Chapitre 3. Mises à jour de sécurité
Lorsque des vulnérabilités de sécurité sont découvertes, les logiciels touchés doivent être corrigés afin de limiter les risques de sécurité possibles. Si le logiciel fait partie d'un paquetage au sein d'une distribution Red Hat Enterprise Linux actuellement supportée, Red Hat, Inc. se doit de publier des paquetages mis à jour réparant les brèches de sécurité dès que possible. Souvent, l'annonce d'un exploit de sécurité est accompagné d'un correctif (ou de code source corrigeant le problème). Le correctif est alors appliqué au paquetage de Red Hat Enterprise Linux, testé par l'équipe d'assurance qualité de Red Hat et édité en tant que mise à jour d'errata. Toutefois, si l'annonce n'inclut pas de correctif, un développeur de Red Hat travaillera avec la personne qui s'occupe du logiciel pour résoudre le problème. Une fois le problème corrigé, le paquetage est testé et édité en tant que mise à jour d'errata.
Si une mise à jour d'errata est publiée pour un logiciel utilisé sur votre système, il est fortement recommandé que vous mettiez à jour les paquetages concernés dès que possible, afin de réduire la période pendant laquelle votre système est potentiellement exploitable.
3.1. Mise à jour des paquetages
Lors de la mise à jour de logiciels sur votre système, il est important de télécharger ces mises à jour à partir d'une source digne de confiance. Un pirate peut facilement reconstruire la version d'un paquetage avec le même numéro de version que celui qui est supposé corriger le problème, mais avec un exploit de sécurité différent et le publier sur l'internet. Dans une telle situation, l'utilisation de mesures de sécurité consistant à vérifier les fichiers avec le RPM original, ne détecteront pas l'exploit. Il est donc très important de télécharger les RPM de sources dignes de confiance comme le site Red Hat, Inc., et de vérifier la signature du paquetage afin de contrôler son intégrité.
Red Hat offre deux méthodes pour obtenir des informations sur les mises à jour d'errata :
Répertoriées et disponibles par téléchargement sur Red Hat Network
Répertoriées et sans liens sur le site Web d'errata de Red Hat
 | Remarque |
|---|---|
En commençant par la ligne de produits de Red Hat Enterprise Linux, les paquetages mis à jour peuvent uniquement être téléchargés depuis Red Hat Network. Bien que le site Web d'errata de Red Hat contienne des informations à jour, il ne contient pas les paquetages actuels prêts à être téléchargés. |
3.1.1. Utilisation de Red Hat Network
Red Hat Network vous permet d'automatiser la plupart des processus de mises à jour. Il détermine les paquetages RPM nécessaires pour votre système, les télécharge depuis un dépôt sécurisé, vérifie la signature RPM pour s'assurer qu'ils n'ont pas été modifiés et les met à jour. L'installation de paquetages peut se produire immédiatement ou peut être programmée lors d'une certaine période de temps.
Red Hat Network requiert un profil de système pour chaque ordinateur devant être mis à jour. Le profil de système contient des informations matérielles et logicielles sur le système. Ces informations sont confidentielles et ne sont données à personne d'autre. Elles sont seulement utilisées pour déterminer les mises à jour d'errata qui peuvent être appliquées à chaque système. Sans elles, Red Hat Network ne peut pas déterminer si un système a besoin de mises à jour. Lorsqu'un errata de sécurité (ou tout type d'errata) est publié, Red Hat Network envoie un message électronique avec une description de l'errata ainsi qu'une liste des systèmes affectés. Pour appliquer la mise à jour, utilisez l'Agent de mise à jour Red Hat ou programmez la mise à jour du paquetage grâce au site Web http://rhn.redhat.com.
 | Astuce |
|---|---|
Red Hat Enterprise Linux inclut l'Outil de notification d'alertes de Red Hat Network, une icône de tableau de bord pratique qui affiche des alertes visibles lorsqu'une mise à jour pour un système Red Hat Enterprise Linux existe. Reportez-vous à l'URL suivant pour de plus amples informations sur l'applet : http://rhn.redhat.com/help/basic/applet.html |
Pour en savoir plus sur les avantages de Red Hat Network, veuillez consulter le Guide de référence de Red Hat Network disponible à l'adresse suivante : http://www.redhat.com/docs/manuals/RHNetwork/ ou rendez-vous sur le site http://rhn.redhat.com.
 | Important |
|---|---|
Avant d'installer tout errata de sécurité, assurez-vous de bien lire toutes les instructions spéciales contenues dans le rapport d'errata et appliquez-les comme il l'est demandé. Reportez-vous à la Section 3.1.5 pour obtenir des instructions générales sur l'application des modifications résultant d'une mise à jour d'errata. |
3.1.2. L'utilisation du site Web d'errata de Red Hat
Lorsque les rapports d'errata de sécurité sont publiés, ils se trouvent sur le site Web d'errata de Red Hat disponible à l'adresse http://www.redhat.com/security/. Depuis cette page, sélectionnez le produit et la version s'appliquant à votre système, puis choisissez security (sécurité) en haut de la page pour n'afficher que les alertes de sécurité de Red Hat Enterprise Linux. Si le synopsis de l'une des alertes décrit un paquetage utilisé sur votre système, cliquez sur le synopsis pour obtenir davantage d'informations.
