Aggiornamenti di sicurezza per Samba

Gli sviluppatori di Samba hanno rilasciato le versioni 3.0.35, 3.2.13 e 3.3.6 per risolvere i problemi legati a due vulnerabilità, una nel smbclient e l’altra nel server
Il tool smbclient soffre di una vulnerabilità di tipo “format string attack” che può essere sfruttata usando il comando put e nomi di file malevoli.
Nelle versioni Samba 3.0.31 e 3.3.5 è possibile eseguire codice arbitrario in certi casi.
La vulnerabilità che riguarda il server interessa invece le versioni 3.2.0 e 3.2.12 di smbd: questa consente di cambiare a piacimento i permessi di un file scrivibile.
Il problema è dovuto ad una mancata inizializzazione di alcuni dati applicativi.
In aggiunta alle nuove versioni, disponibili anche le relative patch.

RIFERIMENTI:
* Security updates for Samba, by Heise Security
* Formatstring vulnerability in smbclient, Samba advisory.
* Uninitialized read of a data value, Samba advisory.

Crackato il web server di Squirrelmail

Sulla homepage del noto opensource webmailer Squirrelmail, campeggia il messaggio che informa dell’avvenuto cracking al webserver del progetto in data 16 giugno.
A seguito dell’accaduto gli amministratori hanno sospeso tutti gli accounts e resettato tutte le password più cruciali.
Disabilitato anche l’accesso al server originale e a tutti i plug-ins: si tratta di una misura precauzionale finchè non si sarà certi che nessuno di questi sia stato compromesso a livello di codice.
Ancora sconosciute restano le modalità con cui i crackers hanno avuto accesso al sistema.
Fortunamente il codice sorgente di SquirrelMail non è a rischio visto che è localizzato su un server completamente diverso.
Tuttavia i phishers hanno approfittato dell’accaduto cominciando una campagna di spam mirata.
Nelle mail infatti si millanta che le versioni 1.4.11, 1.4.12 e 1.4.13 sono state compromesse dall’introduzione di una backdoor, consigliando cosi’ agli utenti di passare alla 1.4.15.
Ecco il contenuto del messaggio:
Due to the package compromise of 1.4.11,1.4.12 and 1.4.13, we are forced to release 1.4.15 to ensure no confusions.
While initial review didn’t uncover a need for concern, several proof of concepts show that the package
alterations introduce a high risk security issue, allowing remote inclusion of files.
These changes would allow a remote user the ability to execute exploit code on a victim machine,
without any user interaction on the victim’s server. This could grant the attacker the ability to
deploy further code on the victim’s server.
We STRONGLY advise all users of 1.4.11, 1.4.12 and 1.4.13 upgrade immediately.

L’email contiene naturalmente un link che porta ad una pagina di login SquirrelMail contraffatta.
Va chiarito tuttavia che la versione attuale è la 1.4.19 e come detto sopra non ci sono possibilità che il codice sorgente sia stato manipolato.

RIFERIMENTI:
SquirrelMail open source project’s web server hacked, by Heise Security

Rilasciato OpenESB 2.1

Sun ha rilasciato la versione 2.1 di OpenESB, la versione free di Enterprise Service Bus per l’application server Glassfish.
ESB può essere usato come piattaforma negli ambiti di Business Integration (BI), Enterprise Application Integration (EAI) e Service Oriented Architecture (SOA).
OpenESB è basato sullo standard e supporta svariate funzionalità di interoperabilità.

Con la nuova versione l’installazione di Glassfish/ESB su larga scala dovrebbe essere semplificata, visto il supporto attuale al clustering per tutti i componenti.
Tra le nuove features incluse:
– un componente per lo scheduling basato sul package Quartz
– un Service Engine per Complex Event Processing (CEP)
Fixati anche numerosi bug e altri cambiamenti consultabili direttamente nelle release notes.
OpenESB è disponibile sotto la Common Development and Distribution License (CDDL).
Glassfish ESB è disponibile in un unico pacchetto di installazione contenente l’application server GlassFish e l’ide Netbeans.

Riferimenti:
OpenESB 2.1 released by Heise OpenSource

Rilasciato TrueCrypt 6.2a

Gli sviluppatori di TrueCrypt hanno rilasciato la versione 6.2a del loro tool di encryption open source e multipiattaforma.
La release corrente include miglioramenti nelle performance della fase di creazione di un file container e fixa un errore che sorge a seguito del decrypt del sistema su macchine Windows.
Inclusi anche alcuni bug fixes per la release 6.2 rilasciata a inizio mese.

Per il futuro sono previsti il supporto a Windows 7, opzioni da command line per la creazione di volumi e volumi CD/DVD “Raw”.
TrueCrypt 6.2a è disponibile per piattaforme Windows 2000, XP, Vista, Mac OS X e Linux.

Fonte: TrueCrypt 6.2a released by Heise Security

Supporto nativo al multi-touch su Linux

Il team di sviluppatori dell’Interactive Computing Lab dell’accademia aeronautica ENAC (Ecole Nationale de l’Aviation Civile) di Tolosa, hanno creato il prototipo dei drivers Linux multi-touch.
A differenza della tecnologia Multi-Pointer X (MPX) che è attualmente integrata in X.Org 7.5 e X Server 1.7, i drivers ENAC lavorano direttamente a livello kernel e possono fornire supporto nativo al multi-touch.

All’inizio la tecnologia potrebbe essere usata sui dispositivi embedded.
Il supporto multi-touch richiede l’ultima versione 2.6.30 del Kernel Linux.

L’applicazione di demo riconosce i movimenti multi-touch e invia messaggi D-Bus (un meccanismo di comunicazione IPC) al window manager Compiz 3D per creare i relativi effetti.
Qui sotto il video dimostrativo messo disponibile dall’ENAC.

Aggiornamento di sicurezza per SquirrelMail

Gli sviluppatori SquirrelMail ha annunciato il rilascio della versione 1.4.18 del loro webmail frontend opensource.
Gli update risolvono numerosi problemi di sicurezza, incluse vulnerabilità di tipo XSS (cross-site scripting) e un fix sulla gestione delle sessioni che consentiva di “rubare” le credenziali di login di un utente.
Patchata anche la possibilità eseguire codice server-side: non ci sono molti dettagli a riguardo.
Aggiunti il supporto per tre nuove lingue e miglioramenti ai meccanismi dei filtri e della rubrica.

Link per effettuare il download della nuova versione 1.4.18.

Riferimenti:
Security Update for SquirrelMail, by Heise Security

Trick per aggiornare i drivers grafici di Ubuntu 9.04

Gli utenti Ubuntu possono installare le versioni aggiornate dei drivers grafici per hardware Intel, AMD/ATI e altri vendor mediante un apposito repository.
Questo consente ai possessori di hardware Intel di risolvere alcuni problemi riscontrati con l’attuale versione di Ubuntu.
Il driver Intel è disponibile come pre-release della futura versione 2.8, che fixerà alcuni bug individuati nell’attuale versione 2.6.3.
Il repository può essere aggiunto al package manager Synaptic, o attraverso l’opzione di menu Administration/Software Sources, o editando direttamente il file /etc/apt/sources.list aggiungendo le seguenti informazioni:
deb http://ppa.launchpad.net/xorg-edgers/ppa/ubuntu jaunty main
Sul sito di Heise-Online si legge come il nuovo driver abbia consentito di abilitare l’accellerazione 3D su una scheda Intel GM965 dopo aver appositamente commentato la blacklist di chipset in /usr/bin/compiz.

Dai test effettuati il team ha confermato che il sistema sembra stabile con queste nuove impostazioni, tuttavia non è ancora confermato se i nuovi driver offriranno offriranno un supporto certo a questa funzionalità.
Si tratta infatti di un test puramente sperimentale visto che i drivers non sono stati ancora ufficialmente integrati in Ubuntu 9.04.

RIFERIMENTI:
Updated graphics drivers for Ubuntu 9.04, by Heise OpenSource

.NET Micro Framework: presto opensource?

Sembra che Microsoft stia prendendo in considerazione l’idea di rendere disponibile il codice sorgente di .NET Micro Framework (MF) con licenza open source.
L’attuale team di MF sarà spostato nella divisione “Microsoft Server and Tools”.
Questa decisione pare sia il frutto dell’annuncio della scorsa settimana di adottare una serie di misure per la riduzione dei costi.
Il team ha confermato lo spostamento deciso dai “piani alti”, e in virtù appunto di questo auspica un maggiore coinvolgimento e partecipazione della comunità online.

Micro Framework è un runtime .NET per devices “ridotti” che non sono supportati dal Microsoft .NET Compact Framework o dalla versione embedded Windows CE.
Il framework non supporta sistemi operativi real time, ma supporta processori ARM7 e ARM9 e dispone della funzionalità di garbage collection per la memoria.

RIFERIMENTI:
.NET Micro Framework could become open source, by Heise OpenSource

Processi separati per le future versioni di Firefox

Secondo quanto riportato sul wiki di Mozilla, le prossime versioni di Firefox utilizzeranno due processi distinti per interfaccia grafica e gestione dei contenuti web delle pagine.
A differenza di Google Chrome e Internet Explorer 8, i tab non avranno processi dedicati: questa modifica è “prevista” molto più avanti nel tempo.

Gli sviluppatori Mozilla affermano che i vantaggi saranno tutti in performance e stabilità: utilizzare processi separati per l’UI e per i contenuti consentirà di avere un browser che non si blocca quando ci sono problemi con un sito web. Le versioni attuali di Firefox sono costituite da un unico processo.
Un’anteprima semi-funzionante del browser è prevista per metà luglio, seguita dal rilascio della maggior parte del codice per l’inizio di Novembre assieme a tweaks su performace e stabilità.
Ignota invece la data di un rilascio finale.

Mozilla sta altresì prendendo in considerazione l’idea di utilizzare lo stack di rete “preso” da Chromium per rimpiazzare Necko, la loro libreria di rete.

RIFERIMENTI:
Future Firefox to run separate processes, by Heise Open Source

Rilasciato OpenOffice 3.1

Dopo l’apparizione su vari mirrors, OpenOffice 3.1 è stato finalmente rilasciato in maniera ufficiale.
La nuova versione include svariate migliorie, tra le più evidenti i miglioramenti all’anti-aliasing per la grafica vettoriale, permettendo così di avere grafici e diagrammi con un look&feel più accattivante.
Altra novità la possibilità di includere campi proprietà custom definiti dall’utente nei documenti
Una analisi delle nuove features è consultabile qui in questo articolo: OpenOffice 3.1: The new features.

OpenOffice 3.1, nelle sue versioni per Windows, Linux, Solaris e Mac OS X è scaricabile gratuitamente dal sito ufficiale di OpenOffice.