[Newsletter italiana] Newsletter italiana, n. 29 del 2024

La newsletter settimanale della comunità italiana newsletter-italiana a liste.ubuntu-it.org
Mar 1 Ott 2024 22:21:20 BST 

Questo è il numero 29 del 2024, riferito alla settimana che va da lunedì 23
settembre a domenica 29 settembre. Per qualsiasi commento, critica o  lode,
contattaci attraverso la mailing list (
http://liste.ubuntu-it.org/cgi-bin/mailman/listinfo/facciamo-promozione )
del gruppo promozione ( https://wiki.ubuntu-it.org/GruppoPromozione ).
Per la versione in linea della newsletter, consultare la  seguente pagina (
https://wiki.ubuntu-it.org/NewsletterItaliana/2024.029 ).

= Notizie da Ubuntu =

== Nuova falla di sicurezza nei sistemi Ubuntu ==
Si potrebbe pensare: "Perché mi devo preoccupare, alla fine non interessa a
nessuno ingannarmi tramite un servizio di stampa sul mio computer per fare
cose senza che io ne sia a conoscenza". Già, ma Simone Margaritelli, che ha
scoperto la falla e ha dovuto lottare affinché venisse presa sul serio come
riteneva, spiega in un  articolo dettagliato (
https://www.evilsocket.net/2024/09/26/Attacking-UNIX-systems-via-CUPS-Part-I
) sul suo blog che questo può essere fatto silenziosamente, da remoto e
senza autenticazione. Ebbene si, avete letto bene. È la bufera che si sta
scagliando sui sistemi Linux, dove a quanto pare è presente un difetto di
esecuzione di codice remoto che colpisce lo stack di stampa CUPS utilizzato
nella maggior parte delle principali distribuzioni desktop, tra cui Ubuntu
e anche Chrome OS. Con un punteggio di gravità pari a 9,9, si colloca al
limite delle vulnerabilità più gravi possibili. La stessa RedHat ha
 suddiviso (
https://www.omgubuntu.co.uk/2024/09/ubuntu-secuity-fix-cups-vulnerability )
la catena di attacco nei seguenti punti:
 1. Il servizio cups-browsed è abilitato o avviato manualmente
 2. L'attaccante ha accesso a un server vulnerabile che:
  * Consente l'accesso illimitato o
  * Ottiene l'accesso a una rete interna in cui le connessioni locali sono
affidabili
 3. L'attaccante pubblicizza un server IPP dannoso
 4. Una potenziale vittima tenta di stampare dal dispositivo dannoso
 5. L'aggressore esegue codice arbitrario sul computer della vittima
e per finire, incredibilmente, questa vulnerabilità deve essere esistita
per anni. Ci sono buone notizie però, perché se utilizzi un firewall o un
router NAT che blocca la porta soggetta all'attacco, probabilmente non sei
mai stato vulnerabile a questo tipo di bug. Ancora, il team di sicurezza di
Canonical ha rilasciato aggiornamenti di sicurezza critici per i pacchetti
interessati e questi aggiornamenti vengono distribuiti a tutte le release
di Ubuntu supportate oggi. Tieni d'occhio gli aggiornamenti e facci sapere
se qualcosa non va come deve!
Fonte:  omgubuntu.co.uk (
https://www.omgubuntu.co.uk/2024/09/ubuntu-secuity-fix-cups-vulnerability )
Fonte:  theregister.com (
https://www.theregister.com/2024/09/26/cups_linux_rce_disclosed/ )

