Re: vulnerabilità sudo in Debian 8?

[Piviul]

Qui[¹] hai già guardato?

Piviul

[¹] https://deb.freexian.com/extended-lts/

Il 19/02/21 16:43, Enrico Agliotti ha scritto:
Il giorno ven 19 feb 2021 alle ore 12:32 Mattia Rizzolo 
mailto:mat...@debian.org>> ha scritto:



Fai bene a temere la risposta.

:-)

Ti consiglio vivamente di aggiornare il tuo server, soprattutto se è
esposto a internet.


Va bene, mi arrendo, pianificherò un aggiornamento.
Grazie per le risposte!

Enrico

Re: vulnerabilità sudo in Debian 8?

[Enrico Agliotti]

Il giorno ven 19 feb 2021 alle ore 12:32 Mattia Rizzolo 
ha scritto:

>
> Fai bene a temere la risposta.
>
:-)


> Ti consiglio vivamente di aggiornare il tuo server, soprattutto se è
> esposto a internet.


Va bene, mi arrendo, pianificherò un aggiornamento.
Grazie per le risposte!

Enrico

Re: vulnerabilità sudo in Debian 8?

[Mattia Rizzolo]

Cio!

On Fri, Feb 19, 2021 at 11:33:21AM +0100, Enrico Agliotti wrote:
> torno sull'argomento dell'oggetto.
> Il bug è stato corretto a partire dalla stretch [0] che se ricordo bene
> sarebbe la versione 9.
> Ho un server con Debian 8 Jessie che svolge egregiamente il suo mestiere e
> mi domandavo se ci fosse il modo di correggere il bug senza fare il salto
> di versione (che comporta qualche rischio ma soprattutto troppo tempo).
> Temo la risposta ;-)

Fai bene a temere la risposta.

Debian 8 è completamente senza supporto dalla scorsa estate.
A meno di prepararti l'aggiornamento di sudo da te (o che qualcuno lo
faccia per te, come https://wiki.debian.org/LTS/Extended - ma è a
pagamento), non hai tanti modi di avere quel fix.

Ti consiglio vivamente di aggiornare il tuo server, soprattutto se è
esposto a internet.

> Volevo anche sapere cosa significa la parola "security" scritta in rosso
> tra quadre che appare a volte facendo una ricerca tra i pacchetti.
> Purtroppo non c'è nessuna nota o legenda che lo spiega. Vuol dire
> banalmente che il pacchetto ha qualche problema di sicurezza non risolto?
> Esempio estratto da questa ricerca [1]:

Semplicemente, vuole dire che quel pacchetto che stai guardando è
presente nell'archivio in security.debian.org, oltre che in quello
"standard".

-- 
regards,
Mattia Rizzolo

GPG Key: 66AE 2B4A FCCF 3F52 DA18  4D18 4B04 3FCD B944 4540  .''`.
More about me:  https://mapreri.org : :'  :
Launchpad user: https://launchpad.net/~mapreri  `. `'`
Debian QA page: https://qa.debian.org/developer.php?login=mattia  `-


signature.asc
Description: PGP signature

vulnerabilità sudo in Debian 8?

[Enrico Agliotti]

Ciao a tutti,

torno sull'argomento dell'oggetto.
Il bug è stato corretto a partire dalla stretch [0] che se ricordo bene
sarebbe la versione 9.
Ho un server con Debian 8 Jessie che svolge egregiamente il suo mestiere e
mi domandavo se ci fosse il modo di correggere il bug senza fare il salto
di versione (che comporta qualche rischio ma soprattutto troppo tempo).
Temo la risposta ;-)

Volevo anche sapere cosa significa la parola "security" scritta in rosso
tra quadre che appare a volte facendo una ricerca tra i pacchetti.
Purtroppo non c'è nessuna nota o legenda che lo spiega. Vuol dire
banalmente che il pacchetto ha qualche problema di sicurezza non risolto?
Esempio estratto da questa ricerca [1]:

- jessie (oldoldstable)  (admin):
fornisce privilegi limitati del superutente ad uno specifico utente
1.8.10p3-1+deb8u7 [*security*]: amd64 armel armhf i386
also provided by: sudo-ldap 

Grazie
Enrico

[0] https://security-tracker.debian.org/tracker/CVE-2021-3156
[1]
https://packages.debian.org/search?keywords=sudo=names=all=all

-- 
Inviato dal computer che sto usando in questo momento


Enrico Agliotti
cell. +39-328-0517312
tel. con segreteria: +39-011-23415553

Re: 4 classi di vulnerabilità sui processori AMD Ryzen e Epyc (ERA: Ancora su Spectre e Meltdown (variante SgxSpectre))

[Davide Prina]

Sono state scoperte 13 vulnerabilità critiche suddivise in 4 classi di 
vulnerabilità su CPU AMD[1].


