miércoles, 26 de enero de 2005

Descontento sobre la gestión de seguridad de los núcleos Linux

Los últimos problemas de seguridad en los núcleos Linux han puesto sobre
la mesa el descontento en los procedimientos actuales de parcheo y
distribución de las versiones actualizadas del Kernel.

En los últimos meses se han descubierto diversas vulnerabilidades en los
núcleos Linux que, gracias a ser un sistema Open Source, han sido
solucionadas, en la mayor parte de los casos, en cuestión de horas. Es
decir, que los administradores preocupados han podido encontrar parches
solucionando las vulnerabilidades en un corto espacio de tiempo.

No obstante, en algunos casos, esas correcciones no han estado disponibles
en actualizaciones "oficiales" de los kernel hasta meses después. Esto es así
porque la tendencia hasta ahora ha sido el integrar esos parches en la versión
en desarrollo de los kernel, cuya fecha de publicación puede estar a semanas
o meses vista.

Muchos miembros de la comunidad, incluyendo Hispasec, reclamamos que:

1. Los problemas de seguridad del kernel Linux deben ser solucionados en
el menor plazo posible, una vez descubiertos. Tanto si se trata de
vulnerabilidades accesibles desde el exterior como si requieren acceso
local, ya que se utilizan muchos sistemas Linux para dar servicio
usuarios no confiables.

2. Las actualizaciones de seguridad deben aplicarse tanto a los kernel
en desarrollo en este momento, como a los kernel en producción.

3. Se debe publicar una actualización de los kernel en producción,
solucionando exclusivamente las vulnerabilidades descritas, en el menor
plazo posible.

Es decir, si se descubre un problema de seguridad en la versión 2.4.28
del núcleo Linux, no debe ser necesario esperar a la versión 2.4.29 del
mismo para solucionar el problema, que puede suponer semanas o meses.
Antes bien, debe publicarse una versión 2.4.28.1 del kernel,
solucionando exclusivamente el problema en cuestión, sin tener que
esperar un nuevo ciclo de desarrollo completo del núcleo.

El propio Linus Torvalds aboga porque los problemas de seguridad de los
kernel se discutan de forma pública, para reducir al mínimo los retrasos
y las "excusas" a la hora de publicar una actualización. En ese sentido,
Linus es un defensor a ultranza del "Full Disclosure" de vulnerabilidades.

Solo queda esperar ver cómo evolucionan los acontecimientos, a la luz de
futuras vulnerabilidades.


Jesús Cea Avión
jcea@hispasec.com


Más información:

Security Holes Draw Linux Developers' Ire
http://it.slashdot.org/article.pl?sid=05/01/10/035225

grsecurity 2.1.0 and kernel vulnerabilities
http://lwn.net/Articles/118251/

Críticas a la seguridad en Linux
http://barrapunto.com/journal.pl?op=display&uid=3721&id=9683

Torvalds on the Linux Security Process
http://linux.slashdot.org/article.pl?sid=05/01/14/1450219

Torvalds Criticizes Security Approaches
http://www.internetnews.com/dev-news/article.php/3458961

Local Root Exploit in Linux 2.4 and 2.6
http://linux.slashdot.org/article.pl?sid=05/01/07/2028203&tid=172