Un faille de sécurité a été découverte au niveau des noyaux Linux 2.6.xx, il faut patcher vos serveur de toute urgence car cette faille permet à un hacker de choper le root de votre serveur en moins de 10 sec.
Des exploits sont déjà disponibles sur le net et des serveurs se sont déjà fait hackés.
Pour ceux qui ont des serveurs chez ovh qui tournent avec un kernel 2.6.xx voici le message d’Octave :
Bonjour,
Une importante faille de sécurité a été mise en évidence ce week-end
sur l’ensemble des noyaux Linux 2.6.XX que vous pouvez utiliser chez
Ovh (et pas seulement). Aucun patch de sécurité (grsecurity, PaX,
Openwall, etc) ne bloque ce bug. La seule possibilité de fixer le
bug est de mettre à jour votre kernel vers la dernière version de
Linux 2.6.24.2 (mis à jour hier soir à 21H51 !!).
Ce bug est TRÈS dangereux: n’importe quel utilisateur du serveur
permet d’avoir les droits de root en moins de 10 secondes !! Très très
simplement. En suite c’est foutu car il fait réinstaller le serveur.
Même si vous ne proposez pas de shell/bash sur vos serveurs, à travers
les scripts php, cgi etc on peut avoir l’accès root sur la machine.
Ne remettez pas à demain ou à ce soir cette mise à jour ! Il y a 1h
environ, on vient de bloquer le 1er serveur hacké avec cette méthode.
Et avec ce bug, c’est la sécurité du réseau qui est en dangers. Nous
n’allons donc pas hésiter 1 seconde de bloquer votre serveur s’il est
hacké. Prenez donc 10 minutes là pour exécuter ces quelques commandes
simples.
Ovh propose des noyaux patchés, verifiés et sécurisés contre ce bug
de sécurité. Aussi, le nouveau noyau supporte mieux les cartes réseaux
utilisés sur le hardware chez Ovh, l’iSCSI, ainsi qu’une tonne de
petits bugs du Kernel.
Comment mettre à jour le noyau en moins de 5 minutes ? Très simplement.
Même si vous n’avez jamais fait, vous allez réussir cette mise à jour
1.)
Connectez vous sur le serveur en SSH et tapez (copier coller):
# wget -q ftp://ftp.ovh.net/made-in-ovh/dedie/…3ware-sysfs.sh -O – | /bin/bash
# wget -q ftp://ftp.ovh.net/made-in-ovh/rtm/install_rtm.sh -O – | /bin/bash
Ceci met à jour votre RTM, le patch sysfs, 3ware. Une sécurité de plus
avant le reboot.
2.)
Dans le manager, choisissez « netboot » et puis « ipv4″, puis la version
« 32bits » ou « 64bits » (ça dépend la distribution que vous utilisez)
Par exemple « bzImage-xxxx-std-ipv4-32″
En suite reconnectez sur sur le serveur en SSH et tapez
# reboot
Attendez le redémarrage du serveur (entre 2 et 5 minutes en fonction du
serveur) puis reconnectez-vous sur le serveur en SSH puis tapez:
# uname -a
La commande doit vous renvoyer la version 2.6.24.2. Par exemple:
# uname -a
Linux oles2.ovh.net 2.6.24.2-xxxx-std-ipv4-32 #1 SMP Mon Feb 11 14:51:26
Si vous n’utilisez pas le netboot, vous pouvez telecharger nos noyaux
sur ftp://ftp.ovh.net/made-in-ovh/bzImage
bzImage-2.6.24.2-xxxx-std-ipv4-32
bzImage-2.6.24.2-xxxx-std-ipv4-32-hz1000
bzImage-2.6.24.2-xxxx-std-ipv4-64-hz1000
bzImage-2.6.24.2-xxxx-std-ipv6-32
bzImage-2.6.24.2-xxxx-std-ipv4-32-filer
bzImage-2.6.24.2-xxxx-std-ipv4-64
bzImage-2.6.24.2-xxxx-std-ipv4-64-rescue
bzImage-2.6.24.2-xxxx-std-ipv6-64
Les noyaux GRSecurity ne sont pas encore disponible. Le patch sera dispo
sous quelques jours.
Si vous compilez vous-même le noyau, vous pouvez trouver notre .tar.gz
ainsi que les .config sur ftp://ftp.ovh.net/made-in-ovh/bzImage
Si vous avez des problèmes, merci d’utiliser le forum ou la mailing list
afin qu’on vous aide très directement. N’oubliez pas mettre le nom de
votre serveur dédié dans vos messages (chaque message). Sur le
Merci à tous et bon patch !
Les clients qui ont pris l’option sécurité totale sont en cours de mise
à jour (déjà).
Amicalement
Octave
Note: les kernel 2.4.xx ne sont pas concernés par cette faille
