WordPress 2.8.5: obiettivo sicurezza

La nuova versione di WordPress, la 2.8.5, rilasciata nei giorni scorsi promette maggiore sicurezza.
Descritta dal team di sviluppo come una “hardening release“, include un buon numero di funzioni retro-portate dalla versione 2.9 beta che dovrebbero rendere la piattaforma di blogging più resistente agli attacchi.

Peter Westwood
, sviluppatore del progetto, ha evidenziato che tra questi fix sono presenti quello legato al problema di attacchi DoS al sistema di Trackback e la cancellazione di porzioni di codice che permettevano l’esecuzione di script PHP in variabili attraverso l’uso della funzione eval().

Gli amministratori inoltre non saranno più in grado di effettuare l’upload di files arbitrari nella media library: ricordiamo che la white list di estensioni consentite finora era applicata solo agli utenti normali.
Lo scopo è rendere più difficile ad un eventuale attaccante che abbia compromesso un account amministrativo, di effettuare l’upload e l’esecuzione di codice PHP.

Il team raccomanda altresì di installare il plugin “WordPress Exploit Scanner” che consente di rilevare potenziali tracce di intrusione sui propri siti/blog.
Il plugin infatti cerca nei file e nel database (post, commenti, tag etc.) la presenza di potenziale codice malevole, tenendo di fatto sotto controllo anche la lista dei plugin attivi.
Come lo stesso sviluppatore dell’estensione Donncha O Caoimh tiene a sottolineare, questo plugin non previene in alcun modo eventuali attacchi.

Avira AntiVir problemi di aggiornamento

Un aggiornamento di grosse dimensioni per gli utenti dei prodotti anti-virus Avira AntiVir ha causato problemi agli utenti della versione free Avira Antivir Personal.
Tentando di scaricare gli aggiornamenti delle ultime firme hanno riscontrato comportamenti anomali tra cui l’errata risposta da parte del programma che indicava che nessun update era disponibile.
Il problema è stato causato da un sovraccarico dei server Avira.

Dirk Knop, technical editor Avira, ha dichiarato che gli utenti dei prodotti Avira AntiVir Premium, Avira Premium Security Suite e Professional non hanno riscontrato alcun inconveniente visto che per le versioni a pagamento sono previsti server e banda dedicati.
I problemi (riscontrati ieri) sembrano al momento risolti e anche gli utenti della versione free dovrebbero essere in grado di aggiornare correttamente.
L’azienda ha dichiarato che nel giro di due settimane renderanno disponibile un sistema più performante in grado di far fronte alle elevate richieste di update quotidiane da parte delle versioni free.

Rilasciato Google Chrome 3.0

A poco più di un anno dal lancio di Google Chrome, era il 2 settembre 2008, il gigante di Mountain View ha annunciato il rilascio della versione 3 contenente numerosi bug fixes, miglioramenti e nuove funzionalità.

Secondo un post pubblicato sul blog ufficiale di Google, le performance Javascript sono state migliorate del 150% rispetto alla prima beta e di ben il 25% rispetto all’ultima stable release: tutto questo grazie agli aggiornamenti al motore Javascript V8.

La release include una nuova pagina “New Tab” riprogettata per essere personalizzabile secondo le preferenze dell’utente e customizzabili nel look-and-feel mediante il supporto built-in per i temi.
La barra degli indirizzi “Omnibox” utilizza ora icone diverse per distinguere azioni come la ricerca, bookmarks e pagine precedentemente visitate.
Il nuovo Google Chrome 3.0 inoltre introduce nuove caratteristiche HTML 5, gli elementi <audio> e <video>.

Questa ultima release inoltre corregge un problema di sicurezza riguardante i contenuti dei feed RSS o Atom, onde prevenire i tentativi di injection di codice Javascript e attacchi cross-site scripting (XSS).
La versione è disponibile in 50 lingue differenti per i sistemi operativi Windows XP e Vista.

Ancora da rilasciare invece una versione stabile per Chrome su sistemi Linux e Mac OS X.
L’ultima versione rilasciata circa una settimana fa attraverso il Developer Channel è la 4.0.207.0, e corregge alcuni bug oltre a fixare un problema di XSS.

Disponibile iPhone OS 3.1

Apple ha rilasciato la nuova versione del proprio sistema operativo per iPhone e iPod touch: disponibili infatti iPhone OS 3.1 e iPhone OS 3.1.1 rispettivamente.
L’aggiornamento è piuttosto corposo, all’incirca 300MB, e porta con sé numerosi miglioramenti, funzionalità e soprattutto bug fixing legati alla sicurezza.

La nuova versione migliora le informazioni per l’utente in fase di installazione applicazioni che facciano affidamento su altre già presenti nel dispositivo. Migliorate le performace Wi-Fi con Bluetooth attivo. Safari Mobile ha ora una nuova funzionalità anti-phishing.

La maggioranza degli aggiornamenti di sicurezza sono legati a errori in WebKit che consente l’injection e esecuzione di codice malevole nel dispositivo quando un utente visita determinati siti.
Incluso nel pacchetto anche l’aggiornamento riguardante il famoso bug degli SMS già corretto nella release 3.0.1 di inizio agosto.

Gli utenti iPod touch che non hanno ancora aggiornato alla versione iPhone OS 3.x, possono farlo ora comprando l’update su iTunes Store a 4.95$.

Adobe e Oracle ritardano i loro patch days

Sia Adobe che Oracle hanno confermato il ritardo per i rispettivi patch days pianificati in ottobre.
Per Oracle la scelta è legata alla conferenza “OpenWorld 2009 Oracle” che si svolgerà tra l’11 e il 15 ottobre e che tipicamente attrae un gran numero di utilizzatori, amministratori e sviluppatori Oracle.
Questo onde evitare che gli interessati (in particolar modo gli amministratori) si trovino a scegliere tra aggiornare i sistemi e seguire i talk.
La data schedulata per il Critical Patch Update (CPU) trimestrale slitterà dal 13 al 20 ottobre.
I CPUs successivi sono invece previsti regolarmente per il 12 gennaio 2010, 13 aprile 2010 e 13 luglio 2010.

Adobe ha annunciato che la data prevista per i prossimi aggiornamenti per Adobe Acrobat e Reader sono previsti per il 13 ottobre.
Il vendor ha chiamato in causa le vulnerabilità scoperte di recente nella Microsoft Active Template Library (ATL), che affliggono numero prodotti.
Tutto ciò comporterà appunto un ritardo nel ciclo di patch trimestrale introdotto in primavera, visto che il fix su questi bug ha la priorità su quelli scoperti internamente.

RIFERIMENTI:
Adobe and Oracle delay their patch days, by Heise Security

IDPhotoStudio: stampa le tue fototessere in casa

Alzi la mano a chi non è mai capitato di dover stampare un paio di fototessere proprie, di parenti e/o amici.
Quello che capita spesso è di avere in casa una sola fototessera ma magari ne servono 3 o 4 per un documento da richiedere.

Che fare allora? Recarsi dal fotografo e farne di nuove oppure pensarci da soli col semplice aiuto di uno scanner, stampante e un foglio di carta fotografica?
Se aggiungiamo a questo IDPhotoStudio il gioco è fatto!

Il software è gratuito e localizzato anche in italiano: consente di scegliere la foto e il suo formato (disponibili le dimensioni preimpostate per le varie nazionalità) oltre a consentire di impostare il numero di fotografie da stampare sul foglio.
Il risultato è assicurato! Provare per credere! 😀

Filemon e Regmon pronti al pensionamento

Nella pagina dei blog technet dedicati ai tools Sysinternals si legge che Filemon e Regmon verranno “dismessi” 01/09/2009.

Tra poco più di un mese quindi, due tra i tools più diffusi per l’analisi di un sistema Windows (malware e virus inspection in particolare) andranno definitivamente in pensione.
Gli utenti dovranno fare quindi riferimento al tool Procmon (giunto alla versione 2.5).
Tra le note si mette in evidenza come Process Monitor sarà il “naturale sostituto” per RegMon e FileMon, in virtù anche del fatto di essere più scalabile e avanzato dei suoi predecessori.

Questi due tools hanno avuto lunga vita, essendo nati già nel 1996 agli inizi di Sysinternals (originariamente NTinternals), e i fans dovranno dirgli addio a partire dal 1 settembre visto che verranno rimossi dal sito.

ColdFusion nel mirino dei crackers

A quanto pare in questi ultimi giorni si stanno registrando ondate di attacchi che prendono di mira web applications scritte con ColdFusion (CFML).
I ricercatori del SANS hanno ricevuto infatti notifiche di intrusioni che riguardano l’exploiting di vulnerabilità presenti in vecchie versioni di ColdFusion.
In particolare il problema interessa due componenti delle applicazioni ColdFusion: l’editor di testo FCKEditor e il filemanager CKFinder. Una volta compromessa l’applicazione, gli attaccanti hanno pieno controllo sulla macchina server.
Bojan Zdrnja, ricercatore presso il SANS, fa sapere che le pagine web compromesse tipicamente riportano all’interno del codice html tag <script> che fanno puntare a siti web contenenti ogni sorta di malware, pronto per essere scaricato/installato al fine di sfruttare eventuali vulnerabilità sulle macchine degli utenti.

Il consiglio è quindi quello di verificare le installazioni ColdFusion esistenti ed eventualmente patchare i sistemi. Gli amministratori dovrebbero anche controllare l’eventuale presenza di applicazioni ColdFusion “vecchie” e mai disinstallate: anche queste potrebbero essere un potenziale target degli attacchi.

Aggiornamenti di sicurezza per Samba

Gli sviluppatori di Samba hanno rilasciato le versioni 3.0.35, 3.2.13 e 3.3.6 per risolvere i problemi legati a due vulnerabilità, una nel smbclient e l’altra nel server
Il tool smbclient soffre di una vulnerabilità di tipo “format string attack” che può essere sfruttata usando il comando put e nomi di file malevoli.
Nelle versioni Samba 3.0.31 e 3.3.5 è possibile eseguire codice arbitrario in certi casi.
La vulnerabilità che riguarda il server interessa invece le versioni 3.2.0 e 3.2.12 di smbd: questa consente di cambiare a piacimento i permessi di un file scrivibile.
Il problema è dovuto ad una mancata inizializzazione di alcuni dati applicativi.
In aggiunta alle nuove versioni, disponibili anche le relative patch.

RIFERIMENTI:
* Security updates for Samba, by Heise Security
* Formatstring vulnerability in smbclient, Samba advisory.
* Uninitialized read of a data value, Samba advisory.

Rilasciato OpenESB 2.1

Sun ha rilasciato la versione 2.1 di OpenESB, la versione free di Enterprise Service Bus per l’application server Glassfish.
ESB può essere usato come piattaforma negli ambiti di Business Integration (BI), Enterprise Application Integration (EAI) e Service Oriented Architecture (SOA).
OpenESB è basato sullo standard e supporta svariate funzionalità di interoperabilità.

Con la nuova versione l’installazione di Glassfish/ESB su larga scala dovrebbe essere semplificata, visto il supporto attuale al clustering per tutti i componenti.
Tra le nuove features incluse:
– un componente per lo scheduling basato sul package Quartz
– un Service Engine per Complex Event Processing (CEP)
Fixati anche numerosi bug e altri cambiamenti consultabili direttamente nelle release notes.
OpenESB è disponibile sotto la Common Development and Distribution License (CDDL).
Glassfish ESB è disponibile in un unico pacchetto di installazione contenente l’application server GlassFish e l’ide Netbeans.

Riferimenti:
OpenESB 2.1 released by Heise OpenSource