Blog home
Linux

Aktualisieren Sie Ihre Sicherheit mit den neuesten Funktionen in Ubuntu 23.04

Tim Smith
April 19, 2023
Lesedauer: 4 Minuten

Es ist wieder die Zeit des Jahres für eine neue Version von Ubuntu Linux, und hier bei Mondoo werden wir unsere Tradition fortsetzen, zu entdecken, was es Neues im Bereich Sicherheit gibt. Ubuntu 23.04 bringt möglicherweise keine revolutionären Sicherheitsänderungen mit sich, da seit der Veröffentlichung von Ubuntu 22.10 erst 6 Monate vergangen sind und nicht viele Kernkomponenten größere Updates erhalten haben. Ubuntu 23.04 bietet jedoch Verbesserungen gegenüber seinem Vorgänger, darunter zahlreiche Patch-Release-Updates. Es gibt wichtige Updates für beliebte gebündelte Server wie MariaDB, PostgreSQL und Samba. Benutzer von Domänencontrollern oder Datenbankservern, auf denen Ubuntu ausgeführt wird, sollten aufgrund einiger guter Gründe für ein Upgrade auf 23.04 auf dem Laufenden bleiben.

Ubuntu-01 Featured Image

Linux-Kernel 6.2

Der in Ubuntu 23.04 enthaltene Linux-Kernel wurde von 5.19 auf 6.2 aktualisiert. Trotz der großen Versionserhöhung beinhaltet dieses Upgrade hauptsächlich die übliche Geräteunterstützung und Leistungsverbesserungen. Es gibt jedoch einige interessante Sicherheitsfunktionen wie KFCI-Unterstützung, Intel SGX2-Unterstützung und verbesserte Unterstützung für Kernel-Verschlüsselung.

Eine der interessantesten neuen sicherheitsorientierten Funktionen in dieser Version ist die Unterstützung von Kernel Control Flow Integrity (KCFI). Diese neue CFI-Implementierung kann einfacher aktiviert werden und schützt den Kernel vor Angriffen, die den Kernel-Kontrollfluss verändern. Sieh dir das an ausgezeichneter LWN.net-Artikel für einen detaillierten Blick darauf, wie CFI den Kernel schützt.

Diese aktualisierte Kernel-Version unterstützt auch die Hardware-sichere Speicherfunktion Software Guard Extensions 2 (SGX2) von Intel, die in den Gemini Lake/Ice Lake-Prozessoren eingeführt wurde. SGX2 verfügt über eine verbesserte Enklave für sicheren Speicher, die es Prozessen ermöglicht, Speicherplatz zu verschlüsseln, um Schnüffeln zu verhindern. Eine besonders interessante Anwendung dieser Technologie ist die Verschlüsselung des VM-Speichers, um zu verhindern, dass andere Systemprozesse oder virtuelle Maschinen den Inhalt lesen können.

Die letzte sicherheitsorientierte Änderung in diesem Kernel-Update ist die verbesserte Unterstützung der Kernel-Verschlüsselung. Kernel 6.2 unterstützt HCTR2, eine längenschonende Verschlüsselungsmethode (Klartextgröße == verschlüsselte Größe), die gut mit der Hardwarebeschleunigung in x86- und ARM-Prozessoren funktioniert. Diese Version bietet auch Unterstützung für ARIA-GCM sowie 256-Bit-TLS-Hardware-Offload.

systeme 252

systemd wurde von 251 auf 252 aktualisiert und enthält eine Reihe kleinerer, aber interessanter Sicherheitsverbesserungen:

  • Die Kommunikation zwischen Systemd- und TPM2-Geräten wird jetzt zur Verbesserung der Sicherheit mithilfe eines Bindungsschlüssels durchgeführt.
  • SystemD-resolved verwendet jetzt weiterhin DNS über TLS, auch wenn es neu gestartet wurde, und es wird nicht mehr Hardfail mehr geben, wenn der Nameserver ein unbekanntes Protokoll verwendet.
  • Networkd unterstützt jetzt die Übergabe von Werten an die Kernel-Netlabel-Module über eine neue Konfigurationsoption `netLabel=`.
  • VM-Bootstrap-Konfigurationsdaten können jetzt an Systemd übergeben werden, ohne dass Cloud-Init erforderlich ist, indem Daten mithilfe des DMI-Typ-11-Felds übergeben werden.
  • Die Spezifikation /etc/os-release enthält jetzt ein optionales SUPPORT_END-Feld, um Distributions-EOL-Daten für Tools wie Mondoo verfügbar zu machen. Vielen Dank an das Systemd-Team!

Gebündelte Server

MariaDB 10.11.2

MariaDB wurde von 10.6.12 bis 10.11.2 aktualisiert, mit einer Vielzahl von Verbesserungen am Datenbankserver, einschließlich einer großen Anzahl von Sicherheitsverbesserungen.

MariaDB enthält jetzt neue Datentypen und Funktionen zum Speichern und Vergleichen erweiterter Datenformate. Indem Sie potenziell ungeprüfte Logik aus Ihrer Anwendung in den Datenbankserver verschieben, können Sie möglicherweise Sicherheitslücken bei der Datenverarbeitung vermeiden.

