OVH Community, votre nouvel espace communautaire.

Faille Ghost - CVE-2015-0235


FelixK
04/02/2015, 10h24
Toutes les infos ici: http://travaux.ovh.net/?do=details&id=12520

le patch R2 va passer en stable sous peu.

Félix

bbr18
29/01/2015, 10h36
Il est encore en test
Oui, un patch est en préparation mais il faut encore tester, cf le mail
de Germain. Si vous avez un serveur non-critique et voulez tester,
envoyez moi un mail.

NB: pour l'instant le patch éxiste seulement pour la version 64bit.

Félix

yves57
29/01/2015, 09h49
pour les Releases 2, il y aura probablement un patch qu'on peut découvrir sur le ftp : ftp://ftp.ovh.net/made-in-ovh/release/2.35-2.36/

La commande patch-all.sh ne fonctionne pas encore, il est donc possible que le patch ne soit pas mis en production encore.

yves57
28/01/2015, 21h23
Quelqu'un a une idée lorsqu'un « yum update glibc » plante ?

Code:
/usr/bin/yum list glibc
glibc.i686                                                                   2.12-1.149.el6_6.4                                                                 @updates
glibc.x86_64                                                                 2.12-1.149.el6_6.4                                                                 @updates
Paquets disponibles
glibc.i686                                                                   2.12-1.149.el6_6.5                                                                 updates
glibc.x86_64                                                                 2.12-1.149.el6_6.5

Dépendances résolues

========================================================================================================================================================================
 Paquet                                    Architecture                       Version                                         Dépôt                               Taille
========================================================================================================================================================================
Mise Ã* jour:
 glibc                                     i686                               2.12-1.149.el6_6.5                              updates                             4.3 M
 glibc                                     x86_64                             2.12-1.149.el6_6.5                              updates                             3.8 M
Mise Ã* jour pour dépendance:
 glibc-common                              x86_64                             2.12-1.149.el6_6.5                              updates                              14 M
 glibc-devel                               x86_64                             2.12-1.149.el6_6.5                              updates                             983 k
 glibc-headers                             x86_64                             2.12-1.149.el6_6.5                              updates                             612 k

Résumé de la transaction
========================================================================================================================================================================
Mise Ã* jour de     5 paquet(s)

Taille totaleÂ*: 24 M
Est-ce correct [o/N]Â*: o
Téléchargement des paquetsÂ*:
erreur: rpmts_HdrFromFdno: Entête V3 RSA/SHA1 Signature, key ID c105b9de: BAD


Problème Ã* l'ouverture du paquet glibc-common-2.12-1.149.el6_6.5.x86_64.rpm
Bien entendu, yum clean all, package-cleanup --cleandupes etc. ont été fait. Mais là je sèche.

Edit :
Solution donnée ici : http://kiteplans.info/2015/01/15/sol...re-key-id-bad/

cassiopee
28/01/2015, 20h07
Citation Envoyé par fritz2cat
Bien vu.
Hier soir j'ai mis à jour mes Squeeze LTS et l'update n'était pas proposé.
Aujourd'hui j'ai la mise à jour de libc-bin libc-dev-bin libc6 libc6-dev libc6-i386 locales
Oui, j'ai failli migrer deux machines en 6.0.10 LTS pour rien.

Elles seront passées quand même en 7.8 mais c'est désormais moins urgent


Autre nouvelle : apparemment la faille est exploitable également en PHP
et notamment via un WordPress de base :

http://blog.sucuri.net/2015/01/criti...-released.html

fritz2cat
28/01/2015, 18h12
Citation Envoyé par cassiopee
Pour info :

une Debian LTS ( version 6.0.10) qui était faillible hier ne l'est plus ce matin
suite à une mise à jour (apt-get update / apt-get upgrade)
Bien vu.
Hier soir j'ai mis à jour mes Squeeze LTS et l'update n'était pas proposé.
Aujourd'hui j'ai la mise à jour de libc-bin libc-dev-bin libc6 libc6-dev libc6-i386 locales

hebmaster
28/01/2015, 13h54
Sur ma Debian 7.8 la faille a été corrigé apparemment.

ldd --version
ldd (Debian EGLIBC 2.13-38+deb7u7) 2.13
https://security-tracker.debian.org/.../CVE-2015-0235 : wheezy (security) 2.13-38+deb7u7 fixed

bbr18
28/01/2015, 13h12
Pour les Release 3

Pour la R3, voici la procédure :

/usr/bin/yum update, puis redémarrer tous les services
(possible de vérifier quels services utilisent l'ancienne version avec: lsof -bn 2>/dev/null | grep DEL | grep /lib
Le conseil est de redémarrer TOUS les services voir même rebooter le serveur

Fabian

Kimsufi Support Team

cassiopee
28/01/2015, 10h14
Pour info :

une Debian LTS ( version 6.0.10) qui était faillible hier ne l'est plus ce matin
suite à une mise à jour (apt-get update / apt-get upgrade)

winlinux
28/01/2015, 09h49
Merci pour l'info Sylvain

yves57
28/01/2015, 08h56
Citation Envoyé par Philipp1
ben, il me semble que 2.3 c'est situé entre 2.2 et 2.17.. (puisque 2 < 3 < 17)
Donc oui, les R2 sont bien vulnérable a GHOST.
Lecture trop rapide, j'avais lu 2.1.7. Merci d'avoir corrigé.

