Alcune falle che interassano il software di casa Mozilla, possono essere sfruttate per lanciare attacchi “drive-by-download” e conseguente esecuzione di malware, semplicemente navigando apposite pagine web.
11 vulnerabilità su 13 sono state etichettate come “critical”, poichè per l’appunto non richiedono alcuna interazione utente al di là della normale navigazione.
Una patch, è in realtà un nuovo aggiornamento per una issue che Mozilla era convinta di aver definitivamente fixato già nel mese di marzo.

Altre possibili conseguenze delle falle individuate sono attacchi di tipo cross-site scripting (XSS), Denial-of-Service (DoS) e bypass della sicurezza Java.

Ecco una lista delle vulnerabilità critiche che interessano le versioni Firefox 3.5 e 3.6:

• MFSA 2010-84 XSS hazard in multiple character encodings
• MFSA 2010-83 Location bar SSL spoofing using network error page
• MFSA 2010-82 Incomplete fix for CVE-2010-0179
• MFSA 2010-81 Integer overflow vulnerability in NewIdArray
• MFSA 2010-80 Use-after-free error with nsDOMAttribute MutationObserver
• MFSA 2010-79 Java security bypass from LiveConnect loaded via data: URL meta refresh
• MFSA 2010-78 Add support for OTS font sanitizer
• MFSA 2010-77 Crash and remote code execution using HTML tags inside a XUL tree
• MFSA 2010-76 Chrome privilege escalation with window.open and <isindex> element
• MFSA 2010-75 Buffer overflow while line breaking after document.write with long string
• MFSA 2010-74 Miscellaneous memory safety hazards (rv:1.9.2.13/ 1.9.1.16)

Gli utenti dovrebbero aver già aggiornato il proprio browser tramite il classico sistema di aggiornamento automatico, alle versioni 3.5.16 e 3.6.13.
Nel caso cosi’ non fosse, l’update è fortemente consigliato.

La nuova cifra è infatti di ben 3000$, un grosso salto se si considerano i “soli” 500$ che fin dal 2004 venivano pagati per i vari bug scoperti.

Nel programma di bug-hunting di Mozilla sono stati aggiunti due nuovi prodotti: Mozilla Services e Firefox Mobile.

Lucas Adamski, security engineer director di Mozilla, ha scritto sul blog del gruppo riguardo la nuova “taglia” e indicato quelle che sono le regole fondamentali per aggiudicarsela:

• il bug deve essere originale e mai stato pubblicato prima;
• il bug deve essere di tipo remote exploit;
• il bug deve essere individuato in una delle ultime versioni ufficiali, beta o release candidate dei vari Firefox, Firefox Mobile, Thunderbird o Mozilla Services;
• il bug non deve essere causato o individuato in plugin/estensioni di terze parti.

Vedremo quindi quali sono i passaggi da effettuare per poter utilizzare le funzionalità di stampante e scanner della nostra multifunzione.

1. colleghiamo la multifunzione via usb al PC e annulliamo l’eventuale ricerca driver, tanto dobbiamo installarli noi a mano;
2. scarichiamo dal sito di Brother i relativi pacchetti .deb che ci interessano;
3. sezione “Download->Printer Driver”: preleviamo i .deb per LPR driver e cupswrapper driver della nostra MFC-465CN;
4. sezione “Download->Scanner Driver / Scan-Key-Tool”: preleviamo i .deb per brscan2 e scan-key-tool (32/64bit);
5. installare prima il pacchetto mfc465cnlpr-1.0.1-1.i386.deb e poi il pacchetto mfc465cncupswrapper-1.0.1-1.i386.deb per la funzionalità stampante;
6. installare prima il pacchetto brscan2-0.2.4-4.i386.deb e poi il pacchetto brscan-skey-0.2.1-3.i386.deb per la funzionalità scanner.

