Mise à jour mensuelle de TuxCare - janvier 2022

Bienvenue à l'épisode de janvier de notre tour d'horizon mensuel des actualités, qui vous est offert par TuxCare. Nous sommes fiers d'être un fournisseur de services de maintenance de confiance pour l'industrie Enterprise Linux. Nos solutions de correctifs en direct maximisent la sécurité et la disponibilité du système tout en minimisant la charge de travail de la maintenance et les perturbations du système. 

Nous espérons que la nouvelle année a commencé en douceur et sans incident pour vous. De même, espérons que le mois prochain sera exempt de problèmes et de stress pour vous. Dans ce dernier aperçu mensuel, nous commencerons comme d'habitude par un tour d'horizon des derniers CVEs que l'équipe TuxCare a patché pour vous. Nous vous apporterons également les dernières nouvelles, des conseils et de précieuses astuces.

Contenu

1. CVEs divulgués en janvier

2. Podcasts vidéo sur la sécurité d'Enterprise Linux

3. CentOS 8 - La vie après la fin de vie

CVEs divulgués en janvier

La nouvelle année a vu la découverte d'un problème important dans l'ancien paquet polkit qui existe depuis douze ans et qui est présent dans la plupart des distributions. 

CVE-2021-4034 est une vulnérabilité dans le code de polkit qui permet à un utilisateur non privilégié d'obtenir rapidement les privilèges root dans tout système auquel il peut accéder. La faille du code se trouve dans le composant pkexec du paquet polkit. Vous trouverez plus de détails, ainsi qu'une solution rapide pour protéger vos systèmes jusqu'à ce que vous ayez installé les correctifs, dans notre article de blog : PwnKit, ou comment un code vieux de 12 ans peut donner l'accès à la racine à des utilisateurs non privilégiés.

Au moment où nous écrivons ces lignes, nous avons déjà produit des correctifs pour CentOS 6, Oracle 6, CL6, Ubuntu 16 et CentOS 8.4. D'autres sont en cours d'élaboration et vous pouvez suivre l'évolution de la situation en utilisant notre tableau de bord CVE ici : Tableau de bord CVE pour CVE-2021-4034

Une autre CVE divulguée en janvier est celle de Luks, cliquez ici pour en savoir plus.

Tous les CVE divulgués qui affectent les distributions couvertes par nos services de support du cycle de vie étendu ont des correctifs en cours de développement ou déjà produits et distribués. Consultez notre tableau de bord CVE pour plus de détails. Il répertorie tous les CVE couverts par nos services d'assistance avec des options de filtrage pour faciliter l'accès aux informations pertinentes pour vos systèmes.

Podcasts vidéo sur la sécurité d'Enterprise Linux

Le podcast sur la sécurité d'Enterprise Linux de l'équipe TuxCare continue d'offrir des explications approfondies sur les derniers sujets d'actualité et les concepts fondamentaux. Co-animé par Jay LaCroix de Learn Linux TV et Joao Correia de TuxCare, deux nouveaux épisodes sont disponibles ce mois-ci.

Dans le quinzième épisode, Joao et Jay discutent des systèmes à haute disponibilité pour aider à éliminer les temps d'arrêt des systèmes, et examinent les derniers développements concernant la vulnérabilité de Log4Shell. Vous pouvez visionner la vidéo ici : Enterprise Linux Security Episode 15 - Haute disponibilité

Dans le seizième épisode, Joao et Jay discutent de la question de l'empoisonnement des bibliothèques et de son utilisation dans les attaques de la chaîne d'approvisionnement, en particulier le récent sabotage de deux bibliothèques NPM populaires. Vous pouvez visionner la vidéo ici : Enterprise Linux Security Episode 16 - Library Poisoning (en anglais)

Ces podcasts vidéo traitant des problèmes de sécurité de Linux sont essentiels pour toute personne impliquée dans la gestion des systèmes d'entreprise basés sur Linux. 

CentOS 8 - La vie après la fin de vie

Si vous êtes un utilisateur de CentOS 8, vous savez pertinemment que le support officiel de cette distribution est désormais terminé. Par conséquent, vous ne recevrez plus de corrections de bogues ni de correctifs pour les CVE et autres vulnérabilités de sécurité émergentes. Ce retrait soudain du support, des années avant la date prévue de fin de vie, a laissé les utilisateurs face à un dilemme : trouver un remplacement et changer de système aussi rapidement que possible ou continuer à utiliser CentOS 8 tout en élaborant soigneusement un plan de migration. Vous pouvez en savoir plus sur vos options dans notre article de blog : L'hiver arrive pour CentOS 8.

Nous avons également examiné les aspects pratiques de la suggestion de Red Hat aux utilisateurs de migrer vers CentOS Stream. Vous pouvez en savoir plus sur nos réflexions dans notre article de blog : Quand migrer vers CentOS Stream a du sens (et quand cela n'en a pas)

Pour ceux d'entre vous qui continuent à utiliser CentOS 8, vous savez que cette distribution est affectée par la vulnérabilité PwnKit. Si vous avez choisi d'utiliser le pack de support TuxCare pour vos systèmes CentOS 8, vous savez que nous sommes en train de corriger cette vulnérabilité en utilisant notre service de correctifs en direct. Si vous êtes concerné et que vous n'avez pas souscrit à notre support, pourquoi pas ? Nous pouvons vous aider à protéger vos systèmes maintenant que le support officiel a pris fin et prolonger la durée de vie de vos systèmes CentOS 8 de quatre ans. Notre support de cycle de vie étendu vous permet de maîtriser vos risques de sécurité, de combler les failles de sécurité et de rester en sécurité. Vous pouvez en savoir plus sur le support étendu de CentOS 8 dans notre article de blog : CentOS 8 : Pourquoi le support étendu est préférable à une migration précipitée