Ce Mercredi, les équipes d’OVH publiaient un message informant ses clients de la découverte d’un exploit :

Un exploit vient d’être publié permettant à un utilisateur de passer root.
Bien que nous n’ayons pas été formellement en mesure de le faire fonctionner sur un kernel GRSEC, l’exploit peut faire crasher le serveur dans certaines conditions.

Nous avons diffusé aujourd’hui le noyau 3.8.13. Toutes les distributions embarquant le noyau OVH, sont désormais livrées avec ce nouveau noyau.

Si votre serveur est configuré en netboot, vous n’avez qu’à le rebooter. Sinon, vous devez manuellement installer le nouveau noyau
[Local linux root exploit 2.6.37 à 3.8.8 sur Forum.OVH.net]

N’étant pas configuré en netboot et un uname -r m’ayant révélé que le noyau de ma Debian était pile dans l’intervalle, j’ai immédiatement (sur)réagi.

Ayant rapidement trouvé des tutoriels expliquant comment réaliser cette mise à jour, je les trouvais soit trop complexes par rapport à la tache réellement effectuée (risque de modifier des choses n’ayant pas besoin de l’être), soit pas assez clairs.

Et puis je suis allé sur le Wiki d’OVH.

Pour ne plus avoir à chercher plus tard, je me fais une petite note ici que je partage.

Commencer par choisir la version souhaitée sur les dépôts OVH : ftp://ftp.ovh.net/made-in-ovh/bzImage/

Connecté en SSH, se placer dans le répertoire boot et télécharger les deux fichiers suivants correspondant à la version choisie :

cd /boot
wget ftp://ftp.ovh.net/made-in-ovh/bzImage/x.y.z/System.map-a.b.c-xxxx-grs-ipv6-64
wget ftp://ftp.ovh.net/made-in-ovh/bzImage/x.y.z/bzImage-a.b.c-xxxx-grs-ipv6-64

Puis mettre à jour Grub :

update-grub

Vérifier que cela s’est bien passé en regardant la version indiquée dans la configuration de Grub :

nano /boot/grub/grub.conf

Redémarrer le serveur et… prier !

Une fois le serveur démarré, confirmer la version du noyau :

uname -r

Voilà.