We are in the process of migrating this forum. A new space will be available soon. We are sorry for the inconvenience.

WAŻNE i PILNE: serwery dedykowane - luka w zabezpieczeniach !!!


sLoDkI
11-02-2008, 18:43
Witamy,
W ten weekend wykryto poważną lukę w zabezpieczeniach, która dotyczy kerneli Linux 2.6.xx dostępnych również w OVH. Żaden patch bezpieczeństwa (grsecurity, PaX, Openwall, etc) nie zabezpiecza przed tym. Jedyna możliwość naprawienia luki to aktualizacja swojego kernela do ostatniej wersji Linux 2.6.24.2 (zaktualizowana wczoraj wieczorem o 21:51).
Ten błąd jest bardzo niebezpieczny: każdy użytkownik serwera może zdobyć dostep root w mniej niż 10 sekund!! Może wykonać reinstalację serwera. Nawet jeśli nie proponujecie Państwo dostępu shell/bash na swoim serwerze to poprzez skrypty php, cgi, etc. można zdobyć dostęp root do maszyny.
Prosimy nie odkładajcie tej akualizacji! Godzinę temu zablokowaliśmy pierwszy hakowany serwer za pomocą tej metody. Poprzez ten błąd bezpieczeństwo sieci jest zagrożone. Nie będziemy więc czekać ani sekundy aby zablokować serwer w przypadku kiedy wystąpi hack. Prosimy więc o poświęcenie 10 minut na wykonanie kilku prostych komend.
OVH proponuje kernele sprawdzone i zabezpieczone przed tym błędem. Dodaktowo nowe jądro wspomaga lepiej karty sieciowe używane w serwerach w OVH (iSCSI, itp.).

W jaki sposób zaktualizować kernel w mniej niz 5 minut? Jest to bardzo proste.

1) Proszę połączyć się z serwerem poprzez ssh i wykonać:
# wget -q ftp://ftp.ovh.net/made-in-ovh/dedie/...3ware-sysfs.sh -O - | /bin/bash
# wget -q ftp://ftp.ovh.net/made-in-ovh/rtm/install_rtm.sh -O - | /bin/bash

To zaktualizuje RTM, sterowniki 3ware sysfs.

2)
W managerze v3 proszę wybrać "netboot" a następnie "ipv4" i wersję "32bits" lub "64bits" (zależnie od dystrybucji).
Przykład: "bzImage-xxxx-std-ipv4-32"

Następnie proszę się ponownie zalogowac na ssh i wykonać polecenie, w celu zrebootowania serwera:
# reboot
Proszę poczekać na rozruch serwera (ok. 5 minut) a następnie ponownie zalogować na ssh.
Nową wersje kernela mozna sprawdzić poprzez wydanie komendy:
# uname -a
co powinno w rezultacie dać wersję: 2.6.24.2
Przykład:
# uname -a
Linux oles2.ovh.net 2.6.24.2-xxxx-std-ipv4-32 #1 SMP Mon Feb 11 14:51:26


Jeśli nie używasz netboot to nowe kernele są dostępne na serwerze ftp:
ftp://ftp.ovh.net/made-in-ovh/bzImage
bzImage-2.6.24.2-xxxx-std-ipv4-32
bzImage-2.6.24.2-xxxx-std-ipv4-32-hz1000
bzImage-2.6.24.2-xxxx-std-ipv4-64-hz1000
bzImage-2.6.24.2-xxxx-std-ipv6-32
bzImage-2.6.24.2-xxxx-std-ipv4-32-filer
bzImage-2.6.24.2-xxxx-std-ipv4-64
bzImage-2.6.24.2-xxxx-std-ipv4-64-rescue
bzImage-2.6.24.2-xxxx-std-ipv6-64

Kernele GRSecurity nie są jeszcze dostępne. Patch będzie dostepny w ciągu kilku dni.

Jeśli skompilowałeś jądro samemu możesz znaleźć nasz .tar.gz jaki i .config na ftp://ftp.ovh.net/made-in-ovh/bzImage

w przypadku problemów proszę korzystać najpierw z pomocy forum a następnie z bezpośredniej pomocy. Nie zapomnijcie podać nazwy swojego serwera dedykowanego w wysyłanej wiadomości.

Dziekujemy.
Z poważaniem
Ekipa OVH