Centre d'Assistance NUXIT

A votre service 7j/7 24h/24

Faille de sécurité GHOST

Ce mardi 27 janvier 2015, une nouvelle faille de sécurité critique dans Linux a été révélée. Cette faille, nommée ghost (un autre article explicatif ici), impacte tous les systèmes Linux, exception faite de la version non-stable de Debian. Cette faille tout à fait critique, permet à une personne malveillante (ou un programme) de prendre le contrôle de votre serveur.

L’objectif de cette documentation est de vous permettre de mettre à jour votre serveur dédié afin de corriger cette faille.

Les hébergements mutualisés ne sont pas concernés par cette documentation. La faille a été patchée par nos soin dès la publication des correctifs.

En cas de question ou de doute, notre support se tient à votre disposition.

Déterminer si votre serveur est vulnérable

Pour cela, vous devrez vous connecter en SSH sur votre serveur. Sous Windows, vous pouvez utilisez putty pour utiliser SSH.
Les identifiants pour la connexions vous ont été fournis dans le courriel reçu à la création de votre serveur.
En cas de doute n’hésitez pas à vous rapprocher de notre support qui se fera un plaisir de vous aider.

Une fois connecté en SSH sur votre serveur, effectuez la commande suivante :

apt-get install gcc && wget --quiet -O GHOST.c https://gist.githubusercontent.com/koelling/ef9b2b9d0be6d6dbab63/raw/de1730049198c64eaf8f8ab015a3c8b23b63fd34/gistfile1.c --no-check-certificate && gcc -o GHOST GHOST.c && ./GHOST

Cette commande va télécharger et exécuter le script de test.
Celui-ci devrait vous renvoyer un résultat de ce type :

not vulnerable

si votre serveur est immunisé ou déjà patché

et s’il ne l’était pas ; le message renvoyé sera alors :

vulnerable

Dans ce cas, il est important de patcher au plus vite.

Déterminer votre version de Debian

Afin de savoir quelle manipulation effectuer pour corriger cette faille, vous devez savoir quelle version de Debian vous utilisez.

Pour ce faire, connectez vous en SSH sur le serveur, et effectuez la commande suivante :

cat /etc/debian_version

Cette commande va vous retourner un numéro, tel que 7.6, 6.3, etc.
Ce qui compte est le premier chiffre avant la virgule, qui donne le numéro de votre version Debian.

  • 7.6 ⇒ Debian 7
  • 6.3 ⇒ Debian 6
  • etc

Si votre version de Debian était inférieure à Debian 6, nous vous invitons à vous rapprocher de notre support afin que nous puissions vous conseiller au mieux quant aux moyens à employer afin de sécuriser votre système.

Corriger sur Debian 7

A l’heure de la publication des patch, Debian 7 est la version stable de Debian, et celle proposée à la commande dans toutes nos offres de serveurs. En tant que version stable, celle-ci a donc bénéficié directement de la correction par les développeurs de Debian.

Afin de corriger la faille, vous devez de nouveau vous connecter en ssh sur le serveur.
Une fois cela fait, entrez les commandes suivantes :

apt-get install --only-upgrade libc-bin libc6

Puis, afin de finaliser la mise à jour, redémarrez votre serveur.

Corriger sur Debian 6

A l’heure de la publication de cet article, Debian 6 n’est plus la version stable de Debian.

Cependant, Debian 6 est la première version LTS de Debian, c’est à dire qu’elle profite d’un support rallongé des mises à jour de sécurité.
Ces mises à jour sont développée par une équipe indépendante de Debian 7 (stable), mais sont vérifiées et tout aussi fiable que les mises à jour de la version Debian 7 (stable).

Ce dépôt propose d’autres mises à jour que celle que nous évoquons aujourd’hui, et est compatible avec Plesk, vous pouvez donc également vous en servir pour vos autres mises à jour de sécurité

Voici les étapes à suivre pour bénéficier de ce patch.
Tout d’abord, vous devez vous connecter en SSH sur votre serveur, comme vu au chapitre 1

Une fois ceci fait, vous allez pouvoir rajouter le fameux dépot LTS à votre liste de dépôts disponibles :

echo "deb http://http.debian.net/debian/ squeeze-lts main" >> /etc/apt/sources.list

Puis, saisissez la commande :

apt-get install --only-upgrade libc-bin libc6

Puis, redémarrez votre serveur afin de finaliser la procédure.

Validation de la correction

Une fois que vous aurez effectué la mise à jour et le redémarrage de votre serveur, vous pourrez reproduire l’étape « Déterminer si votre serveur est vulnérable », afin de valider que vous avez bien « not vulnerable » d’affiché.

Ma version de Debian est antérieure à Debian 6

Nous vous conseillons, dans le cas où vous utilisez votre serveur pour une activité professionnelle, de vous tourner vers notre support afin que nous puissions vous accompagner dans les choix techniques à effectuer à l’issu de ce constat.

Laisser un commentaire

Vous devez être connecté à votre espace client pour déposer un commentaire.

Vous ne trouvez pas de solution ?