Nonostante siano installati sulla stessa macchina il wiki e il sistema di bug tracking non sono stati manomessi.
L’attacco è stato inizialmente scoperto venerdi’ 3 luglio quando gli amministratori si sono imbattuti in alcuni file sospetti sul server.

FONTE: Attack on CentOS project server by Heise Security

ShareThis

Il consiglio è quindi quello di verificare le installazioni ColdFusion esistenti ed eventualmente patchare i sistemi. Gli amministratori dovrebbero anche controllare l’eventuale presenza di applicazioni ColdFusion “vecchie” e mai disinstallate: anche queste potrebbero essere un potenziale target degli attacchi.

ShareThis

La scoperta è stata presentata alla conferenza SyScan a Singapore nella giornata di ieri e ulteriori dettagli verranno rilasciati in occasione del Black Hat in programma a Las Vegas verso la fine di questo mese.
Fondamentale nella scoperta del bug anche Colin Mulliner.

APPROFONDIMENTI:
- iPhone crashing bug could lead to serious exploit, by The Register

ShareThis

Con la nuova versione l’installazione di Glassfish/ESB su larga scala dovrebbe essere semplificata, visto il supporto attuale al clustering per tutti i componenti.
Tra le nuove features incluse:
- un componente per lo scheduling basato sul package Quartz
- un Service Engine per Complex Event Processing (CEP)
Fixati anche numerosi bug e altri cambiamenti consultabili direttamente nelle release notes.
OpenESB è disponibile sotto la Common Development and Distribution License (CDDL).
Glassfish ESB è disponibile in un unico pacchetto di installazione contenente l’application server GlassFish e l’ide Netbeans.

Riferimenti:
- OpenESB 2.1 released by Heise OpenSource

ShareThis

Location:
Martedi 23 Giugno 2009 - Ore 19.00
Via Prasecco, 3/a
33170 - Pordenone
(Presso Il Polo Universitario di Pordenone)

Volantino in formato PDF.
Informazioni sulla registrazione sul sito di 1nn0va.

Lino avanzo uno spritz!

ShareThis

La versione commerciale del prodotto, XenServer Essentials, include features quali bilanciamento del carico e connettività verso Citirix StorageLink services: quest’ultima configurabile solamente da riga di comando.
La versione community edition di XenServer 5.5 è disponibile per il download gratuito qui.

FONTE: Citrix XenServer 5.5 released by Heise Security

ShareThis

Volendo essere precisi non ci sono vere e proprie vulnerabilità nelle API di Twitter: si tratta invece di implementazioni errate o poco attente delle API di querying da parte di terzi.
Raff afferma di aver già individuato un numero di bug nei servizi di terze parti (che usano le API Twitter) tale da “riempire” tutto il mese di segnalazioni.
Detto questo è comunque disponibile a ricevere notifiche da parte di qualunque sviluppatore o appassionato che abbia scoperto qualche falla.
Lo scopo dell’iniziativa è sensibilizzare circa i potenziali problemi derivanti da uso non accorto delle API Twitter, ma in generale di API Web 2.0 generiche.
Vista comunque la possibilità di diffondere worms utilizzando queste vulnerabilità Raff ha deciso di dare 24 ore di “pre-avviso” agli operatori Twitter e sviluppatori interessati ogni qualvolta verrà rilasciato un report.
Bisognerà vedere se i fix riusciranno ad essere rilasciati in così poco tempo.

Il “Month of Twitter Bugs” prosegue la serie di iniziative simili che ha visto in precedenza i vari”Month of Browser Bugs”, “Month of Apple Bugs”, “Month of PHP Bugs” e “Month of Kernel Bugs”.
Il “Month of Java Bugs” si è invece rivelato, almeno per ora, un pesce d’aprile.

