systemadmin.es > Seguridad > Gestión de las actualizaciones de seguridad con yum security

Gestión de las actualizaciones de seguridad con yum security

Mediante el plugin yum-security podemos listar y restringir las actualizaciones únicamente a las que sean por criterios de seguridad.

Para usar el plugin en RHEL 5 y CentOS 5 simplemente deberemos instalar el paquete yum-security:

# yum install yum-security -y

A continuación dispondremos de dos opciones extra para yum. Mediante yum list-security podemos ver todos los paquetes que cumplen criterios de seguridad:

# yum list-security
Loaded plugins: dellsysidplugin2, fastestmirror, security
Loading mirror speeds from cached hostfile
 * addons: ftp.udl.es
 * atomic: www4.atomicorp.com
 * base: ftp.udl.es
 * epel: ftp.rediris.es
 * extras: centos.mirror.xtratelecom.es
 * updates: centos.mirror.xtratelecom.es
FEDORA-EPEL-2011-0472 enhancement augeas-libs-0.8.0-1.el5.i386
FEDORA-EPEL-2010-3018 enhancement chkrootkit-0.49-1.el5.i386
FEDORA-EPEL-2010-3212 enhancement epel-release-5-4.noarch
FEDORA-EPEL-2010-3283 bugfix   facter-1.5.8-1.el5.noarch
FEDORA-EPEL-2010-3686 bugfix   iftop-0.17-12.el5.i386
FEDORA-EPEL-2010-3268 enhancement iperf-2.0.5-1.el5.i386
FEDORA-EPEL-2010-3505 bugfix   libsmbios-2.2.26-3.el5.i386
FEDORA-EPEL-2010-3804 enhancement mingw32-nsis-2.46-1.el5.i386
FEDORA-EPEL-2010-3834 enhancement opensips-1.6.3-2.el5.i386
FEDORA-EPEL-2010-3834 enhancement opensips-tlsops-1.6.3-2.el5.i386
FEDORA-EPEL-2010-3505 bugfix   python-smbios-2.2.26-3.el5.i386
FEDORA-EPEL-2010-3765 enhancement rkhunter-1.3.8-3.el5.noarch
FEDORA-EPEL-2011-2941 enhancement ruby-augeas-0.4.1-1.el5.i386
FEDORA-EPEL-2010-3505 bugfix   smbios-utils-2.2.26-3.el5.i386
FEDORA-EPEL-2010-3505 bugfix   smbios-utils-bin-2.2.26-3.el5.i386
FEDORA-EPEL-2010-3505 bugfix   smbios-utils-python-2.2.26-3.el5.i386
list-security done

Los paquetes los clasifica según:

  • enhancement: Una mejora que entra dentro de criterios de seguridad por algún motivo, por ejemplo en el caso anterior una mejora en el paquete chkrootkit
  • bugfix: Solución de un bug, igualmente que cumple criterios de seguridad de forma secundaria
  • security: Solución a un problema de seguridad propiamente dicho.

Mediante yum info-security podemos obtener dicho listado mucho más detallado, pero esencialmente es lo mismo:

# yum info-security
(...)
===============================================================================
  facter-1.5.8-1.el5
===============================================================================
  Update ID : FEDORA-EPEL-2010-3283
    Release : Fedora EPEL 5
       Type : bugfix
     Status : stable
     Issued : 2010-08-30 17:32:21
       Bugs : 508037 - facter hangs on reading /proc/xen/capabilities
Description : This is an upstream bugfix release.  For the full list of
            : changes, please see the upstream announcement:
            :
            : http://groups.google.com/group/puppet-announce/browse_thread/thread/50e2c21ab8251840
            : - Fix reading /proc/xen/capabilities freezing up
      Files : facter-1.5.8-1.el5.noarch.rpm

===============================================================================
(...)
info-security done

Para el resto de opciones del yum se han incluido cuatro modificadores adicionales:

  --security            Include security relevant packages
  --cve=CVE             Include packages needed to fix the given CVE
  --bz=BZ               Include packages needed to fix the given BZ
  --advisory=ADVISORY   Include packages needed to fix the given advisory

Por lo tanto, para actualizar únicamente los paquetes con algún problema de seguridad podemos usar la opción –security:

# yum --security update

Mientras que con –advisory, –bz y –cve podemos concretar por un determinado advisory, Bugzilla o CVE.

5 comments to “Gestión de las actualizaciones de seguridad con yum security”

  1. Hola Jordi!

    ¿Has conseguido hacer funcionar este plugin en CentOS?

    Casualmente, ahora mismo tenemos abierto un hilo en la lista de correo centos-es sobre sistemas para automatizar la administración de máquinas Linux y se está hablando de yum-security.. parece que en CentOS no funciona ya que los paquetes no vienen marcados con estos “metadatos”, existen algunos hacks para marcarlos (encontrarás las referencias en la lista de correo) pero nunca los he probado.. si tienes experiencia con ello sería interesante conocerlo, gracias! 🙂

    Saludos,

  2. Estoy con Santi,

    Yo también lo probé en CentOS y no funciona este plugin (una gran pena la verdad).
    Vi varios threads abiertos al respecto en la lista de CentOS inglesa y desistí.

    A ver si pueden integrarlo en CentOS.

    Saludos

  3. He encontrado un DVD con una CentOS 5.0, voy a probarlo y a ver. Igual no son todos los paquetes, pero algunos almenos si que vienen:

    [root@shuvak ~]# rpm -q -changelog bind | head -n3
    * Thu Dec 02 2010 Adam Tkac <atkac redhat com> 30:9.3.6-16.P1
    - fixes for CVE-2010-3762, CVE-2010-3613 and CVE-2010-3614
    
    [root@shuvak ~]# cat /etc/redhat-release 
    CentOS release 5.6 (Final)
    [root@shuvak ~]# 
    
  4. Jordi, el pluging yum-security no funciona bajo CentOS por que los paquetes no contiene los metadatos de “errata”. Existen varios proyectos, entre ellos un hack muy interesante para integrar esta funcionalidad en Spacewalk que extraen esta información de los mails que se envían a la lista de correo centos-announce.

    El metadato “errata” no tiene nada que ver con el ChangeLog de los RPMs, el autor puede o no indicar si la actualización soluciona un CVE, olvidarse de él, etc.. de todas formas si existe otro “hack” que hace uso de esta funcionalidad, yum-security-check, pero insisto en que no es lo mismo.

    Hace unos años, el amigo Dag Wieers también trabajo en un proyecto para integrar las “erratas” de RHEL en CentOS, en este caso se basaba en la información de los RHSA, supongo que ha abandonado el proyecto ya que llevo un rato buscándolo y no doy con el..

    De todas formas, como dice el autor del script: If the security updates are really important to you, move to RedHat.

    Saludos,

  5. Encontrado! El proyecto de Dag Wieers es Sarah, no sé en que estado se encontrará.. según GitHub no se actualiza desde el 2007.

Deja un comentario:

XHTML - Tags permitidos:<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>