La mise à jour de sécurité d’Ubuntu 18.04 systemd casse le DNS dans Azure • The Register

Publié le 30 août 2022 par Mycamer

Les clients de Microsoft Azure exécutant Ubuntu 18.04 de Canonical (alias Bionic Beaver) dans le cloud ont vu leurs applications échouer après qu’une mise à jour de sécurité défectueuse de systemd a interrompu les requêtes DNS.

La situation est aussi étrange que cela puisse paraître : si vous exécutez Ubuntu 18.04 sur une machine virtuelle Azure et que vous avez installé la mise à jour de sécurité systemd 237-3ubuntu10.54, vous vous êtes probablement trouvé incapable d’utiliser le DNS dans la machine virtuelle, ce qui empêche les applications et autres logiciels reposant sur les recherches de noms de domaine de fonctionner correctement.

“À partir d’environ 06h00 UTC le 30 août 2022, un certain nombre de clients exécutant des machines virtuelles Ubuntu 18.04 (bionic) récemment mises à niveau vers la version systemd 237-3ubuntu10.54 ont signalé avoir rencontré des erreurs DNS lorsqu’ils tentaient d’accéder à leurs ressources”, une mise à jour du Page d’état de Microsoft Azure dit mardi.

<br /> <a target="_blank" href="https://pubads.g.doubleclick.net/gampad/jump?co=1&iu=/6978/reg_offprem/paasiaas&sz=300x50%7C300x100%7C300x250%7C300x251%7C300x252%7C300x600%7C300x601&tile=2&c=2Yw6Bhq4t3Ltbdu7swQjykwAAAEY&t=ct%3Dns%26unitnum%3D2%26raptor%3Dcondor%26pos%3Dtop%26test%3D0" rel="noopener"><br /> <img src="https://pubads.g.doubleclick.net/gampad/ad?co=1&iu=/6978/reg_offprem/paasiaas&sz=300x50%7C300x100%7C300x250%7C300x251%7C300x252%7C300x600%7C300x601&tile=2&c=2Yw6Bhq4t3Ltbdu7swQjykwAAAEY&t=ct%3Dns%26unitnum%3D2%26raptor%3Dcondor%26pos%3Dtop%26test%3D0" alt="" /><br /> </a><br />

Bien que le problème se limite à cette seule version d’Ubuntu Linux, il s’est néanmoins avéré être un obstacle pour les personnes concernées.

<br /> <a target="_blank" href="https://pubads.g.doubleclick.net/gampad/jump?co=1&iu=/6978/reg_offprem/paasiaas&sz=300x50%7C300x100%7C300x250%7C300x251%7C300x252%7C300x600%7C300x601&tile=4&c=44Yw6Bhq4t3Ltbdu7swQjykwAAAEY&t=ct%3Dns%26unitnum%3D4%26raptor%3Dfalcon%26pos%3Dmid%26test%3D0" rel="noopener"><br /> <img src="https://pubads.g.doubleclick.net/gampad/ad?co=1&iu=/6978/reg_offprem/paasiaas&sz=300x50%7C300x100%7C300x250%7C300x251%7C300x252%7C300x600%7C300x601&tile=4&c=44Yw6Bhq4t3Ltbdu7swQjykwAAAEY&t=ct%3Dns%26unitnum%3D426raptor%3Dfalcon%26pos%3Dmid%26test%3D0" alt="" /><br /> </a><br /> <br /> <a target="_blank" href="https://pubads.g.doubleclick.net/gampad/jump?co=1&iu=/6978/reg_offprem/paasiaas&sz=300x50%7C300x100%7C300x250%7C300x251%7C300x252%7C300x600%7C300x601&tile=3&c=33Yw6Bhq4t3Ltbdu7swQjykwAAAEY&t=ct%3Dns%26unitnum%3D3%26raptor%3Deagle%26pos%3Dmid%26test%3D0" rel="noopener"><br /> <img src="https://pubads.g.doubleclick.net/gampad/ad?co=1&iu=/6978/reg_offprem/paasiaas&sz=300x50%7C300x100%7C300x250%7C300x251%7C300x252%7C300x600%7C300x601&tile=3&c=33Yw6Bhq4t3Ltbdu7swQjykwAAAEY&t=ct%3Dns%26unitnum%3D3%26raptor%3Deagle%26pos%3Dmid%26test%3D0" alt="" /><br /> </a><br />

