Atualizações de Segurança no Ubuntu e Fedora

images

Conforme a tecnologia vai evoluindo, o desenvolvimento de aplicações vai acontecendo muitas brechas de segurança vão surgindo, devido a problemas com o código ou até mesmo uma certa vulnerabilidade explorada de forma má-intencionada. Todas os softwares possuem vulnerabilidades que são explorados por laboratórios, usuário final, empresas de segurança da informação e até mesmo do próprio desenvolvedor e geralmente possuem um nível de criticidade, que passam por baixo, médio (ou intermediário),alto e crítico (esse é para vc se desesperar mesmo!). Seus desenvolvedores geralmente lançam patchs de correção para os mesmos. Estes patchs possuem uma única finalidade, acabar com a vulnerabilidade.

Por favor, nao confunda virus, worm, spyware com vulnerabilidades de softwares, mesmo que eles se apresentam da mesma maneira. Uma vulnerabilidade é a possibilidade do atacante conseguir se comunicar com a aplicação de forma maliciosa e intrusa. Através de uma vulnerabilidade alguem pode ter acesso a um terminal como root, sem ser root. Através de uma vulnerabilidade, alguem pode ter acesso a todo os seus dados, bancos, arquivos e qualquer outro tipo de informação sigilosa sem que essa pessoa tenha permissão para isso.

Sobre virus em Linux? Tem virus? NÃO! mas….. as vulnerabilidades e outros problemas de má administração podem gerar grandes problemas no seu linux de dar inveja ao mais poderoso virus para Windows (o sistema do mal), então, fique de olho. Problemas como scripts maliciosos, sistema operacional sem hardening (boas praticas de segurança), rootkits (programas se comportando de outra maneira), setuid (bits especiais) aplicados de forma deliberada, sem administração e qualquer documentação, exploits, tuning de kernel (relacionado a boas praticas de segurança) e outros. Então voce deve se proteger de todo esse mal de uma única maneira, COM BOA ADMINISTRAÇÃO. Sobre hardening ? Prometo, eu escrevo aqui sobre segurança um dia e mostro as maiores não-conformidades presentes no seu Linux.

Mas então para que existe antivirus para Linux? Os antivirus para Linux são importantíssimos para a proteção dos seus dados pessoais que são compartilhados para outros sistemas operacionais por MTA (nao consigo imaginar um servidor de email sem antivirus), webserver, samba e outros. Porque afinal, voce pode nao pegar virus, mas pode levar sem querer para outro sistema operacional.

Vulnerabilidade sempre tem e NENHUM sistema esta livre e isso desde o primeiro worm ficou bem claro. O primeiro worm que atraiu grande atenção foi o Morris Worm, escrito por Robert T. Morris Jr no Laboratório de Inteligência artificial do MIT. Ele foi iniciado em 2 de novembro de 1988, e rapidamente infectou um grande número de computadores pela Internet. Ele se propagou através de uma série de erros no BSD Unix e seus similares. Morris foi condenado a prestar 400 horas de serviços à comunidade e pagar uma multa de US$10.000.

O kernel Linux recentemente apresentou um bug que esteve presente entre as versões 2.6.37 e 3.9 foi corrigido já há algum tempo, mas não era considerado uma falha de segurança – só que agora foi demonstrado (via um exploit) que o mesmo bug permite que um usuário local alcance privilégio de root.

O Apache também sofreu sério com recentemente com uma vulnerabilidade crítica chamada cdorcked, onde atacantes utilizaram desse “backdoor” para substituir o binário httpd ou apache2 do servidor por um outro, permitindo abrir um shell reverso na máquina ativado por uma requisição HTTP do tipo GET ao servidor e indicando onde o host deve se conectar para abrir o shell, permitindo controle remoto e total do servidor pelo atacante. O ESET também descreveu como o malware usa um segmento de memória compartilhado de 6 MB, permitindo acesso a leitura e escrita para todos os usuários neste segmento de memória, além de redirecionar requisições de clientes que queriam acessar o site para outras páginas que vão usar o blackhole.

