OVH Community, your new community space.

Bug Importante, dudas.


kn0t
14/02/2008, 14:32
Hola,

de momento estoy usando el netboot, pero había pensado compilar mi propio kernel. He ido a ftp://ftp.ovh.net/made-in-ovh/bzImage/ para buscar los ".config", y me encuentro tres diferentes para 32 bits e ipv4. Quisiera saber qué diferencias hay entre ellos (qué indica el "filer" y el "hz1000", aunque este último imagino que indica la frecuencia a la que queremos el reloj del sistema (250, 300, ó 1000, si no recuerdo mal)):

  • 2.6-config-xxxx-std-ipv4-32
  • 2.6-config-xxxx-std-ipv4-32-filer
  • 2.6-config-xxxx-std-ipv4-32-hz1000


Por otra parte, me gustaría saber (ya que estoy preguntando :P) si hay alguna penalización en rendimiento en ipv4 si se instala un kernel con ipv6. Mi idea era instalar ipv6 para ir "preparando el terreno"...

Muchas gracias,

Jonás Andradas.
kn0t
14/02/2008, 14:24
Cita Publicado inicialmente por Gura
Por cierto, una encuesta... ¿Cuanta gente suele actualizar su dedicado a menudo?
Pues suelo actualizarlo un par de veces a la semana. Como mínimo, una. Además de seguir las noticias de seguridad de cerca (gracias, en parte, a mi trabajo).

Jonás.
Vidal OVH
13/02/2008, 16:29
Pepeton, todo está correcto, no es tan difícil ¿verdad?

; )

Si usáis Netboot, no hay que hacer nada más. Además, cada vez que arranquéis el servidor siempre tendréis el último kernel.

Si habéis usado otro método (binario en disco / recompilación en disco) tendréis que actualizar el kernel de la misma forma cada vez que salga una nueva actualización.

Si necesitáis GrSecurity con el nuevo kernel, tenéis que esperar un poco más a que salga la versión (supongo que no debe tardar ya) y una vez que esté disponible, repetid el procedimiento (a través de Netboot, de binarios o de recompilación, a gusto del consumidor) con el nuevo kernel y la versión GrSecurity.

Eso es todo.
Pepeton
13/02/2008, 08:53
Cita Publicado inicialmente por davidlig
Mira este post http://foros.ovh.es/showthread.php?t=1323

También por favor que algún técnico lo revise a ver si está todo correcto, un saludo.
Todo actualizado correctamente con Plesk. (A simple vista).

Servidor nº ns28926. ¿Es necesario revisarlo?

¿Dejamos la configuración de Netboot como está ahora?

¿Tendremos que hacer en el futuro algún paso más?

Saludos.
Gura
13/02/2008, 08:16
Buenas. He porbado a compila run exploit de prueba que ejecuta un simple bash en mi máquina y no parece compilar. Decidí compilar el binario en una Debian para luego copiarlo al dedicado y parece no poder ejecutarse. Me he puesto a buscar el tema de GRSecurity y según este tio (OJO! Lo dice el, no lo dicen los developers del kernel ni los de GRSecurity) con GRSecurity se puede mitigar la vulnerabilidad:

http://blogs.ua.es/jgaliana/2008/02/...iores-a-26241/

Supongo que todo erá como se configure, pues GRSecurity ofrece muchas opciones.

Lo he probado y:

Feb 13 09:06:42 hostname grsec: From x.x.x.x: denied untrusted exec of /mnt/data/exploit by /bin/bash[bash:15823] uid/euid:0001/0001 gid/egid:0001/0001, parent /bin/bash[bash:15815] uid/euid:0001/0001 gid/egid:0001/0001

Si no recuerdo mal, esto NO funciona gracias a:

# sysctl -A|grep tpe
kernel.grsecurity.tpe = 1
kernel.grsecurity.tpe_gid = IDQuePermito
kernel.grsecurity.tpe_restrict_all = 1

En fin, creo que lo mejor es actualizar, sin duda, pero yo al menos por ahora y dada mi situación, esperaré. Por supuesto que la red de OVH estará expuesta pero yo me responsabilizaré de lo que ocurra con mi servidor. A diario seguro que las máquinas sufren ataques de RFI con ejecución de código y ahi aguantáis.

Por cierto, una encuesta... ¿Cuanta gente suele actualizar su dedicado a menudo?
jmjosebest
12/02/2008, 23:27
Para los que ya estamos usando cPanel es lo mismo??

EDITO:
Siguiendo los pasos no he tenido ningún problema con cPanel. Funciona de lujo con el nuevo kernel de netboot.

