Tag: Vulnerabilità

Software OpenSource: il +50% di vulnerabilità nel 2019 è una cattiva notizia? Per nulla!

Il mondo IT si sta interessando sempre di più a soluzioni open-source, ma, come sempre, più una cosa è utilizzata, più le insidie si fanno frequenti e reali. Questo è quanto emerge da un recente report pubblicato da WhiteSource, piattaforma che si occupa di sicurezza in ambito open-source, e che dichiara che nel corso dello…
Read more

Vulnerabilità per il WiFi di molti dispositivi: Kr00k

Il Wi-Fi fa parte della nostra vita, ne è ormai imprescindibile. Quindi, una falla in questa tecnologia risulta – spesso – molto grave. Ecco perché il post pubblicato qualche giorno fa da ESET è piuttosto allarmante: i dispositivi impattati sono miliardi. Il colpevole? Alcuni chip per il Wi-Fi prodotti da Cypress e (dalla controllata) Broadcom.…
Read more

Vulnerabilità per Voatz, l’app per le elezioni americane

Le elezioni negli Stati Uniti sono da sempre diverse dalle nostre, specialmente perché ogni Stato ha la libertà di selezionare i metodi che più lo aggrada. Per esempio, spesso, è permesso votare via posta, anche con settimane di anticipo. Nel tempo, per rendere più facili le votazioni ai cittadini e immediati i conteggi, sono stati…
Read more

Vulnerabilità in sudo: l’utente -1 può creare guai!

È stata scoperta una brutta falla in tutte le versioni precedenti alla 1.8.28 del programma sudo, standard de-facto per l’elevazione dei privilegi all’interno dei sistemi Unix e Linux. Stando al report, la falla consentirebbe di sfruttare uno user id atipico, nella fattispecie -1 (oppure 4294967295) per eseguire comandi come utente root. È molto semplice verificare…
Read more

Un audit ha rilevato 34 vulnerabilità in Kubernetes, ma non è per nulla una cattiva notizia

Nel mondo del software, tipicamente, quando vengono pubblicati i risultati degli audit di sicurezza l’atmosfera non è mai gioiosa. Del resto a chi piace scoprire vulnerabilità nel proprio codice? Cosa succede però se l’indagine è stata commissionata e resa trasparente dal primo momento? Le sensazioni possono essere decisamente diverse. È proprio il caso della Cloud…
Read more

Allarme: vulnerabilità critica per VLC! Anzi, no.

Nei giorni scorsi si è consumato un siparietto su VLC, che però ben illustra i meccanismi di allarme e risoluzione per i bug di sicurezza. Ma andiamo con ordine. Il 24 luglio sul sito tedesco CERT Bund – dedicato alla sicurezza – compare un report per l’ultima versione di VLC, la 3.0.7.1, e per tutte…
Read more

Grossa vulnerabilità in Vim e Neovim

Quando normalmente pensiamo ai software che possono introdurre vulnerabilità nei nostri sistemi Linux, pensiamo a quei demoni che girano costantemente su di essi: da servizi raggiungibili dall’esterno fino a quelli locali che, in qualche modo, possono essere utilizzati per lanciare comandi o aprire porte di accesso remoto. Difficilmente si va a pensare a tool lanciati…
Read more

CFEngine: vulnerabilità critica nell’hub spiegata al mondo

In un’aspettata mossa di estrema apertura, gli ingegneri di CFEngine hanno -forse- osato un po’ troppo nei dettagli della spiegazione di un bug di sicurezza molto grave nel loro prodotto Enterprise. Facciamo un passo indietro: CFEngine è un software di configuration management ed automazione decentralizzato, alternativa a Puppet o Ansible (di cui più spesso parliamo…
Read more

Kernel: vulnerabilità critica nelle versioni precedenti alla 5.0.8

E’ di qualche giorno fa la scoperta di una vulnerabilità in parecchie versioni del kernel Linux. Pare che tutte le precedenti (usiamo il condizionale perchè si sta ancora analizzando a riguardo) al kernel 5.0.8 soffrano di questa cosa. Registrata con la CVE-2019-11815 ed uno score particolarmente alto, sfrutta un problema nello stack TCP/IP del kernel…
Read more

Vulnerabilità per LibreOffice ed Apache OpenOffice

Alex Inführ, ricercatore nel campo della sicurezza, ha portato alla luce una vulnerabilità che affligge le suite da ufficio open source più famose: Apache OpenOffice e LibreOffice. Questa falla permetterebbe, tramite un documento creato ad-hoc, di eseguire codice arbitrario senza nessun messaggio che avvisi in qualche modo l’utente. Segnalato nei mesi scorsi come CVE-2018-16858, è…
Read more