Как Fedora защищает пользователей от критических уязвимостей ядра Linux
Сообщество Linux недавно столкнулось с несколькими серьёзными уязвимостями в ядре, такими как Copy Fail, Dirty Frag и Fragnesia. Команда Fedora прилагает все усилия, чтобы защитить пользователей от этих детерминированных ошибок в системе безопасности, поддерживая надёжный процесс отслеживания и распространения, в котором скорость важнее стандартных циклов выпуска.
В отличие от многих исторических уязвимостей, связанных с повышением привилегий, которые возникали из-за нестабильности в работе системы, эти недавние уязвимости представляют собой высоконадёжные логические ошибки, которые предоставляют root-доступ каждый раз.
Ниже приводится анализ реакции и стратегии Fedora в отношении безопасности ядра:
Быстрое обнаружение
Разработчики Fedora постоянно следят за рассылками по вопросам безопасности, в которых исследователи публикуют новые данные. Они также тесно сотрудничают с командой по обеспечению безопасности продуктов Red Hat, что помогает им выявлять опасные уязвимости, которые могут повлиять на работу системы.
Автоматизированные инструменты
В рамках проекта Fedora используются автоматизированные системы (такие как Anitya и Packit) для отслеживания основных разработчиков Linux на предмет новых исправлений. Эти инструменты часто могут подготовить обновление и тестовую версию еще до того, как к работе подключится разработчик, что значительно сокращает время, в течение которого система остается уязвимой.
Экстренные «автономные» патчи
Иногда обнаруживается исправление, но основные разработчики Linux еще не выпустили его в новой версии. В таких случаях разработчики Fedora берут конкретное исправление и применяют его как автономный патч к текущему ядру.
Это значит, что ваша система может быть защищена, даже если номер версии не изменился. Вы можете проверить это самостоятельно, используя команду dnf changelog для просмотра истории обновлений.
Недавние конкретные действия
- Dirty Frag: разработчики Fedora в срочном порядке выпустили исправление для этой ошибки в версии ядра 7.0.4 для Fedora 43 и 44. Они так стремились выпустить это исправление, что временно отказались от выпуска второстепенных обновлений, чтобы сэкономить время.
- Fragnesia: вскоре после этого была обнаружена еще одна ошибка под названием Fragnesia, и команда Fedora выпустила новое исправление в версии ядра 7.0.6, чтобы обеспечить безопасность сообщества.
Автоматическое применение обновлений с помощью dnf-automatic
Fedora рекомендует регулярно обновлять систему. Для этого выполните следующую команду:
sudo dnf update --security --refresh
Эта команда позволит установить только исправления, связанные с безопасностью.
Если вы не хотите вмешиваться в процесс, можно использовать dnf-automatic, который можно настроить на загрузку и установку обновлений безопасности по расписанию, но для загрузки нового ядра все равно потребуется перезагрузка.
Редактор: AndreyEx
