Monatliches TuxCare-Update - Januar 2022
Willkommen zur Januar-Ausgabe unseres monatlichen News-Round-ups, das wir für Sie von TuxCare gekauft haben. Wir sind stolz darauf, ein zuverlässiger Wartungsdienstleister für die Enterprise Linux-Industrie zu sein. Unsere Live-Patching-Lösungen maximieren die Systemsicherheit und Betriebszeit bei gleichzeitiger Minimierung des Wartungsaufwands und der Systemunterbrechungen.
Wir hoffen, dass das neue Jahr für Sie reibungslos und ohne Zwischenfälle begonnen hat. Ebenso hoffen wir, dass der nächste Monat für Sie frei von Problemen und Stress ist. In dieser aktuellen Monatsübersicht beginnen wir wie gewohnt mit einer Übersicht über die neuesten CVEs, die das TuxCare-Team für Sie gepatcht hat. Außerdem bringen wir Ihnen die neuesten Nachrichten, Ratschläge und wertvolle Tipps.
Inhalt
1. Im Januar bekannt gegebene CVEs
2. Enterprise Linux-Sicherheits-Video-Podcasts
3. CentOS 8 - Leben nach dem Ende des Lebens
Im Januar bekannt gegebene CVEs
Das neue Jahr brachte die Entdeckung eines bedeutenden Problems im Legacy-Paket polkit, das seit zwölf Jahren existiert und in den meisten Distributionen enthalten ist.
CVE-2021-4034 ist eine Schwachstelle im polkit-Code, die es einem nicht privilegierten Benutzer ermöglicht, in jedem System, auf das er Zugriff hat, schnell Root-Rechte zu erlangen. Der Code-Fehler befindet sich in der pkexec-Komponente des polkit-Pakets. Weitere Details sowie eine schnelle Lösung zum Schutz Ihrer Systeme, bis Sie die Patches installiert haben, finden Sie in unserem Blogbeitrag: PwnKit, oder wie 12 Jahre alter Code unberechtigten Benutzern Root-Rechte verschaffen kann
Zum Zeitpunkt der Erstellung dieses Artikels haben wir bereits Patches für CentOS 6, Oracle 6, CL6, Ubuntu 16 und CentOS 8.4 erstellt. Weitere sind in Vorbereitung, und Sie können den aktuellen Status über unser CVE-Dashboard hier verfolgen: CVE-Dashboard für CVE-2021-4034
Ein weiteres CVE, das im Januar bekannt gegeben wurde, ist Luks, mehr dazu finden Sie hier.
Für alle aufgedeckten CVEs, die sich auf die von unseren Extended Lifecycle Support Services abgedeckten Distributionen auswirken, sind Patches in Entwicklung oder bereits erstellt und verteilt worden. In unserem hilfreichen CVE-Dashboard finden Sie weitere Einzelheiten. Es listet alle CVEs auf, die von unseren Support-Services abgedeckt werden, und bietet Filteroptionen, die den Zugriff auf die für Ihre Systeme relevanten Informationen erleichtern.
Enterprise Linux-Sicherheits-Video-Podcasts
Der Enterprise Linux Security-Podcast des TuxCare-Teams bietet weiterhin ausführliche Erklärungen zu den neuesten Themen und grundlegenden Konzepten. Jay LaCroix von Learn Linux TV und Joao Correia von TuxCare haben diesen Monat zwei neue Episoden zur Verfügung gestellt.
In der fünfzehnten Folge diskutieren Joao und Jay über Hochverfügbarkeitssysteme zur Vermeidung von Systemausfällen und werfen einen Blick auf die neuesten Entwicklungen im Zusammenhang mit der Log4Shell-Sicherheitslücke. Sie können das Video hier ansehen: Enterprise Linux Security Episode 15 - Hochverfügbarkeit
In der sechzehnten Folge erörtern Joao und Jay das Thema Library Poisoning und dessen Einsatz bei Angriffen auf die Lieferkette, insbesondere die jüngste Sabotage zweier beliebter NPM-Bibliotheken. Sie können sich das Video hier ansehen: Enterprise Linux Security Episode 16 - Library Poisoning
Diese Video-Podcasts, in denen Linux-Sicherheitsfragen erörtert werden, sind ein Muss für jeden, der mit der Verwaltung von Linux-basierten Unternehmenssystemen zu tun hat.
CentOS 8 - Leben nach dem Ende des Lebens
Wenn Sie CentOS 8 verwenden, werden Sie wissen, dass der offizielle Support für diese Distribution jetzt eingestellt wurde. Infolgedessen werden Sie keine Fehlerbehebungen oder Patches für CVEs und andere neue Sicherheitslücken mehr erhalten. Diese plötzliche Einstellung des Supports, Jahre vor dem erwarteten End-of-Life-Datum, hat die Nutzer vor ein Dilemma gestellt: entweder einen Ersatz zu finden und das System so schnell wie möglich zu wechseln oder CentOS 8 weiter zu nutzen und dabei einen Migrationsplan sorgfältig auszuarbeiten. In unserem Blogbeitrag können Sie mehr über Ihre Optionen lesen: Der Winter naht für CentOS 8.
Wir haben auch einen Blick auf die praktischen Aspekte des Vorschlags von Red Hat geworfen, dass Benutzer auf CentOS Stream migrieren sollten. Sie können mehr über unsere Gedanken in unserem Blogbeitrag lesen: Wann die Migration zu CentOS Stream sinnvoll ist (und wann nicht)
Diejenigen von Ihnen, die weiterhin CentOS 8 verwenden, wissen hoffentlich, dass diese Distribution von der PwnKit-Schwachstelle betroffen ist. Wenn Sie sich entschieden haben, das TuxCare-Supportpaket für Ihre CentOS 8-Systeme zu nutzen, wissen Sie, dass wir uns mit unserem Live-Patching-Service um die Behebung dieser Sicherheitslücke kümmern. Wenn Sie betroffen sind und sich nicht für unseren Support angemeldet haben, warum nicht? Wir können Ihnen helfen, Ihre Systeme zu schützen, nachdem der offizielle Support ausgelaufen ist, und die Lebensdauer Ihrer CentOS 8-Systeme um weitere vier Jahre verlängern. Unser Extended Lifecycle Support ermöglicht es Ihnen, Ihre Sicherheitsrisiken im Blick zu behalten, Sicherheitslücken zu schließen und sicher zu bleiben. Mehr über den CentOS 8 Extended Lifecycle Support erfahren Sie in unserem Blogbeitrag: CentOS 8: Warum erweiterter Support besser ist als eine überstürzte Migration