.:: Securnetwork.net Blog – Massimo Rabbi ::.

Gli sviluppatori di Samba hanno rilasciato le versioni 3.0.35, 3.2.13 e 3.3.6 per risolvere i problemi legati a due vulnerabilità, una nel smbclient e l’altra nel server
Il tool smbclient soffre di una vulnerabilità di tipo “format string attack” che può essere sfruttata usando il comando put e nomi di file malevoli.
Nelle versioni Samba 3.0.31 e 3.3.5 è possibile eseguire codice arbitrario in certi casi.
La vulnerabilità che riguarda il server interessa invece le versioni 3.2.0 e 3.2.12 di smbd: questa consente di cambiare a piacimento i permessi di un file scrivibile.
Il problema è dovuto ad una mancata inizializzazione di alcuni dati applicativi.
In aggiunta alle nuove versioni, disponibili anche le relative patch.

RIFERIMENTI:
* Security updates for Samba, by Heise Security
* Formatstring vulnerability in smbclient, Samba advisory.
* Uninitialized read of a data value, Samba advisory.

Sulla homepage del noto opensource webmailer Squirrelmail, campeggia il messaggio che informa dell’avvenuto cracking al webserver del progetto in data 16 giugno.
A seguito dell’accaduto gli amministratori hanno sospeso tutti gli accounts e resettato tutte le password più cruciali.
Disabilitato anche l’accesso al server originale e a tutti i plug-ins: si tratta di una misura precauzionale finchè non si sarà certi che nessuno di questi sia stato compromesso a livello di codice.
Ancora sconosciute restano le modalità con cui i crackers hanno avuto accesso al sistema.
Fortunamente il codice sorgente di SquirrelMail non è a rischio visto che è localizzato su un server completamente diverso.
Tuttavia i phishers hanno approfittato dell’accaduto cominciando una campagna di spam mirata.
Nelle mail infatti si millanta che le versioni 1.4.11, 1.4.12 e 1.4.13 sono state compromesse dall’introduzione di una backdoor, consigliando cosi’ agli utenti di passare alla 1.4.15.
Ecco il contenuto del messaggio:
“Due to the package compromise of 1.4.11,1.4.12 and 1.4.13, we are forced to release 1.4.15 to ensure no confusions.
While initial review didn’t uncover a need for concern, several proof of concepts show that the package
alterations introduce a high risk security issue, allowing remote inclusion of files.
These changes would allow a remote user the ability to execute exploit code on a victim machine,
without any user interaction on the victim’s server. This could grant the attacker the ability to
deploy further code on the victim’s server.
We STRONGLY advise all users of 1.4.11, 1.4.12 and 1.4.13 upgrade immediately.”

L’email contiene naturalmente un link che porta ad una pagina di login SquirrelMail contraffatta.
Va chiarito tuttavia che la versione attuale è la 1.4.19 e come detto sopra non ci sono possibilità che il codice sorgente sia stato manipolato.

RIFERIMENTI:
– SquirrelMail open source project’s web server hacked, by Heise Security

Sun ha rilasciato la versione 2.1 di OpenESB, la versione free di Enterprise Service Bus per l’application server Glassfish.
ESB può essere usato come piattaforma negli ambiti di Business Integration (BI), Enterprise Application Integration (EAI) e Service Oriented Architecture (SOA).
OpenESB è basato sullo standard e supporta svariate funzionalità di interoperabilità.

Con la nuova versione l’installazione di Glassfish/ESB su larga scala dovrebbe essere semplificata, visto il supporto attuale al clustering per tutti i componenti.
Tra le nuove features incluse:
– un componente per lo scheduling basato sul package Quartz
– un Service Engine per Complex Event Processing (CEP)
Fixati anche numerosi bug e altri cambiamenti consultabili direttamente nelle release notes.
OpenESB è disponibile sotto la Common Development and Distribution License (CDDL).
Glassfish ESB è disponibile in un unico pacchetto di installazione contenente l’application server GlassFish e l’ide Netbeans.

