Distribuaj programistoj Rocky Linux, celante krei senpagan version de RHEL, kiu povas anstataŭigi la klasikan CentOS, anoncis la kreadon de nova Sekureca Speciala Interesa Grupo (SIG), kiu prizorgos pakaĵojn rilatajn al provizado de altnivela protekto kaj liverado de pliaj sekurecaj iloj. La grupo ankaŭ publikigos alternativajn versiojn de ekzistantaj pakaĵoj konstruitaj por inkluzivi diversajn mekanismojn por plibonigi sekurecon aŭ trakti vundeblecojn, kiuj restas neflikitaj en RHEL kaj CentOS Rojo.
La evoluiga laboro estos publikigita en aparta deponejo, kiu ankaŭ povas esti uzata en aliaj distribuaĵoj kongruaj kun Red Hat Enterprise. LinuxPor konekti la deponejon en Rocky Linux Vi nun povas uzi la komandon "dnf install rocky-release-security." La jenaj pakaĵoj estas nuntempe haveblaj en la deponejo:
- LKRG-kerna modulo (Linux Kernel Runtime Guard (Kernel Runtime Guard) estas desegnita por detekti kaj bloki atakojn kaj malobservojn de la integreco de la kerna strukturo (ekzemple, la modulo povas protekti kontraŭ neaŭtorizitaj modifoj al la kuranta kerno kaj provoj ŝanĝi la privilegiojn de uzantoprocezoj). La pakaĵo estas konstruita por RHEL8 kaj RHEL9.
- La ilaro passwdqc por monitori la kompleksecon de pasvortoj kaj pasfrazoj, inkluzive de la modulo pam_passwdqc, la programoj pwqcheck, pwqfilter kaj pwqgen, kaj la biblioteko libpasswdqc. La pako estas konstruita por la branĉo RHEL9.
- Glibc-pakaĵo enhavanta sekurecajn ŝanĝojn evoluigitajn de la Owl-projekto kaj uzatajn en ALT LinuxLa pakaĵo ankaŭ inkluzivas korektojn por du vundeblecoj: vundebleco en ld.so (CVE-2023-4911), kiu permesas al loka uzanto pliigi siajn privilegiojn per specifado de speciale kreitaj datumoj en la ĉirkaŭa variablo GLIBC_TUNABLES, kaj vundebleco (CVE-2023-4527) en la funkcio getaddrinfo, kiu povus kaŭzi staklikon aŭ kraŝon. La pakaĵo estas konstruita por la branĉo RHEL9.
- OpenSSH-pakaĵo, kiu kunigas sshd kun malpli da komunaj bibliotekoj. La pako estas konstruita por la branĉo RHEL9.
- Rilataj pakoj: pam_ssh_agent_auth, libnsl, nscd, nss_db, nss_hesiod.
fonto: opennet.ru
