Non sarà il caso di smettere di usare le LTS di Ubuntu?
Nella giornata di ieri c’è stato molto clamore a seguito della pubblicazione di una vulnerabilità critica (CVE-2019-13615) inizialmente attribuita a VLC.
Il team di VLC Media Player, dopo le segnalazioni, ha subito approfondito la faccenda e ha confermato che la vulnerabilità riguardava non VLC ma libebml, una libreria di terze parti usata da VLC. Questa libreria è stata fixata grazie ad un aggiornamento ben 16 mesi fa. VLC, sin dalla versione 3.0.3, viene rilasciato con la versione corretta di questa libreria ed è quindi, fin da tale versione, immune a questa vulnerabilità.
Tralasciando il comportamento superficiale di chi ha segnalato la vulnerabilità, generando panico fra gli utenti VLC, quello che traspare dalla vicenda è un dato di fatto: chi ha segnalato il tutto utilizza Ubuntu 18.04 LTS che, per via della sua natura, non ha tutte le librerie aggiornate ed è dunque afflitta dalla vulnerabilità della libreria lbebml.
I pacchetti attualmente presenti su Ubuntu 18.04 LTS provengono da Debian Stretch (che ricordo continuerà a ricevere correzioni di sicurezza fino a Giugno 2022) e, attualmente, anche la vecchia versione di Debian risulta vulnerabile perché non è stato ancora fatto il backport della correzione.
Il problema nasce dunque dal fatto che l’attuale LTS è basata su di una versione non aggiornata di Debian e che, all’interno del team di Ubuntu LTS, nessuno è incaricato di mantenere aggiornato questo pacchetto.
AGGIORNAMENTO: La correzione è arrivata su Ubuntu 16.04 LTS ed Ubuntu 18.04 LTS (USN-4073-1: libEBML vulnerability)
Da questa vicenda vien fuori una piccola osservazione, condivisa anche da alcuni dal mio amico Stefano: ha ancora senso continuare a stare su una LTS o non è meglio tornare a fare l’upgrade semestrale di Ubuntu?
Voi cosa ne pensate?