Hace dos primaveras, lanzamos la período de Mantenimiento de seguridad extendido (ESM) de Ubuntu 14.04, brindando ataque a parches CVE a través de una suscripción gratuita o paga de Ubuntu Advantage for Infrastructure. Esta período extendió el ciclo de vida de Ubuntu 14.04 LTS, arrojado en abril de 2014, desde el típico, cinco primaveras de una lectura LTS a un total de ocho primaveras, que finaliza en abril de 2022. Durante la período ESM, publicamos correcciones de seguridad para prioridad suscripción y crítica vulnerabilidades para los paquetes más utilizados en los archivos principales y restringidos de Ubuntu. En esta publicación, me gustaría revisar y compartir nuestra experiencia de los últimos dos primaveras en el mantenimiento de esta lectura.
Hasta la vencimiento, en el ciclo de vida de Ubuntu 14.04 ESM, publicamos 238 Avisos de seguridad de Ubuntu (USN), que cubren 574 CVE que varían de suscripción a desvaloración prioridad. Las actualizaciones de seguridad consiguientes, protegidas de vulnerabilidades con impactos que van desde la ejecución remota de código y ascenso de privilegios, hasta vulnerabilidades de hardware de CPU. Nuestro tiempo promedio de resolución de CVE de suscripción prioridad fue de 14 días.
Tabla de Contenidos
Las vulnerabilidades del software que se destacaron
No todas las vulnerabilidades son iguales y una gran publicidad, o un nombre lujoso, no siempre implica un parada peligro. A continuación, he descompuesto las vulnerabilidades que tuvieron el veterano impacto en el ciclo de vida de 14.04 ESM: SACK Panic, GRUB2 BootHole, Baron Samedit y ejecución remota de código Exim.
SACO Pánico – kernel
El kernel de Linux, que es una parte fundamental de la superficie de ataque de cualquier sistema, tiene el potencial de ocasionar vulnerabilidades de parada impacto. ¿Qué puede ser peor? Una vulnerabilidad en su pila TCP que se puede activar de forma remota. SACO Pánico es un conjunto de vulnerabilidades de denegación de servicio (DoS) que se aplican tanto al servidor como a los sistemas cliente y se pueden activar de forma remota. Aprovecha un desbordamiento de enteros y otras fallas en la implementación TCP del kernel de Linux de examen selectivo (SACK). Lo arreglamos con USN-4017-2 en junio de 2019
Agujero para botas GRUB2 – GRUB2
El puesta en marcha seguro UEFI establece la integridad del sistema activo comenzando desde el BIOS UEFI y autenticando el software subsiguiente involucrado durante el puesta en marcha. En nuestro caso, ese es GRUB2, que a su vez está autenticando el kernel de Linux. Ese proceso evita que el malware se vuelva persistente al salir de los límites del sistema activo. GRUB2 contenía varias vulnerabilidades, incluido el desbordamiento de enteros con desbordamiento del búfer de pila y uso posterior libertado, que permitirían callar su parte de autenticación. Un atacante lugar con privilegios administrativos o con ataque físico al sistema podría eludir la comprobación de firmas del módulo GRUB2, lo que da como resultado la capacidad de cargar módulos GRUB2 arbitrarios que no han sido firmados por una autoridad confiable y, por lo tanto, eludir el puesta en marcha seguro de UEFI. Se corrigió con USN-4432-1 en julio de 2020.
Barón Samedit – sudo
Sudo es una de las herramientas más utilizadas por los administradores. Permite realizar tareas privilegiadas mientras se ejecuta como un legatario sin privilegios, brindando no solo seguridad al permitir intervenir sin privilegios de guisa predeterminada, sino que además crea una pista de auditoría de quién realizó qué en un entorno con múltiples administradores. Esta vulnerabilidad puede causar una ascenso de privilegios no autorizada por parte de los usuarios locales, adecuado al manejo incorrecto de la memoria en sudo (desbordamiento de búfer de pila), presente en la saco de código desde 2011. Lo abordamos con USN-4705-2 en enero de 2021.
Vulnerabilidad de ejecución remota de código de Exim
Exim es uno de los principales servidores de encargo de correo (SMTP) de Ubuntu. Esta vulnerabilidad puede resultar en la ejecución remota de comandos adecuado a una discrepancia entre el codificador y el descodificador de una parte del protocolo SMTP. Se corrigió con USN-4124-1 en septiembre de 2019.
Las vulnerabilidades de hardware que se destacaron
El hardware, a diferencia del software, no se puede renovar o parchear fácilmente en el campo. Como tal, cuando se encuentran vulnerabilidades adentro del propio hardware, es el software en la parte superior del hardware el que debe solucionar el problema. El hardware tiene un nivel de ajuste muy menguado, por ejemplo, a través de los controladores o con microcódigo. Aquí recapitulo las vulnerabilidades de hardware más importantes que abordamos durante los dos primeros primaveras de la vida útil de 14.04 ESM
Vulnerabilidades de Intel Microarchitectural Data Sample (MDS)
Esta vulnerabilidad en las CPU de Intel provoca una violación de la confidencialidad. Los datos que utilizan las aplicaciones que se ejecutan en la misma CPU pueden estar expuestos a un proceso astuto que se ejecuta en el mismo núcleo de la CPU. Este es un ataque arduo que utiliza un canal supletorio de ejecución especulativa y no se puede usar fácilmente para ataques dirigidos (consulte nuestra wiki para una revisión más detallada). Esta vulnerabilidad se mitiga con las actualizaciones de kernel, qemu, libvirt y microcódigo publicadas con USN-3977-1, USN-3977-3, USN-3983-1, USN-3982-2, USN-3981-2, USN-3985-2 , USN-3977-2, USN-3978-1 en mayo de 2019.
