Roma – Una grave vulnerabilità scoperta in una libreria comunemente utilizzata nel mondo del software open source, e di Linux in particolare, ha fatto scattare l’allarme rosso fra gli esperti di sicurezza.
La libreria incriminata, zlib, viene utilizzata per la compressione dei dati in svariati campi, dal networking alle immagini, e si trova integrata in centinaia di pacchetti software open source, incluso lo stesso kernel di Linux, il cuore di tutto il sistema. Fra gli altri software che si avvalgono di questa libreria è possibile citare X11, Mozilla/Netscape 6 e Galeon.
La vulnerabilità, scoperta da un ingegnere di Red Hat dietro segnalazione di un utente, consiste in un buffer overflow contenuto nel codice di gestione della memoria della libreria zlib; un bug che, secondo la società di sicurezza Guardian Digital , potrebbe rendere i sistemi interessati vulnerabili ad attacchi da remoto o a denial of service.
Mark Cox, senior director of engineering di Red Hat, ha spiegato che il problema è davvero esteso perché, oltre a Linux, interessa un gran numero di altri sistemi operativi, fra cui BSD e Solaris.
“Lo scenario non è affatto confortante. Questa volta il problema di sicurezza risiede in una libreria utilizzata da un vastissimo numero di applicazioni”, ha detto a Punto Informatico Gabriele D’Angelo, esperto di sicurezza di PortaZero.info . “Nei casi in cui la libreria sia utilizzata dinamicamente è sufficiente sostituirla con una nuova versione che corregga il problema, ma la situazione non è altrettanto semplice quando questa venga utilizzata staticamente: in questo caso l’unica soluzione possibile è quella di ricompilare il programma”.
“E’ bene notare – ha continuato D’Angelo – come in questo caso non si tratti banalmente di un problema di programmazione o di progettazione: la gestione della memoria rimane un problema complesso e i linguaggi di programmazione che lasciano interamente questo fardello sulle spalle del programmatore non aiutano sicuramente ad ottenere applicazioni più sicure”.
Intanto il CERT ha fatto sapere di essersi attivato affinché l’industria, e tutti gli altri soggetti a rischio, vengano a conoscenza della falla e del vasto numero di software da questa interessati.
Ti potrebbe interessare
13 mar 2002