Prácticamente todas las distribuciones actuales de GNU/Linux tiene un método de control para informar sobre los fallos de seguridad y poder aplicar los parches correspondientes que salen. Hoy vamos a ver cómo realizar esta tarea en Red Hat, apoyándonos en yum, su gestor de paquetes. Este truco es aplicable tanto para Red Hat como para Fedora, no así para CentOS, que cambia un poco la forma de emplearlo y el nombre de los paquetes.
Desde yum podremos obtener información acerca de los fallos de seguridad más recientes que hay, así como datos adicionales de los mismos. De la misma forma, también podremos lanzar una actualización que sólo afecte a aquellos paquetes con problemas de seguridad, que son los más urgentes. Para realizar todas estas tareas, vamos a emplear el paquete yum-plugin-security, que no es más que un plugin que se encarga de tratar desde yum los temas de seguridad. Lo primero, instalarlo.
shell> yum install yum-plugin-security
Una vez instalado, podremos ya pedirle al sistema que nos enumere aquellos fallos de seguridad que están presentes en nuestro sistema, es decir, aquellos a los que todavía no se les aplicó un parche. Por ejemplo, la salida de un servidor con Red Hat 6,
shell> yum updateinfo list security
RHSA-2014:0328 Important/Sec. kernel-2.6.32-431.11.2.el6.x86_64
RHSA-2014:0328 Important/Sec. kernel-firmware-2.6.32-431.11.2.el6.noarch
RHSA-2014:0328 Important/Sec. kernel-headers-2.6.32-431.11.2.el6.x86_64
RHSA-2014:0330 Moderate/Sec. libsmbclient-3.6.9-168.el6_5.x86_64
RHSA-2014:0330 Moderate/Sec. samba-common-3.6.9-168.el6_5.x86_64
RHSA-2014:0330 Moderate/Sec. samba-winbind-3.6.9-168.el6_5.x86_64
RHSA-2014:0330 Moderate/Sec. samba-winbind-clients-3.6.9-168.el6_5.x86_64
Una vez tengamos el listado de fallos de seguridad, podremos obtener más información acerca de cualquiera de ellos.
shell> yum updateinfo "RHSA-2014:0328"
====================================================================
Important : kernel security and bug fix update
====================================================================
Update ID : RHSA-2014:0328
Release :
Type : security
Status : final
Issued : 2014-03-25 00:00:00
Bugs : 921970 - CVE-2013-1860 kernel: usb: cdc-wdm buffer overflow ...
: 1062577 - CVE-2014-0055 kernel: vhost-net: insufficient ...
: 1064253 - CVE-2014-0069 kernel: cifs: incorrect handling of...
: 1070705 - CVE-2014-0101 kernel: net: sctp: null pointer ...
CVEs : CVE-2013-1860
: CVE-2014-0101
: CVE-2014-0055
: CVE-2014-0069
Descript : The kernel packages contain the Linux kernel, the core of any
: Linux operating system.
:
: * A flaw was found in the way the get_rx_bufs()
: function in the vhost_net implementation in the
: Linux kernel handled error conditions reported
: by the vhost_get_vq_desc() function. A
: privileged guest user could use this flaw to
: crash the host. (CVE-2014-0055, Important)
...
Severity : Important
Es importante aquí destacar la información que el primero comando nos da, pudiendo diferenciar rápidamente los tipos de vulnerabilidades por su criticidad (Important, Moderate, bugfix, etc.).
Por supuesto, una vez obtenemos este listado, actualizar el paquete en cuestión es muy sencillo, aunque ir paquete a paquete no es lo más eficiente. Para actualizar todos aquellos paquetes con un bug de seguridad, simplemente,
shell> yum --security update-minimal
Ya no hay excusas para no estar informado de aquellos problemas de seguridad y cómo afectan a nuestros sistemas, ni por supuesto, tener los sistemas sin el adecuado parche. Una de las mejoras cosas que tiene GNU/Linux es que los parches de seguridad salen casi tan rápido como los fallos se publican.
Leer más