Tutte le perplessità del creatore di CURL sul National Vulnerability Database (NVD) ed i valori delle CVE

10 months ago 378

L’insistenza con cui solitamente affrontiamo le questioni di sicurezza informatica non è mai casuale. Come ripetiamo sempre, una cosa che emerge in maniera decisa a quanti svolgono il mestiere dell’informatico oggi è che non è più minimamente trascurabile la considerazione degli aspetti di sicurezza già in fase di sviluppo.

In questo senso la metodologia DevSecOps guida un approccio sicuro mediante best practice e strumenti che permettono di rendere fluida la creazione delle applicazioni, ma c’è un’altra fetta importante a dover essere coperta, ed è quella delle vulnerabilità conosciute o, in altre parole, delle Common Vulnerabilities and Exposures o CVE.

Croce e delizia per gli amministratori di sistema e ormai per tutti i DevSecOps che vedono le loro pipeline di produzione bloccate da una CVE classificata HIGH relativa al container usato dalla loro applicazione, le CVE vengono mantenute in un database chiamato NVD, acronimo di National Vulnerability Database.

Ma se pensate che queste problematiche riguardino solo la vostra pipeline bloccata da Sonarqube, sappiate che anche chi produce uno fra i software open-source più usati al mondo deve a sua volta combattere con le CVE archiviate nell’NVD. Parliamo di Daniel Stenberg, il creatore e manutentore di CURL.

Nel suo ultimo blog post dall’eloquente titolo NVD damage continued racconta di un caso esplicito di CVE riguardante CURL, la CVE-2023-27536, passata dal valore iniziale di 9.8, ossia CRITICAL, ossia APOCALISSE, a 5.9, ossia MEDIUM, ossia nulla di che.

Classificata inizialmente all’interno del progetto CURL come “low”, la CVE è stata processata all’interno del NVD con il valore, disastroso, di CRITICAL. Come si può ben immaginare, la vicenda ha sconvolto Stenberg, il quale ha prontamente scritto per provocare una revisione, dimostrando quanto la classificazione fosse fuorviante per via della difficoltà necessaria alla sua implementazione.

Niente da fare, nonostante il manutentore di uno dei software più usati al mondo abbia portato ogni tipo di prova, il massimo che è riuscito ad ottenere è stato quel 5.8 citato in precedenza.

La questione della singola CVE chiaramente è un pretesto per invitare tutti a ragionare su quanto peso viene dato a queste rilevazioni. Già in passato sono state parecchie le CVE considerate zero day (ossia critiche, critiche in modo assurdo) riclassificate e questa nuova dimostrazione serve a ricordare come la sobrietà non appartenga a questo mondo dove, purtroppo, il sensazionalismo molte volte la fa da padrone.

Come nella storia del pastore che gridava “Al lupo! Al lupo!” si rischia di finire in un turbine di notifiche incoerenti, senza accorgersi quando il rischio è realmente presente. Perché si sa…

Quando tutti saranno super, nessuno lo sarà più!

Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.

Read Entire Article