Ubuntu

¿Qué hay de nuevo en seguridad para Ubuntu 21.04?

¿Qué hay de nuevo en seguridad para Ubuntu 21.04?

Ubuntu 21.04 es la última versión de Ubuntu y se encuentra en el punto medio entre la versión más reciente con soporte a largo plazo (LTS) de Ubuntu 20.04 LTS y la próxima versión 22.04 LTS prevista para abril de 2022. Esto brinda una buena oportunidad para hacer un balance de algunas de las funciones de seguridad más recientes entregadas en esta versión, camino a 22.04 LTS. Ubuntu 21.04 trae consigo una gran cantidad de mejoras y características en una amplia variedad de paquetes. En esta publicación de blog, veremos las características y mejoras que se suman a la seguridad general de un sistema Ubuntu.

Un GRUB para Ubuntu

Comenzando desde abajo hacia arriba, uno de los componentes más fundamentales de Ubuntu es el cargador de arranque GRUB2. A la luz de las recientes vulnerabilidades adicionales de derivación de arranque seguro de GRUB2, el equipo de Ubuntu Foundations consideró opciones para hacer que Ubuntu sea más seguro al permitir actualizaciones de grub más fáciles. El resultado fue cambiar la forma en que GRUB2 se envía en Ubuntu. En general, las versiones de Ubuntu se enviarían con una versión fija de GRUB2 (y muchos otros paquetes) en el momento del lanzamiento y, por lo tanto, cuando llegara el momento de solucionar los problemas de seguridad, los parches tendrían que ser retroportados a una base de código obsoleta. Esto conlleva numerosos desafíos técnicos, por lo que para aliviarlos, ahora se enviará un solo paquete GRUB2 en todas las versiones de Ubuntu compatibles, siendo 21.04 la versión inicial para admitir esta función.

Actualizaciones de firmware y fwupd

Desde el advenimiento del Servicio de firmware de proveedor de Linux (LVFS) y el demonio fwupd asociado, Ubuntu ha admitido una fácil instalación de actualizaciones de firmware, incluidos tanto el BIOS como los dispositivos periféricos. Estas actualizaciones de firmware a menudo contienen soluciones cruciales para fallas de seguridad, por lo que garantizar que los dispositivos tengan las últimas actualizaciones de firmware es un paso integral para una buena seguridad. Ubuntu 21.04 se envía con la última versión 1.5.8 de fwupd, que incluye soporte para los metadatos SBAT requeridos para las últimas mejoras de arranque seguro de UEFI, así como soporte para habilitar actualizaciones de firmware para muchas más clases de dispositivos, incluidos los teclados Pinebook Pro y System76, solo por nombrar unos pocos.

Los cambios de seguridad del kernel de Linux 5.11

El kernel de Linux está en el corazón de todos los sistemas Ubuntu en ejecución. El kernel en Ubuntu 21.04 se basa en el kernel 5.11 ascendente, que trae consigo una serie de mejoras desde el kernel 5.8 que se usa en Ubuntu 20.10. Éstas incluyen:

CAP_CHECKPOINT_RESTORE

En los centros de datos modernos, la capacidad de migrar cargas de trabajo entre máquinas es cada vez más importante para permitir un rendimiento y una disponibilidad óptimos. Un mecanismo utilizado para respaldar esto se llama punto de control / restauración: esto permite la capacidad de tomar una instantánea de uno o más procesos en un sistema y capturar su estado completo, luego moverlo a otro sistema y reiniciar esos procesos sin problemas. En el pasado, esto requería que un proceso de supervisor tuviera privilegios completos de administrador del sistema (CAP_SYS_ADMIN) en una máquina solo para realizar esta función, otorgando permisos excesivos cuando no se requieren. Para permitir un enfoque más detallado, se ha introducido una nueva capacidad CAP_CHECKPOINT_RESTORE: esto permite que un proceso de supervisor realice las operaciones de punto de control / restauración requeridas con solo el subconjunto de permisos requeridos, y así ayuda en la implementación de un principio de sistema de privilegios mínimos.

Protector de pila RISC-V

RISC-V es una arquitectura de conjunto de instrucciones estándar abierta diseñada en torno a los principios del conjunto de instrucciones reducido, y se ha admitido como una vista previa de tecnología desde Ubuntu 20.04 LTS. Desde la versión 5.9 del kernel de Linux, la arquitectura RISC-V ha ganado soporte para implementar la protección de la pila, que es una característica de refuerzo para detectar y prevenir los desbordamientos del búfer de la pila del kernel que pueden usarse para comprometer la seguridad de un sistema. Esto lleva a esta arquitectura relativamente joven a una paridad de características más cercana con las arquitecturas más maduras como amd64, que han admitido la protección de la pila del kernel desde Ubuntu 9.04, hace más de 11 años.

