Ubuntu passa a quattro

Jul 29, 2023

Ogni due settimane verranno inoltre apportate correzioni critiche, mitigando i problemi legati al rilascio di patch tempestive con la vecchia cadenza di tre settimane.

Il Canonical Kernel Team sta abbandonando la cadenza degli aggiornamenti in favore di un ciclo di quattro settimane e aggiungerà un ulteriore aggiornamento ogni due settimane per le correzioni più urgenti.

Il passaggio a un ciclo di quattro settimane con un aggiornamento intermedio comporterà aggiornamenti regolari e stabili a monte, tra cui patch di sicurezza, correzioni di bug e richieste di funzionalità che arriveranno ogni quattro settimane. Le soluzioni critiche che non possono aspettare arriveranno con cadenza di due settimane.

In passato, il team Canonical lavorava su un ciclo di aggiornamento del kernel di tre settimane. Ciò, secondo Kleber Souza, responsabile tecnico del kernel Linux presso Canonical, garantiva una reattività ragionevole ma era "incline a interruzioni dovute a CVE urgenti, richieste urgenti dei clienti e regressioni riscontrate negli aggiornamenti o durante i test".

Il risultato era che il ciclo tendeva ad essere esteso e fornire tempestivamente le correzioni CVE era impegnativo.

Souza ha osservato che i kernel OEM seguiranno un programma più flessibile in termini di scadenze per l'accettazione delle nuove patch.

Ubuntu è una delle distribuzioni Linux più popolari e i cambiamenti interesseranno gli ingegneri incaricati di mantenere le flotte di hardware che eseguono il sistema operativo, in locale o nel cloud, alla luce del ritmo di rilevamento delle vulnerabilità e applicazione delle patch.

La mossa è stata descritta da un utente sui forum dell'azienda come “ambiziosa” e arriva sulla scia di una vulnerabilità di escalation dei privilegi relativamente facile da sfruttare rivelata di recente.

La vulnerabilità nel modulo OverlayFS utilizzato in Ubuntu è stata documentata in CVE-2023-2640 e CVE-2023-32629 ed era esclusiva del sistema operativo in seguito alle modifiche apportate dal team Canonical nel 2018.

CVE-2023-2640 consente a un utente non privilegiato di impostare attributi estesi privilegiati sui file montati. CVE-2023-32629 è una vulnerabilità di escalation dei privilegi locali in cui i controlli delle autorizzazioni vengono ignorati.

Tali modifiche sono diventate un problema solo nel 2020, quando una vulnerabilità di sicurezza corretta nel kernel Linux non è stata introdotta in Ubuntu a causa delle modifiche precedenti.

Un rapporto affermava che la vulnerabilità potrebbe interessare il 40% dei carichi di lavoro cloud di Ubuntu. Ubuntu ha risolto le vulnerabilità il 24 luglio 2023 e agli utenti è stato chiesto di aggiornare i propri kernel.

Con il programma del ciclo rivisto, Souza ha affermato: "Il Canonical Kernel Team si aspetta di fornire aggiornamenti più prevedibili con tempi di consegna più rapidi per soluzioni urgenti".

Una dose giornaliera di notizie, recensioni, funzionalità e approfondimenti IT, direttamente nella tua casella di posta!

Richard Speed ​​è uno staff writer per ITPro, CloudPro e ChannelPro. È entrato in Future per la prima volta nel 2023 dopo aver lavorato come reporter per The Register. Ha un forte interesse per i database, DevOps, normative e governance IT. Ha inoltre partecipato a numerosi eventi nazionali e internazionali, tra cui le conferenze Build e Ignite di Microsoft e i KubeCon sia negli Stati Uniti che nell'UE.

Prima di entrare in The Register, ha trascorso diversi anni lavorando nel settore IT nei settori farmaceutico e finanziario.

Gli sviluppatori di Fedora Workstation devono affrontare la reazione negativa della comunità sui piani per raccogliere dati di telemetria

Recensione Kali Linux: un coltellino svizzero per i professionisti della sicurezza informatica

Il governo britannico punta a un fondo da 160 milioni di sterline per i satelliti per potenziare il 5G e la banda larga

Di Ross Kelly01 agosto 2023

Di Daniel Todd01 agosto 2023

Da Rory Bathgate31 luglio 2023

Di Richard Speed31 luglio 2023

Da Rory Bathgate31 luglio 2023

Di Ross Kelly31 luglio 2023

Di Richard Speed31 luglio 2023

Di Ross Kelly31 luglio 2023

Di Ross Kelly28 luglio 2023

Da Rory Bathgate28 luglio 2023

Di Ross Kelly28 luglio 2023

Pubblicato

Pubblicato

Pubblicato

Pubblicato

Una dose giornaliera di notizie, recensioni, funzionalità e approfondimenti IT, direttamente nella tua casella di posta!

Grazie per esserti iscritto a ITPro. A breve riceverai un'e-mail di verifica.

C'era un problema. Perfavore ricarica la pagina e riprova.