Interessante il video[2] e per saperne di più c'è un sito[3] che spiega 
in dettaglio i bug scoperti.


Da quel poco che ho capito fin'ora questi sono peggiori di Spectre e 
Meltdown (si parla di backdoor, di infiltrarsi nella parte centrale del 
processore senza essere intercettati, di installare malware, ...). Però 
per poterli sfruttare, se non ho capito male, bisogna avere accesso 
fisico alla macchina (quindi o ti consegnano la macchina già compromessa 
o l'attaccante deve poter accedere dopo che tu l'hai comprata, ad 
esempio un centro di riparazione, un tecnico, un intruso nella sala 
server o dove tieni il tuo PC/mobile personale, ...) in un caso e negli 
altri 3 deve essere eseguito un programma con privilegi di 
amministratore (si parla di m$).


La cosa strana è che ad AMD sono state date 24 ore da quando è stata 
informata a quando sono state rese pubbliche queste vulnerabilità. C'è 
chi dice che è una start-up che sta cercando clienti e chi dice che è un 
attacco sulla azioni AMD. Altri dicono che potrebbe essere che i bug 
sono attualmente sfruttati, o c'è sentore che lo siano, e per questo 
sono stati resi pubblici subito. Il sito[3] è stato registrato circa 6 
mesi fa, quindi questa società era a conoscenza di alcuni di questi 
problemi almeno da 6 mesi.


Non c'è ancora conferma di AMD sui bug.

Ciao
Davide

[1]
https://it.slashdot.org/story/18/03/13/1558221/researchers-find-critical-vulnerabilities-in-amds-ryzen-and-epyc-processors-but-they-gave-the-chipmaker-only-24-hours-before-making-the-findings-public

[2]
https://www.youtube.com/watch?v=pgYhOwikuGQ

[3]
https://amdflaws.com/

Re: [OT] verifica vulnerabilità router netgear [ERA: [OT] consiglio router]

[Davide Prina]

On 12/12/2016 20:14, Davide Prina wrote:


Poi ieri sera ho trovato questa notizia sui router netgear:

"By convincing a user to visit a specially crafted web site, a remote
attacker may execute arbitrary commands with root privileges on affected
routers"
[...]
"With no work around to the flaw, CERT recommended that Netgear
customers disable their wifi router until a software patch from the
company that addressed the hole was available"

da:
http://rss.slashdot.org/~r/Slashdot/slashdot/~3/G6Rn-8mEPSI/vulnerability-prompts-warning-stop-using-netgear-wifi-routers


riporto qui cosa si può fare per
1) verificare se il proprio router netgear è affetto da questo 
pericoloso bug

2) applicare un workaround per neutralizzarlo "temporaneamente"

Nota: il bug è presente se usate il firmware originale presente nel 
router e quindi non avete installato openwrt


il tutto si può leggerlo in dettaglio da qui:
http://www.sj-vs.net/a-temporary-fix-for-cert-vu582384-cwe-77-on-netgear-r7000-and-r6400-routers/

1) per verificare se il router è affetto:

1.1) trovare l'ip del router

$ /sbin/route -n
Destination Gateway  [...]
0.0.0.0 192.168.0.1   [...]
[...]

il router ha indirizzo 192.168.0.1

1.2) mettere nel browser il seguente link, contenente l'indirizzo IP 
trovato nel punto precedente:


http://192.168.0.1/cgi-bin/;uname$IFS-a

se questo indirizzo ritorna una pagina con un errore (es: 404 page not 
found), come nel mio caso, allora il vostro router non è affetto da 
questo bug, altrimenti è affetto e quindi conviene procedere con il punto 2


2) applicare un workaround: spegnere il server http del router: questo 
impedirà l'uso dell'ambiente web per la configurazione del router, per 
riaverlo dovete riavviare il router, ma riavviandolo reintrodurrete il bug


http://192.168.0.1/cgi-bin/;killall$IFS'httpd'

Nota: il bug è molto pericoloso perché permette ad un sito visitato di 
prendere possesso del vostro router... naturalmente nel sito deve 
esserci uno script o altro che sfrutti tale bug di sicurezza


Nota: per chi ritiene che i siti che visita sono "sicuri" faccio 
presente che non se ne può avere la certezza perché elementi terzi, in 
essi contenuti, possono contenere codice malevolo che sfrutta la 
vulnerabilità. Ad esempio hanno scoperto di recente che grazie alla 
steganografia mettevano codice malevolo all'interno di immagini di 
banner e poi associavano al banner un codice che estraeva il codice 
malevolo, portava l'utente su un sito che verificava che l'utente usasse 
internet exploder su w$ e non avesse un antivirus attivo in grado di 
intercettarli... e se tutti i controlli erano positivi veniva eseguito 
il codice malevolo


per maggiori dettagli vedere qui:
http://rss.slashdot.org/~r/Slashdot/slashdot/~3/hv7FYbN2x3E/new-stegano-exploit-kit-hides-malvertising-code-in-banner-pixels

Ciao
Davide

--
Dizionari: http://linguistico.sourceforge.net/wiki
Motivi per non comprare/usare ms-windows-vista:
http://badvista.fsf.org/
Non autorizzo la memorizzazione del mio indirizzo su outlook

Re: [OT] Vulnerabilità e discussioni ferragostiane ad esse relative

[Felipe Salvador]

On Tue, Aug 16, 2016 at 09:49:30PM +0200, Luca De Andreis wrote:
> 
> Faccio una premessa... ODIO i giornalisti, ODIO i giornalisti che creano
> castelli di carta dal nulla, che riescono a scrivere un articolo sul nulla.
> 
> Il mio è odio ma forse ammirazione.. perchè davvero io non ci riuscirei.
> 
> Leggo questa sera un articolo su una vulnerabilità nel kernel di Linux sullo
> stack TCP-IP.
> Si grida allo scandalo, alla disperazione... anche Android è vulnerabile
> AIUTO  E la colpa è il kernel di Linux.

Loro hanno vinto, noi abbiamo perso.
I problemi di android sono altri, cercano di risolverli quelli di
Replicant, ma pare impossibile ottenere qualcosa di
pienamente funzionante senza fare uso di "blob" binari, software
prorpietario. Senza contare le innumerevoli porcherie che girano su
android a prescindere dal telefono. Senza citare neanche quelle che
l'untente finale installa più o meno consapevolmente.

Hanno vinto perché si parla di un comune bug piuttosto che di "che fine
ha fatto linux". L'embedded sembrava una terra promessa e si è rivelato un
inferno popolato da gente che ha rimesso a profitto il vapore e la
ruota, in alcuni casi con terzi fini.

Tornando al bug:
"There is, he said, too much out-of-tree code running on a typical
handset; mainline kernels simply lack the drivers needed to make that
handset work. A typical phone is running 1-3 million lines of
out-of-tree code. Almost all of those phones are stuck on the 3.10
kernel — or something even older[...]"[1]

Siamo alle soglie di un fork, questo non è l'upstream. Con una tale differenza 
cosa succede se il
bug lo ha introdotto un produttore o google stessa? È sempre colpa di
Linux? E le lo introduce volontariamente?

[1] https://lwn.net/Articles/662147/
 
> Poi leggo un articolo sulla nuova politica che Microsoft metterà in pratica
> per l'erogazione delle patch per Windows della serie precedente a 10.

Io questi non li seguo, seriamente, come li introduci nel discorso senza
scadere nel ridicolo?
Oramai la controparte è google.

Ciao

-- 
Felipe Salvador

Re: Re: [OT] Vulnerabilità e discussioni ferragostiane ad esse relative

[Gian Uberto Lauri]

>>>>> "DP" == Davide Prina <davide.pr...@gmail.com> writes:

Arrivo tardi nella discussione, ma penso stiate parlando della
CVE-2016-5696
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5696

DP> [...]
DP> The flaw, disclosed at the Usenix security conference last week, is 
DP> complicated and difficult to exploit. If an attacker can pull off an 
DP> exploit, they could inject malicious code into unencrypted web traffic 
DP> from "anywhere". However, the source and destination IP address would 
DP> need to be known in order to intercept the traffic, adding to the 
DP> complexity of carrying out a successful attack.The exploitability isn't 
DP> easy, though.
DP> [...] [1]

DP> cerco di tradurre per chi non conosce l'inglese:
DP> "La vulnerabilità è complessa e difficile da sfruttare. Se un attaccante 
DP> riesce ad utilizzarla può immettere codice malevolo all'interno di un 
DP> traffico web non criptato (quindi traffico http e non https, ndr) da 
DP> remoto. In ogni caso gli indirizzi IP della sorgente e della 
DP> destinazione devono essere noti per poter intercettare il traffico, in 
DP> aggiunta alla complessità di effettuare con successo un attacco. Quindi 
DP> lo sfruttamento di questa vulnerabilità non è facile."

