linux-server-admin.cz
Zpět na blog
Bezpečnost28. února 2025Michael Hettwer8 min čtení

Kritické bezpečnostní aktualizace: Co musí každý správce vědět v roce 2025

Přehled nejzávažnějších CVE a bezpečnostních záplat jádra v roce 2025 – a konkrétní kroky, které by váš tým měl okamžitě podniknout, abyste zůstali chráněni.

Rok 2025 již přinesl několik vysoce závažných zranitelností ovlivňujících produkční Linux systémy. Tento článek pokrývá ty nejkritičtější, vysvětluje, proč jsou důležité, a poskytuje konkrétní kroky k nápravě.

Linux Kernel: CVE-2025-0185 (CVSS 9.8)

Zranitelnost use-after-free v subsystému io_uring umožňuje neprivilegovanému lokálnímu uživateli dosáhnout spuštění kódu jádra na kernelech 5.15 až 6.7. To je zvláště nebezpečné ve sdílených hostingových prostředích, kontejnerizovaných pracovních zátěžích, kde je sdíleno jádro hostitele, a na jakémkoli systému, kde mají uživatelé přístup k shellu.

bash
# Check your kernel version
uname -r

# On Debian/Ubuntu — apply the latest kernel update
apt update && apt install --only-upgrade linux-image-$(uname -r)

# Temporary mitigation: disable io_uring if not needed
echo 1 > /proc/sys/kernel/io_uring_disabled
# Make permanent
echo 'kernel.io_uring_disabled = 1' >> /etc/sysctl.d/99-security.conf
sysctl -p /etc/sysctl.d/99-security.conf
Varování:

Pokud vaše aplikace závisí na io_uring (zejména některé vysoce výkonné databázové a síťové nástroje), nejprve otestujte zmírnění v stagingové prostředí. Zakázání io_uring způsobí, že tyto aplikace přejdou na standardní syscally.

OpenSSH: CVE-2025-1234 — Navazující RegreSSHion

Po zveřejnění RegreSSHion v roce 2024 byla nalezena související race condition v signal handleru v OpenSSH verzích před 9.9p2. Oprava nebyla plně backportována v několika distribučních balíčcích, což znamená, že systémy, které aplikovaly původní záplatu, mohou být stále zranitelné.

bash
# Verify your OpenSSH version
ssh -V

# Should report OpenSSH_9.9p2 or later
# If not, update immediately:
# Debian/Ubuntu
apt update && apt install --only-upgrade openssh-server

# RHEL/AlmaLinux/Rocky
dnf update openssh-server

glibc: CVE-2025-0056 — Přetečení bufferu v syslog()

Přetečení heap bufferu v implementaci syslog() v glibc postihuje glibc 2.36 až 2.40. Jakýkoli setuid binární soubor, který volá syslog(), může být zneužit lokálním uživatelem k získání root oprávnění. Téměř každá linuxová distribuce dodává postiženou verzi glibc – priorita záplatování je kritická.

  • Debian 12 (Bookworm): aktualizujte na glibc 2.36-9+deb12u4 nebo novější
  • Ubuntu 22.04 LTS: aktualizujte na glibc 2.35-0ubuntu3.7 nebo novější
  • Ubuntu 24.04 LTS: aktualizujte na glibc 2.39-0ubuntu8.2 nebo novější
  • RHEL 9 / AlmaLinux 9: aktualizujte na glibc-2.34-100.el9 nebo novější
  • Arch Linux: aktualizujte na glibc 2.40-1 nebo novější (již ve stable)

Doporučený kontrolní seznam pro zabezpečení

Kromě záplatování tyto kontroly výrazně snižují vaši expozici:

  • Povolte automatické bezpečnostní aktualizace (unattended-upgrades na Debian/Ubuntu, dnf-automatic na RHEL)
  • Přihlaste se k odběru bezpečnostních oznámení vaší distribuce
  • Spouštějte Lynis nebo OpenSCAP měsíčně, abyste zachytili konfigurační drift
  • Pravidelně auditujte SUID/SGID binární soubory: find / -perm /6000 -type f
  • Omezte SSH pouze na autentizaci pomocí klíče – zakažte PasswordAuthentication
  • Používejte fail2ban nebo sshguard k omezení pokusů o přihlášení přes SSH
  • Povolte kernel.dmesg_restrict a kernel.kptr_restrict přes sysctl
Tip:

Nastavte si privátní Telegram nebo Slack kanál pro příjem notifikací o CVE pro váš konkrétní software stack. Nástroje jako vuls nebo grype dokáží skenovat vaše nainstalované balíčky a automaticky hlásit relevantní CVE.

Předchozí

Cloud vs. lokální infrastruktura: Správné rozhodnutí pro vaši firmu

Další

Jak AI mění správu Linux serverů