Backporting delle correzioni di sicurezza

Il backporting è un metodo per applicare importanti aggiornamenti di sicurezza ai software.

Il termine backporting viene utilizzato per descrivere una procedura che prevede di l'estrapolazione, dalla versione più recente di un pacchetto software upstream, della correzione di un problema di sicurezza e la sua successiva applicazione per correggere una versione più vecchia del pacchetto distribuito.

Il backporting è una prassi comune per fornitori come Red Hat e garantisce la possibilità di distribuire aggiornamenti in automatico a tutti i clienti con rischi minimi. Il backporting potrebbe essere un concetto nuovo per gli utenti più abituati a ricevere aggiornamenti per i software proprietari.

Ecco un esempio di come abbiamo eseguito il backporting di correzioni per problemi di sicurezza:

Red Hat ha distribuito la versione 2.0.40 del server Apache HTTP con Red Hat Linux 8.0. Poco dopo il rilascio, sono emersi una serie di problemi di sicurezza individuati e resi pubblici dalla Apache Software Foundation. Apache Software Foundation ha distribuito una nuova release, Apache HTTP Server 2.0.43, che conteneva le correzioni per i problemi in questione; tuttavia, oltre alle correzioni per i problemi di sicurezza, il passaggio dalla versione 2.0.40 alla 2.0.43 includeva anche altre modifiche (correzioni a bug del software e nuove funzioni).

Una di queste funzioni modificava l'interfaccia del modulo. In questo caso, se Red Hat avesse distribuito un aggiornamento di sicurezza con la versione 2.0.43 di Apache HTTP Server in sostituzione della 2.0.40, tutti i moduli utilizzati in quel momento dai clienti avrebbero dovuto essere aggiornati (ricompilati) per adeguarli alla nuova interfaccia. I clienti che impiegavano moduli di terze parti avrebbero dovuto chiedere ai relativi fornitori di aggiornare anche quei moduli. Passare dalla versione 2.0.40 alla versione 2.0.43 di Apache HTTP Server avrebbe quindi richiesto una serie di interventi manuali da parte degli amministratori di sistema. Questo tipo di aggiornamento non avrebbe potuto essere utilizzato per un sistema di aggiornamento automatico come quello previsto nell'ambito di Red Hat Network.

In casi come questo, è possibile eseguire il backporting degli aggiornamenti. Quando esegue il backporting di una correzione di sicurezza, Red Hat:

  • Identifica le correzioni e le isola, rispetto a qualsiasi altra modifica
  • si accerta che le correzioni non introducano effetti collaterali indesiderati
  • applica le correzioni alle versioni distribuite in precedenza.

Per la maggior parte dei prodotti, la nostra politica predefinita è quella di eseguire il backporting di tutte le correzioni di sicurezza, ma in alcuni casi distribuiamo versioni aggiornate dei pacchetti, dopo averle accuratamente analizzate e verificate. In questi casi si tratta di pacchetti che non hanno interazioni con altri pacchetti, oppure di pacchetti destinati agli utenti finali, ad esempio browser o client di messaggistica istantanea.

Conoscere la numerazione delle release

Il backporting offre numerosi vantaggi agli utenti, ma può creare una certa confusione se non viene compreso con chiarezza. I clienti devono sapere che controllando semplicemente il numero di versione di un pacchetto non possono sapere con certezza se sono vulnerabili o meno. Ad esempio, sulla stampa specializzata si potrebbe leggere che "l'aggiornamento alla versione 2.0.43 di Apache httpd risolve il problema", ma questo tiene conto solamente della numerazione crescente delle versioni upstream. Tale informazione potrebbe creare confusione perché, anche dopo avere installato i pacchetti di aggiornamento di un fornitore, probabilmente non avrete la più recente versione upstream quanto piuttosto una versione upstream precedente con una patch applicata tramite backporting.

Inoltre alcuni strumenti di scansione e di valutazione controllano la vulnerabilità basandosi solamente sul numero di versione dei componenti che trovano. Se lo strumento non tiene conto delle correzioni applicate tramite backporting, il risultato è un falso positivo

Da quando è stato introdotto Red Hat Enterprise Linux, abbiamo sempre spiegato con molta chiarezza se un particolare problema è stato corretto passando ad una versione upstream successiva oppure eseguendo il backporting delle correzioni a una versione esistente. In tutti i nostri avvisi, fino da gennaio 2000 sono allegati i nomi CVE che permettono ai clienti di confrontare senza difficoltà le vulnerabilità e di individuare come e quando sono state corrette, indipendentemente dal numero di versione del software.

Mettiamo a disposizione anche le definizioni OVAL (una versione leggibile a livello macchina dei nostri avvisi) che gli strumenti di scansione di terze parti possono utilizzare per determinare lo stato delle vulnerabilità di sistema, anche dopo il backporting delle correzioni di sicurezza. In tal modo speriamo di eliminare la confusione a proposito del backporting e di permettere ai clienti di avere sempre il massimo livello di sicurezza.