Buona traduzione, ma il report che avevo sentito originariamente
parlava anche della possibilità di violare traffico criptato:

"The vulnerability could also be used to forcefully terminate HTTPS
encrypted connections and downgrade the privacy of secure connections,
as well as also threatens anonymity of Tor users by routing them to
certain malicious relays."

(La vulnerabilità può anche essere usata per forzare la terminazione
di una connessione https criptata e abbassare la privacy di
connessioni sicure così come minacciare l'anonimità degli utenti TOR
forzando il routing attraverso relay maliziosi)

DP> Questo, secondo me, vuol dire che per un uso normale del PC è difficile 
DP> da sfruttare. L'attaccante per conoscere entrambi gli indirizzi IP 
DP> dovrebbe far andare l'attaccato su un sito web che controlla, in modo da 
DP> poter sapere l'indirizzo web di destinazione e cercare di individuare 
DP> quello di partenza (ma se uno usa tor, proxy, ... allora non riesce in 
DP> questo intento).

Non sono sicuro che tor o un proxy salvino. Vedi sopra.

Sulla list di Debian mi pare di aver visto circolare qualche info a
proposito, ma appena vedo Lisi Reisz mando a quel paese l'intero
thread...

Credo che si riferissero a questo articolo di ZDNet
http://www.zdnet.com/article/linux-tcp-flaw-lets-anyone-hijack-internet-traffic/

L'attacco è comunque più difficile se l'attaccante deve determinare
gli indirizzi possibili in due pool dati (in questo caso un proxy
potrebbe persino facilitare la vita), grossi servizi sono serviti da
più IP pubblici e le connessioni dial-up hanno IP che variano nel pool
di quelli disponibili all'internet service provider.

-- 
 /\   ___Ubuntu: ancient
/___/\_|_|\_|__|___Gian Uberto Lauri_   African word
  //--\| | \|  |   Integralista GNUslamicomeaning "I can
\/ coltivatore diretto di software   not install
 già sistemista a tempo (altrui) perso...Debian"

Warning: gnome-config-daemon considered more dangerous than GOTO

Re: [OT] Vulnerabilità e discussioni ferragostiane ad esse relative

[Davide Prina]

On 16/08/2016 21:49, Luca De Andreis wrote:


Leggo questa sera un articolo su una vulnerabilità nel kernel di Linux
sullo stack TCP-IP.
Si grida allo scandalo, alla disperazione... anche Android è vulnerabile
AIUTO  E la colpa è il kernel di Linux.


[...]
The flaw, disclosed at the Usenix security conference last week, is 
complicated and difficult to exploit. If an attacker can pull off an 
exploit, they could inject malicious code into unencrypted web traffic 
from "anywhere". However, the source and destination IP address would 
need to be known in order to intercept the traffic, adding to the 
complexity of carrying out a successful attack.The exploitability isn't 
easy, though.

[...] [1]

cerco di tradurre per chi non conosce l'inglese:
"La vulnerabilità è complessa e difficile da sfruttare. Se un attaccante 
riesce ad utilizzarla può immettere codice malevolo all'interno di un 
traffico web non criptato (quindi traffico http e non https, ndr) da 
remoto. In ogni caso gli indirizzi IP della sorgente e della 
destinazione devono essere noti per poter intercettare il traffico, in 
aggiunta alla complessità di effettuare con successo un attacco. Quindi 
lo sfruttamento di questa vulnerabilità non è facile."


Questo, secondo me, vuol dire che per un uso normale del PC è difficile 
da sfruttare. L'attaccante per conoscere entrambi gli indirizzi IP 
dovrebbe far andare l'attaccato su un sito web che controlla, in modo da 
poter sapere l'indirizzo web di destinazione e cercare di individuare 
quello di partenza (ma se uno usa tor, proxy, ... allora non riesce in 
questo intento).


Ciao
Davide

[1]
https://linux.slashdot.org/story/16/08/15/2038201/linux-traffic-hijack-flaw-also-affects-most-android-phones-tablets

--
Dizionari: http://linguistico.sourceforge.net/wiki
Motivi per non comprare/usare ms-windows7:
http://windows7sins.org/
Non autorizzo la memorizzazione del mio indirizzo su outlook

Re: [OT] Vulnerabilità e discussioni ferragostiane ad esse relative

[tar...@aruba.it]

Il 17/08/2016 10:23, Davide Prina ha scritto:
> On 17/08/2016 09:57, tarqui wrote:
>
>> probabilmente hai smesso, non ricevendo mai alcun riscontro.
>
> non è vero, la risposta c'era sempre da parte della redazione, con in
> copia il giornalista che aveva scritto l'articolo... che poi si
> difendeva arrampicandosi sui vetri
uhm, non so se è meglio o peggio.

