Read in English below.
Díky AI nástrojům vyplouvají na povrch bezpečnostní chyby v linuxovám jádře rychlým tempem. Za poslední měsíc minimálně čtyři, které umožňovaly eskalaci oprávnění a získání roota v systému. Situaci vyhodnocujeme co nejdříve, jakmile se o nových chybách dozvíme. Když je to možné, chyby opravujeme pomocí LSM eBPF programů, což je zdaleka nejrychlejší možnost. Pokud LSM eBPF nedostačuje, využíváme live patche kernelu. Až v poslední řadě nody resetujeme do opravené verze jádra. Může se tedy stát, že ve VPS vidíte starší a potencionálně zranitelnou verzi kernelu, ale nemusí tomu tak být.
Ve vpsAdminu se nyní na titulní straně zobrazují vybrané zranitelnosti, které jsme řešili:
Lze je také nalézt v submenu Security advisories. Jednotlivé zranitelnosti lze rozkliknout (např. Copy Fail) a zde uvidíte, jestli se nás daný problém týkal, popř. kterých nodů. Přihlášení uživatelé vidí přímo dotčené VPS. Bezpečnostní upozornění se zobrazují i na https://status.vpsf.cz.
V reakci na tyto chyby jsme vypnuti automatické zavádění modulů do jádra. Tímto mechanismem bylo možné požádat o zavedení dostupného modulu i z VPS – ne vlastního modulu, musel být k dispozici na hostiteli. Např. jen kvůli tomu byly na Copy Fail zranitelné tři nody. Nyní zavádíme všechny moduly, které by měly být potřeba, a VPS už to ovlivnit nemohou, resp. jen dohodou s administrátory.
English
Thanks to AI tools, security vulnerabilities in the Linux kernel are surfacing at a rapid pace. Over the last month alone, there have been at least four that allowed privilege escalation and gaining root access to the system. We evaluate the situation as soon as we learn about new vulnerabilities. When possible, we fix them using LSM eBPF programs, which is by far the fastest option. If LSM eBPF is not enough, we use live kernel patches. Only as a last resort do we reboot nodes into a fixed kernel version. This means that you may see an older and potentially vulnerable kernel version inside your VPS, but that does not necessarily mean that the VPS is actually vulnerable.
vpsAdmin now shows selected vulnerabilities that we have handled on the front page:
They can also be found in the Security advisories submenu. Individual vulnerabilities can be opened, for example Copy Fail, where you can see whether the issue affected us and, if so, which nodes were affected. Logged-in users can see the affected VPS directly. Security advisories are also shown at https://status.vpsf.cz.
In response to these vulnerabilities, we have disabled automatic loading of kernel modules. This mechanism made it possible to request loading of an available module even from inside a VPS — not a custom module, the module had to already be available on the host. For example, this alone made three nodes vulnerable to Copy Fail. We now load all modules that should be needed ourselves, and VPS can no longer influence this, except by agreement with the administrators.