hello,

je me fais le relai de la ML ovh dédiés pour vous reporter un gros problème de sécu découvert samedi qui impacte les kernels > 2.6.15. Mettez à jour rapidement vos kernels car (on en dira pas plus vous n'avez qu'à chercher...) mais apparemment en 10 secondes on peut taper un accès root sur n'importe quel serveur via un simple script php ou utilisateur tiers...

voici le lien du forum ovh : http://forum.ovh.com/showthread.php?t=31396

je precise que ce probleme ne touche pas que ovh mais tous les systemes linux sous kernel > 2.6.15, en consequence, retournez vous vers le support de votre distro pour connaitre le statut de ce probleme et le correctif eventuel associe s'il est sorti.

sans deconner, c'est le feu... alors a vos claviers.

Mmm, il me semble de mémoire qu'il ne s'agit que de serveurs sous RHEL5 exploitant une fonctionnalité précise. Donc si c'est le cas, pas de panique.
Je cherche le mail sur Bugtraq et je le poste ici.

du tout, ça touche toutes les releases d'après ce que j'ai lu, d'ailleurs il y a du patch chez ubuntu, debian et consors...

d'ailleurs, mais tu confirmeras ça mieux que moi car je suis pas un expert mais quelque soit la distrib, le kernel reste le même non ???

Ok, au temps pour moi, les Linux avec kernel >=2.6.17 sont impactés.
Donc, pas de stress, mais effectivement, veuillez mettre à jour vos distros.

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

- ----------------------------------------------------------------------
Debian Security Advisory DSA-1494-1 security@debian.org
http://www.debian.org/security/ Florian Weimer
February 11, 2008 http://www.debian.org/security/faq
- ----------------------------------------------------------------------

Package : linux-2.6
Vulnerability : missing access checks
Problem type : local
Debian-specific: no
CVE Id(s) : CVE-2008-0010 CVE-2008-0163 CVE-2008-0600

The vmsplice system call did not properly verify address arguments
passed by user space processes, which allowed local attackers to
overwrite arbitrary kernel memory, gaining root privileges
(CVE-2008-0010, CVE-2008-0600).

In the vserver-enabled kernels, a missing access check on certain
symlinks in /proc enabled local attackers to access resources in other
vservers (CVE-2008-0163).

For the stable distribution (etch), this problem has been fixed in version
2.6.18.dfsg.1-18etch1.

In addition to these fixes, this update also incorporates changes from the
upcoming point release of the stable distribution.

The old stable distribution (sarge) is not affected by this problem.

The unstable (sid) and testing distributions will be fixed soon.

We recommend that you upgrade your linux-2.6 package.

Upgrade instructions
- --------------------

wget url
will fetch the file for you
dpkg -i file.deb
will install the referenced file.

If you are using the apt-get package manager, use the line for
sources.list as given below:

apt-get update
will update the internal database
apt-get upgrade
will install corrected packages

You may use an automated update by adding the resources from the
footer to the proper configuration.

<snip/>

- ---------------------------------------------------------------------------------
For apt-get: deb http://security.debian.org/ stable/updates main
For dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates/main
Mailing list: debian-security-announce@lists.debian.org
Package info: `apt-cache show <pkg>' and http://packages.debian.org/<pkg>
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)

iQEVAwUBR7BUp797/wQC1SS+AQJGBgf5AfW2p8scsIFEfHqccxg9nXBg/6Tt4q6W
cwU4ojRWpAatcpKOvrhugGAr/I56BDTt/OumJr2LcXzNkCCC730ui2tKbyrqjzr/
iQH1WR0zFGOJDiMRm9ytQ+5yLhFSNyzPxrXlvukZoCoj8PwcM7mrPZTmS2emSc7A
ut6G8WZD91Y703klpoqMLTpBmyuuFqyK0/pnhIfkB7MDe3JgsXC3yxssQLslBNje
aUSg2yfT/LkXML2hzZjNR49F3aJLy2Kip0XS3arh95cWih19Q8dZirdLW0J2fAKx
MiMSWmOambbjQZnOug2EXLgozgacNKhqHpolxsodxL76Oxv+DEpGDw==
=mM2m
-----END PGP SIGNATURE-----

Ouais, enfin keep cool, hein... il faut mettre à jour, en effet, pour être tranquille, mais cette faille ne pose réellement problème que dans certains cas précis.

