Il 12 agosto è stata scoperta una grave falla di sicurezza nel sistema di reset delle password utilizzato in tutte le versioni del ramo 1.5 di Joomla. Nonostante la correzione sia arrivata a distanza di poche ore dall’individuazione del problema, la quantità di siti bucati sfruttando questa vulnerabilità continua a salire di ora in ora, probabilmente anche grazie alla semplicità con cui è possibile sferrare l’attacco.
File ed istruzioni per l’aggiornamento sono ovviamente disponibili sul sito ufficiale (vittima di un defacement nella giornata di ieri).
PHP 4 è finalmente giunto alla fine della sua lunga vita: con il rilascio della versione 4.4.9 termina infatti il supporto ufficiale ad una piattaforma considerata stabile sin dal 2000 e superata da PHP 5 nel lontano 2004.
Coloro che non fossero in grado di migrare le proprie applicazioni all’attuale versione di stabile di PHP possono continuare a dormire (più o meno) tranquillamente ancora per un po’: il celebre esperto di sicurezza Stefan Esser continuerà infatti a fornire security patch per PHP 4 attraverso il progetto Suhosin .
Una vittoria per l’iniziativa Go PHP5?
via | Slashdot
Chi sono gli utenti più diligenti nel mantenere aggiornato il proprio browser? Un recente studio segnalato da Slashdot assegna questo primato agli utenti Firefox (l’83,3% utilizza la versione più recente), nonostante vada comunque considerato che il 16,7% continua ad accedere al web utilizzando una versione non più aggiornata.
A seguire troviamo gli utenti di Safari tenendo conto del fatto che il 65,3% di loro è passato alla versione 3 del browser di casa Apple non appena questo è stato rilasciato. Gli ultimi in classifica? Gli utilizzatori di Internet Explorer: solo il 47,6% utilizza IE 7 mentre i restanti sono divisi tra IE 6, IE 5.5 e IE 5.
Merito della funzione di auto-aggiornamento dei prodotti di Mozilla o della diligenza degli utenti?
Nella giornata di ieri è stato rilasciato Firefox 3.0.1, prima versione di manutenzione per il ramo 3.0.x. Gli sviluppatori di Mozilla hanno corretto tre vulnerabilità: una falla che, combinata con un problema di Safari, permette la lettura dati dal disco fisso o l’esecuzione di codice, un overflow relativo al CSS reference counter (con conseguente esecuzione di codice remoto) ed un bug riguardante il rendering di immagini GIF (solo su Mac, però).
Mozilla invita ovviamente ad effettuare al più presto l’aggiornamento del proprio browser.
via | Slashdot
Inarrestabile Google: dopo Browser Sync e Protocol Buffer, Big-G ha aperto i sorgenti di Ratproxy, un web security tool passivo sviluppato ed utilizzato internamente dall’azienda.
Questo strumento è progettato per analizzare in maniera trasparente traffico verso un’applicazione web ed (automaticamente) individuare, annotare e valutare potenziali difetti o criticità in termini di sicurezza.
Ratproxy analizza problemi come cross-site script, insufficienti difese contro attacchi cross-site request forgery, problemi relativi alla cache, inclusioni di codice cross-domain, rivelazione di informazioni e molto altro.
Continua a leggere: Ratproxy: web security tool targato Google
Correggere vulnerabilità di tipo “directory traversal” nella propria applicazione web, mostrare al collega che il codice da lui scritto può essere bucato attraverso una “local file inclusion” o sfruttare i file .htaccess per aumentare la sicurezza del vostro server LAMP sono alcune delle attività che vorreste svolgere nei mesi più caldi dell’anno? Allora non lasciatevi perdere l’uscita estiva di Hakin9…
Numero doppio (luglio ed agosto) su cui troviamo, oltre ai pezzi FOSS-friendly già citati, anche un ottimo articolo dedicato alle botnet. Gli interessati possono dare un occhio all’elenco completo, disponibile dopo il salto.
Puntuale come ogni mese è disponibile nelle edicole il nuovo numero di Hakin9. Prima che qualcuno se lo chieda, do subito la risposta: sì, sembra che le critiche mosse alla correttezza linguistica degli articoli abbiano portato ad un miglioramento della qualità degli articoli, anche grazie alla decisione di spingere sempre di più su produzioni nostrane.
Numero particolarmente amichevole nei confronti del software libero quello di giugno: troviamo infatti un pezzo sui modelli di sicurezza adottati da Qtopia (con un accenno a quelli di Android), un articolo sullo shellcoding in ambiente Linux, un tutorial sulla messa in sicurezza della propria rete tramite l’utilizzo di pf (per la gioia degli utenti di OpenBSD) e Snort, una panoramica su Adobe Flex e, anche se la versione più recente è proprietaria, anche un accenno all’utilizzo di Nessus nell’ambito dell’analisi dei rischi (a cui è dedicata la copertina).
Buona lettura!
Coverity ha pubblicato l’edizione 2008 del suo Open Source Report. Si tratta del risultato dell’ispezione annuale che l’US Department of Homeland Security commissiona a Coverity nell’ambito dell’Open Source Hardening Project, progetto che mira a monitorare (e migliorare) la qualità del codice scritto dalla comunità del software libero attraverso l’utilizzo di strumenti di analisi statica del codice C, C++ e Java.
In linea generale possiamo affermare che, rispetto gli anni precedenti, la qualità e la sicurezza del software aperto sono migliorate, tanto che è stata rilevata una riduzione del 16% degli errori individuabili tramite l’analisi statica del codice: se i dati del 2006 indicavano infatti un bug ogni 3333 linee di codice, quelli del 2008 suggeriscono un rapporto 1 a 4000 tra i bug e le righe di codice.
Alcuni progetti hanno eliminato del tutto i bug individuabili tramite l’analisi statica del codice: tra questi figurano courier-maildir, curl, libvorbis e vim, ognuno dei quali consiste di 50000 o più linee di codice.
via | OSNews
Torniamo a parlare di Hakin9 in occasione del rilascio del numero di maggio, su cui fanno bella mostra di sé, oltre alla rinnovata veste grafica, anche due articoli che non mancheranno di stimolare l’appetito degli utenti di sistemi liberi: il primo (a cui è dedicata anche la copertina) si concentra su tutti i possibili utilizzi di GNU Privacy Guard mentre il secondo illustra le tecniche di anomaly detection tramite l’utilizzo per ntop ed ourmon.
L’elenco completo di tutti gli articoli presenti in questo numero è disponibile sul sito della rivista.
X è il cuore dell’interfaccia grafica di buona parte (tutti?) i sistemi operativi unix-like e nonostante le critiche che gli vengono spesso mosse questo componente ha resistito indisturbato al passare del tempo, anche grazie alle novità che di volta in volta vengono introdotte dagli sviluppatori. Qualche settimana fa si era parlato del kernel modesetting, oggi invece dobbiamo segnalare qualcosa di meno “appariscente” ma altrettanto importante: la possibilità di eseguire il server X senza i privilegi di super-user.
L’autore dell’impresa è lo sviluppatore David Airlie che, modificando circa 300 righe tra xserver e driver intel, è riuscito ad eseguire l’X server come normale utente: nonostante la stabilità non sia eccelsa ci troviamo di fronte ad una novità radicale, che migliorerà la sicurezza di un componente fondamentale dei desktop unix-like.
Rimane solo da capire quanto tempo sarà necessario per introdurre questa funzionalità nel ramo principale di X e per riscrivere i driver video affinché ne sfruttino le potenzialità.
via | OSNews
Linux viene spesso descritto come un sistema operativo sicuro e solido, sottolineando il fatto che queste caratteristiche siano il frutto del lavoro di centinaia di sviluppatori sparsi per il mondo. Parte di questo risultato va però attribuito anche alla NSA, nota agenzia statunitense che qualche anno fa ha deciso di migliorare la sicurezza del pinguino creando un’insieme di patch chiamate Security-Enhanced Linux (SELinux).
Nonostante SELinux faccia ormai parte del kernel ufficiale e diverse distribuzioni lo offrano, già configurato, ai loro utenti, il suo funzionamento o le sue componenti possono risultare oscure anche agli utenti più smaliziati. Se l’argomento stimola il vostro interesse e vorreste colmare questa lacuna, vi consigliamo la lettura di questo articolo pubblicato su IBM DeveloperWorks, che analizza le idee alla base di SELinux e la loro implementazione.
In tema di pacchettizzazione possiamo distinguere le distribuzioni che preferiscono lasciare inalterati i pacchetti da quelle che optano per una personalizzazione massiccia degli stessi. La personalizzazione dei sorgenti non è di per sé un problema ma, quando la modifica introduce una grave vulnerabilità, gli effetti di tale decisione ricadono anche su tutte le distribuzioni derivate.
Questo è quanto accaduto al pacchetto openssl in Debian, modificato da uno sviluppatore per correggere un errore riscontrato durante l’analisi con Valgrind. Peccato che la modifica abbia reso vulnerabili tutte le chiavi crittografiche generate su un’installazione di Debian Etch (e derivate).
A seguire, le conseguenze in dettaglio e le soluzioni al problema.
Seguici
ossblog è un supplemento alla testata Blogo.it registrata presso il Tribunale di Milano n. 487/06, P. IVA 04699900967. Contatti, Chi siamo, Condizioni di utilizzo, Privacy.
© 2004-2012 Blogo.it, alcuni diritti riservati sotto licenza Creative Commons.
Per informazioni pubblicitarie e progetti speciali su Ossblog.it contattare la concessionaria esclusiva Populis Engage.
