neprihlásený
|
Pondelok, 14. októbra 2024, dnes má meniny Boris |
|
Pozor užívatelia Ubuntu, slovenský aktualizačný server bol mesiac neaktuálny
Infraštruktúra populárnej linuxovej distribúcie Ubuntu mala na Slovensku v posledných týždňoch vážny problém, kvôli ktorému boli jej užívatelia potenciálne vystavení bezpečnostným rizikám. Hlavný slovenský mirror s aktualizáciami pre podporované verzie Ubuntu bol totiž viac ako mesiac neaktualizovaný. Problém sa dotýkal aj serverovej verzie Ubuntu Server, pričom incident samozrejme mohol predstavovať najväčší problém pre internetové servery. Národná jednotka SK-CERT problém evidentne nezachytila.
Značky:
UbuntubezpečnosťSlovensko
DSL.sk, 28.6.2022
|
|
Infraštruktúra populárnej linuxovej distribúcie Ubuntu mala na Slovensku v posledných týždňoch vážny problém, kvôli ktorému boli jej užívatelia potenciálne vystavení bezpečnostným rizikám.
Hlavný slovenský mirror s aktualizáciami pre podporované verzie Ubuntu sk.archive.ubuntu.com smerovaný na mirror.vnet.sk bol totiž viac ako mesiac neaktualizovaný.
Problém si všimol čitateľ servera DSL.sk používajúci na serveri Ubuntu Server a nahlásil nám ho v piatok, okamžite sme upozornili spoločnosť Canonical stojacu za Ubuntu.
Mirror nebol aktualizovaný od 20. mája. Problém vznikol a nebol detekovaný skôr pre súhru viacerých technických okolností a problémov na strane Canonical a slovenského prevádzkovateľa tohto mirroru, spoločnosti Vnet. Ani reakcia Canonical nebola optimálna a dostatočne rýchla a problém bol odstránený až dnes po tom, ako sme upozornili Vnet.
Dôvodom zastavenia aktualizovania servera bola podľa informácií Vnet pre DSL.sk technická zmena na strane Ubuntu. Vnet totiž mirror aktualizoval pomocou tzv. push mirroringu, kedy synchronizáciu mirroru po zmene hlavného mirroru inicializuje hlavný mirror cez SSH. Takýto spôsob aktualizovania umožňuje udržiavať mirror efektívnejšie aktuálnejší.
Canonical ale po aprílovom oznámení na mailing liste v máji zmenila IP adresu, z ktorej inicializuje push mirroring. Štandardné nastavenia obmedzujú prístup na mirror len na túto IP adresu, spoločnosť Vnet zmenu nezaregistrovala a po zmene IP adresy tak prestal fungovať push mirroring. Vnet mala podľa svojho stanoviska nastavené aj notifikácie v prípade chýb pri synchronizácii, k synchronizáciám ale zrejme vôbec neprichádzalo a či dostala nejaké notifikácie nie je jasné.
Zároveň Canonical má systém kontroly aktuálnosti jednotlivých mirrorov, stránky ale ukazovali mirror ako aktuálny. Evidentne so zmenou prestal fungovať aj tento systém kontroly a mirror Vnetu bol naposledy kontrolovaný 10. mája. Podľa informácií Canonical pre DSL.sk to zrejme spôsobil nedávny presun monitorovacích služieb v dátovom centre.
Kvôli tomuto dôvodu mohla potenciálne prestať fungovať aj sychronizácia iných ďalších mirrorov Ubuntu využívajúcich push mirroring, či k tomu prišlo zisťujeme.
Ďalší problém vznikol kvôli spôsobu výberu respektíve presmerovania sk.archive.ubuntu.com. Hoci zoznam Canonical uvádza tri slovenské mirrory pre Ubuntu a zvyšné dva boli aspoň po nahlásení problému čitateľom aktuálne, DNS servery Ubuntu vždy smerovali doménu sk.archive.ubuntu.com pomocou CNAME záznamu na mirror Vnetu, mirror.vnet.sk. Prečo je to tak zisťujeme u spoločnosti Canonical.
Po ďalšom upozornení a komunikácii s Canonical nebol problém odstránený ani dnes, upozornili sme tak spoločnosť Vnet. Tá následne mirror zaktualizovala, podľa svojho stanoviska do hodiny, a zároveň zaviedla opatrenia, aby bola upozornená na budúce problémy z rovnakého dôvodu.
