ipv6-64

Les noyaux GRSecurity ne sont pas encore disponible. Le patch sera dispo
sous quelques jours.

Si vous compilez vous-même le noyau, vous pouvez trouver notre .tar.gz
ainsi que les .config sur ftp://ftp.ovh.net/made-in-ovh/bzImage

Si vous avez des problèmes, merci d'utiliser le forum ou la mailing list
afin qu'on vous aide très directement. N'oubliez pas mettre le nom de
votre serveur dédié dans vos messages (chaque message). Sur le

Merci à tous et bon patch !

Les clients qui ont pris l'option sécurité totale sont en cours de mise
à jour (déjà).

Amicalement
Octave

Franssois · 11/02/2008, 17h12

Gloups, je suis impacté ?
http://forum.ovh.com/showthread.php?t=31394

Havran · 11/02/2008, 17h21

Les Kimsufi sont aussi impactés ?

jwhosting · 11/02/2008, 17h23

Oui, à partir du moment où tu as un des noyeaux qui contient la faille

juanito · 11/02/2008, 17h24

Bonjour,

le script de mise à jour est-il valable pour un dédié sous Plesk ?

Par avance merci

JP

Kervala · 11/02/2008, 17h24

Est-ce que c'est normal que je vois pas de kernel 2.6.24.2 pour le netboot dans mon manager ?

SO Prod · 11/02/2008, 17h27

Sous Plesk la 1ere manip (tronquée sur le 1er message ici) donne les erreurs :
mkdir: Ne peut créer le répertoire `/sys': Le fichier existe.
mount: sysfs est déjà monté ou /sys est occupé

Normal ?

Steeve

grum · 11/02/2008, 17h27

Citation:

Est-ce que c'est normal que je vois pas de kernel 2.6.24.2 pour le netboot dans mon manager ?

moi non plus le kernel n'est pas dispo dans mon netboot ....

**Germain** · 11/02/2008, 17h29

Citation:

Envoyé par grum

moi non plus le kernel n'est pas dispo dans mon netboot ....

C'est bon, il s'agissait d'un problème d'affichage.

Ostin · 11/02/2008, 17h32

J'ai tout de suite une erreur :

serveur ~ # wget -q ftp://ftp.ovh.net/made-in-ovh/dedie/...3ware-sysfs.sh -O -|/bin/bash
ls: ne peut accéder /sbin/tw_cli: Aucun fichier ou répertoire de ce type

???
sur un kernell 2.6.21.5-grsec-xxxx-grs-ipv4-64 #6 SMP

11/02/2008, 17h12	#2
Franssois Membre Date d'inscription: février 2004 Messages: 114	Re : IMPORTANT et URGENT: serveur =?ISO-8859-15?Q?d=E9di=E9?= bug de securite Gloups, je suis impacté ? http://forum.ovh.com/showthread.php?t=31394

11/02/2008, 17h21	#3
Havran Membre Date d'inscription: avril 2006 Messages: 2	Re : IMPORTANT et URGENT: serveur =?ISO-8859-15?Q?d=E9di=E9?= bug de securite Les Kimsufi sont aussi impactés ?

11/02/2008, 17h23	#4
jwhosting Membre Date d'inscription: janvier 2008 Messages: 447	Re : IMPORTANT et URGENT: serveur =?ISO-8859-15?Q?d=E9di=E9?= bug de securite Oui, à partir du moment où tu as un des noyeaux qui contient la faille

11/02/2008, 17h24	#5
juanito Membre Date d'inscription: avril 2004 Messages: 15	Re : IMPORTANT et URGENT: serveur =?ISO-8859-15?Q?d=E9di=E9?= bug de securite Bonjour, le script de mise à jour est-il valable pour un dédié sous Plesk ? Par avance merci JP

11/02/2008, 17h27	#7
SO Prod Membre Date d'inscription: février 2008 Messages: 1	Re : IMPORTANT et URGENT: serveur =?ISO-8859-15?Q?d=E9di=E9?= bug de securite Sous Plesk la 1ere manip (tronquée sur le 1er message ici) donne les erreurs : mkdir: Ne peut créer le répertoire `/sys': Le fichier existe. mount: sysfs est déjà monté ou /sys est occupé Normal ? Steeve

