neprihlásený Streda, 7. decembra 2022, dnes má meniny Ambróz
Pozor užívatelia Ubuntu, slovenský aktualizačný server bol mesiac neaktuálny

Infraštruktúra populárnej linuxovej distribúcie Ubuntu mala na Slovensku v posledných týždňoch vážny problém, kvôli ktorému boli jej užívatelia potenciálne vystavení bezpečnostným rizikám. Hlavný slovenský mirror s aktualizáciami pre podporované verzie Ubuntu bol totiž viac ako mesiac neaktualizovaný. Problém sa dotýkal aj serverovej verzie Ubuntu Server, pričom incident samozrejme mohol predstavovať najväčší problém pre internetové servery. Národná jednotka SK-CERT problém evidentne nezachytila.

Značky: UbuntubezpečnosťSlovensko

DSL.sk, 28.6.2022


Infraštruktúra populárnej linuxovej distribúcie Ubuntu mala na Slovensku v posledných týždňoch vážny problém, kvôli ktorému boli jej užívatelia potenciálne vystavení bezpečnostným rizikám.

Hlavný slovenský mirror s aktualizáciami pre podporované verzie Ubuntu sk.archive.ubuntu.com smerovaný na mirror.vnet.sk bol totiž viac ako mesiac neaktualizovaný.

Problém si všimol čitateľ servera DSL.sk používajúci na serveri Ubuntu Server a nahlásil nám ho v piatok, okamžite sme upozornili spoločnosť Canonical stojacu za Ubuntu.

Mirror nebol aktualizovaný od 20. mája. Problém vznikol a nebol detekovaný skôr pre súhru viacerých technických okolností a problémov na strane Canonical a slovenského prevádzkovateľa tohto mirroru, spoločnosti Vnet. Ani reakcia Canonical nebola optimálna a dostatočne rýchla a problém bol odstránený až dnes po tom, ako sme upozornili Vnet.

Dôvodom zastavenia aktualizovania servera bola podľa informácií Vnet pre DSL.sk technická zmena na strane Ubuntu. Vnet totiž mirror aktualizoval pomocou tzv. push mirroringu, kedy synchronizáciu mirroru po zmene hlavného mirroru inicializuje hlavný mirror cez SSH. Takýto spôsob aktualizovania umožňuje udržiavať mirror efektívnejšie aktuálnejší.

Canonical ale po aprílovom oznámení na mailing liste v máji zmenila IP adresu, z ktorej inicializuje push mirroring. Štandardné nastavenia obmedzujú prístup na mirror len na túto IP adresu, spoločnosť Vnet zmenu nezaregistrovala a po zmene IP adresy tak prestal fungovať push mirroring. Vnet mala podľa svojho stanoviska nastavené aj notifikácie v prípade chýb pri synchronizácii, k synchronizáciám ale zrejme vôbec neprichádzalo a či dostala nejaké notifikácie nie je jasné.

Zároveň Canonical má systém kontroly aktuálnosti jednotlivých mirrorov, stránky ale ukazovali mirror ako aktuálny. Evidentne so zmenou prestal fungovať aj tento systém kontroly a mirror Vnetu bol naposledy kontrolovaný 10. mája. Podľa informácií Canonical pre DSL.sk to zrejme spôsobil nedávny presun monitorovacích služieb v dátovom centre.

Kvôli tomuto dôvodu mohla potenciálne prestať fungovať aj sychronizácia iných ďalších mirrorov Ubuntu využívajúcich push mirroring, či k tomu prišlo zisťujeme.

Ďalší problém vznikol kvôli spôsobu výberu respektíve presmerovania sk.archive.ubuntu.com. Hoci zoznam Canonical uvádza tri slovenské mirrory pre Ubuntu a zvyšné dva boli aspoň po nahlásení problému čitateľom aktuálne, DNS servery Ubuntu vždy smerovali doménu sk.archive.ubuntu.com pomocou CNAME záznamu na mirror Vnetu, mirror.vnet.sk. Prečo je to tak zisťujeme u spoločnosti Canonical.

