Bonjour,

Que quelques jours après la release de Debian 7.0 "Wheezy", l'équipe Proxmox a annoncé le premier "Release Candidate" de Proxmox VE 3.0. Puis ce mardi la version RC2, qui contient entre autre la mise a jour du noyau contre la dernière faille du kernel Linux.
Mardi aussi, nous avons sorti la Proxmox VE 3.0-rc2, mais pas encore eu l'occasion de l'annoncer... Donc voici:

Proxmox VE 3.0-rc2 est disponible!

Les nouveautés de la 3.0:
- basé sur Debian 7 "Wheezy"
- Des nombreuses mises a jour du noyau - Système de templates pour KVM et fonctionnalité de clonage (http://pve.proxmox.com/wiki/VM_Templates_and_Clones) - le service apache n'est plus nécessaire pour accéder a l'interface web - Pour la liste complète, je vous invite a vous diriger vers la Roadmap officielle: http://pve.proxmox.com/wiki/Roadmap#Proxmox_VE_3.0
Le noyau est testé sur nos gammes de serveurs dédiées et supporte la totalité du matériel proposé par OVH. Il sera possible de mettre a jour les versions "Release Candidate" vers la version stable quand elle sortira.

Pour mettre a jour une version 2.3 vers 3.0, il y a un guide spécifique: http://pve.proxmox.com/wiki/Upgrade_from_2.3_to_3.0 MAIS:
N'utilisez pas l'option "--purge" au script de mise a jour, comme celle-ci risque d’effacer des outils installées par nos soins strictement nécessaire (mdadm par exemple) et/ou très utiles (vim, smartmontools, ...).
Si vous avez une version antérieure a 2.3, il est nécessaire de mettre a jour vers 2.3 avant de passer en version 3. En cas de doute: une réinstallation via Manager sera peut-être plus simple qu'une mise a jour.

La version 2.3 n'est plus activement développé, mais restera a votre disponibilité dans Manager jusqu'après la release finale de Proxmox VE 3.0.

D'ici là Proxmox VE 3.0 est marqué comme "Alpha" dans l'interface de réinstallation. N'hésitez pas à nous transmettre vos remarques ici ou sur le forum: http://forum.ovh.com/showthread.php?t=XXXX
Cordialement,
Félix

Bonjour,

Un exploit vient d'être publié permettant à un utilisateur de passer root. Bien que nous n'ayons pas été formellement en mesure de le faire fonctionner sur un kernel GRSEC, l'exploit peut faire crasher le serveur dans certaines conditions.

Nous avons diffusé aujourd'hui le noyau 3.8.13. Toutes les distributions embarquant le noyau OVH, sont désormais livrées avec ce nouveau noyau.

Si votre serveur est configuré en netboot, vous n'avez qu'à le rebooter. Sinon, vous devez manuellement installer le nouveau noyau disponible ici : [GRS] ftp://ftp.ovh.net/made-in-ovh/bzImag...xx-grs-ipv6-64 [STD] ftp://ftp.ovh.net/made-in-ovh/bzImag...xx-std-ipv6-64

Pour les VM:
[GRS] ftp://ftp.ovh.net/made-in-ovh/bzImag...ps-grs-ipv6-64 [STD] ftp://ftp.ovh.net/made-in-ovh/bzImag...ps-std-ipv6-64


En plus de corriger la faille, le nouveau noyau apporte de meilleures performances, en particulier pour le réseau.

La Redhat RHEL 6.0 est vulnérable (pas la 5.0) ainsi que la plupart des noyaux de distribution.


*** Mitigation ***

Il semble qu'en modifiant le paramètre kernel.perf_event_paranoid l'exploit n'est plus fonctionnel : # sysctl kernel.perf_event_paranoid=2

Cela ne corrige pas la vulnérabilité ni le risque de crash.



Germain

Bonjour,
Toutes les bonnes choses ont parfois une fin.

La semaine passée nous avons informé nos clients de p19 (si si il en restait encore 1200 serveurs dédiés en production, le plus ancien .. 12 ans!) que nous allons devoir résilier le service de la location et d'hébergement (!!) de serveur dédié sur le p19. En effet, le DC p19 va avoir 10 ans dans quelques mois et il va devoir être progressivement remis au goût de jour technologique. Nous allons l'utiliser exclusivement pour l'hébergement mutu qui tourne désormais sur 4 important pCC dédié. Nous allons ajouter 4 autres pCC afin de proposer de l'hébergement mutualisé private .. Ceci permettra à nos client de rester dans un environnement managed et avoir de ressources dédiées et privées. les travaux vont commencer dans quelques semaines et vont prendre 18 mois (il y a 3 salles à refaire et on pense prendre 6 mois pour les refaire puis gérer les migrations de mutu entre les salles). PS. le service email sera migré à partir de la fin de l'année de p19 à GRA. p19 est en effet un petit DC de 12000 serveurs .. seulement.

