OVHcloud Bare Metal Cloud Status
Current status
Legend
- Operational
- Degraded performance
- Partial Outage
- Major Outage
- Under maintenance
Local Linux root exploit 2.6.37 - 3..8.8
Incident
Report for Bare Metal Cloud
Resolved
Un exploit vient d'être publié permettant à un utilisateur de passer root.
Bien que nous n'ayons pas été formellement en mesure de le faire fonctionner sur un kernel GRSEC, l'exploit peut faire crasher le serveur dans certaines conditions.
Nous avons publié aujourd'hui le noyau 3.8.13. Toutes les distributions embarquant le noyau OVH sont désormais livrées avec ce nouveau noyau.
Si votre serveur est configuré en netboot, il vous suffit de le rebooter. Sinon, vous devez manuellement installer le nouveau noyau disponible ici :
[GRS] ftp://ftp.ovh.net/made-in-ovh/bzImage/3.8.13/bzImage-3.8.13-xxxx-grs-ipv6-64
[STD] ftp://ftp.ovh.net/made-in-ovh/bzImage/3.8.13/bzImage-3.8.13-xxxx-std-ipv6-64
Pour les VM:
[GRS] ftp://ftp.ovh.net/made-in-ovh/bzImage/3.8.13/bzImage-3.8.13-vps-grs-ipv6-64
[STD] ftp://ftp.ovh.net/made-in-ovh/bzImage/3.8.13/bzImage-3.8.13-vps-std-ipv6-64
En plus de corriger la faille, le nouveau noyau apporte de meilleures performances, en particulier pour le réseau.
La Redhat RHEL 6.0 est vulnérable (pas la 5.0) ainsi que la plupart des noyaux de distribution.
*** Mitigation ***
Il semble qu'en modifiant le paramètre kernel.perf_event_paranoid l'exploit n'est plus fonctionnel :
# sysctl kernel.perf_event_paranoid=2
Mais cela ne corrige pas la vulnérabilité sous-jacente, c'est pourquoi il est très fortement recommandé de rebooter le serveur sur un noyau corrigé dès que possible.
Update(s):
Date: 2013-05-16 10:04:14 UTC
Des anciennes installations de OVH Release 2 (basé sur gentoo) bloquent après le shutdown lors d'un reboot soft manuel au lieu de redémarrer. Ceci est due au devtmpfs encore inconnu aux scripts de gentoo. le fix est simple:
sed -i \"s/devfs|tmpfs/devfs|devtmpfs|tmpfs/g\" /etc/init.d/halt.sh
Toute nouvelle installation de la Release 2 est déja adapté.
Bien que nous n'ayons pas été formellement en mesure de le faire fonctionner sur un kernel GRSEC, l'exploit peut faire crasher le serveur dans certaines conditions.
Nous avons publié aujourd'hui le noyau 3.8.13. Toutes les distributions embarquant le noyau OVH sont désormais livrées avec ce nouveau noyau.
Si votre serveur est configuré en netboot, il vous suffit de le rebooter. Sinon, vous devez manuellement installer le nouveau noyau disponible ici :
[GRS] ftp://ftp.ovh.net/made-in-ovh/bzImage/3.8.13/bzImage-3.8.13-xxxx-grs-ipv6-64
[STD] ftp://ftp.ovh.net/made-in-ovh/bzImage/3.8.13/bzImage-3.8.13-xxxx-std-ipv6-64
Pour les VM:
[GRS] ftp://ftp.ovh.net/made-in-ovh/bzImage/3.8.13/bzImage-3.8.13-vps-grs-ipv6-64
[STD] ftp://ftp.ovh.net/made-in-ovh/bzImage/3.8.13/bzImage-3.8.13-vps-std-ipv6-64
En plus de corriger la faille, le nouveau noyau apporte de meilleures performances, en particulier pour le réseau.
La Redhat RHEL 6.0 est vulnérable (pas la 5.0) ainsi que la plupart des noyaux de distribution.
*** Mitigation ***
Il semble qu'en modifiant le paramètre kernel.perf_event_paranoid l'exploit n'est plus fonctionnel :
# sysctl kernel.perf_event_paranoid=2
Mais cela ne corrige pas la vulnérabilité sous-jacente, c'est pourquoi il est très fortement recommandé de rebooter le serveur sur un noyau corrigé dès que possible.
Update(s):
Date: 2013-05-16 10:04:14 UTC
Des anciennes installations de OVH Release 2 (basé sur gentoo) bloquent après le shutdown lors d'un reboot soft manuel au lieu de redémarrer. Ceci est due au devtmpfs encore inconnu aux scripts de gentoo. le fix est simple:
sed -i \"s/devfs|tmpfs/devfs|devtmpfs|tmpfs/g\" /etc/init.d/halt.sh
Toute nouvelle installation de la Release 2 est déja adapté.
This incident affected: Dedicated Servers || Global Infrastructure (BHS, ERI, GRA, LIM, RBX, SBG, SGP, SYD, WAW).