Una piccola nota per quanto riguarda il driver cupswrapper di stampa.
Quasi sicuramente, nonostante il sistema vi dica che il pacchetto è stato installato correttamente, potreste riscontrare un problema analogo a quello evidenziato nello screenshot sottostante.

Per risolvere date semplicemente questo comando:
sudo mkdir /usr/share/cups/model
Fatto questo reinstallato il pacchetto e tutto dovrebbe filare liscio.

Futura premura sarà verificare il funzionamento della funzionalità PC-Fax visto che sul sito sono presenti i driver, oltre a testare la stampa via rete dato che la stampante la supporta essendo dotata di apposita interfaccia.

Le considerazioni di questo post riguardano l’attuale versione di Ubuntu 9.04 (Jaunty Jackalope) installata sul mio pc desktop, ma penso possano essere applicate tranquillamente alla più recente 9.10.
In particolare quello che ci serve è prelevare direttamente dal sito del progetto pidgin-facebookchat l’ultima versione, nel mio caso la 1.63.
E’ necessario inoltre procurarsi il .deb della libreria libjson-glib-1.0-0: pidgin-facebookchat infatti richiede una versione >= 0.7.6.
Quest’ultimo è disponibile direttamente da qui:
- http://mirrors.kernel.org/ubuntu/pool/main/j/json-glib/libjson-glib-1.0-0_0.7.6-0ubuntu1_i386.deb
- http://mirrors.kernel.org/ubuntu/pool/main/j/json-glib/libjson-glib-1.0-0_0.7.6-0ubuntu1_amd64.deb

Una volta installati entrambi i .deb e creato l’apposito account da Pidgin sarà possibile sfruttare la chat dal nostro programma di instant messaging preferito.
Le versioni di pidgin-facebookchat e libjson-glib-1.0-0 disponibile sui repository ufficiali e accessibili ad esempio da “Sistema->Amministrazione->Gestore pacchetti” sono datati.
Personalmente tempo addietro ho avuto modo di provarli e ho notato parecchi problemi.
Buona chat dunque!

L’ultima release vede anche l’aggiunta della direttiva INI “max_file_uploads“, che consente di limitare il numero di uploads di file per ogni richiesta: 20 è l’impostazione di default.
Questa soluzione consente di evitare potenziali tentativi di attacchi DoS (Denial of Service).
Aggiunti inoltre alcuni sanity check nella fase di processing di informazioni Exif (exchangeable image file format).

Ulteriori dettagli possono essere consultati leggendo le release notes e il change log.
Disponibile sul sito anche una migration guide per gli utenti che effettuano l’upgrade dalla versione PHP 5.2.
PHP è rilasciato attualmente sotto la licenza PHP Licence 3.01.

Il problema è stato individuato nella mancata validazione dell’input da parte dell’applicazione in una chiamata alla funzione eval(): ciò può consentire l’eventuale esecuzione di codice Javascript arbitrario.

Una volta lanciato il codice viene eseguito con i privilegi di sistema e questo consente l’accesso alle risorse della macchina bersaglio. Affinché l’attacco avvenga con successo è necessario che l’utente visiti una pagina web “contraffatta” e che sia “ingannato” e portato a cliccare su determinati pulsanti della toolbar.

Secunia ha individuato il bug nella versione 0.5.9, ma potenzialmente altre versioni potrebbero essere affette dal problema.
L’ultima versione rilasciata ovvero la 0.5.9.2 risolve il problema ma non è ancora stabile, ma taggata come “experimental“.

Gli amministratori inoltre non saranno più in grado di effettuare l’upload di files arbitrari nella media library: ricordiamo che la white list di estensioni consentite finora era applicata solo agli utenti normali.
Lo scopo è rendere più difficile ad un eventuale attaccante che abbia compromesso un account amministrativo, di effettuare l’upload e l’esecuzione di codice PHP.