== Vulnerabilità critica nei sistemi GNU/Linux: il responsabile è CUPS ==
A differenza dell'articolo precedente, qui ci focalizzeremo esclusivamente
sull'approccio utilizzando dagli ingegneri di Canonical per patchare il
suddetto problema, ed entrando un po' di più sul lato tecnico.
Ma veniamo a noi. Il team di sicurezza di Canonical in queste ore ha
rilasciato un importante aggiornamento di sicurezza per tutte le sue
versioni supportate, per risolvere una grave vulnerabilità che circonda
CUPS. Le vulnerabilità identificate come  CVE-2024-47076 (
https://ubuntu.com/security/CVE-2024-47076 ) (libcupsfilters),
 CVE-2024-47175 ( https://ubuntu.com/security/CVE-2024-47175 ) (libppd),
 CVE-2024-47176 ( https://ubuntu.com/security/CVE-2024-47176 )
(cups-browsed) e  CVE-2024-47177 (
https://ubuntu.com/security/CVE-2024-47177 ) (cups-filters), ingannano CUPS
affinché generi un file  PPD (PostScript Printer Description) (
https://en.wikipedia.org/wiki/PostScript_Printer_Description ) controllato
dall'attaccante per una stampante contenente un comando arbitrario. La
generazione del file PPD manipolato può essere effettuata innanzitutto
attraverso due percorsi:
 * Sulla rete locale, può essere utilizzato per registrare automaticamente
una nuova stampante o per sostituire il file PPD associato a una stampante
esistente. Ciò richiede che l'attaccante sia in grado di generare i
pacchetti multicast e di farli raggiungere dal demone cups-browsed sulla
porta 631.
 * Su qualsiasi rete, un protocollo legacy basato su UDP può essere
utilizzato per registrare una nuova stampante con un file PPD dannoso. Ciò
richiede che l'aggressore sia in grado di inviare un pacchetto dannoso UDP
alla porta 631, gestito da cups-browsed, sull'host di destinazione. Un
firewall (o router NAT) può prevenire questo vettore di attacco.
Ogni volta che il successivo processo di stampa viene inviato alla
stampante in questione, il comando verrà eseguito come utente lp. CUPS o,
più specificamente, il demone cups-browsed è generalmente installato su
computer desktop e server configurati come server di stampa. Quindi in
determinate condizioni, se i malviventi riescono a concatenare queste
vulnerabilità saranno in grado di eseguire codice arbitrario da remoto, a
patto che venga utilizzato quel sistema per stampare almeno una volta o
detto più semplicemente che il demone cups-browsed sia abilitato (di
default non è abilitato). Consigliamo dunque di aggiornare a prescindere
tutti i pacchetti presenti nel proprio dispositivo, tramite una finestra di
terminale e digitando il comando:
sudo apt update && sudo apt upgrade
sudo systemctl restart cups.service
Se ciò non fosse possibile, i componenti interessati possono essere presi
di mira tramite il comando:
sudo apt update && sudo apt install --only-upgrade cups-browsed
cups-filters cups-filters-core-drivers libcupsfilters2t64 libppd2
libppd-utils ppdc
sudo systemctl restart cups
Questo servizio:
 * Applica automaticamente nuovi aggiornamenti di sicurezza ogni 24 ore
 * Se hai abilitato questa opzione, le patch sopra indicate verranno
applicate automaticamente entro 24 ore
 * Tuttavia, consigliamo comunque di riavviare il demone CUPS utilizzando
systemctl restart cups.service
Si noti, infine che la protezione più efficace rimane quella di applicare
gli aggiornamenti di sicurezza e di non cercare di disabilitare a proprio
piacimento dei servizi che possono causare degli effetti collaterali
indesiderati trasversali, come per esempio, nei computer desktop, la
rimozione del componente cups-browsed o la disattivazione dei protocolli di
rete comprometterebbe la capacità di rilevare le stampanti di rete. Mentre,
per i server di stampa, la disattivazione del rilevamento della stampante
di rete può essere considerata una mitigazione adeguata, poiché le
stampanti già configurate continuerebbero a essere disponibili, ma, sui
sistemi Ubuntu, la modifica del file di configurazione associato
impedirebbe il completamento con successo di futuri aggiornamenti. Siate
cauti e tenete aggiornati sempre i vostri sistemi!
Fonte:  ubuntu.com (
https://ubuntu.com//blog/cups-remote-code-execution-vulnerability-fix-available
)
Fonte:  redhat.com (
https://www.redhat.com/en/blog/red-hat-response-openprinting-cups-vulnerabilities
)

