Red Hat не хочет латать RHEL
Компания Red Hat, подконтрольная IBM и сбежавшая из России, не желает устранять уязвимости в своем Linux-дистрибутиве CentOS Stream, – латки для этих «дыр» были подготовлены разработчиками форка оригинальной CentOS. Аналогичная брешь, найденная ими, зияет и в Red Hat Enterprise Linux (RHEL), и она не устраняется, вероятно, по той же причине.
Разработчики дистрибутива Alma Linux нашли и устранили в пакете iperf3 уязвимость с индексом CVE-2023-38403 и отправили в Red Hat соответствующий патч. Однако компания заявила, что не примет его – притом официальная причина отказа заключается в том, что найденная брешь якобы не является важной. Отказавший в интеграции патча сотрудник Red Hat напомнил о существующем в компании правиле, допускающем устранять только критические бреши, коим не замедлил воспользоваться.
За Alma Linux стоит компания Cloudlinux. Ее основатель – выходец из Украины Игорь Селецкий. На момент выхода материала он проживал в Сан-Франциско (США), согласно его профилю в заблокированной в России соцсети LinkedIn.
Отказ без адекватной причины
Эксперты Red Hat заявили, что «дыра» CVE-2023-38403 не является критической, и потому не приняли из рук Alma Linux патч для ее устранения. Со стороны это выглядит довольно странно, поскольку им нужно было всего лишь внедрить уже готовое и протестированное обновление в систему без самостоятельного написания кода. Притом это обновление сделало бы систему (вернее, даже две системы – Cent OS Stream и RHEL) безопаснее.
На деле едва ли CVE-2023-38403 можно считать незначительной уязвимостью. Ее эксплуатация злоумышленником может привести к повреждению памяти, а поскольку iperf3 в силу своей функциональности (это тестер сетевой производительности) имеет клиент-серверную модель, то жертвой хакеров может стать как сервер, так и подключенные к нему клиенты.
Переобуться в полете
Представители Red Hat раскрыли и дополнительные причины отказа принимать патч от создателей Alma Linux. По их словам, только лишь самого факта наличия апдейта недостаточно – перед инъекцией его в RHEL или Cent OS Stream он должен пройти всестороннее тестирование на соответствие требуемому уровню качества и на отсутствие у него негативного влияния на операционную систему.
Через некоторое время инженеры Red Hat вдруг совершенно неожиданно изменили свое отношение к уязвимости CVE-2023-38403. Они внезапно признали ее важной и оперативно приняли патч от авторов Alma Linux, который столь же внезапно прошел все тесты на совместимость и контроль качества. Что именно заставило их так быстро изменить свою точку зрения на полностью противоположную, они уточнять не стали.
Лень или неприязнь
Нельзя исключать, что нежелание экспертов принимать патч от команды разработчиков Alma Linux связано с тем, как в целом появилась эта команда, и что представляет из себя их детище. Компания Red Hat годами развивала дистрибутив CentOS, вокруг которого с течением времени образовалось крупное сообщество пользователей и разработчиков. В конце 2020 г. ее развитие было прекращено, что очень не понравилось комьюнити, но на этом Red Hat не остановилась.
Вместо CentOS она стала развивать CentOS Stream – непрерывно обновляемую ОС, превратившуюся из полноценного дистрибутива в тестовый полигон для будущих апдейтов RHEL. Другими словами, это отныне всего-навсего бета-версия RHEL, о стабильной работе которой речи теперь нет, а все пользователи CentOS Stream поневоле записаны в ряды бета-тестеров.
Такое отношение Red Hat к сообществу вынудило отдельных ее представителей начать разработку собственных дистрибутивов. Например, в начале 2021 г. была основана компания Cloudlinux, главный проект которой – это ОС Alma Linux, ответвление CentOS. Зашкаливающий градус недовольства комьюнити решением Red Hat наглядно подтверждает и начало разработки другого дистрибутива – Rocky Linux, еще одного форка CentOS. За ним стоит компания Ctrl IQ, основатель которой – сам Грегори Курцер (Gregory Kurtzer), создатель оригинальной CentOS.
У Red Hat свой путь
Тот факт, что ключевые представители сообщества CentOS стали делать свои дистрибутивы, совершенно не насторожило Red Hat. Компания не только не сбавила обороты, а, наоборот, усилила давление на комьюнити. Так, летом 2023 г. она отлучила бесплатных пользователей CentOS Stream и RHEL от исходного кода последней, найдя лазейку в лицензии GPL, тем самым вызвав на себя новую волну негатива.
Одним из последствий столь непопулярного решения стало желание очень крупного разработчика дистрибутивов Linux оперативно разработать новую ОС, совместимую с RHEL. Этот разработчик – немецкая компания SUSE, автор одноименного дистрибутива. О своем намерении SUSE заявила в середине июля 2023 г.