Zároveň spoločnosť Canonical dnes evidentne zmenila DNS záznamy pre sk.archive.ubuntu.com a túto doménu prekladá v súčasnosti na IP adresy, na ktoré sa prekladá globálny mirror archive.ubuntu.com. V súčasnosti sa tak pri využívaní sk.archive.ubuntu.com využívajú zahraničné mirrory a okrem iného sa zvýšila latencia.
Napríklad aktuálna verzia Ubuntu Server v súčasnosti pri novej inštalácii ako zdroj aktualizácií štandardne navrhuje nastaviť globálny archive.ubuntu.com. Ktoré verzie Ubuntu nastavovali národné verzie mirrorov a aký počet užívateľov a serverov využíva sk.archive.ubuntu.com nie je jasné, spoločnosť Vnet takéto štatistiky nevyhodnocuje.
Užívateľom Ubuntu je samozrejme ale odporúčané čo najskôr uskutočniť aktualizáciu tejto distribúcie a preveriť jej stav.
Incident samozrejme mal bezpečnostné dôsledky a to najmä pri použití Ubuntu na serveroch, keď aj pri dobre nastavenom systéme aktualizovania boli zariadenia viac ako mesiac neaktualizované. Či bola v tomto období zverejnená a opravená nejaká vážna zraniteľnosť najmä v niektorom internetovom serverovom softvéri zisťujeme.
Hoci počet zariadení využívajúcich tento mirror nie je známy, keďže Ubuntu je jednou z najpoužívanejších distribúcií, v každom prípade incident bol bezpečnostným incidentom na národnej úrovni. Národná jednotka pre kybernetickú bezpečnosť SK-CERT pri NBÚ tento incident zrejme ale žiadnym spôsobom nedetekovala, keď minimálne spoločnosť Vnet nebola na incident upozornená pred našim upozornením.
SK-CERT tak zrejme tento prvok internetovej infraštruktúry nemonitorovala. Či sa dal incident detekovať z iných dát, napríklad z plošného neaktualizovania verzie niektorého populárneho internetového serverového softvéru, zisťujeme.
Najnovšie články:
Diskusia:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ultraradikalny špecifikácionalizmus
Od: syntaxterrorXXX,. X
|
Pridané:
28.6.2022 21:50
Účel zriadenia v takýchto prípadoch vyžaduje po SK-CERT nevydávať upozornenia, pokiaľ aktualizácie vnášajú do systému doposiaľ nezverejnené zraniteľnosti priekazne vyššej závažnosti, než pre akú sú vydávané.
|
|
/dev/ka
Od: /dev/random
|
Pridané:
28.6.2022 22:26
Tí slovenskí čerti sú nevyspytateľní...
|
|
tak to je
Od: vnet cert
|
Pridané:
29.6.2022 7:36
Ono to je tak ked pouziva firma na spravu linuxoveho mirroru os maleho makkeho
|
|
Bezpecnost
Od: Ubuntak
|
Pridané:
29.6.2022 7:58
Bezpecnost je snad v pohode. Ubuntu na bezpecnostne updaty pouziva (alebo pouzivalo) zvlast repo security.ubuntu.com.
|
|
ultraumiernený prakticizmus
Od: syntaxterrorXXX,. X
|
Pridané:
29.6.2022 9:23
V pohode? Hierarchická distribúcia updatov je na úrovni compile directives, kde každý výskyt exponenciálne zvyšuje nároky na údržbu, až kým nejde na réžiu priekazne všetko.
Šak to je ako nazývať domovskú galaxiu Mliečna cesta a potuteľne sa spoliehať, že kŕmenie z fľašky zo Sunarom je pritom priekazne niečo iné vražda.
|
|
Zaujímavé zistenia.
Od: Linuxák
|
Pridané:
29.6.2022 8:49
Každý tradičný ITčkar (60 kg, silné dioptrie, panic) si aktualizácie sťahuje ručne, priamo od zdroja.
|
|
Re: Zaujímavé zistenia.
Od: Difuse
|
Pridané:
29.6.2022 9:08
Toto robia len tí, čo majú gentoo
|
|
Re: Zaujímavé zistenia.
Od: dewfefe
|
Pridané:
29.6.2022 10:07
gentoo mirror repo je odjakziva hostovany v y-net-e. Ale taky LFS (linux from scratch) poskytuje tu pravu slobodu vyberu, zkadial si clovek stiahne zdrojaky...
|
|
Re: Zaujímavé zistenia.
Od: Kokosák
|
Pridané:
29.6.2022 11:15
tradičný 60kg ITčkar sa mi nejako nezdá...
|
|
Re: Zaujímavé zistenia.
