Ceux d'entre vous qui lisent les mailing listes d'OVH l'auront peut-être remarqué hier soir !
Une faille importante nécessitant un changement URGENT de noyau sur TOUS les serveurs 64 bits a été découverte (que les serveurs soient pris chez OVH ou non !)
Voici le message d'Octave Klaba (hier soir à 19H52):
Citation
Bonjour,
SI
vous avez un serveur dédié
ET
il fonctionne sous Linux
ET
il est en 64 bits
ALORS
votre serveur est hackable !!!
Il est IMPÉRATIF de le mettre à jour !! N'attendez pas !!!
L'exploit qui permet d'obtenir le root est publiquement
disponible.
Quoi faire ?
------------
Il faut mettre à jour le kernel de votre serveur.
Comment ?
---------
- si vous êtes en "sécurité totale":
vous avez reçu un email de planification du reboot du
serveur, vous n'avez rien à faire
- si vous êtes en "netboot"/RPS/Cloud:
il suffit de rebooter votre serveur.
- si vous êtes en "kernel manuel":
vous avez les nouveaux noyaux sur
ftp://ftp.ovh.net/made-in-ovh/bzImage/
c'est le bzImage-2.6.34.6-xxxx
- si vous compilez:
les sources sur kernel.org sont vulnérables. Il faut
patcher. Seulement 2.6.36-RC4 est patché. (A confirmer,
nous on a vérifié rapidement).
Après la mise en place du noyau vous devez voir ceci:
# uname -a
Linux XXXXXXX 2.6.34.6-xxxx-std-ipv6-64 #3 SMP Fri Sep 17
^^
Il faut bien voir 2.6.34.6.
PS. Désormais il a plus qu'un seul noyau (IPv4 + IPv6)
nommé bzImage-xxxx-ipv6-xxxx
Détail:
-------
Une faille de sécurité (CVE-2010-3301) permettant d'obtenir
localement les privilèges root vient d'être (re)découverte
au niveau de l'émulation 32bit sur les systèmes 64bit.
Tous les noyaux 64bit depuis le 2.6.27 sont vulnérables.
Pour l'histoire, la faille avait été fixée en 2007 dans le
2.6.22.7 (CVE-2007-4573), mais une régression est apparue
en 2008.
[explications et exploit: http://sota.gen.nz/compat2/]
Amicalement
Octave
SI
vous avez un serveur dédié
ET
il fonctionne sous Linux
ET
il est en 64 bits
ALORS
votre serveur est hackable !!!
Il est IMPÉRATIF de le mettre à jour !! N'attendez pas !!!
L'exploit qui permet d'obtenir le root est publiquement
disponible.
Quoi faire ?
------------
Il faut mettre à jour le kernel de votre serveur.
Comment ?
---------
- si vous êtes en "sécurité totale":
vous avez reçu un email de planification du reboot du
serveur, vous n'avez rien à faire
- si vous êtes en "netboot"/RPS/Cloud:
il suffit de rebooter votre serveur.
- si vous êtes en "kernel manuel":
vous avez les nouveaux noyaux sur
ftp://ftp.ovh.net/made-in-ovh/bzImage/
c'est le bzImage-2.6.34.6-xxxx
- si vous compilez:
les sources sur kernel.org sont vulnérables. Il faut
patcher. Seulement 2.6.36-RC4 est patché. (A confirmer,
nous on a vérifié rapidement).
Après la mise en place du noyau vous devez voir ceci:
# uname -a
Linux XXXXXXX 2.6.34.6-xxxx-std-ipv6-64 #3 SMP Fri Sep 17
^^Il faut bien voir 2.6.34.6.
PS. Désormais il a plus qu'un seul noyau (IPv4 + IPv6)
nommé bzImage-xxxx-ipv6-xxxx
Détail:
-------
Une faille de sécurité (CVE-2010-3301) permettant d'obtenir
localement les privilèges root vient d'être (re)découverte
au niveau de l'émulation 32bit sur les systèmes 64bit.
Tous les noyaux 64bit depuis le 2.6.27 sont vulnérables.
Pour l'histoire, la faille avait été fixée en 2007 dans le
2.6.22.7 (CVE-2007-4573), mais une régression est apparue
en 2008.
[explications et exploit: http://sota.gen.nz/compat2/]
Amicalement
Octave
Tous les serveurs infogérés par Webmaster-Hub en 64 bits ont donc eu un nouveau noyau hier soir à 20H et sont donc à l'abri.. !
Nous ne pouvons que conseiller fermement à tous les utilisateurs de serveurs en 64 bits de changer leur noyau aussi rapidement que possible !
Bon weekend à tous !
Haut
