Un bug di curl vecchio di 25 anni ha fatto estendere la regola Linus sui bug
La scorsa settimana Daniel Stenberg, creatore e manutentore di curl, il software open-source più utilizzato al mondo (o che ci va molto vicino), ha raccontato un nuovo record relativo a questo importante progetto: con la pubblicazione della CVE-2024-11053 è stato risolto un bug vecchio di 9039 giorni. In altre parole, un bug vecchio 25 anni.
Se vi sembra sorprendente (e per il creatore di curl in qualche modo lo è), è interessante notare un altro dato che si colloca in questo contesto: tra le 161 CVE che fino ad oggi sono state riportate l’età media per la risoluzione, che ovviamente quest’ultima innalza, è di 2583 giorni, poco più di 6 anni.
Eppure la quantità di test, in special modo su un progetto come curl, è decisamente abbondante: nel solo novembre 2024 c’è stata una media di 9 macchine che in maniera dedicata hanno testato il codice, uniti ai test manuali di tutti i test che fanno parte della community curl.
Ora, nonostante questo, ci sono voluti 25 anni per risolvere quest’ultimo bug.
La conclusione, quindi, è quella di sempre, citata da Stenberg:
Security is hard. I mean really really hard.La sicurezza è difficile. Intendo molto, molto difficile.
La stessa porta a pensare alla regola base dei bug, quella Linus’s law che cita come con sufficienti occhi, tutti i bug emergono, poiché all’interno di un contesto così ampio come quello raccontato dalla CVE di curl risolta dopo 25 anni risulta insufficiente.
Ed ecco infatti l’estensione della regola suggerita dall’autore di curl:
Given enough eyeballs and time, all bugs are shallow
Con sufficienti occhi e tempo, tutti i bug emergono
La chiusura dell’articolo è ancora una volta interessante, e si riferisci al caso di questo specifico bug, che riguarda una vulnerabilità dovuta all’utilizzo di C come linguaggio di programmazione del progetto: se si usasse un linguaggio memory-safe il 50% dei bug critici di curl non esisterebbero, ma qui si arriva alla parte più ironica.
Quando infatti questo bug è stato introdotto, alternative credibili al linguaggio C, semplicemente, non ce n’erano!
Raoul Scarazzini
Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.
Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!
Hai dubbi o problemi? Ti aiutiamo noi!
Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.
