Noticias

¿Qué hay de nuevo en seguridad para Ubuntu 21.04?

Ubuntu 21.04 es la última traducción de Ubuntu y se encuentra en el medio entre la última traducción LTS (Long Term Supported) de Ubuntu 20.04 LTS y la próxima traducción LTS 22.04, que se lanzará en abril de 2022. Esta es una buena oportunidad para hacer un balanceo de algunas de las últimas características de seguridad que se están implementando en esta traducción de camino al 22/04 LTS. Ubuntu 21.04 trae una variedad de mejoras y características a una amplia variedad de paquetes. En esta publicación de blog, veremos las características y mejoras que contribuyen a la seguridad común de un sistema Ubuntu.

Un GRUB para Ubuntu

De debajo alrededor de hacia lo alto, el cargador de comienzo GRUB2 es uno de los componentes más básicos de Ubuntu. A la luz de las vulnerabilidades adicionales recientes en GRUB2 Secure Boot Bypass, el equipo de Ubuntu Foundations analizó opciones para hacer que Ubuntu sea más seguro al permitir actualizaciones de Grub más fáciles. El resultado fue un cambio en la forma en que GRUB2 se distribuye en Ubuntu. En común, las versiones de Ubuntu vienen con una traducción fija de GRUB2 (y muchos otros paquetes) en el momento del propagación. Por lo tanto, cuando hubo que solucionar problemas de seguridad, los parches tuvieron que trasladarse a una colchoneta de código obsoleta. Esto trae consigo numerosos desafíos técnicos. Para estrechar esto, ahora se envía un solo paquete GRUB2 para todas las versiones compatibles de Ubuntu, siendo 21.04 la primera traducción que admite esta función.

Actualizaciones de firmware y fwupd

Desde la venida del Servicio de firmware del proveedor de Linux (LVFS) y su demonio fwupd asociado, Ubuntu ha admitido la instalación sencilla de actualizaciones de firmware, incluidos BIOS y periféricos. Estas actualizaciones de firmware a menudo contienen correcciones importantes para las vulnerabilidades de seguridad. Por lo tanto, cerciorarse de que sus dispositivos tengan las últimas actualizaciones de firmware es un paso esencial para una buena seguridad. Ubuntu 21.04 se envía con la última traducción de fwupd 1.5.8, que incluye soporte para los metadatos SBAT requeridos para las últimas mejoras de comienzo seguro de UEFI, así como soporte para habilitar actualizaciones de firmware para muchas más clases de dispositivos, incluidos los teclados Pinebook Pro y System76, por nombrar. unos pocos.

La seguridad del kernel de Linux 5.11 está cambiando

El kernel de Linux es el corazón de todos los sistemas Ubuntu en ejecución. El kernel en Ubuntu 21.04 se base en el kernel 5.11 subido, que ha traído una serie de mejoras desde el kernel 5.8 utilizado en Ubuntu 20.10. Éstas incluyen:

CAP_CHECKPOINT_RESTORE

En los centros de datos modernos, la capacidad de portar cargas de trabajo entre máquinas es cada vez más importante para permitir un rendimiento y una disponibilidad óptimos. Un mecanismo que se utiliza para ayudar en este proceso se flama Checkpoint / Restore. Esto le permite tomar uno o más procesos en un sistema como una instantánea y capturar su estado completo, luego transferirlo a otro sistema y reiniciar esos procesos sin problemas. En el pasado, un proceso de supervisor tenía que tener todos los derechos de administrador del sistema (CAP_SYS_ADMIN) en una computadora para realizar solo esa función y otorgar privilegios excesivos cuando no se requieren. Para permitir un enfoque más detallado, se ha introducido una nueva función CAP_CHECKPOINT_RESTORE. Esto permite que un proceso de supervisor realice las operaciones de punto de control / restauración requeridas con solo el subconjunto requerido de permisos, lo que ayuda a implementar un principio. Sistema con los privilegios mínimos.

Protección de pila RISC-V

RISC-V es una obra de conjunto de instrucciones normalizado abierta basada en los principios del conjunto de instrucciones estrecho y ha sido compatible como una perspicacia previa de tecnología desde Ubuntu 20.04 LTS. Desde la traducción 5.9 del kernel de Linux, la obra RISC-V ha recibido soporte para implementar la protección de la pila. Esta es una función de refuerzo para detectar y alertar desbordamientos del búfer de pila del kernel que podrían comprometer la seguridad de un sistema. Esto acerca esta obra relativamente mancebo a la paridad de características con las arquitecturas más maduras como amd64, que han admitido la protección de la pila del kernel desde Ubuntu 9.04 hace más de 11 abriles.