Re: [OT] Vulnerabilità e discussioni ferragostiane ad esse relative

[Davide Prina]

On 17/08/2016 09:57, tarqui wrote:

Il 16/08/2016 22:48, Davide Prina ha scritto:



Un po' di anni fa scrivevo in redazione facendo notare gli
strafalcioni, le cose palesemente false, l'asservimento verso una
determinata casa produttrice di software facendo sembrare come
innovative cose che su altri prodotti erano presenti da decenni, ...



probabilmente hai smesso, non ricevendo mai alcun riscontro.


non è vero, la risposta c'era sempre da parte della redazione, con in 
copia il giornalista che aveva scritto l'articolo... che poi si 
difendeva arrampicandosi sui vetri


Ciao
Davide

--
Dizionari: http://linguistico.sourceforge.net/wiki
Browser: http://www.mozilla.org/products/firefox
GNU/Linux User: 302090: http://counter.li.org
Non autorizzo la memorizzazione del mio indirizzo su outlook

Re: [OT] Vulnerabilità e discussioni ferragostiane ad esse relative

[Mario Vittorio Guenzi]

Il 17/08/2016 09:57, tar...@aruba.it ha scritto:

> n. meglio scrivergli ciò che già pensano di sapere. è più fidelizzante.

una assoluta cinica verita' purtroppo :(




-- 
Mario Vittorio Guenzi

http://clark.tipistrani.it

Si vis pacem para bellum



signature.asc
Description: OpenPGP digital signature

Re: [OT] Vulnerabilità e discussioni ferragostiane ad esse relative

[tar...@aruba.it]

Il 16/08/2016 22:48, Davide Prina ha scritto:
> On 16/08/2016 21:49, Luca De Andreis wrote:
> Un po' di anni fa scrivevo in redazione facendo notare gli
> strafalcioni, le cose palesemente false, l'asservimento verso una
> determinata casa produttrice di software facendo sembrare come
> innovative cose che su altri prodotti erano presenti da decenni, ...
probabilmente hai smesso, non ricevendo mai alcun riscontro. la
competenza non è per la massa. obbliga a pensare, a domandarsi, magari a
imparare qualcosa di nuovo. requisito: ammettere la propria ignoranza.
vuoi dare dell'ignorante ai tuoi lettori?
n. meglio scrivergli ciò che già pensano di sapere. è più fidelizzante.

Re: [OT] Vulnerabilità e discussioni ferragostiane ad esse relative

[tar...@aruba.it]

Il 16/08/2016 21:49, Luca De Andreis ha scritto:
> Faccio una premessa... ODIO i giornalisti, ODIO i giornalisti che
> creano castelli di carta dal nulla, che riescono a scrivere un
> articolo sul nulla.
è vero. ogni volta che scrivono o parlano di qualcosa che conosci, noti
parecchi strafalcioni. il problema è che sono troppo pochi, quindi non
si possono specializzare, ma devono coprire tutto lo scibile umano
dandosi la parvenza di esperti del tutto. è il pubblico che lo chiede.

> "Ma come è possibile, per gli aggiornamenti di sicurezza sui vostri
> server Windows avete una tabella di interventi regolari, ordinata, sui
> server Linux è un disastro.
> Fate continuamente interventi, se un server Linux fosse una macchina
> di una fabbrica converrebbe buttarla e cambiarla, costerebbe meno che
> effettuare tutte quelle riparazioni."
>
> Ometto la mia risposta data ad una persona che mi compara un server ad
> una pressa idraulica.  
probabilmente porta la macchina dal meccanico a scadenze fisse. se sente
un rumorino, uno scricchiolio, un cigolio, un brontolio strano
aspetta la prossima scadenza fissa.
se gli piove in casa aspetterà magari 5 anni per il prossimo intervento
di manutenzione programmata.
se si rompe un braccio andrà dal medico il mese prossimo, come programmato.

Re: [OT] Vulnerabilità e discussioni ferragostiane ad esse relative

[Davide Prina]

On 16/08/2016 21:49, Luca De Andreis wrote:


Faccio una premessa... ODIO i giornalisti, ODIO i giornalisti che creano
castelli di carta dal nulla, che riescono a scrivere un articolo sul nulla.


tante volte non sanno di cosa stanno parlando.
Il problema è che leggendo un articolo su un argomento che non si 
conosce bene ci si lascia trarre in inganno... se invece si conosce bene 
l'argomento o si sanno alcuni rudimenti, allora diventa palese 
l'ignoranza di chi ha scritto l'articolo e di tutte le stupidaggini 
presenti.


