Wiki Ubuntu-it

Indice
Partecipa
FAQ
Wiki Blog
------------------
Ubuntu-it.org
Forum
Chiedi
Chat
Cerca
Planet
  • Pagina non alterabile
  • Informazioni
  • Allegati

La newsletter della comunità

Collabora anche tu!

NewsletterItaliana/Materiale/logo_new_newsletter.png

Questo è il numero 40 del 2022, riferito alla settimana che va da lunedì 28 novembre a domenica 4 dicembre. Per qualsiasi commento, critica o lode, contattaci attraverso la mailing list del gruppo promozione.

Notizie da Ubuntu

Gli utenti di Ubuntu ottengono nuovi aggiornamenti di sicurezza per il kernel Linux

Canonical in tarda sera ha pubblicato tutti i dettagli sui nuovi aggiornamenti di sicurezza del kernel Linux per tutte le versioni di Ubuntu supportate, che affrontano un totale di 10 vulnerabilità scoperte da vari ricercatori. La più grande minaccia patchata in questa versione è un difetto (CVE-2022-43945) scoperto nell'implementazione NFSD del kernel Linux, che porta a un buffer overflow, che potrebbe consentire a un utente malintenzionato remoto di causare un crash del sistema o eseguire codice arbitrario. Questa vulnerabilità interessa i sistemi Ubuntu 22.10 che eseguono il kernel Linux 5.19, così come i sistemi Ubuntu 22.04 e 20.04 LTS che eseguono il kernel Linux 5.15 LTS. I nuovi aggiornamenti correggono per tutte le versioni di Ubuntu supportate:

  • una perdita di memoria scoperta (CVE-2022-3524) nell'implementazione IPv6;

  • tre race condition: la prima (CVE-2022-3564) trovata nel sottosistema Bluetooth e le altre due (CVE-2022-3566 e CVE-2022-3567) scoperte rispettivamente sempre nelle implementazioni TCP e IPv6;

  • una vulnerabilità use-after-free (CVE -2022-3565) scoperta nell'implementazione ISDN;

  • un problema di sicurezza (CVE-2022-3594) scoperto nel driver dell'adattatore Ethernet USB Realtek RTL8152 e accessibile esclusivamente collegando un dispositivo USB appositamente predisposto;

  • una dereferenza del puntatore nullo (CVE-2022-3621) trovata nell'implementazione del file system NILFS2;

Tutti i casi citati potrebbero consentire a un utente malintenzionato locale di causare un arresto anomalo del sistema o ancora eseguire del codice arbitrario. Riguardo invece i soli sistemi Ubuntu 22.04 LTS e 20.04 che eseguono il kernel Linux 5.15 LTS, i sistemi Ubuntu 20.04 LTS e 18.04 LTS che eseguono il kernel Linux 5.4 LTS, nonché i sistemi Ubuntu 18.04 LTS che eseguono il kernel Linux 4.15, il nuovo aggiornamento corregge un bug (CVE-2022-42703), scoperto da Jann Horn di Google Project Zero, che potrebbe consentire a un utente malintenzionato locale di causare un arresto anomalo del sistema. Ultimo ma non meno importante, Canonical corregge un problema (CVE-2022-3239) riscontrato nel driver video4linux, che potrebbe portare a una vulnerabilità use-after-free e consentire a un utente malintenzionato locale di eseguire codice arbitrario. Questo problema riguarda solo i sistemi Ubuntu 18.04 LTS che eseguono il kernel Linux 4.15. Come sempre, Canonical esorta tutti gli utenti in possesso di una versione di Ubuntu ad aggiornare il prima possibile i propri sistemi. Per aggiornare la propria distribuzione basterà aprire una finestra di terminale e digitare i seguenti comandi:

