Dmitry Antipov, un desarrollador de CloudLinux, ha descubierto un importante fallo de seguridad en el formato de paquetes RPM que permite llevar a cabo un proceso de actualización o parcheo con las claves de dichos paquetes revocadas o sin existir.
El origen del fallo de seguridad descubierto en RPM está, sorprendentemente, en los inicios de su desarrollo. El formato de paquetes, que es empleado por los espectros Red Hat (RHEL, CentOS, Fedora, AlmaLinux… ), SUSE (SLED, SLES y openSUSE) y Mandriva (Mageia, OpenMandriva Lx… ), vio la luz en 1995 de la mano de los programadores Marc Ewing y Erik Troan. En aquellos años lo importante no era tanto la seguridad como el hecho de que las cosas funcionaran, así que nos encontramos con aspectos que por entonces no se consideraban muy relevantes, pero que a día de hoy son críticos.
El enfoque de priorizar el funcionamiento sobre la seguridad provocó que el autor del primer commit de RPM fuera ‘root’, así que desde el repositorio de código no se puede saber si la persona que lo hizo fue Marc Ewing o Erik Troan. Es cierto que desde hace tiempo el enfoque ha cambiado y la seguridad es ahora una prioridad innegociable, pero a mediados de los 90 del siglo pasado las cosas eran diferentes.