Ubuntu 14.04已在ESM服务下支持了两年时间，LTS结束支持后将面临着什么？

by Nikos Mavrogiannopoulos on 2 April 2021

两年前，我们发布了Ubuntu 14.04的扩展安全维护（ESM）阶段，即通过免费或付费的Ubuntu Advantage企业基础设施订阅提供对CVE补丁的访问。此扩展阶段将2014年4月发布的Ubuntu 14.04 LTS的生命周期从标准LTS发行的五年延长到了八年，到2022年4月结束。在ESM阶段，我们针对Ubuntu main和restricted归档中最常用的软件包发布了高优先级和关键优先级漏洞的安全修复程序。在这篇文章中，我们一起回顾并分享在过去两年中维护此版本中的经验。

到目前为止，在Ubuntu 14.04 ESM的生命周期中，我们发布了238个Ubuntu安全公告（USN），涵盖了从高优先级到低优先级的574个CVE。随后的安全更新避免了从远程执行代码和特权升级到CPU硬件漏洞的影响范围。解决高优先级CVE的平均时间为14天。

突出的软件漏洞

并非所有漏洞都是相同的，如高知名度或盛名的并不总是意味着高风险。下面，我们已列出对14.04 ESM生命周期影响最大的漏洞-SACK Panic，GRUB2 BootHole，Baron Samedit和Exim远程代码执行。

SACK Panic – 内核

Linux内核存在着潜在的高影响力漏洞，也是任何系统攻击面的核心部分。还有比“TCP堆栈上的一个漏洞，可以远程触发”更糟的吗？SACK Panic是一组同时应用于服务器和客户端系统的拒绝服务（DoS）漏洞，可以远程触发。它利用了整数溢出和Linux内核的选择性确认（SACK）的TCP实现中的其他缺陷。我们通过2019年6月的USN-4017-2补丁已修复该漏洞。

GRUB2 BootHole – GRUB2

UEFI安全启动从UEFI BIOS开始建立操作系统的完整性，并在启动过程中验证后续软件。在我们的例子中是GRUB2，它依次对Linux内核进行身份验证。该过程可以防止由于超出操作系统边界使得恶意软件变得持久。GRUB2包含各种漏洞，如整数溢出和堆缓冲区溢出以及使用后释放，这些漏洞将导致身份验证部分被绕过。持有管理权限或对系统具有物理访问权限的本地攻击者可以绕过GRUB2模块签名检查，这导致能够加载尚未由可信机构签署的任意GRUB2模块，从而可以绕过UEFI安全启动。此漏洞通过2020年7月的USN-4432-1已修复。

Baron Samedit – sudo

Sudo是管理员使用的最常用工具之一。它允许以非特权用户身份运行时执行特权任务，通过默认无特权操作不仅提供安全性，而且还会创建一个审计跟踪，以了解谁在具有多个管理员的环境中执行了哪些操作。由于sudo（堆缓冲区溢出）中的内存处理不正确可能导致未经授权的的本地用户提权的漏洞，这个问题是自2011年以来在代码库中一直存在的。我们在2021年1月通过USN-4705-2已定位该漏洞。

Exim远程执行代码漏洞

Exim是Ubuntu中主要的邮件（SMTP）处理服务器之一。由于部分SMTP协议的编码器和解码器之间的不匹配，此漏洞可能导致远程命令执行。在2019年通过USN-4124-1已修复。

突出的硬件漏洞

硬件与软件不同，无法在现场轻松更新或打补丁。例如，当在硬件本身中发现漏洞时，必须在硬件之上的软件才能解决此问题。硬件的调整程度非常有限，例如，通过驱动程序或微码进行调整。在这里，回顾下我们在14.04 ESM生命周期的头两年中解决的最突出的硬件漏洞。

