Pular para o conteúdo
Rocky Linux lança repositório de segurança para correções urgentes

Rocky Linux lança repositório de segurança para correções urgentes

Rocky Linux apresenta repositório opcional que entrega patches de segurança críticos antes da atualização upstream, garantindo proteção rápida em vulnerabilidades críticas.

Em 14 de maio de 2026, o Rocky Linux anunciou a disponibilização de um repositório de segurança opcional, destinado a entregar patches críticos antes que as correções sejam incluídas nas versões upstream do Enterprise Linux. A medida visa reduzir o tempo de exposição a vulnerabilidades graves que já possuem exploit público.

Por que o repositório foi criado?

A política tradicional do Rocky Linux – manter compatibilidade total com o upstream Enterprise Linux – deixa uma lacuna quando vulnerabilidades de alta gravidade são divulgadas antes de existirem patches oficiais. Casos recentes, como as falhas CopyFail e Dirty Frag, demonstraram a necessidade de uma solução intermediária: vulnerabilidades de escalonamento de privilégios com código de exploração já circulando, mas sem correções upstream disponíveis.

Como funciona o repositório de segurança

  • Opt‑in: o repositório está desativado por padrão e deve ser habilitado explicitamente pelo administrador.
  • Escopo limitado: somente é ativado quando há vulnerabilidade pública, exploit conhecido e ausência de correção upstream.
  • Temporário: os pacotes são versionados para serem substituídos assim que o upstream publicar o patch oficial.
  • Sem errata tradicional: não gera registros de errata permanentes, pois funciona como uma ponte emergencial.

“O repositório de segurança representa uma exceção deliberada, não uma mudança de direção”, enfatiza a equipe do Rocky Linux.

Caso prático: a vulnerabilidade Dirty Frag

A vulnerabilidade Dirty Frag compreendeu duas CVEs que afetavam os módulos ESP e RxRPC no pacote kernel-modules-partner. O primeiro foi rapidamente corrigido pela Red Hat; o segundo, porém, não recebeu patch upstream, pois a Red Hat não fornece o módulo kernel-modules-partner aos clientes. O Rocky Linux incluiu ambas as correções em seu primeiro kernel do repositório de segurança e, posteriormente, manteve apenas a correção do ESP, descartando o patch de RxRPC por sua baixa incidência em ambientes de produção.

Impacto quando o upstream diverge

Se o Rocky Linux publicar um patch e o upstream decidir não adotá‑lo, a próxima versão oficial do kernel substituirá o pacote do repositório de segurança. Usuários que não travarem a versão perderão a correção temporária. Nesses casos, a equipe comunicará as opções disponíveis: bloqueio de versão, ajuste de prioridade ou aceitação do estado upstream.

Como habilitar o repositório

sudo dnf --enablerepo=security update

Para habilitação permanente, basta configurá‑lo nas definições de repositórios do DNF, como qualquer outro repositório.

Quando não usar

Sistemas que não requerem correções aceleradas podem manter o repositório desativado, preservando o comportamento padrão do Rocky Linux – estável, previsível e totalmente alinhado ao upstream.

Comunicação e suporte

A equipe do Rocky Linux compromete‑se a anunciar claramente cada inclusão no repositório, detalhando o escopo da correção e o prazo esperado para a solução upstream. Para dúvidas e discussões, a comunidade está disponível no Mattermost em chat.rockylinux.org.

Esta iniciativa foi desenvolvida em menos de uma semana, graças ao esforço conjunto da engenharia do Rocky Linux e da equipe de kernel da CIQ.

Via rockylinux.org. Você pode conferir o post original em inglês:

Rocky Linux Introduces a Security Repository and Why That Matters

Por · Última atualização: