Comme vous l’avez certainement lu de partout il y a une très très grosse faille sur tout les noyaux linux de 2.6.17 à 2.6.24.1.
Autrant dire un sacré paquet !
De plus la faille est plus que simple d’emploi:
http://www.tux-planet.fr/blog/?2008/02/12/224-local-root-exploit-sous-linux
La faille a été corrigé par les équipes de sécurité de la plupart des distributions.
Aussi peut être pensez vous comme moi qu’un simple (pour debian)
apt-get update apt-get upgrade
Allait vous mettre à l’abris …
Malheureusement vous avez certainement comme moi un noyau compilé spécialement pour votre serveur dedié (pour qu’il soit plus performant).
C’est en tout cas le cas chez dedibox et ovh par defaut.
Pas de panique ca reste assez simple a corrigé quand même.
La manip pour corriger la faille sur votre dedibox est décrite ici:
Je l’ai testé sur une etch et une sarge:
Première étape on modifie grub:
wget --passive ftp://ftp.dedibox.fr/pub/dedibox/fix/fix-grub-root.sh && chmod +x fix-grub-root.sh
On cherche sur quelle partition est « / »:
mount | grep "/ "
Ce qui devrait vous retourner qqch du genre:
/dev/sda2 on / type ext3 (rw,errors=remount-ro)
C’est ce sda2 qui nous intérresse
On va lancer le script téléchargé precedement avec comme parametre sda (ou votre valeure à vous):
./fix-grub-root.sh sda2
On télécharge le nouveau kenerl qui corrige la faille:
wget --passive ftp://ftp.dedibox.fr/pub/dedibox/kernel/r8-1/C7-X86-32bits/kernel-image-2.6.24.2-c7-r8-1.deb
Puis on l’install :
dpkg -i kernel-image-2.6.24.2-c7-r8-1.deb
Et on reboot:
reboot
Si après le reboot vous avez encore votre ancien kernel, alors faites un
update-grub
puis rebootez
reboot
Et tout rulez 😉
(merci à Korben)
On applique les recos d’Octave:
http://forum.ovh.com/showthread.php?t=31396
On met à jour le RTM:
wget -q ftp://ftp.ovh.net/made-in-ovh/dedie/...3ware-sysfs.sh -O - | /bin/bash wget -q ftp://ftp.ovh.net/made-in-ovh/rtm/install_rtm.sh -O - | /bin/bash
Connectez vous au manageret modifiez votre netboot (c’est la qu’Octave est pas clair):
Puis rebootez:
reboot
Sur l’un comme sur l’autre pour vérifier le tout, tapez
uname -a
Et voila, vous êtes a jour et tranquille 😉
15 Commentaires
Recevoir les commentaires par email
[…] Mais pas de panique tout est décrit sur le site de billyboylindien. […]
Merci c’est fait !
3 minutes, reboot de dedibox compris 😉
Apparement, la première étape pour Dedibox n’est pas utile…
« Si vous avez effectué l’installation de votre Dedibox avant le 28 Mai 2006, les distributions Ubuntu-Server, Ubuntu Dedibox et Debian Sarge comportent un bug dans le comportement de grub-install. »
En ce qui me concerne, j’ai mis a jour sur Dedibox. Le .Deb s’est bien installé mais bizarrement quand je fais (après reboot) un uname -a, c’est toujours l’ancien kernel qui est affiché…
Alors je ne sais pas si c’est juste un probleme « texte » ou si le kernel n’a pas été mis à jour
Humm, je ne connais pas d’autre moyen de connaitre le kernel installé.
Si tu réinstalle le kernel via dpkg que te dis il ?
La faille fonctionne elle toujours ?
Sinon, j’ai vu tourner des correctif qui modifient l’adresse de vmsplice et rendent l’exploit inutilisable (mais ne comblent surement pas la faille :/ )
>>sudo dpkg -i kernel-image-2.6.24.2-c7-r8-1.deb
(Lecture de la base de données… 42703 fichiers et répertoires déjà installés.)
Préparation du remplacement de kernel-image-2.6.24.2 10.00.Custom (en utilisant kernel-image-2.6.24.2-c7-r8-1.deb) …
Dépaquetage de la mise à jour de kernel-image-2.6.24.2 …
Paramétrage de kernel-image-2.6.24.2 (10.00.Custom) …
Not updating image symbolic links since we are being updated (10.00.Custom)
Quand je fais un ls -l sur la racine, j’ai ça :
lrwxrwxrwx 1 root root 21 2008-02-13 08:09 vmlinuz -> boot/vmlinuz-2.6.24.2
lrwxrwxrwx 1 root root 31 2007-07-03 16:58 vmlinuz.old -> boot/vmlinuz-2.6.21.1dedibox-r7
Mais quand je regarde le menu.lst de grub, j’ai ça à la fin :
title Debian GNU/Linux, kernel 2.6.21.1dedibox-r7
root (hd0,0)
kernel /vmlinuz-2.6.21.1dedibox-r7 root=/dev/sda6 ro
savedefault
title Debian GNU/Linux, kernel 2.6.21.1dedibox-r7 (single-user mode)
root (hd0,0)
kernel /vmlinuz-2.6.21.1dedibox-r7 root=/dev/sda6 ro single
savedefault
Je soupçonne Grub de ne pas avoir été mis à jour…
D’où la première manip qui n’était ptetre pas si inutile ;).
j’ai tenté aussi mais je suis en sda6 et quand je lui passe sda6, il veut pas (le script) et me dit que je peux utiliser uniquement que sda1 ou 2
Moi j’avais sda3 et j’ai pas eu de soucis :/
Mais peut etre aussi que tu es effectivement a jour et donc c’est pour ça que tu as l’erreur.
D’après le script, oui il y a des cases que pour 1 à 4, modifie le et remplace sd4 par sda6 par exemple ca devrait rulez. Sinon, direct:
cp /boot/grub/menu.lst /boot/grub/menu.lst.bak
sed -i "s/kopt\=root\=\/dev\/hda1/kopt\=root\=\/dev\/sda6/g" /boot/grub/menu.lst
++
@billy : J’ai fais ça aussi déjà… Ca m’a soit disant fixé le fichier mais ca n’empeche rien. Je tente un reboot et je croise les doigts
Je tente une opération kamikaze avec un update-grub
Yeah ! Linux sd-9385 2.6.24.2dedibox-r8-1-c7
Merci Billy !
C’est le update grub qui a été salvateur ?
yes
Merci grâce à toi j’ai enfin réussi à changer le kernel de ma dedi 🙂
Trackbacks
[…] Mais pas de panique tout est décrit sur le site de billyboylindien. […]