El malogro asincrónico TSX
La vulnerabilidad TSX Asynchronous Abort (TAA) permite que un atacante acceda a los búferes de microarquitectura de la CPU a través de Intel® Transactional Synchronization Extensions (Intel® TSX). De nuevo, se manejo de una vulnerabilidad de confidencialidad de los datos que puede provocar la exposición de la memoria entre los procesos del espacio de legatario, entre el kernel y el espacio de legatario, entre máquinas virtuales o entre una máquina posible y el entorno del host. El problema se mitiga con una combinación de microcódigo de procesador actualizado y actualizaciones del kernel de Linux, lanzadas con USN-4187-1, USN-4186-2 en noviembre de 2019.
Vulnerabilidades de los gráficos Intel (i915)
Estas son dos vulnerabilidades que afectan al procesador Intel Graphics. El primero (CVE-2019-0154) puede provocar un ataque de denegación de servicio (DoS) desencadenado por un legatario lugar. Es aseverar, un incomunicación del sistema puede ser causado por un legatario sin privilegios que realiza una lección desde la salida de entrada mapeada (MMIO) de la memoria GT cuando el procesador se encuentra en ciertos estados de bajo consumo de energía.
La segunda vulnerabilidad (CVE-2019-0155) es una ascenso de privilegios y una violación de la confidencialidad de los datos. Los procesadores de gráficos permitieron a los usuarios sin privilegios escribir y acertar la memoria del kernel, lo que resultó en una posible ascenso de privilegios.
Ambas vulnerabilidades se mitigan con actualizaciones del regulador de gráficos Intel como parte de las actualizaciones del kernel de Linux, lanzadas con USN-4187-1, USN-4186-2 en noviembre de 2019.
Echando otro vistazo
Las vulnerabilidades de software más impactantes resueltas en 14.04 ESM aprovecharon técnicas acertadamente conocidas como desbordamientos de búfer de pila, desbordamiento de números enteros sin uso, desbordamientos de enteros y errores lógicos. Si acertadamente existen mitigaciones y defensas en pasatiempo, como la memoria no ejecutable habitable en las CPU modernas, así como el protector de pila, ASLR y otros en Ubuntu 14.04, estos elevan el moldura para el atacante, pero no brindan una protección completa, y los ataques solo mejoran. Por lo tanto, el parcheo regular de vulnerabilidades es un hábitat secreto para ceñir el peligro de una infracción.
Dando un paso detrás en las vulnerabilidades del hardware, vemos que las CPU ya no se ven como cajas negras y vemos un flujo constante de vulnerabilidades identificadas y mitigadas. En presencia de estas vulnerabilidades, el alojamiento compartido, por ejemplo, en una cirro, no siempre puede asegurar la confidencialidad de los datos procesados por las CPU compartidas. Es imperativo tener en cuenta que la privacidad necesaria en la cirro proviene no solo de la integración del hardware y el sistema activo, sino que además requiere un sistema acertadamente mantenido con parches de vulnerabilidad regulares.
Los paquetes con más vulnerabilidades de seguridad
Aunque hay más de 2000 paquetes en los repositorios principales de Ubuntu 14.04 ESM, hubo paquetes que se destacaron en nuestras correcciones de vulnerabilidades. Esto no implica una amor de diseño, pero además se puede atribuir a su popularidad e importancia para el ecosistema de código despejado que atrae la atención de los investigadores. Nuestro manifiesto a continuación muestra la cantidad de correcciones de seguridad en los principales paquetes que parcheamos.
¿Desempolvar o no renovar?
La transición al postrer sistema activo es importante para el rendimiento, la autorización del hardware, las correcciones de software y los beneficios de autorización de la tecnología. Sin confiscación, la modernización no es un proceso simple, rápido o financiero. Las soluciones empresariales combinan software de una variedad de equipos adentro de una estructura y, en la mayoría de los casos, existe una dependencia de suministro extendida, que involucra software de proveedores externos, quienes a su vez pueden tener sus propios proveedores de software.
Tales escenarios complejos dan como resultado una dependencia de pilas de software (por ejemplo, Java, python) que tienen ciertas propiedades en el sistema actualizado que quedaron obsoletas, reemplazadas o tenuemente modificadas en el comportamiento del sistema más nuevo. En ese caso, el proceso de modernización se convierte en un proceso de encargo de cambios que implica el disección de riesgos, la comunicación con las partes interesadas y posiblemente la modernización de las soluciones existentes, por otra parte de la modernización efectivo del sistema activo.
De hecho, el principal impulsor del aumento del presupuesto de TI durante los últimos 3 primaveras es la menester de renovar la infraestructura obsoleta, y la modernización es parte del flujo de trabajo de todos. Mientras tanto, Ubuntu ESM sirve como un recipiente para brindarle la flexibilidad de programar actualizaciones de infraestructura y, al mismo tiempo, asegurar la seguridad y la continuidad de sus sistemas.
Obtenga más información sobre cómo otros clientes aprovecharon Ubuntu 14.04 ESM en los estudios de caso a continuación.
ESM mantiene la seguridad del sistema de Interana mientras se actualiza ›
TIM garantiza la seguridad del sistema y la confianza del cliente con ESM ›
