È stato recentemente aperta una issue sul sistema di bug tracking project-zero di Google che ha molto l’aria di una vera e propria bacchettata nei confronti della distribuzione CentOS Stream, evoluzione di CentOS resa da Red Hat una rolling release nel dicembre 2020.
Google Project Zero è il team di sicurezza responsabile della scoperta di falle di sicurezza non solo nei prodotti di Google, ma anche negli altri software (sviluppati quindi da terzi) che hanno a che fare con l’ecosistema Google. Quando una falla viene scoperta questa viene segnalata privatamente ai fornitori, con la concessione di 90 giorni per risolvere i problemi segnalati prima che questi vengano divulgati pubblicamente.
Sulla questione Kernel le segnalazioni al progetto CentOS sono state parecchie.
L’autore della issue, Jann Horn (parte appunto del team Project Zero di Google), ha fatto presente come le correzioni del kernel apportate alle versioni stable non vengano spesso sottoposte a backport su molte versioni enterprise di Linux.
Horn ha confrontato il kernel CentOS Stream 9 con la versione 5.15 stable di Linux e, come previsto, si è scoperto che diverse patch del kernel non sono state implementate nelle versioni precedenti, ma che sono ancora date per supportate, di CentOS Stream o anche addirittura RHEL (per la quale gli utenti pagano le subscription).
La conclusione lato Project Zero sarà verosimilmente quella di ridurre ulteriormente, dai 90 giorni attuali, il tempo concesso per applicare (o sarebbe più corretto dire backportare) le patch.
Lato Red Hat la segnalazione è stata tradotta in tre bug interni, a cui sono stati assegnati dei numeri di CVE, ma il problema è come questo sia avvenuto dopo i 90 giorni previsti.
Se sia questa una delle conseguenze della modalità odierna “rolling” di CentOS (quindi rilasci costanti e solo major release) non è dato di saperlo, ma c’è da scommettere che se effettivamente la cosa riguarda anche i clienti di RHEL, che sono clienti paganti, allora la questione assume tutto un altro valore.
Horn suggerisce una modalità di patching un poco più accurata, per il bene di tutti. Non possiamo che unirci all’invito.
Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.
Tags: CentOS Stream, Google, Kernel, Linux, Patch, project-zero
English (US)