CVE-2017-1000253 VPS aktualizacja kernela. Debian 8.5 jessie

Serwer vps www „prowizorka podłub zapomni💥” działa już +rok a tu niespodzianka, informacja o CVE-2017-1000253. Jak to naprawić ?

O złamaniu zabezpieczeń [>] WPA2 – Krack [>] jest już głośno ale to jednak inna informacja od firmy internetowej wysłana na pocztę :

Drogi Kliencie,

Pragniemy Cię poinformować, że wykryliśmy lukę w zabezpieczeniach jądra Linuksa, w związku z czym, niezwłocznie podjęliśmy działania w celu ochrony wszystkich systemów zarządzanych bezpośrednio… 

Luka w zabezpieczeniach oznaczona jako CVE-2017-1000253, umożliwia dostęp do przywilejów administratora i zagraża bezpieczeństwu Twojego serwera.

Szczegółowe informacje są dostępne pod TYM adresem

W przypadku serwerów wirtualnych VPS, hostingu i usług typu Cloud z systemem operacyjnym Linux zalecamy zabezpieczenie Twojego serwera.

Jeżeli masz dodatkowe pytania, zachęcamy do kontaktu z nami poprzez kontakt telefoniczny pod numerem …

lub skontaktowanie się z nami za pośrednictwem …

 

Co robić ?

Ale co to za Linux był na tym VPS ?

Po zalogowaniu na VPS np przez MobaXterm

uname -a
3.16.0-4-amd64 #1 SMP Debian 3.16.7-ckt25-2+deb8u3 (2016-07-02) x86_64 GNU/Linux

 

Debian ale co dalej, w jakiej wersji ?

lsb_release -a
Distributor ID: Debian
Description:    Debian GNU/Linux 8.5 (jessie)
Release:        8.5
Codename:       jessie

 

Poszukiwanie rozwiązania.

 

Debian 8.5 jessie CVE-2017-1000253

Wyszukiwarka odnajduję: https://security-tracker.debian.org/tracker/CVE-2017-1000253

Aktualne pracujące w systemie jądro/kernel z rakiem  3.16.7-ckt25-2+deb8u3  jest do wymiany.

Przed podejmowaniem zmian warto wykonać kopie bezpieczeństwa VPS tzw. snapshot.

 

Uaktualnienie

Potrzebna jest aktualizacja źródeł  „sources.list” z nowymi pakietami.

sudo nano /etc/apt/sources.list.d/sources.list

 

#nowy kernel CVE-2017-1000253 październik 2017
deb http://http.debian.net/debian jessie-backports main
deb-src http://http.debian.net/debian jessie-backports main

deb http://mirror.unitedcolo.de/debian/ jessie main
deb-src http://mirror.unitedcolo.de/debian/ jessie main

deb http://security.debian.org/ jessie/updates main
deb-src http://security.debian.org/ jessie/updates main

# jessie-updates, previously known as 'volatile'
deb http://mirror.unitedcolo.de/debian/ jessie-updates main
deb-src http://mirror.unitedcolo.de/debian/ jessie-updates main

#webmin
deb http://download.webmin.com/download/repository sarge contrib
deb http://webmin.mirror.somersettechsolutions.co.uk/repository sarge contrib

#php7
deb http://packages.dotdeb.org jessie all
deb-src http://packages.dotdeb.org jessie all

 

Czas na aktualizacje bazy:

sudo apt-get update
Pobieranie:12 http://http.debian.net jessie-backports/main Translation-en [627 kB]
Pobieranie:13 http://http.debian.net jessie-backports/main Sources [817 kB]
Pobieranie:14 http://http.debian.net jessie-backports/main amd64 Packages [910 kB]
Czytanie list pakietów… Gotowe

 