== L'importanza della divulgazione coordinata in ambito di vulnerabilità
critiche ==
I problemi riscontrati in questi giorni hanno ricevuto molta attenzione da
parte di tutti i team di sicurezza delle varie distribuzioni GNU/Linux
prima della divulgazione pubblica. Le vulnerabilità vengono normalmente
discusse tra il reporter, i progetti interessati e le distribuzioni Linux,
come Ubuntu, sotto embargo, in modo che gli aggiornamenti di sicurezza
possano essere preparati e rilasciati sotto divulgazione coordinata
simultaneamente da tutti i fornitori di software. A volte, l'embargo,
sebbene sia cruciale, può essere compromesso da trapelazioni di
informazioni. Se una vulnerabilità viene divulgata prematuramente, gli
utenti sono esposti a rischi maggiori, poiché malintenzionati potrebbero
sfruttare la vulnerabilità prima che siano disponibili le patch necessarie.
Le trapelazioni di informazioni possono quindi compromettere la sicurezza
di interi sistemi, reti o infrastrutture, soprattutto quando si tratta di
vulnerabilità gravi, come quelle che riguardano i kernel Linux o le
librerie software centrali. Per questo motivo, l'idea alla base di questo
processo è evitare che le informazioni sulla vulnerabilità vengano
divulgate prima che siano pronte soluzioni per mitigarla, perché in questo
modo si riduce anche il rischio per gli utenti finali di adoperare con
soluzioni temporanee fai da te che possono causare ulteriori
disagi/problemi nei propri sistemi. Le distribuzioni Linux come Ubuntu, che
è una delle più diffuse, giocano un ruolo cruciale in questo ecosistema,
poiché spesso devono coordinarsi non solo con gli sviluppatori dei progetti
interessati ma anche con altre distribuzioni e fornitori di software.
Incoraggiamo tutti a considerare il bene comune, ricordando il concetto di
comunità che sta alla base di ogni software open source. Per esempio, per
la vulnerabilità riguardante CUPS, la data di divulgazione coordinata è
stata anticipata, bilanciando la necessità di una preparazione adeguata e
di fornire gli aggiornamenti il prima possibile data la sua pericolosità.
Durante le risposte coordinate alle vulnerabilità, Canonical raccomanda di
lavorare con discrezione sui problemi sottoposti a embargo. Se durante la
divulgazione emergono disaccordi, i coordinatori terzi, come [[
https://www.kb.cert.org/vuls/ | CERT/CC]] (Computer Emergency Response Team
Coordination Center) e  VINCE ( https://www.kb.cert.org/vince/ )
(Vulnerability Information and Coordination Environment), possono
intervenire per mediare la discussione. In sintesi, la gestione delle
vulnerabilità in ambienti GNU/Linux rappresenta un delicato equilibrio tra
trasparenza, cooperazione e sicurezza. Il rispetto dell'embargo e la
corretta divulgazione coordinata sono pratiche essenziali per garantire che
gli utenti siano protetti senza introdurre rischi aggiuntivi.
Fonte:  ubuntu.com (
https://ubuntu.com//blog/cups-remote-code-execution-vulnerability-fix-available
)

= Notizie dal Mondo =

== Arriva la prima RC del kernel Linux 6.12 ==
Il papa del Kernel Linux, Linus Torvalds ha  annunciato (
https://lkml.org/lkml/2024/9/29/509 ) la disponibilità generale della prima
Release Candidate (RC) del kernel Linux 6.12 per i test pubblici. Questo
segna il primo passo nello sviluppo della nuova versione del kernel, che
arriva due settimane dopo l'apertura della finestra di unione, iniziata lo
stesso giorno del rilascio della versione 6.11 (per maggior informazioni si
veda il numero della newsletter  2024.027 (
https://wiki.ubuntu-it.org/NewsletterItaliana/2024.027#Quali_novit.2BAOA_introduce_il_Kernel_Linux_6.11.3F
)). Da oggi, gli sviluppatori e gli utenti esperti possono scaricare e
testare questa versione preliminare direttamente dall'albero  Git (
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/snapshot/linux-6.12-rc1.tar.gz
) di Linus. Ma andiamo con ordine e vediamo le novità principali di questa
versione del kernel linux.
Prima di tutto vengono introdotte una serie di importanti miglioramenti e
nuove funzionalità, con un focus particolare sul supporto hardware e
ottimizzazioni di sistema. Una delle novità di rilievo è l'aggiunta di un
nuovo modulo di test del core termico, che consente di creare e controllare
zone termiche simulate tramite il file system  debugfs (
https://docs.kernel.org/filesystems/debugfs.html ). Questo sarà utile
parallelamente per testare e migliorare la gestione termica dei
dispositivi. In termini di architetture, Linux 6.12 porta interessanti
aggiornamenti per varie piattaforme, inclusa l'enumerazione basata su ACPI
per i controller di interrupt su RISC-V e il supporto PMU guest per
LoongArch KVM. Anche l'architettura ARM vede miglioramenti con il supporto
alla  Permission Overlay Extension ( https://lwn.net/Articles/949126/ )
tramite chiavi di protezione della memoria. Lato hardware invece troviamo
miglioramenti al driver intel_pstate per il ridimensionamento della
capacità della CPU ibrida, il supporto nativo nel driver intel_idle per i
processori Granite Rapids Xeon e il supporto per processori AMD e Intel di
nuova generazione nel driver di limitazione della potenza intel_rapl.
Oppure il come il supporto degli accessori sul Lenovo Yoga Tablet 2
Pro-1380. Mentre, tra le novità più attese ci sono il supporto per i
touchpad PixArt PS/2, le nuove tecnologie Wi-Fi 6 con i chip RTL8852BT e
8852BE-VT e il supporto migliorato per i dispositivi Surface basati su
ARM64, laptop LG e Dell, e i profili delle ventole per i laptop ASUS
Vivobook. Per quanto riguarda i filesystem, ci sono miglioramenti per EXT4,
Btrfs, exFAT, FUSE, F2FS e Bcachefs, oltre a un potenziamento del supporto
Rust all'interno del kernel. In parallelo, sono state effettuate correzioni
di bug e pulizie del codice. Sempre utili.
Non ci dilunghiamo ancora con il resto degli aggiornamenti, ma ricordiamo
che la versione finale del Kernel Linux 6.12 è attesa per metà o fine
novembre 2024, a seconda di quante RC saranno ancora rilasciate da Linus
Torvalds. Se verranno pubblicate sette RC, il rilascio avverrà il 17
novembre, mentre con otto RC la data prevista è il 24 novembre.
Fonte:  9to5linux.com (
https://9to5linux.com/linus-torvalds-announces-first-linux-kernel-6-12-release-candidate
)

