Tag: Bug

SpringShell, vulnerabilità confermata

Da circa 48 ore si prospettava una possibile vulnerabilità sul framework Spring, poi confermata da Praetorian e ritrattata anche in altri popolari blog. La vulnerabilità in questione è relativa a spring-core, componente largamente usato nelle applicazioni Java >9 e la causa, come in molti bug simili, risiede nella deserializzazione. Alla data del presente articolo, è…
Read more

Linux corregge i bug più velocemente di tutti. Parola di Google!

Nell’ormai lontano 2014, Google avviò un programma dedicato alla ricerca di vulnerabilità zero-day, ovvero già diffuse e sfruttabili – pertanto da chiudere il prima possibile. Quello sforzo prese il nome di “Project Zero”, e tutt’ora è una delle fonti più autorevoli per l’individuazione di bug di sicurezza. E infatti, ci capita di citarlo spesso. Questa…
Read more

Un bug di Polkit mette a rischio la sicurezza delle maggiori distribuzioni Linux.

Martedì è stata un’altra doccia fredda per i team di sicurezza. Dopo aver visto un 2021 tutt’altro che noioso sotto questo punto di vista, ecco una nuova vulnerabilità rimasta silente per ben 12 anni e che ha impattato tutte le maggiori distribuzioni Linux: CVE-2021-4034, chiamata PwnKit. PwnKit, riguarda nel dettaglio il programma pkexec, facente parte…
Read more

Quando la soluzione di un bug ne crea un altro: il caso di Linux glibc

Fa specie pensare che una, se non “la”, componente fondamentale per Linux, glibc (“The GNU C Library”), sia stata creata nel 1988, quindi più di trentanni fa. Citiamo la data di nascita perché, a dispetto di quel che si potrebbe credere, lo sviluppo delle librerie definite core dei sistemi GNU e GNU/Linux non si è…
Read more

Google annuncia una nuova piattaforma bug bounty

Google ha annunciato una nuova piattaforma bug bounty in occasione del decimo anniversario del suo Vulnerability Rewards Program (VRP). IIl programma ha portato alla scoperta di 11.055 bug, 2.022 ricercatori premiati e quasi 30 milioni di dollari in premi distribuiti. Jan Keller, direttore tecnico del programma VRP di Google, ha detto che in onore del…
Read more

Un nuovo bug di systemd consente con facilità di mandare i sistemi Linux in Kernel Panic

Il team di ricerca di Qualys ha scoperto una nuova vulnerabilità di tipo denial-of-service (precisamente stack exhaustion) in systemd, il sistema di init della quasi totalità delle distribuzioni Linux di classe enterprise presenti sul mercato. La cosa fastidiosa di questo bug è che qualsiasi utente senza privilegi può sfruttare la vulnerabilità per mandare in crash…
Read more

Microsoft al lavoro per implementare eBPF su Windows, ma sarà bene guardarsi dai bug!

eBPF, acronimo di Extended Berkeley Packet Filter, è una tecnologia (basata appunto su BPF) che permette di eseguire software all’interno di una sandbox, senza bisogno di modificare il Kernel o caricare moduli aggiuntivi, tramite una compilazione just-in-time. BPF è già ampiamente utilizzato da Netflix e Facebook principalmente per analisi del traffico, packet filtering e load…
Read more

Canonical ha rilasciato Ubuntu 21.04 «Hirsute Hippo», vediamo novità e bug (in fase di aggiornamento)

Canonical poco fa ha rilasciato Ubuntu 21.04 “Hirsute Hippo”, l’integrazione nativa di Microsoft Active Directory e l’ambiente grafico Wayland predefinito sono solo due delle numerose novità presenti nella nuova release del sistema operativo dell’azienda di Shuttleworth. Infatti, Canonical e Microsoft hanno annunciato l’ottimizzazione delle prestazioni di Microsoft SQL Server e il supporto congiunto del prodotto,…
Read more

Il Kernel Linux 5.12, la trasparenza ed il bug della swap

Tendenzialmente, grazie all’attenzione molto alta degli ultimi tempi e forse grazie a qualche mossa ben studiata da parte di grandi attori della scena Linux, il nostro sistema è tutto sommato abbastanza sicuro. Certo, non è più un sistema “usato da pochi” e quindi meno nel mirino di attaccanti, ma facendo le cose con attenzione possiamo…
Read more

Tre vecchi gravi bug nel Kernel Linux finalmente risolti

Given enough eyeballs, all bugs are shallow Dati abbastanza occhi, tutti i bug sono superficiali Questa citazione di Eric Raymond fa pensare che, in effetti, non ci siano sufficienti occhi a cercare bug nel Kernel Linux, soprattutto se consideriamo che i tre scoperti e risolti recentemente risalgono al 2006. In questi giorni il ricercatore Adam…
Read more