Ponad rok mają pakiety pobrane po instalacji. Czy po aktualizacji przed nowym kernelem nie rozsypie się sam Debian ? 💥

sudo apt-get dist-upgrade
Czytanie list pakietów… Gotowe
Budowanie drzewa zależności
Odczyt informacji o stanie… Gotowe
Obliczanie aktualizacji…Następujący pakiet został zainstalowany automatycznie i nie jest już więcej wymagany:
libossp-uuid16
Aby go usunąć należy użyć „apt-get autoremove”.
Gotowe
Następujące pakiety zostaną zaktualizowane:
apt apt-utils augeas-lenses base-files bash bind9-host binutils ca-certificates dbus debconf debconf-i18n
debian-archive-keyring dnsutils e2fslibs e2fsprogs eject exim4 exim4-base exim4-config exim4-daemon-light file
fontconfig fontconfig-config ghostscript git git-man gnupg gnupg-agent gnupg2 gpgv host imagemagick-common
initramfs-tools libapt-inst1.5 libapt-pkg4.12 libaugeas0 libbind9-90 libc-bin libc-dev-bin libc6 libc6-dev libcairo2
libcomerr2 libcurl3 libcurl3-gnutls libdbd-mysql-perl libdbus-1-3 libdns-export100 libdns100 libevent-2.0-5 libexpat1
libexpat1-dev libfcgi-perl libffi-dev libffi6 libfontconfig1 libfreetype6 libgcrypt20 libgd3 libgdk-pixbuf2.0-0
libgdk-pixbuf2.0-common libgnutls-deb0-28 libgnutls-openssl27 libgraphite2-3 libgs9 libgs9-common libgtk2.0-0
libgtk2.0-bin libgtk2.0-common libhogweed2 libicu52 libidn11 libintl-perl libio-socket-ssl-perl libirs-export91
libisc-export95 libisc95 libisccc90 libisccfg-export90 libisccfg90 libjasper1 libjbig2dec0 liblcms2-2 libldap-2.4-2
libltdl7 liblwres90 libmagic1 libmagickcore-6.q16-2 libmagickwand-6.q16-2 libmodule-build-perl libmysqlclient18
libnet-ssleay-perl libnettle4 libnginx-mod-http-auth-pam libnginx-mod-http-geoip libnginx-mod-http-image-filter
libnginx-mod-http-xslt-filter libnginx-mod-mail libnginx-mod-stream libonig2 libpam-modules libpam-modules-bin
libpam-runtime libpam0g libpcre3 libpng12-0 libpq5 libpython2.7 libpython2.7-dev libpython2.7-minimal
libpython2.7-stdlib librtmp1 libsqlite3-0 libss2 libssl-dev libssl1.0.0 libsystemd0 libtasn1-6 libtiff5 libtirpc1
libudev1 libxml2 libxpm4 libxslt1.1 linux-image-3.16.0-4-amd64 linux-libc-dev locales login multiarch-support munin
munin-common munin-doc munin-node munin-plugins-core munin-plugins-extra mysql-client-5.5 mysql-common mysql-server
mysql-server-5.5 mysql-server-core-5.5 nginx nginx-common nginx-full ntp openssh-client openssh-server
openssh-sftp-server openssl os-prober passwd perl perl-base perl-modules php7.0 php7.0-cli php7.0-common php7.0-curl
php7.0-fpm php7.0-gd php7.0-geoip php7.0-gmp php7.0-igbinary php7.0-imagick php7.0-json php7.0-mbstring
php7.0-memcached php7.0-mysql php7.0-opcache php7.0-readline php7.0-xml python-pil python2.7 python2.7-dev
python2.7-minimal rkhunter rpcbind sed sudo systemd systemd-sysv tar tzdata udev unzip vim vim-common vim-runtime
vim-tiny w3m webmin wget
191 aktualizowanych, 0 nowo instalowanych, 0 usuwanych i 0 nieaktualizowanych.
Konieczne pobranie 181 MB archiwów.
Po tej operacji zostanie zwolnione 2318 kB miejsca na dysku.
Kontynuować? [T/n] n
Przerwane.

Nowe pakiety NGINX, PHP, Python, Mysql czyli wszytko od czego zależy vps o profilu „www”. Nie zaryzykuję 4 potencjalne problemy na raz. 💥

 

A może tylko kernel zmienić ? Zakładając kompatybilność wsteczną. (marzenia ?)

sudo apt-cache search linux-image

„A co my tu mamy” ?

