Rilasciato OpenBSD 4.5

Gli sviluppatori OpenBSD hanno annunciato il rilascio della versione 4.5 del sistema operativo BSD UNIX-like sicuro per “definizione”.
Le novità riguardano nuove features, supporto migliorato per l’hardware, nuovi drivers e fix vari.

Inclusi i ports iniziali per la piattaforma Gumstix (xscale based) e per OpenMoko (ARM based).
Aggiunto il supporto per il virtual I/O tra i logical domains su server Sun CoolThreads.
Workstation e portatili con cpu UltraSPARC IIe riescono ad utilizzare correttamente la modalità powersaving (downscale della frequenza del processore).
Tra i nuovi tool: ypldap, un YP server che utilizza LDAP come back-end.
L’installazione consente di configurare piu’ per interfacce per il DHCP.
La versione di OpenSSH inclusa è stata aggiornata alla 5.2.

Come da tradizione non esiste una versione ufficiale gratuita su CD/DVD di OpenBSD: il team non fornisce alcuna iso.
I cd (3 in totale), assieme ad altri gadgets sono acquistabili direttamente sul sito.
Al solito invece disponibili tutti i pacchetti via FTP e scaribili per creare i propri CD personalizzati o per l’installazione di rete mediante floppy/cd di boot.

RIFERIMENTI:
Release notes della versione OpenBSD 4.5
OpenBSD 4.5 released, by Heise Open Source

Disponibile Nessus 4.0

Tenable Network Security ha annunciato pochi giorni fa il rilascio della versione 4 del suo vulnerability scanner Nessus.
Nessus è un network scanner in grado di individuare vulnerabilità in singoli sistemi o reti di computer, prevenendo così attacchi informatici di vario genere. Tra le sue funzionalità anche la capacità di verificare sugli host di una rete la presenza di prodotti antivirus correttamente aggiornati.

La nuova release supporta ora il multi-threading, migliorando così le prestazioni e riducendo il tempo impiegato per completare una scansione.
Aggiunta anche la possibilità di creare report personalizzati dei risultati grazie a XSLT.
Sia su sistemi Windows che Unix-based viene usato lo stesso motore di scansione e meccanismo di TCP SYN port scan. Tutti i tools da riga di comando sotto Unix/Linux funzionano ora perfettamente anche su Windows.
La versione 4.0 non dipende piu’ da librerie esterne, rendendo l’installazione e la configurazione piu’ semplici.
Il Nessus Attack Scripting Language (nasl) è stato inoltre rivisto e ampliato grazie al nuovo supporto per il parsing XML e funzionalità di rete varie.

Nessus 4.0 è disponibile gratuitamente per uso personale e non-aziendale, ma richiede agli utenti l’indirizzo e-mail per la registrazione.
La licenza annuale professional costa 1200$.
Maggiori informazioni circa il rilascio può essere recuperate tra le FAQ di Nessus 4.0 e la documentazione fornita.
Disponibile direttamente per il download qui: http://www.nessus.org/download/.

RIFERIMENTI:
Version 4 of the Nessus vulnerability scanner released, by Heise Security

Disponibile Firefox 3.0.8

Mozilla ha rilasciato la versione 3.0.8 di Firefox.
L’aggiornamento, annunciato martedi’, era previsto per la settimana prossima, ma il pericolosissimo bug scoperto nei giorni scorsi (e relativo exploit) ha costretto a rilasciare in anticipo l’update.

Gli aggiornamenti sono disponibili per le piattaforme Windows, Mac OS X e Linux, e fixano due vulnerabilità.
Uno è per l’appunto il problema legato al parsing XSL, scoperto da Guido Landi e precedentemente segnalato da un utente della comunità Ubuntu come problema di stabilità.
L’altra vulnerabilità riguarda la possibilità di eseguire codice, legata ad un bug del metodo XUL tree. Questo bug è stato reso noto da Nils al Pwn2Own 2009.

Disponibili le Release Notes di Firefox 3.0.8.

RIFERIMENTI:
Firefox 3.0.8 now available, by Heise Security

Nuovo firewall per il kernel Linux

Patrick McHardy del team di sviluppo Netfilter ha rilasciato una versione alpha di nftables, la nuova implementazione del firewall per il kernel Linux, assieme ad un tool user space per utilizzarlo.
nftables introduce una distinzione fondamentale tra le regole definite in user space e gli oggetti di rete nel kernel: il componente kernel funziona con dati generici come indirizzi IP, porte e protocolli e fornisce delle operazioni generiche per confronto delle informazioni di pacchetto con costanti o per scartare pacchetti.