Il team raccomanda altresì di installare il plugin “WordPress Exploit Scanner” che consente di rilevare potenziali tracce di intrusione sui propri siti/blog.
Il plugin infatti cerca nei file e nel database (post, commenti, tag etc.) la presenza di potenziale codice malevole, tenendo di fatto sotto controllo anche la lista dei plugin attivi.
Come lo stesso sviluppatore dell’estensione Donncha O Caoimh tiene a sottolineare, questo plugin non previene in alcun modo eventuali attacchi.

Con il rilascio dei modelli 1008HA e 1005HA (linea Seashell appunto) le uniche versioni disponibili sul mercato prevedevano Windows XP come OS installato.
Non era infatti prevista una versione che montasse il sistema operativo open source, anche se dopo questa mossa di ASUS molti sono propensi a credere che presto arriveranno i modelli basati su sistema Moblin.
La versione finale di Moblin 2.0 è stata rilasciata a fine settembre e stando agli sviluppatori, è stata testata sia su 1008HA che 1005HA.
In ogni caso Asus non ha ancora fatto dichiarazioni ufficiali a riguardo.

Il codice sorgente Linux disponibile è disponibile per le versioni 1008HA e 1005HA e consiste di circa 2.2GB, divisi in 5 parti che possono essere scaricate direttamente dal sito “Support Asus“.
I sorgenti rilasciati sarebbero conformi ai requisiti della licenza GPL, visto che viene fornito anche il codice che include le patches applicate dal produttore.

Il problema più grosso è che nonostante il codice sorgente sia completo, mancano degli script o dei file di configurazione che aiutino l’utente nel processo di compilare un sistema operativo completamente funzionante.

La vulnerabilità contenuta nella Chrome sandbox può essere sfruttata da un ipotetico attaccante per eseguire codice arbitrario.
Affinchè l’attacco avvenga con successo è sufficiente che l’utente visita una pagina web appositamente modificata.
Per effettuare l’aggiornamento gli utenti possono utilizzare la funzionalità built-in di update accedendovi dai menu “Tools->About Google Chrome” e cliccando sul pulsante “Update”

Fonte: Google closes vulnerability in Chrome 3

La versione corrente di BKO può avviare Debian Live, Ubuntu 9.04, Damn Small Linux, Knoppix 5.0.1 o Fedora 11 LiveCD, quest’ultima in sola versione single user mode.
E’ possibile far partire anche una serie di tools di diagnostica e ripristino.
BKO utilizza httpfs e non supporta per il momento la modalità proxy. Per migliorarne le performance in fase di start-up, gli sviluppatori stanno pensando di implementare il boot iSCSI nella prossima versione.

Una proposta analoga e alternativa è costituita dal servizio netboot.me: anch’esso fornisce il boot via Internet mediante il boot loader gPXE.

L’ultima release LTS di Ubuntu è stata la 8.04, nome in codice Hardy Heron, rilasciata ad aprile 2008 e che sarà supportata fino ad aprile 2011.
Ubuntu Linux 10.04 è prevista per aprile 2010, mentre per quanto riguarda la 9.10 (attualmente in alpha) si parla di fine ottobre.

Il team di sviluppo ha fixato la validazione certificati in php_openssl_apply_verification_policy e aggiunto dei sanity check in imagecolortransparent() e nel codice di processing dei file EXIF (Exchangeable Image File Format).
I dettagli completi sono visibili alla pagina delle Release notes.

Secondo un post pubblicato sul blog ufficiale di Google, le performance Javascript sono state migliorate del 150% rispetto alla prima beta e di ben il 25% rispetto all’ultima stable release: tutto questo grazie agli aggiornamenti al motore Javascript V8.

La release include una nuova pagina “New Tab” riprogettata per essere personalizzabile secondo le preferenze dell’utente e customizzabili nel look-and-feel mediante il supporto built-in per i temi.
La barra degli indirizzi “Omnibox” utilizza ora icone diverse per distinguere azioni come la ricerca, bookmarks e pagine precedentemente visitate.
Il nuovo Google Chrome 3.0 inoltre introduce nuove caratteristiche HTML 5, gli elementi <audio> e <video>.

