.:: Securnetwork.net Blog – Massimo Rabbi ::.

A quanto pare Mozilla ha alzato il premio messo in palio per coloro che individuano una vulnerabilità di sicurezza nei prodotti di punta della software house open-source: Firefox e Thunderbird.

La nuova cifra è infatti di ben 3000$, un grosso salto se si considerano i “soli” 500$ che fin dal 2004 venivano pagati per i vari bug scoperti.

Nel programma di bug-hunting di Mozilla sono stati aggiunti due nuovi prodotti: Mozilla Services e Firefox Mobile.

Lucas Adamski, security engineer director di Mozilla, ha scritto sul blog del gruppo riguardo la nuova “taglia” e indicato quelle che sono le regole fondamentali per aggiudicarsela:

• il bug deve essere originale e mai stato pubblicato prima;
• il bug deve essere di tipo remote exploit;
• il bug deve essere individuato in una delle ultime versioni ufficiali, beta o release candidate dei vari Firefox, Firefox Mobile, Thunderbird o Mozilla Services;
• il bug non deve essere causato o individuato in plugin/estensioni di terze parti.

Quest’oggi mi è capitato per necessità di dover installare sul desktop di casa che monta una Ubuntu 9.04 (codename Jaunty Jackalope), la mia stampante multifunzione Brother MFC-465CN.
Questa volta a differenza di quanto successo con la Canon Pixma IP4200 che una volta collegata alla porta usb era stata riconosciuta al volo dopo la ricerca driver e pochi click, ho dovuto procedere con l’installazione a mano dei vari .deb necessari visto che non era inclusa nella lista di quelle proposte dal sistema.

Vedremo quindi quali sono i passaggi da effettuare per poter utilizzare le funzionalità di stampante e scanner della nostra multifunzione.

1. colleghiamo la multifunzione via usb al PC e annulliamo l’eventuale ricerca driver, tanto dobbiamo installarli noi a mano;
2. scarichiamo dal sito di Brother i relativi pacchetti .deb che ci interessano;
3. sezione “Download->Printer Driver”: preleviamo i .deb per LPR driver e cupswrapper driver della nostra MFC-465CN;
4. sezione “Download->Scanner Driver / Scan-Key-Tool”: preleviamo i .deb per brscan2 e scan-key-tool (32/64bit);
5. installare prima il pacchetto mfc465cnlpr-1.0.1-1.i386.deb e poi il pacchetto mfc465cncupswrapper-1.0.1-1.i386.deb per la funzionalità stampante;
6. installare prima il pacchetto brscan2-0.2.4-4.i386.deb e poi il pacchetto brscan-skey-0.2.1-3.i386.deb per la funzionalità scanner.

Leggi il resto dell’articolo »

Sull’argomento “chat di facebook” si potrebbero scrivere post a bizzeffe, discutendo di quanto faccia schifo, di come si perda i messaggi e quant’altro.
Quello che mi interessa oggi è puntare l’attenzione sul come integrare nel noto cliente IM Pidgin (ex GAIM), la chat del noto social-network, evitando di tenere aperta la pagina web per l’eventuale chat con i nostri contatti.

Le considerazioni di questo post riguardano l’attuale versione di Ubuntu 9.04 (Jaunty Jackalope) installata sul mio pc desktop, ma penso possano essere applicate tranquillamente alla più recente 9.10.
In particolare quello che ci serve è prelevare direttamente dal sito del progetto pidgin-facebookchat l’ultima versione, nel mio caso la 1.63.
E’ necessario inoltre procurarsi il .deb della libreria libjson-glib-1.0-0: pidgin-facebookchat infatti richiede una versione >= 0.7.6.
Quest’ultimo è disponibile direttamente da qui:
- http://mirrors.kernel.org/ubuntu/pool/main/j/json-glib/libjson-glib-1.0-0_0.7.6-0ubuntu1_i386.deb
- http://mirrors.kernel.org/ubuntu/pool/main/j/json-glib/libjson-glib-1.0-0_0.7.6-0ubuntu1_amd64.deb

Una volta installati entrambi i .deb e creato l’apposito account da Pidgin sarà possibile sfruttare la chat dal nostro programma di instant messaging preferito.
Le versioni di pidgin-facebookchat e libjson-glib-1.0-0 disponibile sui repository ufficiali e accessibili ad esempio da “Sistema->Amministrazione->Gestore pacchetti” sono datati.
Personalmente tempo addietro ho avuto modo di provarli e ho notato parecchi problemi.
Buona chat dunque!

