[Newsletter italiana] Newsletter italiana, n. 9 del 2022

[La newsletter settimanale della comunità italiana]

Questo è il numero 9 del 2022, riferito alla settimana che va da lunedì 7 marzo a domenica 13 marzo. Per qualsiasi commento, critica o  lode, contattaci attraverso la mailing list ( http://liste.ubuntu-it.org/cgi-bin/mailman/listinfo/facciamo-promozione ) del gruppo promozione ( http://wiki.ubuntu-it.org/GruppoPromozione ).
Per la versione in linea della newsletter, consultare la  seguente pagina ( http://wiki.ubuntu-it.org/NewsletterItaliana/2022.009 ).

= Notizie da Ubuntu =

== Canonical rilascia nuove patch di sicurezza per tutte le versioni di Ubuntu supportate ==
In questi giorni Canonical ha rilasciato nuovi aggiornamenti di sicurezza per tutte le versioni supportate di Ubuntu, per affrontare diverse vulnerabilità. Questo piccolo aggiornamento di sicurezza mette al sicuro gli utenti Linux, risolvendo la cosiddetta vulnerabilità di sicurezza "Dirty Pipe" ( CVE-2022-0847 ( https://ubuntu.com/security/CVE-2022-0847 )), scoperta da Max Kellermann, che potrebbe consentire a un utente malintenzionato locale di modificare qualsiasi file contrassegnato come read-only, permettendo un'escalation di privilegi. Questa vulnerabilità, per fortuna, interessa esclusivamente i sistemi Ubuntu 21.10 e 20.04 LTS che eseguono la versione del kernel Linux 5.13.
Mentre per le versioni di Ubuntu 21.10, 20.04 LTS e Ubuntu 18.04 LTS, il nuovo aggiornamento di sicurezza corregge tre difetti relativi a  Spectre ( https://it.wikipedia.org/wiki/Spectre_(vulnerabilit%C3%A0_di_sicurezza) ) ( CVE-2022-0001 ( https://ubuntu.com/security/CVE-2022-0001 ),  CVE-2022-0002 ( https://ubuntu.com/security/CVE-2022-0002 ) e  CVE-2022-23960 ( https://ubuntu.com/security/CVE-2022-23960 )), scoperti da Enrico Barberis, Pietro Frigo, Marius Muench, Herbert Bos e Cristiano Giuffrida. Il bug in questione potrebbe consentire a un utente malintenzionato locale di esporre informazioni riservate dopo che le mitigazioni hardware aggiunte da Intel ai loro processori erano insufficienti per affrontare le vulnerabilità di Spectre-BTI. Inoltre, sempre per tutte le versioni di Ubuntu supportate, il nuovo aggiornamento di sicurezza corregge ( CVE-2022-25636 ( https://ubuntu.com/security/CVE-2022-25636 )) un problema di sicurezza, scoperto da Nick Gregory, che potrebbe consentire a un utente malintenzionato locale di causare un arresto di sistema o eventualmente eseguire codice arbitrario. Come sempre, Canonical esorta tutti gli utenti di Ubuntu ad aggiornare il prima possibile le proprie installazioni alle nuove versioni del kernel Linux disponibili nei repository. Per aggiornare il proprio sistema basterà utilizzare l'Ubuntu Software oppure basterà eseguire il comando da terminale:
sudo apt update && sudo apt full-upgrade
Fonte:  9to5linux.com ( https://9to5linux.com/canonical-patches-dirty-pipe-vulnerability-in-ubuntu-21-10-and-20-04-lts-update-now )

= Notizie dalla comunità internazionale =

== Firefox 98 è tra noi! ==
Con grande sorpresa da parte degli utenti, Mozilla ha rilasciato con un giorno di anticipo rispetto alla tabella di marcia Firefox 98 per tutte le piattaforme GNU/Linux, Android, macOS, iOS e Windows. Anche se non ci sono nuove funzionalità da guardare o curiosare, in questo aggiornamento c'è un attenta cura all'interfaccia utente, alcuni miglioramenti di sicurezza e anche riguardante le prestazioni. Ad esempio, uno dei cambiamenti più importanti è l'ottimizzazione del flusso di download, in cui i file vengono scaricati automaticamente nel percorso di download selezionato, senza richiedere all'utente di scegliere se aprire il file con una determinata applicazione o se salvarlo in una determinata cartella. Se questa modifica non ti appaga, niente panico, perché Mozilla   afferma ( https://support.mozilla.org/en-US/kb/change-firefox-behavior-when-open-file#w_changing-download-actions ) che gli utenti possono ancora aprire i file scaricati dal pannello dei download con un solo clic. Inoltre, Firefox 98 aggiunge la possibilità di eliminare i file scaricati direttamente dal pannello dei download,  tramite una nuova opzione del menu di scelta rapida "Elimina".
Tra le altre modifiche, troviamo una maggiore reattività nel caricamento dei componenti aggiuntivi durante l'avvio e, come volevasi dimostrare, anche in questa versione il supporto Wayland non è abilitato per impostazione predefinita nelle build Linux. È comunque possibile abilitarlo manualmente, mettendo in conto che potrebbero esserci ancora alcuni malfunzionamenti. Detto questo, la nuova versione di Firefox 98 è presente in tutti i repository software delle varie distribuzioni GNU/Linux, altrimenti, qualora l'aggiornamento non sia ancora arrivato, è possibile scaricare i binari per sistemi a 64 o 32 bit, oltre al tarball, in questo momento dal  server FTP ( https://ftp.mozilla.org/pub/firefox/releases/98.0/ ) di Mozilla.
Fonte:  omgubuntu.co.uk ( https://www.omgubuntu.co.uk/2022/03/firefox-98-released-promises-to-nag-less-during-downloads )
Fonte:  9to5linux.com ( https://9to5linux.com/firefox-98-is-now-available-for-download-with-a-new-optimized-download-flow )