Muchas gracias Ruben!!
Pperezu
12/02/2008, 18:37
Cita Publicado inicialmente por Pepeton
Bunas tardes.

¿Podias especificar los pasos que has seguido en Plesk?

Yo también tengo un poco de miedo, y si tu experiencia nos sirva a los demas....

Gracias.
Pues exactamente lo que dice el mensaje.

Entrar mediante SSH (yo lo hago con putty) y escribir esas dos lineas. Salir de putty y entrar en el manager, escoger el netboot y la opcion 2.6.24.2 x86 & SMP

Volver a entrar por SSH y escribir lo que indica el mensaje y salir de putty.

Luego entro en plesk y efectivamente me ha actualizado el kernel.

La verdad es que lo han organizado fácil para los que no tenemos ni flores.
davidlig
12/02/2008, 18:26
Cita Publicado inicialmente por Pepeton
Bunas tardes.

¿Podias especificar los pasos que has seguido en Plesk?

Yo también tengo un poco de miedo, y si tu experiencia nos sirva a los demas....

Gracias.
Mira este post http://foros.ovh.es/showthread.php?t=1323

También por favor que algún técnico lo revise a ver si está todo correcto, un saludo.
Pepeton
12/02/2008, 16:58
Cita Publicado inicialmente por Pperezu
He seguido los pasos indicados y todo ha funcionado correctamente, y ya tengo el kernel actualizado.

Un poco de miedo he tenido, para que negarlo
Bunas tardes.

¿Podias especificar los pasos que has seguido en Plesk?

Yo también tengo un poco de miedo, y si tu experiencia nos sirva a los demas....

Gracias.
Vidal OVH
12/02/2008, 00:30
Para el ns26286.ovh.net, apenas estuvo unos minutos indisponible (atendido a las 20:16:51), habías seleccionado un kernel sin IPv6 y tu servidor lo utiliza.

Para todas las incidencias, los técnicos están ya sobre aviso y están atendiendo el sistema de monitoring esta noche en tiempo record (y eso que en el turno de noche sólo son dos personas).

Recordad que si hay un problema de kernel, siempre un técnico de OVH puede ayudaros y arreglar el problema casi instantáneamente. Si tenéis un hack o un ataque, corréis el riesgo de perderlo todo.

El GrSecurity aún no ha salido para esta versión (lo hay para la versión justo anterior - 2.6.23.14, pero todavía está afectada por el fallo de seguridad). Están trabajando duro para sacar la versión cuanto antes. En cuanto salga, los administradores harán una versión urgente y la podrán en el Netboot.

http://grsecurity.com/test.php


Suerte en la actualización.
Pperezu
11/02/2008, 20:21
He seguido los pasos indicados y todo ha funcionado correctamente, y ya tengo el kernel actualizado.

Un poco de miedo he tenido, para que negarlo
Pperezu
11/02/2008, 19:32
Yo quería saber si los servidores con Plesk tienen que parchear, o tenemos que esperar a un parche propio de Plesk, o que debemos hacer...
ozmita
11/02/2008, 19:07
Hola,

Yo he seguido las instrucciones facilitadas, pero el servidor al reiniciarse ha experimentado un error y se ha quedado en el sitio, sin encender. Recibí un e-mail de Monitorización y, efectivamente, no parece funcionar.

Agradecería que le echaran un vistazo. Es el ns26286.

Un saludo.
David
11/02/2008, 18:57
Buenas.

Yo tengo kernel GRSecurity, según el comentario en Anuncios todavía no esta lista la actualización del kernel para esta versión, ¿puedo aplicar algún parche más ademas del RTM o solo me queda esperar a que el nuevo kernel este disponible?

Gracias
Vidal OVH
11/02/2008, 18:35
Por el momento y de forma urgente :

* 2.6.24.2 x86 & SMP - recomendado (si no usáis IPv6)

* 2.6.24.2 x86 & SMP & IPv6 (si usáis IPv6)

Dadnos unos días para corregir el resto de versiones.



Un saludo.
Raul
11/02/2008, 18:24
Hola, he leido el mensaje de advertencia por parte de OVH sobre el Bug. Tengo dudas a la hora de actualizar el Kernel bajo la distribución CentOS 5x 32bits.

2.)
En el manager, escoged "netboot" y después "ipv4", después la versión
"32bits" o "64bits" (depende de la distribución que tengáis )
Por ejemplo "bzImage-xxxx-std-ipv4-32"
Voy a Netboot, y tengo las siguientes opciones:
2.4.33 x86 & SMP
2.4.33 x86 & SMP & GRSEC
2.6.24.2 x86 & SMP
2.6.24.2 x86 & SMP & IPv6

¿Cual debo escoger?

Saludos y gracias