La page de détails décrit l'exploit de sécurité et toutes autres instructions spéciales qui doivent être effectuées en plus de la mise à jour pour réparer le trou de sécurité.
Pour télécharger le(s) paquetage(s) mis à jour, cliquez sur le lien pour vous connecter à Red Hat Network, cliquez sur le(s) nom(s) de paquetage et enregistrez-le(s) sur le disque dur. Il est fortement recommandé de créer un nouveau répertoire, comme /tmp/updates et d'y enregistrer tous les paquetages téléchargés.
3.1.3. Vérification des paquetages signés
Tous les paquetages de Red Hat Enterprise Linux portent la signature de la clé GPG de Red Hat, Inc.. GPG signifie GNU Privacy Guard, ou GnuPG, un paquetage de logiciel libre utilisé pour assurer l'authenticité des fichiers distribués. Par exemple, une clé privée (clé secrète) appartenant à Red Hat verrouille le paquetage alors que la clé publique déverrouille et vérifie le paquetage. Si la clé publique distribuée par Red Hat ne correspond pas à la clé privée durant la vérification de RPM, il se peut que le paquetage ait été modifié. Il n'est donc pas digne de confiance.
L'utilitaire RPM dans Red Hat Enterprise Linux essaie automatiquement de vérifier la signature GPG d'un paquetage RPM avant de l'installer. Si la clé GPG de Red Hat n'est pas installée, installez la depuis un emplacement sécurisé et statique comme par exemple un CD-ROM d'installation Red Hat Enterprise Linux.
En supposant que le CD-ROM soit monté sur /mnt/cdrom, utilisez la commande suivante pour l'importer dans le porte-clés (une base de données de clés sécurisées sur le système) :
rpm --import /mnt/cdrom/RPM-GPG-KEY |
Pour afficher la liste de toutes les clés installées pour la vérification de RPM, exécutez la commande suivante :
rpm -qa gpg-pubkey* |
Pour la clé de Red Hat, la sortie inclut les éléments suivants :
gpg-pubkey-db42a60e-37ea5438 |
Pour afficher les détails d'une clé spécifique, utilisez la commande rpm -qi suivie de la sortie de la commande précédente, comme dans l'exemple ci-après :
rpm -qi gpg-pubkey-db42a60e-37ea5438 |
Il est extrêmement important que vous vérifiez la signature des fichiers RPM avant de les installer afin d'obtenir la garantie qu'ils n'ont pas été modifiés par rapport à l'édition Red Hat, Inc. des paquetages. Pour vérifier l'ensemble des paquetages téléchargés en une seule opération, exécutez la commande suivante :
rpm -K /tmp/updates/*.rpm |
Pour chaque paquetage, si la clé GPG est bien vérifiée, la commande renvoie en sortie gpg OK. Si elle ne l'est pas, assurez-vous que vous utilisez la bonne clé publique de Red Hat et que vous vérifiez la source du contenu. Les paquetages qui ne passent pas les vérifications GPG ne devraient pas être installés. En effet, il est possible qu'ils aient été modifiés par un tiers.
Après la vérification de la clé GPG et le téléchargement de tous les paquetages associés au rapport d'errata, installez ces derniers depuis une invite du shell en étant connecté en tant que super-utilisateur.
3.1.4. Installation de paquetages signés
Cette opération peut être effectuée en toute sécurité pour la plupart des paquetages (à l'exception des paquetages du noyau) en exécutant la commande suivante :
rpm -Uvh /tmp/updates/*.rpm |
Pour les paquetages du noyau, utilisez la commande suivante :
rpm -ivh /tmp/updates/<kernel-package> |
Remplacez <kernel-package> dans l'exemple précédent par le nom du RPM du noyau.
Une fois que l'ordinateur a été redémarré en toute sécurité en utilisant le nouveau noyau, il est possible de supprimer l'ancien à l'aide de la commande suivante :
rpm -e <old-kernel-package> |
Remplacez <old-kernel-package> dans l'exemple précédent par le nom du RPM de l'ancien noyau.
| Remarque |
|---|---|
Vous n'avez pas besoin de supprimer l'ancien noyau. Le chargeur de démarrage par défaut, GRUB, permet d'installer de multiples noyaux, sélectionnés depuis un menu au démarrage. |
| Important |
|---|---|
Avant d'installer tout errata de sécurité, assurez-vous de bien lire toutes les instructions spéciales contenues dans le rapport d'errata et appliquez-les comme il l'est demandé. Reportez-vous à la Section 3.1.5 pour obtenir des instructions générales sur l'application des modifications résultant d'une mise à jour d'errata. |
3.1.5. Application des changements
Après le téléchargement et l'installation d'errata de sécurité via Red Hat Network ou le site Web d'errata de Red Hat, il est important de ne plus utiliser les anciens logiciels et de n'utiliser que les nouveaux. La manière de procéder dépend du type des logiciels qui ont été mis à jour. La liste suivante énumère de manière détaillée les catégories générales des logiciels et fournit des instructions quant à l'utilisation des versions mises à jour après la mise à niveau d'un paquetage.
