oles@ovh.net
17.09.10, 18:54
Guten Tag,
wenn Sie einen Server mit 64 Bit Linux Kernel verwenden, dann sollten
Sie diesen schnellstmöglich updaten, um die Sicherheitslücke zu
schliessen!
Ein Exploit ist bereits öffentlich verfügbar.
Was muss ich tun?
-----------------
Sie müssen den Kernel Ihres Servers updaten.
Wie mache ich das?
------------------
- Wenn Sie die Option Absolute Sicherheit nutzen, dann wurden Sie per E-
Mail über den geplanten Reboot Ihres Servers in Kenntnis gesetzt. Sie
müssen nichts weiter tun.
- Wenn Sie den Netboot Modus verwenden oder einen RPS oder eine Cloud
haben, dann genügt es, einen Reboot Ihres Servers durchzuführen.
- Wenn Sie einen von Hand installierten Kernel nutzen, dann finden Sie
die neuen Versionen auf ftp://ftp.ovh.net/made-in-ovh/bzImage/
Es handelt sich um den bzImage-2.6.34.6-xxxx
- Wenn Sie kompilieren: Die Quellen auf kernel.org sind verwundbar. Es
muss gepatcht werden - nur der 2.6.36-RC4 ist gepatcht (muss noch
bestätigt werden, wir haben dies schnell überprüft).
Nach dem Update des Kernels sollten Sie folgendes angezeigt bekommen:
# uname -a
Linux XXXXXXX 2.6.34.6-xxxx-std-ipv6-64 #3 SMP Fri Sep 17
^^^^^^^^
Es muss 2.6.34.6 angezeigt werden.
PS: Ab sofort gibt es nur noch einen Kernel (IPv4 + IPv6) mit dem Namen
bzImage-xxxx-ipv6-xxxx
Details:
--------
Eine Sicherheitslücke (CVE-2010-3301) im 32-Bit-Kompatibilitätsmodus
des aktuellen Linux-Kernels für 64-Bit-Systeme, die es erlaubt, lokal
Rootprivilegien zu erlangen, wurde (wieder-)entdeckt.
Alle 64 Bit Kernel ab 2.6.27 sind von dieser Lücke betroffen.
Zur Geschichte: Die Sicherheitslücke wurde bereits 2007 entdeckt und im
Kernel 2.6.22.7 (CVE-2007-4573) gefixt, jedoch wurde dieser Fix dann
2008 rückgängig gemacht.
[Erläuterungen und Exploit: http://sota.gen.nz/compat2/]
Mit freundlichen Grüssen
Octave
wenn Sie einen Server mit 64 Bit Linux Kernel verwenden, dann sollten
Sie diesen schnellstmöglich updaten, um die Sicherheitslücke zu
schliessen!
Ein Exploit ist bereits öffentlich verfügbar.
Was muss ich tun?
-----------------
Sie müssen den Kernel Ihres Servers updaten.
Wie mache ich das?
------------------
- Wenn Sie die Option Absolute Sicherheit nutzen, dann wurden Sie per E-
Mail über den geplanten Reboot Ihres Servers in Kenntnis gesetzt. Sie
müssen nichts weiter tun.
- Wenn Sie den Netboot Modus verwenden oder einen RPS oder eine Cloud
haben, dann genügt es, einen Reboot Ihres Servers durchzuführen.
- Wenn Sie einen von Hand installierten Kernel nutzen, dann finden Sie
die neuen Versionen auf ftp://ftp.ovh.net/made-in-ovh/bzImage/
Es handelt sich um den bzImage-2.6.34.6-xxxx
- Wenn Sie kompilieren: Die Quellen auf kernel.org sind verwundbar. Es
muss gepatcht werden - nur der 2.6.36-RC4 ist gepatcht (muss noch
bestätigt werden, wir haben dies schnell überprüft).
Nach dem Update des Kernels sollten Sie folgendes angezeigt bekommen:
# uname -a
Linux XXXXXXX 2.6.34.6-xxxx-std-ipv6-64 #3 SMP Fri Sep 17
^^^^^^^^
Es muss 2.6.34.6 angezeigt werden.
PS: Ab sofort gibt es nur noch einen Kernel (IPv4 + IPv6) mit dem Namen
bzImage-xxxx-ipv6-xxxx
Details:
--------
Eine Sicherheitslücke (CVE-2010-3301) im 32-Bit-Kompatibilitätsmodus
des aktuellen Linux-Kernels für 64-Bit-Systeme, die es erlaubt, lokal
Rootprivilegien zu erlangen, wurde (wieder-)entdeckt.
Alle 64 Bit Kernel ab 2.6.27 sind von dieser Lücke betroffen.
Zur Geschichte: Die Sicherheitslücke wurde bereits 2007 entdeckt und im
Kernel 2.6.22.7 (CVE-2007-4573) gefixt, jedoch wurde dieser Fix dann
2008 rückgängig gemacht.
[Erläuterungen und Exploit: http://sota.gen.nz/compat2/]
Mit freundlichen Grüssen
Octave