L’ultima delle cose che da sempre sul blog cerchiamo di fare è il catastrofismo. Nonostante il portale sia in giro ormai dal 2008, e quindi di “storia informatica†ne abbia vista tanta, non è mai successo di trovarci ad urlare “si salvi chi può!â€, e non lo faremo nemmeno questa volta.
La soglia d’attenzione invece, come sempre, suggeriamo di tenerla alta, e nel caso di questa vulnerabilità di cui stiamo parlando c’è qualche ragione per stare allerta.
Pare infatti che da una decina d’anni su tutti i sistemi ci sia una vulnerabilità di tipo RCE (Remote Code Execution) che non prevede autenticazione. È stata scoperta poche settimane fa e verrà rivelata a breve.
Ad innescare la bomba, questo post dai toni profondamente sensazionalistici pubblicato sul sito Thereadreader, e nel frattempo riportato un po’ ovunque, nel quale l’autore spiega le caratteristiche di questo disastro che sta per essere reso pubblico:
La “full disclosure†avverrà in meno di 2 settimane (come pare sia stato concordato con gli sviluppatori).
Non è stato ancora assegnato nessun CVE (ma dovrebbero essercene almeno 3, forse 4, idealmente 6).
Non è stata ancora prodotta alcuna patch funzionante.
Canonical, Red Hat e altri hanno confermato la gravità (viene allegato uno screenshot dove il peso della vulnerabilità è stato contrassegnato con 9.9).
Gli sviluppatori stanno ancora discutendo se alcuni dei problemi abbiano o meno un impatto sulla sicurezza.
Certo, a leggere velocemente e senza fiato l’elenco potrebbe subentrare dell’ansia, ma è interessante notare come le ragioni di questi toni catastrofici, a detta dell’autore, stanno nel come gli sviluppatori hanno preso il suo contributo.
Letteralmente questi spiega:
And YES: I LOVE hyping the sh1t out of this stuff because apparently sensationalism is the only language that forces these people to fix.
E SÌ: ADORO esagerare con questa roba perché a quanto pare il sensazionalismo è l’unico linguaggio che costringe queste persone a sistemare le cose.
Quant’altro si sa di tutta questa storia? Poco e niente, poiché a quanto pare “tutto sarà chiaro nel giro di 2 settimane“.
Quindi, in malora tutte le riflessioni e gli inviti alla sobrietà nel segnalare le vulnerabilità di cui abbiamo costantemente parlato, vedi quei CVE dubbiosi utili solamente a portare gli sviluppatori open-source a dover archiviare i propri progetti GitHub o tutte le segnalazioni anomale che hanno costretto i progetti curl e Linux a diventare delle CNA, ossia CVE Numbering Authority.
Non importano certamente all’autore dello scritto: visto che il contributo e la vulnerabilità non viene presa sul serio, via col sensazionalismo!
Del resto… “I LOVE hypingâ€, lo dice lui. Andasse male con le CVE, potrebbe concentrarsi sul marketing.
Raoul Scarazzini
Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità , HA e cloud.
E, sì, mia mamma usa Linux dal 2009.
Source: Read More