= Notizie dal Mondo =

== Red Hat si unisce ad altri produttori e sospende le vendite in Russia e Bielorussia ==
Nelle ultime ore anche la multinazionale statunitense produttrice di software open source Red Hat ha deciso di sospendere ogni tipo di attività, tra vendite e servizi, sia in Russia sia in Bielorussia, a causa dell'attacco militare che sta avvenendo in questi giorni in Ucraina. Poche ore prima, la stessa IBM ha  deciso ( https://newsroom.ibm.com/Update-on-our-actions-War-in-Ukraine ) di aderire e di prendere la stessa posizione di Red Hat e di chiudere ogni rapporto con la Russia e di aiutare i propri dipendenti e le loro famiglie a trasferirsi nei paesi limitrofi. In un  comunicato ( https://www.redhat.com/en/blog/red-hats-response-war-ukraine ) stampa, pubblicato sul sito ufficiale da parte del CEO di Red Hat Paul Cormier, si può leggere:
"Sono fiducioso di parlare a nome di tutti noi quando dico che la guerra ancora in corso in Ucraina è straziante. Come azienda, siamo uniti con tutti coloro che sono stati colpiti dalla violenza e condanniamo linvasione dellUcraina da parte dellesercito russo. Aggiungiamo le nostre voci a coloro che chiedono la pace e continueremo a lavorare per consentire la sicurezza dei nostri associati colpiti e delle loro famiglie in ogni modo possibile."
Red Hat non è la sola ad aver agito in questo modo, perché tra le altre aziende che hanno deciso di abbondare la Russia  troviamo ( https://techcrunch.com/2022/03/07/netflix-paypal-adobe-and-others-join-tech-companies-suspending-business-in-russia/ ) Apple, Microsoft, Oracle, Adobe, Netflix, PayPal, ma anche McDonald, Coca-Cola e tante altre. Per concludere, non ci è dato sapere, al momento, se tutto questa avrà un esito positivo per la fine della guerra oppure se sarà la goccia che farà traboccare il vaso. Nel nostro piccolo, ci auguriamo solamente che tutto questo finisca il prima possibile.
Fonte:  newsobserver.com ( https://www.newsobserver.com/news/business/article259183033.html )
Fonte:  zdnet.com ( https://www.zdnet.com/article/red-hat-moves-out-of-russia/ )
Fonte:  redhat.com ( https://www.redhat.com/en/blog/red-hats-response-war-ukraine )

== Approfondimento sulla vulnerabilità Dirty Pipe ==
Quest'anno i vari team di sicurezza sono impegnati su tutti i fronti per risolvere svariate vulnerabilità. Una di queste, che affligge tutti i kernel Linux a partire dalla versione 5.8, è Dirty Pipe ( CVE-2022-0847 ( https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-0847 )). Il tutto sorprendentemente è iniziato con l'apertura, da parte di un cliente, di un ticket di supporto relativo a dei file corrotti. Andando più a fondo, mentre i giorni passavano, si sono uniti i vari pezzi del puzzle, così si è potuto attribuire un nome e un codice a questa nuova vulnerabilità, scoperta nell'Aprile del 2021 da Max Kellerman. La vulnerabilità permette a un utente malintenzionato la sovrascrittura di un file read-only, consentendo così una  escalation dei privilegi ( https://it.wikipedia.org/wiki/Privilege_escalation ). Parallelamente, CM4all ha spiegato attraverso una  dettagliata ( https://dirtypipe.cm4all.com/ ) ricerca come usufruire della suddetta vulnerabilità per ottenere i privilegi di root all'interno dei sistemi GNU/Linux. Tranquilli, niente paura, perché Dirty Pipe è stata già corretta. Però, qualora siate curiosi e vogliate verificare se tale bug è presente nella vostra macchina, basterà prima di tutto creare un file come utente root e assicurarsi che gli altri utenti abbiano i permessi di sola lettura:{{{
root a ubuntu-it:~# echo "test string" > /tmp/test
root a ubuntu-it:~# ls -l /tmp/test -rw-r--r-- 1 root root 13 Mar 9 12:55 /tmp/test}}}
Come si può notare, il file test è read-only per tutti gli utenti che non hanno i permessi root. Una volta eseguito questo passaggio, effettuare il login come un utente non privilegiato e, per verificare se il file è effettivamente read-only, digitare:{{{
pippo a ubuntu:~$ cat /tmp/test
test string
pippo a ubuntu:~$ echo "exploited" > /tmp/test
-bash: /tmp/test: Permission denied
Infine, si incolli l'output alla fine della pagian collegata in un file rinominato come write_anything.c:  /* SPDX-License-Identifier: GPL-2.0 */... ( https://dirtypipe.cm4all.com/ )

