patrizio.tufarolo

Kernel Linux, patch veloce ma adozione ritardataria

Le maggiori distro GNU/Linux hanno da poco introdotto una patch rilasciata pi¨ di un anno fa per un pericoloso bug che consentirebbe l'esecuzione di codice arbitrario via UDP. Ma il rischio per i dispositivi Android ed embedded resta alto

Roma - Già nota dagli ultimi mesi del 2015, cui è seguita una patch silente ma immediata, la vulnerabilità CVE-2016-10229 di tipo arbitrary code execution, che riguarda le versioni del kernel Linux comprese tra la 2.6 e la 4.5, è stata catalogata nel Common Vulnerability Scoring System v3 con un punteggio pari a 9.8, ma la patch è stata inclusa solo di recente nelle maggiori distribuzioni GNU/Linux.

Il problema deriva dalla gestione del flag MSG_PEEK nella funzione recvmsg relativa al protocollo UDP, il cui ruolo è quello di permettere il prefetch di un messaggio in arrivo su un socket UDP senza consumare il buffer di lettura.
In particolare, quando l'utente fornisce una quantità di dati inferiore alla dimensione del socket buffer (SKB), il checksum del pacchetto UDP viene calcolato due volte; la seconda volta utilizzando una funzione insicura (skb_copy_and_csum_datagram_iovec) che potrebbe causare l'esecuzione di codice arbitrario.

Questa funzione, nei kernel del ramo mainline, è stata già sostituita da tempo con l'equivalente skb_copy_and_csum_datagram_msg, in grado di gestire i buffer corti in modo sicuro, risolvendo parzialmente il problema.
L'autore della patch (poche e semplici righe di codice) è Eric Dumazet (Google), che minimizza l'entità della vulnerabilità sottolineando come i kernel non patchati con il commit 89c22d8c3b27 ("net: Fix skb csum races when peeking") ne siano esenti.
╚ il caso ad esempio dei kernel Red Hat; al contrario, i manutentori di altre distribuzioni come Ubuntu e Debian hanno distribuito una versione sicura del kernel nello scorso mese di febbraio.

Sebbene i kernel messi in sicurezza siano stati rilasciati ormai da tempo, l'impatto della vulnerabilità non è da sottovalutare. Bisogna considerare che il flag MSG_PEEK è molto utilizzato sia in software noti che in librerie comunemente adottate dagli sviluppatori, come riscontrabile da ricerche su Github o su SearchCode.
╚ quindi raccomandabile usare una versione aggiornata del kernel, anche nell'ottica di contrastare molte altre vulnerabilità recentemente scoperte.

Una riflessione particolare va fatta nei confronti dei dispositivi mobile Android, destinati a rimanere ancora a lungo vulnerabili a causa del modello di erogazione degli aggiornamenti del sistema operativo di casa Google. Il 5 Aprile il team Android ha rilasciato un aggiornamento contenente, tra le altre, la soluzione per il bug esposto. Tuttavia, la distribuzione degli aggiornamenti è in carico ai principali produttori mobile: Samsung e LG hanno già risposto alla chiamata da parte di Mountain View con un aggiornamento di sicurezza; sarà quindi necessario valutare quanti e quali saranno effettivamente i dispositivi coinvolti in mano agli utenti.
Inoltre, la patch è stata applicata al kernel di Lineage OS, da cui derivano molte custom rom.

Infine, trattandosi di vulnerabilità del kernel Linux, è inevitabile non menzionare l'impatto delle stesse sui dispositivi embedded (ad esempio apparati di rete domestici come router e device IoT), per i quali l'onere dell'aggiornamento è in capo ai proprietari, spesso utenti ignari del livello di rischio cui si è esposti sulla rete Internet.