Le RPS n'est plus commercialisé depuis 2011 et pour de raisons de sécurité de données, nous souhaitons mettre fin à cette offre pour tous les anciens clients. Les filers ont plus de 3 ans et il faudrait les mettre au goût du jour pour éviter des incidents futurs et éventuellement de pertes de données. On préfère arrêter l'offre.

Et le mC sera arrêté pour exactement les mêmes raisons que le RPS. En 2011 c'est la 1ere infra cloud que nous avons fait et c'est .. pas parfait. PS. le pCI 2013 sera proposé au départ à GRA puis SBG et BHS.

Nous remercions les clients qui nous ont fait confiance depuis toutes ces années de services sur le p19, RPS et mC. Aujourd'hui, nous avons plusieurs services qui répondent aux besoins assurés par ces 3 offres qui vont disparaître: KS, SP, EG, MG, HG, VPS, pCC, pCI etc.

Pour de clients qui ont payé d'avance, les sommes seront remboursées sur le compte prepaid ou par le virement.

Amicalement
Octave

Bonjour,
Pour changer le mot de passe de votre identifiant, il faut se rendre sur le site d'Ovh puis demander ce changement pour un identifiant donné. Un email est envoyé à l'adresse email de l'identifiant avec un URL unique à cliquer. Cet URL comporte 21 caractères générés au hasard. Les 21 caractères sont générés à partir de 3 algorithmes random différents qui génèrent chacun 7 caractères. Le client qui reçoit l'email peut alors cliquer sur l'URL puis récupérer le nouveau mot de passe de son identifiant. Un email de confirmation lui est envoyé disant qu'un changement de mot de passe a eu lieu. Dans tous les emails qu'Ovh envoie il y a l'IP de la personne qui a fait les démarches.

C'est une procédure qui a été mis en place il y a au moins 7 ans et n'a pas changé depuis.

Le 26 avril nous avons mis en évidence en interne un problème dans la génération de 21 caractères. Les 2 fonctions random sur 3 que nous avons utilisé dans ce code ne générait pas une vraie chaîne au hasard. On pouvait demander un changement de mot de passe pour un identifiant puis faire un brute force trouver l'URL "unique" qui est envoyé à l'email de l'identifiant. Le problème a été mis en évidence par un dev interne le 26 avril à 11:03:14 et il a été fixé à 12:54:13. L'origine du problème est lié à la fonction rand() utilisée dans cette partie du code qui n'a pas été patchée au même niveau que le reste du code lors de l'activation de cache d'exécution de script. Nous avons remplacé l'ancienne fonction de 3 chaînes de caractères donnant 21 caractères par 2 vraies fonctions random donnant 64 caractères.

Nous avons en suite lancé les recherches dans nos bases de données pour vérifier si la faille a été exploité et si oui quand. Pour cela nous avons remonté l'historique de changements de mots de passe de vos identifiants depuis 3 ans. Nous avons en effet l'autorisation de la CNIL d'archiver et d'exploiter tous les logs de notre backoffice sur 10 ans, justement pour ce genre de cas.

Nous avons retrouvé 3 identifiants avec les services actives qui ont eu un changement de mot de passe réalisé avec un brute force. Dans les 3 cas il s'agit d'une attaque ciblant la communauté "bitcoin" qui utilise les services chez Ovh. Le hacker semble avoir trouvé la faille le 23 avril à 22h00 et a fait pas mal de tests pour mettre au point sa méthode durant 1H. A 23H00 sa méthode était du point et il a hacké le 1er identifiant puis le jour suivant les 2 autres identifiants toujours de la communauté "bitcoin". Nous avons été en contact avec ces clients mais la qualité des échanges ne nous ont pas permit d'avoir suffisamment d'informations pour mettre en évidence une faille chez nous. Grâce à nos devs interne et de manière totalement indépendante nous avons fixé le problème puis seulement nous avons commencé à faire le rapport entre la faille qu'on venait de fixer et ces 3 clients. Nous avons certainement une leçon à tirer sur la manière de dialoguer avec de clients dans ce genre de cas.

