Search Results for “heartbleed”

OpenBSD risponde all’HeartBleed bug con LibreSSL

Il progetto OpenSSL, che ha prodotto le librerie crittografiche più usate al mondo, è stato preso d’assalto da due settimane dopo la dichiarazione pubblica della presenza di una vulnerabilità molto grave, l’HeartBleed bug. La comunità open source intera è divisa tra chi vorrebbe mantenere valido il lavoro fatto finora e chi invece vorrebbe ripartire da…
Read more

Saturday’s Talks: Log4Shell starà con noi per molto tempo, è bene prepararsi

Non è solo perché lo dicono tutti (ne parla ad esempio TheNewStack), ma chiunque abbia a che fare con applicazioni web su Java lo ha già capito: Log4Shell, la vulnerabilità 0-day della componente Java log4j, costituirà una spina nel fianco per molto, molto tempo. Non è certamente niente di banale, lo abbiamo già detto, in…
Read more

Mozilla vuole pagare le analisi di vulnerabilità per l’OpenSource

Mozilla, l’azienda che sta dietro uno dei browser più noti del panorama OpenSource, Firefox, così come tanti altri software, ha lanciato una campagna di fondi che mira a dare agli sviluppatori di software OpenSource i soldi necessari a fare serie analisi di sicurezza sui loro software. Il SOS (Secure Open Source) Fund farà parte del…
Read more

Handshake Failure – Help me !

I dati che attraversano una rete possono essere intercettati da parte di terzi non autorizzati. La necessità di mantenere una comunicazione confidenziale è uno scenario molto importante, specialmente quando i dati da trasmettere sono dati sensibili come password, dati della carta di credito, informazioni bancarie. Tale esigenza ha reso necessario l’impiego di opportune tecnologie come…
Read more

Venom: fuggire dalla virtual machine con un floppy avvelenato

Exploit che compromettono l’host partendo da bug nella guest machine, in ambienti virtualizzati, ce ne sono da qualche anno, anche disponibili in quel magnifico framework che è Metasploit. Recentemente CrowdStrike ha scoperto un bug che affligge un driver, apparentemente innocuo, presente in determinati  ambienti virtualizzati: il driver per la gestione del vetusto floppy disk. Lo sfruttamento del…
Read more

Nuova vulnerabilità in OpenSSL, è di nuovo tempo di patch!

OpenSSL è, purtroppo, di nuovo nell’occhio del ciclone. Come infatti segnalato da Phoronix, OpenBSD Journal, Seclist e dal sito di OpenSSL stesso sono emerse quattro nuove vulnerabilità che corrispondono a quattro nuovi CVE (Common Vulnerabilities and Exposures): CVE-2015-0209 – Use After Free following d2i_ECPrivatekey error CVE-2015-0286 – Segmentation fault in ASN1_TYPE_cmp CVE-2015-0287 – ASN.1 structure…
Read more

Linux e Open Source: I punti caldi del 2014

Il 2014 volge al termine, e come ogni momento conclusivo pare giusto analizzare quali sono stati i momenti caldi di Linux e del mondo OpenSource. Ecco quindi il 2014 visto su miamammausalinux.org: Heartbleed Heartbleed, un bug in OpenSSL che ha colpito centinaia di milioni di siti web. Una versione corretta di OpenSSL è stata rilasciata…
Read more

Privacy a rischio: OpenSSL ancora vulnerabile

Le disgrazie quando arrivano, arrivano tutte insieme: dopo aver discusso il problema rilevato su GnuTLS martedì, ieri OpenSSL è caduto ancora preda di una vulnerabilità! Un problema nel codice di oltre 10 anni fa è stato rilevato solo ora; di nuovo sembra di essere in caso simile a Heartbleed, capitolo 2, in cui quella che…
Read more

Rilasciata Debian Wheezy 7.5

Come le precedenti versioni di manutenzione di Wheezy, anche la versione 7.5 è parte della milestone 7 ed è stata rilasciata ufficialmente e resa disponibile per il download. L’annuncio della release è stato fatto sabato scorso nelle news di Debian e contiene la lista completa dei fix inclusi in questa nuova versione. A mio parere…
Read more

Mozilla apre un programma di bug bounty per TLS su Firefox

Mozilla, nella persona di  Daniel Veditz, ha annunciato pochi giorni fa tramite un post sul blog Mozilla Security il via ad un bug bounty program: l’iniziativa mette in palio 10.000 $ a chi sarà in grado di trovare una falla di sicurezza nella nuova libreria TLS prodotta da Mozilla e che sarà inclusa nella prossima…
Read more