Questa ultima release inoltre corregge un problema di sicurezza riguardante i contenuti dei feed RSS o Atom, onde prevenire i tentativi di injection di codice Javascript e attacchi cross-site scripting (XSS).
La versione è disponibile in 50 lingue differenti per i sistemi operativi Windows XP e Vista.

Ancora da rilasciare invece una versione stabile per Chrome su sistemi Linux e Mac OS X.
L’ultima versione rilasciata circa una settimana fa attraverso il Developer Channel è la 4.0.207.0, e corregge alcuni bug oltre a fixare un problema di XSS.

Sembra infatti che la versione Firefox 4.0 sarà rilasciata ad ottobre o novembre del prossimo anno.

Nel frattempo compariranno le minor release 3.6 e 3.7 previste rispettivamente per la fine di quest’anno e l’inizio/metà del prossimo.

Già all’inizio di questa estate erano stati annunciati alcuni dei cambiamenti all’interfaccia di Firefox che interverranno in occasione della major release.

Accolti con favore anche i rumor di rendere il browser più Chrome-like con la separazione dei processi di UI e gestione dei contenuti Web.

Sempre da Google Chrome dovrebbe essere ripresa l’idea un processo per ogni tab onde evitare fastidiosi crash e perdite di sessioni, rendendo così più stabile la navigazione.

Con tutta probabilità Mozilla sceglierà di rilasciare Firefox 3.6 in un periodo concomitante l’uscita del nuovo Microsoft Windows 7, prevista il 22 ottobre prossimo.

La versione codenamed Namoroka e basata su Gecko 1.9.2 porterà con sé alcuni miglioramenti tra cui una migliore browser-interaction, temi più leggeri, migliorie al motore Javascript TraceMonkey e un restore delle sessioni più affidabile.

NetBSD 5.0 è stato rilasciato in aprile introducendo miglioramenti al threading e uno scheduler completamente riscritto.
Fixati con questo rilascio una serie di bug non legati alla sicurezza.
I dettagli completi dei cambiamenti introdotti disponibili nel file CHANGES-5.0.1.
NetBSD 5.0.1 è disponibile per il download.

Via Heise Security

Nonostante siano installati sulla stessa macchina il wiki e il sistema di bug tracking non sono stati manomessi.
L’attacco è stato inizialmente scoperto venerdi’ 3 luglio quando gli amministratori si sono imbattuti in alcuni file sospetti sul server.

FONTE: Attack on CentOS project server by Heise Security

RIFERIMENTI:
* Security updates for Samba, by Heise Security
* Formatstring vulnerability in smbclient, Samba advisory.
* Uninitialized read of a data value, Samba advisory.

L’email contiene naturalmente un link che porta ad una pagina di login SquirrelMail contraffatta.
Va chiarito tuttavia che la versione attuale è la 1.4.19 e come detto sopra non ci sono possibilità che il codice sorgente sia stato manipolato.

RIFERIMENTI:
– SquirrelMail open source project’s web server hacked, by Heise Security

Con la nuova versione l’installazione di Glassfish/ESB su larga scala dovrebbe essere semplificata, visto il supporto attuale al clustering per tutti i componenti.
Tra le nuove features incluse:
– un componente per lo scheduling basato sul package Quartz
– un Service Engine per Complex Event Processing (CEP)
Fixati anche numerosi bug e altri cambiamenti consultabili direttamente nelle release notes.
OpenESB è disponibile sotto la Common Development and Distribution License (CDDL).
Glassfish ESB è disponibile in un unico pacchetto di installazione contenente l’application server GlassFish e l’ide Netbeans.

Riferimenti:
– OpenESB 2.1 released by Heise OpenSource

Per il futuro sono previsti il supporto a Windows 7, opzioni da command line per la creazione di volumi e volumi CD/DVD “Raw”.
TrueCrypt 6.2a è disponibile per piattaforme Windows 2000, XP, Vista, Mac OS X e Linux.

