Sviluppatore Linux entra nel Microsoft Windows Security Team

A quanto pare la Microsoft, sarebbe riuscita a portare dalla sua parte la mente che sta dietro al framework di sicurezza Linux AppArmor.
Crispin Cowan ora è entrato a far parte del Windows Security Team che si è occupato tra le varie cose dello sviluppo dell’User Account Control (UAC) e degli integrity levels.
Cosa abbia veramente spinto Cowan a passare dall’open source al closed source è ancora sconosciuto.

Cowan e altri colleghi sviluppatori di AppArmor hanno lasciato (o meglio sono stati licenziati) Novell l’ottobre scorso, dopo che erano stati assunti verso la metà del 2005 in seguito all’acquisizione di Immunix.
AppArmor aggiunge uno strato di controllo al kernel Linux, salvaguardando gli accessi agli oggetti di sistema come files e porte di rete da parte dei processi.
Lo scopo è ridurre sensibilmente la possibilità di intrusioni nel sistema.

Da parte di Novell c’è stato uno sforzo continuo per tentare di integrare AppArmor all’interno del kernel Linux ufficiale mantenuto da Linus Torvalds, ma questa si è sempre trovata di fronte alla strenua opposizione della comunità degli sviluppatori.
Attualmente le distribuzioni Suse, Ubuntu e Mandriva utilizzano AppArmor, mentre Red Hat si affida a SELinux.

Dopo aver lasciato Novell, Crispin Cowan assieme ad altri due colleghi, Steve Beattie e Dominic Reynolds, aveva in progetto di continuare il suo lavoro su AppArmor in Mercenary Linux, nuova società di consulenza che avevano costituito assieme.
Non è ancora chiaro dunque se e come Cowan continuerà lo sviluppo su AppArmor pur dovendo rispettare i propri impegni lavorativi in Microsoft.

Riferimenti:
* Crispin Cowan joins the Windows Security Team! Blog entry by Michael Howard
* Linux developer switches to Microsoft’s Windows Security Team, by Heise Security

Moduli Apache vulnerabili a problemi di cross-site scripting

Sono state segnalate svariate falle di sicurezza in più moduli del noto web server Apache.
Tre moduli in particolare sono vulnerabili ad attacchi di tipo cross-site scripting, mentre un quarto da un attacco DoS.
I moduli interessati includono mod_status, mod_proxy_ftp, mod_proxy_balancer, mod_autoindex (solo in Apache 1.3.x) and mod_imagemap.
Nel caso del modulo mod_status, il bug puo’ essere sfruttato a scopo di phishing (previa injection di un URL particolare) o per eseguire codice Javascript sul browser dell’utente.
Il problema è dovuto ad un filtering non corretto sugli argomenti o sugli URLs passati.
Le versioni di Apache interessate sono 1.3.x, 2.0.x e 2.2.x.

Nessuno di questi bugs è stato classificato come critico e sono già pronte le versioni 2.2.7-dev, 1.3.40-dev e 2.0.62-dev di Apache che correggono le falle in questione.
Mandriva e Redhat nel frattempo hanno già rilasciato versioni patchate dei moduli Apache.

Riferimenti:
* Cross-site scripting vulnerabilities in multiple Apache modules, by Heise Security
* Apache2 CSRF, XSS, Memory Corruption and Denial of Service Vulnerability, security advisory from SecurityReason
* Apache (mod_proxy_ftp) Undefined Charset UTF-7 XSS Vulnerability, security advisory from SecurityReason
* Apache (mod_status) Refresh Header – Open Redirector (XSS), security advisory from SecurityReason
* httpd security update, security advisory from Red Hat
* Updated apache 2.2.x packages fix multiple vulnerabilities, security advisory from Mandriva

Aggiornamenti di sicurezza per Drupal CMS

Gli sviluppatori di Drupal CMS hanno rilasciato un advisory nel quale è stata evidenziata una potenziale falla di tipo SQL injection.
La funzione taxonomy_select_nodes non fa controlli sulle variabili passate alle query SQL, lasciando cosi’ spazio alla possibilità di creare istruzioni da passare al database.
Un ipotetico attaccante sarebbe dunque in grado di sfruttare la vulnerabilità per estrarre contenuti sensibili e protetti dal database.

Nonostante infatti il modulo taxonomy verifichi il contenuto prima di inoltrarlo, altri moduli non è detto che lo facciano e questo significa che la funzione in questione potrebbe ricevere parametri non filtrati.
L’advisory che questo problema interessa taxonomy_menu, ajaxLoader e ubrowser.
Secondo gli sviluppatori le versioni di Drupal precedenti la 4.7.9 e la 5.4 sono affette dal bug.
Il consiglio è comunque quello di scaricare le versioni 4.7.10 e la 5.5 visto che le due precedentemente citate nonostante abbiano corretto il problema di sicurezza hanno introdotto un ulteriore bug.
Gli sviluppatori oltre alle versioni aggiornate hanno fornito anche i relativi files .patch.

RIFERIMENTI:
* Drupal core – SQL Injection possible when certain contributed modules are enabled, advisory on Drupal.org
* Security updates for Drupal CMS, by Heise Security

Rilasciato PHP 5.2.5

E’ stata rilasciata la versione 5.2.5 di linguaggio PHP, che chiude in primis numerose vulnerabilità, ma offre anche svariate migliorie.
Stando agli sviluppatori è stata migliorata la stabilità e sono state chiuse più di 60 falle.
Di conseguenza il consiglio è quello di effettuare l’aggiornamento il prima possibile.

Da segnalare il fatto importante che ora non possono più essere causati buffer overflows sfruttando le funzioni fnmatch, setlocale e glob.
La lista completa delle novità si trova qui: PHP 5 ChangeLog Version 5.2.5.
Gli utenti delle precedenti versioni 5.0 e 5.1 possono consultare un comodo tutorial sul come “migrare” alla nuova versione.

LINKS:
PHP 5.2.5 Release Announcement, news release on PHP.org
PHP 5.2.5 released, su Heise-Security

Aggiornamento di sicurezza per Asterisk 1.4

Il gruppo di sviluppatori di Digium, ha rilasciato la versione 1.4.13 del noto software PBX Asterisk.
Con questa release vengono patchate due pericolose falle del sistema voicemail.
In Asterisk infatti il voicemail è processato via IMAP, e stando a quanto riportato da Digium nel bullettin di sicurezza il codice faceva uso di una chiamata a funzione sprintf (metodo alquanto sconsigliato visto che è preferibile usare la più sicura snprintf), con possibilità di buffer overflow.

In particolare un buffer overflow puo’ essere sfruttato per causare il crash del sistema o fare injection e eseguire codice in un terminale. Il problema si verifica quando gli headers di content type e content description sono complessivamente più di 1024 bytes.
Il report afferma che la falla puo’ essere sfruttata solo quando gli utenti accedono alla loro voicemail via telefono, l’accesso via e-mail non soffre del problema.
L’aggiornamento rimpiazza il codice “insicuro” con chiamate snprintf.
Il bug interessa solo le versioni Open Source 1.4.x del software

LINKS:
Buffer overflows in voicemail when using IMAP storage, security advisory by Digium
Security update for Asterisk 1.4, by Heise-Security

Open Source GOD: più di 480 applicazioni

Su Mashable.com è stata pubblicata nei giorni scorsi una lista definita “Open Source GOD: 480+ applications and resources“.
Il mega post raccoglie una lista di innumerevoli applicazioni dei tipi più disparati tutte rigorosamente opensource e free.
Tra le categorie:
– Accounting
– Content Management Systems
– CRM
– Desktop Environments / Shell replacements
– Email clients
– Encoding, Conversion & Ripping Tools
– ERP
– Filesharing & FTP
– Graphics-Design & Modeling Tools
– Media Players
– Messengers & Communication clients
– PDF Drivers & Tools
– Personal Information & Task Manager
– Project Management
– Reporting Tools
– RSS
– System utilities
– Office
– Web browsers

Non mi resta che augurarvi buona navigazione tra i quasi 500 links e buon download!