Estáticamente, se requiere una reducción mejorada del espectro

Las vulnerabilidades de Spectre fueron las primeras de muchas vulnerabilidades de ejecución especulativa descubiertas recientemente que explotaron varias características de microarquitectura del hardware del procesador subyacente para filtrar información a través de los límites de seguridad. El descubrimiento de estas vulnerabilidades condujo a la implementación de muchas técnicas novedosas de mitigación, pero tuvieron varios posesiones en el rendimiento que harían que los usuarios pudieran tomar malas decisiones entre seguridad y rendimiento. Con el tiempo, el impacto en el rendimiento de estas ralentizaciones ha mejorado. Especialmente al implementar llamadas estáticas en el kernel 5.10, el subsistema Perf y otros han mejorado notablemente.

Etiquetado de memoria ARM64

La corrupción de la memoria sigue siendo una de las principales causas de las vulnerabilidades de seguridad en el kernel de Linux. Si admisiblemente se han desarrollado varios mecanismos basados ​​en software (como la protección de pila mencionada anteriormente) para mitigarlos, incluso se están trabajando varios enfoques basados ​​en hardware. Uno de estos enfoques es el etiquetado de almacenamiento, compatible con la extensión de etiquetado de almacenamiento Armv8.5. Esto tiene como objetivo evitar problemas de seguridad de la memoria al marcar las direcciones de memoria con una secreto que no se puede falsificar fácilmente, evitando así ataques comunes de seguridad de la memoria, como desbordamientos de búfer. La obra ARM64 en Ubuntu 21.04 ahora proporciona soporte para procesos de espacio de beneficiario para permitir el uso de etiquetado de memoria para áreas de memoria específicas, proporcionando así una forma de permitir que esta protección sea más holística en el futuro.

Intel SGX

Trusted Computing se base en realizar cálculos que no se pueden manipular ni modificar. Intel Software Guard eXtensions (SGX) brinda la capacidad de crear un enclave separado en el que realizar operaciones confiables que no pueden lograr al código o datos de componentes que no son de confianza. El soporte para el uso de SGX está adecuado en Ubuntu 21.04, mientras que el soporte de hardware para esta función ha estado adecuado en varios procesadores Intel en el escritorio en los últimos abriles y los próximos procesadores Xeon «Ice Lake» SGX incluso proporcionarán plataformas de servidor.

Mejoras en la seguridad del espacio de beneficiario

Con cada nueva traducción de Ubuntu existe la posibilidad de desempolvar los paquetes de software proporcionados en el archivo de Ubuntu a la última traducción. Algunos paquetes de software notables relacionados con la seguridad que se han actualizado para Ubuntu 21.04 incluyen OpenSSH y Libseccomp. OpenSSH se ha actualizado a la traducción 8.4, que proporciona soporte mejorado para tokens de hardware FIDO / U2F. Esto incluye soporte para tokens que requieren un PIN para cada uso, así como un mejor soporte cuando se usan varios tokens al mismo tiempo. De esta modo, los usuarios pueden habilitar el ataque remoto con decano seguridad para que no pueda ser utilizado indebidamente por atacantes no autorizados. Libseccomp, por otro banda, es un componente de nivel inferior, pero ha sido fundamental en la implementación de tecnologías de espacio arrinconado que permiten que las aplicaciones limiten su propio impacto en caso de un compromiso. La aggiornamento a la traducción 2.5.1 de Libseccomp brinda soporte para las notificaciones del espacio de beneficiario (utilizadas por administradores de contenedores como LXD) y restablecimiento el rendimiento al juntar nuevas reglas.

Otro cambio importante y muy esperado es la inclusión de directorios personales privados por defecto en Ubuntu 21.04. Esto asegura que los nuevos archivos de beneficiario solo puedan ser accedidos por ese beneficiario y no por otros usuarios locales en el mismo sistema. Se reconoce el cambio de la computación de escritorio compartida a los casos de uso más hostiles de la aglomeración o IoT.


En común, las mejoras de seguridad en Ubuntu 21.04 forman una colchoneta sólida en el camino alrededor de Ubuntu 22.04 LTS y se considera que es la traducción más segura de Ubuntu hasta la vencimiento al exprimir y exprimir las otras características de seguridad y refuerzo que durante mucho tiempo han jugado un papel importante. parte del componente principal que Ubuntu lanzó en el pasado.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba