Archivio per ‘Sicurezza’


Lug 16

Fortezza Ubuntu

Postato da Mad alle 7:32 pm in Sicurezza, Ubuntu | 7 commenti »

La notizia è vecchia di qualche mese, ma, a mio parere, merita di essere riesaminata, soprattutto da chi come me ha molto a cuore le sorti del “pinguino”. Secondo il sito The register in un “hacking contest” svoltosi durante una famosa conferenza di sicurezza canadese, la CanSec West, il sistema operativo più sicuro si è dimostrato Ubuntu. 

fortezza.jpg

In gara gli O.S. più famosi, Windows Vista, Mac OS X e GNU/Linux, sono stati sottoposti a vari attacchi informatici ed il primo a cedere è stato Mac OS X a causa di una falla di sicurezza nel browser Safari, poi è toccato a Windows colpito da un problema nel player flash, mentre il nostro ubuntu ne è uscito indenne.
Sinceramente, senza parole! Commentate voi.

Giu 19

Primo bug per firefox 3

Postato da Mad alle 9:06 am in Sicurezza, software | nessun commento »

Manco rilasciato e già baggato ? Sembrerebbe! Alcuni ricercatori che aderiscono al programma Zero Day Initiative di Tipping Point hanno trovato una vulnerabilità in Firefox 3, a detta loro, alquanto importante e l’hanno comunicata a Mozilla. 

vulnerability.jpg

Proprio ieri Tipping Point ha pubblicato un articolo nel quale si evidenzia come questo bug, che affligge la versione 3.0 così come in passato aveva interessato la 2.0, permetterebbe l’esecuzione di codice arbitrario, ma solo attraverso l’interazione dell’ utente. In buona sostanza occorre cliccare una email o visitare una pagina web “malicious”.
Mentre Mozilla lavora alla risoluzione del problema Tippin point dichiara di non voler divulgare ulteriori approfondimenti circa la vulnerabilità in questione, promettendo però che appena una patch sarà pronta ne darà immediatamente comunicazione sulle pagine del proprio sito.

Giu 16

Ubuntu/Debian, vulnerabilità in Openssl

Postato da Mad alle 3:14 pm in Hardy Heron, Sicurezza, Ubuntu | 2 commenti »

Ecco pronto su un piatto d’argento un bel security bug per Debian e derivati in openssl. In buona sostanza il generatore di numeri casuali nel pacchetto debian di opessl è prevedibile, di conseguenza anche la chiave crittografata può essere scoperta. 

security-bug.gif

Ecco i dati in sintesi:
=> Package : openssl
=> Vulnerability : predictable random number generator
=> Problem type : remote
=> Debian-specific: yes
=> CVE Id(s) : CVE-2008-0166
=> Checkout description and recommended fix here:

Eseguire un controllo per l’individuazione di chiavi “deboli”:

# wget http://security.debian.org/project/extra/dowkd/dowkd.pl.gz
# wget http://security.debian.org/project/extra/dowkd/dowkd.pl.gz.asc
# gpg –keyserver subkeys.pgp.net –recv-keys 02D524BE
# gpg –verify dowkd.pl.gz.asc
# gunzip dowkd.pl.gz
# perl dowkd.pl host localhost

Il risultato dovrebbe essere 0. Se invece usiamo Debian o Ubuntu dobbiamo provvedere ad un upgrade di openssl che effettuerà il “fix” (riparazione) dei software vulnerabili. In questo wiki c’è una trattazione completa e dettagliata del problema e delle sue soluzioni.

Fonte nixCraft.