Fonte: TrueCrypt 6.2a released by Heise Security

All’inizio la tecnologia potrebbe essere usata sui dispositivi embedded.
Il supporto multi-touch richiede l’ultima versione 2.6.30 del Kernel Linux.

L’applicazione di demo riconosce i movimenti multi-touch e invia messaggi D-Bus (un meccanismo di comunicazione IPC) al window manager Compiz 3D per creare i relativi effetti.
Qui sotto il video dimostrativo messo disponibile dall’ENAC.

Link per effettuare il download della nuova versione 1.4.18.

Riferimenti:
– Security Update for SquirrelMail, by Heise Security

Dai test effettuati il team ha confermato che il sistema sembra stabile con queste nuove impostazioni, tuttavia non è ancora confermato se i nuovi driver offriranno offriranno un supporto certo a questa funzionalità.
Si tratta infatti di un test puramente sperimentale visto che i drivers non sono stati ancora ufficialmente integrati in Ubuntu 9.04.

RIFERIMENTI:
- Updated graphics drivers for Ubuntu 9.04, by Heise OpenSource

Micro Framework è un runtime .NET per devices “ridotti” che non sono supportati dal Microsoft .NET Compact Framework o dalla versione embedded Windows CE.
Il framework non supporta sistemi operativi real time, ma supporta processori ARM7 e ARM9 e dispone della funzionalità di garbage collection per la memoria.

RIFERIMENTI:
- .NET Micro Framework could become open source, by Heise OpenSource

Gli sviluppatori Mozilla affermano che i vantaggi saranno tutti in performance e stabilità: utilizzare processi separati per l’UI e per i contenuti consentirà di avere un browser che non si blocca quando ci sono problemi con un sito web. Le versioni attuali di Firefox sono costituite da un unico processo.
Un’anteprima semi-funzionante del browser è prevista per metà luglio, seguita dal rilascio della maggior parte del codice per l’inizio di Novembre assieme a tweaks su performace e stabilità.
Ignota invece la data di un rilascio finale.

Mozilla sta altresì prendendo in considerazione l’idea di utilizzare lo stack di rete “preso” da Chromium per rimpiazzare Necko, la loro libreria di rete.

RIFERIMENTI:
- Future Firefox to run separate processes, by Heise Open Source

OpenOffice 3.1, nelle sue versioni per Windows, Linux, Solaris e Mac OS X è scaricabile gratuitamente dal sito ufficiale di OpenOffice.

Inclusi i ports iniziali per la piattaforma Gumstix (xscale based) e per OpenMoko (ARM based).
Aggiunto il supporto per il virtual I/O tra i logical domains su server Sun CoolThreads.
Workstation e portatili con cpu UltraSPARC IIe riescono ad utilizzare correttamente la modalità powersaving (downscale della frequenza del processore).
Tra i nuovi tool: ypldap, un YP server che utilizza LDAP come back-end.
L’installazione consente di configurare piu’ per interfacce per il DHCP.
La versione di OpenSSH inclusa è stata aggiornata alla 5.2.

Come da tradizione non esiste una versione ufficiale gratuita su CD/DVD di OpenBSD: il team non fornisce alcuna iso.
I cd (3 in totale), assieme ad altri gadgets sono acquistabili direttamente sul sito.
Al solito invece disponibili tutti i pacchetti via FTP e scaribili per creare i propri CD personalizzati o per l’installazione di rete mediante floppy/cd di boot.

RIFERIMENTI:
- Release notes della versione OpenBSD 4.5
- OpenBSD 4.5 released, by Heise Open Source

La nuova release supporta ora il multi-threading, migliorando così le prestazioni e riducendo il tempo impiegato per completare una scansione.
Aggiunta anche la possibilità di creare report personalizzati dei risultati grazie a XSLT.
Sia su sistemi Windows che Unix-based viene usato lo stesso motore di scansione e meccanismo di TCP SYN port scan. Tutti i tools da riga di comando sotto Unix/Linux funzionano ora perfettamente anche su Windows.
La versione 4.0 non dipende piu’ da librerie esterne, rendendo l’installazione e la configurazione piu’ semplici.
Il Nessus Attack Scripting Language (nasl) è stato inoltre rivisto e ampliato grazie al nuovo supporto per il parsing XML e funzionalità di rete varie.

