We are in the process of migrating this forum. A new space will be available soon. We are sorry for the inconvenience.

Root Exploit Linux 2.6.37 to 3.8.8


samuelrivero
22/05/2013, 22:38
Tengo uan gentoo y me ha llegado el mensaje del servicio Seguridad total, en teoria tengo el netboot a esa version y reiniciando tal y como me lo han programado para mañna 23/5 a las 9 de la mañana todo tendría que ir bien, no?

Felix
22/05/2013, 17:36
Guille wrote:
> ¿Estas serÃ*an las adecuadas para actualizar una distribución Proxmox?


For Proxmox VE, just use the usual update process:
apt-get update && apt-get upgrade

Grub config will be adapted automatically.

Guille
21/05/2013, 20:16
Cita Publicado inicialmente por Vidal OVH
La guía ha sido ya actualizada, el contenido está ya al día, con los comandos de GRUB1 y GRUB2.
He seguido la guia y el nucleo no se actualiza.
Los comandos que he ejecutado son:
uname -r


2.6.32-18-pve



cd /boot


wget ftp://ftp.ovh.net/made-in-ovh/bzImag...ps-std-ipv6-64
wget ftp://ftp.ovh.net/made-in-ovh/bzImag...ps-std-ipv6-64
wget ftp://ftp.ovh.net/made-in-ovh/bzImag...ps-std-ipv6-64


update-grub
Generating grub.cfg ...
Found linux image: /boot/vmlinuz-2.6.32-18-pve
Found initrd image: /boot/initrd.img-2.6.32-18-pve
Found linux image: /boot/vmlinuz-2.6.32-16-pve
Found initrd image: /boot/initrd.img-2.6.32-16-pve
Found memtest86+ image: /boot/memtest86+.bin
Found memtest86+ multiboot image: /boot/memtest86+_multiboot.bin
done
El update-grub ignora los bzimage
reinicio con shutdown -r now
y al ejecutar de nuevo
uname -r


2.6.32-18-pve




Bueno, veo que no hay forma de actualizar el kernel.
Habrá que esperar a la versión definitiva de Proxmox 3.0 que ya incorpora la solución al problema CVE-2013-2094 del kernel de linux

Guille
21/05/2013, 19:35
¿Estas serían las adecuadas para actualizar una distribución Proxmox?

davidlig
19/05/2013, 03:54
Cita Publicado inicialmente por Katrino
Buenas disculpen un poco mi ignorancia, sobre esta actualización debe hacerse igualmente si tengo Cpanel en mi server con la ultima versión?

root@pa8 [~]# uname -r
3.2.13-grsec-xxxx-grs-ipv6-64
root@pa8 [~]#

Gracias
Fíjate lo que pone el título del tema "2.6.37 to 3.8.8", es decir, desde 2.6.37 hasta 3.8.8

Tu kernel: 3.2.13-grsec-xxxx-grs-ipv6-64 (afectada)

Katrino
17/05/2013, 17:22
Buenas disculpen un poco mi ignorancia, sobre esta actualización debe hacerse igualmente si tengo Cpanel en mi server con la ultima versión?

root@pa8 [~]# uname -r
3.2.13-grsec-xxxx-grs-ipv6-64
root@pa8 [~]#

Gracias

Vidal OVH
17/05/2013, 16:16
La guía ha sido ya actualizada, el contenido está ya al día, con los comandos de GRUB1 y GRUB2.

Guille
16/05/2013, 18:42
Sugerencia: OVH debería actualizar su tutorial para actualizar el kernel:
http://guias.ovh.es/InstalarKernelOVH
Y hacer referencia a la configuracion de grub (que es lo instalado en la mayor parte de las distribuciones) en lugar de a lilo.

suicidal
16/05/2013, 15:01
Gracias matías.

Una pregunta, en el kernel por defecto en mi Debian 7 (lo actualicé hace unos días de Debian 6) ponía grsec-xxxx-grs-ipv6-64, mientras que en el actual es xxxx-grs-ipv6-64, ¿que diferencia hay entre ambos? ¿Está desactivado el parche grsec? :confused:

MatiasS
16/05/2013, 11:40
Un exploit tipo día-cero permite el escalado de privilegios en local o remoto


No sabemos realmente cómo explotar la vulnerabilidad en un kernel -grsec-, pero puede tirar abajo el servidor en algunas circunstancias.

Hoy hemos lanzado el kernel 3.8.13. Todas las distribuciones con el Kernel OVH embebido ya se instalan con este nuevo kernel.


Si vuestro servidor está netboot, solo debéis reiniciar, si no, podéis actualizarlo desde:

[GRS] ftp://ftp.ovh.net/made-in-ovh/bzImag...xx-grs-ipv6-64
[STD] ftp://ftp.ovh.net/made-in-ovh/bzImag...xx-std-ipv6-64


O para VMs:

[GRS] ftp://ftp.ovh.net/made-in-ovh/bzImag...ps-grs-ipv6-64 [STD] ftp://ftp.ovh.net/made-in-ovh/bzImag...ps-std-ipv6-64


El nuevo kernel trae implementaciones de mejoras de performance especialmente para redes

RHEL 6.0 también lo indica:
https://bugzilla.redhat.com/show_bug.cgi?id=962792


Casi todas las distribuciones con este kernel son vulnerables.


*** Mitigación ***

Pueden mitigarlo de manera temporal, cambiando el parametro:
kernel.perf_event_paranoid
# sysctl kernel.perf_event_paranoid=2

Esto podría proteger de los exploits conocidos pero no arregla la vulnerabilidad.