rssLink RSS for all categories
 
icon_red
icon_green
icon_green
icon_red
icon_red
icon_green
icon_green
icon_red
icon_red
icon_red
icon_red
icon_green
icon_green
icon_red
icon_green
icon_red
icon_green
icon_green
icon_red
icon_red
icon_green
icon_red
icon_green
icon_red
icon_orange
icon_blue
icon_green
icon_green
icon_green
icon_green
icon_green
icon_blue
icon_green
 

FS#8636 — Local Linux root exploit 2.6.37 - 3..8.8

Attached to Project— Serveurs dédiés
Incident
ALL
CLOSED
100%
Un exploit vient d'être publié permettant à un utilisateur de passer root.

Bien que nous n'ayons pas été formellement en mesure de le faire fonctionner sur un kernel GRSEC, l'exploit peut faire crasher le serveur dans certaines conditions.

Nous avons publié aujourd'hui le noyau 3.8.13. Toutes les distributions embarquant le noyau OVH sont désormais livrées avec ce nouveau noyau.

Si votre serveur est configuré en netboot, il vous suffit de le rebooter. Sinon, vous devez manuellement installer le nouveau noyau disponible ici :
[GRS] ftp://ftp.ovh.net/made-in-ovh/bzImage/3.8.13/bzImage-3.8.13-xxxx-grs-ipv6-64
[STD] ftp://ftp.ovh.net/made-in-ovh/bzImage/3.8.13/bzImage-3.8.13-xxxx-std-ipv6-64

Pour les VM:
[GRS] ftp://ftp.ovh.net/made-in-ovh/bzImage/3.8.13/bzImage-3.8.13-vps-grs-ipv6-64
[STD] ftp://ftp.ovh.net/made-in-ovh/bzImage/3.8.13/bzImage-3.8.13-vps-std-ipv6-64


En plus de corriger la faille, le nouveau noyau apporte de meilleures performances, en particulier pour le réseau.


La Redhat RHEL 6.0 est vulnérable (pas la 5.0) ainsi que la plupart des noyaux de distribution.



*** Mitigation ***

Il semble qu'en modifiant le paramètre kernel.perf_event_paranoid l'exploit n'est plus fonctionnel :
# sysctl kernel.perf_event_paranoid=2

Mais cela ne corrige pas la vulnérabilité sous-jacente, c'est pourquoi il est très fortement recommandé de rebooter le serveur sur un noyau corrigé dès que possible.



Date:  Wednesday, 31 July 2013, 13:17PM
Reason for closing:  Done
Comment by OVH - Thursday, 16 May 2013, 12:04PM

Des anciennes installations de OVH Release 2 (basé sur gentoo) bloquent après le shutdown lors d'un reboot soft manuel au lieu de redémarrer. Ceci est due au devtmpfs encore inconnu aux scripts de gentoo. le fix est simple:

sed -i "s/devfs|tmpfs/devfs|devtmpfs|tmpfs/g" /etc/init.d/halt.sh

Toute nouvelle installation de la Release 2 est déja adapté.