sudo apt update
sudo apt full-upgrade

Fonte: 9to5linux.com

Complimenti per la personalizzazione di Ubuntu 22.10

Per quanto fantastico sia il desktop di Kinetic Kudu, la comunità sa che molti utenti che utilizzano Ubuntu adorano personalizzare il proprio spazio di lavoro. Se ti consideri tra questi, allora sarai felice di sapere che Ubuntu 22.10 viene fornito di default con alcuni incredibili sfondi, selezionati nell'ultimo Wallpaper Competition. Alla comunità è stato affidato il difficile compito di selezionare, per l'esattezza, quasi 50 fantastici contributi dei loro colleghi della comunità e scegliere i migliori, cioè quelli che rendono inequivocabilmente unica e riconoscibile agli occhi di un estraneo una distribuzione Ubuntu. Il piano iniziale era quello di includere i primi 5, ma a causa di un pareggio a sorpresa, è stato incluso anche un sesto sfondo bonus che potete visionare e scaricare direttamente dal topic di Discourse dove è avvenuta la votazione. Per finire, il Community Team desidera ringraziare tutti coloro che hanno speso parte del loro tempo per dare un proprio parare e aver votato. Il concorso per sfondi è solo uno dei molti modi in cui puoi aiutare a contribuire per far evolvere l'ecosistema Ubuntu. Per vedere i molti modi in cui puoi essere coinvolto, dai un'occhiata al wiki ufficiale di Ubuntu.

Fonte: ubuntu.com

Da VMware all'open source: cosa devi considerare?

Se state pensando di migrare da un ecosistema VMware a una infrastruttura open source basata su Ubuntu, be', questo è l'articolo che fa al caso vostro. Partiamo dal fatto che, non ci sarebbe niente da obbiettare a riguardo, VMware offre una vasta gamma di strumenti pensati e realizzati ad hoc per gli sviluppatori e per chi lavora nell'ambito IT in generale, offrendo un assortimento di svariate soluzioni, tra cui storage, networking e automazione. Trovare quindi la giusta alternativa a VMware non pare semplice e dipende anche dal contesto e dall'uso specifico che si fa durante il quotidiano. A tal proposito, ci si deve sempre domandare, prima di compiere qualsiasi azione che in futuro potrebbe farci pentire:

  • Quanto è grande la tua infrastruttura e quanto pensi che cresca in futuro?
  • Di che tipo di opzioni di archiviazione e rete hai bisogno?
  • Che tipo di carichi di lavoro vuoi eseguire?

Tutte queste domande, e ce ne sarebbero delle altre, sono fondamentali nel momento in cui ci si concentra nel considerare una soluzione appropriata, soprattutto se open source. In questi anni, grazie all'esponenziale crescita, Canonical ha messo sul mercato, grazie all'impegno dei vari team di sviluppo e della community, un'ampia gamma di prodotti che possono essere combinati in diversi modi per fornire una soluzione completa per le proprie specifiche esigenze. Per esempio, se stai cercando un cloud privato, viene in soccorso Openstack. Se stai cercando un buon livello di virtualizzazione, potresti essere interessato a LXD o ancora ad una soluzione basata su micro cloud, sempre su LXD, per una distribuzione su piccola scala. Se invece sei interessato a eseguire carichi di lavoro cloud-native, la risposta è semplice: Kubernetes. È chiaro che se stai cercando un'infrastruttura basata su Ubuntu, allora sei nel posto giusto. Inoltre una delle regole cardine di Canonical è quella di utilizzare hardware certificato che si uniformi ai sistemi Ubuntu. Ciò significa che è presente una perfetta simbiosi tra hardware e software.

Come abbiamo visto, le alternative non mancano, quindi se anche tu sei interessato e vuoi esplorare le soluzione open source con il quale desideri costruire la tua infrastruttura, un team di esperti può aiutarti in tale valutazione e nel trovare la giusta soluzione per pianificare le tue attività di migrazione. Nei prossimi mesi, approfondiremo alcuni di questi argomenti ed esploreremo specifici scenari che saranno d'aiuto all'intera comunità.

Fonte: ubuntu.com

Riflessioni sull'Ubuntu Summit 2022

Prima di tutto, un grande grazie per chi ha partecipato e ha reso l' Ubuntu Summit un evento di enorme successo! Questa conferenza aveva lo scopo di riunire la più ampia comunità open source per condividere esperienze, idee e ispirare futuri entusiasmanti progetti. A tal proposito, la missione è andata a buon fine. Dopo un'ottima apertura di Philipp Kewisch (Community Leader) e Mark Shuttleworth (CEO di Canonical), è iniziata la routine della conferenza (cinque tracce di conversazione e due tracce di workshop) affettuosamente familiare, completa di caffè e snack. C'è stata un'elevata partecipazione e impegno su tutta la linea, il che ha reso l'atmosfera energizzante. Tutti i discorsi e i workshop sono stati meravigliosi e hanno lasciato al pubblico una sensazione di motivazione e passione e, con gentile concessione di un fotografo professionista, Stanislav Milata, vi diamo la possibilità di visionare alcune delle belle foto dell'Ubuntu Summit a Praga.

Fonte: ubuntu.com

Embedded Linux: Yocto oppure Ubuntu Core?