Od: freehate
|
Pridané:
29.6.2022 12:23
presne tak, ITčkarovi pod 100 kilo never!!!
|
|
Re: Zaujímavé zistenia.
Od: BolaveKoleno
|
Pridané:
29.6.2022 14:01
60kg ITckar? Kamo to je potom hodne slaby ITeckar. Spravny je od 120kg smerom hore. Ak si ale firma co podporuje lgbt/diversitu tak potom mozes mat takeho Itckara. Ale tam rataj, ze ta hakne aj 10 rocny chalan z telefonu bez internetu.
|
|
Re: Zaujímavé zistenia.
Od: McUH
|
Pridané:
29.6.2022 15:03
No neviem, fakt sa to tak zmenilo?
Je to už niečo vyše 20 rokov, ale za mojich čias sa na MatFyze športovalo, mnohí praktizovali bojové umenia.
Top (červené diplomy, mediznárodné súťaže, mnohí dnes robia v Google či iných gigantoch) nik nemal takéto proporcie (>100), obvykle tých 60-80. Ono aby dobre fungoval mozog, musí fungovať aj telo, čo inteligentný MatFyzák chápe.
|
|
Re: Zaujímavé zistenia.
Od: Maly Vilko
|
Pridané:
29.6.2022 15:18
20 rokov dozadu kamarat sa na Matfyze sportovalo, pretoze nebolo moc co robit, pocitace neboli a vypocitane bolo vsetko. Po druhe, matfyzaci nemaju kamaratov takze neklam, kto kde robi aj tak ti to niekto nepovie. Po tretie, moja sesternica robi pre Google v Prahe. Ako externistka tam upratuje a aj v inych firmach. U nas na dedine, patri medzi top 5 ludi, co to niekam dotiahli. Tak sa moc nechval ty gigant.
|
|
Re: Zaujímavé zistenia.
Od: Slartibardfast
|
Pridané:
30.6.2022 1:22
vynechal si najdolezitejsiu informaciu - kolko sesternica vazi a ci ma linuxovu krkobradu!
|
|
planovane update
Od: OriginalnyKoumak
|
Pridané:
29.6.2022 11:48
Kedze z bezpecnostnych dovodov sa neaplikuju najnovsie patche u stable serverov okamzite, ale az po nejakej dobe, tak ten mesiac nefunknosti bol prakticky nezaujimavy a preto sa koli tomu nerobilo take velke halo. Bezne smernice maju aplikaciu u dolezitych systemov az po 3 mesiacoch, pokial sa nepredchadza vlastnemu internemu testovaniu, kedy moze byt doba samozrejme aj kratsia.
|
|
VNET?
Od: qwewqeq
|
Pridané:
29.6.2022 15:04
Jeden den im nejde klima v serverovni, druhy zasa mirrory. To je teda firmicka.
|
|
Re: VNET?
Od: Gokuu
|
Pridané:
29.6.2022 15:20
Ked sa ti pokazi zrkadlo.
|
|
Re: VNET?
Od: ekspert
|
Pridané:
30.6.2022 8:30
Ved im ukaz ako sa to robi.
Kup HW, zariad kapacitu a manazuj, a to vsetko zdarma ;)
|
|
titulol. Priepevok
Od: Fffft
|
Pridané:
30.6.2022 8:15
Este ze mame windows a nemusime riesit tieto detske chyby linuxu uz vyse 20 rokov.
|
|
Re: Môj názor2
Od: rambo4000
|
Pridané:
18.7.2022 9:24
SK Cert len zobral vyplatu co sa bude srať stym tak sa to robi v tejto republike...
|
|
nzert
Od: gwhžť
|
Pridané:
14.9.2022 8:11
páči sa mi že táto správa je medzi novinkami už tretí mesiac
|
|
Re: nzert
Od: ferko555
|
Pridané:
13.12.2022 7:34
a uz to teda opravili, ci nie?
|
|
_____
Od: _____
|
Pridané:
10.2.2023 8:04
super clanok, necakal som ze sa dozviem specificky dovod preco to neslo
|
|
stat-sprosty
Od: stat
|
Pridané:
14.2.2023 8:03
.....na tento stat sa vobec nespolieham a uz vobec nie na slovenske servery :)
|
|
trebalo
Od: provokater
|
Pridané:
16.5.2023 10:59
Este by trebalo zaistit, aby wewewe.ubuntu.sk bolo koser... :)
a ked to nepojde, akoze nie, tak potom sa treba opytat na keru picu si v statnej sprave nemoze clovek ani na ubuntu vrznut?
|
Pridať komentár
|
|
|
|