Vulnerabilidade existente há 12 anos é corrigida nas distribuições GNU/Linux

Pesquisadores da Qualys, uma empresa americana que provê soluções em segurança da informação e compliance, descobriram uma falha de segurança junto ao PolicyKit que permite a um usuário comum obter privilégios administrativos em sistemas GNU/Linux vulneráveis.

Conforme descrição junto ao comunicado da vulnerabilidade, no próprio site da Qualys, “o polkit é um componente para controlar privilégios de todo o sistema em sistemas operacionais do tipo Unix. Ele fornece uma maneira organizada para que processos não privilegiados se comuniquem com processos privilegiados. Também é possível usar o polkit para executar comandos com privilégios elevados usando o comando pkexec seguido do comando que se pretende executar (com permissão de root).”

A falha recebeu o apelido de PwnKit, sendo registrada como CVE-2021-4034, e tendo a sua divulgação coordenada com a comunidade, permitindo que uma correção fosse produzida antes que empresa de segurança publicasse sua descoberta.

Ainda segundo o comunicado, “os pesquisadores de segurança da Qualys conseguiram verificar a vulnerabilidade de forma independente, desenvolver um exploit e obter privilégios totais de root nas instalações padrão do Ubuntu, Debian, Fedora e CentOS. Outras distribuições Linux são provavelmente vulneráveis ​​e provavelmente exploráveis. Esta vulnerabilidade está escondida à vista de todos por mais de 12 anos e afeta todas as versões do pkexec desde sua primeira versão em maio de 2009 (commit c8c3d83, “Add a pkexec(1) command”).“

Portanto, se você está imaginando de o seu parque instalado pode estar vulnerável, a resposta é que provavelmente sim, ele está, a menos que já tenha aplicado a correção para os pacotes das distribuições nele instaladas.

Correções para as distribuições Debian, Ubuntu, CentOS, entre outras, já estão disponíveis desde o dia 25 de janeiro, sendo recomendável a aplicação delas o mais brevemente possível.

Junto a Slackware Linux não poderia ser diferente, e patchs foram disponibilizados na mesma data para as versões 14.0, 14.1, 14.2 e current, tanto para arquiteturas de 32 bits quanto de 64 bits.

CentOS 8 atinge End Of Life

O último dia do ano de 2021 chegou, e com ele a distribuição CentOS atinge a data planejada de End Of Life para a sua versão 8, última baseada na versão estável da distribuição Red Hat Enterprise Linux, que é comercializada pela Red Hat.

De acordo com o comunicado oficial, disponível na página do projeto, usuários que utilizam a versão 8 da distribuição CentOS não serão migrados automaticamente para a versão 8 da CentOS Stream, e não haverá mais atualizações no conteúdo da CentOS 8 após esta data, embora seja planejada a disponibilização de uma versão 8.5, para acompanhar uma possível liberação da Red Hat Enterprise Linux, bem como as correções zero-day para a versão 8.

O projeto afirma ainda que, devido à data de descontinuação ocorrer em um momento em que muitos dos usuários, bem como de membros do time, estarem longe dos escritórios para as festividades de final de ano, o processo será estendido para até o dia 31 de janeiro de 2022.

“Nesse momento, ou no caso de um bug de segurança sério nesta janela de tempo (Definido como qualquer coisa com uma pontuação VCSS v3 de 9 ou superior), este conteúdo será removido de nossos espelhos e movido para vault.centos.org onde ele será arquivado permanentemente, uma vez que não poderemos fornecer atualizações ao conteúdo após a data EOL”, informa o comunicado.

Como é sabido, a versão Stream da CentOS é disponibilizada em um formato diferente das anteriores, sendo uma distribuição de atualização contínua, situada entre a Fedora e a RHEL, ou seja, é mais suscetível a mudanças significativas em seus pacotes, o que poderia impactar um ambiente de produção de forma negativa.

Devido a estes possíveis impactos negativos, grande parte das empresas que utilizam a distribuição em seus ambientes de produção deverão optar por uma das alternativas disponíveis no mercado, opções estas que aumentaram desde o anúncio das mudanças, realizadas por parte do time do projeto CentOS.

Entre as que podem proporcionar uma mudança menos traumática, encontramos as que se mantêm em versão estável e recomendável para ambientes corporativos como as já tradicionais openSUSE, SUSE e Oracle Linux, bem como as recém chegadas ao mercado AlmaLinux e Rocky Linux, sendo esta última criada e mantida sob a liderança de um dos antigos fundadores do próprio projeto CentOS, oferecendo inclusive scripts que facilitam a migração para a nova distribuição.

É claro que, com as devidas ressalvas e adaptações, também pode-se aproveitar o momento e migrar estes servidores para distribuições que não sejam baseadas no Red Hat Linux Enterprise, como por exemplo a Ubuntu, Debian e, é claro, a nossa amada Slackware Linux, só para citar algumas, contando para isso com suporte já disponível internamente, ou contratar os oferecidos comercialmente.

E a sua empresa, já escolheu uma substituta? Sim? Não? Seja qual for a resposta, os planos de migrações devem ser estudados e agendados para execução, implementando as adaptações que se façam necessárias, evitando que surjam brechas de segurança na infraestrutura, devido a ausência de atualizações para pacotes disponíveis do parque de TI, ou que a disponibilização delas influencie negativamente na estabilidade do ambiente.

Novos substitutos para a CentOS Linux disponíveis até março de 2021

Após as mudanças anunciadas pela Red Hat, envolvendo os rumos de desenvolvimento da distribuição GNU/Linux CentOS, dois novos projetos iniciaram a corrida para disponibilizarem opções viáveis para uma migração, sendo elas a AlmaLinux, lançada pela CloudLinux Inc., e a Rocky Linux, criada por um dos fundadores do projeto CentOS, e que hoje conduz uma startup em computação de alta performance chamada Ctrl IQ.

As alterações preveem que até o final de 2021 a CentOS deixe de existir como um clone de versão estável da Red Hat Enterprise Linux, passando a ser uma distribibuição de desenvolvimento contínuo, “posicionada como uma intermediária entre a Fedora e a RHEL”, como definida atualmente no próprio site oficial do projeto, e adotando o nome de CentOS Stream.

Antes, acreditava-se que o suporte à versão estável do CentOS 8 fosse ser mantido até 2029 mas, devido às mudanças, diversas empresas devem desistir de migrar seus ambientes baseados na versão 7 da distribuição para a mais atual, visto que esta ainda deve contar com atualizações de segurança até 2024.

Para tentar atenuar o impacto causado pelas modificações no projeto, a Red Hat anunciou ajustes em seu programa de acesso a tecnologias da companhia, permitindo que usuários possam utilizar a RHEL em até 16 servidores de produção, através da subscrição para desenvolvedores, com todas as atualizações disponíveis, porém sem suporte da empresa para incidentes e personalizações. Antes essa subscrição permitia a utilização de apenas uma licença do RHEL para cada assinante.

É claro que, mesmo com essa alteração, essa quantidade de licenças não é capaz de suprir as necessidades de organizações de portes médio e superiores, que utilizam a CentOS em seus ambientes computacionais, muitas vezes, centenas de instalações, principalmente quando consideramos ambientes em nuvem ou híbridos.

Pesquisa conduzida pela CloudLinux revelou que quase 62% das organizações participantes esperam por um novo fork da CentOS, 15,8% usam Debian ao invés da CentOS, 12,9% migrarão para a Ubuntu Linux, enquanto 9,8% optaram pelo OpenSUSE. Daí a idéia de novas opções estarem surgindo.

Tanto a AlmaLinux, quanto a Rocky Linux, possuem previsão de lançamento inicial de suas distribuições ainda no primeiro trimestre de 2021, sendo que neste momento já é possível baixar imagens ISO da AlmaLinux 8.3 em versão beta.

Além das novas opções, outras já existentes podem ser alternativas viáveis, como as citadas na pesquisa acima, mas podendo incluir, por exemplo, a Oracle Linux, ClearOS, entre outras, sendo que algumas já disponibilizam scripts de migração da CentOS 8 para suas distribuições, como os criados pela Oracle Linux e a AlmaLinux.

Creio que ainda veremos muitas articulações das comunidades, bem como das próprias organizações, mas uma coisa é certa: não faltarão excelentes opções para as empresas continuarem utilizando softwares livres.