== Rilasciato LibreOffice 24.8.2 con 85 correzioni di bug ==
La Document Foundation ha  annunciato (
https://blog.documentfoundation.org/blog/2024/09/27/libreoffice-24-8-2// )
il rilascio e la disponibilità per tutte le piattaforme supportate della
prima point release della potente suite per l'ufficio, LibreOffice 24.8.
Ricordiamo, per chi se lo fosse perso, che questa è la prima versione ad
utilizzare il nuovo schema di numerazione dei rilasci basato sulla dicitura
Anno/Mese. Quindi, nel caso di LibreOffice 24.8, ad esempio, si tratta
della versione 2024 del mese di Agosto. Questa nuovo approccio alla
numerazione delle versioni, secondo TDF, servirà a invogliare gli utenti a
installare sempre le ultime versioni, che oltre alle nuove funzionalità
possono offrire una serie di correzioni in materia di sicurezza e stabilità.
Detto questo, dopo neanche un mese dal suo rilascio, la release 24.8.2
scende in campo per risolvere oltre ottacinque bug, presenti all'interno di
tutti i componenti principali della suite per l'ufficio, inclusi Writer,
Calc, Impress e Draw. Queste correzioni permettono di aumentare sempre di
più la stabilità e la robustezza della suite, garantendo al contempo una
migliore interoperabilità con i formati di documenti proprietari della
suite MicroSoft Office, come DOCX, XLSX e PPTX. Pertanto, se all'interno
del tuo dispositivo utilizzi la versione di LibreOffice 24.8, dovresti
prendere in considerazione l'aggiornamento alla versione 24.8.2 il prima
possibile e magari dare anche un'occhiata ai dettagli sulle correzioni di
questi bug, disponibili per  RC1 (
https://wiki.documentfoundation.org/Releases/24.8.2/RC1 ). Tuttavia,
occorre tenere presente che questa è l'edizione "Community", quindi se hai
bisogno di supporto per le distribuzioni aziendali dovresti considerare
l'utilizzo della famiglia di applicazioni  LibreOffice Enterprise (
https://www.libreoffice.org/download/libreoffice-in-business/ ) (per
maggiori informazioni guarda il numero  2021.005 (
https://wiki.ubuntu-it.org/NewsletterItaliana/2021.005#LibreOffice_7.1_Community:_ecco_cosa_c.27.2BAOg_di_nuovo.21
)).
LibreOffice 24.8.2 è immediatamente disponibile sul  sito ufficiale (
https://www.libreoffice.org/download/ ). I requisiti minimi per i sistemi
operativi proprietari sono disponibili nella  suddetta pagina (
https://it.libreoffice.org/supporto/requisiti-sistema/ ); mentre per
GNU/Linux, si ricorda principalmente come regola generale che è sempre
consigliabile installare LibreOffice utilizzando i metodi di installazione
raccomandati dalla propria distribuzione, come ad esempio l'uso di Ubuntu
Software Center per Ubuntu. Gli utenti di LibreOffice, i sostenitori del
software libero e i membri della comunità possono supportare The Document
Foundation attraverso una  piccola donazione (
https://www.libreoffice.org/donate ). Le vostre donazioni aiutano The
Document Foundation a mantenere la sua infrastruttura, condividere la
conoscenza e a finanziare attività delle comunità locali.
Fonte:  9to5linux.com (
https://9to5linux.com/libreoffice-24-8-1-office-suite-is-now-available-for-download-with-89-bug-fixes
)

= Aggiornamenti e statistiche =

== Aggiornamenti di sicurezza ==
Gli annunci di sicurezza sono consultabili nell'apposita sezione del forum
( http://forum.ubuntu-it.org/viewforum.php?f=64 ).

