Google rivela le vulnerabilità del kernel CentOS Linux a seguito del mancato rilascio di correzioni tempestive

Google Project Zero è un team di sicurezza responsabile della scoperta di falle di sicurezza nei prodotti di Google e nel software sviluppato da altri fornitori. Dopo la scoperta, i problemi vengono segnalati privatamente ai fornitori e vengono concessi 90 giorni per risolvere i problemi segnalati prima che vengano divulgati pubblicamente. In alcuni casi, viene concesso anche un periodo di grazia di 14 giorni, a seconda della complessità della soluzione interessata.

In passato abbiamo ampiamente trattato le scoperte di Google Project Zero poiché ha segnalato vulnerabilità nel software sviluppato da Google , Microsoft , Qualcomm , Apple e altri. Ora, il team di sicurezza ha segnalato diversi difetti nel kernel di CentOS.

Come dettagliato nel documento tecnico qui , Jann Horn, ricercatore sulla sicurezza di Google Project Zero, ha appreso che le correzioni del kernel apportate agli alberi stabili non vengono sottoposte a backport su molte versioni aziendali di Linux. Per convalidare questa ipotesi, Horn ha confrontato il kernel CentOS Stream 9 con l’albero stabile linux-5.15.y stabile. Per chi non lo sapesse, CentOS è una distribuzione Linux più vicina a Red Hat Enterprise Linux (RHEL) e la sua versione 9 è basata sulla versione linux-5.14.

Come previsto, è emerso che diverse correzioni del kernel non sono state implementate nelle versioni precedenti, ma supportate, di CentOS Stream/RHEL. Horn ha inoltre osservato che per questo caso, Project Zero sta dando una scadenza di 90 giorni per rilasciare una correzione, ma in futuro potrebbe assegnare scadenze ancora più rigide per i backport mancanti:

Sto segnalando questo bug entro la nostra consueta scadenza di 90 giorni questa volta perché la nostra politica al momento non ha nulla di più rigido per i casi in cui le correzioni di sicurezza non sono sottoposte a backport; potremmo cambiare il nostro trattamento di questo tipo di problema in futuro.

Sarebbe bello se Linux upstream e distribuzioni come te potessero trovare una sorta di soluzione per mantenere sincronizzate le tue correzioni di sicurezza, in modo che un utente malintenzionato che vuole trovare rapidamente un bel bug di corruzione della memoria in CentOS/RHEL non possa semplicemente trovarlo bug nel delta tra upstream stable e il tuo kernel. (Mi rendo conto che probabilmente c’è molta storia qui.)

Red Hat ha accettato tutti e tre i bug segnalati da Horn e ha assegnato loro i numeri CVE. Tuttavia, la società non è riuscita a risolvere questi problemi nella sequenza temporale di 90 giorni assegnata e, pertanto, queste vulnerabilità sono state rese pubbliche da Google Project Zero. Di seguito puoi trovare alcuni dettagli di alto livello:

• CVE-2023-0590: un difetto use-after-free nel kernel Linux a causa di una race condition, gravità moderata, vettore di attacco locale
• CVE-2023-1252: Vulnerabilità use-after-free nel file system Ext4 del kernel Linux che consente a un utente malintenzionato di arrestare il sistema o aumentare i privilegi, gravità moderata, vettore di attacco locale
• CVE-2023-1249: difetto use-after-free nel sottosistema di core dump del kernel Linux che è difficile da sfruttare ma può consentire a un utente malintenzionato di bloccare il sistema, bassa gravità, vettore di attacco locale

Ora che i dettagli di questi difetti di sicurezza in alcuni kernel Linux sono pubblici, resta da vedere se Red Hat subirà pressioni per risolverli il prima possibile.