Nessus 4.0 è disponibile gratuitamente per uso personale e non-aziendale, ma richiede agli utenti l’indirizzo e-mail per la registrazione.
La licenza annuale professional costa 1200$.
Maggiori informazioni circa il rilascio può essere recuperate tra le FAQ di Nessus 4.0 e la documentazione fornita.
Disponibile direttamente per il download qui: http://www.nessus.org/download/.

RIFERIMENTI:
- Version 4 of the Nessus vulnerability scanner released, by Heise Security

Gli aggiornamenti sono disponibili per le piattaforme Windows, Mac OS X e Linux, e fixano due vulnerabilità.
Uno è per l’appunto il problema legato al parsing XSL, scoperto da Guido Landi e precedentemente segnalato da un utente della comunità Ubuntu come problema di stabilità.
L’altra vulnerabilità riguarda la possibilità di eseguire codice, legata ad un bug del metodo XUL tree. Questo bug è stato reso noto da Nils al Pwn2Own 2009.

Disponibili le Release Notes di Firefox 3.0.8.

RIFERIMENTI:
- Firefox 3.0.8 now available, by Heise Security

Le regole del firewall, vengono definite attraverso il tool nft: a seguito di un controllo sono convertite in operazioni e oggetti kernel.
Da un’occhiata agli esempi nella pagina di annuncio, sembra proprio che nftables abbia una sintassi differenta da iptables.
Le regole possono essere aggiunte in maniera incrementale da command line oppure venir lette da un file appositamente scritto.

Il codice di nftables è attualmente in status alpha: contiene quindi bugs e non tutte le features sono state implementate.
E’ quindi assolutamente sconsigliato un suo utilizzo in ambiente di produzione, anche se gli sviluppatori hanno confermato che è sufficientemente robusto per poter cominciare a fare i primi esperimenti in ambienti di test.
Stando a McHardy infatti: “…tutte le funzionalità base e gran parte del resto, dovrebbero funzionare correttamente. L’ultimo crash serio al kernel si è infatti verificato mesi fa.”.

RIFERIMENTI:
- New firewall for the Linux kernel, by Heise Security

Riferimenti:
- PHP 5.2.9 Release Announcement
- PHP 5.2.9 published, by Heise Security

Dopo questa digressione su Aptana, tornando all’argomento vero e proprio del post, volevo porre l’accento su un bug che interessa la modalità di editing via FTP.
Per comodità e rapidità puo’ rivelarsi necessario intervenire direttamente via ftp su un sito/webapp già presente per modificare alcuni file o aggiungerne di nuovi in maniera immediata.
Nel far questo bisogna prestare attenzione al fatto che di default Aptana crea i nuovi file con permessi settati a 666 o rw-rw-rw.
Questa soluzione puo’ pero’ creare problemi in alcuni contesti.
Molti servizi di hosting infatti per motivi di sicurezza precludono la possibilità di impostare per file e cartelle il (w)rite bit per “All Users” e “Group Users”.
Questo comportamento è dovuto spesso all’uso di suphp (modulo per apache) o altri tool simili.
Accedendo quindi alla propria pagina php ci si potrà cosi’ trovare di fronte ad un bel messaggio d’errore “Server 500…etc.etc.”.
Va detto che per le modifiche sui file non v’è alcun problema (almeno non l’ho riscontrato), pero’ per i nuovi file che vengono creati si.
La soluzione sta quindi nel modificare a mano i permessi per i nuovi files a 644 o rw-r–r– o caricarli via qualche client ftp come Filezilla.

