Forum Linux.noyau CentOS 6.5 - Passer du noyau 2.6.32 à la version 3.14.4

Posté par . Licence CC by-sa.
0
15
mai
2014

Bonjour,

Je loue un serveur chez 1and1, et ils viennent de m'envoyer ce message :

Bonjour,

Nous avons une information importante à vous communiquer. Actuellement, une
faille de sécurité dans les systèmes d'exploitation Linux permet à des
attaquants d'obtenir les droits root de vos serveurs.

C'est pourquoi il est important que vous procédiez aux actions suivantes :

  1. Vérifiez si votre système d'exploitation fonctionne avec une version du Kernel Linux allant de la version 2.6.31 -rc3 jusqu'à la version stable 3.14.3 et la pré-version 3.15-rc5.

Pour savoir quelle version du Kernel est installée sur votre système,
utilisez la commande suivante :

uname -a

  1. Si votre version est concernée par la faille, nous vous prions d'effectuer en urgence une mise à jour. Voici une commande que vous pouvez utiliser pour la mise à jour sur une distribution Ubuntu :

apt-get update && apt-get -y upgrade

Redémarrez ensuite votre serveur à l'aide de :

shutdown -rf now

Veuillez noter que pour les versions obsolètes du système d'exploitation,
la mise à jour risque d'être impossible. En cas de questions, veuillez vous
adresser à l'administrateur de votre serveur.

Cordialement,

Votre équipe 1&1 Internet

La version actuellement installée sur mon serveur est la 2.6.32-431.el6.x86_64 ; il s'agit de la dernière version disponible sur les dépôts officiels.

Déjà, puis-je faire la mise-à-jour directement depuis un dépôt yum (si oui lequel) ou me faudra-t-il la compiler à partir des sources ?

Ensuite, est-ce que je risque des incompatibilités avec certains paquets ? Je préfère être prévenu de toute éventualité puisque, ce serveur hébergeant les sites de mes clients, je dois limiter au strict minimum les indisponibilités.

Ce serveur fonctionne donc sous CentOS 6.5 et est géré avec Parallel Plesk 11.5.30

Merci.

  • # do the math

    Posté par . Évalué à 3.

    2.6.32 > 2.6.31-rc3 Pas la peine de changer.

    Sinon y'a des repo avec des noyaux plus récents (genre ELRepo).

    Niveau compatibilité, généralement pas de problème avec l'userland regarde juste les éventuels modules noyau installés séparément (les paquets kmod-*) qui ne seront pas compatible avec un noyau différent de celui de base.

    • [^] # Re: do the math

      Posté par . Évalué à 1.

      Merci pour la réponse, je vais regarder du côté de ELRepo.

      Par "version 2.6.31 -rc3 jusqu'à la version stable 3.14.3" j'avais compris qu'au delà de la version 2.6.31-rc3 seule la 3.14.4 était épargnée par la faille. Ce qui voudrait dire que la 2.6.32 l'est aussi.

      D'ailleurs si je tape :

      zgrep CONFIG_PERF_EVENTS /boot/config-*

      J'ai bien :

      /boot/config-2.6.32-431.11.2.el6.x86_64:CONFIG_PERF_EVENTS=y
      /boot/config-2.6.32-431.5.1.el6.x86_64:CONFIG_PERF_EVENTS=y
      /boot/config-2.6.32-431.el6.x86_64:CONFIG_PERF_EVENTS=y

      Ce qui, si j'ai bien compris, est la preuve de la vulnérabilité.

      • [^] # Re: do the math

        Posté par . Évalué à 3.

        OK j'ai lu à l'envers.

        Mais RedHat maintient le 2.6.32 donc la faille sera corrigée dedans aussi. Et probablement assez rapidement.

        • [^] # Re: do the math

          Posté par (page perso) . Évalué à 2. Dernière modification le 16/05/14 à 08:07.

          En complément "-431.el6" correspond au niveau de patch des mainteneurs de ta distribution; ceux-ci backports certains fixes et toutes les maj de sécurités tout au long de la durée de vie de la distribution.
          Le mieux est de chercher avec le code CVE afin de savoir dans quel niveau de "patch distrib" ta faille est comblée : https://access.redhat.com/security/cve/

          Is it a Bird? Is it a Plane?? No, it's Super Poil !!!

  • # Tu es certainement déjà protégé

    Posté par . Évalué à 4.

    Le message d'avertissement d'1and1 aurait dû être plus clair. Quand ils parlent de ces numéros de versions, ce sont les versions "upstream" c-à-d celles que tu télécharges sur kernel.org et que tu compiles toi-même.
    Mais comme l'a évoqué "M.Poil" ci-dessus, la plupart des distribution (et tout particulièrement Red Hat) backportent les patch de sécurité dans leur version antérieure qu'il package pour toi dans la distribution. Il est évident que le noyau 2.6.32 de RHEL 6 est truffé de patch de sécurité backporté. T'imagines sinon le nombre de faille qu'il y aurait dans le noyau RHEL ?!

    Donc tu peux dormir sur tes 2 oreilles en faisant simplement tes "yum update" réguliers.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.