La scorsa settimana il noto sistema operativo open source ha passato un brutto quarto d’ora per colpa di un problema con il kernel, già risolto, che permetteva ad un account “limitato” di ottenere di ottenere privilegi esclusivi degli utenti root. L’insidioso exploit è stato testato e confermato su Ubuntu 10.04 e 10.10, ma nel mirino erano finite anche tutte le varianti del software che condividono la stessa infrastruttura Debian di base.
Secondo VSR Security , il team che ha scoperto il bug, le installazioni di Linux erano vulnerabili soltanto con la configurazione kernel (CONFIG_RDS) impostata e nel caso in cui non fosse presente alcun tipo di restrizione per gli utenti senza privilegi che caricano moduli packet family. Come capita con le distribuzioni stock.
Il protocollo RDS è stato incluso per la prima volta nel kernel Linux 2.6.30, rilasciato
nel giugno del 2009, ma ora l’insidiosa vulnerabilità può essere definitivamente corretta aggiornando il sistema alle nuove versioni disponibili . La nuova versione stabile del kernel è la 2.6.36 .
La release aggiusta il tiro di file system, driver e sicurezza ma il changelog del nuovo kernel parla anche di incrementi prestazionali, ulteriore supporto per l’architettura Tilera , per la comunicazione SMB con Windows Server e per la funzione “Intel Intelligent Power Sharing” delle CPU Intel Core i3 e Core i5.
Roberto Pulito