WordPress 2.8.5: obiettivo sicurezza

La nuova versione di WordPress, la 2.8.5, rilasciata nei giorni scorsi promette maggiore sicurezza.
Descritta dal team di sviluppo come una “hardening release“, include un buon numero di funzioni retro-portate dalla versione 2.9 beta che dovrebbero rendere la piattaforma di blogging più resistente agli attacchi.

Peter Westwood
, sviluppatore del progetto, ha evidenziato che tra questi fix sono presenti quello legato al problema di attacchi DoS al sistema di Trackback e la cancellazione di porzioni di codice che permettevano l’esecuzione di script PHP in variabili attraverso l’uso della funzione eval().

Gli amministratori inoltre non saranno più in grado di effettuare l’upload di files arbitrari nella media library: ricordiamo che la white list di estensioni consentite finora era applicata solo agli utenti normali.
Lo scopo è rendere più difficile ad un eventuale attaccante che abbia compromesso un account amministrativo, di effettuare l’upload e l’esecuzione di codice PHP.

Il team raccomanda altresì di installare il plugin “WordPress Exploit Scanner” che consente di rilevare potenziali tracce di intrusione sui propri siti/blog.
Il plugin infatti cerca nei file e nel database (post, commenti, tag etc.) la presenza di potenziale codice malevole, tenendo di fatto sotto controllo anche la lista dei plugin attivi.
Come lo stesso sviluppatore dell’estensione Donncha O Caoimh tiene a sottolineare, questo plugin non previene in alcun modo eventuali attacchi.

Asus pubblica i sorgenti di Linux per Eee PC Seashell

ASUS ha pubblicato nei giorni scorsi i sorgenti Linux per la propria linea di netbook Seashell.
Fino ad ora infatti i netbook Asus sono stati messi in vendita anche in versioni che montavano Linux come sistema operativo pre-installato: tipicamente il prezzo di vendita al pubblico era inferiore rispetto allo stesso modello con Windows XP Home.

Con il rilascio dei modelli 1008HA e 1005HA (linea Seashell appunto) le uniche versioni disponibili sul mercato prevedevano Windows XP come OS installato.
Non era infatti prevista una versione che montasse il sistema operativo open source, anche se dopo questa mossa di ASUS molti sono propensi a credere che presto arriveranno i modelli basati su sistema Moblin.
La versione finale di Moblin 2.0 è stata rilasciata a fine settembre e stando agli sviluppatori, è stata testata sia su 1008HA che 1005HA.
In ogni caso Asus non ha ancora fatto dichiarazioni ufficiali a riguardo.

Il codice sorgente Linux disponibile è disponibile per le versioni 1008HA e 1005HA e consiste di circa 2.2GB, divisi in 5 parti che possono essere scaricate direttamente dal sito “Support Asus“.
I sorgenti rilasciati sarebbero conformi ai requisiti della licenza GPL, visto che viene fornito anche il codice che include le patches applicate dal produttore.

Il problema più grosso è che nonostante il codice sorgente sia completo, mancano degli script o dei file di configurazione che aiutino l’utente nel processo di compilare un sistema operativo completamente funzionante.

Aggiornamento di sicurezza per Google Chrome 3

Google ha rilasciato un update di sicurezza per la versione 3 di Chrome. La nuova versione del browser WebKit-based è la 3.0.195.24.
Il bug corretto riguarda l’implementazione della funzione dtoa() utilizzata dal motore JavaScript V8 di Chrome per parsare le stringhe in numeri floating point.

La vulnerabilità contenuta nella Chrome sandbox può essere sfruttata da un ipotetico attaccante per eseguire codice arbitrario.
Affinchè l’attacco avvenga con successo è sufficiente che l’utente visita una pagina web appositamente modificata.
Per effettuare l’aggiornamento gli utenti possono utilizzare la funzionalità built-in di update accedendovi dai menu “Tools->About Google Chrome” e cliccando sul pulsante “Update”

Fonte: Google closes vulnerability in Chrome 3

Avviare Linux da Internet via boot.kernel.org

Il sito boot.kernel.org (BKO) offre la possibilità di effettuare il boot via Internet del sistema operativo Linux.
Ancora in fase iniziale il progetto consente di provare un numero ridotto di versioni Linux sfruttando il protocollo HTTP, una connessione Internet a banda larga e il boot loader open source gPXE.
Quest’ultimo può essere utilizzato via drive USB, CD o floppy disk.

La versione corrente di BKO può avviare Debian Live, Ubuntu 9.04, Damn Small Linux, Knoppix 5.0.1 o Fedora 11 LiveCD, quest’ultima in sola versione single user mode.
E’ possibile far partire anche una serie di tools di diagnostica e ripristino.
BKO utilizza httpfs e non supporta per il momento la modalità proxy. Per migliorarne le performance in fase di start-up, gli sviluppatori stanno pensando di implementare il boot iSCSI nella prossima versione.

Una proposta analoga e alternativa è costituita dal servizio netboot.me: anch’esso fornisce il boot via Internet mediante il boot loader gPXE.

Ubuntu 10.04 si chiamerà Lucid Lynx

All’Atlanta Linux Fest, Mark Shuttleworth ha annunciato che la prossima major release, dopo la 9.10 Karmic Koala, si chiamerà Lucid Lynx.
Ubuntu 10.04 sarà inoltre una versione Long Term Support (LTS).

L’ultima release LTS di Ubuntu è stata la 8.04, nome in codice Hardy Heron, rilasciata ad aprile 2008 e che sarà supportata fino ad aprile 2011.
Ubuntu Linux 10.04 è prevista per aprile 2010, mentre per quanto riguarda la 9.10 (attualmente in alpha) si parla di fine ottobre.

Aggiornamento per PHP alla versione 5.2.11

Gli sviluppatori del linguaggio di programmazione PHP hanno rilasciato un update che porta l’ultima release alla versione 5.2.11.
L’aggiornamento si focalizza sulla stabilità apportando più di 75 bug fix, alcuni legati alla sicurezza.

Il team di sviluppo ha fixato la validazione certificati in php_openssl_apply_verification_policy e aggiunto dei sanity check in imagecolortransparent() e nel codice di processing dei file EXIF (Exchangeable Image File Format).
I dettagli completi sono visibili alla pagina delle Release notes.

Rilasciato Google Chrome 3.0

A poco più di un anno dal lancio di Google Chrome, era il 2 settembre 2008, il gigante di Mountain View ha annunciato il rilascio della versione 3 contenente numerosi bug fixes, miglioramenti e nuove funzionalità.

Secondo un post pubblicato sul blog ufficiale di Google, le performance Javascript sono state migliorate del 150% rispetto alla prima beta e di ben il 25% rispetto all’ultima stable release: tutto questo grazie agli aggiornamenti al motore Javascript V8.

La release include una nuova pagina “New Tab” riprogettata per essere personalizzabile secondo le preferenze dell’utente e customizzabili nel look-and-feel mediante il supporto built-in per i temi.
La barra degli indirizzi “Omnibox” utilizza ora icone diverse per distinguere azioni come la ricerca, bookmarks e pagine precedentemente visitate.
Il nuovo Google Chrome 3.0 inoltre introduce nuove caratteristiche HTML 5, gli elementi <audio> e <video>.

Questa ultima release inoltre corregge un problema di sicurezza riguardante i contenuti dei feed RSS o Atom, onde prevenire i tentativi di injection di codice Javascript e attacchi cross-site scripting (XSS).
La versione è disponibile in 50 lingue differenti per i sistemi operativi Windows XP e Vista.

Ancora da rilasciare invece una versione stabile per Chrome su sistemi Linux e Mac OS X.
L’ultima versione rilasciata circa una settimana fa attraverso il Developer Channel è la 4.0.207.0, e corregge alcuni bug oltre a fixare un problema di XSS.

Firefox 4.0 non prima della fine 2010

Stando alla roadmap pubblicata sul wiki di Mozilla la nuova major release del noto browser open source Firefox non vedrà la luce prima dell’ultimo trimestre del 2010.

Sembra infatti che la versione Firefox 4.0 sarà rilasciata ad ottobre o novembre del prossimo anno.

Nel frattempo compariranno le minor release 3.6 e 3.7 previste rispettivamente per la fine di quest’anno e l’inizio/metà del prossimo.

Già all’inizio di questa estate erano stati annunciati alcuni dei cambiamenti all’interfaccia di Firefox che interverranno in occasione della major release.

Accolti con favore anche i rumor di rendere il browser più Chrome-like con la separazione dei processi di UI e gestione dei contenuti Web.

Sempre da Google Chrome dovrebbe essere ripresa l’idea un processo per ogni tab onde evitare fastidiosi crash e perdite di sessioni, rendendo così più stabile la navigazione.

Con tutta probabilità Mozilla sceglierà di rilasciare Firefox 3.6 in un periodo concomitante l’uscita del nuovo Microsoft Windows 7, prevista il 22 ottobre prossimo.

La versione codenamed Namoroka e basata su Gecko 1.9.2 porterà con sé alcuni miglioramenti tra cui una migliore browser-interaction, temi più leggeri, migliorie al motore Javascript TraceMonkey e un restore delle sessioni più affidabile.

Rilasciato NetBSD 5.0.1

Gli sviluppatori NetBSD hanno annunciato il rilascio di NetBSD 5.0.1, il primo aggiornamento di sicurezza per il sistema operativo NetBSD 5.0.
L’update risolve 11 problemi, tra cui quelli di Denial of Service (DoS) ai danni di BIND e DHCP, i buffer overflow in SHA2, ntp e hack, i bug in OpenSSL.

NetBSD 5.0 è stato rilasciato in aprile introducendo miglioramenti al threading e uno scheduler completamente riscritto.
Fixati con questo rilascio una serie di bug non legati alla sicurezza.
I dettagli completi dei cambiamenti introdotti disponibili nel file CHANGES-5.0.1.
NetBSD 5.0.1 è disponibile per il download.

Via Heise Security

Attaccato il server del progetto CentOS

Sfruttando un errore di configurazione del CMS Xoops, anonimi crackers hanno ottenuto accesso al server web principale del progetto CentOS.
Stando a Ralph Angenendt, sysadmin di CentOS, non sono stati rubati o manomessi dati/informazioni.
Il server a quanto pare non è stato usato neanche per operazioni di spamming.
In ogni caso come misura di sicurezza, tutti gli utenti registrati dovranno reimpostare una nuova password attraverso il sistema di recupero password di Xoops.

Nonostante siano installati sulla stessa macchina il wiki e il sistema di bug tracking non sono stati manomessi.
L’attacco è stato inizialmente scoperto venerdi’ 3 luglio quando gli amministratori si sono imbattuti in alcuni file sospetti sul server.

FONTE: Attack on CentOS project server by Heise Security