Kritischer Kernelbug - prüfen ?

  • Hallo zusammen,


    ich habe eben die Info über das Schliessen der Sicherheitslücke auf meinem Node erhalten.


    Kann mir jemand einen Tipp geben wie ich prüfen kann, ob diese Lücke bereits ausgenutzt wurde?


    Muss ich bei meinem Lenny-System trotzdem noch die Definition vm.mmap_min_addr anpassen wie hier beschrieben?
    Oder reicht der Kernel-Patch von netcup, um das Loch zu stopfen?


    Grüße
    untangler

  • Zitat

    Kann mir jemand einen Tipp geben wie ich prüfen kann, ob diese Lücke bereits ausgenutzt wurde?



    Hier hier eine Begutachtung der letzten Log-Files zu empfehlen.



    Zitat

    Muss ich bei meinem Lenny-System trotzdem noch die Definition vm.mmap_min_addr anpassen wie hier beschrieben?
    Oder reicht der Kernel-Patch von netcup, um das Loch zu stopfen?



    Die Einstellung seitens des Kernels haben wir bereits gemacht. Sobald wir einen neuen Kernel haben, wird dieser komplett aktualisiert.

  • LGS93: In der E-Mail steht lediglich, dass der Bug gefixt wurde. Bei den meisten Systemen konnte der Bug vermutlich durch das Setzen der sysctl Option gefixt werden. Sprich bei denen ist kein Kernelupdate notwendig.


    @sim4000: Soweit ich das verstehe, erlaubt es der Bug, dass ein Nicht-Root User beliebigen Code mit den Rechten des Kernelspace ausführen kann. D.h. dadurch erhält derjenige Zugriff auf alle vServer des Hostnodes, nicht nur auf den einen.

  • btw, unabhängig von Netcup jetzt: kann es sein, dass die Scans von diversen Botnetzen heute wieder zunahmen wegen diesem Kernel Leck? Zig Root-Server Besitzer berichten von einem extrem ausgelasteten Netzwerk, völlig ohne sichtbaren Grund :D



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • @killerbees,
    denke ich auch. Auf einem anderen Server mit aus verschiedenen Gründen noch unverändertem Port 22 setze ich aktuell denyhosts (mit Online-Sync) ein, um die Anzahl der Pestbeulen zu begrenzen. Bei 80 Versuchen innerhalb von 10min kann man da aber noch nicht von einem extrem ausgelasteten Netzwerk sprechen.
    [Blockierte Grafik: http://content.screencast.com/users/Landstreichler/folders/Jing/media/10a6acfc-bba8-43a3-9a9b-0bee30771553/2009-11-05_0836.png]


    Zum Thema,
    bezüglich der Prüfung, ob es einen Server erwischt hat können die RootKit Prüfer evtl. hilfreich sein. Siehe hier.
    Allerdings gibt es bei den genannten Tools bei vServern auch "false Positives" bezüglich des einen oder anderen Details.

  • Zitat von fLoo;8880

    Könnt Ihr bitte auf 2.6.31.5-vs2.3.0.36.22beng updaten oder ist der Kernel zu "neu" ?


    Das ist aufgrund interner Gegebenheiten nicht so ohne weiteres möglich. Wir verwalten zentral einige hundert Nodes mit teilweise verschiedener Hardware. Da müssen wir einiges testen und patchen bevor ein neuer Kernel zum Einsatz kommen kann.


    Die aktuell von uns eingesetzten Kernel sind sicher und stabil.

  • Zitat von [netcup] Felix;8899

    Das ist aufgrund interner Gegebenheiten nicht so ohne weiteres möglich. Wir verwalten zentral einige hundert Nodes mit teilweise verschiedener Hardware. Da müssen wir einiges testen und patchen bevor ein neuer Kernel zum Einsatz kommen kann.


    Die aktuell von uns eingesetzten Kernel sind sicher und stabil.


    Keine Frage :) Danke für die Rückmeldung, wusste garnicht, dass Ihr soviele Nodes im RZ stehen habt. Darf man fragen in welchem Maße wir uns hier bewegen ?

    Ich biete gratis Remotehands (SSH) für alle Netcup Kunden - von Kunde zu Kunde!
    Dazu einfach eine an mich .