Vous utilisez CentOS 8 et vous vous inquiétez de LUKS ? Voici comment TuxCare peut vous aider

La mort, les impôts et les nouveaux CVE... ce sont toutes des choses dont nous pouvons être très certains dans la vie. Pour les utilisateurs de CentOS 8, l'inévitable s'est produit : un nouveau CVE a été signalé, couvrant une vulnérabilité sérieuse qui affecte un large groupe d'utilisateurs. Les utilisateurs de CentOS 8 n'auront pas accès à un patch officiel en raison de l'EOL.

Si vous êtes sous CentOS 8 en ce moment, vous êtes dans une situation délicate. Vous ne pouvez pas continuer à exploiter indéfiniment une charge de travail non sécurisée et non conforme, surtout lorsqu'une vulnérabilité aussi importante a été identifiée. Vous ne pouvez pas non plus précipiter votre migration, car cela pourrait avoir des conséquences désastreuses.

Dans cet article, nous expliquons ce qu'est la dernière vulnérabilité LUKS, pourquoi elle représente un danger si important, et comment le service de correctifs en direct de TuxCare peut vous aider à tenir le coup jusqu'à ce que vous soyez prêt à migrer.

Comprendre le bogue LUKS

Il y a quelques semaines, un nouveau bogue a été identifié dans un système de cryptage de clés dont dépendent de nombreux utilisateurs de systèmes d'exploitation basés sur Linux. Ce bogue affecte Linux Unified Key Setup (LUKS) qui est utilisé pour plusieurs choses, dont le chiffrement complet du disque. Il garantit que toute personne ayant un accès physique à votre machine ne sera pas en mesure d'accéder (facilement) aux données simplement en retirant les supports physiques.

Cependant, il est apparu que LUKS présente un bogue qui en compromet l'efficacité. L'une des principales caractéristiques de LUKS est que vous pouvez changer la clé de chiffrement à la volée, ce qui signifie que vous n'avez pas besoin de mettre votre système hors ligne lorsque vous changez la clé. Au lieu de cela, en changeant la clé, LUKS commence simplement à ré-encrypter le volume, même s'il est en cours d'utilisation.

Le bogue découvert dans LUKS, signalé sous le nom de CVE-2021-4122, signifie qu'une personne disposant des connaissances adéquates peut concevoir une attaque lui permettant de déchiffrer le contenu sécurisé de vos charges de travail sans être en possession du fichier de clé sécurisé - et vous ne vous en rendrez même pas compte. Cet article de Sophos décrit en détail le fonctionnement de la faille.

Corriger le défaut de LUKS

Il est clair que toute faille qui compromet l'efficacité du chiffrement intégral du disque n'est pas une bonne chose. Oui, en théorie, la plupart des algorithmes de chiffrement peuvent être battus si l'on dispose d'une puissance de calcul suffisante. Mais il ne faut surtout pas faciliter la tâche des attaquants, et c'est malheureusement ce que fait la faille découverte dans LUKS.

Comme les innombrables autres CVE de Linux que nous connaissons, ce nouveau bogue est corrigé par tous les principaux fournisseurs. En fait, en raison de la nature relativement grave du bogue et de son urgence, la plupart des fournisseurs ont déjà publié des correctifs. Il n'est pas difficile à corriger non plus - il suffit de remplacer le paquet affecté sur vos systèmes, et le tour est joué.

Cependant, si le fournisseur du système d'exploitation ne publie pas de paquetage mis à jour, vous êtes coincé. Bien sûr, si vous avez l'expertise interne, vous pouvez télécharger le code source en amont et compiler un correctif vous-même, mais relativement peu d'organisations peuvent le faire. De plus, ce n'est pas une option viable à long terme étant donné le nombre de CVE liés à Linux que nous voyons chaque année et, comme nous le savons, il n'y a plus de correctifs officiels à venir pour CentOS 8.

