Quando la soluzione di un bug ne crea un altro: il caso di Linux glibc

0

Fa specie pensare che una, se non “la”, componente fondamentale per Linux, glibc (“The GNU C Library”), sia stata creata nel 1988, quindi più di trentanni fa. Citiamo la data di nascita perché, a dispetto di quel che si potrebbe credere, lo sviluppo delle librerie definite core dei sistemi GNU e GNU/Linux non si è mai fermato da allora e quindi, come ciascun progetto, il numero di patch e fix di sicurezza rimane sempre molto elevato.

Nel caso della CVE-2021-33574, una problematica scoperta e risolta lo scorso maggio che poteva provocare potenziali denial of service ritenuta di basso impatto, la trafila è stata la consueta: scoperta della vulnerabilità, creazione della patch, inclusione nella release di glibc. Peccato che la sistemazione del suddetto problema ne abbia creato uno nuovo: CVE-2021-33574. O meglio, se nel caso precedente il problema poteva essere considerato lieve (visto l’alto numero di pre requisiti necessari a scatenare la condizione di DoS) in questo caso le cose sono molto più semplici.

Il problema viene indicato quindi dall’impatto moderato che, rispetto al basso di prima non è certamente da considerarsi un miglioramento. Chiaramente tutte le maggiori distribuzioni risultano già abbondantemente “coperte” in termini di pacchetti aggiornati, ma rimane il fatto che la situazione descritta è certamente interessante ed insegna a non dare per scontato nulla, nemmeno che con la risoluzione di un problema tutto finisca lì.

E se pensate che sia cosa da poco, leggendo il resoconto di questa storia offerto da ZDNet, è bene valutare a fondo questa affermazione, fatta da Nikita Popov, membro del CloudLinux TuxCare Team:

Every Linux application including interpreters of other languages (python, PHP) is linked with glibc. It’s the second important thing after the kernel itself, so the impact is quite high.

Ogni applicazione Linux che include interpreti di altri linguaggi (python, PHP) è linkata con glibc. È la seconda cosa più importante dopo il kernel stesso, quindi l’impatto è piuttosto alto.

Insomma, il fatto di avere più di trentanni non tutela glibc dai consueti problemi, pertanto la guardia deve sempre rimanere massima e quindi… Aggiornare, aggiornare, aggiornare!

Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.