Le regole del firewall, vengono definite attraverso il tool nft: a seguito di un controllo sono convertite in operazioni e oggetti kernel.
Da un’occhiata agli esempi nella pagina di annuncio, sembra proprio che nftables abbia una sintassi differenta da iptables.
Le regole possono essere aggiunte in maniera incrementale da command line oppure venir lette da un file appositamente scritto.

Il codice di nftables è attualmente in status alpha: contiene quindi bugs e non tutte le features sono state implementate.
E’ quindi assolutamente sconsigliato un suo utilizzo in ambiente di produzione, anche se gli sviluppatori hanno confermato che è sufficientemente robusto per poter cominciare a fare i primi esperimenti in ambienti di test.
Stando a McHardy infatti: “…tutte le funzionalità base e gran parte del resto, dovrebbero funzionare correttamente. L’ultimo crash serio al kernel si è infatti verificato mesi fa.”.

RIFERIMENTI:
New firewall for the Linux kernel, by Heise Security

Rilasciato PHP 5.2.9

Il team di sviluppo di PHP ha rilasciato la nuova versione 5.2.9 includendo oltre 50 bug fixes e alcune patches di sicurezza.
In particolar modo la funzione imagerotate() non effettuava in maniera corretta la validazione dei colori, dando cosi’ modo ad un potenziale attaccante di leggere in maniera arbitraria la memoria e di accedere a informazioni sensibili.
Altamente consigliato l’upgrade alla nuova release.

Riferimenti:
PHP 5.2.9 Release Announcement
PHP 5.2.9 published, by Heise Security

Aptana IDE bug: permessi sui file via ftp

Da un po’ di tempo a questa parte ho abbandonato definitivamente Dreamweaver come ambiente di sviluppo web e php.
Visto che per lavoro utilizzo quotidianamente Eclipse, ho pensato di impiegare questo ottimo IDE oltre che per lo sviluppo J2EE anche per piccoli progetti PHP.
E l’ho fatto mediante Aptana.
Aptana Studio è un IDE per lo sviluppo web e ajax, Eclipse-based, che puo’ essere utilizzato come applicazione standalone oppure come plugin per una installazione esistente di Eclipse.
Io ho appunto optato per quest’ultima soluzione.
Per incorporarlo in una installazione già esistente di Eclipse (nel mio caso una Eclipse Europa 3.3) è sufficiente seguire le istruzioni reperibili a questo indirizzo.
Una volta fatto questo per avere a disposizione anche strumenti e funzionalità di sviluppo PHP è sufficiente integrare l’apposito plugin (qui le istruzioni).

Dopo questa digressione su Aptana, tornando all’argomento vero e proprio del post, volevo porre l’accento su un bug che interessa la modalità di editing via FTP.
Per comodità e rapidità puo’ rivelarsi necessario intervenire direttamente via ftp su un sito/webapp già presente per modificare alcuni file o aggiungerne di nuovi in maniera immediata.
Nel far questo bisogna prestare attenzione al fatto che di default Aptana crea i nuovi file con permessi settati a 666 o rw-rw-rw.
Questa soluzione puo’ pero’ creare problemi in alcuni contesti.
Molti servizi di hosting infatti per motivi di sicurezza precludono la possibilità di impostare per file e cartelle il (w)rite bit per “All Users” e “Group Users”.
Questo comportamento è dovuto spesso all’uso di suphp (modulo per apache) o altri tool simili.
Accedendo quindi alla propria pagina php ci si potrà cosi’ trovare di fronte ad un bel messaggio d’errore “Server 500…etc.etc.”.
Va detto che per le modifiche sui file non v’è alcun problema (almeno non l’ho riscontrato), pero’ per i nuovi file che vengono creati si.
La soluzione sta quindi nel modificare a mano i permessi per i nuovi files a 644 o rw-r–r– o caricarli via qualche client ftp come Filezilla.

Attualmente infatti a quanto pare non v’è possibilità di cambiare i permessi dei file direttamente da Aptana o almeno questa funzionalità è preclusa per gli utenti della Community Edition.
Gli utenti della versione Pro invece possono intervenire seguendo queste istruzioni.

Sul forum di supporto di aptana si trovano parecchi topic a riguardo, tant’è che è stata aperta anche una segnalazione (STU-1792) sull’apposito sistema di bug tracking.
A quanto pare con la prossima versione 1.2 di Aptana dovrebbe venire introdotta una finestra di opzioni per consentire di impostare i permessi di default da assegnare ai nuovi file remoti.

Concludo semplicemente confermando la bontà di questo plugin e il consiglio per chi sviluppa webapp in Java di integrarlo comunque visto l’ottimo sistema di code assist/formatting e syntax highlighting/validation per i linguaggi Javascript, Html e Css.