Un po' di anni fa scrivevo in redazione facendo notare gli strafalcioni, 
le cose palesemente false, l'asservimento verso una determinata casa 
produttrice di software facendo sembrare come innovative cose che su 
altri prodotti erano presenti da decenni, ...



Leggo questa sera un articolo su una vulnerabilità nel kernel di Linux
sullo stack TCP-IP.


ci sono maggiori informazioni sulla lista security nel thread con titolo 
"DSA for CVE-2016-5696 (off-path blind TCP session attack)"[1]


in cui è indicata una mitigazione del problema e link per maggiori dettagli.


Si grida allo scandalo, alla disperazione... anche Android è vulnerabile
AIUTO  E la colpa è il kernel di Linux.


però non dovrebbe essere così grave... infatti è indicato come urgenza 
"medium"... ed inoltre è facile rendere estremamente difficile il suo 
sfruttamento da parte dell'attaccante


Il problema di telefonini e simili è che non vengono aggiornati e chi li 
possiede non sempre lo vuole fare o è in grado di farlo... senza dire 
che chi li possiede, di solito, ci installa sopra qualsiasi cosa dando 
qualsiasi permesso che richieda l'applicazione installata, anche se non 
dovrebbe richiedere quel permesso...



Poi leggo un articolo sulla nuova politica che Microsoft metterà in
pratica per l'erogazione delle patch per Windows della serie precedente
a 10.


almeno fino a qualche anno fa esistevano bug di sicurezza ritenuti gravi 
aperti da anni per ms-windows e non avevano un patch. Inoltre loro 
adottano una politica secondo me assurda, ma che è dettata dal mero 
ottenimento di una minimalizzazione dei costi: creano una patch solo 
quando pensano che il bug sia "abbastanza" conosciuto all'esterno...
Senza pensare che una patch per un software non libero impiega, nei casi 
più semplici, settimane, se non mesi per essere creata e rilasciata...


Poi in alcuni casi dei bug di sicurezza ritenuti gravi non venivano 
risolti perché per loro non erano gravi...


Leggevo recentemente che sono riusciti a craccare il secure boot e 
sembra che questa vulnerabilità può essere applicata a qualsiasi 
backdoor basata sulla crittografia[2]


O anche questo: rubabili credenziali di microsoft live account ms-win >= 
8 per un bug del 1997 [3]



Saranno passati almeno tre anni, ma il revisore della Qualità al quale
annualmente consegnamo i prospetti operativi degli interventi sui server
disse:

"Ma come è possibile, per gli aggiornamenti di sicurezza sui vostri
server Windows avete una tabella di interventi regolari, ordinata, sui
server Linux è un disastro.
Fate continuamente interventi, se un server Linux fosse una macchina di
una fabbrica converrebbe buttarla e cambiarla, costerebbe meno che
effettuare tutte quelle riparazioni."


premetto che, secondo me, un controllore di qualità non dovrebbe solo 
verificare se il processo che la tua azienda ha deciso essere "la 
qualità" sia seguito, ma deve anche conoscere il contesto, cosa che 
quasi mai è vera. Altrimenti verifica soltanto se quanto avete scritto 
voi nel manuale di qualità è applicato alla lettera, senza saper 
indicare se quanto presente nel manuale è appropriato rispetto al 
contesto o meno, se...


Altrimenti, secondo me, la qualità è completamente inutile, se non per 
far vedere all'esterno che si è certificati ISO XYZ e si segue il 
processo di qualità... nel manuale posso scrivere che devono essere 
fatte X operazioni che non mi permettono di avere nessun vantaggio 
qualitativo, ma se questo manuale viene accettato e quindi utilizzato, 
allora rispetto la qualità... ma qualità di che?


Ciao
Davide

[1]
https://lists.debian.org/debian-security/2016/08/msg00035.html
fare attenzione che il thread è stato spezzato, si possono leggere anche 
le risposte fuori thread visualizzando i messaggi di agosto:

https://lists.debian.org/debian-security/2016/08/threads.html

[2]
https://yro.slashdot.org/story/16/08/10/186255/researchers-crack-microsoft-feature-say-encryption-backdoors-similarly-crackable

[3]
https://it.slashdot.org/story/16/08/02/149258/microsoft-live-account-credentials-leaking-from-windows-8-and-above

--
Dizionari: http://linguistico.sourceforge.net/wiki
I didn't use Microsoft machines when I was in my operational phase, 
because I couldn't trust them.
Not because I knew that there was a particular back door or anything 
like that, but because I couldn't be sure.

