Portál AbcLinuxu, 2. června 2026 02:36

Přichází doba temna pro Linux?

dnes 00:44 | Přečteno: 105× | linux | poslední úprava: dnes 01:52

Proč?

Mnoho karet se dlouhé roky obrací proti konkurečním closed source systémům. Bezpečnost / možnost dělat hlubší nezávislé inspekce zdrojového kódu zvyšovala bezpečnost open source software. Časem se ukázalo, že to platí převážně jen pro serverové služby a uživatelská / desktopová prostředí jsou děravá jak cedník a na bezpečnost se dost kálí, což v mnoha případech platí doteď.

Letošní rok ale ukázal, že se karty ohledně bezpečnosti obrací. Co týden zde máme local root exploit. Pročpak? No, do vyhledávání bugů se zapojilo AI. Výsledkem tedy je, že se objevila nová, celkem rychlá, technika na hledání bugů ve zdrojových kódech. Zatímco closed source si může novou technikou v poklidu testovat svůj kód za zavřenými dveřmi a minimalizovat tak bezpečnostní vlnu nových technik, tak v případě open source tomu tak není a nyní jsme na začátku závodu, kdo dřív najde a zneužije.

Startujeme

Pandořina skříňka byla otevřena a hledat bugy ve 40 milionech řádků kódu, jehož historie sahá do roku 1991, nebude pro AI tak časově náročná operace jako kdyby to měly hledat tými hackerů jinými technikami. Nedělejme si iluze, že tam těch bugů není mnoho, 40 mega je 40 mega.

Startujeme tedy s local privilege escalation (LPE)

• 2026-04-22 CVE-2026-31431 (Copy Fail)
• 2026-05-08 CVE-2026-43284, CVE-2026-43500 (Dirty Frag)
• 2026-05-14 CVE-2026-46300 (Fragnesia)
• 2026-05-15 CVE-2026-46333 (ssh-keysign-pwn)
• 2026-05-28 CVE-2026-46243 (CIFSwitch)

A to jsme prosím jen u kernelu. Začínají se objevovat libůstky jako CVE-2026-42167 (Proftpd mod_sql remote code execution). Nebo méně běžné nasazení s CVE-2026-23262: Linux Kernel Buffer Overflow Vulnerability (Google Virtual Ethernet / gve), CVE-2026-31516 (XFRM bug), CVE-2026-43044 (Crypto CAAM) apod.

Člověk tedy co 14 dní musí patchovat a začíná to být neuhlídatelné v tom smyslu, aby neunikla pozornosti nějaká zranitelnost. Vzhledem ke kadenci objevování děr v linux kernelu to vypadá na zájem rozjet a vyzkoušet Kernel Live Patching (KLP) jako kpatch, resp. dnes už klp-build.

Jak hlídat bezpečnost?

V pár správcích dost těžko. Větší firmy na to mají celá oddělení zabývající se bezpečností. Zatím tedy jedeme RSS kanály portálů zabývající se bezpečností. Toto je tedy takový základní seznam RSS kanálů, aby měl RSSGuard co žrát (díky Martine :) )

• https://www.citrix.com/content/citrix/en_us/downloads/citrix-adc.rss
• https://www.citrix.com/content/citrix/en_us/downloads/citrix-virtual-apps-and-desktops.rss
• https://www.debian.org/security/dsa
• https://portal.nukib.gov.cz/rss.xml
• https://feeds.feedburner.com/TheHackersNews
• https://feeds.feedburner.com/securityweek
• https://krebsonsecurity.com/feed/
• https://www.schneier.com/feed/atom
• https://grahamcluley.com/feed
• https://www.darkreading.com/rss.xml
• https://www.truenas.com/feed/
• https://forums.truenas.com/c/announce/5.rss
• https://about.gitlab.com/atom.xml
• https://about.gitlab.com/security-releases.xml
• https://mikrotik.com/download.rss
• https://www.elastic.co/blog/feed
• https://www.redmine.org/projects/redmine/news.atom
• https://github.com/centreon/centreon/releases.atom
• https://github.com/strongswan/strongswan/releases.atom
• https://github.com/bitwarden/server/releases.atom
• https://www.nukib.cz/rss.xml
• https://isc.sans.edu/rssfeed.xml
• https://csirt.cz/cs/kyberbezpecnost/aktualne-z-bezpecnosti/feed/
• https://github.com/TalEliyahu/awesome-security-newsletters
• https://www.scmagazine.com/security-weekly
• https://www.scmagazine.com/sw-join-insider-list
• https://www.linkedin.com/pulse/security-rss-feeds-brad-voris/
• https://api.msrc.microsoft.com/update-guide/rss
• https://www.microsoft.com/security/blog/feed
• https://www.bleepingcomputer.com/feed/

Dále bezpečnostní newsletery od vendorů, jejichž SW/HW používáme. K tomu se na X a Instáči sleduje pár bezpečnostních expertů. Výsledkem je, že když nás matka o nějakém bezpečnostním incidentu informuje, tak už je to většinou v době, kdy máme patch aplikován. Nutno říci, že matka má na securitu celé oddělení. Hmmm :D.

Dále si hrajeme např. s debsecan (Debian Security Analyzer). Samozřejmě existují i profi nástroje, které hlídají CVE na jednotlivé OS apod. Snažíme se najít balanc, nezahltit se nezneužitelnými CVE a dalším balastem. Udělat na nás DoS notifikační útok a mít dohledové nástroje stále v červeném, protože někde chybí nějaké nicotné CVE, to není moc ideální.

Přístupy jednotlivých distribucí

Mohu se vyjádřit jen k těm, co používáme, takže Debian, AlmaLinux, ArchLinux, Rocky, OEL a RHEL.
ArchLinux to buildí jak na běžícím pásu, Debian je super, AlmaLinux tým je tým megaborců. Nejen, že vydávají analýzy jednotlivých průserů v přehledném blogu, ale okamžitě radí workaround a sami dělají patche a nečekají na RHEL. Naproti tomu třeba Rocky, ten je ohledně informovanosti naprosto tragický a chvilku mi zabralo zjistit, v jakém kanále/repositáři mají opatchovaný kernel.

Závěr

Nedělám si iluze, že epický start kritických bezpečnostních chyb co týden nebude pokračovat. Podle mně bude a bude ještě dlouho trvat, než se zanalyzuje 40m kódu. Nezbývá, než popřát hodně štěstí při patchování.

Zdar Max

PS: Jak řešíte securitu vy?

Anketa

Tiskni Sdílej:

Komentáře

Vložit další komentář

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.