OVH Community, your new community space.

Nouvelle et méchante faille de sécu


xavier.f
12/02/2015, 13h14
Bonjour,

Je voulais dire 'réapprovisionner". Entre temps j'ai découvert www.availability.ovh, nice.
Merci pour les infos Janus.

janus57
04/02/2015, 17h06
Citation Envoyé par xavier.f
merci pour vos réponses, ça m'aide à y voir plus clair.
Les srv SSD sont renouvelé régulièrement ? Parce que 200 Go + espace de backup ça reste plus qu'assez pour mes besoins.
Bonjour,

vous entendez quoi par "renouvelé" ?
Si vous entendez mise à disposition ou upgrade de l'offre je pense que la réponse est non.

De plus les 200Go est dans le cas d'un RAID5, sinon en RAID1 c'est 120 Go brute (faur enlever formatage + partitionnement) + 120Go additionnel sur le 3ième SSD ou le 3ième SSD est aussi mis dans la grappe du RAID1 et prendra le relais dès que l'un des 2autres SSD se mettra en défaut soit carrément mettre les 3 SSD en RAID1 (3x plus de perf en lecture, mais 0 gain en écriture).

Sinon il faut aussi faire attention au RAID, car sur internet pas mal de monde disent qu'il faut éviter le RAID5 et RAID6 sur SSD et qu'il faut préférer du RAID 1 ou RAID10, après cela reste à confirmer via des benchs/études poussé.

Cordialement, janus57

xavier.f
04/02/2015, 16h14
merci pour vos réponses, ça m'aide à y voir plus clair.
Les srv SSD sont renouvelé régulièrement ? Parce que 200 Go + espace de backup ça reste plus qu'assez pour mes besoins.

janus57
04/02/2015, 14h49
Citation Envoyé par xavier.f
Ok merci.
En fait je me demande quand même si le ssd est vraiment nécessaire. C'est pour un server web (une dizaine de site "moyen" en Drupal)
mon kimsufi actuel est un intel core i3-3240 16G. peut-être le sys-ip-1 serait déjà suffisant..
Bonjour,

du SSD peut être pratique pour les BDD qui on une "bonne" charge, ici si tous les sites fonctionnent bien sur du KS en HDD autant rester en HDD, non ?
Ah moins que dans le futur tu prévois une charge SQL plus élevé car un site risque d'avoir du succès.

Pour tenter de "compenser" le fait que ce sont des HDD et on des SSD, tu peu à la limite voir pour maximiser le cache RAM (sur PHP y a "opcache" ou "XCache") et après niveau MySQL faut faire du "fine tunning" pour l'optimiser et pour le reste l'os doit pouvoir gérer tout seule.

P.S. faut éviter les Rx de OVH (R2/R3 et futur), car comme vous pouvez le constater, pour le maintient dans le temps c'est pas le top et là on peu dire que la R3 est déjà obsolète (CentOS 7 succède à CentOS 6 utilisé par la R3 et PHP5.3 est au stade "EOL").

Donc pour le choix SSD vs HDD il faut juste prendre en compte les besoins des sites sur votre serveur et surtout voir l'évolution de ces sites.

Si vous n'avez besoin que de +/- 10 Go de disque (fichiers + BDD) par sites soit +/- 100Go nécessaire plus l’accroissement naturel du site (+ XGo par jours/mois/année), donc après faut pas oublier que 3 SSD en RAID5 donne +/- 200-220 Go (après formatage et partitionnement).

Donc du SSD c'est petit et puissant et c'est surtout votre SGBD qui va être content.
Par contre du HDD c'est et moins puissant qu'un SSD, mais peu suffire dans pas mal de cas si on optimise les principaux logiciels du serveur.

Donc SSD ou HDD à vous de voir en fonction de vos besoins mais dans les 2 cas c'est plus puissant que votre KS, faut juste prendre en compte l'espace disque nécessaire.

Cordialement, janus57

BBR
04/02/2015, 14h40
j'ai un IP2, ça marche très bien, Drupal est gourmand vu l'usine à gaz que c'est ^^


SD90078-OVH
04/02/2015, 14h36
Un sys-ip-1 est plus puissant que ton actuel.
Si tu n'a pas de grosses évolution de charge prévu, prend le

xavier.f
04/02/2015, 14h13
Ok merci.
En fait je me demande quand même si le ssd est vraiment nécessaire. C'est pour un server web (une dizaine de site "moyen" en Drupal)
mon kimsufi actuel est un intel core i3-3240 16G. peut-être le sys-ip-1 serait déjà suffisant..