  • Neue UUID- und INET4-Datentypen
  • RANDOM_BYTES-Funktion zur Generierung von Zufallsdaten
  • JSON_TABLE-Daten zum Konvertieren von JSON-Daten in relationale Daten
  • JSON_EQUALS-Funktion für JSON-Datenvergleiche

Eine Vielzahl von Verbesserungen wurde vorgenommen, um die Datensicherheit in MariaDB zu verbessern. Die SSL-Unterstützung ist jetzt standardmäßig in der CLI aktiviert und der Server kann jetzt nicht gestartet werden, wenn SSL in meiner.cnf-Datei nicht richtig konfiguriert wurde. Ein neues `password_reuse_check`-Plugin verhindert, dass Benutzer Passwörter bei Kennwortaktualisierungen wiederverwenden. Ein neues `Hashicorp Key Management`-Plugin ermöglicht das Verschlüsseln von Daten in Tabellen mit HashiCorp Vault.

PostgreSQL 15.2

PostgreSQL wurde von 14.7 auf 15.2 mit kleineren Sicherheitsverbesserungen aktualisiert, die hauptsächlich mit der Reduzierung der sofort einsatzbereiten DB-Rechte zusammenhängen:

  • Verbesserte Zufälligkeit in der Funktion random ()
  • CREATE-Berechtigungen wurden für alle Benutzer außer dem Datenbankbesitzer entfernt
  • Die logische UPDATE/DELETE-Replikation ist nicht mehr zulässig, wenn der Benutzer keine SELECT-Berechtigungen hat, da für UPDATE/DELETE auch das Lesen von Daten erforderlich ist
  • Erlaube GRANT für die Funktion pg_log_backend_memory_contexts (), damit sie von Nicht-Superusern ausgeführt werden kann
  • Fügen Sie einen neuen pg_checkpoint hinzu, damit Mitglieder CHECKPOINTS ausführen können, für die zuvor Superuser-Rechte erforderlich waren.
  • GRANT für einzelne Servervariablen zulassen, damit Nicht-Superuser die Werte ändern können.
  • Fügen Sie die neue Rolle pg_write_server_files hinzu, damit Mitglieder serverseitige Basissicherungen durchführen können, für die zuvor Superuser-Rechte erforderlich waren

Samba 4.17.7

Eines der größten Updates in Samba 4.17 ist die Unterstützung für Kerberos 1.20, das mehrere wichtige Funktionen ermöglicht hat:

  • Unterstützung für Ressourcenbasierte eingeschränkte Delegierung (RBCD), um eine kontrollierte Delegierung zur Erhöhung der Sicherheit zu ermöglichen und den Funktionen zu entsprechen, die ursprünglich in Windows 2003 bereitgestellt wurden.
  • Abschwächung des Bronze-Bit-Angriffs.
  • Unterstützung für die Kerberos-Erweiterungen S4U2Self und S4U2Proxy zum Abrufen von Tickets im Namen anderer Benutzer.

Diese Version bietet auch die Möglichkeit, das Speichern ungesalzener Passwort-Hashes vollständig zu deaktivieren, unterstützt die Sicherheitsgruppe Geschützte Benutzer, die in Windows 2012R2 eingeführt wurde, und entfernt die Unterstützung für die LanMan-Authentifizierung und die Kennwortspeichermechanismen.

Zeit für ein Upgrade

Insgesamt sind wir der Meinung, dass diese Version für Desktop-Benutzer und vielleicht sogar für einige Serverbenutzer, die bereit sind, den kürzeren Support-Zyklus von Ubuntu-Versionen ohne LTS zu trotzen, die Mühe wert ist, ein Upgrade durchzuführen.

Erleben Sie die Einfachheit der Sicherheit: Probiere Mondoo aus!

Find and fix the security risks that pose the biggest threat to your business.

Get started

Tim Smith

Tim Smith ist Produktmanager bei Mondoo. Er arbeitet seit 2007 in den Bereichen Webbetrieb und Softwareentwicklung und seit 1994 in der Portscan-Klasse As. Er lud seine erste Linux-Distribution auf ein 14.4-Modem herunter. Tim hatte zuletzt Positionen bei Limelight Networks, Cozy Co und Chef Software inne.

You might also like

Vergleiche
Mondoo gegen Tenable — Zehn Möglichkeiten, Tenable-Alternativen zu vergleichen
Deborah Galea
August 4, 2025
Sanierung
Wie wir unser Risiko in weniger als drei Stunden um 54% reduziert haben
Parag Baxi
July 24, 2025
Sanierung
Branchenweit erste Priorisierung von Problembehebungen unter Berücksichtigung der Auswirkungen und des Aufwands
Deborah Galea
July 24, 2025

Stay informed with our news and new articles

Danke! Deine Einreichung ist eingegangen!
Hoppla! Beim Absenden des Formulars ist etwas schief gelaufen.