OVH Community, your new community space.

Urgente e Importante: falla di sicurezza


torpado
28.10.2010, 09.57
Citazione Originariamente Scritto da Tipika
come come?
vale solo per gli rps o anche per i server dedicati?
è possibile avere la guida in italiano o in inglese?
Per gli rps che utlizzano il kernel via netboot, la patch è applicata da Ovh e per l'utilizzatore è necessario un riavvio per rendere attiva la patch applicata.

Per i server dedicati DEVE essere applicata la patch

Tipika
28.10.2010, 00.59
come come?
vale solo per gli rps o anche per i server dedicati?
è possibile avere la guida in italiano o in inglese?

oles@ovh.net
17.09.2010, 19.54
Buongiorno,
SE
avete un server dedicato
E
il server funziona sotto Linux
E
è un sistema 64 bits
ALLORA
il vostro server è hackabile !!!

E' IMPERATIVO mettere la patch di aggiornamento !! Non attendete !!!

L'exploit che permette di ottenere la root è pubblicamente disponibile

Cosa fare ?
------------
E' necessario aggiornare il kernel del vostro server !

Come ?
---------
- se avete sottoscritto l'opzione "sicurezza totale" :

avete ricevuto una email di pianificazione del riavvio del server.
Non dovete fare nulla.

- se siete in "netboot"/RPS/Cloud :

e' sufficiente riavviare il server.

- se siete in "kernel manuale" :

avete i nuovi kernel su
ftp://ftp.ovh.net/made-in-ovh/bzImage/
è il bzImage-2.6.34.6-xxxx

- se voi compilate il kernel :

i sorgenti su kernel.org sono vulnerabili. Devono essere patchati.
Solamente 2.6.36-RC4 è patchato. (Abbiamo verificato rapidamente).

Dopo l'aggiornamento del kernel dovrete verificare questo :

# uname -a
Linux XXXXXXX 2.6.34.6-xxxx-std-ipv6-64 #3 SMP Fri Sep 17
^^^^^^^^

E' necesario visualizzare 2.6.34.6.

PS. Ormai non c'è che un solo kernel (IPv4 + IPv6)
nominata bzImage-xxxx-ipv6-xxxx

Dettagli :
-------
Una falla di sicurezza (CVE-2010-3301) che permette di ottenere localmente i privilegi di root è
stata (ri)scoperta a livello dell'emulazione 32bit sui sistemi 64bit.

Tutti i kernel 64bit a partire dal 2.6.67 sono vulnerabili.

Per la storia, la falla era stata sistemata nel 2007 nel 2.6.22.7 (CVE-2007-4573),
ma una rigressione è apparsa nel 2008.

[speigazione e exploit: http://sota.gen.nz/compat2/]

Amichevolmente
Octave