Rocky Linux hat ein Repository mit Paketen zur Verbesserung der Sicherheit eingeführt.

Die Entwickler der Rocky Linux-Distribution, die darauf abzielt, eine freie RHEL-Variante zu schaffen, die das klassische CentOS ersetzen kann, haben die Gründung einer neuen SIG-Gruppe (Special Interest Group) für Sicherheit bekannt gegeben. Diese Gruppe wird sich mit der Pflege von Paketen befassen, die erweiterte Sicherheitsmaßnahmen und zusätzliche Tools zur Gewährleistung der Sicherheit bereitstellen. Außerdem wird die Gruppe alternative Versionen bestehender Pakete veröffentlichen, die mit verschiedenen Mechanismen zur Erhöhung der Sicherheit ausgestattet sind oder Schwachstellen beheben, die in RHEL und CentOS Stream nicht behoben wurden.

Die entwickelten Arbeiten werden in einem separaten Repository veröffentlicht, das auch in anderen mit Red Hat Enterprise Linux kompatiblen Distributionen verwendet werden kann. Um das Repository in Rocky Linux zu verbinden, kann bereits der Befehl „dnf install rocky-release-security“ verwendet werden. Derzeit sind im Repository folgende Pakete verfügbar:

  • Das LKRG-Modul (Linux Kernel Runtime Guard) dient der Erkennung und Blockierung von Angriffen sowie der Wahrung der Integrität von Kernelstrukturen. Beispielsweise kann das Modul unbefugte Änderungen am laufenden Kernel und Versuche, Benutzerprozessprivilegien zu ändern, verhindern. Das Paket wurde für die RHEL8- und RHEL9-Zweige zusammengestellt.
  • Das passwdqc-Toolset zur Überwachung der Komplexität von Passwörtern und Passwortsätzen beinhaltet das Modul pam_passwdqc sowie die Programme pwqcheck, pwqfilter und pwqgen und die Bibliothek libpasswdqc. Das Paket wurde für den RHEL9-Zweig zusammengestellt.
  • Ein Paket mit Glibc, das Änderungen zur Erhöhung der Sicherheit enthält, die vom Owl-Projekt entwickelt und in ALT Linux angewendet werden. Das Paket beinhaltet außerdem Patches zur Behebung von zwei Sicherheitsanfälligkeiten: einer Schwachstelle in ld.so (CVE-2023-4911), die es einem lokalen Benutzer ermöglicht, seine Privilegien im System durch Setzen speziell formatierter Daten in der Umgebungsvariable GLIBC_TUNABLES zu erhöhen, sowie einer Schwachstelle (CVE-2023-4527) in der Funktion getaddrinfo, die zu einem Datenleck aus dem Stack oder zu einem Absturz führen kann. Das Paket wurde für den RHEL9-Zweig zusammengestellt.
  • Ein Paket mit OpenSSH, in dem sshd mit einer geringeren Anzahl von gemeinsam genutzten Bibliotheken verbunden ist. Das Paket wurde für den RHEL9-Zweig zusammengestellt.
  • Zugehörige Pakete: pam_ssh_agent_auth, libnsl, nscd, nss_db, nss_hesiod.

    Quelle: opennet.ru
Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster