Ostap Mykhaylyak

  • Copy Fail: vulnerabilità critica Linux minaccia sicurezza

    Una vulnerabilità critica del kernel Linux, soprannominata “Copy Fail” e identificata come CVE-2026-31431, sta creando scompiglio nel mondo della sicurezza informatica. Secondo la Cybersecurity and Infrastructure Security Agency (CISA) americana, questa flaw è già stata sfruttata attivamente dagli attaccanti, rendendo urgente l’applicazione delle patch di sicurezza.

    Un bug nascosto da nove anni

    La vulnerabilità presenta caratteristiche particolarmente insidiose: nonostante sia stata scoperta pubblicamente solo il 29 aprile 2026, le sue radici affondano in modifiche apparentemente innocue apportate al kernel Linux tra il 2011 e il 2017. Tre cambiamenti separati, ciascuno innocuo di per sé, hanno creato le condizioni perfette per questa falla di sicurezza una volta combinati insieme.

    Il problema risiede nel modulo algif_aead del sottosistema crittografico AF_ALG del kernel, dove un errore logico nel template di autenticazione crittografica causa una gestione impropria della memoria durante operazioni in-place. Con un punteggio CVSS di 7.8, la vulnerabilità è classificata come “HIGH” e appartiene alla categoria CWE-699.

    Exploit devastante con poche righe di codice

    Ciò che rende questa vulnerabilità particolarmente allarmante è la semplicità dell’exploit. Un semplice script Python di soli 732 byte permette a qualsiasi utente locale non privilegiato di ottenere accesso root in modo affidabile. L’attacco sfrutta l’interazione tra l’interfaccia socket AF_ALG, la chiamata di sistema splice() e una gestione impropria degli errori durante un’operazione di copia fallita.

    Il risultato è una sovrascrittura controllata di 4 byte nella cache delle pagine del kernel, permettendo agli attaccanti di corrompere binari setuid e altri dati sensibili gestiti dal kernel. L’exploit funziona interamente nello spazio del kernel, aggirando le protezioni tradizionali dello spazio utente.

    Impatto critico sui container e cloud

    Secondo Canonical, l’impatto varia significativamente in base al tipo di deployment. Negli ambienti senza workload containerizzati, la vulnerabilità consente l’escalation dei privilegi da utente locale a root. Tuttavia, negli deployment containerizzati che eseguono workload potenzialmente dannosi, la vulnerabilità può facilitare scenari di container escape.

    Questa caratteristica è particolarmente preoccupante per gli ambienti cloud moderni, inclusi cluster Kubernetes e runner Docker CI, dove l’exploit non richiede privilegi root all’interno dei container, moduli kernel aggiuntivi o accesso di rete.

    Distribuzioni colpite e mitigazioni immediate

    La vulnerabilità interessa praticamente tutte le principali distribuzioni Linux con kernel compilati dal 2017 in poi, incluse Ubuntu 24.04 LTS, Amazon Linux 2023, Red Hat Enterprise Linux 10.1, SUSE 16, Debian, Fedora e Arch Linux. Ubuntu ha confermato che tutte le versioni precedenti alla 26.04 sono affette.

    Canonical ha già rilasciato mitigazioni che disabilitano il modulo kernel interessato tramite il pacchetto kmod, mentre patch complete del kernel sono in arrivo. Gli utenti possono verificare se sono interessati eseguendo uname -r per controllare la versione del kernel in uso.

    Azioni urgenti richieste

    CISA ha aggiunto CVE-2026-31431 al catalogo KEV il 1° maggio 2026, imponendo alle agenzie federali civili una scadenza obbligatoria per la remediation entro il 15 maggio 2026. Le patch sono disponibili nelle versioni del kernel Linux 6.18.22, 6.19.12 e 7.0.

    Per gli amministratori di sistema è fondamentale aggiornare immediatamente tutti i pacchetti con sudo apt update && sudo apt upgrade o, in alternativa, installare specificamente le mitigazioni disponibili. È importante notare che la mitigazione disabilita un modulo utilizzato per la crittografia accelerata hardware, il che potrebbe richiedere un riavvio per garantire che le applicazioni passino alle funzioni crittografiche in userspace.

    La natura critica di questa vulnerabilità e la sua facilità di sfruttamento rendono imperativo un intervento immediato. Organizzazioni e amministratori devono prioritizzare l’audit delle versioni del kernel Linux in tutti gli ambienti cloud, containerizzati e on-premise senza ulteriori ritardi.

  • Container e Virtualizzazione: Le Novità del 2026 Che Cambiano l’IT

    Il panorama della containerizzazione e virtualizzazione sta vivendo un momento di profondi cambiamenti nel 2026. Tra rilasci di nuove versioni di piattaforme consolidate e l’emergere di alternative innovative, i professionisti DevOps si trovano di fronte a scelte sempre più strategiche per le loro infrastrutture.

    Kubernetes 1.36: Sicurezza e AI al Centro

    La nuova versione 1.36 di Kubernetes rappresenta un salto qualitativo significativo nell’ecosistema dell’orchestrazione container. Con ben 71 miglioramenti implementati, questa release si concentra principalmente su due aree cruciali: la sicurezza avanzata e il supporto ottimizzato per carichi di lavoro di intelligenza artificiale.

    Le funzionalità di sicurezza del kubelet hanno raggiunto lo status GA (General Availability), garantendo maggiore stabilità e affidabilità nelle implementazioni enterprise. Parallelamente, l’introduzione del Dynamic Resource Allocation (DRA) migliora significativamente la visibilità dell’hardware, elemento fondamentale per gestire workload complessi in ambienti multi-tenant.

