lek...

Als je VPS Windows draait, is er niets aan de hand. Nou ja, afgezien dan van het feit dat je Windows draait. ;-)

Verder zou ik zeggen dat een VPS júist kwetsbaar is, zeker als je self-managed hosting hebt, waarbij je dus zelf verantwoordelijk bent voor het installeren van updates.

De bug in kwestie maakt het mogelijk om in sommige gevallen commando's door te geven aan de shell, terwijl dat eigenlijk niet zou moeten kunnen. Met een beetje fantasie kun je denk ik zelf wel bedenken wat voor mogelijkheden dat biedt.

Gezien het tijdstip heb ik weinig zin om uit te zoeken in hoeverre het lek ook daadwerkelijk misbruikt kan worden. Maar voor de zekerheid stel ik mijn slaapmomentje nog een half uurtje uit om onze servers in het publieke subnet van een update'je te voorzien (lang leve IVT met zijn key-broadcast).

Er worden nu al een hoop attacks op .cgi-scripts gedaan via gewijzigde useragents. Dus updaten raad ik snel aan.

Voor CentOS is het een simpele:

yum update bash

Verder ligt de tweede patch al klaar, die op dezelfde wijze uit te voeren is.

>> Als je VPS Windows draait, is er niets aan de hand. Nou ja, afgezien dan van het feit dat je Windows draait. ;-)

Maar als ie Linux draait toch wel?

>> Maar voor de zekerheid stel ik mijn slaapmomentje nog een half uurtje uit om onze servers in het publieke subnet van een update'je te voorzien (lang leve IVT met zijn key-broadcast).

Nou, is dit topic toch nog ergens goed voor :)

>> yum update bash

Kun je zo'n update commando altijd uitvoeren? Ook als er geen update is? Is het echt zo simpel? Dat valt dan nog mee... en voer je dat dan als root uit? Ik moet mijn vps nog bestellen, maar ik ben wel benieuwd of de hoster nu al z'n images heeft aangepast naar aanleiding van dit lek...

[size=xsmall]Toevoeging op 26/09/2014 11:39:12:[/size]

P.S.

Zouden we hier eigenlijk niet een "officieel" topic moeten hebben waarop je een lek kunt melden? Lijkt me wel erg nuttig eigenlijk...

Zo'n update kan je altijd uitvoeren, je moet wel root-rechten hebben uiteraard.
Als er geen update klaarstaat, dan meldt hij dat ook netjes.

Ah oke... thanks Aar!

> Nou, is dit topic toch nog ergens goed voor :)

Jep, voor het genereren van slaaptekort...

[size=xsmall]Toevoeging op 26/09/2014 12:15:34:[/size]

> Er worden nu al een hoop attacks op .cgi-scripts gedaan via gewijzigde useragents.

Ik heb ze inderdaad al zien langskomen...

:)

Is het niet dat als je een VPS neemt je ook wel een beetje verstand moet hebben van de commandline?
Lijkt mij toch wel een beetje logisch, maar ik kan het verkeerd hebben.

Een beetje wel... maar veel dingen regel je (in mijn geval) via een panel. En dan heb je met de commandline niet zoveel te maken. Maar er zijn ook genoeg mensen die alles via de commandline doen...

Bij DirectAdmin moet je de updates wel via de commandline doen. Gelukkig hebben ze een eigen script (Custombuild) waarmee je heel eenvoudig met een paar commando's iets kan updaten.

Webhosting bieden VPS'sen in twee gradaties aan:
Managed en Non-Managed
Bij de eerste zal je geen root-access hebben en zal de webhoster zelf updates doorvoeren volgens overeenkomst. En bij de tweede ben je zelf helemaal verantwoordelijk. het spreekt voor zich dat de Managed duurder is.

Als je de VPS zelf beheert, dan moet je heel goed op de hoogte blijven van security-leaks en patches. Het supportforum van het control-panel die je gebruikt, evenals de Engelse Webhostingtalk zijn beide al goede kanalen.