Come molti sanno ormai il lavoro principale di Linus Torvalds, creatore e manutentore del Kernel Linux, è quello principalmente di amministrare le merge window delle patch proposte per garantire la coerenza generale del progetto. Lo abbiamo visto poco tempo fa parlando dell’uscita del Kernel 6.3, per la quale il Dittatore Benevolo aveva raccontato di una…
Segui il link per leggere l’articolo
Con l’inizio del nuovo anno, Dustin Childs della Zero Day Initiative ha pensato bene di fare un punto sull’anno appena trascorso in termini di bug e varie problematiche di sicurezza emerse. La prima cosa sottolineata dall’autore, indicata in apertura dell’articolo, è il determinante contributo fornito dai ricercatori indipendenti, grazie ai quali ZDI è riuscita a…
Segui il link per leggere l’articolo
Vi è mai stata detta la frase “Aprimi un Bugzilla!“? Se sì, siete nell’informatica da molto tempo e potete facilmente ricordare come i termini Bug e Bugzilla siano stati per lungo tempo sinonimi. Aprire un bug in merito al (mal) funzionamento di un programma significava, nella maggioranza dei casi, collegarsi alla piattaforma Bugzilla di quel…
Segui il link per leggere l’articolo
Da circa 48 ore si prospettava una possibile vulnerabilità sul framework Spring, poi confermata da Praetorian e ritrattata anche in altri popolari blog. La vulnerabilità in questione è relativa a spring-core, componente largamente usato nelle applicazioni Java >9 e la causa, come in molti bug simili, risiede nella deserializzazione. Alla data del presente articolo, è…
Segui il link per leggere l’articolo
Nell’ormai lontano 2014, Google avviò un programma dedicato alla ricerca di vulnerabilità zero-day, ovvero già diffuse e sfruttabili – pertanto da chiudere il prima possibile. Quello sforzo prese il nome di “Project Zero”, e tutt’ora è una delle fonti più autorevoli per l’individuazione di bug di sicurezza. E infatti, ci capita di citarlo spesso. Questa…
Segui il link per leggere l’articolo
Martedì è stata un’altra doccia fredda per i team di sicurezza. Dopo aver visto un 2021 tutt’altro che noioso sotto questo punto di vista, ecco una nuova vulnerabilità rimasta silente per ben 12 anni e che ha impattato tutte le maggiori distribuzioni Linux: CVE-2021-4034, chiamata PwnKit. PwnKit, riguarda nel dettaglio il programma pkexec, facente parte…
Segui il link per leggere l’articolo
Fa specie pensare che una, se non “la”, componente fondamentale per Linux, glibc (“The GNU C Library”), sia stata creata nel 1988, quindi più di trentanni fa. Citiamo la data di nascita perché, a dispetto di quel che si potrebbe credere, lo sviluppo delle librerie definite core dei sistemi GNU e GNU/Linux non si è…
Segui il link per leggere l’articolo
Google ha annunciato una nuova piattaforma bug bounty in occasione del decimo anniversario del suo Vulnerability Rewards Program (VRP). IIl programma ha portato alla scoperta di 11.055 bug, 2.022 ricercatori premiati e quasi 30 milioni di dollari in premi distribuiti. Jan Keller, direttore tecnico del programma VRP di Google, ha detto che in onore del…
Segui il link per leggere l’articolo
Il team di ricerca di Qualys ha scoperto una nuova vulnerabilità di tipo denial-of-service (precisamente stack exhaustion) in systemd, il sistema di init della quasi totalità delle distribuzioni Linux di classe enterprise presenti sul mercato. La cosa fastidiosa di questo bug è che qualsiasi utente senza privilegi può sfruttare la vulnerabilità per mandare in crash…
Segui il link per leggere l’articolo
eBPF, acronimo di Extended Berkeley Packet Filter, è una tecnologia (basata appunto su BPF) che permette di eseguire software all’interno di una sandbox, senza bisogno di modificare il Kernel o caricare moduli aggiuntivi, tramite una compilazione just-in-time. BPF è già ampiamente utilizzato da Netflix e Facebook principalmente per analisi del traffico, packet filtering e load…
Segui il link per leggere l’articolo