BBR
04/02/2015, 13h32
et c'est 3 disques donc tu auras soit 120 Go si tu mets en Raid 1 soit 240 Go si tu mets en Raid 5 (on oublie les raid 0)
ou alors raid 1 sur 2 disques (regarder les perfs pour en mettre 2 équivalents) et garder l'autre pour un backup par exemple

BBR
04/02/2015, 13h23
ahhh... justement ceux-là c'est un peu galère de les chopper

xavier.f
04/02/2015, 13h12
E3-SSD-1 ou 2

BBR
04/02/2015, 13h08
tu cherches à avoir lequel ?
Pour certains c'est quasi mission impossible...

xavier.f
04/02/2015, 12h28
j'y compte bien.. mais les soyoustart sont pas ruptuuure.

BBR
04/02/2015, 06h53
Citation Envoyé par xavier.f
bonsoir,
Auriez-vous qques conseils supplémentaires, svp ?
oui, en profiter pour changer de distribution avant que la catastrophe arrive...

xavier.f
03/02/2015, 23h03
bonsoir,
dans l'impossibilité d'appliquer le patch actuellement (suite à un emerge? probablement), on m'a conseillé d'essayer de passer le profil à un profil 2013 avec la commande eselect profile set default/linux/amd64/13.0/desktop et de relancer ensuite la patch.

J'ai pris mes précautions, full backup + /lib et /usr/lib* mais il d'autre manip à faire ?
Pour revenir en arrière est-ce qu'en théorie je n'aurai qu'a remettre les repertoires lib ?

Auriez-vous qques conseils supplémentaires, svp ?

xavier.f
03/02/2015, 13h49
J'ai pris contact avec le support (qui a été incroyablement réactif et disponible. Un grand merci!).

Alors mon portage & make.profile ont été modifiés. résultat le patch ne passe pas. J'ai une solution à tester (utiliser le profil 2013).
je vous tiens au courant mais si vous avez d'autres conseils, je ss preneur..

ps: OVH à maj le patch pour revenir à la 2.35 en cas d'erreur.
donc si vous avez téléchargé le fichier (avant le 03/02/2015 13h00) mais pas encore lancer le patch.. n'oubliez pas de le retélécharger.

SD90078-OVH
03/02/2015, 08h20
tu as regardé la version de glibc ?

BBR
03/02/2015, 00h35
c'est ovh qui a fourni le test, pas moi ^^

xavier.f
02/02/2015, 22h33
bonjour,

j'ai appliqué le patch.et rebooter le server (r2)
#cat /etc/ovhrelease sort bien la 2.36

mais je suis toujours vulnérable (selon le test fournit par bbr)

nowwhat
02/02/2015, 22h04
Citation Envoyé par janus57
echo '# as soon as possible. #'
Apparemment, pour certains, ce moment n'arrive jamais.
C'est donc leur 'OS' qui décide pour eux .....

C'est maintenant chaque jour qu'un 'avion' R2 tombe du ciel.
Par coïncidence, leur admin ne visite jamais ce forum. Par coïncidence, ils n'ont pas de sauvegarde.
C'est triste ....

BBR
02/02/2015, 16h54
voilà le patch release 2 est sorti :
http://travaux.ovh.net/?do=details&id=12520
on résume :
Code:
wget ftp://ftp.ovh.net/made-in-ovh/release/beta/patch-2.35-2.36.sh
chmod +x patch-2.35-2.36.sh
sh patch-2.35-2.36.sh
Code:
reboot
puis pour tester :
Code:
wget ftp://ftp.ovh.net/made-in-ovh/security/GHOST.c
gcc -o GHOST GHOST.c
./GHOST

SD90078-OVH
30/01/2015, 11h53
attention a PHP et WordPress en particulier qui font appel a la fonction.
http://blog.sucuri.net/2015/01/criti...-released.html

php -r '$e="0";for($i=0;$i<2500;$i++){$e="0$e";gethostbyn ame($e); }'
si vous avez un segfault, vous êtes vulnérable.

pascaltits
29/01/2015, 20h40
Merci

Marche très bien et cela met à jours un paquet de chose.