Per finire, si compili il  POC ( https://it.wikipedia.org/wiki/Proof_of_concept ) con il comando:
pippo a ubuntu:~$ gcc write_anything.c -o write_anything
E per testare se la vulnerabilità è presente:
pippo a ubuntu:~$ ./write_anything /tmp/test 1 $'\nexploited'
It worked!
pippo a ubuntu:~$ cat /tmp/test
t
exploited

Well Done! Se non lo abbiamo ancora detto, aggiornate i vostri sistemi il prima possibile.
Fonte:  zdnet.com ( https://www.zdnet.com/article/dirty-pipe-linux-vulnerability-discovered-fixed/ )
Fonte:  dirtypipe.cm4all.com ( https://dirtypipe.cm4all.com/ )

== Blender 3.1 e il grande balzo in avanti nelle prestazioni ==
Dopo due mesi di intenso lavoro, la Blender Foundation ha  annunciato ( https://www.blender.org/press/blender-3-1-release/ ) finalmente la disponibilità della prima point release della serie Blender 3.0, il noto e potente software di modellazione 3D open source e multipiattaforma. Questo aggiornamento è improntato sul potenziamento delle prestazioni e della velocità di esecuzione, che permettono a Blender una maggiore affidabilità e velocità dei compiti. Per dimostrare tutto ciò, il team di sviluppo ha creato un apposito  video ( https://www.youtube.com/watch?v=BCi0QRM1ADY ) dimostrativo, in cui si esaltono le varie capacità migliorative di questo aggiornamento. Ad esempio, si sono migliorate le prestazioni di varie mesh, tra cui  Mesh Vertex ( https://it.wikipedia.org/wiki/Mesh_poligonale ) e Face Normals, nonché al sistema procedurale di Blender, il quale ha anche ricevuto 19 nuovi nodi, strumenti di modellazione mesh, controllo avanzato dei campi. Tra le altre modifiche degne di nota, troviamo:
 * Nuovo backend GPU Metal fornito da Apple per supportare i chip M1 e le schede AMD;
 * Migliorata la velocità di esportazione dei file .obj e .fbx;
 * Migliore multi-threading e utilizzo ridotto della memoria nei nodi Geometry;
 * Accelerazione GPU migliorata per rendere la riproduzione di 3D Viewport molto più veloce;
 * Aggiornamento dell'Editor di immagini per gestire in miglior modo l'anteprima e la modifica di immagini di grandi dimensioni.
Con questo aggiornamento, Blender ora utilizza fino al 20% di memoria in meno, visualizza alberi di nodi di grandi dimensioni quasi due volte più velocemente rispetto a prima, elabora valori singoli con nodi di campo fino a 2-3 volte più velocemente e accede ai nodi di geometria fino al 40% più velocemente. Inoltre per rimanere fedeli ai numeri, la mesh Cube è ora circa il 75% più veloce, mentre l'utilizzo della memoria è stato ridotto fino a 100 volte nei campi di grandi dimensioni. Nel frattempo, puoi scaricare la nuova versione di Blender 3.1 dal  sito Web ufficiale ( https://www.blender.org/download/ ) come pacchetto binario e divertirti nel riprodurre tutto ciò che desideri.
Fonte:  omgubuntu.co.uk ( https://www.omgubuntu.co.uk/2022/03/blender-3-1-released-with-major-leap-in-performance )
Fonte:  9to5linux.com ( https://9to5linux.com/blender-3-1-released-with-lots-of-performance-improvements-other-changes )

= Aggiornamenti e statistiche =

== Aggiornamenti di sicurezza ==
Gli annunci di sicurezza sono consultabili nell'apposita sezione del forum ( http://forum.ubuntu-it.org/viewforum.php?f=64 ).

