Prima o poi, sarebbe dovuto succedere: Linux – il sistema operativo più sicuro per antonomasia – è stato colpito da un bug di GnuTLS che è potenzialmente peggiore di #gotofail (appena risolto da Apple). In pratica, un errore nel codice della libreria che gestisce il protocollo di comunicazione e i certificati SSL espone gli utenti delle maggiori distribuzioni. Debian, Red Hat e Ubuntu sono già coinvolte… però, se conosci come funziona lo sviluppo di Linux, qualunque altra abbia integrato l’aggiornamento compromesso è a rischio.

La buona notizia è che i sorgenti vulnerabili non riguardano il kernel: spesso, parlando di sicurezza informatica, molti omettono di specificare che non è il sistema operativo a essere infetto – non direttamente, almeno. Come succede con Android, che deve la maggioranza delle vulnerabilità ai bug di Java che colpiscono Dalvik VM. Anche in questo caso, Linux è ancora il più sicuro. È solo un contentino perché GnuTLS coinvolge degli aspetti nevralgici dell’infrastruttura e perciò il pericolo d’infiltrazioni è comunque molto grave.

Cosa puoi fare? Aspettare che le società o le organizzazioni no profit che gestiscono le distribuzioni aggiornino i pacchetti di GnuTLS oppure compilare manualmente la versione aggiornata. Purtroppo, la compromissione è tale che non basta un downgrade al rilascio precedente: la negoziazione dei certificati SSL è a rischio con qualunque programma, dal browser alla messaggistica istantanea. Ciò significa che devi fare qualcosa al più presto e – se ne sei in grado – ti suggerisco di compilare subito l’aggiornamento della libreria.

Photo Credit: Nguyen Vu Hung via Photo Pin (CC)