Le bogue LUKS et CentOS 8

Un aspect intéressant du bug LUKS et de ses implications pour les utilisateurs de CentOS est qu'il ne concerne que les utilisateurs de CentOS 8. Les versions antérieures ne sont pas affectées par la vulnérabilité car le cryptsetup de CentOS 7 et des versions antérieures ne prend pas en charge le ré-encryptage en direct (c'est-à-dire en ligne).

Il y a une certaine ironie dans tout cela, car CentOS 8 est, comme nous le savons, en fin de vie et le support officiel prendra fin en décembre 2021. En revanche, CentOS 7 bénéficie toujours d'un support officiel - y compris des mises à jour de sécurité critiques - et continuera de l'être. Ainsi, alors que le système d'exploitation qui n'est pas affecté par CVE-2021-4122 continue à recevoir un support, la version de CentOS qui est maintenant vulnérable, eh bien, il n'y aura pas de patch de Red Hat.

Si vous êtes toujours sous CentOS 8, vous êtes dans une situation difficile. Nous avons écrit un article sur les risques de la migration - ce n'est pas si facile, et vous ne devriez pas migrer dans la précipitation. Mais cela vous laisse dans une situation très difficile : vous ne pouvez pas migrer de CentOS 8 du jour au lendemain, mais vos charges de travail sont maintenant exposées à une vulnérabilité importante.

Comment l'assistance étendue de TuxCare comble le fossé

Issu de KernelCare, le service de correctifs en direct bien établi, TuxCare fournit un soutien essentiel aux utilisateurs de systèmes d'exploitation en fin de vie, notamment Oracle Linux, Ubuntu et CentOS. Il s'agit d'un service simple : lorsque votre système d'exploitation a perdu le support officiel de son fournisseur, TuxCare intervient et fournit les mêmes correctifs et corrections que votre fournisseur avait l'habitude de fournir, et ce au-delà de la fenêtre de support officielle.

Dans le cas de CentOS 8, le support officiel a pris fin le 31 décembre 2021. Toute organisation qui s'appuie encore sur CentOS 8 ne recevra pas de correctifs pour les vulnérabilités telles que la faille LUKS récemment découverte. Cependant, TuxCare offre un support étendu pour CentOS 8 jusqu'à fin 2025. Ce support étendu vous couvre de la même manière que le support officiel du fournisseur : lorsqu'un risque de sécurité est identifié, TuxCare publie un correctif - et parfois même plus rapidement que le fournisseur ne l'aurait fait.

La mise en œuvre de TuxCare est simple. Il ne nécessite pas de modifications majeures ou même mineures de vos charges de travail, vous n'avez donc pas besoin de passer par un processus de test ou de migration. Pour sécuriser vos charges de travail CentOS 8 en fin de vie, il suffit d'exécuter un simple script pour changer l'emplacement des dépôts. Il s'agit d'un processus sans redémarrage, il n'y a aucune perturbation et vos utilisateurs ne sauront même pas que vous avez activé le support étendu du cycle de vie de TuxCare.

N'attendez pas - agissez

Que vous choisissiez de développer votre propre correctif en interne, d'engager une équipe de développement pour le faire à votre place ou d'utiliser TuxCare, vous devez faire quelque chose. Il n'est pas possible de rester les bras croisés et d'ignorer ce qui va devenir une liste croissante de vulnérabilités - CVE-2021-4122 n'est pas la première, ni la dernière, vulnérabilité qui aura un impact sur CentOS 8 à mesure que nous avançons. En outre, vous avez peut-être des obligations de conformité et le fait de vous appuyer sur CentOS 8 peut vous faire enfreindre les normes PCI DSS, HIPAA et autres.

TuxCare est simple à mettre en place - et il est également abordable, que vous ayez quelques machines qui nécessitent une couverture étendue du cycle de vie, ou des flottes entières. Vous avez des questions sur le support étendu de CentOS 8 par TuxCare ? N'hésitez pas à nous contacter ici.