Le aziende da qualche anno a questa parte si stanno buttando a capofitto e senza risparmio di energie nel passaggio all'embedded. I produttori di dispositivi di tutto il mondo stanno correndo per costruire dispositivi integrati e connessi, che manterranno la promessa della quarta rivoluzione industriale. Tuttavia, mantenere aggiornati i dispositivi sul campo è un lavoro a tempo pieno, che richiede team di ingegneri che lavorano costantemente al kernel. Ed è qui che i produttori di dispositivi devono decidere se implementare un sistema operativo supportato commercialmente oppure affidarsi alla propria distribuzione Linux embedded. E che distribuzione Linux embedded scegliere: Yocto o Ubuntu Core? Per gli addetti al lavoro, è risaputo che il progetto Yocto, spesso scelto per la prototipazione rapida e lo sviluppo rapido, consente agli sviluppatori di creare distribuzioni incorporate personalizzate. Ma spesso le aziende trovano gravoso mantenere tutto da sole e preferiscono concentrarsi su ciò che guida la loro attività reindirizzando le risorse verso attività fondamentali a valore aggiunto. Mentre, Ubuntu Core, la distribuzione embedded firmata Canonical, rappresenta una valida e buona alternativa per coloro che vogliono semplificare il processo. Accelera il time-to-market e fornisce la manutenzione della sicurezza a lungo termine, rendendolo una scelta convincente per gli imprenditori e le imprese. A tal proposito, Canonical fornisce gratuitamente un white paper con cui esegue una valutazione approfondita tra Yocto e Ubuntu Core, analizzando i seguenti punti:

  • Le sfide della gestione dell'IoT e dei dispositivi perimetrali su larga scala;
  • I principali pilastri della sicurezza prima di passare alla produzione con Linux embedded;
  • La proposta di valore e i punti deboli di Yocto e Ubuntu Core;
  • Le differenze di architettura tra Yocto e Ubuntu Core;
  • Un confronto tecnico tra Yocto e Ubuntu Core;

In questo ampio manuale sulla scelta di una distribuzione Linux embedded, confronteremo direttamente Yocto e Ubuntu Core sulle sfide più urgenti che ogni sviluppatore che lavora su un dispositivo embedded deve affrontare: installazione della scheda, manutenzione, aggiornamenti, sicurezza e molto altro.

Fonte: ubuntu.com

Notizie dal Mondo

Arrivano le cuffie PineBuds Pro

L'azienda Pine64 non si ferma con l'innovazione e, porta per tutti gli appassionati di audio che apprezzano lo sviluppo del software open source, le PineBuds Pro, tanto per capirci un paio di auricolari in-ear Bluetooth. Le cuffie offrono il passaggio del suono ambientale (noto anche come "modalità trasparenza"), fino a 45 dB di cancellazione attiva del rumore (ANC), una durata della batteria pari a 5 ore e superfici di controllo tattili. Come con altri prodotti Pine64, il lato "software" è uno sforzo guidato dalla comunità che rimane un work-in-progress. Che è un modo educato per dire: pensaci due volte prima di acquistare un paio di PineBuds Pro per i tuoi genitori! Aspetto ancora più entusiasmante per coloro che apprezzano l'hardware all'interno del cofano è che sono totalmente hackerabili! Ed è grazie a questi sforzi che è possibile utilizzare un firmware creato dalla comunità e che offre nuove funzionalità e sblocca tutte le capacità dell'hardware. Il PineBuds Pro Wiki contiene schede tecniche, schemi, collegamenti agli SDK e altre informazioni interessanti. Ascolta il tuo cuore, perché Pine64 li rende disponibili a un "prezzo comunitario" scontato di soli 69 $, escluse le spese di spedizione. Il normale prezzo al dettaglio per il momento è fissato a 99 $.

Fonte: omglinux.com

Ecco i risultati di alcune analisi su immagini dannose di Docker Hub

Stando a una attenta e recente analisi svolta da Sysdig Threat Research su oltre 250.000 immagini container su Docker Hub, la situazione appare disastrosa, perché, come volevasi dimostrare, magicamente si è aperto il vaso di pandora e ci si è accorti che migliaia di immagini sono il veicolo con cui si diffondono i malware all'interno dei sistemi. Ma andiamo con ordine, per chi non lo sapesse, Docker Hub è il registro container pubblico e gratuito più popolare al mondo e ospita immagini di container prefabbricate, che offrono il grande vantaggio di avere tutto il software richiesto installato e configurato in un attimo. Questa metodologia permette agli sviluppatori di sfruttare questi contenitori e risparmiare una notevole quantità di tempo e fatica nella gestione della configurazione. Parallelamente, gli aggressori comprendono questi vantaggi e possono creare immagini con payload dannosi integrati. A questo punto, un utente eseguirà il comando docker pull <image> e farà funzionare il contenitore in un attimo. Le configurazioni errate o il malware dell'attaccante sono ora installati sul computer dell'utente o su un'istanza cloud in cui l'utente sta distribuendo i propri carichi di lavoro. Il download e l'installazione tramite Docker Hub risulta in questo modo opaco, perché costringe gli utenti devono ispezionare il Dockerfile prima del download e assicurarsi che la fonte che rilascia il container sia legittima e che l'immagine sia pulita.

Tutto ciò non è nuovo agli occhi degli esperti di sicurezza informatica, infatti l'estrema popolarità di Docker ha fatto sì che venisse preso di mira dai malviventi e che venisse utilizzato per fini malevoli. Basti pensare agli attacchi alla catena di approvvigionamento (l'attacco del 2020 contro il software di sicurezza SolarWinds è uno degli esempi recenti e più popolari di questa tecnica, in cui gli aggressori hanno nascosto backdoor nel prodotto stesso), che per la cronaca non sono nuovi, ma lo scorso anno hanno ricevuto molta più attenzione a causa delle vulnerabilità di alto profilo nelle varie dipendenze popolari, in cui il codice sorgente di una dipendenza o di un prodotto viene modificato da un attore malintenzionato per compromettere chiunque lo utilizzi nel proprio sistema. Le dipendenze del codice sorgente non sono l'unico vettore di attacco che può essere utilizzato per condurre un'operazione offensiva della supply chain. Anche i container sono diventati un vettore di attacco estremamente popolare negli ultimi anni, poiché le immagini del contenitore sono progettate per essere portatili, versatili e facile da condividere.

Numeri alla mano, è facile notare come la situazione sia variopinta, balzano all'occhio le immagini di cryptomining (tra le più comuni), come quelle di "embedded secrets", ovvero quelle che incorporano una chiave SSH o una chiave API. C'è davvero l'imbarazzo della scelta. Ma ora ci si domanda: è possibile prendere qualche precauzione a riguardo? Sono interessati anche altri servizi di distribuzione? C'è prima di tutto da dire che gran parte del software utilizzato oggi dipende da numerose quantità di altri pacchetti software. L'origine di queste dipendenze è estremamente varia, alcune sono prodotte e supportate da grandi aziende, mentre altre sono sviluppate da terze parti (sconosciute), che potrebbero non supportare più i loro progetti. Questa nozione di condivisione del codice si è diffusa anche nei container, per cui le persone possono condividere facilmente le loro creazioni basate su container su siti come Docker Hub. Ciò ha reso molto semplice testare e distribuire intere piattaforme, ma ha anche aumentato il rischio di utilizzare qualcosa di dannoso. Gli attori delle minacce stanno inserendo malware in contenitori condivisi, sperando che gli utenti li scarichino e li eseguano sulla loro infrastruttura. Il malware installato può essere qualsiasi cosa, dai cryptominer alle backdoor agli strumenti che filtrano automaticamente i dati. Quindi ora, come non mai, è di fondamentale importanza comprendere e monitorare ciò che accade nei propri ambienti e installare solo ed esclusivamente container (ma ciò vale anche per i software) che provengano da fonti sicure e certificate, quindi eventualmente scaricabile direttamente dai canali ufficiali.

Fonte: sysdig.com

ClamAV arriva alla versione 1.0

Chi ha detto che non esistono antivirus sulle distribuzioni GNU/Linux? E chi ha detto che non dovresti usarne uno per eseguire un controllo ogni tanto, soprattutto se lavori con file Windows? Per chi non lo sapesse, su Ubuntu (ma su qualsiasi ambiente GNU/Linux) puoi eseguire l'antivirus open source ClamAV, un'app dedicata al rilevamento di trojan, virus, malware e altre minacce dannose. ClamAV è disponibile per tutti i sistemi Windows, macOS, BSD e Linux, rendendolo particolarmente adatto a coloro che lavorano regolarmente su più piattaforme e desiderano un certo grado di familiarità e flessibilità. La prima versione di ClamAV, sviluppata dalla società tecnologica statunitense Cisco e dalla comunità open source, è stata rilasciata nel lontano 2002. Da allora è stata mantenuta attivamente, con frequenti aggiornamenti per affrontare le minacce emergenti e adattarsi alle nuove tecnologie. Ora, dopo quasi 20 anni, è arrivato finalmente la disponibilità della versione 1.0 di ClamAV. Questa è una versione di supporto a lungo termine, che, sulla base dell'ampio registro delle modifiche pubblicato sul blog, presenta una tonnellata di miglioramenti che si addicono a una versione cardine come questa. Ciò include il supporto per la decrittografia di file XLS basati su OLE2 di sola lettura; una nuova API che richiede l'ispezione del contenuto del file durante una scansione a ogni livello di estrazione dell'archivio, ci sono anche controlli per limitare la ricorsione dell'estrazione di oggetti PDF; aumento del limite per le allocazioni di memoria, messaggio di avviso quando viene raggiunto il limite di allocazioni di memoria e tanto altro. Detto questo, puoi scaricare l'ultima versione di ClamAV per le distribuzioni Windows, macOS, Linux (anche come file di installazione .deb) direttamente dalla pagina del progetto ClamAV. In alternativa, potresti essere in grado di installare una versione precedente di ClamAV tramite i repository della tua distribuzione.

Fonte: omgubuntu.co.uk

Aggiornamenti e statistiche

Aggiornamenti di sicurezza

Gli annunci di sicurezza sono consultabili nell'apposita sezione del forum.

Bug riportati

  • Aperti: 140771, +13 rispetto alla scorsa settimana.

  • Critici: 314, −1 rispetto alla scorsa settimana.

  • Nuovi: 70434, −1 rispetto alla scorsa settimana.

È possibile aiutare a migliorare Ubuntu, riportando problemi o malfunzionamenti. Se si desidera collaborare ulteriormente, la Bug Squad ha sempre bisogno di una mano.

Statistiche del gruppo sviluppo

Segue la lista dei pacchetti realizzati dal GruppoSviluppo della comunità italiana nell'ultima settimana:

Mattia Rizzolo

Se si vuole contribuire allo sviluppo di Ubuntu correggendo bug, aggiornando i pacchetti nei repository, ecc... il gruppo sviluppo è sempre alla ricerca di nuovi volontari.

Commenti e informazioni

"Noi siamo ciò che siamo per merito di ciò che siamo tutti"
La tua newsletter preferita è scritta grazie al contributo libero e volontario della comunità ubuntu-it. Per metterti in contatto con il Gruppo Social Media o se vuoi contribuire alla redazione di articoli per la Newsletter, puoi scrivere alla mailing list del gruppo promozione.

In questo numero ha partecipato alla redazione degli articoli:

Hanno inoltre collaborato all'edizione:

Licenza adottata

La newsletter italiana di Ubuntu è pubblicata sotto la licenza Creative Commons Attribution-ShareAlike 4.0.

Uscite settimanali

Per ricevere la newsletter direttamente nella tua casella di posta, cambiare le impostazioni di ricezione o annullare la tua iscrizione alla newsletter, consulta questa pagina.
Per tutti i numeri usciti della newsletter, consulta la nostra edicola.

Scrivi per la newsletter

La Newsletter Ubuntu-it ha lo scopo di tenere aggiornati tutti gli utenti Ubuntu e, più in generale, le persone appassionate del mondo open-source. Viene resa disponibile gratuitamente con cadenza settimanale ogni Lunedì, ed è aperta al contributo di tutti gli utenti che vogliono partecipare con un proprio articolo. L’autore dell’articolo troverà tutte le raccomandazioni e istruzioni dettagliate all’interno della pagina Linee Guida, dove inoltre sono messi a disposizione per tutti gli utenti una serie di indirizzi web che offrono notizie riguardanti le principali novità su Ubuntu e sulla comunità internazionale, tutte le informazioni sulle attività della comunità italiana, le notizie sul software libero dall’Italia e dal mondo. Per chiunque fosse interessato a collaborare con la newsletter Ubuntu-it a titolo di redattore o grafico, può scrivere alla mailing list del gruppo promozione oppure sul canale IRC: ubuntu-it-promo. Fornire il tuo contributo a questa iniziativa come membro, e non solo come semplice utente, è un presupposto fondamentale per aiutare la diffusione di Ubuntu anche nel nostro Paese. Per rimanere in contatto con noi, puoi seguirci su:

CategoryComunitaNewsletter CategoryComunitaPromozione