Actualización mensual de TuxCare - Enero de 2022

Bienvenido a la entrega de enero de nuestro resumen mensual de noticias, comprado para usted por TuxCare. Estamos orgullosos de ser un proveedor de servicios de mantenimiento de confianza para el sector de Linux empresarial. Nuestras soluciones de parcheo en vivo maximizan la seguridad y el tiempo de actividad del sistema al tiempo que minimizan la carga de trabajo de mantenimiento y la interrupción del sistema. 

Esperamos que el nuevo año haya empezado sin contratiempos ni incidentes para usted. Del mismo modo, esperamos que el próximo mes esté libre de problemas y tensiones. En este último resumen mensual, empezaremos como de costumbre con un resumen de los últimos CVE que el equipo de TuxCare ha parcheado para ti. También te traeremos las últimas noticias, consejos y valiosos trucos.

Contenido

1. CVE divulgados en enero

2. Podcasts de vídeo sobre seguridad de Enterprise Linux

3. CentOS 8 - La vida después del fin de la vida útil

CVE divulgadas en enero

El nuevo año ha sido testigo del descubrimiento de un problema importante en el paquete polkit, que ha existido durante doce años y está presente en la mayoría de las distribuciones. 

CVE-2021-4034 es una vulnerabilidad en el código de polkit que permite a un usuario sin privilegios obtener rápidamente privilegios de root en cualquier sistema al que pueda acceder. El fallo del código se encuentra en el componente pkexec del paquete polkit. Puedes ver más detalles, además de una solución rápida para proteger tus sistemas hasta que instales los parches en nuestra entrada del blog: PwnKit, o cómo un código de hace 12 años puede dar root a usuarios sin privilegios

En el momento de escribir estas líneas, ya hemos producido parches para CentOS 6, Oracle 6, CL6, Ubuntu 16 y CentOS 8.4. Hay más en camino. Hay más en camino, y usted puede seguir el último estado usando nuestro tablero CVE aquí: Panel CVE para CVE-2021-4034

Otro CVE revelado en enero es Luks, diríjase aquí para obtener más detalles al respecto.

Todos los CVE divulgados que afectan a las distribuciones cubiertas por nuestros servicios de asistencia para el ciclo de vida ampliado tienen parches en desarrollo o ya producidos y distribuidos. Consulte nuestro útil panel de CVE para obtener más información. En él se enumeran todos los CVE cubiertos por nuestros servicios de asistencia con opciones de filtrado para facilitar el acceso a la información relevante para sus sistemas.

Podcasts de vídeo sobre seguridad de Enterprise Linux

El podcast de Seguridad en Linux Empresarial del equipo TuxCare continúa ofreciendo explicaciones en profundidad sobre los últimos temas de actualidad y conceptos fundamentales. Co-presentado por Jay LaCroix de Learn Linux TV y Joao Correia de TuxCare, dos nuevos episodios están disponibles para ver este mes.

En el decimoquinto episodio, Joao y Jay discuten los sistemas de alta disponibilidad para ayudar a eliminar el tiempo de inactividad del sistema, además de echar un vistazo a los últimos acontecimientos en torno a la vulnerabilidad Log4Shell. Puede ver el vídeo aquí: Enterprise Linux Security Episodio 15 - Alta Disponibilidad

En el decimosexto episodio, Joao y Jay discuten el tema del envenenamiento de librerías y su uso en ataques a la cadena de suministro, en particular el reciente sabotaje de dos populares librerías NPM. Puede ver el vídeo aquí: Enterprise Linux Security Episodio 16 - Envenenamiento de librerías

Estos podcasts de vídeo en los que se debaten cuestiones de seguridad de Linux son de visionado obligatorio para cualquier persona implicada en la gestión de sistemas empresariales basados en Linux. 

CentOS 8 - La vida después del fin de la vida útil

Si eres usuario de CentOS 8, sabrás que el soporte oficial para esta distribución ha finalizado. Como resultado, ya no recibirá correcciones de errores ni parches para CVE y otras vulnerabilidades de seguridad emergentes. Esta repentina retirada de soporte años antes de la fecha prevista de fin de vida útil ha dejado a los usuarios ante un dilema: encontrar un sustituto y cambiar de sistema lo más rápidamente posible o seguir utilizando CentOS 8 mientras se formula cuidadosamente un plan de migración. Puede leer más sobre sus opciones en nuestra entrada de blog: Se acerca el invierno para CentOS 8.

También hemos analizado los aspectos prácticos de la sugerencia de Red Hat de que los usuarios migren a CentOS Stream. Puede leer más sobre nuestras ideas en nuestra entrada de blog: Cuando migrar a CentOS Stream tiene sentido (y cuando no)

Para aquellos de ustedes que siguen utilizando CentOS 8, es de esperar que sepan que esta distribución se ve afectada por la vulnerabilidad PwnKit. Si ha optado por utilizar el paquete de soporte TuxCare para sus sistemas CentOS 8, sabrá que estamos en el caso de la fijación de esta vulnerabilidad utilizando nuestro servicio de parches en vivo. Si está afectado y no se ha suscrito a nuestro servicio de asistencia, ¿por qué no? Podemos ayudarle a proteger sus sistemas ahora que el soporte oficial ha finalizado y ampliar la vida útil de sus sistemas CentOS 8 durante otros cuatro años. Nuestro soporte de ciclo de vida ampliado le permite estar al tanto de sus riesgos de seguridad, cerrar las brechas de seguridad y mantenerse a salvo. Puede obtener más información sobre el soporte ampliado del ciclo de vida de CentOS 8 en la entrada de nuestro blog: CentOS 8: Por qué el soporte ampliado es mejor que una migración precipitada