Un individu postant sur un forum Ubuntu sous le nom de Luciano Santos de Silva a écrit“Hé les gars, rien ne fonctionne. Mon application est sortie depuis ce matin. Nous avons déjà essayé de redémarrer les nœuds, de redémarrer la VM, mais rien ne fonctionne et nous n’avons aucune mise à jour de Microsoft. Quatre heures Il y a quelques jours, ils ont déclaré : ” Plus d’informations seront fournies dans les 60 minutes, lorsque nous espérons en savoir plus sur les causes profondes et les flux de travail d’atténuation.”

D’autres signalent que la mise à jour problématique a affecté les clusters Azure Kubernetes Service (AKS). Et les choses ne semblent pas bien se passer sur la base du tableau de bord Azure, qui est actuellement rempli d’icônes d’avertissement de perturbation à travers le monde pour plusieurs services cloud.

Tableau de bord Azure … Problèmes DNS résultant de la mise à jour systemd dans Ubuntu 18.04

Le problème de mise à jour d’Ubuntu a été reflété sur la page Azure de downdetector.com, qui affiche actuellement rapports élevés de problèmes.

Selon Microsoft, le snafu systemd a également affecté les clients d’Azure Government et d’Azure China. Le géant Windows recommande aux utilisateurs d’Ubuntu 18.04 de désactiver les mises à jour de sécurité automatiques pour le moment. Gorgée.

<br /> <a target="_blank" href="https://pubads.g.doubleclick.net/gampad/jump?co=1&iu=/6978/reg_offprem/paasiaas&sz=300x50%7C300x100%7C300x250%7C300x251%7C300x252%7C300x600%7C300x601&tile=4&c=44Yw6Bhq4t3Ltbdu7swQjykwAAAEY&t=ct%3Dns%26unitnum%3D4%26raptor%3Dfalcon%26pos%3Dmid%26test%3D0" rel="noopener"><br /> <img src="https://pubads.g.doubleclick.net/gampad/ad?co=1&iu=/6978/reg_offprem/paasiaas&sz=300x50%7C300x100%7C300x250%7C300x251%7C300x252%7C300x600%7C300x601&tile=4&c=44Yw6Bhq4t3Ltbdu7swQjykwAAAEY&t=ct%3Dns%26unitnum%3D426raptor%3Dfalcon%26pos%3Dmid%26test%3D0" alt="" /><br /> </a><br />

La mise à jour la plus récente de Microsoft Azure a eu lieu juste après 1500 UTC. Il anticipe sa prochaine mise à jour vers 2100 UTC, « ou selon les événements.

Le patch systemd est nécessaire. Il s’adresse CVE-2022-2526une vulnérabilité use-after-free() qui pourrait être exploitée pour provoquer un plantage ou exécuter du code arbitraire sur une machine vulnérable.

“Ce problème se produit car la fonction on_stream_io() et la fonction dns_stream_complete() dans ‘resolved-dns-stream.c’ n’incrémentent pas le comptage des références pour l’objet DnsStream”, explique Rapport de bogue de RedHat. “Par conséquent, d’autres fonctions et rappels appelés peuvent déréférencer l’objet DNSStream, provoquant l’utilisation après libération lorsque la référence est encore utilisée ultérieurement.”

Mais l’application du correctif casse le DNS sur Ubuntu 18.04, ou plutôt c’est le cas – la mise à jour boguée a été retiré pour les réparations. Les autres versions d’Ubuntu, y compris xenial, trusty, jammy et focal ne sont pas affectées.

