Mettere il "freno a mano" ad un web server

L’esperto di sicurezza Robert “RSnake” Hansen ha rilasciato un tool in grado di mettere ko anche i web server più “grossi” usando un semplice PC connesso a Internet.
“Slowloris” non sfrutta particolari vulnerabilità, ma utilizza invece una feature del protocollo HTTP nota come “richieste HTTP parziali”.
I client infatti non sono costretti a forwardare l’intero contenuto di una GET o una POST in un solo passaggio, possono suddividerlo in un certo numero di query HTTP.

A seconda di come è configurato il web server, la prima richiesta può quindi fare in modo che vengano mantenute delle risorse per la response in attesa che venga completata l’intera request.
I web server vulnerabili a questa sorta di “freno a mano” remoto sono stranamente proprio quelli che implementano strategie per evitare gli overload, per esempio, consentendo solo un determinato numero di richieste HTTP parallele.
Stando a quanto dichiarato da Hansen fra questi Apache Server 1.x e 2.x, dhttpd, GoAhead WebServer e Squid. Non vulnerabili al problema IIS6.0, IIS7.0 e lighttpd.
I web server possono essere protetti mediante l’utilizzo di load balancers come Perlbal o web applications firewall che forwardino in maniera completa le richieste HTTP al server.
In caso di attacchi improvvisi, il problema può essere “mitigato”, semplicemente riducendo il parametro di time-out per le richieste http.

RIFERIMENTI:
* Remote handbrake for web servers by Heise Security
* Slowloris HTTP DoS, an explanation of the Slowloris concept from RSnake.

Citrix rilascia XenServer 5.5

E’ stata rilasciata la versione 5.5 del software di virtualizzazione Citrix XenServer.
Le nuove features includono la possibilità di connettersi a Microsoft Active Direcytory e il supporto a nuovi sistemi host, tra cui RedRed Hat Enterprise Linux (RHEL) 5.3, Debian “Lenny” 5.0 e Novell SUSE Linux Enterprise 11 (SLES).
Migliorata la gestione del backup e delle snapshot: è ora possibile effettuare le snapshot direttamente da riga di comando o attraverso la XenCenter management console.

La versione commerciale del prodotto, XenServer Essentials, include features quali bilanciamento del carico e connettività verso Citirix StorageLink services: quest’ultima configurabile solamente da riga di comando.
La versione community edition di XenServer 5.5 è disponibile per il download gratuito qui.

FONTE: Citrix XenServer 5.5 released by Heise Security

Aggiornamenti per le versioni Java di Apple

Apple ha rilasciato Java for Mac OS X 10.4 Release 9 e Java for Mac OS X 10.5 Update 4 per fixare alcune note vulnerabilità di sicurezza riguardanti la piattaforma Java.
A metà maggio, l’esperto di sicurezza Landon Fuller aveva pubblicato un exploit per Mac OS X, dimostrando quanto fosse semplice sfruttare la vulnerabilità Java.
Fin da allora Apple è stata ampiamente criticata per lasciare i propri utenti “non protetti” cosi’ a lungo.
Un’altro esperto di sicurezza, Rich Mogull, ha proposto l’introduzione di un programma “Secure Software Development” per prodotti Apple più importanti e la nomina di un Chief Security Officer (CSO) che faccia da coordinatore e da elemento trainante affinchè Apple possa rispondere in modo più veloce ed efficiente alle problematiche di sicurezza.

L’aggiornamento della “Mela” include i fix per alcune vulnerabilità critiche in Java 1.6, 1.5 e 1.4.
Una falla “extra” non riportata da Fuller è stata patchata in Mac OS X 10.5: era possibile per applet Java non firmate ottenere i privilegi per eseguire codice malevole.
L’aggiornamento rilasciato da Apple tuttavia incorpora la versione Java 6 Update 13, nonostante alla fine di maggio sia stato rilasciato l’update 14.
Stando a Sun tuttavia l’aggiornamento Java 6 Update 14 non chiude alcuna vulnerabilità, ma aggiunge una nuova funzionalità “blacklist”.
Grazie a questa, il Java Plug-in e Web Start controllano una blacklist per verificare se caricare o meno eventuali jar “malevoli” o non sicuri.

FONTE: Apple closes vulnerabilities in Java by Heise Security

Rilasciato TrueCrypt 6.2a

Gli sviluppatori di TrueCrypt hanno rilasciato la versione 6.2a del loro tool di encryption open source e multipiattaforma.
La release corrente include miglioramenti nelle performance della fase di creazione di un file container e fixa un errore che sorge a seguito del decrypt del sistema su macchine Windows.
Inclusi anche alcuni bug fixes per la release 6.2 rilasciata a inizio mese.

Per il futuro sono previsti il supporto a Windows 7, opzioni da command line per la creazione di volumi e volumi CD/DVD “Raw”.
TrueCrypt 6.2a è disponibile per piattaforme Windows 2000, XP, Vista, Mac OS X e Linux.

Fonte: TrueCrypt 6.2a released by Heise Security

Supporto nativo al multi-touch su Linux

Il team di sviluppatori dell’Interactive Computing Lab dell’accademia aeronautica ENAC (Ecole Nationale de l’Aviation Civile) di Tolosa, hanno creato il prototipo dei drivers Linux multi-touch.
A differenza della tecnologia Multi-Pointer X (MPX) che è attualmente integrata in X.Org 7.5 e X Server 1.7, i drivers ENAC lavorano direttamente a livello kernel e possono fornire supporto nativo al multi-touch.

All’inizio la tecnologia potrebbe essere usata sui dispositivi embedded.
Il supporto multi-touch richiede l’ultima versione 2.6.30 del Kernel Linux.

L’applicazione di demo riconosce i movimenti multi-touch e invia messaggi D-Bus (un meccanismo di comunicazione IPC) al window manager Compiz 3D per creare i relativi effetti.
Qui sotto il video dimostrativo messo disponibile dall’ENAC.

Adobe contro SourceForge e rtmpdump

SourceForge, uno tra i piu’ famosi hoster per progetti opensource, ha rimosso dal proprio network le pagine riguardanti il software di stream-recording rtmpdump.
Tutto questo a seguito dell’ultimatum di Adobe, che era già pronta a passare alle vie legali.
Il programma utilizza il Real-Time Messaging Protocolo (RTMP) per registrare non solo semplici media Flash, ma anche stream criptati.
Adobe ha aggiunto un sistema di crittografia al proprio protocollo proprietario con l’introduzione di Flash Media Server 3, al fine di impedire la registrazione e il download “selvaggio” dei contenuti flash.
Il protocollo RTMPE (RMTP encrypted) è stato ideato proprio a questo scopo.

Dopo essersi accorta che la sua protezione può essere scavalcata dal supporto RTMPE integrato in rtmpdump, ha fatto partire un avviso “cease-and-desist”, invocando il Digital Millennium Copyright Act (DMCA) per impedire la distribuzione del software.
Una analisi del RTMPE pubblicata di recente giunge alla conclusione che, nonostante l’algoritmo utilizzi un modello di sicurezza end-to-end simile al protocollo SSL, a differenza di questo non fornisce alcuna sicurezza o autenticazione di sorta.
Non viene utilizzata da nessuna parte una chiave segreta, una password o una pass-phrase per cifrare/decifrare il contenuto.
Il processo di verifica necessita semplicemente dell’SWFHash (hash di 32 bytes), della dimensione del file SWF, e degli ultimi 32 bytes della prima risposta del server.
Alla luce di questo sembra alquanto strano che Adobe invochi il DMCA per classificare questa situazione come un tentativo di aggirare un meccanismo di protezione delle copie.

Di certo tutto ciò non pone in buona luce Adobe di fronte ai suoi clienti,network televisivi e studios cinematografici in primis.
L’uso del protocollo RTMPE per la distribuzione di contenuti DRM-protected è diventato sempre più diffuso infatti.
Nel contempo si segnala flvstreamer, una versione “ridotta” di rtmpdump, che non include il supporto RTMPE.

RIFERIMENTI:
Adobe acts against Flash video stream recorder, by Heise OpenSource

Parameter pollution: un nuovo modo di attaccare le web applications

All’ultima conferenza OWASP, gli esperti di sicurezza italiani Luca Carettoni e Stefano Di Paola hanno dimostrato un nuovo modo di manipolare le web applications e ingannare i classici meccanismi di sicurezza: HTTP Parameter Pollution (HPP).
Questa forma di attacco consiste nell’inviare parametri in GET o POST in forma o ordine “anomalo”, o usando caratteri delimitatori strani.
Una richiesta del tipo:
GET /foo?par1=val1&par2=val2 HTTP/1.1
verrà processata in maniera classica, mentre questa:
GET /foo?par1=val1&par1=val2 HTTP/1.1
con due occorrenze dello stesso parametro par1 è suscettibile a varie interpretazioni, a seconda della routine di parsing dell’application/web server destinatario.

Stando a Carettoni e Di Paola, questo può causare comportamenti anomali e indesiderati, oltre a prestarsi a potenziali attacchi di sicurezza.
Gli stessi WAFs (Web Application Firewalls) e i moduli di sicurezza dei server sarebbero vulnerabili ad attacchi di tipo HPP.
Mentre il modulo Apache’s ModSecurity è infatti in grado di riconoscere un attacco SQL-injection come questo:
/index.aspx?page=select 1,2,3 from table where id=1
non è in grado di inviduare quest’altro:
/index.aspx?page=select 1&page=2,3 from table where id=1
La tecnica HPP potrebbe altresì essere usata per lanciare attacchi di tipo Cross-Site-Scripting (XSS) a danno dei vari web browsers.
Il filtro anti-XSS di Internet Explorer 8 è infatti tra i componenti vulnerabili.

Carettoni e Di Paola come “rimedio” consigliano un filtering appropriato e rigoroso dei parametri oltre all’uso dell’URL encoding. Suggerito anche l’uso di un URL rewriting che utilizzi espressioni regolari “sicure”.

RIFERIMENTI:
New type of attack on web applications: Parameter Pollution, by Heise Security

Aggiornamento di sicurezza per SquirrelMail

Gli sviluppatori SquirrelMail ha annunciato il rilascio della versione 1.4.18 del loro webmail frontend opensource.
Gli update risolvono numerosi problemi di sicurezza, incluse vulnerabilità di tipo XSS (cross-site scripting) e un fix sulla gestione delle sessioni che consentiva di “rubare” le credenziali di login di un utente.
Patchata anche la possibilità eseguire codice server-side: non ci sono molti dettagli a riguardo.
Aggiunti il supporto per tre nuove lingue e miglioramenti ai meccanismi dei filtri e della rubrica.

Link per effettuare il download della nuova versione 1.4.18.

Riferimenti:
Security Update for SquirrelMail, by Heise Security

Patch da Adobe per le vulnerabilità su Acrobat e Acrobat Reader

Come pre-annunciato la settimana scorsa, Adobe ha rilasciato gli aggiornamenti di sicurezza che chiudono le vulnerabilità riguardanti varie versioni dei prodotti Adobe Reader e Acrobat.
Gli update fixano un problema di buffer overflow nella funzione Javascript getAnnots() che può essere usato per mandare in crash l’applicazione o addirittura prendere il controllo del sistema.
Affinchè un attacco di questo tipo abbia successo è necessario che l’utente apra un particolare file PDF modificato.
Le versioni 9.1.1, 8.1.5 e 7.1.2 di Adobe Reader e Acrobat risolvono il bug.

La versione 9.1.1 per UNIX dell’aggiornamento risolve anche una seconda vulnerabilità riguardante la funzione Javascript ‘spell.customDictionaryOpen’.
Il metodo in questione può essere manipolato per causare un DoS (Denial of Service) o eseguire codice arbitrario.
Aggiornamento consigliato quindi, e disponibile per le piattaforme Windows, Mac e UNIX.

Riferimenti:
* Adobe closes critical Acrobat and Reader holes, by Heise Security

Trick per aggiornare i drivers grafici di Ubuntu 9.04

Gli utenti Ubuntu possono installare le versioni aggiornate dei drivers grafici per hardware Intel, AMD/ATI e altri vendor mediante un apposito repository.
Questo consente ai possessori di hardware Intel di risolvere alcuni problemi riscontrati con l’attuale versione di Ubuntu.
Il driver Intel è disponibile come pre-release della futura versione 2.8, che fixerà alcuni bug individuati nell’attuale versione 2.6.3.
Il repository può essere aggiunto al package manager Synaptic, o attraverso l’opzione di menu Administration/Software Sources, o editando direttamente il file /etc/apt/sources.list aggiungendo le seguenti informazioni:
deb http://ppa.launchpad.net/xorg-edgers/ppa/ubuntu jaunty main
Sul sito di Heise-Online si legge come il nuovo driver abbia consentito di abilitare l’accellerazione 3D su una scheda Intel GM965 dopo aver appositamente commentato la blacklist di chipset in /usr/bin/compiz.

Dai test effettuati il team ha confermato che il sistema sembra stabile con queste nuove impostazioni, tuttavia non è ancora confermato se i nuovi driver offriranno offriranno un supporto certo a questa funzionalità.
Si tratta infatti di un test puramente sperimentale visto che i drivers non sono stati ancora ufficialmente integrati in Ubuntu 9.04.

RIFERIMENTI:
Updated graphics drivers for Ubuntu 9.04, by Heise OpenSource