Quando il clone è meglio dell’originale… AlmaLinux applica una patch di sicurezza non ancora disponibile in RHEL!

1 month ago 92

Anche se sembra di sentirne parlare da poco, la AlmaLinux OS Foundation, ha da poco festeggiato i tre anni di vita. Un traguardo decisamente importante per l’unico fra i cloni di Red Hat Enterprise Linux a non aver aderito ad OpenELA, l’associazione creata da CIQ, SUSE e Oracle per la condivisione dei sorgenti RHEL compatibili.

Questi tre anni sono stati così riassunti da Igor Seletskiy, CEO di Cloud Linux, l’azienda platinum sponsor della AlmaLinux OS Foundation che per prima ha creato il sistema operativo:

The immense growth of the AlmaLinux OS Foundation over the last three years reflects the value it offers users around the globe, AlmaLinux’s presence in international corporations as well as top research and academic organizations speaks for itself — and I’m humbled to have worked alongside great minds to make it all possible.

L’enorme crescita della AlmaLinux OS Foundation negli ultimi tre anni riflette il valore che offre agli utenti di tutto il mondo, la presenza di AlmaLinux in aziende internazionali così come in organizzazioni accademiche e di ricerca di alto livello parla da sola – e sono onorato di aver lavorato al fianco di grandi menti per rendere tutto ciò possibile.

A valorizzare le parole alcuni numeri:

  • Oltre 5.000.000 di pull dell’immagine Docker.
  • Oltre 900.000 server censiti e oltre 350 mirror.
  • Oltre 400 membri della fondazione.
  • Oltre 150 contributori al codice.
  • Oltre 70 aziende che contribuiscono al codice.
  • 25 sponsor commerciali.
  • 11 uscite.
  • 4 architetture supportate.

Numeri da grande distribuzione, che denotano la serietà del progetto, comprovata anche dai contributi attivi che vengono raccontati in questo articolo di Christine Hall di Foss Force dal titolo In a First, AlmaLinux Patches a Security Hole That Remains Unpatched in Upstream RHEL.

Sembra infatti che non ricevendo da Red Hat sufficiente interesse a proposito della vulnerabilità CVE-2024-1086 (classificata con il punteggio di 7.8, HIGH) ritenuta invece da AlmaLinux importante, il progetto abbia deciso di “mettersi in proprio”, andando a costruire ed applicare la patch in autonomia.

Esistendo sul web parecchie modalità di exploit ben documentate ed essendo il problema riconosciuto come decisamente importante, AlmaLinux ha rotto gli indugi, producendo la patch.

Se vi state chiedendo come questo sia possibile e perché AlmaLinux abbia potuto procedere per conto proprio, la risposta risiede nel come la distribuzione si proclama, ossia ABI compatibile.

Infatti l’acronimo ABI (Application Binary Interface) indica che la distribuzione si pone come obiettivo quello di essere terreno ideale per qualsiasi applicazione Red Hat Enterprise Linux, pur non essendone strettamente vincolata. In poche parole i pacchetti, come nel caso specifico descritto, possono vivere anche al di fuori del ciclo di produzione RHEL.

La stessa cosa non si può invece dire per tutte le distribuzioni facenti parte di OpenELA ed in una situazione come quella relativa a questo problema la differenza è notevole e rende AlmaLinux, nella sua diversità, sicuramente un’alternativa papabile per i propri workload.

Ah, se ve lo state chiedendo: no, AlmaLinux non è affetta dalla backdoor XZ.

Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.

Read Entire Article