linux-headers-3.16.0-4-amd64 – Header files for Linux 3.16.0-4-amd64
linux-image-3.16.0-4-amd64 – Linux 3.16 for 64-bit PCs
linux-image-3.16.0-4-amd64-dbg – Debugging symbols for Linux 3.16.0-4-amd64
linux-image-amd64 – Linux for 64-bit PCs (meta-package)
linux-image-amd64-dbg – Debugging symbols for Linux amd64 configuration (meta-package)
linux-headers-4.9.0-0.bpo.3-amd64 – Header files for Linux 4.9.0-0.bpo.3-amd64
linux-headers-4.9.0-0.bpo.3-rt-amd64 – Header files for Linux 4.9.0-0.bpo.3-rt-amd64
linux-image-4.9.0-0.bpo.3-amd64 – Linux 4.9 for 64-bit PCs
linux-image-4.9.0-0.bpo.3-amd64-dbg – Debug symbols for linux-image-4.9.0-0.bpo.3-amd64
linux-image-4.9.0-0.bpo.3-rt-amd64 – Linux 4.9 for 64-bit PCs, PREEMPT_RT
linux-image-4.9.0-0.bpo.3-rt-amd64-dbg – Debug symbols for linux-image-4.9.0-0.bpo.3-rt-amd64
linux-headers-4.9.0-2-grsec-amd64 – Header files for Linux 4.9.0-2-grsec-amd64
linux-image-4.9.0-2-grsec-amd64 – Linux 4.9 for 64-bit PCs, Grsecurity protection
linux-image-grsec-amd64 – Linux image meta-package, grsec featureset
linux-image-rt-amd64 – Linux for 64-bit PCs (meta-package), PREEMPT_RT
linux-image-rt-amd64-dbg – Debugging symbols for Linux rt-amd64 configuration (meta-package)
linux-image-4.9.0-0.bpo.2-amd64 – Linux 4.9 for 64-bit PCs (signed)
linux-image-4.9.0-0.bpo.2-rt-amd64 – Linux 4.9 for 64-bit PCs, PREEMPT_RT (signed)

 

Instalacja z backports

sudo apt-get install -t jessie-backports linux-image-amd64
Czytanie list pakietów… Gotowe
Budowanie drzewa zależności
Odczyt informacji o stanie… Gotowe
Następujący pakiet został zainstalowany automatycznie i nie jest już więcej wymagany:
libuuid-perl
Aby go usunąć należy użyć „apt-get autoremove”.
Zostaną zainstalowane następujące dodatkowe pakiety:
firmware-linux-free irqbalance libnuma1 linux-base linux-image-4.9.0-0.bpo.3-amd64
Sugerowane pakiety:
linux-doc-4.9 debian-kernel-handbook
Zostaną zainstalowane następujące NOWE pakiety:
firmware-linux-free irqbalance libnuma1 linux-image-4.9.0-0.bpo.3-amd64
Następujące pakiety zostaną zaktualizowane:
linux-base linux-image-amd64
2 aktualizowanych, 4 nowo instalowanych, 0 usuwanych i 223 nieaktualizowanych.
Konieczne pobranie 38,6 MB archiwów.
Po tej operacji zostanie dodatkowo użyte 188 MB miejsca na dysku.
Kontynuować? [T/n]

NGINX ,PHP, Python, Mysql przeżyje bez zmian… .

 

Czy jest miejsce na dysku ?

df -h
System plików  rozm. użyte dost. %uż. zamont. na
/dev/dm-0        18G  5,4G   12G  33% /
udev             10M     0   10M   0% /dev
tmpfs           201M   26M  176M  13% /run
tmpfs           501M     0  501M   0% /dev/shm
tmpfs           5,0M     0  5,0M   0% /run/lock
tmpfs           501M     0  501M   0% /sys/fs/cgroup
/dev/sda1       461M   33M  405M   8% /boot

Wystarczy można kontynuować.

 

sudo apt-get install -t jessie-backports linux-image-amd64
Kontynuować? [T/n] t
Pobieranie:1 http://mirror.unitedcolo.de/debian/ jessie/main libnuma1 amd64 2.0.10-1 [32,5 kB]
Pobieranie:2 http://mirror.unitedcolo.de/debian/ jessie/main firmware-linux-free all 3.3 [19,1 kB]
Pobieranie:3 http://http.debian.net/debian/ jessie-backports/main irqbalance amd64 1.1.0-2~bpo8+1 [35,1 kB]
Pobieranie:4 http://http.debian.net/debian/ jessie-backports/main linux-base all 4.3~bpo8+1 [19,0 kB]
Pobieranie:5 http://http.debian.net/debian/ jessie-backports/main linux-image-4.9.0-0.bpo.3-amd64 amd64 4.9.30-2+deb9u5~bpo8+1 [38,5 MB]
Pobieranie:6 http://http.debian.net/debian/ jessie-backports/main linux-image-amd64 amd64 4.9+80~bpo8+1 [7108 B]
Pobrano 38,6 MB w 1s (34,7 MB/s)
Odczytywanie dzienników zmian… Zrobione

Ostrzeżenia:

linux-latest (76) unstable; urgency=medium
  * From Linux 4.8, several changes have been made in the kernel
configuration to 'harden' the system, i.e. to mitigate security bugs.
Some changes may cause legitimate applications to fail, and can be
reverted by run-time configuration:
– On most architectures, the /dev/mem device can no longer be used to
access devices that also have a kernel driver.  This breaks dosemu
and some old user-space graphics drivers.  To allow this, set the
kernel parameter: iomem=relaxed
– The kernel log is no longer readable by unprivileged users.  To
allow this, set the sysctl: kernel.dmesg_restrict=0
 — Ben Hutchings <[email protected]>  Sat, 29 Oct 2016 02:05:32 +0100
linux-latest (75) unstable; urgency=medium
  * From Linux 4.7, the iptables connection tracking system will no longer
automatically load helper modules.  If your firewall configuration
depends on connection tracking helpers, you should explicitly load the
required modules.  For more information, see
<https://home.regit.org/netfilter-en/secure-use-of-helpers/>.
 — Ben Hutchings <[email protected]>  Sat, 29 Oct 2016 01:53:18 +0100

i warto nacisnąć q -> quit – „WYJŚCIE” 

W INNYM PRZYPADKU NOWY KERNEL NIE ZAINSTALUJE SIĘ

apt-listchanges: Poczta do root: apt-listchanges: nowości dla komputera „twój VPS
Prekonfiguracja pakietów …
Wybieranie wcześniej niewybranego pakietu libnuma1:amd64.
(Odczytywanie bazy danych … 70631 plików i katalogów obecnie zainstalowanych.)
Przygotowywanie do rozpakowania pakietu …/libnuma1_2.0.10-1_amd64.deb …
Rozpakowywanie pakietu libnuma1:amd64 (2.0.10-1) …
Wybieranie wcześniej niewybranego pakietu firmware-linux-free.
Przygotowywanie do rozpakowania pakietu …/firmware-linux-free_3.3_all.deb …
Rozpakowywanie pakietu firmware-linux-free (3.3) …
Wybieranie wcześniej niewybranego pakietu irqbalance.
Przygotowywanie do rozpakowania pakietu …/irqbalance_1.1.0-2~bpo8+1_amd64.deb …
Rozpakowywanie pakietu irqbalance (1.1.0-2~bpo8+1) …
Przygotowywanie do rozpakowania pakietu …/linux-base_4.3~bpo8+1_all.deb …
Rozpakowywanie pakietu linux-base (4.3~bpo8+1) nad (3.5) …
Wybieranie wcześniej niewybranego pakietu linux-image-4.9.0-0.bpo.3-amd64.
Przygotowywanie do rozpakowania pakietu …/linux-image-4.9.0-0.bpo.3-amd64_4.9.30-2+deb9u5~bpo8+1_amd64.deb …
Rozpakowywanie pakietu linux-image-4.9.0-0.bpo.3-amd64 (4.9.30-2+deb9u5~bpo8+1) …
Przygotowywanie do rozpakowania pakietu …/linux-image-amd64_4.9+80~bpo8+1_amd64.deb …
Rozpakowywanie pakietu linux-image-amd64 (4.9+80~bpo8+1) nad (3.16+63) …
Przetwarzanie wyzwalaczy pakietu man-db (2.7.0.2-5)…
Przetwarzanie wyzwalaczy pakietu systemd (215-17+deb8u4)…
Konfigurowanie pakietu libnuma1:amd64 (2.0.10-1) …
Konfigurowanie pakietu firmware-linux-free (3.3) …
update-initramfs: deferring update (trigger activated)
Konfigurowanie pakietu irqbalance (1.1.0-2~bpo8+1) …
Konfigurowanie pakietu linux-base (4.3~bpo8+1) …
Konfigurowanie pakietu linux-image-4.9.0-0.bpo.3-amd64 (4.9.30-2+deb9u5~bpo8+1) …
I: /vmlinuz.old is now a symlink to boot/vmlinuz-3.16.0-4-amd64
I: /initrd.img.old is now a symlink to boot/initrd.img-3.16.0-4-amd64
I: /vmlinuz is now a symlink to boot/vmlinuz-4.9.0-0.bpo.3-amd64
I: /initrd.img is now a symlink to boot/initrd.img-4.9.0-0.bpo.3-amd64
/etc/kernel/postinst.d/initramfs-tools:
update-initramfs: Generating /boot/initrd.img-4.9.0-0.bpo.3-amd64
/etc/kernel/postinst.d/zz-update-grub:
Generating grub configuration file …
Znaleziono obraz Linuksa: /boot/vmlinuz-4.9.0-0.bpo.3-amd64
Znaleziono obraz initrd: /boot/initrd.img-4.9.0-0.bpo.3-amd64
Znaleziono obraz Linuksa: /boot/vmlinuz-3.16.0-4-amd64
Znaleziono obraz initrd: /boot/initrd.img-3.16.0-4-amd64
gotowe
Konfigurowanie pakietu linux-image-amd64 (4.9+80~bpo8+1) …
Przetwarzanie wyzwalaczy pakietu libc-bin (2.19-18+deb8u4)…
Przetwarzanie wyzwalaczy pakietu initramfs-tools (0.120+deb8u2)…
update-initramfs: Generating /boot/initrd.img-4.9.0-0.bpo.3-amd64
Przetwarzanie wyzwalaczy pakietu systemd (215-17+deb8u4)…