Je m'en réfère au bulletin de FrSIR : http://www.frsirt.com/bulletins/13382

J'y lis que :
* le risque lié à la faille est considéré comme "modéré" (ce qui ne veut pas dire qu'il est négligeable, loin de là, mais il n'est pas aussi dangereux que ne le laisse entendre OVH).
* la faille n'est pas exploitable à distance (ce qui veut dire qu'il faut un accès sur la machine, soit par SSH, soit la possibilité d'y déposer des scripts PHP, CGI ou autres par FTP ou autre pour pouvoir l'exploiter).
Quelqu'un qui naviguera sur un site web hébergé sur votre machine ne pourra pas exploiter la faille.

En gros, ce que j'en déduis :
* Pour votre PC personnel, que vous êtes seul à utiliser, et qui n'est accessible d'aucune manière à d'autres utilsateurs que vous, il n'y a pas lieu de s'inquiéter.
* Pour votre serveur dédié sur lequel vous êtes seul à avoir un accès SSH et à pouvoir y déposer des fichiers exécutables, le risque d'infection est minime.

Par contre, là où le risque est réel (et c'est dans ces cas précis qu'il faut surtout mettre à jour d'urgence), c'est :
* Sur des machines partagées entre plusieurs utilisateurs en qui on n'a pas une confiance aveugle
* Sur des serveurs utilisés pour de l'hébergement mutualisé.
* Par extension, pour toute machine accessible par SSH ou en local par différents utilisateurs non sûrs, ou permettant à ces utilisateurs d'y déposer des scripts exécutables.

Personnellement, je trouve le bulletin d'OVH mal foutu : extrèmement alarmiste sans apporter le moindre détail technique (ne serait-ce qu'un lien vers un bulletin officiel détaillant la faille, comme celui que j'ai posté ici)...
À trop vouloir déclarer la moindre faille comme gravissime, on en vient à ne plus pouvoir distinguer les failles qui sont réellement critiques de celles qui le sont moins...

+1 : la faille est minime pour le quidam.
Et les admins systèmes réellement concernés n'attendent pas un post sur FH pour découvrir l'existence de ce genre de faille.

ah ben je vois que tout le monde est en forme !!!

je suis ravi que cela ne concerne pas tout le monde, néanmoins, nombre de personnes peuvent être impactées (et visiblement l'ont été) par ce problème qui n'est pas négligeable je pense d'ailleurs, bon c'est vrai que vous n'êtes probablement pas sur la ML d'ovh, mais des hacks ont déjà été déclarés, on trouve l'exploit sur le net assez facilement et personnellement je trouve cela tout de même assez flippant, peut être aussi parce que je ne suis pas une star de linux loin s'en faut malheureusement, mais beaucoup de gars comme moi qui font du web utilisent linux sur des serveurs web sans forcement en connaitre toutes les ramifications et quand on a une vingtaine de sites clients sur un dédié, il vaut mieux peut être prévenu avant que les 20 sites explosent et qu'on ait 20 coups de fil dans l'heure, sans compter les pertes éventuelles sur des sites marchands, le vol de données, etc...

alors de fait, j'entends bien vos arguments (qui sont justes et nuances avec raison en ce qui concerne balli) mais loz... disant qu'il n'a pas "besoin" d'attendre un post de FH pour connaitre la faille et bla bla..., mais personnellement, si mes clients ont leur boutique qui explose, c'est ma RC qui va jouer et franchement j'ai pas trop envie que le tarif annuel de ma RC pro explose l'année prochaine pour une connerie, donc pas intéressant pour certains pourquoi pas, mais pour d'autres si, donc loz, si ça ne l'est pas pour toi, c'est pas la peine de venir la ramener, car entre parenthèses, il n'y a pas d'admin système "reellement concernes", ça touche tous les kernels 2.6.x sur toutes les releases, donc ça touche a peu de chose prêt tous les admins système sous 2.6.

quant aux admins, si tu suivais la ml justement (desole je peux pas copier 50 et quelques mails et la liste n'est pas finie...), tu te rendrais compte que nombre d'entre eux sont bien content d'avoir connaissance de cet exploit alors qu'ils n'en avaient pas conscience.

mais comme d'habitude, c'est plus facile quand on est pas concerné, étais tu seulement au courant, ça je me le demande, mais tu vas me dire oui étant donne que tu es un "admin réellement concerne". maintenant s'il ne faut pas donner une info puisque FH est un repère de end users stupides et qui en aucun cas ne peuvent au grand jamais avoir un serveur dédié sous leur responsabilité pourquoi pas... c'est apporter bien peu de crédit au gens de cette communauté... enfin bref, t'as sûrement raison, d'ailleurs qu'est ce que je suis con d'être venu poster ici pff, j'aurais mieux fait de me taire pour éviter de te voir la ramener comme ça, finalement j'étais au courant, mes serveurs sont patchés alors qu'est ce que j'en ai à faire ??? belle mentalité, merci de nous avoir fait partager ton point si personnel.

