ClickCease Mise à jour mensuelle de TuxCare - juin 2021 | tuxcare.com

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

Mise à jour mensuelle de TuxCare - juin 2021

Le 2 juillet 2021 - L'équipe de relations publiques de TuxCare

En tant que partenaire de confiance pour la fourniture de services de maintenance à l'industrie Enterprise Linux, notre objectif est de rendre l'administration du système plus facile à gérer. Dans cet aperçu mensuel, vous trouverez un tour d'horizon des derniers CVEs patchés par l'équipe TuxCare. Continuez également à lire pour connaître les détails des derniers conseils et offres de TuxCare pour nos clients.

Sommaire :

1. CVEs divulgués en juin
2. Concepts de contrôle d'accès basés sur les rôles
3. Conversion de RHEL 7 à CentOS 7
4. Tendances en matière de détection des vulnérabilités et de gestion des correctifs pour les entreprises
5. Le blog de TuxCare : Choix de l'éditeur

 

 

CVEs divulgués en juin

Notre objectif principal est d'aider les clients à surmonter les failles de sécurité. Pour y parvenir, les services d'assistance TuxCare Extended Lifecycle Support suivent et testent les vulnérabilités sur plusieurs paquets.

  • CVE-2021-25217 - La vulnérabilité DHCP(D) exploitable à distance est présente dans les versions 4.1-ESV-R1 jusqu'à 4.1-ESV-R16 et 4.4.0 jusqu'à 4.4.2. La vulnérabilité est également présente dans les anciennes séries non supportées 4.0.x et 4.3.x. Cette vulnérabilité affecte le code DHCP et peut affecter la pile pour les communications côté client et côté serveur, permettant à un attaquant de perturber les services à distance. Ce vecteur d'attaque a été prouvé par des tests internes de preuve de concept.
  • CVE-2021-30641 est une vulnérabilité à risque modéré pour les versions 2.4.39 à 2.4.46 du serveur HTTP Apache, où une correspondance d'URL inattendue, lorsque configurée avec "MergeSlashes OFF", pourrait contourner les contrôles de sécurité.
  • CVE-2021-26690 est une vulnérabilité à risque modéré pour les versions 2.4.0 à 2.4.46 du serveur HTTP Apache, où la réception d'un en-tête Cookie particulier peut provoquer le plantage de mod_session.
  • CVE-2020-35452 est une vulnérabilité de faible impact pour Apache HTTP Server versions 2.4.0 à 2.4.46 qui pourrait théoriquement entraîner un débordement de pile de mod_auth_digest, mais actuellement, il n'existe aucun exploit pratique.
  • CVE-2021-26691 est une vulnérabilité à faible impact pour le serveur HTTP Apache versions 2.4.0 à 2.4.46, où la réception d'un SessionHeader particulier pourrait provoquer un débordement de tas. Cependant, les tests ont montré qu'il s'agissait d'un vecteur d'attaque improbable.

Pour toutes les vulnérabilités, les correctifs de TuxCare ont été publiés le jour même de la divulgation de la vulnérabilité.

 

 

 

 

CONCEPTS DE CONTRÔLE D'ACCÈS BASÉS SUR LES RÔLES

 

Le contrôle d'accès basé sur les rôles est une fonctionnalité qui simplifie la configuration du contrôle d'accès dans les grandes organisations en remplaçant les autorisations individuelles pour chaque utilisateur et chaque ressource par des autorisations partagées pour les groupes qui ont des besoins d'accès identiques. C'est une fonctionnalité que de nombreuses organisations utilisent sans s'en rendre compte.

L'évangéliste technique de TuxCare, João Correia, a produit un guide approfondi sur les concepts de contrôle d'accès basé sur les rôles, sur la manière de les mettre en œuvre efficacement et sur leur impact sur les opérations quotidiennes.

 

 

 

 

CONVERSION DE RHEL 7 À CENTOS 7

 

Suite à de nombreuses demandes d'assistance de la part de clients lors de la conversion de RHEL 7 vers CentOS 7, l'équipe de TuxCare a décidé de créer un script utile que tous nos clients peuvent utiliser quand ils le souhaitent pour rendre ce processus simple et sans douleur. Le script automatise le processus de conversion et rend la complexité du processus transparente pour les utilisateurs, ce qui simplifie considérablement votre travail. En outre, l'équipe a préparé un aperçu du processus de migration pour soutenir le script.

L'équipe TuxCare n'est pas un simple fournisseur de systèmes d'exploitation. Nous allons au-delà des corrections de bugs et des mises à jour pour aider à résoudre les problèmes de sécurité, d'interopérabilité et de connectivité des logiciels libres dans les solutions d'entreprise.

 

 

 

TENDANCES EN MATIÈRE DE DÉTECTION DES VULNÉRABILITÉS ET DE GESTION DES CORRECTIFS DANS LES ENTREPRISES

Il s'avère que la méthode la plus courante utilisée par les administrateurs système pour en savoir plus sur les vulnérabilités à haut risque est la simple recherche manuelle en ligne. Telles sont les conclusions des résultats préliminaires de l'enquête que nous avons menée auprès de nos entreprises clientes sur leurs opérations de gestion des correctifs de vulnérabilité.

 

 

Il est encore temps de participer à notre enquête si vous souhaitez partager vos propres expériences. En participant, vous aurez la chance de gagner l'une des dix certifications d'administrateur Kubernetes certifié de la Fondation Linux.

Obtenez un essai GRATUIT de 7 jours avec assistance de KernelCare 

 

Blog TuxCare : Choix de l'éditeur

 

En ce qui concerne le dernier article, regardez la discussion entre Jay de LearnLinuxTV et Joao Correia, évangéliste de TuxCare, sur la façon dont l'Université du Minnesota s'est trompée en matière d'open-source, ainsi que sur les forces et les faiblesses de l'open-source en général.

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information