 

sudo apt-get clean

Zaraz na pewno coś zainstalował  ?

dpkg -l | grep linux-image

1. Gdy nie naciśnie się   q   przy ostrzeżeniach 

ii  linux-image-3.16.0-4-amd64       3.16.7-ckt25-2+deb8u3        amd64        Linux 3.16 for 64-bit PCs
ii  linux-image-amd64                3.16+63                      amd64        Linux for 64-bit PCs (meta-package)

Stara wersja 3.16.7-ckt25-2+deb8u3, 3.16+63 czeka na restart. = Błąd  ?

2. Poprawny komunikat :

i  linux-image-3.16.0-4-amd64       3.16.7-ckt25-2+deb8u3        amd64        Linux 3.16 for 64-bit PCs
ii  linux-image-4.9.0-0.bpo.3-amd64  4.9.30-2+deb9u5~bpo8+1       amd64        Linux 4.9 for 64-bit PCs
ii  linux-image-amd64                4.9+80~bpo8+1                amd64        Linux for 64-bit PCs (meta-package)

 

Finał

Niestety z MobaXterm nie przeprowadzi się restartu, trzeba zalogować się do konsoli z panelu dostawcy VPS.

panel Aruba

 

Konsola z panelu zarządzeniem VPS. Stary kernel jest widoczny. Jeżeli nie działa klawiatura jest ekranowa obsługiwana myszką.

sudo reboot

Na chwilę ciemność

VMWare

Grub – Można nacisnąć enter i system wystartuje z najnowszym jądrem

 

lub można sprawdzić ustawienia:

  • przy przerwanej instalacji kernela = brak ” q „

 

  • nie pominięte q – widoczny zainstalowany najnowszy kernel

 

Enter

Operacja

 udała się, pacjent żyje.

 

Sprawdzenie

uname -a
Linux 4.9.0-0.bpo.3-amd64 #1 SMP Debian 4.9.30-2+deb9u5~bpo8+1 (2017-09-28) x86_64 GNU/Linux

oraz w systemowej konsoli

Kernel 4.9 nie jest w 100% najwydajniejszym rozwiązaniem ale działa.

[>] Linux 3.9 To Linux 4.9 Kernel Benchmarks: Testing The 21 Last Kernels [>]

 

Ryzyko związane z CVE-2017-1000253 zminimalizowane, aż znów coś pęknie. 😅

 

Do następnej akcji. 😉

eXt73/Next73 zrobiłby to małym palcem u nogi 😉

 

Główne polecenia na podstawie:

https://gist.github.com/minazou67/4bf63b463347558f3f01

 

Edycja:

Dodanie przewijania długiej ściany komunikatów w małej ramce html

Elastycznie z określoną wysokością:

<div style=”width: fixed-ratio-resize; height: 300px; overflow: scroll;”> Przewijana ściana tekstu </div>

lub sztywne wartości:

<div style=”width:100px; height:100px; overflow: scroll;”> Przewijana ściana tekstu
</div>

 

Na podstawie http://forum.webhelp.pl [>]