ballinette > je suis dac avec toi, cela ne concerne pas les gens qui ont un linux chez eux en local, après là où ca peut devenir plus chiant encore une fois c'est pour les branks comme moi qui ont un serveur à la maison sous linux avec un serveur web dessus, un pti serveur de test pour lequel on a pas envie de se prendre la tête mais qui par malheur aurait une passerelle vers notre réseau local pour faire je sais pas, une divxbox ou un jukebox mp3 via samba, le tout non protégé bien entendu. Bon ok ça fait beaucoup de si et avec des si on pourrait mettre Paris en bouteille mais je pense que beaucoup sont dans ce cas là et de fait pour eux, même en end user, je trouve ça glauque de ne pas être prévenu. moi perso j'ai plus que le mac chez moi alors dans l'absolu je m'en fous complètement...

En ce qui concerne ce que tu dis sur le bulletin de ovh, je suis entièrement d'accord avec toi, il est très alarmiste et très mal foutu, je me suis d'ailleurs fendu d'un mail sur la ML afin de dénoncer cela. Mais je pense qu'ils ont flippé en voyant que des machines commençaient à voler en éclat et si la méthode de communication n'est peut être pas la meilleure (c'est assez récurrent chez ovh) voire la plus adaptée, ils ont au moins le mérite d'être réactif et de proposer des solutions à une communauté souvent dépourvue de connaissances assez vastes pour ne serait ce que comprendre ces problèmes de sécurité comme nous autres pauvres webmasters.

D'ailleurs tu vois pour moi le bulletin que tu as posté comme les nombreuses copies de celui-ci puisque ce n'est jamais qu'une traduction d'un autre site, personnellement ne m'indique pas qu'un gars peut devenir root sur ma bécanne via un script php mal protégé, alors ca peut paraitre bête comme ca, mais encore une fois, moi j'y connais pas des masses au niveau de tout ça et si on me dit pas que par script on peut tout péter, je regarde même pas car je n'y comprends rien du tout. Par contre quand on me dit qu'un de mes scripts pourrait entraîner une guerre nucléaire sur un serveur, là j'y vais sans hésiter. Pour info, un gars sur la ML est quand même allé sortir qu'il n'avait pas de client ssh sous mac... ca fait rever quand meme de lire un truc pareil... preuve une nouvelle fois que certains ont des dédiés sans aucune connaissance car n'importe quel gars sait au moins ce qu'est ssh et de fait sait que s'il est sur mac il a un terminal... enfin je pense... là pour le coup c'est un vrai end user.

le point ou je ne te rejoins pas, c'est sur ta dernière phrase car ovh ne fait que très rarement des annonces de ce style, voire jamais, en général ils corrigent eux mêmes et leur système de patch de mise à jour via un script sh est en général très bien foutu laissant aux types comme moi d'un niveau disons moyen la possibilité de protéger sans forcément trop comprendre le pourquoi du comment. bon c'est sur il vaut mieux comprendre, mais entre nous, moi linux et son organisation / ses failles, je m'en cogne un peu c'est pas mon métier et d'ailleurs pour ma boite toute neuve, dès que je lance mon projet (bientôt j'espère), je vais le lancer sur un nouveau dédié pour lequel je vais souscrire à une société externe pour en faire l'infogérance de A à Z, c'est leur métier et pas le mien, je n'ai pas le temps de m'y consacrer et en outre ça m'intéresse pas !
voila, c'était juste pour pas non plus faire que les casser car j'ai pas testé tous les hébergeurs, mais ovh est quand même de ceux qui sont les plus sérieux et les plus réactifs, même si des fois je les maudit !!!

enfin bref, si ca peut servir à quelqu'un c'est très bein et si tout le monde est comme loz, sur de lui et de ses compétence et également de sa veille techno sans faille sur les problèmes de sécurité alors ben tant pis, désolé pour la pollution de ce beau forum et toutes mes sincères excuses au sieur loz. La prochaine fois que j'ai un problème de serveur je viendrai le voir, d'ailleurs, moi qui cherche un prestataire d'infogérance, tu ferais pas ça ? Si tu veux j'ai fait un cahier des charges de 8 pages à soumettre aux futurs prestataires en concurrence, si ça t'intéresse de me chiffrer ça, je peux te l'envoyer, je recherche précisément un gars comme toi, béton sur tout, qui prenne les risques à ma place dans ce domaine et donc forcément avec une bonne RC pro en cas de problème ben oui, moi je suis assuré qu'à hauteur de 1,5 M d'euros et sur le web, ça peut aller trèèèèès vite, alors je vais pas en plus prendre à ma charge les risques de coupure de service, hack de serveur et compagnie, jsui pas fou, je fais que ce que je sais faire

