  |
Za poslednú hodinu: 28 meraní | ||||
|
inzercia |
|||||
 
neprihlásený 
| Piatok, 19. apríla 2024, dnes má meniny Jela |
|
Pozor užívatelia Ubuntu, slovenský aktualizačný server bol mesiac neaktuálny
Infraštruktúra populárnej linuxovej distribúcie Ubuntu mala na Slovensku v posledných týždňoch vážny problém, kvôli ktorému boli jej užívatelia potenciálne vystavení bezpečnostným rizikám. Hlavný slovenský mirror s aktualizáciami pre podporované verzie Ubuntu bol totiž viac ako mesiac neaktualizovaný. Problém sa dotýkal aj serverovej verzie Ubuntu Server, pričom incident samozrejme mohol predstavovať najväčší problém pre internetové servery. Národná jednotka SK-CERT problém evidentne nezachytila. Ubuntu
Hlavný slovenský mirror s aktualizáciami pre podporované verzie Ubuntu sk.archive.ubuntu.com smerovaný na mirror.vnet.sk bol totiž viac ako mesiac neaktualizovaný. Problém si všimol čitateľ servera DSL.sk používajúci na serveri Ubuntu Server a nahlásil nám ho v piatok, okamžite sme upozornili spoločnosť Canonical stojacu za Ubuntu. Mirror nebol aktualizovaný od 20. mája. Problém vznikol a nebol detekovaný skôr pre súhru viacerých technických okolností a problémov na strane Canonical a slovenského prevádzkovateľa tohto mirroru, spoločnosti Vnet. Ani reakcia Canonical nebola optimálna a dostatočne rýchla a problém bol odstránený až dnes po tom, ako sme upozornili Vnet. Dôvodom zastavenia aktualizovania servera bola podľa informácií Vnet pre DSL.sk technická zmena na strane Ubuntu. Vnet totiž mirror aktualizoval pomocou tzv. push mirroringu, kedy synchronizáciu mirroru po zmene hlavného mirroru inicializuje hlavný mirror cez SSH. Takýto spôsob aktualizovania umožňuje udržiavať mirror efektívnejšie aktuálnejší. Canonical ale po aprílovom oznámení na mailing liste v máji zmenila IP adresu, z ktorej inicializuje push mirroring. Štandardné nastavenia obmedzujú prístup na mirror len na túto IP adresu, spoločnosť Vnet zmenu nezaregistrovala a po zmene IP adresy tak prestal fungovať push mirroring. Vnet mala podľa svojho stanoviska nastavené aj notifikácie v prípade chýb pri synchronizácii, k synchronizáciám ale zrejme vôbec neprichádzalo a či dostala nejaké notifikácie nie je jasné. Zároveň Canonical má systém kontroly aktuálnosti jednotlivých mirrorov, stránky ale ukazovali mirror ako aktuálny. Evidentne so zmenou prestal fungovať aj tento systém kontroly a mirror Vnetu bol naposledy kontrolovaný 10. mája. Podľa informácií Canonical pre DSL.sk to zrejme spôsobil nedávny presun monitorovacích služieb v dátovom centre. Kvôli tomuto dôvodu mohla potenciálne prestať fungovať aj sychronizácia iných ďalších mirrorov Ubuntu využívajúcich push mirroring, či k tomu prišlo zisťujeme. Ďalší problém vznikol kvôli spôsobu výberu respektíve presmerovania sk.archive.ubuntu.com. Hoci zoznam Canonical uvádza tri slovenské mirrory pre Ubuntu a zvyšné dva boli aspoň po nahlásení problému čitateľom aktuálne, DNS servery Ubuntu vždy smerovali doménu sk.archive.ubuntu.com pomocou CNAME záznamu na mirror Vnetu, mirror.vnet.sk. Prečo je to tak zisťujeme u spoločnosti Canonical. Po ďalšom upozornení a komunikácii s Canonical nebol problém odstránený ani dnes, upozornili sme tak spoločnosť Vnet. Tá následne mirror zaktualizovala, podľa svojho stanoviska do hodiny, a zároveň zaviedla opatrenia, aby bola upozornená na budúce problémy z rovnakého dôvodu. Zároveň spoločnosť Canonical dnes evidentne zmenila DNS záznamy pre sk.archive.ubuntu.com a túto doménu prekladá v súčasnosti na IP adresy, na ktoré sa prekladá globálny mirror archive.ubuntu.com. V súčasnosti sa tak pri využívaní sk.archive.ubuntu.com využívajú zahraničné mirrory a okrem iného sa zvýšila latencia. Napríklad aktuálna verzia Ubuntu Server v súčasnosti pri novej inštalácii ako zdroj aktualizácií štandardne navrhuje nastaviť globálny archive.ubuntu.com. Ktoré verzie Ubuntu nastavovali národné verzie mirrorov a aký počet užívateľov a serverov využíva sk.archive.ubuntu.com nie je jasné, spoločnosť Vnet takéto štatistiky nevyhodnocuje. Užívateľom Ubuntu je samozrejme ale odporúčané čo najskôr uskutočniť aktualizáciu tejto distribúcie a preveriť jej stav. Incident samozrejme mal bezpečnostné dôsledky a to najmä pri použití Ubuntu na serveroch, keď aj pri dobre nastavenom systéme aktualizovania boli zariadenia viac ako mesiac neaktualizované. Či bola v tomto období zverejnená a opravená nejaká vážna zraniteľnosť najmä v niektorom internetovom serverovom softvéri zisťujeme. Hoci počet zariadení využívajúcich tento mirror nie je známy, keďže Ubuntu je jednou z najpoužívanejších distribúcií, v každom prípade incident bol bezpečnostným incidentom na národnej úrovni. Národná jednotka pre kybernetickú bezpečnosť SK-CERT pri NBÚ tento incident zrejme ale žiadnym spôsobom nedetekovala, keď minimálne spoločnosť Vnet nebola na incident upozornená pred našim upozornením. SK-CERT tak zrejme tento prvok internetovej infraštruktúry nemonitorovala. Či sa dal incident detekovať z iných dát, napríklad z plošného neaktualizovania verzie niektorého populárneho internetového serverového softvéru, zisťujeme. 
Najnovšie články: Diskusia:
Pridať komentár | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
