Monatliches TuxCare-Update - November 2021

Willkommen zur November-Ausgabe unseres monatlichen News-Round-ups, das wir für Sie von TuxCare gekauft haben. Wir sind der vertrauenswürdige Wartungsdienstleister der Enterprise Linux-Branche. Wir haben Live-Patching-Lösungen entwickelt, die den Wartungsaufwand und die Unterbrechungen minimieren und gleichzeitig die Sicherheit und Betriebszeit des Systems maximieren.

In dieser aktuellen Monatsübersicht beginnen wir wie gewohnt mit einer Übersicht über die neuesten CVEs, die das TuxCare-Team für Sie gepatcht hat. Außerdem bringen wir Ihnen die neuesten Nachrichten, Ratschläge und wertvolle Tipps.

Inhalt:

1. Im November bekannt gegebene CVEs
2. Video-Podcasts zur Sicherheit von Enterprise Linux
3. Ankündigung der CISA-Richtlinie
4. TuxCare-Ressourcen sind live
5. TuxCare-Blog: Editor's Pick

Im NOVEMBER bekannt gegebene CVEs

Im November wurde eine bemerkenswerte Sicherheitslücke aufgedeckt, die den iconv-Code betraf. Bemerkenswert deshalb, weil eines unserer eigenen Teammitglieder das Problem identifiziert und den Fix entwickelt hat, der zur Genehmigung und Bereitstellung an Upstream weitergegeben wurde.

Bezeichnet CVE-2021-43396Diese Schwachstelle betrifft den iconv-Code, der als Teil der glibc (GNU C)-Bibliothek Zeichenkodierungen umwandelt. Der bisher unbekannte Fehler kann dazu führen, dass die Escape-Sequenz, die zum Umschalten des aktiven Zeichensatzes verwendet wird, zu abnormalem Code-Verhalten oder Datenbeschädigung führt. Der CVE-Status wird derzeit überprüft, und weitere Einzelheiten werden im Blog veröffentlicht, sobald eine Einigung erzielt und eine endgültige Entscheidung getroffen wurde. In der Zwischenzeit wurde die Korrektur akzeptiert und der Patch veröffentlicht.

Dieses offengelegte CVE betrifft vier der Distributionen, die von unseren Erweiterte Lebenszyklus-Supportdiensteabgedeckt werden, und es wurden bereits Patches verteilt. Siehe unser kürzlich erweitertes CVE-Dashboard für weitere Einzelheiten. Es listet alle CVEs auf, die von unseren Support-Services abgedeckt werden, mit Filteroptionen, die den Zugriff auf die für Ihre Systeme relevanten Informationen erleichtern.

Enterprise Linux-Sicherheits-Video-Podcasts

Der Enterprise Linux Security-Podcast des TuxCare-Teams bietet weiterhin ausführliche aktuelle Erklärungen zu den neuesten Themen und grundlegenden Konzepten. Jay LaCroix von Learn Linux TV und Joao Correia von TuxCare sind Mitveranstalter des Podcasts. Diesen Monat stehen drei neue Folgen zur Verfügung.

Sie können sich die siebte Folge ansehen, in der Jack Aboutboul an der Diskussion darüber teilnimmt, wie das Elevate-Tool bei der Migration zwischen verschiedenen Linux-Distributionen helfen kann: Enterprise Linux Sicherheit Episode 7 - ELevate - YouTube

In der achten Folge geht es um die Angriffstaktik Trojan Source und die Auswirkungen der CISA-Richtlinie: Enterprise Linux Security Episode 8 - Trojan Source und die CISA-Richtlinie - YouTube

Außerdem ist eine neunte Folge verfügbar, in der es darum geht, wie DevOps die Entwicklungslandschaft verändert: Enterprise Linux Sicherheit Episode 9 - DevOps - YouTube

Diese Video-Podcasts, in denen Linux-Sicherheitsfragen erörtert werden, sind ein Muss für jeden, der mit der Verwaltung von Linux-basierten Unternehmenssystemen zu tun hat.

CISA-Ankündigung

In diesem Monat hat die US-Behörde für Cybersicherheit und Infrastruktursicherheit eine Richtlinie an alle US-Bundesbehörden herausgegeben, um eine Reihe von bekannten Sicherheitslücken zu schließen. In der Richtlinie werden über dreihundert Schwachstellen aufgeführt, die dringend behoben werden müssen. Dies ist insofern bemerkenswert, als es die Probleme mit kritischen Abteilungen der US-Regierung verdeutlicht, die ungepatchte Systeme betreiben, und das zu einer Zeit, in der ihre Systeme anhaltenden Angriffen durch fortgeschrittene anhaltende Bedrohungen ausgesetzt sind.

Diese Richtlinie ist für den Rest der Welt von Bedeutung, da sie die Schwachstellen aufzeigt, die nach Ansicht der Regierung von UG bereits ausgenutzt werden oder kurz davor stehen, ausgenutzt zu werden. Dies ist ein Weckruf an alle, sicherzustellen, dass sie vollständig gegen diese Liste gepatcht sind.

Wenn Sie sich nicht sicher sind, ob diese Schwachstellen Ihre Distributionen betreffen, dann sehen Sie sich unser CVE-Dashboard für weitere Details zu jeder aufgeführten Sicherheitslücke. Und vergessen Sie nicht, sich Folge acht unseres Enterprise Linux Security Video-Podcasts anzusehen, in der wir diese Richtlinie weiter diskutieren.

In unserem Blog erfahren Sie mehr über Was bedeutet die kritische KAG-Richtlinie, und wie sollten Sie darauf reagieren?

TuxCare Blog: Editor's Pick

Wir freuen uns, Ihnen mitteilen zu können, dass die vereinheitlichte TuxCare Ressourcen mit vielen hilfreichen Anleitungen, Artikeln und kostenlosen Tools für die Linux-Benutzergemeinschaft online ist.

Bitte nehmen Sie sich die Zeit, sich im Hub umzusehen und zu sehen, welche Schätze wir Ihnen für Ihre tägliche Verwaltungsarbeit zur Verfügung gestellt haben. Wir hoffen, dass diese Ressourcen wertvolle Einblicke bieten, die Ihr Arbeitsleben leichter machen und Ihr Wissen erweitern.

TuxCare Blog: Editor's Pick

• Verlangsamt Live-Patching die Systeme?
• Der Winter naht für CentOS 8