Quasi a un anno di distanza da GHOST si presenta un nuovo bug, e sempre per la gestione delle risposte DNS. Non abbiamo un nomignolo per indicarlo (almeno non ancora), quindi useremo il codice che gli è stato assegnato: CVE-2015-7547. CVE-2015-7547 consiste nella possibilità di un malintenzionato di inviare ad una macchina remota codice tramite risposta DNS, e poi eseguire…
Read more
GRUB è il bootloader predefinito per molte distribuzioni linux ormai da anni: può gestire il boot di vari sistemi operativi (Windows compreso), è programmabile per avere menù, sottomenù, sfondi, caricare driver video… e può essere usato per richiedere una password per il boot di un sistema operativo. Ed è in quest’ultima funzionalità che è stato trovato un bug.…
Read more
Ieri, sul blog ufficiale di Mozilla, è stato annunciato un fix ad un bug in Firefox scoperto casualmente da un’utente, che ha provveduto ad avvisare il team: Yesterday morning, August 5, a Firefox user informed us that an advertisement on a news site in Russia was serving a Firefox exploit that searched for sensitive files…
Read more
Exploit che compromettono l’host partendo da bug nella guest machine, in ambienti virtualizzati, ce ne sono da qualche anno, anche disponibili in quel magnifico framework che è Metasploit. Recentemente CrowdStrike ha scoperto un bug che affligge un driver, apparentemente innocuo, presente in determinati ambienti virtualizzati: il driver per la gestione del vetusto floppy disk. Lo sfruttamento del…
Read more
La scorsa settimana la start-up Skycure, che si occupa di sicurezza mobile, ha annunciato una nuova vulnerabilità nella versione 8 del sistema operativo Apple iOS che potenzialmente può causare DDoS tanto gravi da rendere i dispositivi praticamente inutilizzabili. Praticamente, creando un particolare certificato SSL, un attaccante può causare un bug capace di mandare in crash la…
Read more
Se il buon giorno si vede dal mattino, per gli utenti Red Hat oggi non sarà una grande giornata. Pare che un bug (https://bugzilla.redhat.com/show_bug.cgi?id=1202858), introdotto dal pacchetto squid nell’aggiornamento fatto per la minor version Red Hat Enterprise Linux 6.7, generi un comportamento un po’ troppo aggressivo durante il restart del servizio: Bug 1202858 – restarting…
Read more
L’azienda Codenomicon, specializzata in sicurezza informatica, ha rilevato settimana scorsa un problema nella libreria crittografica open source GnuTLS; sebbene l’utilizzo di questo software non sia tanto esteso quanto OpenSSL, la libreria è presente di default in molte distribuzioni Linux (tra cui anche Red Hat) e il bug rilevato potrebbe essere sfruttato proprio lato client. Il…
Read more
Oggi è un triste giorno per gli amministratori di sistema: è stato divulgato pubblicamente un bug molto serio nella libreria crittografica OpenSSL, che costituisce buona parte della privacy che possiamo avere online. Il famigerato Heartbleed bug permette a chiunque su Internet di accedere alle chiavi private di cifratura dei contenuti web (applicazioni, email, messaggi istantanei, etc…)…
Read more
La libreria crittografica open source GnuTLS si occupa di fornire le funzionalità di base per SSL e TLS ed è presente su molte distribuzioni Linux tra cui Red Hat, Ubuntu e Debian: un bug scoperto recentemente permette a chi lo sfrutti di aggirare le misure di sicurezza e privacy che la stessa libreria dovrebbe fornire. Siccome la…
Read more
Abbiamo discusso negli scorsi giorni di come il processo interno a Debian (ma che tutte le distribuzioni dovranno affrontare prima o dopo) relativo al sistema di init abbia avuto una conclusione. Debian ha scelto systemd. Ma si sa, quello del sistema di init è un aspetto delicato, non lo si può nascondere, poiché stiamo parlando…
Read more