Mettete pure in pausa quel rendering di Blender o quel debug su Godot, perché c’è una notizia che fa tremare le fondamenta del vostro stack Linux.
Non è il solito bug che richiede un’exploit complicatissima o un accesso di rete pregresso. Parliamo di ‘Copy Fail’, una vulnerabilità che sta facendo discutere su Hacker News e che colpisce quasi tutto ciò che è mainstream. Se il vostro kernel è stato compilato tra il 2017 e l’ultimo patch, siete potenzialmente nel mirino. E la cosa peggiore? Non serve nemmeno avere i permessi di debugging o configurazioni particolari. Basta che il kernel abbia l’API crypto (AF_ALG) abilitata, il che, per dispetto della nostra tranquillità, è la configurazione standard su quasi tutte le distro che usiamo quotidianamente.
Per chi mastica Linux, la lista dei sospetti è lunga: Ubuntu, Amazon Linux, RHEL, SUSE… ma non fermiamoci qui. Se usate Arch, Debian, Fedora o anche i sistemi embedded che state smanettando per far funzionare qualche macchinario CNC fatto in casa, siete nello stesso baratro. Il problema è che un semplice utente locale, uno di quelli con i permessi minimi, può scalare i privilegi e diventare root senza troppi complimenti.
Analizziamo la cosa con la freddezza di chi ha visto troppi server esplodere. Se gestite macchine multi-tenant, server di build come GitHub Actions self-hosted o runner Jenkins, la situazione è da codice rosso. In un ambiente containerizzato (Kubernetes, Docker e compagnia bella), un attaccante potrebbe saltare da un pod all’altro, compromettendo l’intero nodo. È il classico scenario da incubo in cui l’isolamento dei tenant diventa una barriera di carta velina.
Per noi maker e smanettoni che usiamo Linux sul laptop personale, il rischio è leggermente più basso perché, beh, siete quasi sempre gli unici utenti. Tuttavia, se per caso vi capita di far girare script di terze parti o servizi web esposti, l’exploit potrebbe essere l’ultimo tassello per una compromissione totale.
Il mio consiglio? Niente panico da primo piano, ma niente nemmeno l’indifferenza di chi non ha mai letto un man page. Aggiornate i kernel. Subito. Non aspettate che la vostra workstation diventi un gateway per un ransomware o che il vostro server di automazione inizi a minare crypto per conto di sconosciuti. La patch è uscita, quindi non c’è scusa che tenga. Fate il lavoro sporco, patchate tutto e tornate pure a modellare i vostri asset 3D o a scrivere codice. Ma fatelo in sicurezza.
Source: Copy Fail