.:: Securnetwork.net Blog – Massimo Rabbi ::.

Ebbene si qualche tempo fa avevo postato circa l’annata favolosa della Free Fighting Academy.
Eccomi di nuovo qui a riparlarne, ma per un altro motivo.
Come anticipato dal 17 al 21 ottobre presso il CarraraFiere di Marina di Carrara (MS) si sono tenuti i Campionati del Mondo WTKA-IAKSA.
Ci siamo stati anche noi e abbiamo fatto la nostra parte!
Domenica sera siamo tornati infatti con ben 3 ori e 3 argenti. Una soddisfazione immensa, soprattutto per il fatto che uno di quei tre argenti l’ho portato a casa io. Mi sono piazzato secondo nella categoria Light Contact +91kg, sconfitto in finale da un avversario dell’Ecuador che ha dominato nel torneo nelle categorie Light Contact, Full Contact e Kick Light.
Soddisfazione per la “mole” in senso letterario, degli avversari con cui ho combattuto e per l’esperienza che al di là di tutto è stata fantastica.
Felice di aver trascorso questi 4-5 giorni con i miei compagni di squadra e col Maestro,soffrendo e gioendo di tutti i momenti trascorsi, anche quando sembrava che la fatica volesse prendere il soppravvento
E adesso si ricomincia, via con un’altra annata che speriamo possa essere ancora meglio di questa trascorsa. Sabato 17 novembre infatti saremo impegnati a Milano nella prima gara di Coppa Italia.

Ecco alcune foto… in attesa che i ragazzi mi portino i video dei combattimenti, che forse poi metteremo su Youtube

Mercoledi’, primo giorno, tramonto in riva al mare.

Uno scorcio del palazzetto alla mattina presto, prima della classica giornata di gara.

Una vista dalla camera d’albergo, a due passi dal mare… il giorno prima della finale!

La tanto sofferta medaglia!

E per concludere il bambino di 4 anni messicano… un fenomeno!!!

Qualche tempo fa avevo segnalato un bellissimo video su Youtube in cui uno smanettone mostrava come era riuscito a creare un “clone” dell’interfaccia dell’iPhone, al tempo non ancora uscito.
Dopo allora non mi ero più interessato alla cosa e sinceramente non avevo nemmeno più cercato nulla sull’argomento.

Ieri navigando mi è capitato di beccare questa interessante segnalazione su SoftArchive.net.
“Turn your WM5 smartphone into an iPhone”

Il file .rar di quasi 5 mega che è hostato su Rapidshare contiene all’interno un po’ di applicativi e una serie di istruzioni su come installare e configurare il tutto.
Personalmente per motivi di tempo non ho ancora avuto modo di testarlo sul mio HP rw6815. In ogni caso chi ha vogli di provare mi faccia sapere come va!

I Kaspersky Lab hanno rilasciato una versione aggiornata del proprio controllo ActiveX che viene installato sul pc degli utenti che usano il Kaspersky Online Scanner.
La nuova versione del componente (kavwebscan.dll) è la 5.0.98.0 e risolve alcuni bug critici che possono essere sfruttati per eseguire codice arbitrario, per esempio quando un ignaro utente sta visitando un sito web, appositamente modificato, con Internet Explorer.

Stando all’advisory pubblicato da iDefense, la vulnerabilità è dovuta ad errori format string in svariate funzioni del controllo.
L’esistenza di una vulnerabilità è stata confermata nella versione 5.0.93.0, ma è probabile interessi anche versioni precedenti.
Per controllare la versione installata sul proprio pc, è possibile controllare direttamente nella cartella
C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner
Nel caso la versione dell’ActiveX non venga mostrata direttamente nel filename è possibile, previo click col tasto destro sull’icona, analizzare il tab “Proprietà”.
Il consiglio è che chiunque utilizzi l’Online Scanner aggiorni immediatamente il controllo.
Per installare l’ultima versione è sufficiente lanciare lo scanner. Un’altra opzione è naturalmente quella di cancellare la dll vulnerabile.

LINKS:
- Kaspersky Lab announces the release of a new version of its free Kaspersky Online Scanner
- Kaspersky Web Scanner ActiveX Format String Vulnerability, iDefense Advisory
- Kaspersky Online Scanner installed vulnerable ActiveX control , by Heise-Security

Il gruppo di sviluppatori di Digium, ha rilasciato la versione 1.4.13 del noto software PBX Asterisk.
Con questa release vengono patchate due pericolose falle del sistema voicemail.
In Asterisk infatti il voicemail è processato via IMAP, e stando a quanto riportato da Digium nel bullettin di sicurezza il codice faceva uso di una chiamata a funzione sprintf (metodo alquanto sconsigliato visto che è preferibile usare la più sicura snprintf), con possibilità di buffer overflow.

In particolare un buffer overflow puo’ essere sfruttato per causare il crash del sistema o fare injection e eseguire codice in un terminale. Il problema si verifica quando gli headers di content type e content description sono complessivamente più di 1024 bytes.
Il report afferma che la falla puo’ essere sfruttata solo quando gli utenti accedono alla loro voicemail via telefono, l’accesso via e-mail non soffre del problema.
L’aggiornamento rimpiazza il codice “insicuro” con chiamate snprintf.
Il bug interessa solo le versioni Open Source 1.4.x del software

LINKS:
- Buffer overflows in voicemail when using IMAP storage, security advisory by Digium
- Security update for Asterisk 1.4, by Heise-Security

Cisco ha pubblicato recentemente un advisory di sicurezza in cui viene riportata una vulnerabilità che interessa il line printer daemon (LPD) del proprio IOS. Un utente potrebbe sfruttare questa falla per causare un crash del sistema o comunque comprometterlo. Il buffer overflow è dovuto all’incapacità di gestire hostname di lunghezza oltre un certo limite.
Fortunatamente LPD è disabilitato di default e un aggiornamento all’IOS, che risolve il problema, è già stato rilasciato.

Un altro bug di sicurezza si ha nella fase di conversione di un CiscoWorks Wireless LAN Solution Engine (WLSE) in un Cisco Wireless Control System (WCS). L’advisory riporta come il tool di conversione crei account con privilegi amministrativi con credenziali di default. Il problema affligge la Convert Utility fino alla versione 4.1.91.0 e interessa la la conversione da sistemi WLSE a WCS.
La raccomandazione è quella di re-impostare password strong per tutti gli account.

LINKS:
- Cisco IOS Line Printer Daemon (LPD) Protocol Stack Overflow, security advisory from Cisco
- http://www.irmplc.com/index.php/155-Advisory-024, security advisory from IRM
- Cisco Wireless Control System Conversion Utility Adds Default Password, security advisory from Cisco
- Vulnerabilities in Cisco Products, by Heise-Security