Google revela falha no CentOS após demora na resolução
A equipa da Google do Project Zero revelou ter descoberto uma falha sobre o sistema CentOS, que terá sido publicamente revelada depois de a entidade responsável pelo sistema operativo não ter lançado uma correção para a mesma.
Por norma, as falhas descobertas pela Project Zero são divulgadas de forma responsável, onde é dado um período de 90 dias para as entidades associadas com as mesmas resolverem eventuais problemas. Em alguns casos, é ainda fornecido um período adicional de 14 dias, dependendo da gravidade da falha ou complexidade.
Neste caso em particular, a falha foi indentificada pelo engenheiro da Google Jann Horn, que descobriu o facto que várias atualizações e correções de segurança feitas sobre as versões mais recentes do Kernel no CentOS Stream 9 não estavam a ser propagadas para outras versões mais antigas do sistema – mas ainda suportadas.
Face a isto, o engenheiro terá contactado os responsáveis pelo CentOS, dando o mesmo período de 90 dias para que a falha fosse resolvida. Tendo em conta que a falha não foi resolvida neste período, a mesma encontra-se agora a ser tornada pública.
A Red Hat, entidade que estaria responsável pelo desenvolvimento do CentOS Stream, confirmou todas as falhas que foram identificadas, mas terá falhado em disponibilizar a correção dentro do período que era suposto.
Tendo em conta que todas as falhas são agora do conhecimento publico, existe a possibilidade que a pressão de tal venha a fazer com que a correção seja mais rapidamente implementada.