Il “dittatore benevolo” Linus Torvalds ha comunicato alla community di utenti, tramite la mailing-list ufficiale dedicata agli sviluppatori del progetto, il rilascio della nuova build di testing del kernel, ovvero Linux 5.17RC8. Si tratta dell’ottava release candidate di tale ramo di sviluppo. In teoria questa settimana era attesa la versione stabile, tuttavia l’insorgere di nuovi bug di sicurezza molto gravi ha spinto il team di coder a posticipare il tutto per poter implementare delle nuove security patch, necessarie per sistemare le falle del codice che consentono di eseguire l’exploit comunemente noto come “Spectre BHI“.

“Spectre BHI” è sostanzialmente un bug che permette di eseguire un escalation dei privilegi non autorizzata sfruttando un errore di progettazione delle piattaforme hardware Intel ed ARM. I ricercatori di sicurezza hanno riscontrato che tale problematica, etichettata come CVE-2022-0001 e CVE-2022-0002, è presente a partire dalla generazione di processori Intel Alder Lake. Per mitigare i rischi dei possibili exploit le principali distribuzioni Linux hanno temporaneamente disabilitato l’opzione che consente l’uso di eBPF (Berkeley Packet Filter) agli utenti standard. Limitando quindi l’accesso alla BPF JIT virtual machine, ovvero uno dei componenti sfruttabili per tale tipologia di attacco, all’amministratore di sistema.

Nelle release note Linus Torvalds dichiara che il bug era davvero ben annidato e dopo aver eseguito dei test è emersa la necessità implementare altre patch per eliminare ogni rischio. Dunque assieme agli altri contributor del kernel si è deciso di allungare il ciclo di sviluppo di Linux 5.17 di un ulteriore settimana. In modo tale da consentire altri test ed essere completamente sicuri che non sia più possibile eseguire tale exploit.

Secondo Torvalds questa dovrebbe essere l’ultima versione di questo ramo di sviluppo. Dunque la settimana prossima sarà finalmente disponibile, salvo imprevisti dell’ultimo minuto, la stable release di Linux 5.17. Con tutta probabilità i vari team delle distribuzioni eseguiranno a breve dei backport di tali security patch, cosi da poterle implementare anche nelle versioni del kernel meno recenti.