英特尔微体系架构数据抽样漏洞

英特尔CPU上的此漏洞导致机密性泄露。在同一CPU上运行的应用程序使用的数据可能会暴露于在同一CPU内核上执行的恶意进程。这是一种复杂的攻击，它使用推测执行侧通道，因此无法轻松地用于有针对性的攻击。我们通过2019年5月
USN-3977-1, USN-3977-3, USN-3983-1, USN-3982-2, USN-3981-2, USN-3985-2, USN-3977-2, USN-3978-1发布的内核，qemu，libvirt和微代码更新来缓解此漏洞。

TSX异步中止

TSX异步中止（TAA）漏洞使攻击者可以通过Intel® Transactional Synchronization Extensions（Intel®TSX）访问CPU的微体系结构缓冲区。这又是一个数据机密性漏洞，它可能导致用户空间进程之间，内核与用户空间之间，虚拟机之间或虚拟机与主机环境之间的内存泄漏。此问题已通2019年11月的
USN-4187-1， USN-4186-2 的处理器微代码和Linux内核更新的组合更新得以缓解。

英特尔显卡（i915）漏洞

有两个影响英特尔图形处理器的漏洞。第一个（CVE-2019-0154）可导致本地用户触发拒绝服务（DoS）攻击。也就是说，当处理器处于某些低功耗状态时，无特权的用户执行从GT存储器映射的输入输出（MMIO）的读取操作可能会导致系统挂起。

第二个漏洞（CVE-2019-0155）是提升特权和数据机密性破坏。图形处理器允许无特权的用户写入和读取内核内存，从而可能导致提权。 

2个漏洞通过包含英特尔显卡驱动的内核更新得以缓解。 USN-4187-1, USN-4186-2已在2019年11月发布。

看看其他方面

14.04 ESM中解决的最有影响力的软件漏洞利用了例如堆缓冲区溢出，释放后使用，整数溢出以及逻辑错误等众所周知的技术。尽管有着缓解措施和防御措施，例如现代CPU中可用的不可执行内存，以及Ubuntu 14.04中的堆保护程序，ASLR和其他保护程序，它们为攻击者提高了标准，但没有提供完整的保护，攻击只会变得越演越烈。因此，定期进行漏洞修补是降低风险突破口的关键因素。

退后一步，我们发现不再将CPU视为黑匣子，并且我们看到不断发现和缓解的漏洞。在存在这些漏洞的情况下，例如在云上的共享主机无法始终保证共享CPU处理的数据的机密性。必须注意的是，云上必要的隐私不仅来自硬件和操作系统的集成，而且还需要维护良好且定期进行漏洞修补的系统。

大多数存在安全漏洞的软件包

尽管Ubuntu 14.04 ESM主仓库中有2000多个软件包，但是在我们的漏洞修复程序中还是有突出的软件包。这并不意味着设计上的弱点，还可以归因于它们的流行性以及对开源生态系统的重要性，吸引了研究人员的注意力。下图显示了我们已修补的头部软件包中的安全修复程序数量。

升级还是不升级？

过渡到最新的操作系统对于性能，硬件支持，软件修复和技术支持利益至关重要。但是，升级不是一个简单，快速或廉价的过程。企业解决方案将组织中来自各个团队的软件组合在一起，并且在大多数情况下，存在扩展的供应链，其中涉及来自第三方供应商的软件，而第三方供应商又可能拥有自己的软件供应商。

这种复杂的情况导致对软件堆栈（例如Java，python）的依赖，这些软件堆栈在升级后的系统中的某些特性会被弃用，替换或稍作更改。在这种情况下，升级过程成为变更管理过程，除了实际的操作系统升级外，还涉及风险分析，利益相关方沟通以及可能的是现有解决方案的升级。

实际上，过去3年中IT预算增加的主要驱动力是需要更新过时的基础架构，而升级是每个人工作流程的一部分。同时，Ubuntu ESM是一个可靠服务，使您可以灵活地安排基础结构升级，同时还可以确保系统的安全性和连续性。

如您想了解更多关于Ubuntu 14.04、Ubuntu 16.04 ESM相关的服务内容，请与我们联系！