FONTE: July to be the “Month of Twitter Bugs” by Heise Security

ShareThis

Per il futuro sono previsti il supporto a Windows 7, opzioni da command line per la creazione di volumi e volumi CD/DVD “Raw”.
TrueCrypt 6.2a è disponibile per piattaforme Windows 2000, XP, Vista, Mac OS X e Linux.

Fonte: TrueCrypt 6.2a released by Heise Security

ShareThis

ShareThis

Attualmente il SP2 non viene ancora distribuito tramite Windows Update, e richiede che sia presente sul sistema il SP1.
Il precedente megapack aveva fatto in modo di “sincronizzare” il codice base di Windows Vista e Server 2008: ecco perchè il SP2 esce in contemporanea per entrambi i sistemi.

L’overview dei cambiamenti può esserer consultato a questo indirizzo.
Oltre ad includere tutti gli aggiornamenti dall’ultimo SP1, è stato incluso Windows Search 4.0, Windows Vista Feature Pack for Wireless (incluso supporto per Bluetooth 2.1) e supporto Blu-ray.

E’ stata pubblicata anche una lista delle applicazione che smetteranno di funzionare o potrebbe non funzionare correttamente a seguito di una installazione del SP2.
Le applicazioni non girano piu’ veloci con Vista SP2, addirittura i tempi di boot sono leggermente più lunghi.
I tempi di copia dei file continuano a rimanere superiori rispetto a quelli su Windows XP o Windows 7.
Di contro dovrebbero essere migliorati i tempi di risposta delle operazioni più comuni: accesso al menu start, lanciare Windows Explorer o accedere alle impostazioni di sistema.
In ogni caso queste differenze di performance sono quasi impercettibili nei computer di ultima generazione.
Lo spazio su disco richiesto per l’aggiornamento continua ad essere la vera nota dolente!

RIFERIMENTI:
- Microsoft releases Service Pack 2 for Windows Vista and Server 2008, by Heise Security

ShareThis

Dopo essersi accorta che la sua protezione può essere scavalcata dal supporto RTMPE integrato in rtmpdump, ha fatto partire un avviso “cease-and-desist”, invocando il Digital Millennium Copyright Act (DMCA) per impedire la distribuzione del software.
Una analisi del RTMPE pubblicata di recente giunge alla conclusione che, nonostante l’algoritmo utilizzi un modello di sicurezza end-to-end simile al protocollo SSL, a differenza di questo non fornisce alcuna sicurezza o autenticazione di sorta.
Non viene utilizzata da nessuna parte una chiave segreta, una password o una pass-phrase per cifrare/decifrare il contenuto.
Il processo di verifica necessita semplicemente dell’SWFHash (hash di 32 bytes), della dimensione del file SWF, e degli ultimi 32 bytes della prima risposta del server.
Alla luce di questo sembra alquanto strano che Adobe invochi il DMCA per classificare questa situazione come un tentativo di aggirare un meccanismo di protezione delle copie.

Di certo tutto ciò non pone in buona luce Adobe di fronte ai suoi clienti,network televisivi e studios cinematografici in primis.
L’uso del protocollo RTMPE per la distribuzione di contenuti DRM-protected è diventato sempre più diffuso infatti.
Nel contempo si segnala flvstreamer, una versione “ridotta” di rtmpdump, che non include il supporto RTMPE.

RIFERIMENTI:
Adobe acts against Flash video stream recorder, by Heise OpenSource

ShareThis

Stando a Carettoni e Di Paola, questo può causare comportamenti anomali e indesiderati, oltre a prestarsi a potenziali attacchi di sicurezza.
Gli stessi WAFs (Web Application Firewalls) e i moduli di sicurezza dei server sarebbero vulnerabili ad attacchi di tipo HPP.
Mentre il modulo Apache’s ModSecurity è infatti in grado di riconoscere un attacco SQL-injection come questo:
/index.aspx?page=select 1,2,3 from table where id=1
non è in grado di inviduare quest’altro:
/index.aspx?page=select 1&page=2,3 from table where id=1
La tecnica HPP potrebbe altresì essere usata per lanciare attacchi di tipo Cross-Site-Scripting (XSS) a danno dei vari web browsers.
Il filtro anti-XSS di Internet Explorer 8 è infatti tra i componenti vulnerabili.