Po ďalšom upozornení a komunikácii s Canonical nebol problém odstránený ani dnes, upozornili sme tak spoločnosť Vnet. Tá následne mirror zaktualizovala, podľa svojho stanoviska do hodiny, a zároveň zaviedla opatrenia, aby bola upozornená na budúce problémy z rovnakého dôvodu.

Zároveň spoločnosť Canonical dnes evidentne zmenila DNS záznamy pre sk.archive.ubuntu.com a túto doménu prekladá v súčasnosti na IP adresy, na ktoré sa prekladá globálny mirror archive.ubuntu.com. V súčasnosti sa tak pri využívaní sk.archive.ubuntu.com využívajú zahraničné mirrory a okrem iného sa zvýšila latencia.

Napríklad aktuálna verzia Ubuntu Server v súčasnosti pri novej inštalácii ako zdroj aktualizácií štandardne navrhuje nastaviť globálny archive.ubuntu.com. Ktoré verzie Ubuntu nastavovali národné verzie mirrorov a aký počet užívateľov a serverov využíva sk.archive.ubuntu.com nie je jasné, spoločnosť Vnet takéto štatistiky nevyhodnocuje.

Užívateľom Ubuntu je samozrejme ale odporúčané čo najskôr uskutočniť aktualizáciu tejto distribúcie a preveriť jej stav.

Incident samozrejme mal bezpečnostné dôsledky a to najmä pri použití Ubuntu na serveroch, keď aj pri dobre nastavenom systéme aktualizovania boli zariadenia viac ako mesiac neaktualizované. Či bola v tomto období zverejnená a opravená nejaká vážna zraniteľnosť najmä v niektorom internetovom serverovom softvéri zisťujeme.

Hoci počet zariadení využívajúcich tento mirror nie je známy, keďže Ubuntu je jednou z najpoužívanejších distribúcií, v každom prípade incident bol bezpečnostným incidentom na národnej úrovni. Národná jednotka pre kybernetickú bezpečnosť SK-CERT pri NBÚ tento incident zrejme ale žiadnym spôsobom nedetekovala, keď minimálne spoločnosť Vnet nebola na incident upozornená pred našim upozornením.

SK-CERT tak zrejme tento prvok internetovej infraštruktúry nemonitorovala. Či sa dal incident detekovať z iných dát, napríklad z plošného neaktualizovania verzie niektorého populárneho internetového serverového softvéru, zisťujeme.


      Zdieľaj na Twitteri



Najnovšie články:

Aplikácie pre iPhone budú môcť mať rozmanitejšie ceny, najnižšia bude výrazne nižšia
Tretí blok Mochoviec už týždne stojí, netesnil
Telekom pridal pokrytie 5G vo viacerých mestách
Apple zvažuje presunúť do Indie aj výrobu iPadov
Starlink odložil zavedenie dátového FUP limitu
Nový Google Pixel začal ponúkať bezplatnú VPN od Google
Pre nové elektronické občianske je potrebná nová verzia aplikácie eID klient
Začala výstavba veľkého rádiového teleskopu
Lacnejšie Ryzeny 7000 majú byť dostupné od 10. januára
Netflix už nemá byť v USA najpoužívanejší


Diskusia:
                               
 

Účel zriadenia v takýchto prípadoch vyžaduje po SK-CERT nevydávať upozornenia, pokiaľ aktualizácie vnášajú do systému doposiaľ nezverejnené zraniteľnosti priekazne vyššej závažnosti, než pre akú sú vydávané.
Odpovedať Známka: -5.7 Hodnotiť:
 

Tí slovenskí čerti sú nevyspytateľní...
Odpovedať Známka: 8.9 Hodnotiť:
 

Ono to je tak ked pouziva firma na spravu linuxoveho mirroru os maleho makkeho
Odpovedať Známka: -2.5 Hodnotiť:
 

Bezpecnost je snad v pohode. Ubuntu na bezpecnostne updaty pouziva (alebo pouzivalo) zvlast repo security.ubuntu.com.
Odpovedať Známka: 6.7 Hodnotiť:
 

