Mettre à jour son dedié pour la faille vmsplice – OVH et dedibox

Posté le 12 Fév, 2008 dans debian, dedibox, sécurité, ubuntu | 15 Commentaires

Comme vous l’avez certainement lu de partout il y a une très très grosse faille sur tout les noyaux linux de 2.6.17 à 2.6.24.1.
Autrant dire un sacré paquet !

De plus la faille est plus que simple d’emploi:
http://www.tux-planet.fr/blog/?2008/02/12/224-local-root-exploit-sous-linux

La faille a été corrigé par les équipes de sécurité de la plupart des distributions.
Aussi peut être pensez vous comme moi qu’un simple (pour debian)

apt-get update
apt-get upgrade 

Allait vous mettre à l’abris …

Malheureusement vous avez certainement comme moi un noyau compilé spécialement pour votre serveur dedié (pour qu’il soit plus performant).
C’est en tout cas le cas chez dedibox et ovh par defaut.

Pas de panique ca reste assez simple a corrigé quand même.

Dedibox

La manip pour corriger la faille sur votre dedibox est décrite ici:
Je l’ai testé sur une etch et une sarge:
Première étape on modifie grub:

wget --passive ftp://ftp.dedibox.fr/pub/dedibox/fix/fix-grub-root.sh && chmod +x fix-grub-root.sh

On cherche sur quelle partition est « / »:

mount | grep "/ "

Ce qui devrait vous retourner qqch du genre:

/dev/sda2 on / type ext3 (rw,errors=remount-ro)

C’est ce sda2 qui nous intérresse

On va lancer le script téléchargé precedement avec comme parametre sda (ou votre valeure à vous):

./fix-grub-root.sh sda2

On télécharge le nouveau kenerl qui corrige la faille:

wget --passive ftp://ftp.dedibox.fr/pub/dedibox/kernel/r8-1/C7-X86-32bits/kernel-image-2.6.24.2-c7-r8-1.deb

Puis on l’install :

dpkg -i kernel-image-2.6.24.2-c7-r8-1.deb

Et on reboot:

reboot

Si après le reboot vous avez encore votre ancien kernel, alors faites un

update-grub

puis rebootez

reboot

Et tout rulez 😉
(merci à Korben)

Ovh

On applique les recos d’Octave:
http://forum.ovh.com/showthread.php?t=31396

On met à jour le RTM:

wget -q ftp://ftp.ovh.net/made-in-ovh/dedie/...3ware-sysfs.sh -O - | /bin/bash
wget -q ftp://ftp.ovh.net/made-in-ovh/rtm/install_rtm.sh -O - | /bin/bash

Connectez vous au manageret modifiez votre netboot (c’est la qu’Octave est pas clair):
netboot ovh ipv4

Puis rebootez:

reboot

Sur l’un comme sur l’autre pour vérifier le tout, tapez

uname -a

Et voila, vous êtes a jour et tranquille 😉

15 Commentaires

Recevoir les commentaires par email

  1. […] Mais pas de panique tout est décrit sur le site de billyboylindien. […]

  2. Julien dit :

    Merci c’est fait !

    3 minutes, reboot de dedibox compris 😉

  3. Korben dit :

    Apparement, la première étape pour Dedibox n’est pas utile…

    « Si vous avez effectué l’installation de votre Dedibox avant le 28 Mai 2006, les distributions Ubuntu-Server, Ubuntu Dedibox et Debian Sarge comportent un bug dans le comportement de grub-install. »

    En ce qui me concerne, j’ai mis a jour sur Dedibox. Le .Deb s’est bien installé mais bizarrement quand je fais (après reboot) un uname -a, c’est toujours l’ancien kernel qui est affiché…

    Alors je ne sais pas si c’est juste un probleme « texte » ou si le kernel n’a pas été mis à jour

  4. Humm, je ne connais pas d’autre moyen de connaitre le kernel installé.
    Si tu réinstalle le kernel via dpkg que te dis il ?
    La faille fonctionne elle toujours ?
    Sinon, j’ai vu tourner des correctif qui modifient l’adresse de vmsplice et rendent l’exploit inutilisable (mais ne comblent surement pas la faille :/ )

  5. Korben dit :

    >>sudo dpkg -i kernel-image-2.6.24.2-c7-r8-1.deb

    (Lecture de la base de données… 42703 fichiers et répertoires déjà installés.)
    Préparation du remplacement de kernel-image-2.6.24.2 10.00.Custom (en utilisant kernel-image-2.6.24.2-c7-r8-1.deb) …
    Dépaquetage de la mise à jour de kernel-image-2.6.24.2 …
    Paramétrage de kernel-image-2.6.24.2 (10.00.Custom) …
    Not updating image symbolic links since we are being updated (10.00.Custom)

    Quand je fais un ls -l sur la racine, j’ai ça :

    lrwxrwxrwx 1 root root 21 2008-02-13 08:09 vmlinuz -> boot/vmlinuz-2.6.24.2
    lrwxrwxrwx 1 root root 31 2007-07-03 16:58 vmlinuz.old -> boot/vmlinuz-2.6.21.1dedibox-r7

    Mais quand je regarde le menu.lst de grub, j’ai ça à la fin :

    title Debian GNU/Linux, kernel 2.6.21.1dedibox-r7
    root (hd0,0)
    kernel /vmlinuz-2.6.21.1dedibox-r7 root=/dev/sda6 ro
    savedefault

    title Debian GNU/Linux, kernel 2.6.21.1dedibox-r7 (single-user mode)
    root (hd0,0)
    kernel /vmlinuz-2.6.21.1dedibox-r7 root=/dev/sda6 ro single
    savedefault

    Je soupçonne Grub de ne pas avoir été mis à jour…

  6. D’où la première manip qui n’était ptetre pas si inutile ;).

  7. Korben dit :

    j’ai tenté aussi mais je suis en sda6 et quand je lui passe sda6, il veut pas (le script) et me dit que je peux utiliser uniquement que sda1 ou 2

  8. Moi j’avais sda3 et j’ai pas eu de soucis :/
    Mais peut etre aussi que tu es effectivement a jour et donc c’est pour ça que tu as l’erreur.

  9. D’après le script, oui il y a des cases que pour 1 à 4, modifie le et remplace sd4 par sda6 par exemple ca devrait rulez. Sinon, direct:
    cp /boot/grub/menu.lst /boot/grub/menu.lst.bak
    sed -i "s/kopt\=root\=\/dev\/hda1/kopt\=root\=\/dev\/sda6/g" /boot/grub/menu.lst

    ++

  10. Korben dit :

    @billy : J’ai fais ça aussi déjà… Ca m’a soit disant fixé le fichier mais ca n’empeche rien. Je tente un reboot et je croise les doigts

  11. Korben dit :

    Je tente une opération kamikaze avec un update-grub

  12. Korben dit :

    Yeah ! Linux sd-9385 2.6.24.2dedibox-r8-1-c7

    Merci Billy !

  13. C’est le update grub qui a été salvateur ?

  14. dabYo dit :

    Merci grâce à toi j’ai enfin réussi à changer le kernel de ma dedi 🙂

Trackbacks

  1. […] Mais pas de panique tout est décrit sur le site de billyboylindien. […]

URL de trackback: http://www.billyboylindien.com/securite/debian-fix-vmsplice.html/trackback/

Commenter

Note: La modération des commentaires est activée