Dopo quasi 5 mesi dal rilascio della versione PHP 5.3.0 arriva dagli sviluppatori il primo aggiornamento per il branch 5.3 del popolare linguaggio di programmazione.
La nuova release PHP 5.3.1 è incentrata principalmente sulla stabilità apportando ben 100 bug fix, alcuni dei quali legati alla sicurezza.

L’ultima release vede anche l’aggiunta della direttiva INI “max_file_uploads“, che consente di limitare il numero di uploads di file per ogni richiesta: 20 è l’impostazione di default.
Questa soluzione consente di evitare potenziali tentativi di attacchi DoS (Denial of Service).
Aggiunti inoltre alcuni sanity check nella fase di processing di informazioni Exif (exchangeable image file format).

Ulteriori dettagli possono essere consultati leggendo le release notes e il change log.
Disponibile sul sito anche una migration guide per gli utenti che effettuano l’upgrade dalla versione PHP 5.2.
PHP è rilasciato attualmente sotto la licenza PHP Licence 3.01.

Il security provider Secunia ha individuato nei giorni scorsi una vulnerabilità piuttosto critica nell’estensione Wikipedia Toolbar per Firefox, che può essere usata da un potenziale attaccante per compromettere il sistema dell’utente vittima.

Il problema è stato individuato nella mancata validazione dell’input da parte dell’applicazione in una chiamata alla funzione eval(): ciò può consentire l’eventuale esecuzione di codice Javascript arbitrario.

Una volta lanciato il codice viene eseguito con i privilegi di sistema e questo consente l’accesso alle risorse della macchina bersaglio. Affinché l’attacco avvenga con successo è necessario che l’utente visiti una pagina web “contraffatta” e che sia “ingannato” e portato a cliccare su determinati pulsanti della toolbar.

Secunia ha individuato il bug nella versione 0.5.9, ma potenzialmente altre versioni potrebbero essere affette dal problema.
L’ultima versione rilasciata ovvero la 0.5.9.2 risolve il problema ma non è ancora stabile, ma taggata come “experimental“.

La nuova versione di WordPress, la 2.8.5, rilasciata nei giorni scorsi promette maggiore sicurezza.
Descritta dal team di sviluppo come una “hardening release“, include un buon numero di funzioni retro-portate dalla versione 2.9 beta che dovrebbero rendere la piattaforma di blogging più resistente agli attacchi.

Peter Westwood, sviluppatore del progetto, ha evidenziato che tra questi fix sono presenti quello legato al problema di attacchi DoS al sistema di Trackback e la cancellazione di porzioni di codice che permettevano l’esecuzione di script PHP in variabili attraverso l’uso della funzione eval().

Gli amministratori inoltre non saranno più in grado di effettuare l’upload di files arbitrari nella media library: ricordiamo che la white list di estensioni consentite finora era applicata solo agli utenti normali.
Lo scopo è rendere più difficile ad un eventuale attaccante che abbia compromesso un account amministrativo, di effettuare l’upload e l’esecuzione di codice PHP.

Il team raccomanda altresì di installare il plugin “WordPress Exploit Scanner” che consente di rilevare potenziali tracce di intrusione sui propri siti/blog.
Il plugin infatti cerca nei file e nel database (post, commenti, tag etc.) la presenza di potenziale codice malevole, tenendo di fatto sotto controllo anche la lista dei plugin attivi.
Come lo stesso sviluppatore dell’estensione Donncha O Caoimh tiene a sottolineare, questo plugin non previene in alcun modo eventuali attacchi.

ASUS ha pubblicato nei giorni scorsi i sorgenti Linux per la propria linea di netbook Seashell.
Fino ad ora infatti i netbook Asus sono stati messi in vendita anche in versioni che montavano Linux come sistema operativo pre-installato: tipicamente il prezzo di vendita al pubblico era inferiore rispetto allo stesso modello con Windows XP Home.

Con il rilascio dei modelli 1008HA e 1005HA (linea Seashell appunto) le uniche versioni disponibili sul mercato prevedevano Windows XP come OS installato.
Non era infatti prevista una versione che montasse il sistema operativo open source, anche se dopo questa mossa di ASUS molti sono propensi a credere che presto arriveranno i modelli basati su sistema Moblin.
La versione finale di Moblin 2.0 è stata rilasciata a fine settembre e stando agli sviluppatori, è stata testata sia su 1008HA che 1005HA.
In ogni caso Asus non ha ancora fatto dichiarazioni ufficiali a riguardo.

