Dopo apt di Debian, anche PHP PEAR ha una vulnerabilità. Abbiamo un problema generale con i gestori di pacchetti?

Era solamente la scorsa settimana quando vi raccontavamo della vulnerabilità relativa ad apt, il package managed di tutte le distribuzioni Debian e derivate, scoperta e risolta in tempi brevissimi ed oggi siamo a parlare di una nuova vulnerabilità, stavolta relativa ad un altro package manager (PEAR) relativo ad un altro ambito (il linguaggio di programmazione PHP), che è ancora allo studio.

Il tutto è nato con questo thread Twitter:

Nel quale viene segnalato come esiste (o meglio esisteva, visto che il servizio è stato nel frattempo disabilitato) una linea che cerca di aprire una Shell in Perl verso un IP remoto.

È comunque possibile installare pacchetti PEAR utilizzando questo workaround:

Ma la questione rimane aperta: cosa succede quando un ambiente che si ritiene affidabile per antonomasia diventa insicuro? Come è possibile installare una patch quando ad esser stato compromesso è il sistema stesso di pacchettizzazione?

In entrambi i casi descritti (apt e PEAR) non paiono esserci state evidenze di violazioni delle informazioni o di sfruttamento delle vulnerabilità, ma questi due esempi potrebbero rappresentare un brusco risveglio così come lo sono stati Spectre e Meltdown nel caso delle CPU: nemmeno i sistemi di pacchettizzazione sono un luogo sicuro.

Ma lo sappiamo già vero? Rilassarsi non è cosa da informatici.