Edward Snowden

Re: [OT] Vulnerabilità e discussioni ferragostiane ad esse relative

[Gianluca Mangiarotti]

Ti rispondo con due citazioni:

"Non ti curar di lor ma guarda e passa" e "quando il saggio indica la luna, lo 
stolto guarda il dito"

Scherzi a parte, purtroppo per molte persone Windows è uno standard mentre gli 
altri sistemi operativi o non esistono o funzionano male… ignoranza informatica 
fino a che non si trovano davanti ad una Debian installata anni fa, che non ha 
mai avuto un problema… ecco a quel punto guardano le tabelle delle 
pianificazioni di chi ha deciso per te quando aggiornerai le tue macchine...


Gianluca


Inviato da Motorola Moto X

# Registro Italiano Land Rover 28316
# Linux user 602378


Il 16 ago 2016 21:49, "Luca De Andreis" <d...@corep.it <mailto:d...@corep.it>> 
ha scritto:

Faccio una premessa... ODIO i giornalisti, ODIO i giornalisti che creano 
castelli di carta dal nulla, che riescono a scrivere un articolo sul nulla.

Il mio è odio ma forse ammirazione.. perchè davvero io non ci riuscirei.

Leggo questa sera un articolo su una vulnerabilità nel kernel di Linux sullo 
stack TCP-IP.
Si grida allo scandalo, alla disperazione... anche Android è vulnerabile AIUTO 
 E la colpa è il kernel di Linux.

MALEDETTO !!!

A me non fa ne caldo ne freddo, ritengo sia normale amministrazione, anzi sono 
contento che un bug sia stato trovato, tra me e me dico.. un bug in meno.

Poi leggo un articolo sulla nuova politica che Microsoft metterà in pratica per 
l'erogazione delle patch per Windows della serie precedente a 10.

Un mega pack mensile.

E qui mi si accende un'antica lampadina a filamento (si antica perchè è sempre 
stata una domanda che mi faccio da anni ed anni).

Ma quando viene scoperto un bug, specie se questo è pendente da MESI (ok, ora 
un po di riferimenti altrimenti mi dite di tutto.. un problema di sicurezza 
corretto qualche mese fa in Active Directory, presente da più di un'anno), ma 
CAVOLO, devi aspettare il SECONDO MARTEDI' DEL MESE che verrà per rilasciare un 
fix 

Io non l'ho mai capito, forse non mi intendo abbastanza di logistica.

Ma ancora una cosa la vorrei aggiungere:

Saranno passati almeno tre anni, ma il revisore della Qualità al quale 
annualmente consegnamo i prospetti operativi degli interventi sui server disse:

"Ma come è possibile, per gli aggiornamenti di sicurezza sui vostri server 
Windows avete una tabella di interventi regolari, ordinata, sui server Linux è 
un disastro.
Fate continuamente interventi, se un server Linux fosse una macchina di una 
fabbrica converrebbe buttarla e cambiarla, costerebbe meno che effettuare tutte 
quelle riparazioni."

Ometto la mia risposta data ad una persona che mi compara un server ad una 
pressa idraulica.

Ma il concetto è proprio li...

Inutile spiegare che Debian ha QUALCHE software in più incluso nella 
distribuzione rispetto a quanto può avere Win 2012r2.
Ma forse è meglio avere una tabella di interventi pulita e regolare incentrata 
il secondo martedì del mese, piuttosto che stare li a seguire thread, ed 
aggiornare non appena si ritiene necessario in tempi davvero ridotti.

Forse è proprio così... abbiamo sbagliato tutto.

Buona settimana ferragostiana

Luca

[OT] Vulnerabilità e discussioni ferragostiane ad esse relative

[Luca De Andreis]

Faccio una premessa... ODIO i giornalisti, ODIO i giornalisti che creano 
castelli di carta dal nulla, che riescono a scrivere un articolo sul nulla.


Il mio è odio ma forse ammirazione.. perchè davvero io non ci riuscirei.

Leggo questa sera un articolo su una vulnerabilità nel kernel di Linux 
sullo stack TCP-IP.
Si grida allo scandalo, alla disperazione... anche Android è vulnerabile 
AIUTO  E la colpa è il kernel di Linux.


MALEDETTO !!!

A me non fa ne caldo ne freddo, ritengo sia normale amministrazione, 
anzi sono contento che un bug sia stato trovato, tra me e me dico.. un 
bug in meno.


Poi leggo un articolo sulla nuova politica che Microsoft metterà in 
pratica per l'erogazione delle patch per Windows della serie precedente 
a 10.