Para se manter seguro é necessário pelo menos atualizar os seus pacotes para as versões mais novas, mas muitas empresas tem reclamado dessa boa pratica devido a homologação e de suas aplicações. Imagine a aplicação AA que precisa da biblioteca BB na versão 2.2, se voce atualizar para a versão 2.8 a mais recente, voce pode comprometer a aplicação do seu fornecedor, fabricante ou desenvolvedor e forçar que a equipe tenha um novo trabalho de dev, devido a aplicação funcionar somente na biblioteca na versão anterior. Isso é um problema muito grande e visível em grandes empresas e que tenho enfrentado bastante. Mas existe sim uma solução! A atualização de pacote persiste em subir a release dos mesmos, ja a atualização de segurança apenas atualiza as correções e vulnerabilidades do código, mantendo praticamente em 99% suas versões. Ou seja, são coisas diferentes. Voce se mantem atualizado e o seu desenvolvedor feliz por atualizar o seu software e não comprometer o seu negócio (ou do seu cliente).

Distribuições como Debian, RedHat, SuSE, CentOS, Ubuntu (e outras), estão sempre em atualização e correção de pacotes e todas elas estão com o seu CVE (banco de informação de vulnerabilidades), sempre atualizados. Então consulte! A equipe de segurança destas distribuições estão sempre atualizando a sua distribuição favorita, como são “geralmente” responsáveis pelo processo de atualização dos mesmos.

NO Debian e Ubuntu, em /etc/apt/sources.list existe os repositórios de security, por onde vem as correções de segurança (e geralmente atualização de pacotes). Como ja mencionei, a atualização de segurança é para correção das vulnerabilidades e devem ser verificadas se ocorrerá atualização da versão do software. Mas no Debian e principalmente no Ubuntu voce pode aproveitar o repositório “security” e manter somente os seus pacotes corrigidos com 100% de integridade, basta copiar os endereços para outro arquivo e usar o “option file” do apt para a leitura.

Debian e Ubuntu

# cat /etc/apt/sources.list | grep security > /root/security.list

# apt-get update && apt-get dist-upgrade -o Dir::Etc::/root/security.list

O comando acima faz o apt le do arquivo /root/security.list e puxar apenas as suas correções ignorando o /etc/apt/sources.list, ou seja, com as linhas de security somente que foram extraidas do primeiro comando, voce terá as atualizações de segurança dos pacotes, quando houver. No Ubuntu, apenas digite o comando: unattended-upgrades (ou unattended-upgrade), que usa a regra “Unattended-Upgrade::Allowed-Origins {“${distro_id} ${distro_codename}-security”; criada em /etc/apt/apt.conf.d/50unattended-upgrades para atualizar pacotes puxando apenas dos repositórios de security (segurança).Fique de olho no arquivo de log: /var/log/unattended-upgrades/unattended-upgrades.log, se houver (como o proprio /var/log/dpkg.log, que é o padrão).

No Ubuntu, voce pode puxar usar apenas o comando:

# unattended-upgrades

No Ubuntu também vale a pena informar o comando ubuntu-support-status, que verifica todos os pacotes instalados e informa o que é suportado ou não pela raiz principal de atualizações, sendo claro a visibilidade de pacotes instalados por PPA (repositórios pessoais e que podem trazer vulnerabilidades diversas). Voce também pode usar as opções –show-unsupported, –show-supported ou –show-all, deste script.

ubuntu-support-status

 

RHEL, CentOS, Fedora

No Fedora, RedHat e CentOS o procedimento é mais fácil ainda, devido o yum trabalhar de forma muito mais inteligente que o apt para resolver dependências de pacotes. Pois no yum voce pode atualizar apenas um pacote ou grupos de pacotes e atualizar apenas pelo yum-security os pacotes que necessitam atualizações e correções de segurança. Ate a versão 5 do RHEL, CentOS e algumas versões antigas do Fedora, era necessário instalar o pacote yum-plugin-security para utilizar a opção “–security”, hoje voce não precisa mais fazer isso.

