Después de un año de desarrollo, SUSE dio a conocer el lanzado la distribución «SUSE Linux Enterprise 15 SP4» la cual está formada sobre la base de la plataforma SUSE Linux Enterprise en la cual se forman productos como SUSE Linux Enterprise Server, SUSE Linux Enterprise Desktop, SUSE Manager y SUSE Linux Enterprise High Performance Computing.

SUSE Linux Enterprise 15 SP4 mantiene la compatibilidad completa del paquete binario con la distribución impulsada por la comunidad de openSUSE Leap 15.4, cuyo lanzamiento está programado para mañana. Se logró un alto nivel de compatibilidad usando el mismo conjunto de paquetes binarios en openSUSE con SUSE Linux Enterprise, en lugar de reconstruir paquetes src.

Principales novedades de SUSE Linux Enterprise 15 SP4

En esta nueva versión que se presenta, el kernel de Linux se ha actualizado a la versión 5.14, asi como tambien que el entorno de escritorio se ha actualizado a GNOME 41 y GTK4 junto con lo cual se proporcionó la capacidad de usar una sesión de escritorio basada en el protocolo Wayland en entornos con controladores patentados de NVIDIA.

De manera predeterminada, el kernel deshabilita la capacidad de ejecutar programas eBPF por parte de usuarios sin privilegios (se establece el parámetro /proc/sys/kernel/unprivileged_bpf_disabled) debido a los riesgos de usar eBPF para atacar el sistema.

Tambien se ha implementado soporte para el mecanismo BTF (formato de tipo BPF), que proporciona información para la verificación de tipos en pseudocódigo BPF.

Ademas de ello, la compatibilidad con la plataforma de gráficos Intel Alderlake se ha trasladado al controlador i915. Para sistemas ARM, incluye el controlador etnaviv para GPU Vivante utilizado en varios SoC ARM, como NXP Layerscape LS1028A/LS1018A y NXP i.MX 8M, así como la biblioteca etnaviv_dri para Mesa.
Se proporciona la capacidad de activar el modo en tiempo real en el kernel para sistemas en tiempo real configurando el parámetro preempt=full durante el arranque del kernel normal de SUSE Linux. El paquete independiente kernel-preempt se eliminó de la distribución.

Otro de los cambios que se destaca es que se permitió que Btrfs use páginas de memoria de 64 K cuando se trabaja con un sistema de archivos formateado con un tamaño de bloque más pequeño que el tamaño de la página de memoria del kernel (por ejemplo, FS con bloques de 4 KB ahora se puede usar no solo en kernels con el mismo tamaño de página de memoria).

El kernel incluye soporte para el mecanismo SVA (direccionamiento virtual compartido) para compartir direcciones virtuales entre la CPU y los periféricos, lo que permite que los aceleradores de hardware accedan a las estructuras de datos en la CPU principal.

Se agregó el servidor de medios Pipewire, que actualmente solo se usa para compartir pantalla en entornos basados ​​en Wayland. Para el sonido, se sigue utilizando PulseAudio.

Se implementó la capacidad de aplicar parches en vivo para actualizar los componentes del espacio del usuario, como Glibc y OpenSSL, sobre la marcha. La aplicación de parches se realiza sin reiniciar los procesos, aplicando parches a las bibliotecas en memoria.

Se mejoró la compatibilidad con las unidades NVMe y se agregó la capacidad de usar funciones avanzadas como CDC (controlador de descubrimiento centralizado). El paquete nvme-cli se ha actualizado a la versión 2.0. Se agregaron nuevos paquetes libnvme 1.0 y nvme-stas 1.0.

De los demás cambios que se destacan:

• Se agregó soporte para NVIDIA vGPU 12 y 13
• Se ha proporcionado soporte oficial para colocar swap en un dispositivo de bloque zRAM, que proporciona almacenamiento de datos comprimidos en RAM.
• En lugar de los controladores fbdev utilizados para la salida a través de Framebuffer, se propone un controlador simpledrm universal que utiliza el framebuffer EFI-GOP o VESA proporcionado por el firmware UEFI o BIOS para la salida.
• La composición incluye la biblioteca criptográfica OpenSSL 3.0, además de la versión OpenSSL 1.1.1 utilizada en las aplicaciones del sistema.
• YaST ha mejorado el arranque desde unidades de red configuradas con la opción «_netdev».
• La pila BlueZ Bluetooth se ha actualizado a la versión 5.62. Se agregaron códecs de audio Bluetooth de alta calidad al paquete pulseaudio.
• Habilitó la conversión automática de scripts init.d de System V a servicios de systemd mediante systemd-sysv-generator. En la próxima rama principal de SUSE, se eliminará por completo la compatibilidad con los scripts init.d y se desactivará la conversión.
• Se agregó soporte para la tecnología AMD SEV
• El servidor de directorio 389 se utiliza como servidor LDAP principal. Se ha interrumpido la compatibilidad con el servidor OpenLDAP.
• Se eliminó el kit de herramientas para trabajar con contenedores LXC (libvirt-lxc y virt-sandbox).

Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.