Attualmente infatti a quanto pare non v’è possibilità di cambiare i permessi dei file direttamente da Aptana o almeno questa funzionalità è preclusa per gli utenti della Community Edition.
Gli utenti della versione Pro invece possono intervenire seguendo queste istruzioni.

Sul forum di supporto di aptana si trovano parecchi topic a riguardo, tant’è che è stata aperta anche una segnalazione (STU-1792) sull’apposito sistema di bug tracking.
A quanto pare con la prossima versione 1.2 di Aptana dovrebbe venire introdotta una finestra di opzioni per consentire di impostare i permessi di default da assegnare ai nuovi file remoti.

Concludo semplicemente confermando la bontà di questo plugin e il consiglio per chi sviluppa webapp in Java di integrarlo comunque visto l’ottimo sistema di code assist/formatting e syntax highlighting/validation per i linguaggi Javascript, Html e Css.

Accanto ad un problema di cross-site scripting (XSS), vengono elencate due possibili attacchi di tipo cross-site request forgery (CSRF).
Problemi per il modulo di upload di Drupal 6 che contiene vulnerabilità che rendono possibile un’escalation di privilegi da parte degli utenti che hanno impostato il permesso “upload files”.
Altra vulnerabilità legata l’upload riguarda il modulo BlogAPI che non effettua una corretta validazione delle estensioni dei file caricati.

Disponibili per il download le versioni aggiornate 5.10 e 5.4 e le relative patches per versioni precedenti.

RIFERIMENTI:
* Security updates for Drupal CMS, by Heise Security
* SA-2008-047 – Drupal core – Multiple vulnerabilities, security advisory by the developers

Quando viene richiesto un password reset viene inviato via mail un token.
Il problema risiede nel sistema di validazione del token quando questo viene presentato dall’utente: la falla consente infatti ad un utente non autorizzato e non autenticato di effettuare il reset della password del primo utente abilitato.
Tipicamente il primo utente attivo è quello dell’amministratore: ecco spiegata la pericolosità del bug.
Il team di Joomla fa notare come cambiando lo username dell’account di amministratore può limitare l’impatto del problema visto che l’attaccante sa solamente che sta andando a resettare la password del primo account registrato e deve indovinarne il login name.

Consigliatissimo quindi l’upgrade alla versione 1.5.6 o l’applicazione diretta della patch all’installazione esistente.
E’ necessario intervenire sul file: /components/com_user/models/reset.php
Aggiungere dopo global $mainframe, alla linea 113, il seguente snippet di codice:

if(strlen($token) != 32) {
$this->setError(JText::_('INVALID_TOKEN'));
return false;
}


Riferimenti:
- Joomla suffers already-exploited critical vulnerability, by Heise Security
- Joomla 1.5.x Remote Admin Password Change, by Milw0rm

Entrambe le vulnerabilità sono legate a Javascript, fortunatamente disabilitato di default in Thunderbird.
Il security bullettin MFSA2008-15 discute circa la possibilità di crash del programma e code-injection.
Il report MFSA2008-14 spiega come un attaccante possa sfruttare Javascript per elevare i propri privilegi di sistema e eseguire codice arbitrario.
L’update è disponibile direttamente sul sito Mozilla o attraverso la classica funzionalità “Check for Updates” dal menu Help.

Maggiori informazioni:
* Thunderbird 2.0.0.14 E-mail client available, by Heise Security
* Thunderbird 2 Release Notes for Thunderbird 2.0.0.14
* List of the security holes closed in Thunderbird 2.0.0.14
* Download Thunderbird 2.0.0.14

L’aggiornamento risolve il problema. In alternativa gli utenti che usano il demone rsync possono editare il file di configurazione /etc/rsyncd.conf e aggiungere/modificare la seguente linea:
refuse options = xattrs

Già disponibili i packages aggiornati per la stragrande maggioranza di distribuzioni linux.

