Release di libgcrypt con bug di sicurezza e immediata fix

Il 19 gennaio scorso è stata rilasciata la versione 1.9.0 della libreria libgcrypt, base di molti software legati alla sicurezza.
Tra gli altri, dobbiamo citare di sicuro GnuPG, ovvero l’implementazione libera di PGP: una serie di software dedicati alla autenticazione e criptazione di file, usata in maniera piuttosto estensiva dai gestori di pacchetti delle varie distribuzioni (per garantire la validità dei pacchetti stessi). O anche per avere scambi sicuri di email, per esempio tramite enigmail.

Oltre al consueto elenco di miglioramenti di prestazioni e risoluzione di problemi, il risultato dello sviluppo durato quattro anni annovera anche l’introduzione di un bug di sicurezza importante.
Infatti, a 10 giorni dal rilascio, è lo stesso manutentore principale ad annungiare un “problema grace” e chiedere, senza mezzi termini, di smettere di usare la libreria.

A severe bug was reported yesterday evening against Libgcrypt 1.9.0
which we released last week. A new version to fix this as weel as a
couple of build problems will be released today.

In the meantime please stop using 1.9.0.

Un bug grave è stato segnalato ieri sera riguardo Libgcrypt 1.9.0, che è stato rilasciato settimana scorsa. Una nuova versione per risolvere questo come un altro paio di problemi di build verrà rilasciata oggi.

Nel frattempo, per favore, smettete di usare la 1.9.0.

Solo poche ore dopo, in effetti, è arrivato l’annuncio della versione 1.9.1, con la fix di questo bug (e altri miglioramenti).

Alcune distribuzioni avevano già reso disponibile la versione con problemi ai loro utilizzatori (come Fedora, Gentoo o Arch). Ma sono anche le distribuzioni che – – con ogni probabilità – hanno già reso disponibile anche la correzione.

Qualche giorno fa abbiamo trattato il caso di sudo e della risoluzione del suo bug (decennale). Il bug di libgcrypt è della stessa famiglia, una cattiva gestione della memoria che permette la lettura (e possibile esecuzione) di dati passati da un attaccante e che non sono parte del messaggio da gestire.
La velocità della scoperta e la sua gestione (con tanto di rimozione dai server della versione insicura) potrebbe evitare del tutto anche l’apertura di una CVE, il sistema condiviso per segnalare e tracciare i bug di sicurezza dei software.

Quindi tutto bene quel che finisce bene e… aggiornate aggiornate, aggiornate! 🙂

Ho coltivato la mia passione per l'informatica fin da bambino, coi primi programmi BASIC. In età adulta mi sono avvicinato a Linux ed alla programmazione C, per poi interessarmi di reti. Infine, il mio hobby è diventato anche il mio lavoro.
Per me il modo migliore di imparare è fare, e per questo devo utilizzare le tecnologie che ritengo interessanti; a questo scopo, il mondo opensource offre gli strumenti perfetti.

Tags: , ,