Descargar y obtener

La descarga y el uso de la distribución son gratuitos, pero el acceso a actualizaciones y parches está limitado a un período de prueba de 60 días.

El lanzamiento está disponible en versiones para las arquitecturas aarch64, ppc64le, s390x y x86_64.

El enlace es este.

from Linux Adictos https://ift.tt/bufSxg8
via IFTTT

Hace poco se dio a conocer la noticia de que se han corregido 7 vulnerabilidades en el cargador de arranque GRUB2 que permiten eludir el mecanismo de arranque seguro UEFI y permitir la ejecución de código no verificado, por ejemplo, inyectando malware que funciona a nivel del cargador de arranque o del kernel.

Además, hay una vulnerabilidad en la capa shim, que también permite omitir UEFI Secure Boot. El grupo de vulnerabilidades recibió el nombre en código de Boothole 3, similar a problemas similares identificados previamente en el gestor de arranque.

Los metadatos especificados están firmados digitalmente y se pueden incluir por separado en las listas de componentes permitidos o prohibidos para UEFI Secure Boot.

La mayoría de las distribuciones de Linux utilizan una pequeña capa de corrección, firmada digitalmente por Microsoft, para el arranque verificado en el modo de arranque seguro UEFI. Esta capa verifica GRUB2 con su propio certificado, lo que permite que los desarrolladores de distribución no certifiquen cada actualización de kernel y GRUB con Microsoft.

Las vulnerabilidades en GRUB2 permiten lograr la ejecución de código en la etapa posterior a la verificación exitosa de shim, pero antes de cargar el sistema operativo, entrar en la cadena de confianza con el modo de arranque seguro activo y obtener control total sobre el proceso de arranque posterior incluido el arranque de otro sistema operativo, la modificación del sistema de componentes del sistema operativo y eludir la protección de bloqueo.

En lugar de revocar la firma, SBAT permite bloquear su uso para números de versión de componentes individuales sin necesidad de revocar claves para el Arranque seguro. El bloqueo de vulnerabilidades a través de SBAT no requiere el uso de una UEFI CRL (dbx), sino que se realiza a nivel de reemplazo de la clave interna para generar firmas y actualizar GRUB2, shim y otros artefactos de arranque proporcionados por las distribuciones. La compatibilidad con SBAT ahora se ha agregado a las distribuciones de Linux más populares.

Las vulnerabilidades identificadas son las siguientes:

• CVE-2021-3696, CVE-2021-3695: el búfer de almacenamiento dinámico se desborda al procesar imágenes PNG especialmente diseñadas, que en teoría podrían usarse para organizar la ejecución del código de ataque y evitar el arranque seguro de UEFI. Se observa que el problema es difícil de explotar, ya que crear un exploit que funcione requiere tener en cuenta una gran cantidad de factores y la disponibilidad de información sobre el diseño de la memoria.
• CVE-2021-3697: subdesbordamiento del búfer en el código de procesamiento de imágenes JPEG. Explotar el problema requiere conocimiento del diseño de la memoria y tiene aproximadamente el mismo nivel de complejidad que el problema PNG (CVSS 7.5).
• CVE-2022-28733: un desbordamiento de enteros en la función grub_net_recv_ip4_packets() que le permite influir en el parámetro rsm->total_len enviando un paquete IP especialmente diseñado. El problema está marcado como el más peligroso de las vulnerabilidades presentadas (CVSS 8.1). Si se aprovecha con éxito, la vulnerabilidad permite que los datos se escriban fuera del límite del búfer al asignar un tamaño de memoria deliberadamente más pequeño.
• CVE-2022-28734: Desbordamiento de búfer de un solo byte al procesar encabezados HTTP divididos. El problema puede causar que los metadatos de GRUB2 se dañen (escriba un byte nulo justo después del final del búfer) al analizar solicitudes HTTP especialmente diseñadas.
• CVE-2022-28735: un problema en el verificador shim_lock que permite cargar archivos que no son del kernel. La vulnerabilidad podría explotarse para iniciar módulos de kernel sin firmar o código no verificado en el modo de inicio seguro de UEFI.
• CVE-2022-28736: Acceso a un área de memoria ya liberada en la función grub_cmd_chainloader() volviendo a ejecutar el comando chainloader que se usa para cargar sistemas operativos no admitidos por GRUB2. La explotación puede conducir a la ejecución del código del atacante si el atacante puede determinar los detalles de la asignación de memoria en GRUB2.
• CVE-2022-28737: Desbordamiento de búfer en la capa de corrección en la función handle_image() al cargar y ejecutar imágenes EFI personalizadas.

Para solucionar problemas en GRUB2 y shim, las distribuciones podrán usar el mecanismo SBAT (Usefi Secure Boot Advanced Targeting), que es compatible con GRUB2, shim y fwupd. SBAT se desarrolló en colaboración con Microsoft e implica agregar metadatos adicionales a los archivos ejecutables del componente UEFI, que incluyen información sobre el fabricante, el producto, el componente y la versión.

Finalmente si estás interesado en conocer más al respecto, puedes consultar los detalles en el siguiente enlace.

from Linux Adictos https://ift.tt/Z0Hafji
via IFTTT