    Una delle innovazioni più interessanti è l’implementazione del Gang Scheduling, specificamente progettato per ottimizzare i carichi di lavoro AI. Questa funzionalità permette di schedulare gruppi di pod simultaneamente, riducendo i tempi di attesa e migliorando l’efficienza nell’utilizzo delle risorse computazionali per training e inferenza di modelli di machine learning.

    La Battaglia dei Container System: Incus Emerge Come Alternativa

    Il fork di LXD chiamato Incus sta guadagnando sempre più attenzione nella comunità DevOps. Secondo le discussioni sui forum tecnici, Incus si sta posizionando come un manager moderno per container Linux e macchine virtuali, offrendo un’alternativa interessante all’ecosistema LXD tradizionale.

    Ciò che rende Incus particolarmente interessante è la sua filosofia di fornire container di sistema piuttosto che container applicativi. A differenza di Docker, che si concentra su microservizi e applicazioni singole, Incus permette di creare ambienti completi simili a macchine virtuali ma con l’efficienza dei container.

    Un progetto degno di nota è Kapsule, sviluppato per KDE, che utilizza Incus come backend per creare un’esperienza simile a distrobox ma con integrazione nativa nell’ambiente desktop Plasma. Questo dimostra come la tecnologia stia evolvendo verso soluzioni più user-friendly e integrate.

    VirtualBox 7.2.8: Supporto per Linux 7.0 e Miglioramenti Wayland

    Oracle ha rilasciato VirtualBox 7.2.8 con significativi miglioramenti per gli utenti Linux. Il supporto iniziale per i kernel Linux 6.19 e 7.0 rappresenta un passo importante per mantenere la compatibilità con le distribuzioni più recenti.

    Le correzioni per Wayland sono particolarmente rilevanti, risolvendo problemi di condivisione clipboard e comportamento del cursore che affliggevano gli utenti di Ubuntu 25.10. Questi fix dimostrano l’impegno di Oracle nel supportare i protocolli display moderni, fondamentali per un’esperienza utente fluida negli ambienti Linux contemporanei.

    Un cambiamento architetturale importante riguarda la deprecazione del modulo kernel vboxvideo out-of-tree per Linux 7.0 e versioni successive. Gli utenti dovranno migrare verso VMSVGA graphics o utilizzare il modulo vboxvideo incluso direttamente nel kernel Linux.

    Linux 7.0: La Nuova Era del Kernel

    Il kernel Linux 7.0, rilasciato il 12 aprile 2026, introduce funzionalità rivoluzionarie che impatteranno profondamente l’ecosistema container. Il supporto stabile per Rust apre nuove possibilità per lo sviluppo di componenti kernel più sicuri e performanti.

    Le ottimizzazioni per architetture ARM64 e RISC-V, insieme al supporto per istruzioni atomiche a 128-bit su LoongArch, dimostrano come il kernel stia evolvendo per supportare hardware diversificato. Questo è particolarmente importante per deployment edge e IoT dove l’efficienza energetica e le prestazioni sono critiche.

    Tuttavia, essendo una versione short-lived, Linux 7.0 sarà supportato solo fino al rilascio di Linux 7.1 previsto per metà giugno. Per ambienti production, rimane consigliabile utilizzare versioni LTS come Linux 6.18 o 6.12, entrambe supportate fino a dicembre 2028.

    Implicazioni per le Strategie DevOps

    Questi aggiornamenti richiedono una riflessione strategica sulle architetture infrastructure. La maturazione di Kubernetes 1.36 con le sue funzionalità AI-oriented suggerisce che le organizzazioni dovrebbero iniziare a pianificare l’integrazione di workload di machine learning nelle loro pipeline DevOps.

    L’emergere di Incus come alternativa viabile a LXD offre opportunità per semplificare gli stack tecnologici, particolarmente in scenari dove si necessita di container system completi piuttosto che microservizi applicativi.

    La transizione verso Linux 7.0 e le sue ottimizzazioni per architetture moderne preparano il terreno per deployment più efficienti su hardware diversificato, elemento cruciale nell’era del computing distribuito.

    Questi sviluppi confermano che il 2026 sarà un anno di consolidamento e innovazione nell’ecosistema containerizzazione. Le organizzazioni che sapranno adattare le proprie strategie a questi cambiamenti tecnologici saranno meglio posizionate per affrontare le sfide future dell’infrastruttura cloud-native.

  • Ubuntu e container: novità 2025 per LXD, sicurezza e performance

    Il 2025 si sta rivelando un anno ricco di evoluzioni per l’ecosistema Ubuntu, soprattutto nell’ambito dei container e dell’orchestrazione. Tra aggiornamenti di sicurezza critici e nuove funzionalità per Ubuntu 26.04 LTS, vediamo quali sono le novità più rilevanti per sviluppatori e amministratori di sistema.

    (altro…)

  • L’adozione di Incus semplifica l’orchestrazione dei container e delle VM, riducendo tempi e costi operativi.

    Incus è un moderno e sicuro gestore di container di sistema e macchine virtuali, nato come fork della storica piattaforma LXD. Grazie alla sua architettura leggera e al potente REST API, Incus consente di creare ambienti isolati per lo sviluppo, test e produzione su qualsiasi macchina Linux. In questo articolo ci concentreremo sull’installazione di Incus su Ubuntu e su come configurarlo per gestire in maniera ottimale i container e le VM.

    (altro…)