admin OVH
12/02/2008, 14:15
Existe un mensaje en el foro para las preguntas y dudas de la actualización :
http://foros.ovh.es/showthread.php?t=1321
http://foros.ovh.es/showthread.php?t=1321
Bug de seguridad MUY IMPORTANTE!!!!
FernandoVOVH
11/02/2008, 17:17
Buenos días,
Se ha detectado un fallo de seguridad este fin de semana en el conjunto de los kernel Linux 2.6.XX que podéis utilizar en OVH ( entre otros ).
Ningún patch de seguridad (grsecurity, PaX,Openwall, etc) bloquea a este bug.
La única posibilidad de quitar el bug es actualizando vuestro kernel a la última versión de Linux 2.6.24.2 ( ¡¡actualizada ayer por la noche a las 21H51!!)
Est bug es MUY peligroso : cualquier usuario del servidor puede tener el acceso
root en menos de 10 segundos.Muy facilmente. Después es peor, hace que se reinstale el servidor. Aunque no propongáis shell/bash en vuestros servidores, a través de scripts php, cgi etc se puede tener el acceso root de la máquina.
No dejéis para mañana o para esta noche la actualización. Hace una hora más o menos,
acabamos de bloquear el 1er servidor hackeado con este método. Y con este bug, es la seguridad de la red que está en peligro. No dudaremos por tanto a bloquear vuestros servidores si es hackeado. Tomad 10 minutos para ejecutar unos comandos simples.
Ovh propone kernel parcheados, verificados y asegurados contra este bug
de seguridad. También, el nuevo kernel soporta mejor las tarjetas de red
utilizadas en el hardware utilizado en OVH, la iSCSI, así como un montón de otros pequeños bugs del Kernel.
¿Cómo actualizar el kernel en menos de 5 minutos ? Muy simple
Aunque no hayáis hecho esto nunca, lo conseguiréis con esta actualización
1.)
Conectaros al servidor en ssh y escribid (copiar pegar):
# wget -q ftp://ftp.ovh.net/made-in-ovh/dedie/...3ware-sysfs.sh -O - | /bin/bash
# wget -q ftp://ftp.ovh.net/made-in-ovh/rtm/install_rtm.sh -O - | /bin/bash
Estop actualiza vuestro RTM, los patch sysfs, 3ware. Seguridad adicional antes de
reiniciar.
2.)
En el manager, escoged "netboot" y después "ipv4", después la versión
"32bits" o "64bits" (depende de la distribución que tengáis )
Por ejemplo "bzImage-xxxx-std-ipv4-32"
Después conectaros de nuevo en SSH y escribid
# reboot
Esperad al reinicio del servidor (entre 2 y 5 minutos en fonción del
servidor) después reconectaros al servidor en SSH y escribid:
# uname -a
El comando os reenviará a la versión 2.6.24.2. por ejemplo :
# uname -a
Linux oles2.ovh.net 2.6.24.2-xxxx-std-ipv4-32 #1 SMP Mon Feb 11 14:51:26
Si no utilizáis el netboot, podeis descargar vuestros kernel desde
ftp://ftp.ovh.net/made-in-ovh/bzImage
bzImage-2.6.24.2-xxxx-std-ipv4-32
bzImage-2.6.24.2-xxxx-std-ipv4-32-hz1000
bzImage-2.6.24.2-xxxx-std-ipv4-64-hz1000
bzImage-2.6.24.2-xxxx-std-ipv6-32
bzImage-2.6.24.2-xxxx-std-ipv4-32-filer
bzImage-2.6.24.2-xxxx-std-ipv4-64
bzImage-2.6.24.2-xxxx-std-ipv4-64-rescue
bzImage-2.6.24.2-xxxx-std-ipv6-64
Los kernel GRSecurity no están todavía disponibles. El patch estará disponible dentro de unos días.
Si compiláis vosotros mismo el kernel, encontrareis nuestro .tar.gz
así como los .config en ftp://ftp.ovh.net/made-in-ovh/bzImage
Si tenéis problemas utilizad el foro o la mailing list para ayudaros directamente. No olvidéis de poner el nombre de la máquina en los mensajes
(cada mensaje ). Gracias , y buena actualización
Los clientes que tienen la opción seguridad total ya están siendo actualizados.
