Hace poco los desarrolladores de la distribución «Rocky Linux», dieron a conocer mediante una publicación de blog, anunciaron la creación de un nuevo grupo SIG (Special Interest Group) Security, con la finalidad de mantener los paquetes relacionados con la provisión de protección avanzada y el suministro de herramientas de seguridad adicionales.
Para quienes desconocen de Rocky Linux, deben saber que esta es una «nueva distribución de Linux» (relativamente) desarrollada por Rocky Enterprise Software Foundation y cuyo objetivo es crear una versión gratuita de RHEL capaz de reemplazar al clásico CentOS, para ser una distribución «downstream», lanzada completamente para ser compatible con código binario usando el código de fuente del sistema operativo de Red Hat Enterprise Linux.
Nuevo repositorio SIG en Rocky Linux
Sobre el nuevo repositorio creado en Rocky Linux, se menciona que se tiene la intención de que en el «Security Special Interest Group» también se publicaran las versiones alternativas de los paquetes ya existentes que están diseñados para incluir varios mecanismos para mejorar la seguridad o abordar vulnerabilidades que aún no están parcheadas en RHEL y CentOS Stream.
Como tal el repositorio no será exclusivo para la distribucion, sino que todos los desarrollos se publicarán en un repositorio independiente, que también podrá utilizarse en otras distribuciones compatibles con Red Hat Enterprise Linux.
En la publicación de blog, los desarrolladores de Rocky Linux mencionan que la misión del Security SIG es:
- Desarrollar y mantener varios paquetes relacionados con la seguridad que no se encuentran en EL (Enterprise Linux)upstream.
- Identificar, desarrollar y mantener cambios de refuerzo de seguridad en relación con los paquetes EL upstream.
- Incluir/portar correcciones de seguridad adicionales que aún no se encuentran en los paquetes ELupstream.
- Contribuir a las respectivas fases iniciales cuando sea práctico.
Por la parte del contenido del repositorio, se menciona que los siguientes paquetes se ofrecen actualmente en el repositorio, un paquete OpenSSH que incluye sshd con menos bibliotecas compartidas, sobre este paquete, se menciona que solo está compilado para la rama RHEL 9, asi como también paquetes relacionados: pam_ssh_agent_auth, libnsl, nscd, nss_db, nss_hesiod.
Ademas de ello, también se ofrece el módulo del kernel LKRG (Linux Kernel Runtime Guard) que está diseñado para detectar y bloquear tanto ataques y violaciones de la integridad de las estructuras del kernel (por ejemplo, el módulo puede proteger contra cambios no autorizados en el kernel en ejecución e intentos de cambiar los permisos de los procesos del usuario, sobre este paquete, está compilado para las ramas RHEL 8 y RHEL 9.
Otro de los paquetes incluidos dentro del repositorio, es «passwdqc» el cual sirve para monitorear la complejidad de contraseñas y frases de contraseña, incluido el módulo pam_passwdqc, los programas pwqcheck, pwqfilter y pwqgen, y la biblioteca libpasswdqc. El paquete está compilado para las ramas RHEL 8 y RHEL 9.
También en el repositorio se encuentra, Glibc que incluye mejoras de seguridad desarrolladas por el proyecto Owl y aplicadas a ALT Linux. El paquete también incluye correcciones para bloquear dos vulnerabilidades: una vulnerabilidad en ld.so (CVE-2023-4911), que permite a un usuario local elevar sus privilegios en el sistema especificando datos con formato especial en la variable de entorno GLIBC_TUNABLES, y una vulnerabilidad (CVE-2023-4527) en la función getaddrinfo, lo que puede provocar una fuga o un bloqueo de la pila. El paquete está compilado para la rama RHEL 9.
Solar Designer, colaborador de Security SIG, menciono lo siguiente en X (antes twitter):
Recientemente me uní al proyecto Rocky Linux y pusimos en marcha el repositorio de seguridad, que actualmente ofrece algunos paquetes adicionales y de anulación (más pronto), incluido glibc con seguridad reforzada para distribuciones EL9 (pronto EL8) con una mitigación efectiva contra CVE-2023-4911
En cuanto a los interesados en poder añadir el repositorio en Rocky Linux o en su distribución compatible con RHEL, pueden hacerlo abriendo una terminal y en ella tecleando el comando
dnf install rocky-release-security
Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.