WAŻNE i PILNE: serwery dedykowane - luka w zabezpieczeniach !!!
sLoDkI - 11-02-2008 18:44
WAŻNE i PILNE: serwery dedykowane - luka w zabezpieczeniach !!!
Witamy,
W ten weekend wykryto poważną lukę w zabezpieczeniach, która dotyczy kerneli Linux 2.6.xx dostępnych również w OVH. Żaden patch bezpieczeństwa (grsecurity, PaX, Openwall, etc) nie zabezpiecza przed tym. Jedyna możliwość naprawienia luki to aktualizacja swojego kernela do ostatniej wersji Linux 2.6.24.2 (zaktualizowana wczoraj wieczorem o 21:51).
Ten błąd jest bardzo niebezpieczny: każdy użytkownik serwera może zdobyć dostep root w mniej niż 10 sekund!! Może wykonać reinstalację serwera. Nawet jeśli nie proponujecie Państwo dostępu shell/bash na swoim serwerze to poprzez skrypty php, cgi, etc. można zdobyć dostęp root do maszyny.
Prosimy nie odkładajcie tej akualizacji! Godzinę temu zablokowaliśmy pierwszy hakowany serwer za pomocą tej metody. Poprzez ten błąd bezpieczeństwo sieci jest zagrożone. Nie będziemy więc czekać ani sekundy aby zablokować serwer w przypadku kiedy wystąpi hack. Prosimy więc o poświęcenie 10 minut na wykonanie kilku prostych komend.
OVH proponuje kernele sprawdzone i zabezpieczone przed tym błędem. Dodaktowo nowe jądro wspomaga lepiej karty sieciowe używane w serwerach w OVH (iSCSI, itp.).
W jaki sposób zaktualizować kernel w mniej niz 5 minut? Jest to bardzo proste.
1) Proszę połączyć się z serwerem poprzez ssh i wykonać:
# wget -q ftp://ftp.ovh.net/made-in-ovh/dedie/...3ware-sysfs.sh -O - | /bin/bash
# wget -q ftp://ftp.ovh.net/made-in-ovh/rtm/install_rtm.sh -O - | /bin/bash
To zaktualizuje RTM, sterowniki 3ware sysfs.
2)
W managerze v3 proszę wybrać "netboot" a następnie "ipv4" i wersję "32bits" lub "64bits" (zależnie od dystrybucji).
Przykład: "bzImage-xxxx-std-ipv4-32"
Następnie proszę się ponownie zalogowac na ssh i wykonać polecenie, w celu zrebootowania serwera:
# reboot
Proszę poczekać na rozruch serwera (ok. 5 minut) a następnie ponownie zalogować na ssh.
Nową wersje kernela mozna sprawdzić poprzez wydanie komendy:
# uname -a
co powinno w rezultacie dać wersję: 2.6.24.2
Przykład:
# uname -a
Linux oles2.ovh.net 2.6.24.2-xxxx-std-ipv4-32 #1 SMP Mon Feb 11 14:51:26
Jeśli nie używasz netboot to nowe kernele są dostępne na serwerze ftp:
ftp://ftp.ovh.net/made-in-ovh/bzImage
bzImage-2.6.24.2-xxxx-std-ipv4-32
bzImage-2.6.24.2-xxxx-std-ipv4-32-hz1000
bzImage-2.6.24.2-xxxx-std-ipv4-64-hz1000
bzImage-2.6.24.2-xxxx-std-ipv6-32
bzImage-2.6.24.2-xxxx-std-ipv4-32-filer
bzImage-2.6.24.2-xxxx-std-ipv4-64
bzImage-2.6.24.2-xxxx-std-ipv4-64-rescue
bzImage-2.6.24.2-xxxx-std-ipv6-64
Kernele GRSecurity nie są jeszcze dostępne. Patch będzie dostepny w ciągu kilku dni.
Jeśli skompilowałeś jądro samemu możesz znaleźć nasz .tar.gz jaki i .config na ftp://ftp.ovh.net/made-in-ovh/bzImage
w przypadku problemów proszę korzystać najpierw z pomocy forum a następnie z bezpośredniej pomocy. Nie zapomnijcie podać nazwy swojego serwera dedykowanego w wysyłanej wiadomości.
Dziekujemy.
Z poważaniem
Ekipa OVH
Glen - 12-02-2008 12:23
Szkoda że na e-mail tego nie wysyłacie :)
mario1973 - 16-02-2008 18:33
Mam jedno pytanie, zanim zacznę zabawę z kernelem na odległym komputerze....
Używam domyślnie startu z dysku twardego. Czy gdyby mi coś nie wyszło z kernelem na dysku, to czy jak przełączę się później na Netbot , to mój serwer na pewno się poprawnie uruchomi ?
M
utf - 16-02-2008 19:32
Tak uruchomi Ci się :)
PS. Dobrze, że używam freebsd ;-)
Episodex - 24-02-2008 14:44
Heh tak to pieknie i prosto w tym poscie wygladalo a jak to zrobilem to serwer sie wykrzaczyl calkiem i technicy maja interweniowac... Zmienilem z powrotem na boot z hd i mam nadzieje ze mnie nie skasuja za ta interwencje, lol.
encl - 24-02-2008 19:27
Tak to jest jak korzysta się z "gotowych rozwiązań", skoro netboot jest "dostępny dla wszystkich" jajko też jest "skonfigurowane dla wszystkich".
ściągnij jajo z kernel.org i dostosuj do własnych potrzeb a wtedy będziesz mieć gwarancje że będzie działać :)
lil0 - 01-03-2008 03:41
Kiedy można się spodziewać 2.6.24.2 + grsec + ipv6 ?
zanotowane.pldoc.pisz.plpdf.pisz.plkonstruktor.keep.pl