OVHcloud Bare Metal Cloud Status

Current status
Legend
  • Operational
  • Degraded performance
  • Partial Outage
  • Major Outage
  • Under maintenance
CVE-2018-5391 - Linux Kernel 3.9+
Scheduled Maintenance Report for Bare Metal Cloud
Completed
A design flaw affecting Linux Kernels 3.9 and above has been accounced and can cause unavailability on your server.

a. What's going on technically?

A Denial of Service can be initiated due to an IP stack issue in the Linux Kernel.
https://www.kb.cert.org/vuls/id/641765
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-5391

The algorithm managing the fragmented IP packets reassembling turned out not to be efficient enough when it is about small fragmented packets. A Denial of Service attack could be possible following a too high CPU usage.

According to our investigations, iptables/netfilter is not mitigating the issue.

b. What's the impact?

The impact is only about availability of your services.
This CVE is not about corruption, data loss or privilege escalation.

c. What services are impacted?

Only servers and virtual machines running a Linux Kernel 3.9 and above are concerned.

Some services, which are entirely managed by OVH, will not require any manipulation on your part: Domains, Metrics and Logs Data Platform, xDSL, VoIP, DBaaS, OVH Load Balancer, vRack, Exchange, MX Plan, Web Hosting, Cloud Desktop, VDI, CDN, Swift, CEPH, NAS-HA, Public Cloud Storage and Public Cloud Archive.

To determine whether you service is impacted or not, you can have a look at this guide: https://docs.ovh.com/ie/en/dedicated/updating-kernel-dedicated-server/#identify-the-kernel

d. How to mitigate the issue?

For Dedicated Servers, Public Cloud, VPS and Dedicated Cloud, update your kernel by using the last upstream or OVH kernel if you are using it (4.9.120 and 4.14.63 are available on our mirrors and mitigate the issue). This guide will help you get through the process: https://docs.ovh.com/ie/en/dedicated/updating-kernel-dedicated-server/ .

To buy you more time to upgrade your infrastructure, we have implemented some specific mitigations for this vulnerability at the VAC level (Anti-DDoS).


------------ FR -------------

Un défaut de conception dans les noyaux Linux supérieurs ou égaux à 3.9 a été identifié et peut engendrer un problème de disponibilité de votre serveur.

a. De quoi s'agit-il techiquement?

Il s'agit d'un Déni de Service lié à un défaut de conception dans la pile IP du Noyau.
https://www.kb.cert.org/vuls/id/641765
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-5391

L'algorithme de gestion des paquets IP fragmentés s'avère peu performant lorsqu'il est soumis au réordonnancement de beaucoup de petits paquets fragmentés. Un risque de \"Déni de Service\" est donc possible faisant suite à une sollicitation CPU trop importante.

D'après nos recherches, les pare-feux (iptables/netfilter) ne mitigent pas l'attaque.

b. Quel est l'impact ?

L'impact réside uniquement dans la disponibilité de vos services.
Il ne s'agit pas de corruption, de perte de données ou d'escalade de privilèges.

c. Quels services impactés ?

Seuls les serveurs et VMs possédant un noyau 3.9 ou supérieur sont affectés.

Les services suivants, entièrement gérés par OVH, ne sont pas impactés: Domaines, Metrics & Logs Data Platform, xDSL, VoIP, DBaaS, OVH Load Balancer, vRack, Exchange, MX Plan, Web Hosting, Cloud Desktop, VDI, CDN, Swift, CEPH, NAS-HA, Public Cloud Storage et Public Cloud Archive.

Pour savoir si vous êtes affectés, veuillez consulter ce guide pour connaître la version de votre noyau : https://docs.ovh.com/fr/dedicated/mettre-a-jour-kernel-serveur-dedie/#identifier-le-kernel

d. Comment s'en prémunir ?

Pour les serveurs dédiés, Public Cloud, VPS et Decidated Cloud, mettez à jour vos noyaux en utilisant la dernière version upstream ou le noyau OVH si vous l'utilisez (4.9.120 and 4.14.63 sont les dernières versions disponibles sur nos mirroirs et mitigent l'attaque). Consultez ce guide pour mettre à jour votre noyau : https://docs.ovh.com/fr/dedicated/mettre-a-jour-kernel-serveur-dedie/

Afin de vous laisser plus de temps pour mettre à jour vos infrastructures, nous avons implémenté des mitigations spécifiques à cette vulnérabilité à l'intérieur du VAC (Anti-DDoS).
Posted Aug 16, 2018 - 14:01 UTC