Qualys vient de lever le voile sur une faille de sécurité critique touchant la glibc, la bibliothèque C de base des systèmes Linux. La vulnérabilité Ghost permet de prendre le contrôle d’un système à distance, sans même connaître ses identifiants administrateur.
La faille référencée sous le code CVE-2015-0235 à été prise en compte par nos services dès Vendredi 30/01/2015. Aucun correctif fiable n’étant alors disponible, l’intervention est reportée à Lundi.
Lundi 02/02/15 08H00 : Un correctif de sécurité étant disponible pour Centos et Debian l’ensemble de notre parc serveurs à été mis à jour.
Lundi 02/02/15 14h00 : Le nécessaire a été fait pour patcher l’ensemble de nos clients VPS. Utilisant aussi bien des distributions Debian, qu’Ubuntu, que Centos, que Suse ou Fedora.
Seul les clients utilisant Debian 5 (ou Lenny), Debian 4 (ou Etch), Ubuntu 11.10 (ou Oneiric) et Ubuntu 10.10 (ou Maverick) n’ont pas été mis à jour. Ceux-ci étant trop ancien pour profiter d’un patch de sécurité.
Si vous êtes sur l’une de ces formules nous vous invitons à prendre contact avec notre service technique afin d’obtenir des informations sur les procédures à suivre pour migrer votre serveur vers une version stable.
Dans tous les cas , si vous avez le moindre doute sur la sécurité de votre machine, vous pouvez suivre les procédures décrites ici : https://www.cyberciti.biz/faq/cve-2015-0235-patch-ghost-on-debian-ubuntu-fedora-centos-rhel-linux/
Prenez contact avec notre service technique pour obtenir plus d’informations au sujet de la sécurité de votre serveur.