StatutLinux 64-bit: identification d’une faille de sécurité importante
Vendredi dernier, une faille de sécurité importante qui affecte les systèmes d’exploitation Linux 64-bit a été identifiée (http://bugzilla.redhat.com/show_bug.cgi?id=CVE-2010-3081 et http://bugzilla.redhat.com/show_bug.cgi?id=CVE-2010-3301).
Cette faille est potentiellement très dangereuse car elle permet à un hacker mal intentionné de prendre le contrôle d’un serveur Web en lui donnant un accès complet «root» à l’aide d’une porte d’accès détournée (communément appelée «backdoor»).
Le problème est d’autant plus important que cette faille semble avoir été exploitée beaucoup plus rapidement que d’habitude. Dès qu’une faille est publiée cela prend habituellement quelques temps avant que des hackers ne tentent de l’exploiter. Cette fois-ci la faille étant facilement exploitable, les premiers rapports ont été publiés par divers hébergeurs Web à peine 48h après sa publication. Heureusement le problème peut être contré en mettant rapidement à jour le noyau (kernel) du système.
Debian et Ubuntu ont publié des correctifs mais ceux de CentOS et Redhat sont encore attendus (voir mise-à-jour):
Debian: http://security-tracker.debian.org/tracker/CVE-2010-3301
Ubuntu: http://www.ubuntu.com/usn/usn-988-1
CentOS/Redhat: https://access.redhat.com/kb/docs/DOC-40265
La compagnie Ksplice a également rendu disponible une application qui permet de vérifier si la vulnérabilité à été exploitée sur un serveur et détecte s’il y a un backdoor en mémoire. L’outil est disponible ici: http://www.ksplice.com/uptrack/cve-2010-3081
Si vous suspectez que votre serveur a été exploité, veuillez noter que le hacker aura possiblement installé plusieurs autres types de backdoors sur le serveur. Il est toujours possible d’utiliser la commande ‘chkrootkit’ pour vérifier les backdoors et rootkits connus et détectables.
Il est également important que toutes les applications utilisées sur le serveur soit régulièrement mises à jour puisque les hackers ciblent particulièrement les sites Web qui utilisent les failles présentes dans certaines applications web périmées pour contourner les mesures de sécurité habituelles.
Pour ce qui est d’iWeb, nous avons rencontré le problème sur un de nos serveurs d’hébergement mutualisé mais nous sommes en contrôle de la situation. Nous avons mis en place plusieurs mesures qui nous permettent de protéger efficacement nos environnements d’hébergement partagés et nous surveillons de près les serveurs dédiés de nos clients et attendant que les mises-à-jour de sécurité définitives soient disponibles.
MISE-À-JOUR: Des kernels mises à jour de Redhat et CentOS qui ràglent la vulnerabilité (CVE-2010-3081) ont été publiées et sont disponibles ici:
Redhat: kernel-2.6.18-194.11.4.el5.rpm https://rhn.redhat.com/errata/RHSA-2010-0704.html
CentOS: ce kernel est patché et a été publie par CentOS dans le repository de test sans attendre RedHat. Le kernel officiel de CentOS est attendu bientôt.
Il peut être installé comme suit:
wget http://dev.centos.org/centos/5/CentOS-Testing.repo -O
/etc/yum.repos.d/CentOS-Testing.repo
yum --enablerepo=c5-testing update kernel\*
Le dernier kernel officiel de CentOS est maintenant disponible:
http://bugs.centos.org/view.php?id=4518
pour effectuer la mise à jour simplement tapez la commande
yum update kernel*
et redémarrez votre serveur.
Blogue d’iWeb – Offre exclusive
Premier mois gratuit et réduction de 15 % sur certains serveurs dédiés à notre centre de données de Montréal.
Xeon E3v1 • Core i5-2500 • Xeon E5506 • Xeon E5620 • Xeon E5-2609v1
Conditions
- Cette offre s’applique aux serveurs hébergés dans les centres de données de iWeb situés à Montréal seulement. Elle ne s’applique pas aux licences logicielles ni aux autres services.
- Cette offre ne s’applique pas aux serveurs Intel E3v3, E5v2, Core i3 et Core2 Quad ni aux serveurs en liquidation.
- Cette offre s’applique uniquement aux nouveaux serveurs. Elle ne peut servir à remplacer un serveur iWeb existant.
- Veuillez noter que même si la réduction s’appliquera, le prix indiqué dans le processus de commande demeure le même.
- Cette offre spéciale ne peut être combinée à d’autres offres spéciales, promotions ou réductions.
- L’offre est valide jusqu’à 23:59 le 31 janvier 2015.
Commentaires
19 septembre 2010 6:55
[...] les mesures de sécurité habituelles. J’ai écrit cet article à l’origine sur le blogue d’iWeb, il y est également disponible en [...]
20 septembre 2010 7:49
Bonjour, il serait bien que vous écriviez dans vos publications si tous les serveurs chez iWeb seront mis-à-jour ou bien si les propriétaires de serveurs dédiés devront faire ces mise à jour eux même. Dans ce cas, il serait bon de mentionner des liens vers un explicatif des procédures à faire…
20 septembre 2010 3:11
Bonjour M. Bleau, Merci de votre commentaire. Veuillez surveiller ce blogue et nos alertes. Plus d’informations concernant la procédure à suivre y seront publiées. En attendant si vous avez des questions n’hésitez pas à contacter notre équipe de soutien technique.
22 septembre 2010 8:32
M. Bleau, les mises à jours nécessaires ont été effectuées sur nos environnements mutualisés. Si vous êtes un client de colocation ou hébergé sur un serveur dédié vous devez effectuer la mise à jour (svp vérifiez le niveau d’administration de serveur inscrit au compte). Dans tous les cas n’hésitez pas à ouvrit un ticket su service à la clientèle si vous avez besoin d’aide. Plus d’information sur le problème est maintenant disponible ici: http://blog.iweb.com/fr/2010/09/faille-de-securite-affectant-les-systemes-d%E2%80%99exploitation-linux-64-bit-mise-a-jour/6288.html