A Rocky Linux egy opcionális Security Repository tárolót indított, hogy kivételes biztonsági helyzetekben a kritikus javításokat már azelőtt elérhetővé tegye, hogy megjelennének a felsőbb szintű Enterprise Linux csomagok.

A tárolót olyan esetekre szánják, amikor egy súlyos sebezhetőség már nyilvános, létezik kihasználható kód, és a felsőbb szintű csomagokra való várakozás védtelenül hagyná a rendszereket. Alapértelmezés szerint ki van kapcsolva, így a szokásos frissítési működés nem változik, amíg nincs szükség gyorsított biztonsági javításokra.

Ez a megoldás szűk körű kivétel a Rocky Linux felsőbb szinttel kompatibilis modellje alól. Vagyis a tároló nem általános gyorsított frissítési csatorna, és nem helyettesíti a szokásos kiadási folyamatot.

Fontos, hogy a Security Repository tárolóból származó csomagokat úgy verziózzák, hogy a későbbi Enterprise Linux frissítések automatikusan felülírják őket. Nem tartalmaznak hagyományos errata bejegyzéseket, és nem jelennek meg a

dnf update --security

parancs futtatásakor szokásos tanácsadóként.

Az első konkrét eset a Dirty Frag volt, egy Linux kernel helyi jogosultságkiterjesztési sebezhetőség-csomag. A Dirty Frag két CVE-t foglalt magában: az egyik az ESP-t érintette, a másik az RxRPC-t a kernel-modules-partner csomagon keresztül. A Security Repository első kernel-ja mindkettőre tartalmazott javításokat.

A Red Hat azóta a legújabb buildjeiben kezelte az ESP sebezhetőséget. A Rocky második kernel kiadása már tartalmazta ezt a felsőbb szintű javítást, és továbbra is foglalkozott az RxRPC problémával. Most azonban a Rocky elhagyja az RxRPC javítócsomagot, mert a Red Hat nem szállítja az érintett

kernel-modules-partner

csomagot az ügyfeleknek, a Rocky pedig csak a fejlesztői tárolójában tartja, támogatási garancia nélkül.

A Rocky Linux szerint a Security Repository pontosan úgy működött, ahogy tervezték: áthidalta az időszakot, amíg a felsőbb szintű javítás elérhetővé nem vált, anélkül, hogy önálló javítócsomagot kellett volna fenntartani egy olyan csomaghoz, amelyet nem szánnak éles rendszerekre.

Ha a Rocky ideiglenes javítást ad ki, és a felsőbb szint nem foglalkozik a problémával, a következő felsőbb szintű kernel kiadás felülírhatja a Rocky által javított csomagot. Azok a felhasználók, akik nem rögzítették verzióhoz a kernel-t, elveszíthetik az ideiglenes javítást. A Rocky szerint ez annak az ára, hogy a rendszer Enterprise Linux újraépítés marad, és nem tart fenn önálló kernel forkot.

Azok az adminisztrátorok, akik szeretnék telepíteni a Security Repository tárolóban elérhető javításokat, a következő parancsot futtathatják:

sudo dnf --enablerepo=security update
Code language: bash (bash)

Ha véglegesen szeretnéd engedélyezni a tárolót, használd a szokásos dnf tárolókonfigurációt. Azoknak a rendszereknek, amelyeknek nincs szükségük gyorsított javításokra, nem kell semmit tenniük; a frissítési viselkedésük változatlan marad.

A Rocky Linux jelezni fogja, ha új csomag kerül a tárolóba, megírja, hogy pontosan mit javítanak, és mikor várható az átállás a felsőbb szinttel újra teljesen egyező csomagokra.

További részletekért olvasd el a bejelentést, vagy nézd meg a Rocky blogbejegyzését a témáról.