Mettre à jour son dedié pour la faille vmsplice – OVH et dedibox

Posté le 12 fév, 2008 dans debian, dedibox, sécurité, ubuntu | 15 Commentaires

Comme vous l’avez certainement lu de partout il y a une très très grosse faille sur tout les noyaux linux de 2.6.17 à 2.6.24.1.
Autrant dire un sacré paquet !

De plus la faille est plus que simple d’emploi:
http://www.tux-planet.fr/blog/?2008/02/12/224-local-root-exploit-sous-linux

La faille a été corrigé par les équipes de sécurité de la plupart des distributions.
Aussi peut être pensez vous comme moi qu’un simple (pour debian)

apt-get update
apt-get upgrade

Allait vous mettre à l’abris …

Malheureusement vous avez certainement comme moi un noyau compilé spécialement pour votre serveur dedié (pour qu’il soit plus performant).
C’est en tout cas le cas chez dedibox et ovh par defaut.

Pas de panique ca reste assez simple a corrigé quand même.

Dedibox

La manip pour corriger la faille sur votre dedibox est décrite ici:
Je l’ai testé sur une etch et une sarge:
Première étape on modifie grub:

wget --passive ftp://ftp.dedibox.fr/pub/dedibox/fix/fix-grub-root.sh && chmod +x fix-grub-root.sh

On cherche sur quelle partition est « / »:

mount | grep "/ "

Ce qui devrait vous retourner qqch du genre:

/dev/sda2 on / type ext3 (rw,errors=remount-ro)

C’est ce sda2 qui nous intérresse

On va lancer le script téléchargé precedement avec comme parametre sda (ou votre valeure à vous):

./fix-grub-root.sh sda2

On télécharge le nouveau kenerl qui corrige la faille:

wget --passive ftp://ftp.dedibox.fr/pub/dedibox/kernel/r8-1/C7-X86-32bits/kernel-image-2.6.24.2-c7-r8-1.deb

Puis on l’install :

dpkg -i kernel-image-2.6.24.2-c7-r8-1.deb

Et on reboot:

reboot

Si après le reboot vous avez encore votre ancien kernel, alors faites un

update-grub

puis rebootez

reboot

Et tout rulez ;)
(merci à Korben)

Ovh

On applique les recos d’Octave:
http://forum.ovh.com/showthread.php?t=31396

On met à jour le RTM:

wget -q ftp://ftp.ovh.net/made-in-ovh/dedie/...3ware-sysfs.sh -O - | /bin/bash
wget -q ftp://ftp.ovh.net/made-in-ovh/rtm/install_rtm.sh -O - | /bin/bash

Connectez vous au manageret modifiez votre netboot (c’est la qu’Octave est pas clair):
netboot ovh ipv4

Puis rebootez:

reboot

Sur l’un comme sur l’autre pour vérifier le tout, tapez 

uname -a

Et voila, vous êtes a jour et tranquille ;)

mots clefs relatifs : vmsplice | mettre à jour un dédié | changer le chmod sur dedibox | comment installer un noyau ovh netboot | faille vmsplice | je cherche la mise a jour pour la r4 | kernel ovh pour dedibox | mettre a jour le noyau debian ovh | mise à jour kernel dédié ovh | mode d'emploi mise à jour du kernel pour le linker r4 | not updating image symbolic links since we are being updated (10.00.custom) | ovh ubuntu mise à jour noyau | très grosse faille dans le noyau linux | wget et faille http | ovh kernel grub | faire mise a jour dedibox | faille root boot grub | ovh rtm debian | "mise a jours dédibox" | problème kernel ovh | ovh kernel debian | ovh faille linux | install dedibox securité | mettre a jour son serveur dédié debian | "mettre à jours dedibox" | ovh kimsufi update grub | vmsplice noyau | mettre a jour le kernel ubuntu sur une kimsufi | faille root | "mise à jours dedibox | mise à jour dedibox" | dedibox mise a jour probleme firmware | kernel 2.6 debian ovh | "hack""faille""kernel 2.6.17" | "mise à jour dedibox" | installer server x debian ovh kernel | dedibox menu.lst | ovh rtm | kernel 2.6 pour ds linker | ovh dedié mise a jour noyau | faille dedibox | mise a jour ubuntu server dédié ovh | ovh mise a jour sécurité debian | ovh mise à jour kernel quel noyau | vmsplice' | netboot ovh | dedibox probleme reboot | ubuntu ovh root partition | probleme de mail apres mise a jour debian | kimsufi maj kernel | dl.free.fr kimsufi | ovh kimsufi update-grub | r4 kernel 2.6 french | mise a jour debian dedibox | vmsplice php | mise à jour kernel ubuntu kimsufi | noyau ovh debian | grub dedibox | installer kernel ovh sur dedibox | ovh upgrade kernel | ovh kimsufi maj kernel | delvmsplice | mise à jour noyau sans reboot | kimsufi dl.free.fr | changer noyau ovh | kimsufi ubuntu security update | télecharger kernel 2.6 ds | dedibox faille vmsplice | kernel-image-$(uname -r) | mettre à jour le kernel ovh | upgrader serveur ubuntu ovh | debian faille root | mise a jour dedibox | ovh ubuntu mettre a jour security updates | debian ovh change kernel | kimsufi reinstaller noyau | netboot ovh quelle partition ? | mise a jour rtm serveur dedie | mode emploi mise a jour r4 | compiler kernel debian ovh | dedi fix | erreur apt-get update dedibox | ovh mettre a jour le kernel | ftp://ftp.ovh.net/made-in-ovh/rtm/install_rtm.sh | kernel dedibox | kimsufi mise a jour kernel | vmslice | dedibox root | faille dédié ovh | forum ovh modifier netboot | dedibox pb http | kernel r4 upgrade | mise a jour secu debian dedibox | rtm debian | upgrade noyau linux sans rebooter | kernel 2.6 pour r4 | ubuntu dedie chmod | faille noyau ovh | installation ovh rtm probl | ovh mettre a jour son noyau

15 Commentaires

Recevoir les commentaires par email

  1. Sliwt’s Blog » Faille Kernel 2.6.17 a 2.6.24 dit :
    13 février 08 à 1:18

    [...] Mais pas de panique tout est décrit sur le site de billyboylindien. [...]

