Secondo quanto riportato da Pc World non ancora tutte le distribuzioni linux sono corse ai ripari dopo l’annuncio della vulnerabiliy di Wget che consentire di eseguire codice maligno in remoto.
Canonical e Mandriva hanno già rilasciato avvisi e patch, mentre Red Hat non l’avrebbe ancora fatto, secondo quanto riportato dal sito dell’azienda, racconta Pc World.
La vulnerabilità era stata riscontrata nella versione 1.12, ma era presente anche in quelle precedenti. Quando wget si collega a un sito per scaricare un file, il server che riceve la richiesta va alla ricerca del nome del file, che però può essere sostituito con un puntatore a un altro file che può contenere codice maligno.
A scoprire il buco erano stati i ragazzi di The OpenWall Project, che si occupano di sicurezza dei software open source. La scoperta è di circa un anno fa, ma secondo The OpenWall Project i manutentori di Wget l’avrebbero inizialmente ignorata. Attualmente la vulnerabilità è considerata di rischio medio.
ossblog è un supplemento alla testata Blogo.it registrata presso il Tribunale di Milano n. 487/06, P. IVA 04699900967. Contatti, chi siamo
© 2004-2011 Blogo.it, alcuni diritti riservati sotto licenza Creative Commons.
Per informazioni pubblicitarie e progetti speciali su Ossblog.it contattare la concessionaria esclusiva Populis Engage.
pezzo_di_medda
05 set 2010 - 08:29 - #1Per favore levate da mezzo quel “fixata” perché nel 2010 _non_ si può leggere una cosa del genere.
kurojishi
05 set 2010 - 08:59 - #2accipigna, non l’ha fissata red hat, ma canonical.
onore e gloria a shuttleworth!
no seriamente, è davvero una notizia così importante che non l’abbia fatto red hat?
stefano.roj
05 set 2010 - 10:22 - #3Ieri su Ubu c’era già l’aggiornamento! E’ una vulnerabilità a rischio medio, a me sembra faccia notizia che Red Hat non sia intervenuta. Non dimentichiamoci che si fanno pagare…
M.
05 set 2010 - 10:46 - #4Lunga vita a Canonical e Mandriva, alleluja, alleluja!
Brutta Redhat, cattiva Redhat, che non corregge bug, ahi ahi.
No, ironia a parte, ma in che modo avete riportato questa notizia? Bah.
Ultima cosa. L’italiano è una lingua ricca. E dicendo ricca intendo DANNATAMENTE ricca. Sapete, a volte è bello mostrare di avere una anche minima padronanza della lingua che parliamo ogni giorno. È importante, soprattutto se si viene pagati per scrivere.
“Vulnerability” non può essere “vulnerabilità”?
“Fixata”, non è meglio “corretta”?
Non voglio sembrare troppo stronzo, in effetti lo sono, ma in genere da piacere leggere articoli che non sembrino scritti dal traduttore di Google.
Hispa
05 set 2010 - 11:54 - #5Ma cosa ve ne frega a voi come è scritto?…pagate per leggerlo? NO…quindi non rompete sempre le palle e se non vi va bene non leggete più ossblog!
quante seghe mentali!
xoen
05 set 2010 - 14:50 - #6@Hispa ma anche se uno non paga mica vuol dire che non possano dare fastidio queste cose. L’indirizzo del sito mi sembra che sia http://www.ossblog.it, .IT.. Capisco che certi termini a poco senzo tradurli, ma “vulnerability” e “fixata” fanno ribrezzo, sopratutto il secondo che non è nemmeno inglese.
@Silvio Gulizia, non prendere queste parole nel modo sbagliato, io ti ringrazio per quest’articolo, vedile solo come una critica costruttiva.
sandro-kensan
05 set 2010 - 15:44 - #7Ho mandriva e ho appena aggiornato il mio sistema, in effetti wget era un aggiornamento insieme a una nuova versione di Thunderbird la 3.0.6.
Kim Allamandola
05 set 2010 - 22:34 - #8Per chi si stupisce della rilievo su RH: da tempo vi sono molti
che considerano RH, SuSe e loro derivate come distro “professionali”
mentre Ubuntu è “roba desktop”…
Da sistemista con un po’ di anni di esperienza posso dire che
chi negli ultimi 2/3 anni ha installato server e desktop Ubuntu
ha avuto molto meno da lamentarsi di chi usa RH, SuSe, CentOS
ecc ed ovviamente anni luce da lamentarsi in meno di chi usa
Windows ed Apple…
Il problema è che molte convinzioni sono dure a morire, specie
se pompate da chi ha interessi economici in ballo… Per questo
è un “levarsi un sassolino” far notare queste piccole cose.
SmoQ
05 set 2010 - 23:00 - #9@M. “dà”, voce del verbo dare, si scrive con l’accento.
PD
06 set 2010 - 13:38 - #10Incredibile, Canonical combina qualcosa di buono!! Anzi no, non l’hanno scoperta loro :p
Scherzi a parte, non nego che la vulnerabilità ci sia, ma chi usa wget dentro ai cron job? RedHat certamente no, ecco svelato l’arcano sul “ritardo”.
Kim Allamandola
06 set 2010 - 15:33 - #11@PD #10
Il fatto che non usi wget via cron non vuol dire che mi debba
tenere una vulnerabilità accertata. Ad ogni modo wget viene
usato in molti script in sistemi complessi sapere dove lo usi
può non essere così immediato e un
find / -type f -exec grep wget {} /dev/null
non è detto che basti…
RH/SuSe&c sono aziende che seguono il vecchio modello dello
sviluppo sw: “sino a che un tuo utente non si lamenta di un
problema ignoralo” questo sistema un po’ più estremizzato è
usato anche dalla Apple, non mi sembra una buona politica…
PD
07 set 2010 - 13:47 - #12Kim, chi usa wget dentro uno script senza controllare i server, se lo merita di essere bersagliato di continuo.
> RH/SuSe&c sono aziende che seguono il vecchio modello dello
> sviluppo sw: “sino a che un tuo utente non si lamenta di un
> problema ignoralo”
Pardon? Hai ben chiaro di chi sta parlando? Non è per fare polemica, anche perché c’è poco da polemizzare, ma prima vieni a dirci che Ubuntu è il sistema server linux per eccellenza perché quattro azienducce a conduzione familiare le usano, e poi getti fango su un’azienda che di fatto ha CREATO quasi tutto quel che c’è in linux? Su, su…