Il codice sorgente Linux disponibile è disponibile per le versioni 1008HA e 1005HA e consiste di circa 2.2GB, divisi in 5 parti che possono essere scaricate direttamente dal sito “Support Asus“.
I sorgenti rilasciati sarebbero conformi ai requisiti della licenza GPL, visto che viene fornito anche il codice che include le patches applicate dal produttore.

Il problema più grosso è che nonostante il codice sorgente sia completo, mancano degli script o dei file di configurazione che aiutino l’utente nel processo di compilare un sistema operativo completamente funzionante.

Google ha rilasciato un update di sicurezza per la versione 3 di Chrome. La nuova versione del browser WebKit-based è la 3.0.195.24.
Il bug corretto riguarda l’implementazione della funzione dtoa() utilizzata dal motore JavaScript V8 di Chrome per parsare le stringhe in numeri floating point.

La vulnerabilità contenuta nella Chrome sandbox può essere sfruttata da un ipotetico attaccante per eseguire codice arbitrario.
Affinchè l’attacco avvenga con successo è sufficiente che l’utente visita una pagina web appositamente modificata.
Per effettuare l’aggiornamento gli utenti possono utilizzare la funzionalità built-in di update accedendovi dai menu “Tools->About Google Chrome” e cliccando sul pulsante “Update”

Fonte: Google closes vulnerability in Chrome 3

Il sito boot.kernel.org (BKO) offre la possibilità di effettuare il boot via Internet del sistema operativo Linux.
Ancora in fase iniziale il progetto consente di provare un numero ridotto di versioni Linux sfruttando il protocollo HTTP, una connessione Internet a banda larga e il boot loader open source gPXE.
Quest’ultimo può essere utilizzato via drive USB, CD o floppy disk.

La versione corrente di BKO può avviare Debian Live, Ubuntu 9.04, Damn Small Linux, Knoppix 5.0.1 o Fedora 11 LiveCD, quest’ultima in sola versione single user mode.
E’ possibile far partire anche una serie di tools di diagnostica e ripristino.
BKO utilizza httpfs e non supporta per il momento la modalità proxy. Per migliorarne le performance in fase di start-up, gli sviluppatori stanno pensando di implementare il boot iSCSI nella prossima versione.

Una proposta analoga e alternativa è costituita dal servizio netboot.me: anch’esso fornisce il boot via Internet mediante il boot loader gPXE.

All’Atlanta Linux Fest, Mark Shuttleworth ha annunciato che la prossima major release, dopo la 9.10 Karmic Koala, si chiamerà Lucid Lynx.
Ubuntu 10.04 sarà inoltre una versione Long Term Support (LTS).

L’ultima release LTS di Ubuntu è stata la 8.04, nome in codice Hardy Heron, rilasciata ad aprile 2008 e che sarà supportata fino ad aprile 2011.
Ubuntu Linux 10.04 è prevista per aprile 2010, mentre per quanto riguarda la 9.10 (attualmente in alpha) si parla di fine ottobre.

Gli sviluppatori del linguaggio di programmazione PHP hanno rilasciato un update che porta l’ultima release alla versione 5.2.11.
L’aggiornamento si focalizza sulla stabilità apportando più di 75 bug fix, alcuni legati alla sicurezza.

Il team di sviluppo ha fixato la validazione certificati in php_openssl_apply_verification_policy e aggiunto dei sanity check in imagecolortransparent() e nel codice di processing dei file EXIF (Exchangeable Image File Format).
I dettagli completi sono visibili alla pagina delle Release notes.

A poco più di un anno dal lancio di Google Chrome, era il 2 settembre 2008, il gigante di Mountain View ha annunciato il rilascio della versione 3 contenente numerosi bug fixes, miglioramenti e nuove funzionalità.

Secondo un post pubblicato sul blog ufficiale di Google, le performance Javascript sono state migliorate del 150% rispetto alla prima beta e di ben il 25% rispetto all’ultima stable release: tutto questo grazie agli aggiornamenti al motore Javascript V8.