Heu, juste une remarque rapide. Comme dit précédemment, ca touche uniquement les kernels 2.6.17 et supérieur, ce qui est loin d'être la majorité du parc informatique de production
Par exemple, la Ubuntu Dapper taggée LTS (Long Term Support) chez moi n'est qu'en 2.6.15, donc non impactée. Généralement, seuls les desktops perso ont les dernières releases...
Et, comme l'a bien expliqué Balli, il faut un accès user à la machine. Pas si facile que ça
Enfin, un énorme plühzun sur le bulletin foireux d'OVH, aucun CVE (l'équivalent d'un numéro de bug) pour une faille d'après eux critique, c'est honteux

et ptet vous pouvez me renseigner sur un truc, ou est le risque exactement via un script genre php qui serait non sécurisé ??? moi c'est surtout cet aspect qui m'intéresse, que faudrait il au niveau du script pour que cela devienne critique depuis le net ?

Je vais te paraitre con grabber mais je croyais que tu avais compris le problème?
Et que de nombreux exemples de scripts étaient déjà disponible partout sur le web, alors comment ça se fait qu'en en lisant un tu ne trouves pas ta réponse?

Le 12 février 2008 - 15 h 27, Lonewolf_v a écrit : Je vais te paraitre con grabber mais je croyais que tu avais compris le problème? Et que de nombreux exemples de scripts étaient déjà disponible partout sur le web, alors comment ça se fait qu'en en lisant un tu ne trouves pas ta réponse?

parce que j'ai pas que ça à faire que de parcourir le web, mais puisque tu as le temps au moins que ça serve à quelque chose, montres moi
d'autre part j'ai patché alors je m'en tamponne un peu, c'est juste pour pas mourir idiot.

Un j'ai pas le temps de faire ça à ta place ça me concerne pas.
Deux c'est rapport à ton job pas au mien.
Trois patcher sans comprendre je trouve pas ça terrible terrible, enfin je dis ça je dis rien.

grabber, j'ai seulement survolé ton texte (il est un peu long), mais pour te répondre je ne suis pas un sysadmin concerné. Et j'étais au courant (grâce à slashdot).
Si tu es concerné je te conseille vivement de t'inscrire à une mailing list qui te tiendra au courant la prochaine fois sans que tu aies à aller chercher l'info, ou de commencer chacune de tes journées par un survol d'un site de confiance dans le domaine.
Je ne voulais paraître condescendant, toutes mes excuses si tu l'as reçu comme ça. J'avoue avoir été irrité par le ton catastrophiste de la news, alors que dans le monde linuxien on est habituellement très précis pour décrire le risque (local/distant, accès à un compte user ou root, etc.)

Le 12 février 2008 - 16 h 10, Lonewolf_v a écrit : Un j'ai pas le temps de faire ça à ta place ça me concerne pas.

ben alors à quoi sert ton intervention ?
à rien... je me disais aussi...

Le 12 février 2008 - 16 h 10, Lonewolf_v a écrit : Deux c'est rapport à ton job pas au mien.

ah non l'admin de serveur c'est pas mon job, grossière erreur
je ne vois pas trop le rapport entre le webmastering et l'admin, sinon on peut dire que tout ce qui touche à l'informatique à un rapport (même ce que tu fais donc) ce qui est évidemment stupide.
jusqu'à preuve du contraire, on peut faire des sites sur du mutualisé non ? on m'aurait menti ?

Le 12 février 2008 - 16 h 10, Lonewolf_v a écrit : Trois patcher sans comprendre je trouve pas ça terrible terrible, enfin je dis ça je dis rien.

ouais c'est sur, c'est plus malin de ne pas patcher pour se faire exploser son serveur, quand on sait comment sont nommes les serveurs ovh, le type qui a envie d'emmerder le monde peut facilement le faire...

donc comme on dit de par chez toi : "ben la prochaine fois tu dis rien"

Le 12 février 2008 - 16 h 42, loz a écrit : grabber, j'ai seulement survolé ton texte (il est un peu long), mais pour te répondre je ne suis pas un sysadmin concerné. Et j'étais au courant (grâce à slashdot). Si tu es concerné je te conseille vivement de t'inscrire à une mailing list qui te tiendra au courant la prochaine fois sans que tu aies à aller chercher l'info, ou de commencer chacune de tes journées par un survol d'un site de confiance dans le domaine. Je ne voulais paraître condescendant, toutes mes excuses si tu l'as reçu comme ça. J'avoue avoir été irrité par le ton catastrophiste de la news, alors que dans le monde linuxien on est habituellement très précis pour décrire le risque (local/distant, accès à un compte user ou root, etc.)

entièrement d'accord sur ce point, comme je le disais plis haut, ils se sont un peu lâchés et en plus de ça c'est pas franchement explicite ou sur la ML ils n'ont pas arrêté de dire que tout le monde était concerne ce qui fait que plein de gars sous 2.4 ont tente de faire la mise a jour... bel effort... et surtout belle façon de mettre une machine en l'air...