Nous avons mis un peu de temps à communiquer car nous avons rapidement vu que l'impact était très réduit (3 identifiants) et nous avons voulu prendre le temps pour tout vérifier en profondeur et s'assurer qu'il n'y a que 3 clients de la communauté de "bitcoin" qui ont été touchés. On a terminé aujourd'hui les recherches jusqu'à 3 ans en arrière et on peut déjà en conclure qu'il n'y a pas d'autre clients impactés. Nous allons néanmoins terminer les recherches jusqu'à 10 ans pour trouver les éventuels brute force sur l'URL de changement de mot de passe, mais la probabilité est nulle.

Je pense que malgré le faible impacte vis à vis de nos clients, on se devait de vous informer de cet incident de sécurité que nous avons eu à gérer la semaine passée. Nous avons mis en place un code-review sur les très anciennes parties d'Ovh qui n'ont pas été réécrite depuis quelques années afin de bien vérifier qu'il n'y a pas d'autres impacts. Nous sommes en train de voir comment on peut améliorer la communication entre Ovh et les clients dans ce genre de cas de figure sachant que 2 clients sur 3 sont les clients de nos filiales.

Résumé:
Oui, nous avons eu une faille de sécurité permettant à travers une procédure assez complexe incluant un brute force, de changer le mot de passe d'un identifiant. On conseille aux clients qui ont de services sensible de limiter les accès aux manager à certaines IP seulement.

Oui, 3 clients de la communauté "bitcoin" ont été impactés par cette faille de sécurité. Il est important de lire les emails qu'ovh envoie de manière automatique notamment des emails de changements de mots de passe qui ne sont pas initialisés par vous et les emails confirmant le changement de mot de passe. Dans ce cas de figure, il ne faut pas hésiter de nous appeler sur notre support incident 24/24 qui va bloquer votre compte le temps de clarifier la situation.

Non, il n'y a pas eu de vol de notre base de clients.

Non, il n'y a pas eu d'impact sur les autres clients.

Nous sommes sincèrement désolés pour les 3 clients qui ont été impactés et nous les invitons à prendre contact avec nos équipes commerciales (en français).

Amicalement
Octave

Bonjour,
Nous avons plaisir de vous annoncer
la naissance d'un nouveau serveur:

mini HG

Comme son grand frère, LE HG, le mini HG est un serveur avec une vraie double alimentation dans le châssis. Il est aussi hébergé dans un DC Tier-4, c'est à dire avec 2 arrivées électriques
indépendantes. Il est aussi connecté en 10G et on le fournit avec du 300Gbps garantis et dispose de 2 CPU Xeon.

La difference entre le miniHG et le
HG est que le miniHG n'est pas
personalisable alors que le HG l'est à la commande et au tout au long
de sa vie. Le mini HG est tel que
comme le SP, le EG ou le MG. D'où
son prix très intéressant .. :)

Le mHG-128G a 128Go de RAM, 2 disques 600Go SAS connectés sur une Mega RAID HARD 0/1/5/6/50/60 avec une pile,
l'IMPI etc. On le propose à 199e/mois sans frais d'installation.

Le mHG-256G a 256Go de RAM, 2 disques 600Go SAS connectés sur une Mega RAID HARD 0/1/5/6/50/60 avec une pile,
l'IMPI etc. On le propose à 299e/mois sans frais d'installation.

Les 2 serveurs sont disponibles en
quantité réduite (moins de 50
serveurs). Si l'offre plaît on va
industrialiser la production de
ce type de serveurs.

En savoir plus:
http://www.ovh.com/fr/serveurs_dedies/mini-hg-128g.xml http://www.ovh.com/fr/serveurs_dedies/mini-hg-256g.xml

Amicalement
Octave

Bonjour,

Ce midi, l'équipe Ubuntu a publié la nouvelle version de Ubuntu: Ubuntu 13.04! Celle-ci porte le nom:
Raring Ringtail

et est désormais disponible chez OVH!
Il s'agit d'une distribution qui sera supportée pendant seulement 9 mois, soit jusqu'en Janvier 2014. Si vous savez déja que vous n'allez pas vouloir faire de "dist-upgrade" dans si peu de temps, nous vous recommandons la version 12.04 ("Precise Pangolin") qui aura du support jusqu'en Avril 2017.

Parlant du sujet "End Of Life", 3 versions de Ubuntu seront retirées d'ici peu, avec leur date de EOL le 9 Mai: - 8.04 Server LTS
- 10.04 Desktop LTS
- 11.10 Server


Comme toujours, c'est une install de base avec seulement les services pour SSH et DNS pré-installés. Elle est disponible en 32 bit et 64 bit a la réinstallation ainsi qu'a la commande pour tout les serveurs.

La récente addition du choix du noyau de distribution y est intégré.
La nouvelle Ubuntu est actuellement en BETA, n'hésitez pas à nous transmettre vos remarques ici ou sur les mailinglists.

Cordialement,
Félix