Команда безопасности Linux выпускает 60 CVE в неделю, но не волнуйтесь. Сделай это вместо этого

В кругах специалистов по безопасности бюллетени по безопасности «Распространенные уязвимости и уязвимости» могут вызвать настоящий страх. Однако в Linux все происходит как обычно.

Гонконг: На KubeCon и саммите открытого исходного кода в Китае Грег Кроа-Хартман, сопровождающий стабильного ядра Linux, хочет, чтобы вы знали, что в среднем в неделю группа безопасности Linux выдает шестьдесят -- 60 -- - Бюллетени по безопасности «Распространенные уязвимости и риски» (CVE). Не переживайте. Это просто жизнь в Linux.

Но сначала несколько слов о Linux и CVE. Linux правит миром. Это на вашем телефоне Android; это в вашем кондиционере; он управляет Интернетом, питает суперкомпьютеры; облако; и, возможно, даже ваш компьютер. Что угодно, Linux управляет этим. Да, даже iPhone, которые используют его для 4G и 5G.

Грег Кроа-Хартман на саммите Open Source в Китае, 2024 г.

CVE отслеживают мировые проблемы безопасности программного обеспечения. Для CVE или, по крайней мере, для Linux CVE это означает серьезные проблемы. Потеряны данные из-за ошибки? Не CVE. Последнее обновление просто замедлило работу вашего компьютера? Нет, не CVE. Убили ваш сервер, как жук, разбившийся на скорости о лобовое стекло? Теперь мы говорим о CVE.

В феврале 2024 года команда разработчиков ядра Linux взяла на себя назначение CVE для ядра Linux. Они сделали это потому, что новые правительственные постановления, например, постановления Европейского Союза, требовали от проектов с открытым исходным кодом брать на себя ответственность за известные уязвимости.

Кроме того, как тогда объяснил Кроа-Хартман, поскольку, хотя система CVE «в целом во многом несовершенна… это изменение позволяет нам взять на себя больше ответственности и, надеюсь, со временем улучшить этот процесс. " Он также позаботился о том, чтобы ни одна другая группа не могла назначить CVE для Linux без того, чтобы разработчики Linux не высказали свое мнение.

Ждать. Разве 60 CVE в неделю о проблемах, которые могут остановить ваш компьютер, не являются поводом для беспокойства? Ну да. Тогда, опять же, нет.

Видите ли, объяснил Кроа-Хартман, сегодня ядро Linux имеет «38 миллионов строк кода. Вы используете лишь немного из этого. Мой ноутбук использует около полутора миллионов строк кода. .... Ваш телефон, самый сложный зверь использует около 4 миллионов строк кода. Итак, из всего вы действительно используете небольшую часть, но каждый использует другую часть, и это важно помнить».

Команда разработчиков ядра Linux понятия не имеет, какую часть вы используете в своем продукте. Их работа — создать основной код, который будут использовать все. Каждый из них имеет свою уникальную конфигурацию и вариант использования.

Кроа-Хартман процитировал Бена Хоукса, эксперта по компьютерной безопасности, хакера в белой шляпе и бывшего менеджера Google Project Zero, который хорошо резюмировал ситуацию: «CVE не очень хорошо справляется с задачей уловить эти нюансы экосистемы ядра Linux. Трудно уловить тот факт, что ошибка может быть очень серьезной в одном типе развертывания, несколько важной в другом или вообще не иметь большого значения - и что ошибка может быть всем этим одновременно. Устранить уязвимость сложно. ."

Вот почему так много CVE распространяется с такой бешеной скоростью. Потому что при таком большом количестве различных систем и вариантов использования любая ошибка может оказаться ошибкой безопасности. Как однажды сказал Линус Торвальдс, «проблемы безопасности — это всего лишь ошибки».

Я мог бы добавить, что это связано с тем, что члены команды безопасности ядра реагируют на это. Они реагируют на сообщения об ошибках и уязвимостях. Они сортируют входящие отчеты об ошибках, определяют, существует ли проблема безопасности, и работают с соответствующими специалистами по обслуживанию над исправлением ошибки. Они не ищут ошибки.

Как только исправление становится доступным, оно включается в еженедельные стабильные выпуски ядра, которые как можно скорее рассылаются пользователям. Пользователи должны протестировать и определить, влияет ли конкретная проблема на их конкретный вариант использования.

Эта команда не принимает эмбарго и не использует предварительные объявления. Почему нет? Потому что они считают - и не без оснований - что все эти подходы приводят к утечкам информации. Вместо этого они стремятся как можно быстрее доставить исправления пользователям. Обычно это делается в течение недели после появления патча. Такой подход гарантирует, что пользователи будут оперативно уведомлены о проблемах безопасности и смогут соответствующим образом обновить свои системы.

Эти стабильные выпуски включают исправления ошибок и проблем безопасности, перенесенные из основного ядра. Команда полагается на большое сообщество тестировщиков, включая компании и частных лиц, чтобы обеспечить их стабильность и безопасность.

То, что вы можете сделать, чтобы обеспечить безопасность вашей системы — будь то автомобиль или 10 000 серверов в центре обработки данных — очень просто. Правило Кроа-Хартмана гласит: «Если вы не используете последнюю стабильную/долгосрочную систему ядра, ваша система небезопасна».

Под этим он имеет в виду обновление вашего ядра почти каждую неделю. Теперь большинству из вас эта мысль покажется такой же пугающей, как и 60 CVE в неделю.

Дело в том, сказал Кроа-Хартман: «У нас есть доказательство того, что это возможно. Debian работает на более чем 80% серверов в мире, и они используют стабильные обновления ядра. Android, миллиарды устройств, принимает каждое стабильное обновление ядра на задержка в пару месяцев, но они делают это и обеспечивают безопасность своих устройств. Нет ничего более сложного, чем встроенное в систему, и нет ничего более распространенного и простого в использовании, чем сервер Debian.

Он надеется, что со временем все начнут использовать быстро обновляемые, но все более безопасные и стабильные ядра Linux. Люди, заключил он, «думают, что отсутствие изменений стабильно, но это верно только в том случае, если мир вокруг вас не меняется. Подумайте о печально известных ошибках Intel Spectre и Meltdown. Ваше оборудование не изменилось. Мир осознал ваше оборудование сломалось. Итак, если вы находитесь в закрытой системе, которая никогда не меняется, в некоторых банках есть мейнфреймы, которые никогда не подключаются к внешнему миру, — прекрасно, если вы привязаны к миру. и мир меняется, вам лучше быть в курсе событий».

Короче говоря, не волнуйтесь по поводу огромного количества CVE. Просто убедитесь, что ничто из последней группы не влияет на вашу настройку. Гораздо чаще всего этого не происходит. Однако, чтобы быть по-настоящему безопасным, начинайте обновлять ядро Linux гораздо чаще, чем большинство из вас делают сегодня.