Informazioni aggiuntive:
* Xattr security fix in 3.0.2, security advisory by the developers
* Security hole closed in rsync file transfer tool, by Heise Security

Cowan e altri colleghi sviluppatori di AppArmor hanno lasciato (o meglio sono stati licenziati) Novell l’ottobre scorso, dopo che erano stati assunti verso la metà del 2005 in seguito all’acquisizione di Immunix.
AppArmor aggiunge uno strato di controllo al kernel Linux, salvaguardando gli accessi agli oggetti di sistema come files e porte di rete da parte dei processi.
Lo scopo è ridurre sensibilmente la possibilità di intrusioni nel sistema.

Da parte di Novell c’è stato uno sforzo continuo per tentare di integrare AppArmor all’interno del kernel Linux ufficiale mantenuto da Linus Torvalds, ma questa si è sempre trovata di fronte alla strenua opposizione della comunità degli sviluppatori.
Attualmente le distribuzioni Suse, Ubuntu e Mandriva utilizzano AppArmor, mentre Red Hat si affida a SELinux.

Dopo aver lasciato Novell, Crispin Cowan assieme ad altri due colleghi, Steve Beattie e Dominic Reynolds, aveva in progetto di continuare il suo lavoro su AppArmor in Mercenary Linux, nuova società di consulenza che avevano costituito assieme.
Non è ancora chiaro dunque se e come Cowan continuerà lo sviluppo su AppArmor pur dovendo rispettare i propri impegni lavorativi in Microsoft.

Riferimenti:
* Crispin Cowan joins the Windows Security Team! Blog entry by Michael Howard
* Linux developer switches to Microsoft’s Windows Security Team, by Heise Security

Nessuno di questi bugs è stato classificato come critico e sono già pronte le versioni 2.2.7-dev, 1.3.40-dev e 2.0.62-dev di Apache che correggono le falle in questione.
Mandriva e Redhat nel frattempo hanno già rilasciato versioni patchate dei moduli Apache.

Riferimenti:
* Cross-site scripting vulnerabilities in multiple Apache modules, by Heise Security
* Apache2 CSRF, XSS, Memory Corruption and Denial of Service Vulnerability, security advisory from SecurityReason
* Apache (mod_proxy_ftp) Undefined Charset UTF-7 XSS Vulnerability, security advisory from SecurityReason
* Apache (mod_status) Refresh Header – Open Redirector (XSS), security advisory from SecurityReason
* httpd security update, security advisory from Red Hat
* Updated apache 2.2.x packages fix multiple vulnerabilities, security advisory from Mandriva

Nonostante infatti il modulo taxonomy verifichi il contenuto prima di inoltrarlo, altri moduli non è detto che lo facciano e questo significa che la funzione in questione potrebbe ricevere parametri non filtrati.
L’advisory che questo problema interessa taxonomy_menu, ajaxLoader e ubrowser.
Secondo gli sviluppatori le versioni di Drupal precedenti la 4.7.9 e la 5.4 sono affette dal bug.
Il consiglio è comunque quello di scaricare le versioni 4.7.10 e la 5.5 visto che le due precedentemente citate nonostante abbiano corretto il problema di sicurezza hanno introdotto un ulteriore bug.
Gli sviluppatori oltre alle versioni aggiornate hanno fornito anche i relativi files .patch.

RIFERIMENTI:
* Drupal core – SQL Injection possible when certain contributed modules are enabled, advisory on Drupal.org
* Security updates for Drupal CMS, by Heise Security

Da segnalare il fatto importante che ora non possono più essere causati buffer overflows sfruttando le funzioni fnmatch, setlocale e glob.
La lista completa delle novità si trova qui: PHP 5 ChangeLog Version 5.2.5.
Gli utenti delle precedenti versioni 5.0 e 5.1 possono consultare un comodo tutorial sul come “migrare” alla nuova versione.

LINKS:
- PHP 5.2.5 Release Announcement, news release on PHP.org
- PHP 5.2.5 released, su Heise-Security