Nessuna vulnerabilità GHOST in Archlinux

by on under posts
4 minute read

La falla GHOST permetterebbe a chiunque abbia compilato programmi scritti con il linguaggio C delle GNU C Library di impadronirsi dei sistemi senza bisogno di autenticarsi.

A gennaio siamo stati investiti dalla falla GHOST, un bug critico per la sicurezza di Linux, che ha avuto un impatto importante su tutte le distribuzioni necessitando correzzioni immediate. La vicenda è ben descritta da Steven J. Vaughan-Nichols sulle pagine del suo eccellente blog Linux and Open Souce, di zdnet.com a questo indirizzo.

Come utente Archlinux mi sono chiesto se ne sono affetto ed ho fatto una ricerca fruttuosa che desidero condividere. L’articolo di cyberciti.biz mostra che le maggiori e più famose e rispettabili distribuzioni di Linux ne sono ancora affette a gennaio 2015. Tra le altre scrive:

Arch Linux glibc version <= 2.18-1

La cosa mi sorprende e mi intriga per il fatto che per le altre distribuzioni l’articolo contiene la guida passo passo per risolvere il bug, ma per ciò che riguarda Archlinux si limita alla succitata menzione. Inizio ad insospettirmi. Sarà una dimenticanza? Cerco allora nel Planet di Archlinux” e trovo un post” di Allan McRae sull’argomento. Allan mi tranquillizza definitivamente. Per noi archers è sufficiente eseguire il banale e consueto aggiornamento con…

pacman -Syu

e il gioco è fatto. Ma inizio a pormi delle domande importanti. Quando ha aggiornato Archlinux il pacchetto incriminato? Come mai le famose distribuzioni “stabili” e “sicure”, raccomandate per un uso “enterprise” sono rimaste così indietro, dimenticando questo aggiornamento di sicurezza essenziale? Pensate alla gravità, infatti la falla permetterebbe a chiunque abbia compilato programmi scritti con il linguaggio C delle GNU C Library di impadronirsi dei sistemi senza bisogno di autenticarsi.

Da quando ha corretto Archlinux il bug? Potete leggere direttamente voi stessi dal changelog delle glibc della distribuzione. Si tratta del lontano agosto 2013! Incredibile!

Allora come mai giganti come Red Hat, SUSE, Debian, Ubuntu, Fedora, Linux Mint … sono stati presi in contropiede? Sì, come mai? Per via del loro metodo o politica di aggiornamento. Archlinux è una rolling release che considera pronti per il rilascio i pacchetti non appena i loro programmatori li considerano pronti. A quel punto sono introdotti nei repository di testing e in qualche giorno arrivano in quelli stabili. Le altre distribuzioni hanno un approccio diverso votato alla stabilità. Considerano le nuove features che accompagnano le nuove release del software come una potenziale minaccia o come aggiornamenti indesiderati. Così ignorano le nuove release. Nel frattempo aggiornano con maniacale attenzione le vecchie versioni dei pacchetti, correggendoli virtualmente all’infinito, in un’apoteosi del perfezionismo che sa di malattia psichiatrica. Certo sto esagerando. Ci sono molti interessi di mezzo. E pure molti argomenti a loro favore da sfoderare. Ma qui sta il problema dello scandalo GHOST. Le correzioni di questo tipo di distribuzioni non rolling-release sono di due tipi principali: le correzzioni o patch (pezze) di sicurezza e gli aggiornamenti che aggiungono funzioni. L’update di Glibc non fu catalogato come un aggiornamento di sicurezza, ma come un aggiornamento funzionale! Solo una nuova scocciante release. Clamoroso no?

Personalmente penso che non aggiornare ciò che un programmatore di software libero considera una nuova release stabile del suo prodotto si possa confrontare con il non aggiornare Firefox o Adobe Reader o Microsoft Windows perché non si ha fiducia nel lavoro del fornitore del software. (Sulla mancanza di fiducia in Microsoft e Adobe concordo, e cambio fornitore, a favore di uno open source.) Se l’utilizzatore è una grande industria, o una società con interessi vitali capisco la prudenza. Ma l’utilizzatore, perfino quello professionale, dovrebbe sempre prediligere una politica rolling release della distribuzione e aggiornarla periodicamente. Così evita di perdere aggiornamenti essenziali per la sua sicurezza.

AGGIORNAMENTO del 20 aprile 2015 alle 7:50:

Leggendo poco fa Distrowatch Weekly, che contiene l’intervista al Fedora Project Leader, che tranquillizza circa la vulnerabilità GHOST in Fedora, ho fatto una piccola ricerca. Fedora ha aggiornato le glibc alla versione 2.18 il 17 dicembre 2013, con il rilascio di Fedora 20. Mi sembra giusto riconoscere il giusto all’eccellente Fedora. Lo stesso si può dire di openSUSE, che con la release 13.1 ha aggiornato glibc il 19 novembre 2013, sempre con più di un anno di anticipo rispetto a quando la vulnerabilità è stata pubblicata. Molto più tardi Ubuntu 14.04, il 17 aprile 2014, alla versione glibc 2.19. Linux Mint solo il 31 maggio 2014. Mageia subito dopo. Tutto sommato le più popolari distribuzioni Linux non rolling-release, senza aspirazioni enterprise, hanno aggiornato la versione incriminata delle glibc con 6-14 mesi prima della pubblicazione della vulnerabilità. Certo, le vulnerabilità vengono sfruttate prima di essere pubblicate!

distributions, archlinux, italiano, security, updates, reflections, ghost, glibc, steven-j-vaughan-nichols, allan-mcrae
comments powered by Disqus