Grave falla scuote il mondo open source

Centinaia di software open source, incluse tutte le distribuzioni di Linux, si riscoprono con una grave falla di sicurezza contenuta in una popolare libreria software. Il CERT lancia l'allarme
Centinaia di software open source, incluse tutte le distribuzioni di Linux, si riscoprono con una grave falla di sicurezza contenuta in una popolare libreria software. Il CERT lancia l'allarme


Roma – Una grave vulnerabilità scoperta in una libreria comunemente utilizzata nel mondo del software open source, e di Linux in particolare, ha fatto scattare l’allarme rosso fra gli esperti di sicurezza.

La libreria incriminata, zlib, viene utilizzata per la compressione dei dati in svariati campi, dal networking alle immagini, e si trova integrata in centinaia di pacchetti software open source, incluso lo stesso kernel di Linux, il cuore di tutto il sistema. Fra gli altri software che si avvalgono di questa libreria è possibile citare X11, Mozilla/Netscape 6 e Galeon.

La vulnerabilità, scoperta da un ingegnere di Red Hat dietro segnalazione di un utente, consiste in un buffer overflow contenuto nel codice di gestione della memoria della libreria zlib; un bug che, secondo la società di sicurezza Guardian Digital , potrebbe rendere i sistemi interessati vulnerabili ad attacchi da remoto o a denial of service.

Mark Cox, senior director of engineering di Red Hat, ha spiegato che il problema è davvero esteso perché, oltre a Linux, interessa un gran numero di altri sistemi operativi, fra cui BSD e Solaris.

“Lo scenario non è affatto confortante. Questa volta il problema di sicurezza risiede in una libreria utilizzata da un vastissimo numero di applicazioni”, ha detto a Punto Informatico Gabriele D’Angelo, esperto di sicurezza di PortaZero.info . “Nei casi in cui la libreria sia utilizzata dinamicamente è sufficiente sostituirla con una nuova versione che corregga il problema, ma la situazione non è altrettanto semplice quando questa venga utilizzata staticamente: in questo caso l’unica soluzione possibile è quella di ricompilare il programma”.

“E’ bene notare – ha continuato D’Angelo – come in questo caso non si tratti banalmente di un problema di programmazione o di progettazione: la gestione della memoria rimane un problema complesso e i linguaggi di programmazione che lasciano interamente questo fardello sulle spalle del programmatore non aiutano sicuramente ad ottenere applicazioni più sicure”.

Intanto il CERT ha fatto sapere di essersi attivato affinché l’industria, e tutti gli altri soggetti a rischio, vengano a conoscenza della falla e del vasto numero di software da questa interessati.

Link copiato negli appunti

Ti potrebbe interessare

12 03 2002
Link copiato negli appunti