Linux çekirdeği geliştiricileri artık güvenlik düzeltmelerini CVE girişleriyle birlikte gönderiyor

bencede

bencede

New member


  1. Linux çekirdeği geliştiricileri artık güvenlik düzeltmelerini CVE girişleriyle birlikte gönderiyor

Daha önce sessiz güvenlik düzeltmeleriyle bilinen Linux çekirdek projesi, gelecekte güvenlik düzeltmeleri için CVE numaraları atamak istediğinden U dönüşü yapıyor gibi görünüyor. Ancak daha yakından bakıldığında, tüm yamaların CVE etiketi almasını garanti edecek hiçbir şeyin hâlâ bulunmadığı ortaya çıkıyor. Dahası, sorumlular açıkça bir dizi CVE ID'si atamak istiyorlar ve bu muhtemelen Linux dağıtımcılarının ve diğer ilgili tarafların güvenlik süreçlerini gerçekten alt üst edecek.

Duyuru



Zor durum ve dış baskı nedeniyle fikir değişikliği


Greg Kroah-Hartman'ın her şeyin duyurusunda belirttiği gibi, CVE numaralarının atanması tamamen isteğe bağlı değildir. Ona göre, Linux olarak bilinen çekirdekteki oldukça şüpheli güvenlik açıkları nedeniyle harici taraflara birkaç kez CVE kimlikleri atandı. Tahsisin kendisini kontrol etmek ve bu tür şeyleri önlemek amacıyla, Kernel.org projesi, Curl, Python'un arkasındaki geliştiricilerin yakın zamanda yaptıklarına benzer şekilde, kendisi de bir CVE Numaralandırma Yetkilisi (CNA) olmak için başarıyla başvurdu. .

Kroah-Hartman'a göre, dünyanın çeşitli yerlerindeki yeni kanunlar ve düzenleyici tedbirler muhtemelen bunun yakında gerçekleşmesini sağlayacak. Güvenlik yamalarını etiketleme baskısı da arttı. Aynı zamanda yıllar boyunca çeşitli konferanslarda sert bir şekilde eleştirdiği CVE sürecini iyileştirme arzusunun da altını çiziyor.

Toplu olarak CVE kimlikleri


Yeni “CVE Atama Ekibi”nin nasıl çalıştığını açıklayan belgelerdeki değişikliğe göre, bu hareket dünyaya “büyük ölçekli bir CVE sorunu” yaşatacak gibi görünüyor. Yazarlar bunun nedeni olarak çekirdeğin merkezi konumunu belirtiyorlar; bu da “hataları düzeltmenin potansiyel tehlikesi genellikle belirgin olmasa bile, hemen hemen her hatanın çekirdeğin güvenliğini tehlikeye atabileceği” anlamına geliyor. Aynı zamanda geliştiriciler, potansiyel veya gerçek güvenlik açıklarının çoğunun çoğu kullanıcı için genellikle önemsiz olduğuna, çünkü yalnızca belirli çevresel koşullar altında yararlanılabileceğine dikkat çekiyor. Örneğin, bir sürücüde doğru donanım olmadan yüklenmeyecek bir boşluk varsa.

Yılda yaklaşık 100-300 Linux çekirdeği CVE'si yerine, gelecekte muhtemelen çok daha fazlası olacaktır. Tam olarak kaç tanesinin ancak önümüzdeki haftalarda ve aylarda mümkün olacağı; Ama satır aralarında sonsuz bir tufan gibi görünüyor.

Aşağı akış süreci


Ancak yeni çalışma yöntemi hiçbir şekilde tüm gerçek boşlukların gerçekten bir CVE etiketi alacağını garanti etmez. Bunun nedeni Linux geliştirme modelinin bir özelliğidir; CVE atama ekibi güvenlikle ilgili hata düzeltmelerinin farkında bile olmayabilir.

Dokümantasyon değişikliğine göre ekip, ana geliştirme dalındaki hata düzeltmelerini yeni kararlı, uzun vadeli çekirdek sürümlerine dahil ederken potansiyel güvenlik sorunları tespit edilirse otomatik olarak bir CVE numarası yayınlamaya hazırlanıyor. Diğer birçok açık kaynak projesinden farklı olarak, ana Linux geliştirme dalının geliştiricileri, istikrarlı, uzun vadeli çekirdeklerin korunmasına katılmak zorunda değildir.

Bazı düzeltmeler geri dönmüyor


Pek çok çekirdek geliştiricisi bundan yararlanıyor: son kullanıcı sürümlerinin korunmasına yardımcı olmak için parmaklarını bile kıpırdatmıyorlar ve düzeltmelerinin oraya geri dönüp dönmeyeceğini umursamıyorlar; Bireysel alt sistemler, kararlı, uzun vadeli çekirdeklerin bakımcılarının açık izin olmadan herhangi bir değişikliği desteklemesini bile yasakladı.

Rahatsız edildiğini gösteren hiçbir şey yok; Dışarıdan bakıldığında hiçbir şey geliştiricileri ana geliştirme dalındaki güvenlikle ilgili potansiyel hata düzeltmelerini CVE atama ekibine bildirmeye zorlayacak gibi görünmüyor. Bazıları muhtemelen bunu yaparken, kaçının yapmadığı belli değil. Muhtemelen CVE atama ekibinin bazen yayımlanan çekirdeklerdeki güvenlik düzeltmelerini gözden kaçırdıklarını açıkça belirtmesinin nedenlerinden biri de budur; Bu nedenle kullanıcılar, bir CVE atanmamış olsa bile bir değişikliğin güvenlikle ilgili olabileceğini de varsaymalıdır.

Dağıtıma özgü çekirdek güvenlik açıkları için CVE yok


Dokümantasyon değişikliği, bazı kişilerin beklemeyebileceği birkaç ayrıntıdan daha bahsediyor. CVE Atama Ekibi, yalnızca şu anda istikrarlı, uzun vadeli serilerde bulunan sorunlar için CVE'leri ödüllendirmek istemektedir. Örneğin, yarın Linux 6.5'te ortaya çıkan ve Linux 6.6'nın yayınlanmasından kısa bir süre önce fark edilmeyen bir güvenlik açığını öğrenirlerse, ekip buna bir CVE ataması yapmaz çünkü 6.5.y serisinin bakımı uzun süredir durdurulmuştur. evvel. Bu, şu anda bazı sürümlerde Linux 6.5 tabanlı bir çekirdek kullanan Ubuntu için geçerli olacaktır. Bu tür bir güvenlik kusurunu keşfedenler bu nedenle bir CVE etiketi almak için Ubuntu'nun yapımcılarıyla iletişime geçmelidir. Birisi bir dağıtım çekirdeğinde, resmi Linux sürümlerinde hiç bulunmayan bir güvenlik açığı keşfederse de aynı durum geçerlidir.

Ekip, CVE'leri yakın zamanda oluşturulan ve şu ana kadar yalnızca birkaç test e-postası alan linux-cve-duyuru posta listesinde duyurdu.


(Bilmiyorum)



Haberin Sonu
 
Cevap yazmak için giriş yap yada kayıt ol.
Üst