La release include una nuova pagina “New Tab” riprogettata per essere personalizzabile secondo le preferenze dell’utente e customizzabili nel look-and-feel mediante il supporto built-in per i temi.
La barra degli indirizzi “Omnibox” utilizza ora icone diverse per distinguere azioni come la ricerca, bookmarks e pagine precedentemente visitate.
Il nuovo Google Chrome 3.0 inoltre introduce nuove caratteristiche HTML 5, gli elementi <audio> e <video>.

Questa ultima release inoltre corregge un problema di sicurezza riguardante i contenuti dei feed RSS o Atom, onde prevenire i tentativi di injection di codice Javascript e attacchi cross-site scripting (XSS).
La versione è disponibile in 50 lingue differenti per i sistemi operativi Windows XP e Vista.

Ancora da rilasciare invece una versione stabile per Chrome su sistemi Linux e Mac OS X.
L’ultima versione rilasciata circa una settimana fa attraverso il Developer Channel è la 4.0.207.0, e corregge alcuni bug oltre a fixare un problema di XSS.

Stando alla roadmap pubblicata sul wiki di Mozilla la nuova major release del noto browser open source Firefox non vedrà la luce prima dell’ultimo trimestre del 2010.

Sembra infatti che la versione Firefox 4.0 sarà rilasciata ad ottobre o novembre del prossimo anno.

Nel frattempo compariranno le minor release 3.6 e 3.7 previste rispettivamente per la fine di quest’anno e l’inizio/metà del prossimo.

Già all’inizio di questa estate erano stati annunciati alcuni dei cambiamenti all’interfaccia di Firefox che interverranno in occasione della major release.

Leggi il resto dell’articolo »

Gli sviluppatori NetBSD hanno annunciato il rilascio di NetBSD 5.0.1, il primo aggiornamento di sicurezza per il sistema operativo NetBSD 5.0.
L’update risolve 11 problemi, tra cui quelli di Denial of Service (DoS) ai danni di BIND e DHCP, i buffer overflow in SHA2, ntp e hack, i bug in OpenSSL.

NetBSD 5.0 è stato rilasciato in aprile introducendo miglioramenti al threading e uno scheduler completamente riscritto.
Fixati con questo rilascio una serie di bug non legati alla sicurezza.
I dettagli completi dei cambiamenti introdotti disponibili nel file CHANGES-5.0.1.
NetBSD 5.0.1 è disponibile per il download.

Via Heise Security

Sfruttando un errore di configurazione del CMS Xoops, anonimi crackers hanno ottenuto accesso al server web principale del progetto CentOS.
Stando a Ralph Angenendt, sysadmin di CentOS, non sono stati rubati o manomessi dati/informazioni.
Il server a quanto pare non è stato usato neanche per operazioni di spamming.
In ogni caso come misura di sicurezza, tutti gli utenti registrati dovranno reimpostare una nuova password attraverso il sistema di recupero password di Xoops.

Nonostante siano installati sulla stessa macchina il wiki e il sistema di bug tracking non sono stati manomessi.
L’attacco è stato inizialmente scoperto venerdi’ 3 luglio quando gli amministratori si sono imbattuti in alcuni file sospetti sul server.

FONTE: Attack on CentOS project server by Heise Security

Gli sviluppatori di Samba hanno rilasciato le versioni 3.0.35, 3.2.13 e 3.3.6 per risolvere i problemi legati a due vulnerabilità, una nel smbclient e l’altra nel server
Il tool smbclient soffre di una vulnerabilità di tipo “format string attack” che può essere sfruttata usando il comando put e nomi di file malevoli.
Nelle versioni Samba 3.0.31 e 3.3.5 è possibile eseguire codice arbitrario in certi casi.
La vulnerabilità che riguarda il server interessa invece le versioni 3.2.0 e 3.2.12 di smbd: questa consente di cambiare a piacimento i permessi di un file scrivibile.
Il problema è dovuto ad una mancata inizializzazione di alcuni dati applicativi.
In aggiunta alle nuove versioni, disponibili anche le relative patch.

RIFERIMENTI:
* Security updates for Samba, by Heise Security
* Formatstring vulnerability in smbclient, Samba advisory.
* Uninitialized read of a data value, Samba advisory.