Riferimenti:
– OpenESB 2.1 released by Heise OpenSource

L’associazione no-profit 1nn0va organizza nella giornata di martedì 23 giugno un convegno che verterà sulle tematiche della sicurezza in rete e un pò di quello che a livello legislativo ci sta dietro.
Posto volentieri quindi il riferimento al pdf del volantino informativo, su segnalazione di Lino, mio ex-collega universatario

Il programma della serata:
Ore 19:00 ASPETTI LEGALI della navigazione in rete Avv. Paolo Vicenzotto
* Chiarimenti legali in merito al provvedimento del Garante Privacy sugli “amministratori di sistema”
* Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema 27 novembre 2008 (G.U. n. 300 del 24 dicembre 2008)
Ore 19:30 LA SICUREZZA della navigazione in rete Dott. Andrea Tonini

Location:
Martedi 23 Giugno 2009 – Ore 19.00
Via Prasecco, 3/a
33170 – Pordenone
(Presso Il Polo Universitario di Pordenone)

Volantino in formato PDF.
Informazioni sulla registrazione sul sito di 1nn0va.

Lino avanzo uno spritz!

L’esperto di sicurezza Robert “RSnake” Hansen ha rilasciato un tool in grado di mettere ko anche i web server più “grossi” usando un semplice PC connesso a Internet.
“Slowloris” non sfrutta particolari vulnerabilità, ma utilizza invece una feature del protocollo HTTP nota come “richieste HTTP parziali”.
I client infatti non sono costretti a forwardare l’intero contenuto di una GET o una POST in un solo passaggio, possono suddividerlo in un certo numero di query HTTP.

A seconda di come è configurato il web server, la prima richiesta può quindi fare in modo che vengano mantenute delle risorse per la response in attesa che venga completata l’intera request.
I web server vulnerabili a questa sorta di “freno a mano” remoto sono stranamente proprio quelli che implementano strategie per evitare gli overload, per esempio, consentendo solo un determinato numero di richieste HTTP parallele.
Stando a quanto dichiarato da Hansen fra questi Apache Server 1.x e 2.x, dhttpd, GoAhead WebServer e Squid. Non vulnerabili al problema IIS6.0, IIS7.0 e lighttpd.
I web server possono essere protetti mediante l’utilizzo di load balancers come Perlbal o web applications firewall che forwardino in maniera completa le richieste HTTP al server.
In caso di attacchi improvvisi, il problema può essere “mitigato”, semplicemente riducendo il parametro di time-out per le richieste http.

RIFERIMENTI:
* Remote handbrake for web servers by Heise Security
* Slowloris HTTP DoS, an explanation of the Slowloris concept from RSnake.

E’ stata rilasciata la versione 5.5 del software di virtualizzazione Citrix XenServer.
Le nuove features includono la possibilità di connettersi a Microsoft Active Direcytory e il supporto a nuovi sistemi host, tra cui RedRed Hat Enterprise Linux (RHEL) 5.3, Debian “Lenny” 5.0 e Novell SUSE Linux Enterprise 11 (SLES).
Migliorata la gestione del backup e delle snapshot: è ora possibile effettuare le snapshot direttamente da riga di comando o attraverso la XenCenter management console.

La versione commerciale del prodotto, XenServer Essentials, include features quali bilanciamento del carico e connettività verso Citirix StorageLink services: quest’ultima configurabile solamente da riga di comando.
La versione community edition di XenServer 5.5 è disponibile per il download gratuito qui.

FONTE: Citrix XenServer 5.5 released by Heise Security

L’esperto di sicurezza Aviv Raff ha nominato il mese di luglio come “Month of Twitter Bugs” (MoTB).
Lo scopo è quello di pubblicare i dettagli di una vulnerabilità al giorno, legata all’uso delle API di Twitter.
Le API consentono ai normali utenti di configurare, gestire e interrogare lo stato del proprio account mediante richieste http.
Raff ha infatti già fatto notare come sia possibile sfruttare le API che interrogano twitpic.com (servizio immagini di Twitter) per diffondere worms.

