Bonjour,
Je loue un serveur chez 1and1, et ils viennent de m'envoyer ce message :
Bonjour,
Nous avons une information importante à vous communiquer. Actuellement, une
faille de sécurité dans les systèmes d'exploitation Linux permet à des
attaquants d'obtenir les droits root de vos serveurs.C'est pourquoi il est important que vous procédiez aux actions suivantes :
- Vérifiez si votre système d'exploitation fonctionne avec une version du Kernel Linux allant de la version 2.6.31 -rc3 jusqu'à la version stable 3.14.3 et la pré-version 3.15-rc5.
Pour savoir quelle version du Kernel est installée sur votre système,
utilisez la commande suivante :uname -a
- Si votre version est concernée par la faille, nous vous prions d'effectuer en urgence une mise à jour. Voici une commande que vous pouvez utiliser pour la mise à jour sur une distribution Ubuntu :
apt-get update && apt-get -y upgrade
Redémarrez ensuite votre serveur à l'aide de :
shutdown -rf now
Veuillez noter que pour les versions obsolètes du système d'exploitation,
la mise à jour risque d'être impossible. En cas de questions, veuillez vous
adresser à l'administrateur de votre serveur.Cordialement,
Votre équipe 1&1 Internet
La version actuellement installée sur mon serveur est la 2.6.32-431.el6.x86_64 ; il s'agit de la dernière version disponible sur les dépôts officiels.
Déjà, puis-je faire la mise-à-jour directement depuis un dépôt yum (si oui lequel) ou me faudra-t-il la compiler à partir des sources ?
Ensuite, est-ce que je risque des incompatibilités avec certains paquets ? Je préfère être prévenu de toute éventualité puisque, ce serveur hébergeant les sites de mes clients, je dois limiter au strict minimum les indisponibilités.
Ce serveur fonctionne donc sous CentOS 6.5 et est géré avec Parallel Plesk 11.5.30
Merci.
# do the math
Posté par Tonton Benoit . Évalué à 3.
2.6.32 > 2.6.31-rc3 Pas la peine de changer.
Sinon y'a des repo avec des noyaux plus récents (genre ELRepo).
Niveau compatibilité, généralement pas de problème avec l'userland regarde juste les éventuels modules noyau installés séparément (les paquets kmod-*) qui ne seront pas compatible avec un noyau différent de celui de base.
[^] # Re: do the math
Posté par Raphaël MICHEL . Évalué à 1.
Merci pour la réponse, je vais regarder du côté de ELRepo.
Par "version 2.6.31 -rc3 jusqu'à la version stable 3.14.3" j'avais compris qu'au delà de la version 2.6.31-rc3 seule la 3.14.4 était épargnée par la faille. Ce qui voudrait dire que la 2.6.32 l'est aussi.
D'ailleurs si je tape :
zgrep CONFIG_PERF_EVENTS /boot/config-*
J'ai bien :
/boot/config-2.6.32-431.11.2.el6.x86_64:CONFIG_PERF_EVENTS=y
/boot/config-2.6.32-431.5.1.el6.x86_64:CONFIG_PERF_EVENTS=y
/boot/config-2.6.32-431.el6.x86_64:CONFIG_PERF_EVENTS=y
Ce qui, si j'ai bien compris, est la preuve de la vulnérabilité.
[^] # Re: do the math
Posté par Tonton Benoit . Évalué à 3.
OK j'ai lu à l'envers.
Mais RedHat maintient le 2.6.32 donc la faille sera corrigée dedans aussi. Et probablement assez rapidement.
[^] # Re: do the math
Posté par M.Poil (site web personnel) . Évalué à 2. Dernière modification le 16 mai 2014 à 08:07.
En complément "-431.el6" correspond au niveau de patch des mainteneurs de ta distribution; ceux-ci backports certains fixes et toutes les maj de sécurités tout au long de la durée de vie de la distribution.
Le mieux est de chercher avec le code CVE afin de savoir dans quel niveau de "patch distrib" ta faille est comblée : https://access.redhat.com/security/cve/
Is it a Bird? Is it a Plane?? No, it's Super Poil !!!
# Tu es certainement déjà protégé
Posté par WhiteCat . Évalué à 4.
Le message d'avertissement d'1and1 aurait dû être plus clair. Quand ils parlent de ces numéros de versions, ce sont les versions "upstream" c-à-d celles que tu télécharges sur kernel.org et que tu compiles toi-même.
Mais comme l'a évoqué "M.Poil" ci-dessus, la plupart des distribution (et tout particulièrement Red Hat) backportent les patch de sécurité dans leur version antérieure qu'il package pour toi dans la distribution. Il est évident que le noyau 2.6.32 de RHEL 6 est truffé de patch de sécurité backporté. T'imagines sinon le nombre de faille qu'il y aurait dans le noyau RHEL ?!
Donc tu peux dormir sur tes 2 oreilles en faisant simplement tes "yum update" réguliers.
[^] # Re: Tu es certainement déjà protégé
Posté par paulez (site web personnel) . Évalué à 1.
Et en plus le noyau 2.6.32 est supporté en tant que longterm selon kernel.org donc l'upstream intègre aussi des patchs de sécurité.
[^] # Re: Tu es certainement déjà protégé
Posté par Raphaël MICHEL . Évalué à 1.
Merci,
là, en effet, c'est plus clair.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.