lunedì, maggio 19, 2008

Bug di sicurezza su Debian: la questione vera è un'altra

Sembra che nel lontano 2006, per la precisione il 2 maggio, gli sviluppatori di Debian abbiano messo una specie di "patch" ad OpenSSL distribuito con la loro versione di Linux. Il problema è che la "patch" in realtà non è una patch ma peggio ha introdotto un BUG:
http://www.debian.org/security/2008/dsa-1571
http://www.debian.org/security/2008/dsa-1576

Il bug è venuto fuori in questi giorni. Poco male si dirà. Certo, dopo poche ore c'era già la patch. Perfetto. Ma.... la patch risolve il bug e il funzionamento di openssl su Debian dal giorno in cui la si installa. Quindi tutti i certificati & affini creati con OpenSSL prima dell'applicazione della patch sono vulnerabili. Cioè quelli degli ultimi 2 anni. Vedi comunicato di Verisign: revocare i certificati e rigenerarli. Buon divertimento.

Ma la questione vera è un'altra. Non mi riferisco al fatto che tutti i sistemi operativi hanno dei bug. Questo è ovvio e sostenere il contrario è stupido. Non faccio paragoni fra Win e Linux e Mac e SunSolaris e chi volete voi: la scelta di un sistema operativo è o dovrebbe essere dettata da una serie di valutazone che comprendono ma che non si limitano al numero di bug e patch. Non voglio neanche entrare nella polemica del TCO (Total Cost of Ownership) fra Win e Linux.

Il punto vero su cui riflettere è che 2 righe di codice errato possono creare un casino enorme!

Quindi meglio pensarci 1000 volte prima di modificare codice funzionante soprattutto se scritto da altri.

Nessun commento: