Er is voor de tweede keer in korte tijd een veiligheidslek geconstateerd in de Linux kernel die te maken heeft met het volgen van zogenaamde NULL-pointers.

U zult uw VPS de komende dagen een halt moeten geven om de beschikking over een gepatchte kernel te krijgen. Donderdagavond vanaf 22:00 uur gaan wij alle machines een halt geven (en herstarten) die dit nog niet gedaan hebben. Als onze VPS klanten hebben hier ook een email over gekregen.

Alhoewel wij nog geen werkende exploit hebben gezien voor dit lek dat niet afhankelijk is van extra systeemcomponenten om root te verkrijgen, zijn er sterke indicaties dat dit ook zonder zulke software mogelijk moet zijn. Wij achten het risico daarom toch redelijk hoog.

We hebben voor al onze klanten een nieuwe kernel beschikbaar gemaakt. Om alle risico’s te vermijden raden wij mensen aan om op een geschikt moment hun Linux VPS een “shutdown -h” of “halt” te geven. Ons clusteringsysteem zal de uitgeschakelde virtuele machine zien, de nieuwe kernel er aan verbinden en de vps opnieuw opstarten.

Let op: Een reboot vanuit het control panel werkt niet, de vps uitzetten en als hij down is weer aanzetten via de XLS Interface werkt wel.

Als de machine niet onmiddellijk terugkomt, controleer dan met de System Console op de interface.xlshosting.com-site of de machine niet bezig is met een fsck (disk check). Machines die langer dan 180 dagen draaien zullen 15-30 minuten extra tijd nodig hebben om het filessyteem te checken.

Vanwege de potentiele ernst van het security-lek zullen wij in de nacht van donderdag op vrijdag de VPS-nodes die nog niet door klanten zelf naar de nieuwe kernel zijn geboot een reboot geven. Als dit voor uw server slecht uitkomt maar u voor die tijd ook geen kans om het te doen, neem dan contact op met onze helpdesk.

Voor de oplettende klanten: De nieuwe kernel identificeert zich als 2.6.18, waar de oude 2.6.20 heette. De nieuwe kernel is gebaseerd op die van RedHat Enterprise Linux en is, ondanks het lagere versienummer, voorzien van nieuwere patches en features.

Mensen die eigen kernels booten met behulp van pygrub zullen zelf moeten kijken of ze moeten upgraden. Ga er van uit dat alle kernels uit de 2.6-familie kwetsbaar zijn als ze langer dan 5 dagen geleden zijn uitgekomen.

Voor wat achtergrondinformatie over het exploiten van NULL-pointer dereferences, zie deze links:

http://lwn.net/Articles/342330/
http://blog.cr0.org/2009/06/bypassing-linux-null-pointer.html