Se ha detectado un fallo de seguridad este fin de semana en el conjunto de los kernel Linux 2.6.XX que podéis utilizar en OVH ( entre otros ).
Ningún patch de seguridad (grsecurity, PaX,Openwall, etc) bloquea a este bug.
La única posibilidad de quitar el bug es actualizando vuestro kernel a la última versión de Linux 2.6.24.2 ( ¡¡actualizada ayer por la noche a las 21H51!!)
Est bug es MUY peligroso : cualquier usuario del servidor puede tener el acceso
root en menos de 10 segundos.Muy facilmente. Después es peor, hace que se reinstale el servidor. Aunque no propongáis shell/bash en vuestros servidores, a través de scripts php, cgi etc se puede tener el acceso root de la máquina.
No dejéis para mañana o para esta noche la actualización. Hace una hora más o menos,
acabamos de bloquear el 1er servidor hackeado con este método. Y con este bug, es la seguridad de la red que está en peligro. No dudaremos por tanto a bloquear vuestros servidores si es hackeado. Tomad 10 minutos para ejecutar unos comandos simples.
Ovh propone kernel parcheados, verificados y asegurados contra este bug
de seguridad. También, el nuevo kernel soporta mejor las tarjetas de red
utilizadas en el hardware utilizado en OVH, la iSCSI, así como un montón de otros pequeños bugs del Kernel.
¿Cómo actualizar el kernel en menos de 5 minutos ? Muy simple
Aunque no hayáis hecho esto nunca, lo conseguiréis con esta actualización
1.)
Conectaros al servidor en ssh y escribid (copiar pegar):
# wget -q ftp://ftp.ovh.net/made-in-ovh/dedie/...3ware-sysfs.sh -O - | /bin/bash
# wget -q ftp://ftp.ovh.net/made-in-ovh/rtm/install_rtm.sh -O - | /bin/bash
Estop actualiza vuestro RTM, los patch sysfs, 3ware. Seguridad adicional antes de
reiniciar.
2.)
En el manager, escoged "netboot" y después "ipv4", después la versión
"32bits" o "64bits" (depende de la distribución que tengáis )
Por ejemplo "bzImage-xxxx-std-ipv4-32"
Después conectaros de nuevo en SSH y escribid
# reboot
Esperad al reinicio del servidor (entre 2 y 5 minutos en fonción del
servidor) después reconectaros al servidor en SSH y escribid:
# uname -a
El comando os reenviará a la versión 2.6.24.2. por ejemplo :
# uname -a
Linux oles2.ovh.net 2.6.24.2-xxxx-std-ipv4-32 #1 SMP Mon Feb 11 14:51:26
Si no utilizáis el netboot, podeis descargar vuestros kernel desde
ftp://ftp.ovh.net/made-in-ovh/bzImage
bzImage-2.6.24.2-xxxx-std-ipv4-32
bzImage-2.6.24.2-xxxx-std-ipv4-32-hz1000
bzImage-2.6.24.2-xxxx-std-ipv4-64-hz1000
bzImage-2.6.24.2-xxxx-std-ipv6-32
bzImage-2.6.24.2-xxxx-std-ipv4-32-filer
bzImage-2.6.24.2-xxxx-std-ipv4-64
bzImage-2.6.24.2-xxxx-std-ipv4-64-rescue
bzImage-2.6.24.2-xxxx-std-ipv6-64
Los kernel GRSecurity no están todavía disponibles. El patch estará disponible dentro de unos días.
Si compiláis vosotros mismo el kernel, encontrareis nuestro .tar.gz
así como los .config en ftp://ftp.ovh.net/made-in-ovh/bzImage
Si tenéis problemas utilizad el foro o la mailing list para ayudaros directamente. No olvidéis de poner el nombre de la máquina en los mensajes
(cada mensaje ). Gracias , y buena actualización
Los clientes que tienen la opción seguridad total ya están siendo actualizados.