Carettoni e Di Paola come “rimedio” consigliano un filtering appropriato e rigoroso dei parametri oltre all’uso dell’URL encoding. Suggerito anche l’uso di un URL rewriting che utilizzi espressioni regolari “sicure”.

RIFERIMENTI:
- New type of attack on web applications: Parameter Pollution, by Heise Security

ShareThis

Link per effettuare il download della nuova versione 1.4.18.

Riferimenti:
- Security Update for SquirrelMail, by Heise Security

ShareThis

La versione 9.1.1 per UNIX dell’aggiornamento risolve anche una seconda vulnerabilità riguardante la funzione Javascript ’spell.customDictionaryOpen’.
Il metodo in questione può essere manipolato per causare un DoS (Denial of Service) o eseguire codice arbitrario.
Aggiornamento consigliato quindi, e disponibile per le piattaforme Windows, Mac e UNIX.

Riferimenti:
* Adobe closes critical Acrobat and Reader holes, by Heise Security

ShareThis

Dai test effettuati il team ha confermato che il sistema sembra stabile con queste nuove impostazioni, tuttavia non è ancora confermato se i nuovi driver offriranno offriranno un supporto certo a questa funzionalità.
Si tratta infatti di un test puramente sperimentale visto che i drivers non sono stati ancora ufficialmente integrati in Ubuntu 9.04.

RIFERIMENTI:
- Updated graphics drivers for Ubuntu 9.04, by Heise OpenSource

ShareThis

Gli sviluppatori Mozilla affermano che i vantaggi saranno tutti in performance e stabilità: utilizzare processi separati per l’UI e per i contenuti consentirà di avere un browser che non si blocca quando ci sono problemi con un sito web. Le versioni attuali di Firefox sono costituite da un unico processo.
Un’anteprima semi-funzionante del browser è prevista per metà luglio, seguita dal rilascio della maggior parte del codice per l’inizio di Novembre assieme a tweaks su performace e stabilità.
Ignota invece la data di un rilascio finale.

Mozilla sta altresì prendendo in considerazione l’idea di utilizzare lo stack di rete “preso” da Chromium per rimpiazzare Necko, la loro libreria di rete.

RIFERIMENTI:
- Future Firefox to run separate processes, by Heise Open Source

ShareThis

OpenOffice 3.1, nelle sue versioni per Windows, Linux, Solaris e Mac OS X è scaricabile gratuitamente dal sito ufficiale di OpenOffice.

ShareThis

Stando a quando dichiarato da Graham Cluley di Sophos, il cracker avrebbe avuto accesso all’interfaccia di admin dopo aver indovinato la “domanda segreta” dell’account email di un impiegato di Twitter.
Questo gli ha cosi’ consentito di resettare la password e di individuare le credenziali di login dell’impiegato nella casella di posta.
Twitter afferma, dopo aver esaminato l’accaduto, che solamente dieci account personali sono stati “violati”. In ogni caso non sono state modificate le password o consultati i messaggi personali.
Verrà ora condotto un audit più approfondito di tutti i sistemi interni e verranno adottate ulteriori misure di sicurezza contro tentativi di intrusione.

RIFERIMENTI:
- Twitter vu de l’intérieur - Interface admin piratée !, Korben blog
- Twitter confirms security breach, by Heise Security

ShareThis

Inclusi i ports iniziali per la piattaforma Gumstix (xscale based) e per OpenMoko (ARM based).
Aggiunto il supporto per il virtual I/O tra i logical domains su server Sun CoolThreads.
Workstation e portatili con cpu UltraSPARC IIe riescono ad utilizzare correttamente la modalità powersaving (downscale della frequenza del processore).
Tra i nuovi tool: ypldap, un YP server che utilizza LDAP come back-end.
L’installazione consente di configurare piu’ per interfacce per il DHCP.
La versione di OpenSSH inclusa è stata aggiornata alla 5.2.

