oles@ovh.net
17.09.2010, 18.54
Bonjour,
SI
vous avez un serveur dédié
ET
il fonctionne sous Linux
ET
il est en 64 bits
ALORS
votre serveur est hackable !!!
Il est IMPÉRATIF de le mettre à jour !! N'attendez pas !!!
L'exploit qui permet d'obtenir le root est publiquement
disponible.
Quoi faire ?
------------
Il faut mettre à jour le kernel de votre serveur.
Comment ?
---------
- si vous êtes en "sécurité totale":
vous avez reçu un email de planification du reboot du
serveur, vous n'avez rien à faire
- si vous êtes en "netboot"/RPS/Cloud:
il suffit de rebooter votre serveur.
- si vous êtes en "kernel manuel":
vous avez les nouveaux noyaux sur
ftp://ftp.ovh.net/made-in-ovh/bzImage/
c'est le bzImage-2.6.34.6-xxxx
- si vous compilez:
les sources sur kernel.org sont vulnérables. Il faut
patcher. Seulement 2.6.36-RC4 est patché. (A confirmer,
nous on a vérifié rapidement).
Après la mise en place du noyau vous devez voir ceci:
#*uname -a
Linux XXXXXXX 2.6.34.6-xxxx-std-ipv6-64 #3 SMP Fri Sep 17
^^^^^^^^
Il faut bien voir 2.6.34.6.
PS. Désormais il a plus qu'un seul noyau (IPv4 + IPv6)
nommé bzImage-xxxx-ipv6-xxxx
Détail:
-------
Une faille de sécurité (CVE-2010-3301) permettant d'obtenir
localement les privilèges root vient d'être (re)découverte
au niveau de l'émulation 32bit sur les systèmes 64bit.
Tous les noyaux 64bit depuis le 2.6.27 sont vulnérables.
Pour l'histoire, la faille avait été fixée en 2007 dans le
2.6.22.7 (CVE-2007-4573), mais une régression est apparue
en 2008.
[explications et exploit: http://sota.gen.nz/compat2/]
Amicalement
Octave
SI
vous avez un serveur dédié
ET
il fonctionne sous Linux
ET
il est en 64 bits
ALORS
votre serveur est hackable !!!
Il est IMPÉRATIF de le mettre à jour !! N'attendez pas !!!
L'exploit qui permet d'obtenir le root est publiquement
disponible.
Quoi faire ?
------------
Il faut mettre à jour le kernel de votre serveur.
Comment ?
---------
- si vous êtes en "sécurité totale":
vous avez reçu un email de planification du reboot du
serveur, vous n'avez rien à faire
- si vous êtes en "netboot"/RPS/Cloud:
il suffit de rebooter votre serveur.
- si vous êtes en "kernel manuel":
vous avez les nouveaux noyaux sur
ftp://ftp.ovh.net/made-in-ovh/bzImage/
c'est le bzImage-2.6.34.6-xxxx
- si vous compilez:
les sources sur kernel.org sont vulnérables. Il faut
patcher. Seulement 2.6.36-RC4 est patché. (A confirmer,
nous on a vérifié rapidement).
Après la mise en place du noyau vous devez voir ceci:
#*uname -a
Linux XXXXXXX 2.6.34.6-xxxx-std-ipv6-64 #3 SMP Fri Sep 17
^^^^^^^^
Il faut bien voir 2.6.34.6.
PS. Désormais il a plus qu'un seul noyau (IPv4 + IPv6)
nommé bzImage-xxxx-ipv6-xxxx
Détail:
-------
Une faille de sécurité (CVE-2010-3301) permettant d'obtenir
localement les privilèges root vient d'être (re)découverte
au niveau de l'émulation 32bit sur les systèmes 64bit.
Tous les noyaux 64bit depuis le 2.6.27 sont vulnérables.
Pour l'histoire, la faille avait été fixée en 2007 dans le
2.6.22.7 (CVE-2007-4573), mais une régression est apparue
en 2008.
[explications et exploit: http://sota.gen.nz/compat2/]
Amicalement
Octave