Sulla homepage del noto opensource webmailer Squirrelmail, campeggia il messaggio che informa dell’avvenuto cracking al webserver del progetto in data 16 giugno.
A seguito dell’accaduto gli amministratori hanno sospeso tutti gli accounts e resettato tutte le password più cruciali.
Disabilitato anche l’accesso al server originale e a tutti i plug-ins: si tratta di una misura precauzionale finchè non si sarà certi che nessuno di questi sia stato compromesso a livello di codice.
Ancora sconosciute restano le modalità con cui i crackers hanno avuto accesso al sistema.
Fortunamente il codice sorgente di SquirrelMail non è a rischio visto che è localizzato su un server completamente diverso.
Tuttavia i phishers hanno approfittato dell’accaduto cominciando una campagna di spam mirata.
Nelle mail infatti si millanta che le versioni 1.4.11, 1.4.12 e 1.4.13 sono state compromesse dall’introduzione di una backdoor, consigliando cosi’ agli utenti di passare alla 1.4.15.
Ecco il contenuto del messaggio:
“Due to the package compromise of 1.4.11,1.4.12 and 1.4.13, we are forced to release 1.4.15 to ensure no confusions.
While initial review didn’t uncover a need for concern, several proof of concepts show that the package
alterations introduce a high risk security issue, allowing remote inclusion of files.
These changes would allow a remote user the ability to execute exploit code on a victim machine,
without any user interaction on the victim’s server. This could grant the attacker the ability to
deploy further code on the victim’s server.
We STRONGLY advise all users of 1.4.11, 1.4.12 and 1.4.13 upgrade immediately.”

L’email contiene naturalmente un link che porta ad una pagina di login SquirrelMail contraffatta.
Va chiarito tuttavia che la versione attuale è la 1.4.19 e come detto sopra non ci sono possibilità che il codice sorgente sia stato manipolato.

RIFERIMENTI:
– SquirrelMail open source project’s web server hacked, by Heise Security

Sun ha rilasciato la versione 2.1 di OpenESB, la versione free di Enterprise Service Bus per l’application server Glassfish.
ESB può essere usato come piattaforma negli ambiti di Business Integration (BI), Enterprise Application Integration (EAI) e Service Oriented Architecture (SOA).
OpenESB è basato sullo standard e supporta svariate funzionalità di interoperabilità.

Con la nuova versione l’installazione di Glassfish/ESB su larga scala dovrebbe essere semplificata, visto il supporto attuale al clustering per tutti i componenti.
Tra le nuove features incluse:
– un componente per lo scheduling basato sul package Quartz
– un Service Engine per Complex Event Processing (CEP)
Fixati anche numerosi bug e altri cambiamenti consultabili direttamente nelle release notes.
OpenESB è disponibile sotto la Common Development and Distribution License (CDDL).
Glassfish ESB è disponibile in un unico pacchetto di installazione contenente l’application server GlassFish e l’ide Netbeans.

Riferimenti:
– OpenESB 2.1 released by Heise OpenSource

Gli sviluppatori di TrueCrypt hanno rilasciato la versione 6.2a del loro tool di encryption open source e multipiattaforma.
La release corrente include miglioramenti nelle performance della fase di creazione di un file container e fixa un errore che sorge a seguito del decrypt del sistema su macchine Windows.
Inclusi anche alcuni bug fixes per la release 6.2 rilasciata a inizio mese.

Per il futuro sono previsti il supporto a Windows 7, opzioni da command line per la creazione di volumi e volumi CD/DVD “Raw”.
TrueCrypt 6.2a è disponibile per piattaforme Windows 2000, XP, Vista, Mac OS X e Linux.

Fonte: TrueCrypt 6.2a released by Heise Security

Il team di sviluppatori dell’Interactive Computing Lab dell’accademia aeronautica ENAC (Ecole Nationale de l’Aviation Civile) di Tolosa, hanno creato il prototipo dei drivers Linux multi-touch.
A differenza della tecnologia Multi-Pointer X (MPX) che è attualmente integrata in X.Org 7.5 e X Server 1.7, i drivers ENAC lavorano direttamente a livello kernel e possono fornire supporto nativo al multi-touch.

All’inizio la tecnologia potrebbe essere usata sui dispositivi embedded.
Il supporto multi-touch richiede l’ultima versione 2.6.30 del Kernel Linux.

L’applicazione di demo riconosce i movimenti multi-touch e invia messaggi D-Bus (un meccanismo di comunicazione IPC) al window manager Compiz 3D per creare i relativi effetti.
Qui sotto il video dimostrativo messo disponibile dall’ENAC.