Llamadas estáticas para mejorar la mitigación de Spectre

Las vulnerabilidades de Spectre fueron las primeras de muchas vulnerabilidades de ejecución especulativa descubiertas recientemente, que explotaron varias características de microarquitectura del hardware del procesador subyacente para filtrar información a través de los límites de seguridad. El descubrimiento de estas vulnerabilidades llevó a la implementación de muchas técnicas de mitigación novedosas, sin embargo, estas tuvieron varios impactos en el rendimiento que llevarían a los usuarios a tomar una mala decisión entre seguridad y rendimiento. Con el tiempo, se ha mejorado el impacto en el rendimiento de estas mitigaciones; en particular, la implementación de llamadas estáticas dentro del kernel 5.10 ha experimentado una mejora notable en el subsistema perf y otros.

Etiquetado de memoria ARM64

La corrupción de la memoria sigue siendo una de las principales fuentes de vulnerabilidades dentro del kernel de Linux. Si bien se han desarrollado varios mecanismos basados ​​en software (como el protector de pila antes mencionado) para tratar de mitigarlos, también se han estado trabajando varios enfoques basados ​​en hardware. Uno de estos enfoques es el etiquetado de memoria, compatible con la extensión de etiquetado de memoria Armv8.5. Esto tiene como objetivo prevenir problemas de seguridad de la memoria al etiquetar las direcciones de la memoria con una clave que no se pueda falsificar fácilmente y así prevenir ataques comunes de seguridad de la memoria, como desbordamientos de búfer. La arquitectura ARM64 en Ubuntu 21.04 ahora proporciona soporte para procesos de espacio de usuario para permitir el uso de etiquetado de memoria para ciertas regiones de memoria y, por lo tanto, proporciona un camino para habilitar esta protección de manera más integral en el futuro.

Intel SGX

La informática confiable se basa en realizar cálculos que no se pueden manipular ni alterar. Intel Software Guard eXtensions (SGX) brinda la capacidad de crear un enclave separado que se puede usar para realizar operaciones confiables, donde no se puede acceder al código ni a los datos desde componentes que no son de confianza. El soporte para el uso de SGX está presente en Ubuntu 21.04, mientras que el soporte de hardware para esta característica ha estado presente en varios procesadores Intel en el escritorio en los últimos años y los próximos procesadores Xeon «Ice Lake» también proporcionarán SGX para plataformas de servidor.

Mejoras en la seguridad del espacio de usuario

Con cada nueva versión de Ubuntu, existe la oportunidad de actualizar la gama de paquetes de software proporcionados dentro del archivo de Ubuntu a la última versión. Algunos paquetes de software relevantes para la seguridad actualizados para Ubuntu 21.04 incluyen OpenSSH y Libseccomp. OpenSSH se ha actualizado a la versión 8.4, que proporciona soporte mejorado para tokens de hardware FIDO / U2F. Esto incluye tokens de soporte que requieren un PIN para cada uso, además de un mejor soporte cuando se usan varios tokens al mismo tiempo. Esto permite a los usuarios habilitar el acceso remoto con mayor seguridad de que atacantes no autorizados no pueden abusar de él. Libseccomp, por otro lado, es un componente de nivel más bajo, pero ha sido crucial en la implementación de tecnologías de espacio aislado que permite que las aplicaciones limiten su propio impacto en caso de compromiso. La actualización a la versión 2.5.1 de Libseccomp brinda compatibilidad con las notificaciones del espacio de usuario (utilizadas por administradores de contenedores como LXD) y un rendimiento mejorado al agregar nuevas reglas.

Finalmente, otro cambio importante y muy esperado es la introducción de directorios personales privados por defecto en Ubuntu 21.04. Esto asegura que los archivos de los nuevos usuarios solo serán accesibles para ese usuario y no para otros usuarios locales en el mismo sistema, reconociendo el cambio de la computación de escritorio compartida a los casos de uso más hostiles de la nube o IoT.


En total, la gama de mejoras de seguridad en Ubuntu 21.04 crea una base sólida en el camino hacia Ubuntu 22.04 LTS y se erige como la versión más segura de Ubuntu hasta la fecha al aprovechar estas y aprovechar las otras características de seguridad y refuerzo que durante mucho tiempo han sido parte central de las versiones de Ubuntu en el pasado.

Leave a Comment

You may also like