| Remarque |
|---|---|
D'une manière générale, le redémarrage du système est la manière la plus sûre de garantir que la nouvelle version d'un paquetage de logiciels est bien utilisée ; néanmoins, cette option n'est pas toujours offerte à l'administrateur système. |
- Applications
Les applications de l'espace utilisateur représentent tout programme pouvant être démarré par un utilisateur du système. De manière générale, de telles applications sont utilisées seulement lorsqu'un utilisateur, un script ou un utilitaire de tâches automatisées les lance et que l'opération ne dure pas longtemps.
Une fois qu'une application de l'espace utilisateur est mise à jour, arrêtez toute instance de l'application sur le système et relancez le programme afin d'utiliser la version mise à jour.
- Noyau
Le noyau est l'élément logiciel de base du système d'exploitation Red Hat Enterprise Linux. Il gère l'accès à la mémoire, le processeur et les périphériques ainsi que toutes les tâches programmées.
En raison de sa fonction centrale, le noyau ne peut pas être redémarré sans arrêter également l'ordinateur. Par conséquent, une version mise à jour du noyau ne peut être utilisée avant que le système ne soit redémarré.
- Bibliothèques partagées
Les bibliothèques partagées sont des unités de code, comme glibc, qui sont utilisées par un certain nombre d'applications et de services. Étant donné que les applications utilisant une bibliothèque partagée chargent le code lors de leur initialisation, il est nécessaire d'arrêter et de redémarrer toute application utilisant une bibliothèque mise à jour.
Afin de déterminer les applications en cours d'exécution qui sont liées à une bibliothèque particulière, utilisez la commande lsof, comme dans l'exemple suivant :
lsof /usr/lib/libwrap.so*
Cette commande renvoie une liste de tous les programmes en cours d'exécution qui utilisent les enveloppeurs TCP pour le contrôle de l'accès des hôtes. Par conséquent, tout programme faisant partie de la liste doit être arrêté et redémarré si le paquetage tcp_wrappers est mis à jour.
- Services SysV
Les services SysV sont des programmes serveur persistants lancés lors du processus de démarrage. Parmi des exemples de services sysV figurent sshd, vsftpd et xinetd.
Parce que ces programmes restent en mémoire tant que l'ordinateur est opérationnel, chaque service SysV mis à jour doit être arrêté et redémarré après la mise à niveau du paquetage. Pour ce faire, utilisez l'Outil de configuration des services ou connectez-vous dans un shell root et à l'invite exécutez la commande /sbin/service comme dans l'exemple ci-après :
/sbin/service <service-name> restart
Dans l'exemple précédent, remplacez <service-name> par le nom du service, tel que sshd.
Reportez-vous au chapitre intitulé Contrôle de l'accès aux services du Guide d'administration système de Red Hat Enterprise Linux pour obtenir de plus amples informations sur l'Outil de configuration des services.
- Services xinetd
Les services contrôlés par le super-service xinetd tournent seulement lorsqu'une connexion active existe. Parmi des exemples de services contrôlés par xinetd figurent Telnet, IMAP et POP3.
Étant donné que de nouvelles instances de ces services sont lancées par xinetd lors de la réception de toute nouvelle requête, les connexions établies après une mise à niveau sont traitées par le logiciel mis à jour. Toutefois, s'il existe des connexions actives lors de la mise à niveau du service contrôlé par xinetd, ces dernières seront traitées par l'ancienne version du logiciel.
Pour arrêter d'anciennes instances d'un service particulier contrôlé par xinetd, mettez à niveau le paquetage de ce service, puis arrêtez tous les processus actuellement en cours d'exécution. Pour déterminer si le processus tourne, utilisez la commande ps, puis utilisez kill ou killall pour arrêter les instances courantes du service.
Par exemple, si des paquetages imap d'errata de sécurité sont publiés, mettez à niveau les paquetages, puis, en tant que super-utilisateur, saisissez la commande suivante à une invite du shell :
ps -aux | grep imap
Cette commande renvoie toutes les sessions IMAP actives. Des sessions individuelles peuvent alors être arrêtées en exécutant la commande suivante :
kill -9 <PID>
Dans l'exemple précédent, remplacez <PID> par le numéro d'identification du processus (qui se trouve dans la deuxième colonne de la commande ps) correspondant à une session IMAP.
Pour mettre fin à toutes les sessions IMAP, exécutez la commande suivante :
killall imapd
Reportez-vous au chapitre intitulé Enveloppeurs TCP et xinetd du Guide de référence de Red Hat Enterprise Linux pour obtenir des informations générales sur la commande xinetd.