Pour ceux qui ont déjà appliqué le correctif errant, il existe une solution de contournement qui implique montage le fichier resolve.conf. Une autre solution de contournement suggérée par Microsoft Azure consiste simplement à “redémarrer les instances de VM concernées afin qu’elles reçoivent un nouveau bail DHCP et un ou plusieurs nouveaux résolveurs DNS”. ®

Les clients de Microsoft Azure exécutant Ubuntu 18.04 de Canonical (alias Bionic Beaver) dans le cloud ont vu leurs applications échouer après qu’une mise à jour de sécurité défectueuse de systemd a interrompu les requêtes DNS.

La situation est aussi étrange que cela puisse paraître : si vous exécutez Ubuntu 18.04 sur une machine virtuelle Azure et que vous avez installé la mise à jour de sécurité systemd 237-3ubuntu10.54, vous vous êtes probablement trouvé incapable d’utiliser le DNS dans la machine virtuelle, ce qui empêche les applications et autres logiciels reposant sur les recherches de noms de domaine de fonctionner correctement.

“À partir d’environ 06h00 UTC le 30 août 2022, un certain nombre de clients exécutant des machines virtuelles Ubuntu 18.04 (bionic) récemment mises à niveau vers la version systemd 237-3ubuntu10.54 ont signalé avoir rencontré des erreurs DNS lorsqu’ils tentaient d’accéder à leurs ressources”, une mise à jour du Page d’état de Microsoft Azure dit mardi.

<br /> <a target="_blank" href="https://pubads.g.doubleclick.net/gampad/jump?co=1&iu=/6978/reg_offprem/paasiaas&sz=300x50%7C300x100%7C300x250%7C300x251%7C300x252%7C300x600%7C300x601&tile=2&c=2Yw6Bhq4t3Ltbdu7swQjykwAAAEY&t=ct%3Dns%26unitnum%3D2%26raptor%3Dcondor%26pos%3Dtop%26test%3D0" rel="noopener"><br /> <img src="https://pubads.g.doubleclick.net/gampad/ad?co=1&iu=/6978/reg_offprem/paasiaas&sz=300x50%7C300x100%7C300x250%7C300x251%7C300x252%7C300x600%7C300x601&tile=2&c=2Yw6Bhq4t3Ltbdu7swQjykwAAAEY&t=ct%3Dns%26unitnum%3D2%26raptor%3Dcondor%26pos%3Dtop%26test%3D0" alt="" /><br /> </a><br />

Bien que le problème se limite à cette seule version d’Ubuntu Linux, il s’est néanmoins avéré être un obstacle pour les personnes concernées.

<br /> <a target="_blank" href="https://pubads.g.doubleclick.net/gampad/jump?co=1&iu=/6978/reg_offprem/paasiaas&sz=300x50%7C300x100%7C300x250%7C300x251%7C300x252%7C300x600%7C300x601&tile=4&c=44Yw6Bhq4t3Ltbdu7swQjykwAAAEY&t=ct%3Dns%26unitnum%3D4%26raptor%3Dfalcon%26pos%3Dmid%26test%3D0" rel="noopener"><br /> <img src="https://pubads.g.doubleclick.net/gampad/ad?co=1&iu=/6978/reg_offprem/paasiaas&sz=300x50%7C300x100%7C300x250%7C300x251%7C300x252%7C300x600%7C300x601&tile=4&c=44Yw6Bhq4t3Ltbdu7swQjykwAAAEY&t=ct%3Dns%26unitnum%3D426raptor%3Dfalcon%26pos%3Dmid%26test%3D0" alt="" /><br /> </a><br /> <br /> <a target="_blank" href="https://pubads.g.doubleclick.net/gampad/jump?co=1&iu=/6978/reg_offprem/paasiaas&sz=300x50%7C300x100%7C300x250%7C300x251%7C300x252%7C300x600%7C300x601&tile=3&c=33Yw6Bhq4t3Ltbdu7swQjykwAAAEY&t=ct%3Dns%26unitnum%3D3%26raptor%3Deagle%26pos%3Dmid%26test%3D0" rel="noopener"><br /> <img src="https://pubads.g.doubleclick.net/gampad/ad?co=1&iu=/6978/reg_offprem/paasiaas&sz=300x50%7C300x100%7C300x250%7C300x251%7C300x252%7C300x600%7C300x601&tile=3&c=33Yw6Bhq4t3Ltbdu7swQjykwAAAEY&t=ct%3Dns%26unitnum%3D3%26raptor%3Deagle%26pos%3Dmid%26test%3D0" alt="" /><br /> </a><br />