Patrizio Tufarolo
Notizie collegate
  • SicurezzaLinux, c'era un buco nel kernelI ricercatori scovano un nuovo bug nel kernel open source, una falla sfruttabile per ottenere privilegi di accesso root su PC ma anche su gadget mobile. Unica controindicazione: l'exploit richiede molto tempo
  • SicurezzaDirty COW, bug quasi decennale per LinuxIndividuato un baco che ha afflitto il kernel del Pinguino negli ultimi anni, un problema ignoto ai ricercatori ma non ai cyber-criminali che giÓ lo sfruttano per colpire i server Web, Android e tutto quanto
85 Commenti alla Notizia Kernel Linux, patch veloce ma adozione ritardataria
Ordina
  • si dovrebbe guardare questo https://news.ycombinator.com/item?id=14105718 e le sue ramificazioni 'twitterose'...
    non+autenticato
  • ....è da più di un anno che le distro sono lì a 90 per farsi penetrare... Newbie, inesperto
    ....non me lo sarei mai aspettato....tutti i miei amici linari mi dicevano: "io indosso mutande di ferro: uso linux"   Triste

    ....e a quanto pare oggi più che mai android è linux    Con la lingua fuori
    non+autenticato
  • - Scritto da: puntini puntini
    > ....è da più di un anno che le distro sono lì a
    > 90 per farsi penetrare...
    > Newbie, inesperto
    > ....non me lo sarei mai aspettato....tutti i miei
    > amici linari mi dicevano: "io indosso mutande di
    > ferro: uso linux"   
    >Triste
    >
    > ....e a quanto pare oggi più che mai android è
    > linux    
    >Con la lingua fuori

    "Le" distro?

    ╚ il caso ad esempio dei kernel Red Hat; al contrario, i manutentori di altre distribuzioni come Ubuntu e Debian hanno distribuito una versione sicura del kernel nello scorso mese di febbraio.
    Shiba
    3969
  • - Scritto da: Shiba
    > È il caso ad esempio dei kernel Red Hat; al
    > contrario, i manutentori di altre distribuzioni
    > come Ubuntu e Debian hanno distribuito una
    > versione sicura del kernel nello scorso mese di
    > febbraio.

    Se l'aticolo è corretto il periodo di un anno cabia poco se calcolato su febbraio o aprile. Cmq qualcuno si faceva vanto che le patch venivano rtilasciate subito e prontamente applicate, direi che non è così. Ovviemente si partirà con il solito "benaltrismo", ma è sintomatico che non esistano sistemi sicuri checche ne dicano i vari "pandoli" ecc.
    non+autenticato
  • - Scritto da: ...
    > - Scritto da: Shiba
    > > È il caso ad esempio dei
    > kernel Red Hat;
    > al
    > > contrario, i manutentori di altre
    > distribuzioni
    > > come Ubuntu e Debian hanno distribuito una
    > > versione sicura del kernel nello scorso mese
    > di
    > > febbraio.

    > Se l'aticolo è corretto il periodo di un anno
    > cabia poco se calcolato su febbraio o aprile. Cmq
    > qualcuno si faceva vanto che le patch venivano
    > rtilasciate subito e prontamente applicate, direi
    > che non è così.

    Il fix è stato rilasciato a Gennaio 2016, quindi i rilasci si confermano fulminei. Dove non arriva la prontezza delle distro, arriva quella dell'utente

    shiba ~ > uname -r
    4.9.16-gentoo


    > Ovviemente si partirà con il
    > solito "benaltrismo", ma è sintomatico che non
    > esistano sistemi sicuri checche ne dicano i vari
    > "pandoli" ecc.

    Al limite mi sentirai dire come al solito che l'incompetenza ha un prezzo. Chi è disposto a pagarlo ha ben poco da lamentarsi.
    Shiba
    3969
  • - Scritto da: Shiba
    > Al limite mi sentirai dire come al solito che
    > l'incompetenza ha un prezzo. Chi è disposto a
    > pagarlo ha ben poco da
    > lamentarsi.