Come da tradizione non esiste una versione ufficiale gratuita su CD/DVD di OpenBSD: il team non fornisce alcuna iso.
I cd (3 in totale), assieme ad altri gadgets sono acquistabili direttamente sul sito.
Al solito invece disponibili tutti i pacchetti via FTP e scaribili per creare i propri CD personalizzati o per l’installazione di rete mediante floppy/cd di boot.

RIFERIMENTI:
- Release notes della versione OpenBSD 4.5
- OpenBSD 4.5 released, by Heise Open Source

ShareThis

Gli altri exploits sfruttano delle vulnerabilità di alcune chiamate di sistema (CTL_VFS, SYS___mac_getfsstat e SYS_add_profil) che permettono ad utenti loggati di far crashare il sistema.
Un ulteriore bug in AppleTalk permette di realizzare un buffer overflow.

Resta ignoto se Apple è stata informata di questi problemi.
Sul suo sito web digit-labs.org, l’autore degli exploits scrive che ha già mostrato al recente CanSecWest 2009 i problemi in questione.

RIFERIMENTI:
* Root exploit for Mac OS X, by Heise Security
* Recent Additions, Overview of the exploit for Mac OS X.
* Pwn2Own 2009: Safari, IE 8 and Firefox exploited, a report from The H.

ShareThis

La nuova release supporta ora il multi-threading, migliorando così le prestazioni e riducendo il tempo impiegato per completare una scansione.
Aggiunta anche la possibilità di creare report personalizzati dei risultati grazie a XSLT.
Sia su sistemi Windows che Unix-based viene usato lo stesso motore di scansione e meccanismo di TCP SYN port scan. Tutti i tools da riga di comando sotto Unix/Linux funzionano ora perfettamente anche su Windows.
La versione 4.0 non dipende piu’ da librerie esterne, rendendo l’installazione e la configurazione piu’ semplici.
Il Nessus Attack Scripting Language (nasl) è stato inoltre rivisto e ampliato grazie al nuovo supporto per il parsing XML e funzionalità di rete varie.

Nessus 4.0 è disponibile gratuitamente per uso personale e non-aziendale, ma richiede agli utenti l’indirizzo e-mail per la registrazione.
La licenza annuale professional costa 1200$.
Maggiori informazioni circa il rilascio può essere recuperate tra le FAQ di Nessus 4.0 e la documentazione fornita.
Disponibile direttamente per il download qui: http://www.nessus.org/download/.

RIFERIMENTI:
- Version 4 of the Nessus vulnerability scanner released, by Heise Security

ShareThis

Nel caso del sistema sotto osservazione è stato rilevato il download e successiva installazione di un aggiornamento criptato da un nodo P2P in Corea.
Il worm è mutato nella variante .E, che mostra nuove caratteristiche.
In particolare tenta di cancellare le proprie tracce, eliminando voci di registro esistenti e utilizzando da quel momento in poi nomi di file e servizi in maniera random.
Il worm si mette in ascolto sulla porta TCP 5114, in attesa di richieste in grado di essere processate dal mini-server HTTP interno.
Si connette a myspace.com, msn.com, ebay.com, aol.com cnn.com al fine di verificare se c’è una connessione Internet attiva.

A quanto pare il worm sta continuando a diffondersi unicamente attraverso la vulnerabilità di Windows.
BitDefender ha fatto sapere che la nuova variante blocca l’accesso non solo al sito web di BitDefender, ma anche a quelli di numerosi security vendors che offrono tools per la rimozione di Conficker in tutte le sue varianti.

