Rocky Linux запускає новий Security Repository для термінових виправлень

Rocky Linux запустив опціональний Security Repository для надання термінових виправлень у виняткових випадках безпеки перед випуском пакетів Enterprise Linux. Цей репозиторій призначений для випадків, коли відома значна вразливість, існує експлойт і очікування на пакети з боку постачальників залишає системи під загрозою.

Значення Security Repository для безпеки Rocky Linux

За замовчуванням, репозиторій вимкнуто, тож стандартна поведінка оновлень залишається незмінною, якщо не потрібно термінове виправлення безпеки. Цей підхід є обмеженим винятком із моделі, сумісної з upstream Rocky Linux. Іншими словами, репозиторій не призначений як загальний канал швидкого оновлення або заміна стандартного процесу випуску.

Також варто зазначити, що пакети з Security Repository версіонуються для автоматичної заміни пізнішими оновленнями Enterprise Linux; вони не містять традиційних записів про помилки і не з’являються через dnf update --security як стандартні рекомендації.

Випадки використання нової репозиторії

Перший випадок використання стосувався Dirty Frag, набору вразливостей локального підвищення привілеїв у ядрі Linux. Dirty Frag включав два CVE: один впливав на ESP, інший на RxRPC через пакет kernel-modules-partner. Перший випуск ядра з Security Repository містив виправлення для обох уразливостей.

Red Hat уже виправив вразливість ESP у своїх останніх збірках. Другий реліз ядра Rocky включав це виправлення з upstream і продовжував вирішення проблеми з RxRPC. Тим не менш, Rocky тепер скасовує патч для RxRPC, оскільки Red Hat не постачає пакет kernel-modules-partner своїм клієнтам, і Rocky включає його лише у свій розробницький репозиторій без гарантій підтримки.

Функціональність Security Repository від Rocky Linux

Rocky Linux зазначає, що Security Repository функціонував як потрібно, заповнюючи прогалину до моменту, поки не стало доступним виправлення з upstream, без підтримки незалежного патча для пакета, не призначеного для продакшн-систем.

Якщо Rocky надасть тимчасове виправлення, а upstream не вирішить проблему, наступний реліз ядра upstream може замінити патч від Rocky. Користувачі, які не зафіксували версію ядра, можуть втратити тимчасове виправлення. Rocky зазначає, що це компроміс, пов’язаний із залишенням відновлення Enterprise Linux, а не з підтримкою незалежного ядра.

Адміністратори, які хочуть застосувати доступні виправлення з Security Repository, можуть запустити:

sudo dnf --enablerepo=security update

Щоб постійно активувати репозиторій, скористайтеся стандартною конфігурацією DNF репозиторію. Ніякі дії не потрібні для систем, які не потребують пришвидшеного виправлення; їх поведінка оновлень залишиться незмінною.

Rocky Linux буде повідомляти користувачів, коли в репозиторій додаватимуться пакети, що вони усуватим та очікуваний перехід назад до пакетів, сумісних із upstream.

Для отримання детальної інформації перегляньте анонс або ознайомтеся з блогом Rocky на цю тему.