Volendo essere precisi non ci sono vere e proprie vulnerabilità nelle API di Twitter: si tratta invece di implementazioni errate o poco attente delle API di querying da parte di terzi.
Raff afferma di aver già individuato un numero di bug nei servizi di terze parti (che usano le API Twitter) tale da “riempire” tutto il mese di segnalazioni.
Detto questo è comunque disponibile a ricevere notifiche da parte di qualunque sviluppatore o appassionato che abbia scoperto qualche falla.
Lo scopo dell’iniziativa è sensibilizzare circa i potenziali problemi derivanti da uso non accorto delle API Twitter, ma in generale di API Web 2.0 generiche.
Vista comunque la possibilità di diffondere worms utilizzando queste vulnerabilità Raff ha deciso di dare 24 ore di “pre-avviso” agli operatori Twitter e sviluppatori interessati ogni qualvolta verrà rilasciato un report.
Bisognerà vedere se i fix riusciranno ad essere rilasciati in così poco tempo.

Il “Month of Twitter Bugs” prosegue la serie di iniziative simili che ha visto in precedenza i vari”Month of Browser Bugs”, “Month of Apple Bugs”, “Month of PHP Bugs” e “Month of Kernel Bugs”.
Il “Month of Java Bugs” si è invece rivelato, almeno per ora, un pesce d’aprile.

FONTE: July to be the “Month of Twitter Bugs” by Heise Security

Apple ha rilasciato Java for Mac OS X 10.4 Release 9 e Java for Mac OS X 10.5 Update 4 per fixare alcune note vulnerabilità di sicurezza riguardanti la piattaforma Java.
A metà maggio, l’esperto di sicurezza Landon Fuller aveva pubblicato un exploit per Mac OS X, dimostrando quanto fosse semplice sfruttare la vulnerabilità Java.
Fin da allora Apple è stata ampiamente criticata per lasciare i propri utenti “non protetti” cosi’ a lungo.
Un’altro esperto di sicurezza, Rich Mogull, ha proposto l’introduzione di un programma “Secure Software Development” per prodotti Apple più importanti e la nomina di un Chief Security Officer (CSO) che faccia da coordinatore e da elemento trainante affinchè Apple possa rispondere in modo più veloce ed efficiente alle problematiche di sicurezza.

L’aggiornamento della “Mela” include i fix per alcune vulnerabilità critiche in Java 1.6, 1.5 e 1.4.
Una falla “extra” non riportata da Fuller è stata patchata in Mac OS X 10.5: era possibile per applet Java non firmate ottenere i privilegi per eseguire codice malevole.
L’aggiornamento rilasciato da Apple tuttavia incorpora la versione Java 6 Update 13, nonostante alla fine di maggio sia stato rilasciato l’update 14.
Stando a Sun tuttavia l’aggiornamento Java 6 Update 14 non chiude alcuna vulnerabilità, ma aggiunge una nuova funzionalità “blacklist”.
Grazie a questa, il Java Plug-in e Web Start controllano una blacklist per verificare se caricare o meno eventuali jar “malevoli” o non sicuri.

FONTE: Apple closes vulnerabilities in Java by Heise Security

Gli sviluppatori di TrueCrypt hanno rilasciato la versione 6.2a del loro tool di encryption open source e multipiattaforma.
La release corrente include miglioramenti nelle performance della fase di creazione di un file container e fixa un errore che sorge a seguito del decrypt del sistema su macchine Windows.
Inclusi anche alcuni bug fixes per la release 6.2 rilasciata a inizio mese.

Per il futuro sono previsti il supporto a Windows 7, opzioni da command line per la creazione di volumi e volumi CD/DVD “Raw”.
TrueCrypt 6.2a è disponibile per piattaforme Windows 2000, XP, Vista, Mac OS X e Linux.

Fonte: TrueCrypt 6.2a released by Heise Security

Il team di sviluppatori dell’Interactive Computing Lab dell’accademia aeronautica ENAC (Ecole Nationale de l’Aviation Civile) di Tolosa, hanno creato il prototipo dei drivers Linux multi-touch.
A differenza della tecnologia Multi-Pointer X (MPX) che è attualmente integrata in X.Org 7.5 e X Server 1.7, i drivers ENAC lavorano direttamente a livello kernel e possono fornire supporto nativo al multi-touch.

All’inizio la tecnologia potrebbe essere usata sui dispositivi embedded.
Il supporto multi-touch richiede l’ultima versione 2.6.30 del Kernel Linux.

L’applicazione di demo riconosce i movimenti multi-touch e invia messaggi D-Bus (un meccanismo di comunicazione IPC) al window manager Compiz 3D per creare i relativi effetti.
Qui sotto il video dimostrativo messo disponibile dall’ENAC.