.:: Securnetwork.net Blog – Massimo Rabbi ::.

A quanto pare leggendo i numerosi post e messaggi sparsi in giro su Internet sembra che il nuovo aggiornamento rilasciato dalla Apple per il proprio gioiellino iPhone sia alquanto “instabile”.
Dopo l’aggiornamento al nuovo firmware 1.1.1 (codename “Bricker”), al successivo reboot, molti terminali bloccati e non sembrano presentare problemi di svariata natura.
Nei casi di iPhone sbloccati mediante il software anySIM, per esempio compare la scritta “SIM card not supported”. A quel punto risulta impedito l’accesso ai menu e funzioni base, anche nel caso venga reinserita la scheda AT&T originale. Tra gli altri problemi si segnala inoltre l’impossibilità di usare molti se non tutti i programmi di terze parti precedentemente installati.

Per approfondire il problema fare riferimento ai seguenti link:
- Apple update takes down tweaked iPhones, by Heise Security
- Apple iPhone support forum topics, sul sito Apple
- iPhone Firmware 1.1.1 Out and Tested: Breaks 3rd-party Apps, Relocks iPhones and Sends Them to Semi-Brick Activation Limbo (Updated with video), su Gizmodo
- Apple update disables unlocked iPhones, su MacWorld.com

Dopo l’update rilasciato un anno fa che chiudeva una falla critica nelle versioni 0.9.7k e 0.9.8c di OpenSSL, una segnalazione riporta come quel bug non sia stato completamente patchato.
Moritz Jodeit scrive che la patcha limita semplicemente le possibilità di effettuare un buffer overflow nella funzione SSL_get_shared_ciphers, piuttosto che prevenirlo del tutto.
Sembra infatti che sia ancora possibile realizzare un off-by-one buffer overflow nelle versioni attuali 0.9.7m e 0.9.8e, con conseguente possibilità di esecuzione di codice arbitrario.

Nel caso un’applicazione utilizzi la funzione SSL_get_shared_ciphers, un attaccante può causare un buffer overflow utilizzando una lista opportunamente modificata di algoritmi.
Possibili applicazioni target sono tra le altre web servers, mail servers, mail clients e applicazioni VPN.
La chiusura della falla è stata fatta su CVS (su Openssl.org) già in data 19 settembre.
Non è ancora chiaro quando verrà rilasciata una versione ufficiale patchata .

LINKS:
- OpenSSL SSL_get_shared_ciphers() off-by-one buffer overflow, security advisory by Moritz Jodeit
- Vulnerability in OpenSSL, security advisory by Heise Security

Su Mashable.com è stata pubblicata nei giorni scorsi una lista definita “Open Source GOD: 480+ applications and resources“.
Il mega post raccoglie una lista di innumerevoli applicazioni dei tipi più disparati tutte rigorosamente opensource e free.
Tra le categorie:
- Accounting
- Content Management Systems
- CRM
- Desktop Environments / Shell replacements
- Email clients
- Encoding, Conversion & Ripping Tools
- ERP
- Filesharing & FTP
- Graphics-Design & Modeling Tools
- Media Players
- Messengers & Communication clients
- PDF Drivers & Tools
- Personal Information & Task Manager
- Project Management
- Reporting Tools
- RSS
- System utilities
- Office
- Web browsers

Non mi resta che augurarvi buona navigazione tra i quasi 500 links e buon download!

Riprendo un interessante post su Raymond.cc per segnalare questa interessantissima suite freeware di prodotti che ogni amministratore di sistema dovrebbe tenere a portata di mano.
Si tratta di un prodotto all-in-one che raccoglie oltre 175 tools per network monitoring e security.

Net Tools richiede che sia installato sul sistema il Microsoft .NET Framework 2.0.
Link per il download.
Ecco una lista esaustiva dei principali tools presenti: Leggi il resto dell’articolo »

11 settembre 2001… 6 anni dopo…

http://www.pernondimenticare.it/

Non credo vi sia difficile trovare in rete o in tv informazioni a riguardo di quella che è o non è la VERITA’ riguardo l’11 settembre. Tanto più che ora che ci avviciniamo all’anniversario di quel tragico evento le trasmissioni a riguardo Matrix in primis la fanno da padrone.
L’anno scorso mi è capitato di vedere in tv la puntata di Matrix: sono rimasto allibito nel sentire parlare con tanta arroganza, strafottenza, saccenza persone come Giulietto Chiesa. Non dimentichiamo un altro come Massimo Mazzucco.
La mia opinione personale a riguardo è che come in ogni cosa si cerchi sempre il complotto, poi tanto piu’ che in una cosa come questa che riguarda l’America, il “grande male” secondo molti, deve per forza essere stata una cosa organizzata dall’interno, e che dunque tutti ci stanno nascondendo la verità…. Solo in pochi lottano per mostrarci i fatti reali e come sono andate realmente le cose. Si come no.
Ringrazio il fatto che esistono persone come Paolo Attivissimo e quelli di Undicisettembre che hanno lavorato e continuano a farlo per smontare e ribattere punto su punto alle balle che vorrebbero passarci come vere tutti i cosiddetti “Complottisti”.
Vi lascio una serie di video a cui dare un’occhiata.
Poi cercate in giro anche i vari “Lose Change – 2nd Edition”, “11 settembre 2001 – Inganno Globale”, “Confronting the Evidence” e i tanti altri che son spuntati come i funghi. Poi onestamente ditemi chi sono i veri buffoni.

“…dal cosiddetto movimento per la verità scaturiranno soltanto molta aria fritta, molte teorie degne di una brutta puntata di X-Files e un fiorente business di libri e dvd sulla pelle dei morti dell’11 settembre.“

Apple ha rilasciato un aggiornamento di iTunes per Mac e Windows per fixare un bug che poteva essere sfruttato per infettare i sistemi degli utenti attraverso file musicali opportunamente modificati.
Apple ha dichiarato che l’apertura di uno di questi tipi di file provoca un buffer overflow durante l’operazione di lettura della cover dell’album.
Stando a David Thiel di iSEC la falla dipende da un errato parsing del ‘covr’ atom di un file MP4/AAC.
Le nuove versioni per Mac OS X v10.3.9, Mac OS X v10.4.7, Windows XP e Vista sono disponibili per il download sul sito Apple.

Approfondimenti:

• About the security content of iTunes 7.4, security advisory by Apple
• iTunes 7.3.x – Heap overflow in album cover parsing, security advisory by iSec
• Apple fixes critical hole in iTunes, security advisory by Heise-Security

Se avete avuto modo di sviluppare un po’ in PHP vi sarà certamente capitato che tornando indietro da una pagina all’altra vi comparisse il messaggio d’errore “Attenzione pagina scaduta”.
Il classico esempio è una pagina di ricerca che vi restituisce i risultati, cliccate su uno per vederne i dettagli e quando cliccate sul button “Indietro” o “Back” del browser vi compare la schermata d’errore.
Il comportameno varia a seconda dei browser:

1) IE si limita a visualizzare semplicemente la pagina con l’errore

2) Firefox invece avvisa che si stanno tentando di reinviare i dati di un modulo

Cercando in rete la soluzione a questo problema sono incappato in questo interessante articolo che potete leggere qui:
- Guru Speak: How to Avoid “Page Has Expired” Warnings

Succo del discorso è che per ovviare al problema basta aggiungere la seguente riga di codice:
ini_set('session.cache_limiter', 'private');
all’inizio delle pagine che danno questa seccatura.
Buon lavoro!