Je me répète, mais même sous 2.6.15, ca ne risque rien, pour la simple et bonne raison que vmsplice n'est pas (encore) implémenté

Tiens, d'ailleurs, tu devrais MAJ le titre

Et je profite du topic : perso, je suis abonné à Bugtraq pour les notifications. J'ai vu Balli parler de FrSIR.
A votre avis, quelle ML est la plus concise et précise ?

Le 12 février 2008 - 15 h 22, grabber a écrit : et ptet vous pouvez me renseigner sur un truc, ou est le risque exactement via un script genre php qui serait non sécurisé ??? moi c'est surtout cet aspect qui m'intéresse, que faudrait il au niveau du script pour que cela devienne critique depuis le net ?

Sur certains serveurs les scripts sont autorisés à exécuter des commandes systèmes. Cela pourrait etre pratique par exemple pour connaitre l'espace disque utilisé par un répertoire avec une commande type « system("du -sh $REPERTOIRE"); ». Il se peut que les variables utilisées dans ces scripts soient entrées par l'utilisateur (par exemple via un formulaire qui demande le nom d'un répertoire), et là on se retrouve rapidement avec des failles de sécurité. Pour continuer sur l'exemple, l'utilisateur pourrait entrer « ~/toto ; rm -rf ~/* ». Je te laisse imaginer le résultat.

La faille que tu annonces permet à un utilisateur local de passer root ; combinée avec les problèmes de sécurité énoncés au dessus, cela donne une situation ou tout le monde peut potentiellement passer root sur les serveurs.

OVH autorise probablement les appels systèmes depuis PHP ; et comme il leur est impossible de vérifier le code de tous leurs abonnés ils sont directement impactés par cette faille.

nigaiden > ok pour les commandes system, je pensais eventuellement plus a une faille type injection sql en version system en fait. de mon cote tout est bloque de ce cote la de toute facon

gege38 > oui tu as raison, j'ai edite le titre

Le 12 février 2008 - 19 h 04, grabber a écrit : Le 12 février 2008 - 16 h 10, Lonewolf_v a écrit : Un j'ai pas le temps de faire ça à ta place ça me concerne pas. ben alors à quoi sert ton intervention ? à rien... je me disais aussi... Le 12 février 2008 - 16 h 10, Lonewolf_v a écrit : Deux c'est rapport à ton job pas au mien. ah non l'admin de serveur c'est pas mon job, grossière erreur je ne vois pas trop le rapport entre le webmastering et l'admin, sinon on peut dire que tout ce qui touche à l'informatique à un rapport (même ce que tu fais donc) ce qui est évidemment stupide. jusqu'à preuve du contraire, on peut faire des sites sur du mutualisé non ? on m'aurait menti ? Le 12 février 2008 - 16 h 10, Lonewolf_v a écrit : Trois patcher sans comprendre je trouve pas ça terrible terrible, enfin je dis ça je dis rien. ouais c'est sur, c'est plus malin de ne pas patcher pour se faire exploser son serveur, quand on sait comment sont nommes les serveurs ovh, le type qui a envie d'emmerder le monde peut facilement le faire... donc comme on dit de par chez toi : "ben la prochaine fois tu dis rien"

Je dois vraiment être trop con mon pauvre.
Mais si ça ne te concerne pas, et que ça n'est pas ton métier, alors je ne comprend décidément pas ce que tu as pu patcher, et pourquoi tu semblais tellement anxieux à l'idée que ça puisse t'impacter.
Bref on n'est pas à une incohérence près avec toi n'est ce pas?

enfin une sage parole ouais je crois que ta 1ere phrase est la bonne (mis a part que je ne suis ni "ton" ni "ton pauvre"), je n'oserais pas te contredire

quand tu utilises une voiture, tu n'es pas oblige d'être un mécano, toi comprendre nuance ou toi rien comprendre voire toi vouloir absolument faire chier le monde comme d'habitude ???

quoi qu'il en soit je me fous de la réponse, retourne dans ta tanière et arrêtes de polluer pour rien steplait.