Beveiligingsonderzoekers hebben onlangs een ernstige kwetsbaarheid gevonden in de Linux kernel. Door misbruik te maken van deze kwetsbaarheid is het voor onbevoegden mogelijk om commando’s uit te voeren met de hoogste rechten, root. Deze kwetsbaarheid is zeer ernstig en er is nog geen update voor. Wel is er een mogelijkheid om ervoor te zorgen dat je niet kwetsbaar bent voor deze bug. Voor onze shared hosting servers en servers die voorzien zijn van ServicePlus is deze zogezegde workaround reeds doorgevoerd.
De gevonden bug zit in vrijwel alle Linux kernels sinds 2017 en vanwege de onderliggende oorzaak noemen de onderzoekers deze gevonden bug Copy Fail. Door misbruik te maken van deze bug is het dus mogelijk om allerlei commando’s uit te voeren waarvoor je normaal niet de rechten hebt. Om hier misbruik van te maken moet de gebruiker toegang hebben tot het systeem als reguliere gebruiker, maar dit kan in principe ook door malware op een gehoste website als deze een cron job weet aan te maken. Dus met name als je op server hosting aanbiedt voor derden is snelle actie vereist!
Shared Hosting
Neem je Basic hosting, Business Hosting of Reseller Hosting bij ons af? Dan hoef je jezelf geen zorgen te maken. Wij hebben gisteren op deze servers de nodige maatregelen getroffen. Mogelijk heb je hier hinder van ondervonden omdat een herstart noodzakelijk was. Excuses voor het ongemak. Echter hierdoor is misbruik van deze bug niet meer mogelijk. Veiligheid is wat ons betreft het meest belangrijk.
VPS met ServicePlus
Heb je een of meerdere eigen virtuele servers draaien met daarbij ServicePlus als extra dienstverlening? Dan hoef je jezelf geen zorgen te maken. Wij hebben op jouw server de nodige maatregelen getroffen omdat je ServicePlus afneemt. Hierover heb je gisteren dan ook al een e-mail ontvangen. De bug is niet meer te misbruiken op jouw server.
VPS zonder extra dienstverlening
Heb je een of meerdere eigen virtuele servers draaien waarvan je zelf het volledige beheer doet? Dan is er werk aan de winkel. Zodra de nieuwe kernel beschikbaar wordt gemaakt, is het voldoende om deze te updaten en daarna de server te herstarten. Aangezien deze voor AlmaLinux op dit moment alleen nog in de ’testing’ repository beschikbaar is, adviseren we je om de instructies te volgen zoals beschreven in dit blogartikel van AlmaLinux. Het volgen van deze stappen is echter wel geheel op eigen risico. Dit betreft een extern artikel waar wij geen enkele vorm van garantie op kunnen geven.
Mocht je liever geen testkernel draaien dan is er nog een andere tijdelijke maatregel die je kunt nemen om de kwetsbaarheid te verhelpen. De stappen die je hiervoor kunt nemen vind je in dit artikel onder de kop Temporary mitigation (if you cannot update immediately). Ook hiervoor geldt dat wij geen enkele vorm van garantie kunnen geven voor deze mitigatie.
