Em 14 de maio de 2026, o Rocky Linux anunciou a disponibilização de um repositório de segurança opcional, destinado a entregar patches críticos antes que as correções sejam incluídas nas versões upstream do Enterprise Linux. A medida visa reduzir o tempo de exposição a vulnerabilidades graves que já possuem exploit público.
Por que o repositório foi criado?
A política tradicional do Rocky Linux – manter compatibilidade total com o upstream Enterprise Linux – deixa uma lacuna quando vulnerabilidades de alta gravidade são divulgadas antes de existirem patches oficiais. Casos recentes, como as falhas CopyFail e Dirty Frag, demonstraram a necessidade de uma solução intermediária: vulnerabilidades de escalonamento de privilégios com código de exploração já circulando, mas sem correções upstream disponíveis.
Como funciona o repositório de segurança
- Opt‑in: o repositório está desativado por padrão e deve ser habilitado explicitamente pelo administrador.
- Escopo limitado: somente é ativado quando há vulnerabilidade pública, exploit conhecido e ausência de correção upstream.
- Temporário: os pacotes são versionados para serem substituídos assim que o upstream publicar o patch oficial.
- Sem errata tradicional: não gera registros de errata permanentes, pois funciona como uma ponte emergencial.
“O repositório de segurança representa uma exceção deliberada, não uma mudança de direção”, enfatiza a equipe do Rocky Linux.
Caso prático: a vulnerabilidade Dirty Frag
A vulnerabilidade Dirty Frag compreendeu duas CVEs que afetavam os módulos ESP e RxRPC no pacote kernel-modules-partner. O primeiro foi rapidamente corrigido pela Red Hat; o segundo, porém, não recebeu patch upstream, pois a Red Hat não fornece o módulo kernel-modules-partner aos clientes. O Rocky Linux incluiu ambas as correções em seu primeiro kernel do repositório de segurança e, posteriormente, manteve apenas a correção do ESP, descartando o patch de RxRPC por sua baixa incidência em ambientes de produção.
Impacto quando o upstream diverge
Se o Rocky Linux publicar um patch e o upstream decidir não adotá‑lo, a próxima versão oficial do kernel substituirá o pacote do repositório de segurança. Usuários que não travarem a versão perderão a correção temporária. Nesses casos, a equipe comunicará as opções disponíveis: bloqueio de versão, ajuste de prioridade ou aceitação do estado upstream.
Como habilitar o repositório
sudo dnf --enablerepo=security update
Para habilitação permanente, basta configurá‑lo nas definições de repositórios do DNF, como qualquer outro repositório.
Quando não usar
Sistemas que não requerem correções aceleradas podem manter o repositório desativado, preservando o comportamento padrão do Rocky Linux – estável, previsível e totalmente alinhado ao upstream.
Comunicação e suporte
A equipe do Rocky Linux compromete‑se a anunciar claramente cada inclusão no repositório, detalhando o escopo da correção e o prazo esperado para a solução upstream. Para dúvidas e discussões, a comunidade está disponível no Mattermost em chat.rockylinux.org.
Esta iniciativa foi desenvolvida em menos de uma semana, graças ao esforço conjunto da engenharia do Rocky Linux e da equipe de kernel da CIQ.