Adobe contro SourceForge e rtmpdump

SourceForge, uno tra i piu’ famosi hoster per progetti opensource, ha rimosso dal proprio network le pagine riguardanti il software di stream-recording rtmpdump.
Tutto questo a seguito dell’ultimatum di Adobe, che era già pronta a passare alle vie legali.
Il programma utilizza il Real-Time Messaging Protocolo (RTMP) per registrare non solo semplici media Flash, ma anche stream criptati.
Adobe ha aggiunto un sistema di crittografia al proprio protocollo proprietario con l’introduzione di Flash Media Server 3, al fine di impedire la registrazione e il download “selvaggio” dei contenuti flash.
Il protocollo RTMPE (RMTP encrypted) è stato ideato proprio a questo scopo.

Dopo essersi accorta che la sua protezione può essere scavalcata dal supporto RTMPE integrato in rtmpdump, ha fatto partire un avviso “cease-and-desist”, invocando il Digital Millennium Copyright Act (DMCA) per impedire la distribuzione del software.
Una analisi del RTMPE pubblicata di recente giunge alla conclusione che, nonostante l’algoritmo utilizzi un modello di sicurezza end-to-end simile al protocollo SSL, a differenza di questo non fornisce alcuna sicurezza o autenticazione di sorta.
Non viene utilizzata da nessuna parte una chiave segreta, una password o una pass-phrase per cifrare/decifrare il contenuto.
Il processo di verifica necessita semplicemente dell’SWFHash (hash di 32 bytes), della dimensione del file SWF, e degli ultimi 32 bytes della prima risposta del server.
Alla luce di questo sembra alquanto strano che Adobe invochi il DMCA per classificare questa situazione come un tentativo di aggirare un meccanismo di protezione delle copie.

Di certo tutto ciò non pone in buona luce Adobe di fronte ai suoi clienti,network televisivi e studios cinematografici in primis.
L’uso del protocollo RTMPE per la distribuzione di contenuti DRM-protected è diventato sempre più diffuso infatti.
Nel contempo si segnala flvstreamer, una versione “ridotta” di rtmpdump, che non include il supporto RTMPE.

RIFERIMENTI:
Adobe acts against Flash video stream recorder, by Heise OpenSource

Parameter pollution: un nuovo modo di attaccare le web applications

All’ultima conferenza OWASP, gli esperti di sicurezza italiani Luca Carettoni e Stefano Di Paola hanno dimostrato un nuovo modo di manipolare le web applications e ingannare i classici meccanismi di sicurezza: HTTP Parameter Pollution (HPP).
Questa forma di attacco consiste nell’inviare parametri in GET o POST in forma o ordine “anomalo”, o usando caratteri delimitatori strani.
Una richiesta del tipo:
GET /foo?par1=val1&par2=val2 HTTP/1.1
verrà processata in maniera classica, mentre questa:
GET /foo?par1=val1&par1=val2 HTTP/1.1
con due occorrenze dello stesso parametro par1 è suscettibile a varie interpretazioni, a seconda della routine di parsing dell’application/web server destinatario.

Stando a Carettoni e Di Paola, questo può causare comportamenti anomali e indesiderati, oltre a prestarsi a potenziali attacchi di sicurezza.
Gli stessi WAFs (Web Application Firewalls) e i moduli di sicurezza dei server sarebbero vulnerabili ad attacchi di tipo HPP.
Mentre il modulo Apache’s ModSecurity è infatti in grado di riconoscere un attacco SQL-injection come questo:
/index.aspx?page=select 1,2,3 from table where id=1
non è in grado di inviduare quest’altro:
/index.aspx?page=select 1&page=2,3 from table where id=1
La tecnica HPP potrebbe altresì essere usata per lanciare attacchi di tipo Cross-Site-Scripting (XSS) a danno dei vari web browsers.
Il filtro anti-XSS di Internet Explorer 8 è infatti tra i componenti vulnerabili.

Carettoni e Di Paola come “rimedio” consigliano un filtering appropriato e rigoroso dei parametri oltre all’uso dell’URL encoding. Suggerito anche l’uso di un URL rewriting che utilizzi espressioni regolari “sicure”.

RIFERIMENTI:
New type of attack on web applications: Parameter Pollution, by Heise Security

Aggiornamento di sicurezza per SquirrelMail

Gli sviluppatori SquirrelMail ha annunciato il rilascio della versione 1.4.18 del loro webmail frontend opensource.
Gli update risolvono numerosi problemi di sicurezza, incluse vulnerabilità di tipo XSS (cross-site scripting) e un fix sulla gestione delle sessioni che consentiva di “rubare” le credenziali di login di un utente.
Patchata anche la possibilità eseguire codice server-side: non ci sono molti dettagli a riguardo.
Aggiunti il supporto per tre nuove lingue e miglioramenti ai meccanismi dei filtri e della rubrica.

Link per effettuare il download della nuova versione 1.4.18.

Riferimenti:
Security Update for SquirrelMail, by Heise Security

Patch da Adobe per le vulnerabilità su Acrobat e Acrobat Reader

Come pre-annunciato la settimana scorsa, Adobe ha rilasciato gli aggiornamenti di sicurezza che chiudono le vulnerabilità riguardanti varie versioni dei prodotti Adobe Reader e Acrobat.
Gli update fixano un problema di buffer overflow nella funzione Javascript getAnnots() che può essere usato per mandare in crash l’applicazione o addirittura prendere il controllo del sistema.
Affinchè un attacco di questo tipo abbia successo è necessario che l’utente apra un particolare file PDF modificato.
Le versioni 9.1.1, 8.1.5 e 7.1.2 di Adobe Reader e Acrobat risolvono il bug.

La versione 9.1.1 per UNIX dell’aggiornamento risolve anche una seconda vulnerabilità riguardante la funzione Javascript ‘spell.customDictionaryOpen’.
Il metodo in questione può essere manipolato per causare un DoS (Denial of Service) o eseguire codice arbitrario.
Aggiornamento consigliato quindi, e disponibile per le piattaforme Windows, Mac e UNIX.

Riferimenti:
* Adobe closes critical Acrobat and Reader holes, by Heise Security

Trick per aggiornare i drivers grafici di Ubuntu 9.04

Gli utenti Ubuntu possono installare le versioni aggiornate dei drivers grafici per hardware Intel, AMD/ATI e altri vendor mediante un apposito repository.
Questo consente ai possessori di hardware Intel di risolvere alcuni problemi riscontrati con l’attuale versione di Ubuntu.
Il driver Intel è disponibile come pre-release della futura versione 2.8, che fixerà alcuni bug individuati nell’attuale versione 2.6.3.
Il repository può essere aggiunto al package manager Synaptic, o attraverso l’opzione di menu Administration/Software Sources, o editando direttamente il file /etc/apt/sources.list aggiungendo le seguenti informazioni:
deb http://ppa.launchpad.net/xorg-edgers/ppa/ubuntu jaunty main
Sul sito di Heise-Online si legge come il nuovo driver abbia consentito di abilitare l’accellerazione 3D su una scheda Intel GM965 dopo aver appositamente commentato la blacklist di chipset in /usr/bin/compiz.

Dai test effettuati il team ha confermato che il sistema sembra stabile con queste nuove impostazioni, tuttavia non è ancora confermato se i nuovi driver offriranno offriranno un supporto certo a questa funzionalità.
Si tratta infatti di un test puramente sperimentale visto che i drivers non sono stati ancora ufficialmente integrati in Ubuntu 9.04.

RIFERIMENTI:
Updated graphics drivers for Ubuntu 9.04, by Heise OpenSource

.NET Micro Framework: presto opensource?

Sembra che Microsoft stia prendendo in considerazione l’idea di rendere disponibile il codice sorgente di .NET Micro Framework (MF) con licenza open source.
L’attuale team di MF sarà spostato nella divisione “Microsoft Server and Tools”.
Questa decisione pare sia il frutto dell’annuncio della scorsa settimana di adottare una serie di misure per la riduzione dei costi.
Il team ha confermato lo spostamento deciso dai “piani alti”, e in virtù appunto di questo auspica un maggiore coinvolgimento e partecipazione della comunità online.

Micro Framework è un runtime .NET per devices “ridotti” che non sono supportati dal Microsoft .NET Compact Framework o dalla versione embedded Windows CE.
Il framework non supporta sistemi operativi real time, ma supporta processori ARM7 e ARM9 e dispone della funzionalità di garbage collection per la memoria.

RIFERIMENTI:
.NET Micro Framework could become open source, by Heise OpenSource

Processi separati per le future versioni di Firefox

Secondo quanto riportato sul wiki di Mozilla, le prossime versioni di Firefox utilizzeranno due processi distinti per interfaccia grafica e gestione dei contenuti web delle pagine.
A differenza di Google Chrome e Internet Explorer 8, i tab non avranno processi dedicati: questa modifica è “prevista” molto più avanti nel tempo.

Gli sviluppatori Mozilla affermano che i vantaggi saranno tutti in performance e stabilità: utilizzare processi separati per l’UI e per i contenuti consentirà di avere un browser che non si blocca quando ci sono problemi con un sito web. Le versioni attuali di Firefox sono costituite da un unico processo.
Un’anteprima semi-funzionante del browser è prevista per metà luglio, seguita dal rilascio della maggior parte del codice per l’inizio di Novembre assieme a tweaks su performace e stabilità.
Ignota invece la data di un rilascio finale.

Mozilla sta altresì prendendo in considerazione l’idea di utilizzare lo stack di rete “preso” da Chromium per rimpiazzare Necko, la loro libreria di rete.

RIFERIMENTI:
Future Firefox to run separate processes, by Heise Open Source

Rilasciato OpenOffice 3.1

Dopo l’apparizione su vari mirrors, OpenOffice 3.1 è stato finalmente rilasciato in maniera ufficiale.
La nuova versione include svariate migliorie, tra le più evidenti i miglioramenti all’anti-aliasing per la grafica vettoriale, permettendo così di avere grafici e diagrammi con un look&feel più accattivante.
Altra novità la possibilità di includere campi proprietà custom definiti dall’utente nei documenti
Una analisi delle nuove features è consultabile qui in questo articolo: OpenOffice 3.1: The new features.

OpenOffice 3.1, nelle sue versioni per Windows, Linux, Solaris e Mac OS X è scaricabile gratuitamente dal sito ufficiale di OpenOffice.

Twitter conferma di essere stato "bucato"

Twitter ha definitivamente confermato che si è verificato un accesso non autorizzato alla sua interfaccia amministrativa.
Il blog francese Korben ha pubblicato gli screen-shots in cui vengono mostrati i dettagli degli account appartenenti a Ashton Kutcher, Lily Allen, Britney Spears e Barack Obama.
Nelle immagini si vedono statistiche di accesso, indirizzi email, block lists ma non le password.

Stando a quando dichiarato da Graham Cluley di Sophos, il cracker avrebbe avuto accesso all’interfaccia di admin dopo aver indovinato la “domanda segreta” dell’account email di un impiegato di Twitter.
Questo gli ha cosi’ consentito di resettare la password e di individuare le credenziali di login dell’impiegato nella casella di posta.
Twitter afferma, dopo aver esaminato l’accaduto, che solamente dieci account personali sono stati “violati”. In ogni caso non sono state modificate le password o consultati i messaggi personali.
Verrà ora condotto un audit più approfondito di tutti i sistemi interni e verranno adottate ulteriori misure di sicurezza contro tentativi di intrusione.

RIFERIMENTI:
Twitter vu de l’intérieur – Interface admin piratée !, Korben blog
Twitter confirms security breach, by Heise Security

Rilasciato OpenBSD 4.5

Gli sviluppatori OpenBSD hanno annunciato il rilascio della versione 4.5 del sistema operativo BSD UNIX-like sicuro per “definizione”.
Le novità riguardano nuove features, supporto migliorato per l’hardware, nuovi drivers e fix vari.

Inclusi i ports iniziali per la piattaforma Gumstix (xscale based) e per OpenMoko (ARM based).
Aggiunto il supporto per il virtual I/O tra i logical domains su server Sun CoolThreads.
Workstation e portatili con cpu UltraSPARC IIe riescono ad utilizzare correttamente la modalità powersaving (downscale della frequenza del processore).
Tra i nuovi tool: ypldap, un YP server che utilizza LDAP come back-end.
L’installazione consente di configurare piu’ per interfacce per il DHCP.
La versione di OpenSSH inclusa è stata aggiornata alla 5.2.

Come da tradizione non esiste una versione ufficiale gratuita su CD/DVD di OpenBSD: il team non fornisce alcuna iso.
I cd (3 in totale), assieme ad altri gadgets sono acquistabili direttamente sul sito.
Al solito invece disponibili tutti i pacchetti via FTP e scaribili per creare i propri CD personalizzati o per l’installazione di rete mediante floppy/cd di boot.

RIFERIMENTI:
Release notes della versione OpenBSD 4.5
OpenBSD 4.5 released, by Heise Open Source