Aggiornamenti di sicurezza per il CMS Drupal

In un security bullettin, gli sviluppatori del CMS Drupal hanno reso noto alcuni problemi di sicurezza che interessano le versioni 5.x e 6.x. Le maggior parte sono state classificate come “highly critical”.

Accanto ad un problema di cross-site scripting (XSS), vengono elencate due possibili attacchi di tipo cross-site request forgery (CSRF).
Problemi per il modulo di upload di Drupal 6 che contiene vulnerabilità che rendono possibile un’escalation di privilegi da parte degli utenti che hanno impostato il permesso “upload files”.
Altra vulnerabilità legata l’upload riguarda il modulo BlogAPI che non effettua una corretta validazione delle estensioni dei file caricati.

Disponibili per il download le versioni aggiornate 5.10 e 5.4 e le relative patches per versioni precedenti.

RIFERIMENTI:
* Security updates for Drupal CMS, by Heise Security
* SA-2008-047 – Drupal core – Multiple vulnerabilities, security advisory by the developers

Pericolosa falla per Joomla già in circolazione

Gli sviluppatori del noto CMS Joomla hanno fatto sapere che è già in circolazione un pericoloso exploit che sfrutta una vulnerabilità presente nelle versioni del software dalla 1.5.x alla 1.5.5.
Il bug riguarda la funzionalità di password reset e potenzialmente può consentire ad un utente di ottenere l’accesso amministrativo al CMS.

Quando viene richiesto un password reset viene inviato via mail un token.
Il problema risiede nel sistema di validazione del token quando questo viene presentato dall’utente: la falla consente infatti ad un utente non autorizzato e non autenticato di effettuare il reset della password del primo utente abilitato.
Tipicamente il primo utente attivo è quello dell’amministratore: ecco spiegata la pericolosità del bug.
Il team di Joomla fa notare come cambiando lo username dell’account di amministratore può limitare l’impatto del problema visto che l’attaccante sa solamente che sta andando a resettare la password del primo account registrato e deve indovinarne il login name.

Consigliatissimo quindi l’upgrade alla versione 1.5.6 o l’applicazione diretta della patch all’installazione esistente.
E’ necessario intervenire sul file: /components/com_user/models/reset.php
Aggiungere dopo global $mainframe, alla linea 113, il seguente snippet di codice:

if(strlen($token) != 32) {
$this->setError(JText::_('INVALID_TOKEN'));
return false;
}

Riferimenti:
Joomla suffers already-exploited critical vulnerability, by Heise Security
Joomla 1.5.x Remote Admin Password Change, by Milw0rm

Disponibile Thunderbird 2.0.0.14

A distanza di due settimane dal rilascio della versione aggiornata 2.0.0.14 di Mozilla Firefox, è ora disponibile l’update anche per il client di posta Thunderbird.
La nuova versione corregge due bug di sicurezza che consentivano l’injection di codice.

Entrambe le vulnerabilità sono legate a Javascript, fortunatamente disabilitato di default in Thunderbird.
Il security bullettin MFSA2008-15 discute circa la possibilità di crash del programma e code-injection.
Il report MFSA2008-14 spiega come un attaccante possa sfruttare Javascript per elevare i propri privilegi di sistema e eseguire codice arbitrario.
L’update è disponibile direttamente sul sito Mozilla o attraverso la classica funzionalità “Check for Updates” dal menu Help.

Maggiori informazioni:
* Thunderbird 2.0.0.14 E-mail client available, by Heise Security
* Thunderbird 2 Release Notes for Thunderbird 2.0.0.14
* List of the security holes closed in Thunderbird 2.0.0.14
* Download Thunderbird 2.0.0.14

Patchato pericoloso bug in rsync

Gli sviluppatori del noto tool di sincronizzazione e trasferimento dati rsync hanno rilasciato la versione 3.0.2 che chiude una pericolosa vulnerabilità. Un buffer overflow legato agli extended attributes (xattr) consentirebbe l’injection remota e l’esecuzione di codice arbitrario sui sistemi attaccati.
Nonostante le versioni dalla 2.6.9 alla 3.0.1 di rsync siano affette dal problema, la funzionalità xattr non è supporta di default su tutti i sistemi.

L’aggiornamento risolve il problema. In alternativa gli utenti che usano il demone rsync possono editare il file di configurazione /etc/rsyncd.conf e aggiungere/modificare la seguente linea:
refuse options = xattrs

Già disponibili i packages aggiornati per la stragrande maggioranza di distribuzioni linux.

Informazioni aggiuntive:
* Xattr security fix in 3.0.2, security advisory by the developers
* Security hole closed in rsync file transfer tool, by Heise Security