A la luz de la vulnerabilidad de glibc DNS, ¿por qué las actualizaciones de Linux no actualizan las imágenes de instalación?

9

¿Eso no hace que el simple hecho de actualizar una instancia de Linux recién instalada sea insegura, ya que el gestor de paquetes inicialmente instalado es vulnerable? ¿Me estoy perdiendo algo?

Por ejemplo, la fecha actual de la imagen de Ubuntu 15.10 del 21 de octubre ( enlace ) y la fecha de la imagen de Fedora 23 el 30 de octubre ( enlace ). ¿Por qué es eso?

Este aviso de seguridad de Ubuntu dice que la versión 15.10 está afectada: enlace , pero la imagen de instalación no Parece que no se han actualizado desde que se lanzó por primera vez.

Mi preocupación es la siguiente: según tengo entendido, cualquier aplicación que utilice glibc para realizar consultas de DNS es vulnerable, el administrador de paquetes tiene que realizar consultas de DNS para encontrar duplicados y se ejecuta como root, y la vulnerabilidad ya se conoce por un tiempo.

¿apt y RPM utilizan una biblioteca diferente para realizar sus consultas de DNS, o existen algunas defensas para evitar que esta vulnerabilidad sea explotada?

¿Es que los equipos de seguridad de las distribuciones simplemente no pueden hacer frente a la cantidad de vulnerabilidades descubiertas todos los días, es decir, "¿Usando una computadora? ¡Espere troyanos / rootkits!" ¿La realidad de la seguridad informática debe ser aceptada?

    
pregunta lamefun 25.02.2016 - 08:45
fuente

1 respuesta

4

Mantener una distribución es un trabajo duro. Se necesita mucha logística para probar los paquetes de software, actualizarlos, comunicarse con los desarrolladores intermedios, etc.

El disco de instalación es la primera experiencia que un usuario tiene con el software y simplemente tiene que funcionar. Si no lo hace, el usuario no está instalando el software. Por eso es que las distribuciones solo hacen lanzamientos puntuales y actualizan el software de instalación cada cierto tiempo. Si tuviera que reconstruir el software en cada actualización de seguridad, lo haría con tanta frecuencia que es probable que tenga problemas de control de calidad con mayor frecuencia que eso.

Yo diría que tienes razón en que el software sería vulnerable en la primera instalación. Esta es una compensación que los mantenedores de distribución han (probablemente) sopesado y aceptado. Tras la instalación, generalmente lo primero que ocurre es actualizar el software. Existe un pequeño riesgo de que durante este período, alguien pueda aprovechar la vulnerabilidad de glibc. Las únicas búsquedas de DNS que se realizarían antes de que se reparara la vulnerabilidad de glibc serían sitios espejo, por lo que un atacante tendría que controlar esto o realizar un ataque MiTM.

    
respondido por el Steve Sether 25.02.2016 - 21:32
fuente

Lea otras preguntas en las etiquetas