Google Project-Zero bacchetta CentOS Stream (e RHEL) per non includere le patch di sicurezza del Kernel Linux

È stato recentemente aperta una issue sul sistema di bug tracking project-zero di Google che ha molto l’aria di una vera e propria bacchettata nei confronti della distribuzione CentOS Stream, evoluzione di CentOS resa da Red Hat una rolling release nel dicembre 2020.

Google Project Zero è il team di sicurezza responsabile della scoperta di falle di sicurezza non solo nei prodotti di Google, ma anche negli altri software (sviluppati quindi da terzi) che hanno a che fare con l’ecosistema Google. Quando una falla viene scoperta questa viene segnalata privatamente ai fornitori, con la concessione di 90 giorni per risolvere i problemi segnalati prima che questi vengano divulgati pubblicamente.

Sulla questione Kernel le segnalazioni al progetto CentOS sono state parecchie.

L’autore della issue, Jann Horn (parte appunto del team Project Zero di Google), ha fatto presente come le correzioni del kernel apportate alle versioni stable non vengano spesso sottoposte a backport su molte versioni enterprise di Linux.

Horn ha confrontato il kernel CentOS Stream 9 con la versione 5.15 stable di Linux e, come previsto, si è scoperto che diverse patch del kernel non sono state implementate nelle versioni precedenti, ma che sono ancora date per supportate, di CentOS Stream o anche addirittura RHEL (per la quale gli utenti pagano le subscription).

La conclusione lato Project Zero sarà verosimilmente quella di ridurre ulteriormente, dai 90 giorni attuali, il tempo concesso per applicare (o sarebbe più corretto dire backportare) le patch.

Lato Red Hat la segnalazione è stata tradotta in tre bug interni, a cui sono stati assegnati dei numeri di CVE, ma il problema è come questo sia avvenuto dopo i 90 giorni previsti.

Se sia questa una delle conseguenze della modalità odierna “rolling” di CentOS (quindi rilasci costanti e solo major release) non è dato di saperlo, ma c’è da scommettere che se effettivamente la cosa riguarda anche i clienti di RHEL, che sono clienti paganti, allora la questione assume tutto un altro valore.

Horn suggerisce una modalità di patching un poco più accurata, per il bene di tutti. Non possiamo che unirci all’invito.

Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.

5 risposte a “Google Project-Zero bacchetta CentOS Stream (e RHEL) per non includere le patch di sicurezza del Kernel Linux”

  1. Avatar carlo coppa
    carlo coppa

    Non credo che c’entri molto la modalità rolling che al contrario facilita il compito, visto che vengono spedite le nuove versioni già con le patch. Qui sembra invece che questo problema riguardi alcuni kernel che loro ancora supportano e che non sono stati patchati.

  2. Avatar Raoul Scarazzini

    Concordo, credo la tua sia una chiave di lettura condivisibile.

  3. Avatar Kernelio Linusso
    Kernelio Linusso

    Fatemi “capire se ho capito”: Google, che per Android rilascia updates del kernel dopo mesi (in casi anni) dall’uscita delle patch, si permette di redarguire REHL e CentOS?
    Forse i ragazzi di Project Zero sono talmente occupati ad impicciarsi delle distribuzioni altrui da non aver tempo di parlare con il team di sviluppo di android?
    Mah…

  4. Avatar Raoul Scarazzini

    Project Zero spara letteralmente a zero su tutti, non fa distinzioni. In ogni caso va ricordato come quando si parli di “Android” si stia parlando di un triliardo di versioni differenti modificate all’occorrenza dalle case produttrici di smartphone le quali sì, sono certamente poco interessante al peso dei bug del Kernel.

  5. Avatar carlo coppa
    carlo coppa

    Il più grande problema con Android sono i brand che lo distribuiscono e spesso non rilasciano gli aggiornamenti che Google mette a disposizione.
    Nel caso di Android, ma anche di alcune distribuzioni Linux, non devi fare affidamento al numero di versione, perché è possibile mantenere un kernel, con tanto di backports di sicurezza, lo fa ad esempio SUSE e di conseguenza Leap, lo fanno altre distro e anche Android, non è questo il problema, il problema è quando si supporta un kernel, ma non vengono eseguiti i backports di sicurezza in tempi accettabili. Che tu sia Google, Microsoft o l’ultima delle distribuzioni Linux, questo non dovrebbe accadere, ed è giusto che un progetto come Project Zero lo faccia notare e noi utenti dovremmo essere felici che esista un progetto come questo, a prescindere che sia di Google o chi per lei.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *