Non sarà il caso di smettere di usare le LTS di Ubuntu?

Nella giornata di ieri c'è stato molto clamore a seguito della pubblicazione di una vulnerabilità critica (CVE-2019-13615) inizialmente attribuita a VLC.
Il team di VLC Media Player, dopo le segnalazioni, ha subito approfondito la faccenda e ha confermato che la vulnerabilità riguardava non VLC ma libebml, una libreria di terze parti usata da VLC. Questa libreria è stata fixata grazie ad un aggiornamento ben 16 mesi fa. VLC, sin dalla versione 3.0.3, viene rilasciato con la versione corretta di questa libreria ed è quindi, fin da tale versione, immune a questa vulnerabilità.

Tralasciando il comportamento superficiale di chi ha segnalato la vulnerabilità, generando panico fra gli utenti VLC, quello che traspare dalla vicenda è un dato di fatto: chi ha segnalato il tutto utilizza Ubuntu 18.04 LTS che, per via della sua natura, non ha tutte le librerie aggiornate ed è dunque afflitta dalla vulnerabilità della libreria lbebml.

I pacchetti attualmente presenti su Ubuntu 18.04 LTS provengono da Debian Stretch (che ricordo continuerà a ricevere correzioni di sicurezza fino a Giugno 2022) e, attualmente, anche la vecchia versione di Debian risulta vulnerabile perché non è stato ancora fatto il backport della correzione.

Il problema nasce dunque dal fatto che l'attuale LTS è basata su di una versione non aggiornata di Debian e che, all'interno del team di Ubuntu LTS, nessuno è incaricato di mantenere aggiornato questo pacchetto.

AGGIORNAMENTO: La correzione è arrivata su Ubuntu 16.04 LTS ed Ubuntu 18.04 LTS (USN-4073-1: libEBML vulnerability)

Da questa vicenda vien fuori una piccola osservazione, condivisa anche da alcuni dal mio amico Stefano: ha ancora senso continuare a stare su una LTS o non è meglio tornare a fare l'upgrade semestrale di Ubuntu?

Voi cosa ne pensate?

Questi post potrebbero interessarti

disqus

Licenza

Licenza Creative Commons
Quest'opera è distribuita con Licenza Creative Commons Attribuzione - Non commerciale - Non opere derivate 4.0 Internazionale. Questo blog non rappresenta una testata giornalistica, in quanto viene aggiornato senza alcuna periodicità. Non può, pertanto, considerarsi un prodotto editoriale, ai sensi della legge n. 62 del 7/03/2001.

Disclaimer immagini Le immagini utilizzate in questo blog appartengono ai loro rispettivi autori e sono utilizzati per scopi educativi, personali e senza scopo di lucro. Ogni eventuale violazione del copyright non è intenzionale, ma se si riconosce un'immagine protetta da copyright, fatemelo sapere qui, e sarò lieto di aggiungere i credits o modificarla o rimuoverla.

Disclaimer images Images used on this blog belong to their respective authors and are used for educational, personal and no profit purposes. Any eventual copyright infringement is not intentional, but if you recognize a copyrighted image, please let me know here, and I'll happily provide to add the right credits or modify or remove it.