Linux 64-bit: identification d’une faille de sécurité importante

Publié le 19 septembre 2010 à 4:10 par Stéphane Jose dans: Hébergement web, iWeb

Vendredi dernier, une faille de sécurité importante qui affecte les systèmes d’exploitation Linux 64-bit a été identifiée (http://bugzilla.redhat.com/show_bug.cgi?id=CVE-2010-3081 et http://bugzilla.redhat.com/show_bug.cgi?id=CVE-2010-3301).

Cette faille est potentiellement très dangereuse car elle permet à un hacker mal intentionné de prendre le contrôle d’un serveur Web en lui donnant un accès complet «root» à l’aide d’une porte d’accès détournée (communément appelée «backdoor»).

Le problème est d’autant plus important que cette faille semble avoir été exploitée beaucoup plus rapidement que d’habitude. Dès qu’une faille est publiée cela prend habituellement quelques temps avant que des hackers ne tentent de l’exploiter. Cette fois-ci la faille étant facilement exploitable, les premiers rapports ont été publiés par divers hébergeurs Web à peine 48h après sa publication. Heureusement le problème peut être contré en mettant rapidement à jour le noyau (kernel) du système.

Debian et Ubuntu ont publié des correctifs mais ceux de CentOS et Redhat sont encore attendus (voir mise-à-jour):

Debian: http://security-tracker.debian.org/tracker/CVE-2010-3301
Ubuntu: http://www.ubuntu.com/usn/usn-988-1
CentOS/Redhat: https://access.redhat.com/kb/docs/DOC-40265

La compagnie Ksplice a également rendu disponible une application qui permet de vérifier si la vulnérabilité à été exploitée sur un serveur et détecte s’il y a un backdoor en mémoire. L’outil est disponible ici: http://www.ksplice.com/uptrack/cve-2010-3081

Si vous suspectez que votre serveur a été exploité, veuillez noter que le hacker aura possiblement installé plusieurs autres types de backdoors sur le serveur. Il est toujours possible d’utiliser la commande ‘chkrootkit’ pour vérifier les backdoors et rootkits connus et détectables.

Il est également important que toutes les applications utilisées sur le serveur soit régulièrement mises à jour puisque les hackers ciblent particulièrement les sites Web qui utilisent les failles présentes dans certaines applications web périmées pour contourner les mesures de sécurité habituelles.

Pour ce qui est d’iWeb, nous avons rencontré le problème sur un de nos serveurs d’hébergement mutualisé mais nous sommes en contrôle de la situation. Nous avons mis en place plusieurs mesures qui nous permettent de protéger efficacement nos environnements d’hébergement partagés et nous surveillons de près les serveurs dédiés de nos clients et attendant que les mises-à-jour de sécurité définitives soient disponibles.

MISE-À-JOUR: Des kernels mises à jour de Redhat et CentOS qui ràglent la vulnerabilité (CVE-2010-3081) ont été publiées et sont disponibles ici:

Redhat: kernel-2.6.18-194.11.4.el5.rpm https://rhn.redhat.com/errata/RHSA-2010-0704.html

CentOS: ce kernel est patché et a été publie par CentOS dans le repository de test sans attendre RedHat. Le kernel officiel de CentOS est attendu bientôt.

Il peut être installé comme suit:

wget http://dev.centos.org/centos/5/CentOS-Testing.repo -O
/etc/yum.repos.d/CentOS-Testing.repo
yum --enablerepo=c5-testing update kernel\*

Le dernier kernel officiel de CentOS est maintenant disponible:
http://bugs.centos.org/view.php?id=4518

pour effectuer la mise à jour simplement tapez la commande

yum update kernel*

et redémarrez votre serveur.

Commentaires

  1. [...] les mesures de sécurité habituelles. J’ai écrit cet article à l’origine sur le blogue d’iWeb, il y est également disponible en [...]

  2. Bonjour, il serait bien que vous écriviez dans vos publications si tous les serveurs chez iWeb seront mis-à-jour ou bien si les propriétaires de serveurs dédiés devront faire ces mise à jour eux même. Dans ce cas, il serait bon de mentionner des liens vers un explicatif des procédures à faire…

  3. Bonjour M. Bleau, Merci de votre commentaire. Veuillez surveiller ce blogue et nos alertes. Plus d’informations concernant la procédure à suivre y seront publiées. En attendant si vous avez des questions n’hésitez pas à contacter notre équipe de soutien technique.

  4. M. Bleau, les mises à jours nécessaires ont été effectuées sur nos environnements mutualisés. Si vous êtes un client de colocation ou hébergé sur un serveur dédié vous devez effectuer la mise à jour (svp vérifiez le niveau d’administration de serveur inscrit au compte). Dans tous les cas n’hésitez pas à ouvrit un ticket su service à la clientèle si vous avez besoin d’aide. Plus d’information sur le problème est maintenant disponible ici: http://blog.iweb.com/fr/2010/09/faille-de-securite-affectant-les-systemes-d%E2%80%99exploitation-linux-64-bit-mise-a-jour/6288.html

Statut des systèmes

Details