  2. Julien dit :
    13 février 08 à 9:21

    Merci c’est fait !

    3 minutes, reboot de dedibox compris ;-)

  3. Korben dit :
    13 février 08 à 18:13

    Apparement, la première étape pour Dedibox n’est pas utile…

    « Si vous avez effectué l’installation de votre Dedibox avant le 28 Mai 2006, les distributions Ubuntu-Server, Ubuntu Dedibox et Debian Sarge comportent un bug dans le comportement de grub-install. »

    En ce qui me concerne, j’ai mis a jour sur Dedibox. Le .Deb s’est bien installé mais bizarrement quand je fais (après reboot) un uname -a, c’est toujours l’ancien kernel qui est affiché…

    Alors je ne sais pas si c’est juste un probleme « texte » ou si le kernel n’a pas été mis à jour

  4. Billyboylindien dit :
    13 février 08 à 18:19

    Humm, je ne connais pas d’autre moyen de connaitre le kernel installé.
    Si tu réinstalle le kernel via dpkg que te dis il ?
    La faille fonctionne elle toujours ?
    Sinon, j’ai vu tourner des correctif qui modifient l’adresse de vmsplice et rendent l’exploit inutilisable (mais ne comblent surement pas la faille :/ )

  5. Korben dit :
    13 février 08 à 18:30

    >>sudo dpkg -i kernel-image-2.6.24.2-c7-r8-1.deb

    (Lecture de la base de données… 42703 fichiers et répertoires déjà installés.)
    Préparation du remplacement de kernel-image-2.6.24.2 10.00.Custom (en utilisant kernel-image-2.6.24.2-c7-r8-1.deb) …
    Dépaquetage de la mise à jour de kernel-image-2.6.24.2 …
    Paramétrage de kernel-image-2.6.24.2 (10.00.Custom) …
    Not updating image symbolic links since we are being updated (10.00.Custom)

    Quand je fais un ls -l sur la racine, j’ai ça :

    lrwxrwxrwx 1 root root 21 2008-02-13 08:09 vmlinuz -> boot/vmlinuz-2.6.24.2
    lrwxrwxrwx 1 root root 31 2007-07-03 16:58 vmlinuz.old -> boot/vmlinuz-2.6.21.1dedibox-r7

    Mais quand je regarde le menu.lst de grub, j’ai ça à la fin :

    title Debian GNU/Linux, kernel 2.6.21.1dedibox-r7
    root (hd0,0)
    kernel /vmlinuz-2.6.21.1dedibox-r7 root=/dev/sda6 ro
    savedefault

    title Debian GNU/Linux, kernel 2.6.21.1dedibox-r7 (single-user mode)
    root (hd0,0)
    kernel /vmlinuz-2.6.21.1dedibox-r7 root=/dev/sda6 ro single
    savedefault

    Je soupçonne Grub de ne pas avoir été mis à jour…

  6. Billyboylindien dit :
    13 février 08 à 18:32

    D’où la première manip qui n’était ptetre pas si inutile ;) .

  7. Korben dit :
    13 février 08 à 18:33

    j’ai tenté aussi mais je suis en sda6 et quand je lui passe sda6, il veut pas (le script) et me dit que je peux utiliser uniquement que sda1 ou 2

  8. Billyboylindien dit :
    13 février 08 à 18:42

    Moi j’avais sda3 et j’ai pas eu de soucis :/
    Mais peut etre aussi que tu es effectivement a jour et donc c’est pour ça que tu as l’erreur.

  9. Billyboylindien dit :
    13 février 08 à 18:46

    D’après le script, oui il y a des cases que pour 1 à 4, modifie le et remplace sd4 par sda6 par exemple ca devrait rulez. Sinon, direct:
    cp /boot/grub/menu.lst /boot/grub/menu.lst.bak
    sed -i "s/kopt\=root\=\/dev\/hda1/kopt\=root\=\/dev\/sda6/g" /boot/grub/menu.lst

    ++

  10. Korben dit :
    13 février 08 à 18:47

    @billy : J’ai fais ça aussi déjà… Ca m’a soit disant fixé le fichier mais ca n’empeche rien. Je tente un reboot et je croise les doigts

  11. Korben dit :
    13 février 08 à 18:55

    Je tente une opération kamikaze avec un update-grub

  12. Korben dit :
    13 février 08 à 18:57

    Yeah ! Linux sd-9385 2.6.24.2dedibox-r8-1-c7

    Merci Billy !

  13. Billyboylindien dit :
    13 février 08 à 18:59

    C’est le update grub qui a été salvateur ?

  14. Korben dit :
    13 février 08 à 19:14

    yes

  15. dabYo dit :
    15 février 08 à 20:36

    Merci grâce à toi j’ai enfin réussi à changer le kernel de ma dedi :)

Trackbacks

  1. Sliwt’s Blog » Faille Kernel 2.6.17 a 2.6.24 dit :
    13 février 08 à 1:18

    [...] Mais pas de panique tout est décrit sur le site de billyboylindien. [...]

URL de trackback: http://www.billyboylindien.com/securite/debian-fix-vmsplice.html/trackback/

Commenter

Note: La modération des commentaires est activée