Come forse saprete fornisco gratuitamente mail del tipo @archlinux.info e @archlinux.net a chiunque ne faccia richiesta.
Per essere al passo coi tempi volevo aggiungere il supporto a IPv6 e quindi ho chiesto al "fornitore" di IPv6 migliore che esista (SixXS per l'appunto) di poter avere un tunnel IPv6 verso il server che gestisce le email.
La risposta che ho ricevuto è stata alquanto shockante:
October 21, 2014
September 25, 2014
"CVE-2014-6271: remote code execution through bash" panico esagerato!
Come forse avrete già letto ieri è stata rilasciata una patch per risolvere un problema grave di bash.
Praticamente è possibile eseguire codice da remoto o da locale, semplicemente mediante un assegnamento di variabile "speciale".
Per esempio:
Secondo me però c'è più panico di quello che serva. Un blog famoso (uno fra tanti) ha scritto una serie di castronerie giganti e ora cerco di chiarire, una volta per tutte, qual è l'incidentalità di questo problema.
Praticamente è possibile eseguire codice da remoto o da locale, semplicemente mediante un assegnamento di variabile "speciale".
Per esempio:
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
Secondo me però c'è più panico di quello che serva. Un blog famoso (uno fra tanti) ha scritto una serie di castronerie giganti e ora cerco di chiarire, una volta per tutte, qual è l'incidentalità di questo problema.
- Quasi nessun dispositivo embedded usa bash, per il semplice motivo che è grossa e occupa tante risorse. La stragrande maggioranza usano una shell che si chiama ash e che si trova nel pacchetto busybox. Quindi il problema di dover aggiornare tv, router, etc , descritto da attivissimo, è un falso-problema.
- Debian e Ubuntu (che sono fra le distro più usate) usano dash come shell di default (#!/bin/sh), per cui meno soggetti al problema.
- sudo, il pacchetto usato di default su Ubuntu per poter diventare root e/o eseguire comandi come root non è soggetto (di default) al problema, in quanto le variabile d'ambiente sono ripulite (opzione env_reset). Quindi se anche avete in sudoers dei comandi di shell da far eseguire a un altro utente come root, in linea di massima non può sfruttare questa vulnerabilità.
- Praticamente nessuno usa CGI scritte in bash nel 2014! Inoltre il server web non gira con i privilegi di root, per cui l'eventuale attaccante dovrebbe poi trovare un altro modo di diventare root.
April 22, 2014
Installare linux su Android
Se volete installare linux su Android ci sono un paio di applicazioni che fanno al caso vostro.
Linux Deploy - permette di installare Debian, Ubuntu, Arch Linux, Fedora, openSUSE, Kali Linux, Gentoo direttamente su partizioni o su immagini disco (occhio che fat32 supporta al massimo file grossi 4GiB).
Lil' Debi: Debian Installer - permette di installare Debian in una chroot, per cui si spreca meno spazio rispetto ad una immagine disco, però non ha il supporto grafico (X), ma solo la console. Comodo per utenti avanzati che hanno bisogno dei tool di linux da terminale, tipo nmap, traceroute, etc
Linux Deploy - permette di installare Debian, Ubuntu, Arch Linux, Fedora, openSUSE, Kali Linux, Gentoo direttamente su partizioni o su immagini disco (occhio che fat32 supporta al massimo file grossi 4GiB).
Lil' Debi: Debian Installer - permette di installare Debian in una chroot, per cui si spreca meno spazio rispetto ad una immagine disco, però non ha il supporto grafico (X), ma solo la console. Comodo per utenti avanzati che hanno bisogno dei tool di linux da terminale, tipo nmap, traceroute, etc
April 18, 2014
Altro partito, altra vulnerabilità.
Ma è possibile che i partiti politici non vogliano spendere per la sicurezza dei loro siti internet?
Dopo aver trovato delle insicurezze sul sito di Beppe Grillo, ne ho anche trovate sul sito Vieniafirmare.org della Lega Nord.
Come al solito mi sono premunito di avvertire e come al solito sono stato bellamente ignorato.
La vulnerabilità in questione (SQL injection) è particolarmente grave e potrebbe permettere ad un utente malevolo di modificare i contenuti presenti sul sito stesso, (defacing o simili).
Potrebbe anche permettere di eseguire codice malevolo sul server che ospita il sito in questione (anche se è un attacco più difficile da effettuare).
Dopo aver trovato delle insicurezze sul sito di Beppe Grillo, ne ho anche trovate sul sito Vieniafirmare.org della Lega Nord.
Come al solito mi sono premunito di avvertire e come al solito sono stato bellamente ignorato.
La vulnerabilità in questione (SQL injection) è particolarmente grave e potrebbe permettere ad un utente malevolo di modificare i contenuti presenti sul sito stesso, (defacing o simili).
Potrebbe anche permettere di eseguire codice malevolo sul server che ospita il sito in questione (anche se è un attacco più difficile da effettuare).
March 5, 2014
Le insicurezze del sito di Beppe Grillo
Dopo aver informato i tecnici del sito di Beppe Grillo delle varie vulnerabilità (SQL Injection, XSS), mi sono scontrato (per caso) in altre vulnerabilità gravi:
L'autenticazione viene fatta in chiaro, senza usare HTTPS o altri sistemi per evitare che un malintenzionato che abbia accesso ai pacchetti trasmessi dal tuo browser al suo server, possa accedervi.
Questo significa che se vi loggate sul Blog (http://www.beppegrillo.it/login.php) e siete in una rete pubblica o aziendale o avete una WiFi poco sicura la vostra password può essere caduta in mano a chiunque.
Inoltre la tua password viene salvata nei cookie in chiaro (e senza l'attributo httpOnly).
Questo significa che se visitate un link malevolo, la tua password può esservi sottratta senza che ve ne accorgiate (sfruttando un bug di tipo XSS). E visto che la password del sistema operativo è la stessa del blog, questo rende ogni voto fatto fin'ora non valido!
Visto che potrebbe già esserci un malintenzionato con una lista di utenze rubate, di cui ha sottratto il nome utente e la password, e sta manipolando i voti aggiungendo un numero considerevole di voti falsi.
Se i tecnici del sito di Beppe Grillo desiderano contattarmi, sono più che disponibile a spiegare la vulnerabilità e le varie contromisure che potrebbero adottare in futuro, anche gratuitamente ;-).
L'autenticazione viene fatta in chiaro, senza usare HTTPS o altri sistemi per evitare che un malintenzionato che abbia accesso ai pacchetti trasmessi dal tuo browser al suo server, possa accedervi.
Questo significa che se vi loggate sul Blog (http://www.beppegrillo.it/login.php) e siete in una rete pubblica o aziendale o avete una WiFi poco sicura la vostra password può essere caduta in mano a chiunque.
Inoltre la tua password viene salvata nei cookie in chiaro (e senza l'attributo httpOnly).
Questo significa che se visitate un link malevolo, la tua password può esservi sottratta senza che ve ne accorgiate (sfruttando un bug di tipo XSS). E visto che la password del sistema operativo è la stessa del blog, questo rende ogni voto fatto fin'ora non valido!
Visto che potrebbe già esserci un malintenzionato con una lista di utenze rubate, di cui ha sottratto il nome utente e la password, e sta manipolando i voti aggiungendo un numero considerevole di voti falsi.
Se i tecnici del sito di Beppe Grillo desiderano contattarmi, sono più che disponibile a spiegare la vulnerabilità e le varie contromisure che potrebbero adottare in futuro, anche gratuitamente ;-).
Subscribe to:
Posts (Atom)