Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
La nuova versione di Ubuntu includerà le Rust Coreutils, una soluzione che dovrebbe ridurre i bug di sicurezza per la gestione della memoria. Tuttavia, alcuni problemi sono ancora presenti e un AUDIT di sicurezza commissionato da Canonical li porta alla luce. Gli sviluppatori prevedono di sostituire completamente GNU Coreutils entro la versione 26.10.
La nuova versione di Ubuntu, non è ancora stata rilasciata, ma sembra che si sia sviluppata una curiosa vicenda di sicurezza informatica. Infatti, gli sviluppatori hanno deciso di testare in anticipo uno dei componenti più importanti del sistema e i risultati sono stati del tutto inaspettati.
Canonical ha voluto svolgere un audit indipendente su Rust Coreutils, un insieme di utility di base riscritte utilizzando il linguaggio Rust. L’analisi, svolta dal team Zellic, ha rilevato 113 bug di sicurezza tra cui decine di vulnerabilità con identificatori CVE. Secondo l’autore del rapporto Ravi Kant Sharma, una parte significativa dei bug di sicurezza che sono stati identificati durante l’audit sono già stati corretti.
Il programma era di sostituire i classici GNU Coreutils, ovvero quell’insieme di strumenti come cp, mv e rm, con del nuovo codice sviluppato in Rust . La transizione era stata svolta per ridurre il rischio di errori comuni nella gestione della memoria e superare il classico approccio C++. L’analisi di sicurezza ha rivelato che anche la nuova implementazione non ha ancora eliminato le vulnerabilità.
Ubuntu 26.04 LTS utilizza Rust Coreutils versione 0.8, ed include la maggior parte delle correzioni. Alcune delle utility chiave dipendono da GNU Coreutils, ciò è dovuto a problemi irrisolti della classe TOCTOU relativi al controllo dello stato e il successivo utilizzo dei dati. Queste vulnerabilità possono consentire attacchi quando si lavora con il file system.
Ubuntu non sta assolutamente nascondendo che la versione attuale è solo una soluzione temporanea. Il team di sviluppo prevede di sostituire completamente GNU Coreutils per la versione 26.10. A quel punto, i problemi dovrebbero essere tutti risolti e la nuova implementazione deve diventare la base del sistema.
Il rapporto di Zellic non è ancora stato pubblicato integralmente, ma sembra che la transizione a Rust non sarà totalmente indolore e più complessa del previsto. La strategia rimane comunque quella iniziale, ovvero sostituire gradualmente i componenti critici con delle alternative più sicure, questo senza compromettere la stabilità del sistema.
Al momento non risulta chiaro se questi bug sono stati rilevati attraverso normali attività di “bug hunting” oppure attraverso analisi mirate svolte con l’intelligenza artificiali. Questo potrebbe essere una chiave di lettura differente per questa notizia.