V pohode? Hierarchická distribúcia updatov je na úrovni compile directives, kde každý výskyt exponenciálne zvyšuje nároky na údržbu, až kým nejde na réžiu priekazne všetko.
Šak to je ako nazývať domovskú galaxiu Mliečna cesta a potuteľne sa spoliehať, že kŕmenie z fľašky zo Sunarom je pritom priekazne niečo iné vražda.
Odpovedať Známka: -5.0 Hodnotiť:
 

Každý tradičný ITčkar (60 kg, silné dioptrie, panic) si aktualizácie sťahuje ručne, priamo od zdroja.
Odpovedať Známka: 2.9 Hodnotiť:
 

Toto robia len tí, čo majú gentoo
Odpovedať Známka: 5.0 Hodnotiť:
 

gentoo mirror repo je odjakziva hostovany v y-net-e. Ale taky LFS (linux from scratch) poskytuje tu pravu slobodu vyberu, zkadial si clovek stiahne zdrojaky...
Odpovedať Známka: 3.3 Hodnotiť:
 

tradičný 60kg ITčkar sa mi nejako nezdá...
Odpovedať Známka: 4.0 Hodnotiť:
 

presne tak, ITčkarovi pod 100 kilo never!!!
Odpovedať Známka: 9.1 Hodnotiť:
 

60kg ITckar? Kamo to je potom hodne slaby ITeckar. Spravny je od 120kg smerom hore. Ak si ale firma co podporuje lgbt/diversitu tak potom mozes mat takeho Itckara. Ale tam rataj, ze ta hakne aj 10 rocny chalan z telefonu bez internetu.
Odpovedať Známka: 5.4 Hodnotiť:
 

No neviem, fakt sa to tak zmenilo?
Je to už niečo vyše 20 rokov, ale za mojich čias sa na MatFyze športovalo, mnohí praktizovali bojové umenia.

Top (červené diplomy, mediznárodné súťaže, mnohí dnes robia v Google či iných gigantoch) nik nemal takéto proporcie (>100), obvykle tých 60-80. Ono aby dobre fungoval mozog, musí fungovať aj telo, čo inteligentný MatFyzák chápe.
Odpovedať Známka: 3.3 Hodnotiť:
 

20 rokov dozadu kamarat sa na Matfyze sportovalo, pretoze nebolo moc co robit, pocitace neboli a vypocitane bolo vsetko. Po druhe, matfyzaci nemaju kamaratov takze neklam, kto kde robi aj tak ti to niekto nepovie. Po tretie, moja sesternica robi pre Google v Prahe. Ako externistka tam upratuje a aj v inych firmach. U nas na dedine, patri medzi top 5 ludi, co to niekam dotiahli. Tak sa moc nechval ty gigant.
Odpovedať Známka: 8.0 Hodnotiť:
 

vynechal si najdolezitejsiu informaciu - kolko sesternica vazi a ci ma linuxovu krkobradu!
Odpovedať Známka: 6.0 Hodnotiť:
 

Kedze z bezpecnostnych dovodov sa neaplikuju najnovsie patche u stable serverov okamzite, ale az po nejakej dobe, tak ten mesiac nefunknosti bol prakticky nezaujimavy a preto sa koli tomu nerobilo take velke halo. Bezne smernice maju aplikaciu u dolezitych systemov az po 3 mesiacoch, pokial sa nepredchadza vlastnemu internemu testovaniu, kedy moze byt doba samozrejme aj kratsia.
Odpovedať Známka: 6.4 Hodnotiť:
 

Jeden den im nejde klima v serverovni, druhy zasa mirrory. To je teda firmicka.
Odpovedať Známka: 4.3 Hodnotiť:
 

Ked sa ti pokazi zrkadlo.
Odpovedať Hodnotiť:
 

Ved im ukaz ako sa to robi.
Kup HW, zariad kapacitu a manazuj, a to vsetko zdarma ;)
Odpovedať Hodnotiť:
 

Este ze mame windows a nemusime riesit tieto detske chyby linuxu uz vyse 20 rokov.
Odpovedať Známka: 0.8 Hodnotiť:
 

SK Cert len zobral vyplatu co sa bude srať stym tak sa to robi v tejto republike...
Odpovedať Hodnotiť:
 

páči sa mi že táto správa je medzi novinkami už tretí mesiac
Odpovedať Hodnotiť:

Pridať komentár