Philipp1
28/01/2015, 08h40
Citation Envoyé par yves57
« The GHOST vulnerability can be exploited on Linux systems that use versions of the GNU C Library prior to glibc-2.18.
That is, systems that use glibc-2.2 to glibc-2.17 are at risk. »

Source : https://www.digitalocean.com/communi...-vulnerability

ldd --version donne sur une R2 : ldd (GNU libc) 2.3.6

Est-on hors risque pour autant ? Visiblement non, car le test de vulnérabilité (https://webshare.uchicago.edu/orgs/I...nloads/GHOST.c) indique « VULNERABLE »
ben, il me semble que 2.3 c'est situé entre 2.2 et 2.17.. (puisque 2 < 3 < 17)
Donc oui, les R2 sont bien vulnérable a GHOST.

bbr18
28/01/2015, 08h31
Pour le patch R2, je ne retrouve plus où est l'annonce disant qu'elle ne serait plus maintenue, le support dit qu'il n'y aura pas de patch et Oles dit qu'il y en aura un...
Enfin dans tous les cas, changez de distribution c'est plus prudent.

Nowwhat
28/01/2015, 08h19
Citation Envoyé par Laurjol
Toujours pareil, est-ce qu'un patch est prévu pour les release 2 ?
Mdr ... (désolé).

URGENT: dès que t'as 10 minutes de dispo, cherche sur ce forum ce que est devenu le "R2".
Le garder dans l'état (== utiliser) un R2 ressemble a jouer à la roulette russe version "6 balles dans le cylindre".
J'ai cru que OVH a contacté (par mail) tout ceux qui ont eu une R2 installé pour les persuader d'aller voir ailleurs.

La seule chose à faire est : vérifier si dans le Manager de ton serveur si c'est indiqué que t'as un R2 installé. Si c'est le cas, ouvrir un ticket pour demander pourquoi t'as pas reçu le mail avec l’avertissement que le R2 a coulé (coté support, mise à jours, etc).
Au pire : ton mail n'est pas fiable.

Sauvegarde VITE TOUTES tes données, fichiers, etc.

yves57
28/01/2015, 08h13
« The GHOST vulnerability can be exploited on Linux systems that use versions of the GNU C Library prior to glibc-2.18.
That is, systems that use glibc-2.2 to glibc-2.17 are at risk. »

Source : https://www.digitalocean.com/communi...-vulnerability

ldd --version donne sur une R2 : ldd (GNU libc) 2.3.6

Est-on hors risque pour autant ? Visiblement non, car le test de vulnérabilité (https://webshare.uchicago.edu/orgs/I...nloads/GHOST.c) indique « VULNERABLE »

janus57
28/01/2015, 07h49
Citation Envoyé par Laurjol
Toujours pareil, est-ce qu'un patch est prévu pour les release 2 ?

Si quelqu'un d'OVH pouvait répondre

Laurent
Bonjour,

les R2 sont EOL depuis quelques mois déjà => 0 MAJs normalement.
Et de toute façons même si celle-ci est corrigé y en a une dizaines d'autres derrières toutes aussi importantes.

Cordialement, janus57

Laurjol
28/01/2015, 07h41
Toujours pareil, est-ce qu'un patch est prévu pour les release 2 ?

Si quelqu'un d'OVH pouvait répondre

Laurent

yves57
28/01/2015, 06h52
Y a petit test qui permet de savoir où on en est comme pour shellshocker ?

cassiopee
27/01/2015, 23h21
Juste un petit mot pour dire merci de l'info

Sylvain31
27/01/2015, 16h26
Je pense que vous êtes déjà en train de faire vos mises à jour, si ce n'est pas le cas, ne tardez pas car l'impacte de la faille n°CVE-2015-0235 semble être sérieux.
Plus d'infos:
[EN] https://bugzilla.redhat.com/show_bug...=CVE-2015-0235
[EN] Quelques échanges au sujet de cette faille: https://news.ycombinator.com/item?id=8953545
[FR] http://www.globalsecuritymag.fr/Qual...127,50291.html