Le analisi hanno evidenziato come l’ultima versione di Downad/Conficker dovrebbe disabilitarsi il 3 maggio 2009. Non appare ancora chiaro se siano previsti ulteriori aggiornamenti prima di allora.
Alcuni esperti hanno evidenziato sporadici collegamenti a domini legati alla botnet Waledac.
Anche Symantec ha riscontrato un comportamento analogo.
Un file scaricato da Conficker (484528750.exe) si pensa contenga il bot Waledac.
Tuttavia a parte questo, finora, ne’ Trend Micro, ne’ Symantec si sono sbilanciati circa questa “interconnessione” tra Conficker e Waledac.

Sul sito di Heise Security e’ disponibile una pagina con le principali informazioni su Conficker e collegamenti a test per verificare un’eventuale infezione della propria macchina.
Vengono elencati anche i principali e piu’ importanti tools e scanners per la rimozione.

RIFERIMENTI:
- Conficker now definitely downloading updates, by Heise Security
- The H Security Conficker information site

ShareThis

In particolare invocando la funzione NetpwPathCanonicalize(), che contiene la vulnerabilità attraverso cui il worm si diffonde.
Quando la macchina è infetta, Conficker intercetta e gestisce le chiamate a questa funzione, modificando in alcuni casi le risposte.
Affinchè questo test abbia successo è necessario che la porta TCP 445 sia accessibile.
Tipicamente questa porta non è accessibile (e non dovrebbe esserlo) attraverso da Internet.

Leder e Werner hanno realizzato uno scanner per dimostrare la veridicità di quanto scoperto.
In collaborazione con Dan Kaminsky, hanno inoltrato l’informazione al Conficker Working Group e altri esperti di sicurezza.
In questo i tool di scansione disporranno presto di questa funzionalità: in particolare Kaminsky ha annunciato estensioni per nmap, Tenable (Nessus), McAfee/Foundstone, ncircle e Qualys.
A quanto pare domani 1 aprile Conficker.C scaricherà da Internet degli aggiornamenti al proprio codice.
Gli effetti di questi updates non sono al momento conosciuti.
Attualmente molti produttori anti-virus offrono tools specifici per rimuovere Conficker.
In ogni caso la soluzione migliore per un sistema infetto è la reinstallazione del sistema operativo e l’eventuale ripristino di una copia “pulita” dei dati di backup.

RIFERIMENTI:
* German researchers develop network scan for Conficker worm, by Heise Security
* Detecting Conficker, announcement from the Honeynet Project.
* Scanner download, a ZIP file.

ShareThis

Gli aggiornamenti sono disponibili per le piattaforme Windows, Mac OS X e Linux, e fixano due vulnerabilità.
Uno è per l’appunto il problema legato al parsing XSL, scoperto da Guido Landi e precedentemente segnalato da un utente della comunità Ubuntu come problema di stabilità.
L’altra vulnerabilità riguarda la possibilità di eseguire codice, legata ad un bug del metodo XUL tree. Questo bug è stato reso noto da Nils al Pwn2Own 2009.

Disponibili le Release Notes di Firefox 3.0.8.

RIFERIMENTI:
- Firefox 3.0.8 now available, by Heise Security

ShareThis

A parte la conferma dell’attacco subito, nessuna informazione aggiuntiva (es: durata e origine) è stata riportata dai portavoce del parlamento.
Quando è stato chiesto dai giornalisti di Channel 4 la data dell’ultimo aggiornamento del sistema antivirus della rete parlamentare, la risposta è stata un secco “no comment”.
Appare abbastanza chiaro che poichè la maggior parte dei produttori antivirus e antispyware hanno rilasciato firme aggiornate per questo malware sin da novembre 2008, gli aggiornamenti non sono stati effettuati dal personale con regolarità.
Questo fatto lascia alquanto perplessa l’opinione pubblica sulle competenze del personale IT del Parlamento.
Tuttavia la “nota positiva” è che almeno qualcuno aveva l’antivirus aggiornato visto che Conflicker è stato rilevato.

