Nov 24, 2009

Plugin yum-security: gestión de las actualizaciones de seguridad

Por normal general, en los repositorios de una distribución estable RHEL o CentOS se actualizan únicamente los paquetes cuando una vulnerabilidad o corrección de errores en el código es publicada. En otras palabras, no se incluyen actualizaciones que afectan a la funcionalidad o rendimiento de un determinado paquete. Este tipo de actualizaciones sólo se realiza ante un cambio de versión (CentOS 5.3 --> CentOS 5.4).

Para hacer un listado de todos los paquetes que actualmente se encuentren en condición de ser actualizados en base a las dos normas citadas anteriormente, se puede ejecutar el siguiente comando:
[root@centos ~]# yum list updates

A su vez, la siguiente orden permitirá la actualización de todos esos paquetes en el sistema. Si se quiere actualizar un paquete concreto, por ejemplo Apache, se podrá utilizar el segundo comando.

[root@centos ~]# yum update

[root@centos ~]# yum update httpd

El plugin yum-security permite a la herramienta yum una administración completa de las actualizaciones de seguridad.

[root@centos ~]# yum install yum-security

A través de esta extensión, el administrador puede listar y aplicar aquellas actualizaciones publicadas que conlleven una corrección en aspectos relacionados exclusivamente con la seguridad.

Esto último es una tarea muy importante en entornos de producción, ya que éste es el enclave donde se persigue tener los servidores lo más establemente posible, pero a su vez, no obviar en ningún momento las correcciones de seguridad que eviten aquellos fallos críticos que puedan comprometer a un sistema.

Por lo tanto, la finalidad principal de este plugin no es la de poder instalar la última versión estable de un determinado paquete, sino la de actualizar la versión a otra posterior que únicamente corrija los fallos de seguridad descubiertos.

Para hacer un listado de todas aquellas actualizaciones que afecten meramente a temas de seguridad, hay que ejecutar el siguiente comando:

[root@centos ~]# yum check-update --security

La siguiente orden actualizará todas las correcciones de seguridad disponibles para el sistema, y el segundo comando, las actualizaciones de seguridad disponibles para un paquete concreto.

[root@centos ~]# yum update --security

[root@centos ~]# yum update --security httpd

El plugin yum-security permite también actualizar aquellos paquetes que se vean afectados por un determinado ID de BugZilla (--bz) o CVE (Common Vulnerabilities and Exposures, --cve); por ejemplo:

[root@centos ~]# yum update --cve CVE-2009-0423

No comments:

Post a Comment