Un individu postant sur un forum Ubuntu sous le nom de Luciano Santos de Silva a écrit“Hé les gars, rien ne fonctionne. Mon application est sortie depuis ce matin. Nous avons déjà essayé de redémarrer les nœuds, de redémarrer la VM, mais rien ne fonctionne et nous n’avons aucune mise à jour de Microsoft. Quatre heures Il y a quelques jours, ils ont déclaré : ” Plus d’informations seront fournies dans les 60 minutes, lorsque nous espérons en savoir plus sur les causes profondes et les flux de travail d’atténuation.”

D’autres signalent que la mise à jour problématique a affecté les clusters Azure Kubernetes Service (AKS). Et les choses ne semblent pas bien se passer sur la base du tableau de bord Azure, qui est actuellement rempli d’icônes d’avertissement de perturbation à travers le monde pour plusieurs services cloud.

Tableau de bord Azure … Problèmes DNS résultant de la mise à jour systemd dans Ubuntu 18.04

Le problème de mise à jour d’Ubuntu a été reflété sur la page Azure de downdetector.com, qui affiche actuellement rapports élevés de problèmes.

Selon Microsoft, le snafu systemd a également affecté les clients d’Azure Government et d’Azure China. Le géant Windows recommande aux utilisateurs d’Ubuntu 18.04 de désactiver les mises à jour de sécurité automatiques pour le moment. Gorgée.

<br /> <a target="_blank" href="https://pubads.g.doubleclick.net/gampad/jump?co=1&iu=/6978/reg_offprem/paasiaas&sz=300x50%7C300x100%7C300x250%7C300x251%7C300x252%7C300x600%7C300x601&tile=4&c=44Yw6Bhq4t3Ltbdu7swQjykwAAAEY&t=ct%3Dns%26unitnum%3D4%26raptor%3Dfalcon%26pos%3Dmid%26test%3D0" rel="noopener"><br /> <img src="https://pubads.g.doubleclick.net/gampad/ad?co=1&iu=/6978/reg_offprem/paasiaas&sz=300x50%7C300x100%7C300x250%7C300x251%7C300x252%7C300x600%7C300x601&tile=4&c=44Yw6Bhq4t3Ltbdu7swQjykwAAAEY&t=ct%3Dns%26unitnum%3D426raptor%3Dfalcon%26pos%3Dmid%26test%3D0" alt="" /><br /> </a><br />

La mise à jour la plus récente de Microsoft Azure a eu lieu juste après 1500 UTC. Il anticipe sa prochaine mise à jour vers 2100 UTC, « ou selon les événements.

Le patch systemd est nécessaire. Il s’adresse CVE-2022-2526une vulnérabilité use-after-free() qui pourrait être exploitée pour provoquer un plantage ou exécuter du code arbitraire sur une machine vulnérable.

“Ce problème se produit car la fonction on_stream_io() et la fonction dns_stream_complete() dans ‘resolved-dns-stream.c’ n’incrémentent pas le comptage des références pour l’objet DnsStream”, explique Rapport de bogue de RedHat. “Par conséquent, d’autres fonctions et rappels appelés peuvent déréférencer l’objet DNSStream, provoquant l’utilisation après libération lorsque la référence est encore utilisée ultérieurement.”

Mais l’application du correctif casse le DNS sur Ubuntu 18.04, ou plutôt c’est le cas – la mise à jour boguée a été retiré pour les réparations. Les autres versions d’Ubuntu, y compris xenial, trusty, jammy et focal ne sont pas affectées.

Pour ceux qui ont déjà appliqué le correctif errant, il existe une solution de contournement qui implique montage le fichier resolve.conf. Une autre solution de contournement suggérée par Microsoft Azure consiste simplement à “redémarrer les instances de VM concernées afin qu’elles reçoivent un nouveau bail DHCP et un ou plusieurs nouveaux résolveurs DNS”. ®

— to www.theregister.com