    Azzz... Deluso
    Mi stai dicendo che ci sono linari incompententi ? A bocca storta
    .....non me lo sarei mai aspettato..... i miei amici linari mi hanno sempre detto che gli incompetenti sono i winari e gli applefan..... Newbie, inesperto
    non+autenticato
  • - Scritto da: puntini puntini
    > - Scritto da: Shiba
    > > Al limite mi sentirai dire come al solito che
    > > l'incompetenza ha un prezzo. Chi è disposto a
    > > pagarlo ha ben poco da
    > > lamentarsi.
    >
    > Azzz... Deluso
    > Mi stai dicendo che ci sono linari incompententi
    > ?
    >A bocca storta
    > .....non me lo sarei mai aspettato..... i miei
    > amici linari mi hanno sempre detto che gli
    > incompetenti sono i winari e gli applefan.....
    > Newbie, inesperto

    E che ci vuole a prendere una qualunque distro e fare Avanti → Avanti → Installa? Qualunque winaro col pollice opponibile sarebbe capace.
    Shiba
    3969
  • - Scritto da: Shiba
    > - Scritto da: puntini puntini
    > > - Scritto da: Shiba
    > > > Al limite mi sentirai dire come al
    > solito
    > che
    > > > l'incompetenza ha un prezzo. Chi è
    > disposto
    > a
    > > > pagarlo ha ben poco da
    > > > lamentarsi.
    > >
    > > Azzz... Deluso
    > > Mi stai dicendo che ci sono linari
    > incompententi
    > > ?
    > >A bocca storta
    > > .....non me lo sarei mai aspettato..... i
    > miei
    > > amici linari mi hanno sempre detto che gli
    > > incompetenti sono i winari e gli
    > applefan.....
    > > Newbie, inesperto
    >
    > E che ci vuole a prendere una qualunque distro e
    > fare Avanti → Avanti → Installa?
    > Qualunque winaro col pollice opponibile sarebbe
    > capace.

    Ma stavamo parlando dei linari A bocca aperta
    O vuoi dire che i linari sono allo stesso livello dei winari ? A bocca aperta
    non+autenticato
  • - Scritto da: puntini puntini
    >
    > Ma stavamo parlando dei linari A bocca aperta
    > O vuoi dire che i linari sono allo stesso livello
    > dei winari ?
    >A bocca aperta

    Linguaggio da bambino di 4 anni ...
    non+autenticato
  • - Scritto da: Alvaro Vitali
    > - Scritto da: puntini puntini
    > >
    > > Ma stavamo parlando dei linari A bocca aperta
    > > O vuoi dire che i linari sono allo stesso
    > livello
    > > dei winari ?
    > >A bocca aperta
    >
    > Linguaggio da bambino di 4 anni ...

    Ti riferisci ai termini linaro e winaro ? E' il linguaggio che usano i frequentatori di questo forum, prenditela con loro A bocca aperta
    E poi detto da uno col tuo nick....A bocca aperta
    Magari hai ancora addosso il vestito da pierino Rotola dal ridere
    non+autenticato
  • Oggi ve ne sono sempre più poiché sempre più scappano da Windows (e qualcuno anche da OSX), la media è certo sempre avanti a chi usa software proprietario ma la loro strada è lunga.

    Anche molti sviluppatori oggi cercan di riproporre nel FOSS, per loro recentemente scoperto, trovate tipiche del mondo proprietario semplicemente perché son abituati a buttarsi sul codice senza design, senza ragionare e nulla conoscono fuori dal paradigma mainstream attuale...
    non+autenticato
  • Sinceramente non ho mai sentito parlare di sicurezza assoluta, mai nessun utente o sistemista Linux. Per cui non scrivere che gli utenti Linux dormono tranquilli.

    Parliamo di maggiore sicurezza grazie all'apertura. Ma in modo assoluto.

    Anche perché Linux e tutto la componente GNU e altre parti importanti hanno raggiunto diverse miliardi di righe di codice. E se non ci sono coder su ogni componente specifico non è possibile fare bug fixing capillare, senza la segnalazione di tester.

    D'altronde neppure Microsoft o Oracle avrebbero denaro e personale sufficiente per coprire lo sviluppo di un ecosistema come quello di GNU/Linux.

    Non li hanno o non li investono manco per i loro software...
    iRoby
    8549