Guten Tag zusammen,

 

das Serverhosting-Team des RZ möchte Sie als Ansprechpartner und Kunde im Bereich „Managed Serverhosting“ auf einen sehr kritischen Exploit zu einer Sicherheitslücke auf 64 Bit Linux Systemen wie nachfolgend beschrieben hinweisen.

 

Diese Nachricht ist lediglich ein Hinweis für Administratoren entsprechender 64 Bit Linux Systeme, und betrifft nicht die Sicherheit der durch das RZ bereitgestellten Dienste aus dem Bereich „Managed Services“ http://www.rz.rwth-aachen.de/go/id/sex und „Managed Serverhosting“ http://www.rz.rwth-aachen.de/go/id/sec.

 

Wir bitten um Verständnis, wenn das RZ weiteren Fragen im Umgang mit dieser Sicherheitslücke nur in beschränktem Maße beantworten kann, und verweisen auf einschlägige Informationsquellen.

Sollten Sie trotzdem Fragen an das RZ in der Sache haben, wenden Sie sich bitte an unser Service Desk des RZ:

http://www.rz.rwth-aachen.de/aw/cms/rz/Themen/ServiceDesk/Kontakt/~syb/Kontakt/?lang=de

 

Mit freundlichen Grüßen

Ihr Serverhosting-Team des RZ der RWTH Aachen

 

 

CRITICAL Kernel Vulnerability: 64-bit Compatibility Mode Stack Pointer Corruption

Date: September 16, 2010

 

Background

==========

 

A vulnerability in the 32-bit compatibility layer for 64-bit systems has been reported. It is caused by insecure allocation of user space memory when translating system call inputs to 64-bit. A stack pointer corruption can occur when using the "compat_alloc_user_space" method with an arbitrary length input. This vulnerability has been labeled CVE-2010-3081.

 

A local root exploit for this issue is publically available, and has been verified to work on at least RHEL/CentOS/SLC 5 systems. It is likely that the vulnerability is present also on other distributions, even if this particular exploit doesn't work on them.

 

 

Recommendations

===============

 

EGI CSIRT has classified this as a critical vulnerability, and all sites should update their 64-bit machines in the EGI infrastructure as soon as vendor kernel updates are published and available.

 

A kernel update for SLC5 x86_64 is expected within a few hours.

 

EGI CSIRT will not issue any recommendation whether to drain queues and disable logins pending a kernel update; we defer to local site policy in this matter.

 

WLCG management is aware of the issue and will accept essential and related unscheduled downtime incurred while handling CVE-2010-3081.

 

 

References

==========

 

RedHat is recognizing the problem:

 

https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2010-3081