Alla scoperta dell’attacco è stata inviata una mail a tutto lo staff parlamentare con un testo del genere: “Chiediamo dunque che, se si sta utilizzando un PC o computer portatile non autorizzato ad essere connesso alla rete, venga immediatamente disconnesso”.
A quanto pare non è un fenomeno tanto strano (e sconosciuto) che vengano collegate delle macchine prive di autorizzazione, controlli antivirus o firewall.

Qualcuno ha suggerito che l’attacco del worm possa essere in qualche modo legato al summit G20 che si terrà nella città di Londra la prossima settimana.
Pare infatti che il codice di Conflicker contenga una particolare data di attivazione per il 1 aprile, giorno in cui il creatore della botnet dovrebbe prenderne controllo per non si sa quale scopo.

RIFERIMENTI E APPROFONDIMENTI:
* Conficker infects UK parliament: news by Heise Security
* Worth Reading: An Analysis of Conficker-C, by Heise Security.
* Tools to remove Conficker, report by Heise Security.
* Conficker modified for more mayhem, report by Heise Security.

ShareThis

Le regole del firewall, vengono definite attraverso il tool nft: a seguito di un controllo sono convertite in operazioni e oggetti kernel.
Da un’occhiata agli esempi nella pagina di annuncio, sembra proprio che nftables abbia una sintassi differenta da iptables.
Le regole possono essere aggiunte in maniera incrementale da command line oppure venir lette da un file appositamente scritto.

Il codice di nftables è attualmente in status alpha: contiene quindi bugs e non tutte le features sono state implementate.
E’ quindi assolutamente sconsigliato un suo utilizzo in ambiente di produzione, anche se gli sviluppatori hanno confermato che è sufficientemente robusto per poter cominciare a fare i primi esperimenti in ambienti di test.
Stando a McHardy infatti: “…tutte le funzionalità base e gran parte del resto, dovrebbero funzionare correttamente. L’ultimo crash serio al kernel si è infatti verificato mesi fa.”.

RIFERIMENTI:
- New firewall for the Linux kernel, by Heise Security

ShareThis

Riferimenti:
- PHP 5.2.9 Release Announcement
- PHP 5.2.9 published, by Heise Security

ShareThis

La falla riguarda i moduli mod_sql_mysql e mod_sql_postgres utilizzati da coloro che hanno abilitato l’autenticazione degli utenti da database SQL.
L’attacco è di tipo SQL injection: mediante username e passwords “creati” usando caratteri multi-byte è possibile bypassare i metodi di “string escaping” e eseguire codice SQL.
Questo puo’ consentire di rilevare ad esempio la lista degli utenti o addirittura di effettuare un reset delle passwords.
Tutte quelle installazioni che usano un’autenticazione utente basata sul s.o. non corrono alcun rischio.

La versione 1.3.2 che corregge il problema è già disponibile.
A breve dovrebbe essere rilasciata anche una patch per le versioni 1.3.1.
A ruota dovrebbe seguire gli aggiornamenti automatici forniti da tutte le maggiori distribuzioni Linux.

Riferimenti:
- Encoding-dependent SQL injection vulnerability, ProFTPD bug report with patch.
- SQL injection vulnerability in ProFTPD closed, by Heise Security

ShareThis

E’ stato inoltre fixato il package net-snmp per rimuovere la vulnerabilità di tipo DoS (denial-of-service) legati ad un errato processing di comandi SNMP GETBULK.
Problemi di integer overflow risolti anche per la libreria XML libxml2, evitando potenziali attacchi di code injection, crash o loop applicativo.

Riferimenti:
- Patches for VMware ESX and ESXi, by Heise Security
- VMSA-2009-0001 ESX patches address an issue loading corrupt virtual disks and update Service Console packages, VMWare security announcement

ShareThis