11/02/2008, 17h10	#1
oles@ovh.net Visiteur Messages: n/a	IMPORTANT et URGENT: serveur =?ISO-8859-15?Q?d=E9di=E9?= bug de securite Bonjour, Une importante faille de sécurité a été mise en évidence ce week-end sur l'ensemble des noyaux Linux 2.6.XX que vous pouvez utiliser chez Ovh (et pas seulement). Aucun patch de sécurité (grsecurity, PaX, Openwall, etc) ne bloque ce bug. La seule possibilité de fixer le bug est de mettre à jour votre kernel vers la dernière version de Linux 2.6.24.2 (mis à jour hier soir à 21H51 !!). Ce bug est TRÈS dangereux: n'importe quel utilisateur du serveur permet d'avoir les droits de root en moins de 10 secondes !! Très très simplement. En suite c'est foutu car il fait réinstaller le serveur. Même si vous ne proposez pas de shell/bash sur vos serveurs, à travers les scripts php, cgi etc on peut avoir l'accès root sur la machine. Ne remettez pas à demain ou à ce soir cette mise à jour ! Il y a 1h environ, on vient de bloquer le 1er serveur hacké avec cette méthode. Et avec ce bug, c'est la sécurité du réseau qui est en dangers. Nous n'allons donc pas hésiter 1 seconde de bloquer votre serveur s'il est hacké. Prenez donc 10 minutes là pour exécuter ces quelques commandes simples. Ovh propose des noyaux patchés, verifiés et sécurisés contre ce bug de sécurité. Aussi, le nouveau noyau supporte mieux les cartes réseaux utilisés sur le hardware chez Ovh, l'iSCSI, ainsi qu'une tonne de petits bugs du Kernel. Comment mettre à jour le noyau en moins de 5 minutes ? Très simplement. Même si vous n'avez jamais fait, vous allez réussir cette mise à jour 1.) Connectez vous sur le serveur en SSH et tapez (copier coller): # wget -q ftp://ftp.ovh.net/made-in-ovh/dedie/...3ware-sysfs.sh -O - \| /bin/bash # wget -q ftp://ftp.ovh.net/made-in-ovh/rtm/install_rtm.sh -O - \| /bin/bash Ceci met à jour votre RTM, le patch sysfs, 3ware. Une sécurité de plus avant le reboot. 2.) Dans le manager, choisissez "netboot" et puis "ipv4", puis la version "32bits" ou "64bits" (ça dépend la distribution que vous utilisez) Par exemple "bzImage-xxxx-std-ipv4-32" En suite reconnectez sur sur le serveur en SSH et tapez # reboot Attendez le redémarrage du serveur (entre 2 et 5 minutes en fonction du serveur) puis reconnectez-vous sur le serveur en SSH puis tapez: # uname -a La commande doit vous renvoyer la version 2.6.24.2. Par exemple: # uname -a Linux oles2.ovh.net 2.6.24.2-xxxx-std-ipv4-32 #1 SMP Mon Feb 11 14:51:26 Si vous n'utilisez pas le netboot, vous pouvez telecharger nos noyaux sur ftp://ftp.ovh.net/made-in-ovh/bzImage bzImage-2.6.24.2-xxxx-std-ipv4-32 bzImage-2.6.24.2-xxxx-std-ipv4-32-hz1000 bzImage-2.6.24.2-xxxx-std-ipv4-64-hz1000 bzImage-2.6.24.2-xxxx-std-ipv6-32 bzImage-2.6.24.2-xxxx-std-ipv4-32-filer bzImage-2.6.24.2-xxxx-std-ipv4-64 bzImage-2.6.24.2-xxxx-std-ipv4-64-rescue bzImage-2.6.24.2-xxxx-std-ipv6-64 Les noyaux GRSecurity ne sont pas encore disponible. Le patch sera dispo sous quelques jours. Si vous compilez vous-même le noyau, vous pouvez trouver notre .tar.gz ainsi que les .config sur ftp://ftp.ovh.net/made-in-ovh/bzImage Si vous avez des problèmes, merci d'utiliser le forum ou la mailing list afin qu'on vous aide très directement. N'oubliez pas mettre le nom de votre serveur dédié dans vos messages (chaque message). Sur le Merci à tous et bon patch ! Les clients qui ont pris l'option sécurité totale sont en cours de mise à jour (déjà). Amicalement Octave

11/02/2008, 17h24	#6
Kervala Membre Date d'inscription: février 2004 Messages: 25	Re : IMPORTANT et URGENT: serveur =?ISO-8859-15?Q?d=E9di=E9?= bug de securite Est-ce que c'est normal que je vois pas de kernel 2.6.24.2 pour le netboot dans mon manager ?

11/02/2008, 17h32	#10
Ostin Membre Date d'inscription: octobre 2007 Messages: 45	Re : IMPORTANT et URGENT: serveur =?ISO-8859-15?Q?d=E9di=E9?= bug de securite J'ai tout de suite une erreur : serveur ~ # wget -q ftp://ftp.ovh.net/made-in-ovh/dedie/...3ware-sysfs.sh -O -\|/bin/bash ls: ne peut accéder /sbin/tw_cli: Aucun fichier ou répertoire de ce type ??? sur un kernell 2.6.21.5-grsec-xxxx-grs-ipv4-64 #6 SMP

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email