Cómo parchear CentOS contra BootHole


Si tiene servidores CentOS en su centro de datos, querrá asegurarse de parchearlos contra BootHole. Jack Wallen le muestra cómo.

Código binario, eliminación de vulnerabilidad de contraseña con pinzas, enfoque selectivo

Imagen: MyImages_Micha, Getty Pictures / iStockphoto

A estas alturas probablemente ya leer acerca de BootHole. De lo contrario, es una vulnerabilidad bastante insípida que puede hacer que esos servidores Linux no puedan arrancar. Entonces, cualquiera que tenga un centro de datos lleno de máquinas Linux probablemente debería estar preocupado por esta falla en specific.

BootHole aprovecha una vulnerabilidad tanto en GRUB2 como en el arranque seguro. Para hacer que BootHole sea un poco más abrumador, en realidad es un truco muy fácil de realizar. Lo único que impide que nunca lo haga bien es tener acceso remoto al servidor. Una vez dentro, sin embargo, todo lo que un atacante tendría que hacer es editar el archivo grub.cfg de tal manera que pase un token demasiado grande para el búfer de análisis flexible. Y debido a que grub.cfg no está firmado, los cambios en el archivo no se verifican.

Cuando esto sucede, su servidor Linux no arranca.

Por supuesto, debido a que se trata de código abierto, los parches llegaron unos días después del descubrimiento de BootHole. Esos parches vienen en forma de archivos de corrección que se pueden aplicar. La cosa es que puede ejecutar una actualización del sistema y es posible que las calzas no se recojan. Ejecuté dos actualizaciones diferentes en dos máquinas CentOS diferentes (7 y 8) y ninguna actualicé los paquetes necesarios.

Sin embargo, puede encargarse de esto manualmente. Déjame enseñarte como.

VER: 10 cosas que las empresas guardan en sus propios centros de datos (Descarga de TechRepublic)

Lo que necesitarás

Lo único que necesitará para que esto suceda es una instancia en ejecución de CentOS y un usuario con privilegios de sudo. Cualquier máquina que ejecute una versión de GRUB2 anterior a la versión 2.06 se verá afectada. Para saber qué versión de GRUB2 está ejecutando, abra una ventana de terminal y emita el comando:

sudo yum info grub2-prevalent

Si ve la versión 2.02 o anterior, su máquina es susceptible.

Vamos a parchearlo.

Cómo parchear CentOS contra BootHole

Le mostraré los comandos para parchear BootHole para CentOS 7 y 8. Lo crea o no, todo lo que tiene que hacer es instalar un solo paquete en su máquina. Por supuesto, dado que hemos iniciado sesión, es mejor que realice una actualización primero.

Para actualizar CentOS, abra una ventana de terminal y emita el comando:

sudo dnf update

Verifique si el kernel se actualizará. Si es así, sepa que deberá reiniciar para que los cambios surtan efecto. Por eso, es posible que desee posponer la actualización hasta el momento en que sea posible reiniciar.

Incluso si omite la actualización, aún puede ejecutar los comandos del parche.

Para parchear CentOS 7, debería emitir el comando:

sudo dnf put in shim-x64-15-8.el7_8 -y

Para parchear CentOS 8, el comando sería:

sudo dnf install shim-x64-15-15.el8_2 -y

Eso es. Con dos comandos, el servidor de su centro de datos CentOS está parcheado contra la vulnerabilidad BootHole. Sin embargo, asegúrese de actualizar periódicamente sus máquinas Linux. Puede pensar que son impenetrables, pero no lo son.

Una buena forma de ver esto es que si una máquina está conectada a la red, es vulnerable, independientemente del sistema operativo. Mantenga sus sistemas siempre actualizados y estará un paso por delante (o al menos al mismo ritmo) de los atacantes.

Ver también



Enlace a la noticia initial