OVHcloud Bare Metal Cloud Status

Current status
Legend
  • Operational
  • Degraded performance
  • Partial Outage
  • Major Outage
  • Under maintenance
CVE-2018-5390 - Linux Kernel 4.9+
Scheduled Maintenance Report for Bare Metal Cloud
Completed
A design flaw affecting Linux Kernels 4.9 and above has been accounced and can cause unavailability on your server.

a. What's going on technically ?

A Denial of Service can be initiated due to a TCP/IP stack issue in the Linux Kernel.
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-5390

The algorithm managing the fragmented TCP packets turned out not to be efficient enough when it is about tyding up many packets with random sequence identifiers. A Denial of Service attack could be possible following a too high CPU usage.

b. What's the impact ?

The impact is only about availability of your services.
This CVE is not about corruption, data loss or privilege escalation.

c. What services are impacted ?

Only servers and virtual machines running a Linux Kernel 4.9 and above with a TCP port exposed on the Internet, without any firewall, are concerned. Note that the OVH IPLB (IP LoadBalancer) mitigates the issue.

Some services, which are entirely managed by OVH, will not require any manipulation on your part: Domains, Metrics and Logs Data Platform, xDSL, VoIP, DBaaS, OVH Load Balancer, vRack, Exchange, MX Plan, Web Hosting, Cloud Desktop, VDI, CDN, Swift, CEPH, NAS-HA, Public Cloud Storage and Public Cloud Archive.
The Windows platforms are not impacted too.

To determine whether you service is impacted or not, you can have a look to this guide: https://docs.ovh.com/ie/en/dedicated/updating-kernel-dedicated-server/#identify-the-kernel

d. How to mitigate the issue ?

If your service is concerned, we recommend you to upgrade your kernel as soon as possible:
- For Dedicated Servers customers, kernels 4.9.118 and 4.14.61 are available on our mirrors and mitigates the issue. This guide will help you get through the process : https://docs.ovh.com/ie/en/dedicated/updating-kernel-dedicated-server/
- For Public Cloud and VPS customers, We are following official distributions recommendations. This mean that as soon as editors have patched their distributions, you will be safe. Note that Debian has already published the mitigation.
- For Private Cloud customers, we recommend you to upgrade your kernel by using the last upstream version.

------------ FR -------------

Un défaut de conception dans les noyaux Linux a été identifié et peut engendrer un problème de disponibilité de votre serveur.

a. De quoi s'agit-il techiquement?

Il s'agit d'un Déni de Service lié à un défaut de conception dans la pile TCP/IP du Kernel.
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-5390

L'algorithme de gestion des paquets TCP fragmentés s'avère peu performant lorsqu'il est soumis au réordonnancement de beaucoup de paquets ayant des numéros de séquence qui ne se suivent pas. Un risque de \"Déni de Service\" est donc possible faisant suite à une sollicitation CPU trop importante.

b. Quel est l'impact ?

L'impact réside uniquement dans la disponibilité de vos services.
Il ne s'agit pas de corruption, de perte de données ou d'escalade de privilèges.

c. Quels services impactés?

Seuls les serveurs et VMs ayant un port TCP exposé sur l'Internet, sans pare-feu, et possédant un noyau 4.9 ou supérieur sont affectés. Notez que l'IPLB (IP LoadBalancer) d'OVH vous protège.

Les services suivants, entièrement gérés par OVH, ne sont pas impactés: Domaines, Metrics & Logs Data Platform, xDSL, VoIP, DBaaS, OVH Load Balancer, vRack, Exchange, MX Plan, Web Hosting, Cloud Desktop, VDI, CDN, Swift, CEPH, NAS-HA, Public Cloud Storage et Public Cloud Archive.

De même, les systèmes Windows ne sont pas impactés.

Pour savoir si vous êtes affecté, veuillez consulter ce guide pour connaître la version de votre noyau: https://docs.ovh.com/fr/dedicated/mettre-a-jour-kernel-serveur-dedie/#identifier-le-kernel

d. Comment s'en prémunir?

Si votre service est affecté, nous vous recommandons de mettre à jour votre noyau sans plus tarder:
- Pour les clients serveurs dédiés, les noyaux 4.9.118 et 4.14.61 sont disponibles sur nos dépôts et corrigent le problème. Ce guide est là pour vous aider dans votre démarche: https://docs.ovh.com/fr/dedicated/mettre-a-jour-kernel-serveur-dedie/
- Pour les clients Public Cloud & VPS, nous suivons les préconisations des distributions officielles. Cela signifie que dès qu'un éditeur patche sa distribution, vous en bénéficierez. à noter que Debian a déjà réalisé la mise à jour.
- Pour les clients Private Cloud, nous vous conseillons de mettre à jour votre noyau avec la dernière version upstream.
Posted Aug 07, 2018 - 12:58 UTC