== Bug riportati ==
 * Aperti: 144794, −38 rispetto alla scorsa settimana.
 * Critici: 313, +2 rispetto alla scorsa settimana.
 * Nuovi: 73307, −68 rispetto alla scorsa settimana.
È possibile aiutare a migliorare Ubuntu, riportando problemi o
malfunzionamenti. Se si desidera collaborare ulteriormente, la Bug Squad (
https://wiki.ubuntu.com/BugSquad ) ha sempre bisogno di una mano.

= Commenti e informazioni =
"Noi siamo ciò che siamo per merito di ciò che siamo tutti"
La tua newsletter preferita è scritta grazie al contributo libero e
volontario della comunità ubuntu-it (
https://wiki.ubuntu-it.org/GruppoPromozione/SocialMedia/Crediti ). Per
metterti in contatto con il Gruppo Social Media (
https://wiki.ubuntu-it.org/GruppoPromozione/SocialMedia ) o se vuoi
contribuire alla redazione di articoli per la Newsletter, puoi scrivere
alla mailing list (
http://liste.ubuntu-it.org/cgi-bin/mailman/listinfo/facciamo-promozione )
del gruppo promozione ( https://wiki.ubuntu-it.org/GruppoPromozione ).
In questo numero ha partecipato alla redazione degli articoli:
 *  Daniele De Michele
Ha inoltre collaborato all'edizione:
 *  Stefano Dall’Agata

== Licenza adottata ==
La newsletter italiana di Ubuntu è pubblicata sotto la licenza Creative
Commons Attribution-ShareAlike 4.0 (
http://creativecommons.org/licenses/by-sa/4.0/legalcode ).

== Uscite settimanali ==
 * Numero precedente (
https://wiki.ubuntu-it.org/NewsletterItaliana/2024.028 )
 * Numero successivo (
https://wiki.ubuntu-it.org/NewsletterItaliana/2024.030 )
Per ricevere la newsletter direttamente nella tua casella di posta,
cambiare le impostazioni di ricezione o annullare la tua iscrizione alla
newsletter, consulta questa pagina (
http://liste.ubuntu-it.org/cgi-bin/mailman/listinfo/Newsletter-italiana ).
Per tutti i numeri usciti della newsletter, consulta la nostra edicola (
https://wiki.ubuntu-it.org/NewsletterItaliana/Archivio ).

= Scrivi per la newsletter =
La Newsletter Ubuntu-it ha lo scopo di tenere aggiornati tutti gli utenti
Ubuntu e, più in generale, le persone appassionate del mondo open-source.
Viene resa disponibile gratuitamente con cadenza settimanale ogni Lunedì,
ed è aperta al contributo di tutti gli utenti che vogliono partecipare con
un proprio articolo. L’autore dell’articolo troverà tutte le
raccomandazioni e istruzioni dettagliate all’interno della pagina  Linee
Guida (
https://wiki.ubuntu-it.org/GruppoPromozione/SocialMedia/Newsletter/LineeGuida
), dove inoltre sono messi a disposizione per tutti gli utenti una serie di
indirizzi web che offrono notizie riguardanti le principali novità su
Ubuntu e sulla comunità internazionale, tutte le informazioni sulle
attività della comunità italiana, le notizie sul software libero
dall’Italia e dal mondo. Per chiunque fosse interessato a collaborare con
la newsletter Ubuntu-it a titolo di redattore o grafico, può scrivere alla
 mailing list (
http://liste.ubuntu-it.org/cgi-bin/mailman/listinfo/facciamo-promozione )
del  gruppo promozione ( http://wiki.ubuntu-it.org/GruppoPromozione )
oppure sul canale IRC:  ubuntu-it-promo (
https://chat.ubuntu-it.org/#ubuntu-it-promo ). Fornire il tuo contributo a
questa iniziativa come membro, e non solo come semplice utente, è un
presupposto fondamentale per aiutare la diffusione di Ubuntu anche nel
nostro Paese.
Facebook ( https://www.facebook.com/ubuntu.it ), Twitter (
https://twitter.com/ubuntuit ), YouTube (
https://youtube.com/ubuntuitpromozione ) e Telegram (
https://telegram.me/ubuntuit ).
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://liste.ubuntu-it.org/pipermail/newsletter-italiana/attachments/20241001/48c29874/attachment-0001.htm>

Maggiori informazioni sulla lista Newsletter-italiana