Ubuntu cambia a cuatro

Jul 29, 2023

Las correcciones críticas también llegarán cada dos semanas, mitigando los problemas relacionados con el lanzamiento de parches rápidos en la antigua cadencia de tres semanas.

El Canonical Kernel Team está abandonando su cadencia de actualización a favor de un ciclo de cuatro semanas y agregará una actualización adicional cada dos semanas para las correcciones más urgentes.

Un cambio a un ciclo de cuatro semanas con una actualización intermedia dará como resultado actualizaciones estables periódicas, incluidos parches de seguridad, correcciones de errores y solicitudes de funciones cada cuatro semanas. Las correcciones críticas que no pueden esperar llegarán cada dos semanas.

En el pasado, el equipo de Canonical trabajó en un ciclo de actualización del kernel de tres semanas. Esto, según Kleber Souza, gerente de ingeniería del kernel de Linux en Canonical, permitió una capacidad de respuesta razonable, pero era "propenso a interrupciones por CVE urgentes, solicitudes urgentes de clientes y regresiones encontradas en actualizaciones o durante las pruebas".

El resultado fue que el ciclo tendía a extenderse y la entrega rápida de correcciones CVE era un desafío.

Souza señaló que los núcleos OEM seguirían un cronograma más flexible en términos de plazos para la aceptación de nuevos parches.

Ubuntu es una de las distribuciones de Linux más populares, y los cambios interesarán a los ingenieros encargados de mantener flotas de hardware que ejecutan el sistema operativo (en las instalaciones o en la nube) a la luz del ritmo de descubrimiento y parcheo de vulnerabilidades.

La medida fue descrita por un usuario en los foros de la compañía como “ambiciosa” y se produce a raíz de una vulnerabilidad de escalada de privilegios relativamente fácil de explotar revelada recientemente.

La vulnerabilidad en el módulo OverlayFS utilizado en Ubuntu fue documentada en CVE-2023-2640 y CVE-2023-32629 y era exclusiva del sistema operativo luego de los cambios realizados por el equipo de Canonical en 2018.

CVE-2023-2640 permite a un usuario sin privilegios establecer atributos extendidos privilegiados en archivos montados. CVE-2023-32629 es una vulnerabilidad de escalada de privilegios local donde se omiten las comprobaciones de permisos.

Esos cambios solo se convirtieron en un problema en 2020 cuando una vulnerabilidad de seguridad parcheada en el kernel de Linux no llegó a Ubuntu debido a los cambios anteriores.

Un informe indicó que la vulnerabilidad podría afectar al 40% de las cargas de trabajo en la nube de Ubuntu. Ubuntu solucionó las vulnerabilidades el 24 de julio de 2023 y se indicó a los usuarios que actualizaran sus kernels.

Con el cronograma del ciclo revisado, Souza dijo: "El equipo de Canonical Kernel espera ofrecer actualizaciones más predecibles con una respuesta más rápida para correcciones urgentes".

¡Una dosis diaria de noticias, reseñas, funciones e información sobre TI, directamente en su bandeja de entrada!

Richard Speed ​​es redactor de ITPro, CloudPro y ChannelPro. Se unió a Future por primera vez en 2023 después de haber trabajado como reportero para The Register. Tiene un gran interés en bases de datos, DevOps y regulaciones y gobernanza de TI. También ha asistido a numerosos eventos nacionales e internacionales, incluidas las conferencias Build and Ignite de Microsoft y KubeCons de EE. UU. y la UE.

Antes de unirse a The Register, pasó varios años trabajando en TI en los sectores farmacéutico y financiero.

Los desarrolladores de Fedora Workstation enfrentan una reacción violenta de la comunidad por los planes para recopilar datos de telemetría

Revisión de Kali Linux: una navaja suiza para profesionales de la seguridad cibernética

El gobierno del Reino Unido prevé un fondo satelital de £160 millones para impulsar el 5G y la banda ancha

Por Ross Kelly 1 de agosto de 2023

Por Daniel Todd 1 de agosto de 2023

Por Rory Bathgate 31 de julio de 2023

Por Richard Speed31 de julio de 2023

Por Rory Bathgate 31 de julio de 2023

Por Ross Kelly31 de julio de 2023

Por Richard Speed31 de julio de 2023

Por Ross Kelly31 de julio de 2023

Por Ross Kelly28 de julio de 2023

Por Rory Bathgate28 de julio de 2023

Por Ross Kelly28 de julio de 2023

Al corriente

Al corriente

Al corriente

Al corriente

¡Una dosis diaria de noticias, reseñas, funciones e información sobre TI, directamente en su bandeja de entrada!

Gracias por registrarte en ITPro. Recibirá un correo electrónico de verificación en breve.

Había un problema. Actualice la página e inténtelo de nuevo.