Google Project-Zero bacchetta CentOS Stream (e RHEL) per non includere le patch di sicurezza del Kernel Linux
È stato recentemente aperta una issue sul sistema di bug tracking project-zero di Google che ha molto l’aria di una vera e propria bacchettata nei confronti della distribuzione CentOS Stream, evoluzione di CentOS resa da Red Hat una rolling release nel dicembre 2020.
Google Project Zero è il team di sicurezza responsabile della scoperta di falle di sicurezza non solo nei prodotti di Google, ma anche negli altri software (sviluppati quindi da terzi) che hanno a che fare con l’ecosistema Google. Quando una falla viene scoperta questa viene segnalata privatamente ai fornitori, con la concessione di 90 giorni per risolvere i problemi segnalati prima che questi vengano divulgati pubblicamente.
Sulla questione Kernel le segnalazioni al progetto CentOS sono state parecchie.
L’autore della issue, Jann Horn (parte appunto del team Project Zero di Google), ha fatto presente come le correzioni del kernel apportate alle versioni stable non vengano spesso sottoposte a backport su molte versioni enterprise di Linux.
Horn ha confrontato il kernel CentOS Stream 9 con la versione 5.15 stable di Linux e, come previsto, si è scoperto che diverse patch del kernel non sono state implementate nelle versioni precedenti, ma che sono ancora date per supportate, di CentOS Stream o anche addirittura RHEL (per la quale gli utenti pagano le subscription).
La conclusione lato Project Zero sarà verosimilmente quella di ridurre ulteriormente, dai 90 giorni attuali, il tempo concesso per applicare (o sarebbe più corretto dire backportare) le patch.
Lato Red Hat la segnalazione è stata tradotta in 3 bug interni, a cui sono stati assegnati dei numeri di CVE, ma il problema è come questo sia avvenuto dopo i 90 giorni previsti.
Se sia questa una delle conseguenze della modalità odierna “rolling” di CentOS (quindi rilasci costanti e solo major release) non è dato di saperlo, ma c’è da scommettere che se effettivamente la cosa riguarda anche i clienti di RHEL, che sono clienti paganti, allora la questione assume tutto un altro valore.
Horn suggerisce una modalità di patching un poco più accurata, per il bene di tutti. Non possiamo che unirci all’invito.
Raoul Scarazzini
Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.
Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!
Hai dubbi o problemi? Ti aiutiamo noi!
Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.