Evitare il messaggio "Pagina scaduta" in PHP

Se avete avuto modo di sviluppare un po’ in PHP vi sarà certamente capitato che tornando indietro da una pagina all’altra vi comparisse il messaggio d’errore “Attenzione pagina scaduta”.
Il classico esempio è una pagina di ricerca che vi restituisce i risultati, cliccate su uno per vederne i dettagli e quando cliccate sul button “Indietro” o “Back” del browser vi compare la schermata d’errore.
Il comportameno varia a seconda dei browser:

1) IE si limita a visualizzare semplicemente la pagina con l’errore

2) Firefox invece avvisa che si stanno tentando di reinviare i dati di un modulo

Cercando in rete la soluzione a questo problema sono incappato in questo interessante articolo che potete leggere qui:
Guru Speak: How to Avoid “Page Has Expired” Warnings

Succo del discorso è che per ovviare al problema basta aggiungere la seguente riga di codice:
ini_set('session.cache_limiter', 'private');
all’inizio delle pagine che danno questa seccatura.
Buon lavoro! 😀

Patch di sicurezza per Bugzilla

Gli sviluppatori hanno rilasciato una nuova versione del software open-source Bugzilla, largamente utilizzato per gestire e tenere traccia dei bugs e del loro status di avanzamento.
E’ stato pubblicato un advisory per spiegare quali vulnerabilità sono state “riparate” nella nuova versione.

Gli argomenti che vengono passati al software di invio mail dalla funzione Email::Send::Sendmail() non sono sufficientemente controllati e consentono ad un ipotetico attaccante di iniettare comandi di shell.
Non vengono inoltre adeguatamente filtrate le sequenze di caratteri per il parametro buildid all’interno del guided form;  questo lascia via libera ad attacchi di tipo cross-site scripting.
Infine le deadlines e tutti i campi relativi alle “tempistiche” possono essere visionate da chiunque, utilizzando il Bugzilla WebService (XML-RPC) , anche se non si dispongono delle autorizzazioni necessarie.

Le versioni interessate da questi problemi sono tutte quelle precendenti a quelle attualmente patchate, ovvero le 2.20.5, 2.22.3, 3.01 e la versione sviluppo 3.1.1.
L’aggiornamento è caldamente consigliato.

LINKS:

Aggiornamento di sicurezza per Joomla

La nuova versione 1.0.13 del noto CMS (content management system) Joomla è prima di tutto una release che punta sul fattore sicurezza. Sono stati fixati alcuni bug di cross-site scripting riguardanti com_search, com_content, mod_login e il front end di amministrazione.
In più sono state apportate numerosi miglioramenti, specie lato sicurezza.
Il salvataggio e mantenimento delle passwords è stato rivisto per offrire una migliore protezione.
La nuova versione offre un maggior controllo e configurazione dell’emulazione dell’opzione PHP register_globals, che come sappiamo è spesso fonte di vulnerabilità per una qualsiasi webapplication PHP.
Rafforzata anche la sicurezza delle sessioni di amministratore nei confronti di attacchi di session fixation e hijacking.

Tuttavia l’update non è un’operazione da prendere alla leggere. Il consiglio è quello di leggere attentamente la documentazione ufficiale, perchè questa nuova versione 1.0.13 ha introdotto alcuni cambiamenti radicali, primo fra tutti lo storage delle passwords.
Il rischio è quindi quello che molte estensioni di terzi parti possano non funzionare più o non correttamente, dopo la procedura di aggiornamento.
Controllate quindi prima la presenza di aggiornamenti anche per i vostri plugins preferiti!

LINKS:
Joomla! 1.0.13 Released, report su joomla.org

Tor: più sicurezza e anonimato

Gli sviluppatori del servizio di anonimizzazione Tor hanno eliminato vari problemi di sicurezza dalla loro versione 0.1.2.15.
Le vulnerabilità (ora fixate) potevano/possono essere infatti sfruttate per prendere controllo dei nodi Tor da remoto, manipolare i dati che vengono trasferiti e monitorare i comportamenti degli utenti.
Uno degli aggiornamenti elencati nelle release notes, introduce un grado maggiore di anonimato per la rete Tor.
La vulnerabilità più critica affligge gli utenti BSD che usano Tor in combinazione con il demone NAT natd.
A causa di un errore di programmazione infatti è possibile provocare un buffer overflow, che può venire sfruttato per iniettare codice malevole.
Un’altra vulnerabilità rimossa, questa volta relativa al processing degli stream IDs, consente di manipolare i dati delle connessioni che vengono forwardate attraverso i routers Tor.
Oltre a questi ed altri problemi di sicurezza, sono stati eliminati bugs generici di programmazione, che potevano causare il crash del programma.
L’update alla nuova versione è quindi caldamente consigliato!