Pascal

janus57
29/01/2015, 20h08
Bonjour,

Citation Envoyé par Fabian
Pour la R3, voici la procédure :

/usr/bin/yum update, puis redémarrer tous les services
(possible de vérifier quels services utilisent l'ancienne version avec: lsof -bn 2>/dev/null | grep DEL | grep /lib
Le conseil est de redémarrer TOUS les services voir même rebooter le serveur

Fabian
Cf : http://forum.kimsufi.com/showthread....l=1#post188848

C'est ça le "patch R3".

Cordialement, janus57

pascaltits
29/01/2015, 19h50
merci Fabian,
Un patch en releace3 est-il prévu ? histoire de rester en releace3.
sinon il y a aussi webmin dans "- Software Package Updates" qui propose tout un tas de mise à jour.

Merci

SD90078-OVH
29/01/2015, 10h53
j'ai vérifié, je confirme, pour recharger la nouvelle librairie, il faut redémarrer les services, sauf que le lib est chargée par des trucs très bas niveau.
donc reboot.

BBR
29/01/2015, 08h22
d'après ce qui est passé sur sd-pro, le patch est en test, l'annonce sera surement faite dès que ce sera ok (du moins je suppose).
laisser la possibilité de réinstaller en R2 pour les serveurs qui sont sur cette distribution et sortir des patch pour les (grosses) failles c'est conforter les gens sur le fait qu'il n'est pas utile de changer, m'enfin ce n'est que mon avis ^^

cassiopee
29/01/2015, 00h36
Huhu

janus57
29/01/2015, 00h06
Citation Envoyé par cassiopee
Je vois qu'un patch 2.35 -> 2.36 est sorti aujourd'hui mais pas trop d'explications dans le site FTP d'OVH

ftp://ftp.ovh.net/made-in-ovh/release/
Bonjour,

mais au moins on peu voir ceci dans le patch :
echo '================================================= ========================'
echo '# #'
echo '# /!\ W A R N I N G /!\ #'
echo '# #'
echo '#================================================ =======================#'
echo '# #'
echo '# You are using OVH Release 2, which is now beyond its end of life. #'
echo '# Please consider using a more recent distribution on your server #'
echo '# as soon as possible. #'
echo '# #'
echo '================================================= ========================'
Cf : ftp://ftp.ovh.net/made-in-ovh/releas...h-2.35-2.36.sh

Ce qui je pense est relativement explicite.

Cordialement, janus57

cassiopee
28/01/2015, 23h22
Citation Envoyé par BBR
pour les irréductibles qui ont encore un release 2, ovh est en train de tester un patch.
Je vois qu'un patch 2.35 -> 2.36 est sorti aujourd'hui mais pas trop d'explications dans le site FTP d'OVH

ftp://ftp.ovh.net/made-in-ovh/release/

BBR
28/01/2015, 20h33
pour les irréductibles qui ont encore un release 2, ovh est en train de tester un patch.

watcha
28/01/2015, 14h56
la meilleure façon de procéder serait de redémarrer tous les serveurs après l'application de la mise à jour, et, au minimum, les serveurs web et de messagerie.
(Mattias Eniar, ingénieur système)
Source : http://www.lemondeinformatique.fr/ac...ion-60050.html

Fabian
28/01/2015, 14h07
Pour la R3, voici la procédure :

/usr/bin/yum update, puis redémarrer tous les services
(possible de vérifier quels services utilisent l'ancienne version avec: lsof -bn 2>/dev/null | grep DEL | grep /lib
Le conseil est de redémarrer TOUS les services voir même rebooter le serveur

Fabian

BBR
28/01/2015, 10h17
tester les versions selon les distributions
https://www.digitalocean.com/communi...-vulnerability

nonohzx
27/01/2015, 23h06
Merci pour le partage BBR Mise à jour faite !

BBR
27/01/2015, 18h41
sur debian et ubuntu il y a les patches

janus57
27/01/2015, 18h21
Bonjour,

MAJ déjà distribué sur les dépôts officiel de Debian
Pas encore vu que les dépôts de Ubuntu (sur un PC desktop, mais cela n'a pas d'incidence normalement, par contre j'ai pas vérifié si j'ai le package, mais logiquement, oui).

Et quid de la R3 ?

Cordialement, janus57

BBR
27/01/2015, 18h12
Mettez vos serveurs à jour
http://www.globalsecuritymag.fr/Qual...127,50291.html