Vulnerabilidade existente há 12 anos é corrigida nas distribuições GNU/Linux

Pesquisadores da Qualys, uma empresa americana que provê soluções em segurança da informação e compliance, descobriram uma falha de segurança junto ao PolicyKit que permite a um usuário comum obter privilégios administrativos em sistemas GNU/Linux vulneráveis.

Conforme descrição junto ao comunicado da vulnerabilidade, no próprio site da Qualys, “o polkit é um componente para controlar privilégios de todo o sistema em sistemas operacionais do tipo Unix. Ele fornece uma maneira organizada para que processos não privilegiados se comuniquem com processos privilegiados. Também é possível usar o polkit para executar comandos com privilégios elevados usando o comando pkexec seguido do comando que se pretende executar (com permissão de root).”

A falha recebeu o apelido de PwnKit, sendo registrada como CVE-2021-4034, e tendo a sua divulgação coordenada com a comunidade, permitindo que uma correção fosse produzida antes que empresa de segurança publicasse sua descoberta.

Ainda segundo o comunicado, “os pesquisadores de segurança da Qualys conseguiram verificar a vulnerabilidade de forma independente, desenvolver um exploit e obter privilégios totais de root nas instalações padrão do Ubuntu, Debian, Fedora e CentOS. Outras distribuições Linux são provavelmente vulneráveis ​​e provavelmente exploráveis. Esta vulnerabilidade está escondida à vista de todos por mais de 12 anos e afeta todas as versões do pkexec desde sua primeira versão em maio de 2009 (commit c8c3d83, “Add a pkexec(1) command”).“

Portanto, se você está imaginando de o seu parque instalado pode estar vulnerável, a resposta é que provavelmente sim, ele está, a menos que já tenha aplicado a correção para os pacotes das distribuições nele instaladas.

Correções para as distribuições Debian, Ubuntu, CentOS, entre outras, já estão disponíveis desde o dia 25 de janeiro, sendo recomendável a aplicação delas o mais brevemente possível.

Junto a Slackware Linux não poderia ser diferente, e patchs foram disponibilizados na mesma data para as versões 14.0, 14.1, 14.2 e current, tanto para arquiteturas de 32 bits quanto de 64 bits.

CentOS 8 atinge End Of Life

O último dia do ano de 2021 chegou, e com ele a distribuição CentOS atinge a data planejada de End Of Life para a sua versão 8, última baseada na versão estável da distribuição Red Hat Enterprise Linux, que é comercializada pela Red Hat.

De acordo com o comunicado oficial, disponível na página do projeto, usuários que utilizam a versão 8 da distribuição CentOS não serão migrados automaticamente para a versão 8 da CentOS Stream, e não haverá mais atualizações no conteúdo da CentOS 8 após esta data, embora seja planejada a disponibilização de uma versão 8.5, para acompanhar uma possível liberação da Red Hat Enterprise Linux, bem como as correções zero-day para a versão 8.

O projeto afirma ainda que, devido à data de descontinuação ocorrer em um momento em que muitos dos usuários, bem como de membros do time, estarem longe dos escritórios para as festividades de final de ano, o processo será estendido para até o dia 31 de janeiro de 2022.

“Nesse momento, ou no caso de um bug de segurança sério nesta janela de tempo (Definido como qualquer coisa com uma pontuação VCSS v3 de 9 ou superior), este conteúdo será removido de nossos espelhos e movido para vault.centos.org onde ele será arquivado permanentemente, uma vez que não poderemos fornecer atualizações ao conteúdo após a data EOL”, informa o comunicado.

Como é sabido, a versão Stream da CentOS é disponibilizada em um formato diferente das anteriores, sendo uma distribuição de atualização contínua, situada entre a Fedora e a RHEL, ou seja, é mais suscetível a mudanças significativas em seus pacotes, o que poderia impactar um ambiente de produção de forma negativa.

Devido a estes possíveis impactos negativos, grande parte das empresas que utilizam a distribuição em seus ambientes de produção deverão optar por uma das alternativas disponíveis no mercado, opções estas que aumentaram desde o anúncio das mudanças, realizadas por parte do time do projeto CentOS.

Entre as que podem proporcionar uma mudança menos traumática, encontramos as que se mantêm em versão estável e recomendável para ambientes corporativos como as já tradicionais openSUSE, SUSE e Oracle Linux, bem como as recém chegadas ao mercado AlmaLinux e Rocky Linux, sendo esta última criada e mantida sob a liderança de um dos antigos fundadores do próprio projeto CentOS, oferecendo inclusive scripts que facilitam a migração para a nova distribuição.

É claro que, com as devidas ressalvas e adaptações, também pode-se aproveitar o momento e migrar estes servidores para distribuições que não sejam baseadas no Red Hat Linux Enterprise, como por exemplo a Ubuntu, Debian e, é claro, a nossa amada Slackware Linux, só para citar algumas, contando para isso com suporte já disponível internamente, ou contratar os oferecidos comercialmente.

E a sua empresa, já escolheu uma substituta? Sim? Não? Seja qual for a resposta, os planos de migrações devem ser estudados e agendados para execução, implementando as adaptações que se façam necessárias, evitando que surjam brechas de segurança na infraestrutura, devido a ausência de atualizações para pacotes disponíveis do parque de TI, ou que a disponibilização delas influencie negativamente na estabilidade do ambiente.

Rocky Linux 8.4 disponível para download!

Desde o anúncio da Red Hat no ano passado, sobre as alterações previstas para o futuro da distribuição CentOS, mais especificadamente sobre a forma como esta seria disponibilizada, não sendo mais uma imagem refletida da Red Hat Enterprise Linux sem as logomarcas registradas pela empresa, mas sim uma distribuição de experimentação na linha da já existente Fedora, que usuários insatisfeitos lançaram forks do projeto CentOS Linux, para oferecerem novas opções para quem precisa de um ambiente estável em seu parque computacional, após 31 de dezembro de 2021, data que marca o end-of-life da CentOS Linux, e o início da distribuição apenas da CentOS Stream.

De uma dessas vertentes nasceu a Rocky Linux, apoiada por um dos desenvolvedores originais da distribuição CentOS, e que recentemente disponibilizou a versão 8.4 estável como resultado de seu projeto, informando que “testes suficientes foram realizados de tal sorte que temos confiança em sua estabilidade para sistemas em produção”.

A Rocky Linux é uma das opções disponíveis para quem deseja migrar seu parque de servidores executando CentOS Linux, para uma distribuição que promete a estabilidade marcante da RHEL.

Para realizar o download da distribuição, ou obter mais informações, acessem a página oficial do projeto através deste link.