== Bug riportati ==
 * Aperti: 138373, -144 rispetto alla scorsa settimana.
 * Critici: 326, +1 rispetto alla scorsa settimana.
 * Nuovi: 69072, -106 rispetto alla scorsa settimana.
È possibile aiutare a migliorare Ubuntu, riportando problemi o malfunzionamenti. Se si desidera collaborare ulteriormente, la Bug Squad ( http://wiki.ubuntu.com/BugSquad ) ha sempre bisogno di una mano.

== Statistiche del gruppo sviluppo ==
Segue la lista dei pacchetti realizzati dal Gruppo Sviluppo della comunità italiana nell'ultima settimana:

=== Mattia Rizzolo ===
 * libxml2 2.9.13+dfsg-1 ( https://launchpad.net/ubuntu/jammy/+source/libxml2/2.9.13+dfsg-1 ), per Ubuntu jammy-proposed
 * sigil 1.9.1+dfsg-1 ( https://tracker.debian.org/sigil ), per Debian unstable
 * sigil 1.9.2+dfsg-1 ( https://tracker.debian.org/sigil ), per Debian unstable
 * sigil 1.9.2+dfsg-1 ( https://launchpad.net/ubuntu/jammy/+source/sigil/1.9.2+dfsg-1 ), per Ubuntu jammy-proposed
Se si vuole contribuire allo sviluppo di Ubuntu correggendo bug, aggiornando i pacchetti nei repository, ecc... il gruppo sviluppo ( http://wiki.ubuntu-it.org/GruppoSviluppo ) è sempre alla ricerca di nuovi volontari.

= Commenti e informazioni =
"Noi siamo ciò che siamo per merito di ciò che siamo tutti"
La tua newsletter preferita è scritta grazie al contributo libero e volontario della comunità ubuntu-it. Per metterti in contatto con il Gruppo Social Media ( http://wiki.ubuntu-it.org/GruppoPromozione/SocialMedia ) o se vuoi contribuire alla redazione di articoli per la Newsletter, puoi scrivere alla mailing list ( http://liste.ubuntu-it.org/cgi-bin/mailman/listinfo/facciamo-promozione ) del gruppo promozione ( http://wiki.ubuntu-it.org/GruppoPromozione ).
In questo numero ha partecipato alla redazione degli articoli:
 *  Daniele De Michele
Ha inoltre collaborato all'edizione:
 *  Stefano Dall’Agata

== Licenza adottata ==
La newsletter italiana di Ubuntu è pubblicata sotto la licenza Creative Commons Attribution-ShareAlike 4.0 ( http://creativecommons.org/licenses/by-sa/4.0/legalcode ).

== Uscite settimanali ==
 * Numero precedente ( http://wiki.ubuntu-it.org/NewsletterItaliana/2022.008 )
 * Numero successivo ( http://wiki.ubuntu-it.org/NewsletterItaliana/2022.010 )
Per ricevere la newsletter direttamente nella tua casella di posta, cambiare le impostazioni di ricezione o annullare la tua iscrizione alla newsletter, consulta questa pagina ( http://liste.ubuntu-it.org/cgi-bin/mailman/listinfo/Newsletter-italiana ).
Per tutti i numeri usciti della newsletter, consulta la nostra edicola ( http://wiki.ubuntu-it.org/NewsletterItaliana/Archivio ).

= Scrivi per la newsletter =
La Newsletter Ubuntu-it ha lo scopo di tenere aggiornati tutti gli utenti Ubuntu e, più in generale, le persone appassionate del mondo open-source. Viene resa disponibile gratuitamente con cadenza settimanale ogni Lunedì, ed è aperta al contributo di tutti gli utenti che vogliono partecipare con un proprio articolo. L’autore dell’articolo troverà tutte le raccomandazioni e istruzioni dettagliate all’interno della pagina  Linee Guida ( https://wiki.ubuntu-it.org/GruppoPromozione/SocialMedia/Newsletter/LineeGuida ), dove inoltre sono messi a disposizione per tutti gli utenti una serie di indirizzi web che offrono notizie riguardanti le principali novità su Ubuntu e sulla comunità internazionale, tutte le informazioni sulle attività della comunità italiana, le notizie sul software libero dall’Italia e dal mondo. Per chiunque fosse interessato a collaborare con la newsletter Ubuntu-it a titolo di redattore o grafico, può scrivere alla  mailing list ( http://liste.ubuntu-it.org/cgi-bin/mailman/listinfo/facciamo-promozione ) del  gruppo promozione ( http://wiki.ubuntu-it.org/GruppoPromozione ) oppure sul canale IRC:  ubuntu-it-promo ( https://chat.ubuntu-it.org/#ubuntu-it-promo ). Fornire il tuo contributo a questa iniziativa come membro, e non solo come semplice utente, è un presupposto fondamentale per aiutare la diffusione di Ubuntu anche nel nostro Paese.