Sappiamo tutti quanto sia importante mantenere aggiornato il proprio sistema operativo, ma è parimenti esperienza comune che spesso siano proprio gli aggiornamenti a introdurre nuovi bug. Ubuntu segue delle linee guida ben precise per gestire questa situazione.
La chiave di volta dell’intero discorso è che, una volta rilasciata la release, gli aggiornamenti non si fanno affatto, a meno che non riguardino vulnerabilità di sicurezza o bug particolarmente significativi. Addirittura, nell’ottica di stabilizzare la release, già durante le ultime fasi di sviluppo l’ingresso di nuovi pacchetti dei vari software è sottoposto ad un controllo particolarmente rigido (una fase nota agli sviluppatori come “Feature Freeze”, appunto).
Continua »
Matt Zimmermann, CTO di Canonical e principale responsabile tecnico di Ubuntu, spiega a noi comuni mortali utenti come vengono trattate le migliaia di bachi di Ubuntu segnalati sul portale Launchpad e soprattutto perché sono in molti a chiedersi «che fine ha fatto il mio bug?».
Il problema nasce ovviamente dal numero enorme di problemi segnalati, tale da necessitare una scrematura. Ogni baco riceve una priorità, quindi viene classificato in base agli obiettivi preposti alla distribuzione. Solo dopo queste procedure i bachi arrivano “in mano” agli sviluppatori. E ovviamente qualcuno resta indietro.
Continua »
Gli sviluppatori di Mozilla hanno scoperto un fastidioso bug in Firefox 3.0.2, l’aggiornamento appena rilasciato del browser open source più famoso del mondo.
Il problema riscontrato è relativo alla gestione delle password: quando una o più password contengono dei caratteri non standard e i dati di Firefox sono salvati in una codifica diversa da UTF-8, il browser non è in grado di accedere alle password salvate né di crearne di nuove.
Nei caratteri “vietati” sono incluse anche le lettere accentate usate in italiano, e tutti i simboli che vanno oltre il 128? carattere del codice ASCII.
Continua »
Sono bastati otto milioni di download per trovare il primo baco dell’era 3.0 del browser open source più famoso del mondo. È stata infatti individuata una vulnerabilità che in seguito alla visita di una pagina Web malevola appositamente modificata, può permettere l’esecuzione di codice arbitrario sul computer della vittima.
La falla pare essere stata latente per parecchio tempo, se si considera che essa è presente anche in Firefox 2. Per ora non sono disponibili ulteriori dettagli, ma a quanto risulta non ci sono in giro dei siti in grado di sfruttare la vulnerabilità del novello panda rosso. Il team di sviluppatori di Mozilla è già al lavoro per una patch, e considerando i tempi bassissimi di reazione a cui ci hanno abituato, c’è da aspettarsi un aggiornamento entro pochi giorni. Il bug comunque non sembra essere in grado di spegnere il grande successo che ha accompagnato il rilascio della nuova versione.
Continua »
A quanto pare la risposta alla domanda che fa da titolo al post è “Sì”, ma va quanto meno raccontata. I problemi di performance riguardano il database interno di Firefox 3, utilizzato per cronologia e segnalibri, e che come sappiamo è affidato all’ottimo SQLite.
Il problema nasce quando SQLite, per assicurare l’integrità dei dati, ordina una fsync al filesystem per fare in modo che i dati ancora in sospeso vengano effettivamente scritti sul disco. Questa richiesta, però, ha delle conseguenze più ampie su alcuni filesystem, come ad esempio EXT3 e Reiser4: su tali formattazioni infatti la chiamata di sistema fa in modo che tutti i dati in sospeso (non solo quelli di Firefox) vengano immediatamente scritti su disco.
Continua »
Il vantaggio dell’open source è che tutti possono dare un’occhiata al codice. È quanto ha fatto Coverity, società specializzata nella caccia ai bachi nel codice, andando a sbirciare il sorgente di numerosi progetti open source, tra cui il kernel Linux, Samba, Firefox e Apache, su preciso mandato del dipartimento statunitense per la “Homeland Security”, con un contratto triennale di 300.000 dollari.
Dall’analisi pubblicata quest’anno è saltato fuori che la qualità del codice (misurata banalmente in quantità di errori di programmazione e problemi di sicurezza) è migliorata di circa il 16% rispetto alla precedente ricerca targata 2006. Il rapporto tra errori riscontrati e numero di righe è passato da 1 su 3.333 a 1 su 4.000 e rispetto all’analisi precedente sono stati trovati 8.500 bachi in meno su un totale di 55 milioni di righe e più di 250 progetti.
Continua »
Il Kernel Linux è stato da sempre ritenuto uno dei più affidabili e stabili grazie alla sua robustezza. Non per questo, però, è esente da bug e problemi vari: infatti, ne sono stati scoperti ben tre di livello critico, ma fortunatamente, grazie al gran numero di persone che collaborano nel panorama open source, si è subito corsi ai ripari.
Queste vulnerabilità, secondo quanto detto, avrebbero afflitto diverse distribuzioni largamente diffuse, come ad esempio Ubuntu, SUSE, Debian e altre, e tutte le versioni del kernel dalla 2.6.17 alla 2.6.24.1.
Continua »
Un’errata gestione della memoria ha portato gli sviluppatori di Gimp a rilasciare una nuova versione dell’Image Manipulation Program aperto per eccellenza. Con la versione 2.2.16 sono stati corretti alcuni problemi nell’importazione di formati esterni, PSD in primis: un file confezionato a bella posta avrebbe permesso all’aggressore l’esecuzione di codice arbitrario con i privilegi dell’utente.
Si possono scaricare direttamente i sorgenti della nuova versione, mentre quelli che non vogliono sentir le ragioni del make, possono scaricare le versioni precompilate per Linux e Windows.
Continua »
Nei giorni scorsi alcune librerie grafiche di Ubuntu hanno ricevuto qualche aggiustamento per evitare delle eventuali falle di sicurezza.
La libreria libpng non gestiva correttamente il CRC delle immagini in bianco e nero, dando la possibilità, tramite un file appositamente creato, di mandare in crash programma.
La libreria libgd2, utilizzata per il rendering dei font, era affetta da un buffer overflow che, un applicazione costruita ad hoc poteva utilizzare per consumare tutte il tempo processore a disposizione, sfociando in un Denial of Service.
Continua »
