Communautés iWeb: Blogue

Vendredi dernier, une faille de sécurité importante qui affecte les systèmes d’exploitation Linux 64-bit a été identifiée (http://bugzilla.redhat.com/show_bug.cgi?id=CVE-2010-3081 et http://bugzilla.redhat.com/show_bug.cgi?id=CVE-2010-3301).

Cette faille est potentiellement très dangereuse car elle permet à un hacker mal intentionné de prendre le contrôle d’un serveur Web en lui donnant un accès complet «root» à l’aide d’une porte d’accès détournée (communément appelée «backdoor»).

Le problème est d’autant plus important que cette faille semble avoir été exploitée beaucoup plus rapidement que d’habitude. Dès qu’une faille est publiée cela prend habituellement quelques temps avant que des hackers ne tentent de l’exploiter. Cette fois-ci la faille étant facilement exploitable, les premiers rapports ont été publiés par divers hébergeurs Web à peine 48h après sa publication. Heureusement le problème peut être contré en mettant rapidement à jour le noyau (kernel) du système.

Debian et Ubuntu ont publié des correctifs mais ceux de CentOS et Redhat sont encore attendus (voir mise-à-jour):

Debian: http://security-tracker.debian.org/tracker/CVE-2010-3301
Ubuntu: http://www.ubuntu.com/usn/usn-988-1
CentOS/Redhat: https://access.redhat.com/kb/docs/DOC-40265

La compagnie Ksplice a également rendu disponible une application qui permet de vérifier si la vulnérabilité à été exploitée sur un serveur et détecte s’il y a un backdoor en mémoire. L’outil est disponible ici: http://www.ksplice.com/uptrack/cve-2010-3081

Si vous suspectez que votre serveur a été exploité, veuillez noter que le hacker aura possiblement installé plusieurs autres types de backdoors sur le serveur. Il est toujours possible d’utiliser la commande ‘chkrootkit’ pour vérifier les backdoors et rootkits connus et détectables.

Il est également important que toutes les applications utilisées sur le serveur soit régulièrement mises à jour puisque les hackers ciblent particulièrement les sites Web qui utilisent les failles présentes dans certaines applications web périmées pour contourner les mesures de sécurité habituelles.

Pour ce qui est d’iWeb, nous avons rencontré le problème sur un de nos serveurs d’hébergement mutualisé mais nous sommes en contrôle de la situation. Nous avons mis en place plusieurs mesures qui nous permettent de protéger efficacement nos environnements d’hébergement partagés et nous surveillons de près les serveurs dédiés de nos clients et attendant que les mises-à-jour de sécurité définitives soient disponibles.

MISE-À-JOUR: Des kernels mises à jour de Redhat et CentOS qui ràglent la vulnerabilité (CVE-2010-3081) ont été publiées et sont disponibles ici:

Redhat: kernel-2.6.18-194.11.4.el5.rpm https://rhn.redhat.com/errata/RHSA-2010-0704.html

CentOS: ce kernel est patché et a été publie par CentOS dans le repository de test sans attendre RedHat. Le kernel officiel de CentOS est attendu bientôt.

Il peut être installé comme suit:

wget http://dev.centos.org/centos/5/CentOS-Testing.repo -O
/etc/yum.repos.d/CentOS-Testing.repo
yum --enablerepo=c5-testing update kernel\*

Le dernier kernel officiel de CentOS est maintenant disponible:
http://bugs.centos.org/view.php?id=4518

pour effectuer la mise à jour simplement tapez la commande

yum update kernel*

et redémarrez votre serveur.