# yum –security check-update
# yum -y update –security

Os comandos acima faz com que o yum procure por correções de segurança e encontrando, instale.

Como ja informei, no RHEL, CentOS e Fedora voce pode instalar apenas o CVE selecionado (ou mais de um), pacotes por severidade, bugfix, bzs e advisories. Excelente, o yum é uma excelente ferramenta, acredite.

Quero ver apenas os bugzillas: yum updateinfo list bugzillas

Ou ter apenas uma informação por sumário: yum updateinfo summary

Ver a lista de correções e histórico: yum list-security

(exemplo da saida do comando acima)

FEDORA-2013-13903 bugfix libreport-web-2.1.6-2.fc19.x86_64
FEDORA-2013-14169 bugfix openssh-6.2p2-5.fc19.x86_64
FEDORA-2013-14169 bugfix openssh-clients-6.2p2-5.fc19.x86_64
FEDORA-2013-14169 bugfix openssh-server-6.2p2-5.fc19.x86_64
FEDORA-2013-13461 bugfix python-caribou-0.4.11-1.fc19.noarch
FEDORA-2013-13133 bugfix qt-1:4.8.5-5.fc19.i686
FEDORA-2013-13133 bugfix qt-x11-1:4.8.5-5.fc19.x86_64
FEDORA-2013-14064 bugfix xorg-x11-drv-intel-2.21.12-2.fc19.x86_64
FEDORA-2013-14064 bugfix xorg-x11-drv-nouveau-1:1.0.9-1.fc19.x86_64
FEDORA-2013-14064 bugfix xorg-x11-server-Xorg-1.14.2-9.fc19.x86_64
FEDORA-2013-14064 bugfix xorg-x11-server-common-1.14.2-9.fc19.x86_64   <-
FEDORA-2013-13947 bugfix yum-3.4.3-104.fc19.noarch

Verificar informações de uma única correção: yum info-security FEDORA-2013-14064

(saida do comando acima)

===============================================================================
xorg-x11-drv-intel-2.21.12-2.fc19,xorg-x11-drv-nouveau-1.0.9-1.fc19,xorg-x11-server-1.14.2-9.fc19
===============================================================================
Update ID : FEDORA-2013-14064
Release : Fedora 19
Type : bugfix
Status : stable
Issued : 2013-08-02 02:16:10
Description : fixes issues with output offload from intel to nvidia with
: multiple heads,
:
: fix XI version mismatch and active touch grabs.
updateinfo info done

Ou verificar e instalar a correção por bugzilla numero XXXXX, cve de numero XXXX e advisories de numero XXXX (conforme visualizado acima) com o comando yum –bz XXXXX –cve XXXX-XXXXXX –advisory XXXXXXXXXX-XX info updates

Mantenha a segurança, confiança, disponibilidade, autenticidade e integridade do seu sistema operacional que é composto de pacotes. Mantenha-se atualizado pelas listas de segurança e correções de pacote.

 

Listas de CVE (Common Vulnerabilities and Exposures)

Debian: https://security-tracker.debian.org/
Ubuntu Security Notices: http://www.ubuntu.com/usn
Ubuntu CVE: http://people.canonical.com/~ubuntu-security/cve/
RedHa e CentOSt: https://access.redhat.com/security/cve/
Fedora: http://cve.mitre.org/data/refs/refmap/source-FEDORA.html
MITRE (o mais importante dos CVE): http://cve.mitre.org/
SuSE: http://cve.mitre.org/data/refs/refmap/source-SUSE.html
NVD: http://nvd.nist.gov/home.cfm
P
RISM: rsrs

Lembre-se, a segurança quem faz é você e NÃO, definitivamente NÃO existe sistema seguro no mundo.

 

Aprígio Simões
aprigiosimoes@gmail.com

 

Powered by Moblie Video for WordPress + Daniel Watrous