¡Bienvenido a la segunda publicación de nuestra serie basada en el podcast semanal de seguridad de Ubuntu! Soy Alex Murray, ingeniero de planta y líder tecnológico del equipo de seguridad de Ubuntu en Canonical. Cada mes, cubro las correcciones de seguridad más interesantes en torno a Ubuntu, así como una discusión en profundidad de las diferentes vulnerabilidades que hemos estado abordando. Esta vez analizaremos las actualizaciones de Python, tendremos una discusión sobre la transición de 16.04 LTS al mantenimiento de seguridad extendido (ESM) en abril y, finalmente, ¡cubriré algunas posiciones abiertas en el interior del equipo!
Tabla de Contenidos
Actualizaciones de Python
Se abordaron siete CVE diferentes para las versiones 18.04 LTS y 20.04 LTS. Quería murmurar sobre este porque destaca todas las diferentes versiones de Python que se encuentran distribuidas en los diferentes repositorios de Ubuntu. Si está familiarizado con los repositorios de Ubuntu, sabrá que tenemos 2 secciones principales: Main y Universe. Main es el software que es compatible con el equipo de seguridad y otros equipos de Canonical, y Universe es compatible con la comunidad.
Interiormente de Universe, en efectividad tenemos varias versiones de Python diferentes en las diferentes versiones de Ubuntu. Sin retención, generalmente solo admitimos una en Main, lo que significa que solo se admite una lectura de Python para cada lectura (o en el caso de Python 2 frente a Python 3, solo admitimos una lectura de Python 2 y una de Python 3). Entonces, para 16.04 LTS y 18.04 LTS, Python 2.7 está en Main. Pero para versiones posteriores como 20.04 LTS y 20.10, 2.7 ahora está en Universe. Mientras que digamos que en 16.04 LTS tenemos Python 3.5 en Main, pero 3.6 está en Main para 18.04 LTS y 3.8 está en Main para 20.04 LTS y 20.10. A menudo tenemos las mismas versiones en los lanzamientos anteriores, pero viven en el Universo. Esto significa que es posible ejecutar Python 3.8 en todas esas versiones anteriores, pero está en Universe, por lo que Canonical no lo admite oficialmente.
En esta modernización, hemos incorporado varias de esas correcciones a las versiones que están en Universe. Entonces, si está ejecutando una de esas versiones que tradicionalmente no son compatibles, ahora está un poco más seguro y puede encontrar detalles de esas vulnerabilidades en las notas del software o consultando episodios anteriores.
16.04 transición de LTS a ESM
La lectura 16.04 LTS de Ubuntu se lanzó en abril de 2016 y fue respaldada por Canonical durante cinco primaveras. Este mes llegaremos al final del período de soporte a abundante plazo. La lectura 16.04 LTS pasará a un mantenimiento de seguridad extendido (ESM). Desde la lectura flamante de 12.04 LTS y nuestra primera lectura de ESM en 2017, hemos estado respaldando un subconjunto de paquetes en Main, realizando actualizaciones de seguridad para vulnerabilidades altas y críticas durante un período de tres primaveras una vez que una lectura pasa de LTS a ESM.
Sin retención, estamos haciendo poco diferente para 16.04: en puesto de guarecer solo un subconjunto de Main, estaremos respaldando la totalidad de Main para CVE de prioridad entrada y crítica. Esto significa que la cobertura de lo que se admite en 16.04 ESM ahora se amplía en comparación con las versiones anteriores de ESM.
Por lo tanto, para las personas que ejecutan 16.04 LTS y aún no están en condiciones de modernizar a 18.04 LTS o 20.04 LTS, la transición a ESM es una opción atractiva. Si desea obtener más información, hay una publicación de blog escrita por Lech Sandecki que palabra sobre las compensaciones entre modernizar de un LTS a otro o producirse a ESM, etc. Incluso hay un seminario web de Lech y Rick Harding del Equipo del servidor de Ubuntu que palabra sobre algunas de esas preocupaciones y el tipo de cosas en las que debe pensar si actualmente está ejecutando 16.04 LTS.
Vale la pena señalar que ESM no solo está apto para los clientes de Ubuntu Advantage, sino que igualmente está apto para uso personal, lo que significa que cualquiera puede usar ESM en hasta tres de sus propias máquinas de forma gratuita, mientras que los miembros de Ubuntu pueden usarlo en hasta 50 máquinas. Y como dije, para aquellos usuarios empresariales con mayores evacuación, igualmente está apto como parte del software Ubuntu Advantage, yuxtapuesto con otras ventajas empresariales.
Estamos contratando
¡Tenemos algunos puestos vacantes en el equipo! Actualmente estamos buscando un ingeniero de seguridad de AppArmor. Si desea trabajar en AppArmor, desarrollar nuevas funciones tanto en el kernel como en el espacio de legatario, le insto a que compruebe esa.
Incluso buscamos un ingeniero de seguridad para trabajar como parte de nuestro equipo de certificaciones. Si tiene experiencia o interés en cosas como FIP, Common Criteria y STIG, no dude en presentar la solicitud.
Y finalmente, igualmente estamos buscando un generalista, cualquiera que trabaje en la seguridad del día a día, trabajo de parcheo y refuerzo de Ubuntu, crecimiento de características, etc. Ambas son posiciones remotas y la segunda está apto para cualquiera ¡en el mundo!
El podcast de seguridad de Ubuntu
Si desea obtener el desglose completo de nuestras últimas actualizaciones y parches, consulte el Podcast de seguridad de Ubuntu en Spotify, Apple Podcast, Google Podcast y Pocket Casts. Y si quieres ponerte en contacto con nosotros, puedes encontrarnos en Twitter en @ubuntu_sec. Incluso pasamos el rato en el canal # ubuntu-endurecido en la red IRC de Freenode. Incluso puede consultar la sección de seguridad en discurso.ubuntu.com o, por supuesto, dirigir un correo electrónico al equipo a [email protected].
