English below

Op de ‘Full Disclosure’ security-mailinglist is vorige week een exploit verschenen voor een veiligheidslek in 64-bits Linux kernels, gerelateerd aan de 32-bits emulatielaag. Deze exploit maakt het mogelijk om vanaf een account zonder privileges root-privileges te verkrijgen. Alle nu bekende 2.6 kernels, inclusief die geleverd zijn door XLS, hebben op dit moment dit probleem.

XLS kernel

Voor mensen die de XLS kernel gebruiken hebben we een patch uitgevoerd voor onze standaardkernels en deze voor onze klanten beschikbaar gemaakt. U kunt overstappen op de gepatchte, veilige, kernel door op een geschikt moment, maar liefst zo snel mogelijk, uw VPS een ‘halt’ te geven vanuit het root-account, waarna de VPS door ons fail-over systeem opnieuw wordt opgebracht met de nieuwe kernel. U kunt ook inloggen op de XLS interface en de VPS stoppen en daarna starten.

Eigen kernel of VPS mag niet down

Mensen die hun eigen kernel gebruiken moeten 32-bits support uitzetten. Er zijn namelijk nog geen officiele nieuwe kernelversies uitgebracht die dit probleem oplossen, waardoor ook de distro’s nog niet allemaal updates ter beschikking hebben kunnen stellen. Voor Debian, Ubuntu en CentOS zijn er inmiddels updates. Let op: op CentOS werkt ‘yum update’ niet zomaar. Neem contact met ons op hierover.

Door het onderstaande commando te geven kunt u tijdelijk support voor 32-bits binaries runtime (dus zonder shutdown/reboot) uitschakelen. Deze oplossing kan ook helpen voor klanten of die om operationele redenen niet onmiddellijk hun VPS down kunnen brengen.

echo ":32bits:M:0:x7fELFx01::/bin/logger:" > /proc/sys/fs/binfmt_misc/register

Fix for Linux kernel exploit

Last week someone posted an exploit to the ‘full disclosure’ mailinglist against the Linux 2.6 kernel, related to a bug in the 32 bits emulation layer. This is a privilege escalation bug that allows non-root users to gain root privileges. The issue affects all 2.6 kernels, including the kernels delivered by XLS.

XLS kernel

For people who use the XLS kernel we applied a patch to our stock kernels and made these available to our customers. You can change over to the patched kernel at a convenient time, although ideally as soon as possible, by issuing a ‘halt’ command from the root account. Our fail-over system will restart your VPS with the new kernel. You can also log in to the XLS interface to stop (and then restart) the VPS.

Custom kernel or critical uptime

People using a custom kernel will have to disable 32 bits support since there are no official new versions released yet by all distros (update: Debian, Ubuntu and CentOS have all released updated kernels). By issuing the following command you can temporarily disable 32 bits support in runtime (i.e., without shutdown/reboot):

echo ":32bits:M:0:x7fELFx01::/bin/logger:" > /proc/sys/fs/binfmt_misc/register

This is also a good temporary solution for people who cannot immediately shut down their VPS for operational reasons.