Un mega pack mensile.

E qui mi si accende un'antica lampadina a filamento (si antica perchè è 
sempre stata una domanda che mi faccio da anni ed anni).


Ma quando viene scoperto un bug, specie se questo è pendente da MESI 
(ok, ora un po di riferimenti altrimenti mi dite di tutto.. un problema 
di sicurezza corretto qualche mese fa in Active Directory, presente da 
più di un'anno), ma CAVOLO, devi aspettare il SECONDO MARTEDI' DEL MESE 
che verrà per rilasciare un fix 


Io non l'ho mai capito, forse non mi intendo abbastanza di logistica.

Ma ancora una cosa la vorrei aggiungere:

Saranno passati almeno tre anni, ma il revisore della Qualità al quale 
annualmente consegnamo i prospetti operativi degli interventi sui server 
disse:


"Ma come è possibile, per gli aggiornamenti di sicurezza sui vostri 
server Windows avete una tabella di interventi regolari, ordinata, sui 
server Linux è un disastro.
Fate continuamente interventi, se un server Linux fosse una macchina di 
una fabbrica converrebbe buttarla e cambiarla, costerebbe meno che 
effettuare tutte quelle riparazioni."


Ometto la mia risposta data ad una persona che mi compara un server ad 
una pressa idraulica.


Ma il concetto è proprio li...

Inutile spiegare che Debian ha QUALCHE software in più incluso nella 
distribuzione rispetto a quanto può avere Win 2012r2.
Ma forse è meglio avere una tabella di interventi pulita e regolare 
incentrata il secondo martedì del mese, piuttosto che stare li a seguire 
thread, ed aggiornare non appena si ritiene necessario in tempi davvero 
ridotti.


Forse è proprio così... abbiamo sbagliato tutto.

Buona settimana ferragostiana

Luca



smime.p7s
Description: Firma crittografica S/MIME

Vulnerabilità

[Patrizio O.C. Melis]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

  National Cyber Alert System

  Technical Cyber Security Alert TA08-137A


Debian/Ubuntu OpenSSL Random Number Generator Vulnerability

  Original release date: May 16, 2008
  Last revised: --
  Source: US-CERT

Systems Affected

* Debian, Ubuntu, and Debian-based distributions

Overview

  A  vulnerability  in  the  OpenSSL  package  included  with the Debian
  GNU/Linux   operating  system  and  its  derivatives  may  cause  weak
  cryptographic keys to be generated. Any package that uses the affected
  version of SSL could be vulnerable.

I. Description

  A  vulnerabiliity  exists  in  the random number generator used by the
  OpenSSL  package included with the Debian GNU/Linux, Ubuntu, and other
  Debian-based   operating   systems.   This  vulnerability  causes  the
  generated numbers to be predictable.

  The result of this error is that certain encryption keys are much more
  common  than  they should be. This vulnerability affects cryptographic
  applications  that  use  keys  generated by the flawed versions of the
  OpenSSL package. Affected keys include, but may not be limited to, SSH
  keys,  OpenVPN  keys,  DNSSEC  keys, and key material for use in X.509
  certificates  and  session  keys  used  in SSL/TLS connections. Any of
  these keys generated using the affected systems on or after 2006-09-17
  may be vulnerable. Keys generated with GnuPG, GNUTLS, ccrypt, or other
  encryption  utilities  that  do  not  use  OpenSSL  are not vulnerable
  because these applications use their own random number generators.

II. Impact

  A  remote,  unauthenticated  attacker  may be able to guess secret key
  material.  The  attacker may also be able to gain authenticated access
  tothe   system   through   the   affected   service   or   perform
  man-in-the-middle attacks.

III. Solution

Upgrade

  Debian  and  Ubuntu have released fixed versions of OpenSSL to address
  this  issue. System administrators can use the ssh-vulnkey application
  to  check  for  compromised  or weak SSH keys. After applying updates,
  clients using weak keys may be refused by servers.

Workaround

  Until  updates can be applied, administrators and users are encouraged
  to  restrict  access  to  vulnerable servers. Debian- and Ubuntu-based
  systems   can   use   iptables,   iptables   configuration  tools,  or
  tcp-wrappers to limit access.


IV. References

 * DSA-1571-1 openssl - predictable random number generator  -
  http://www.debian.org/security/2008/dsa-1571

 * Debian wiki - SSL keys - http://wiki.debian.org/SSLkeys

 * Ubuntu OpenSSL vulnerability -
  http://www.ubuntu.com/usn/usn-612-1

 * Ubuntu OpenSSH vulnerability -
  http://www.ubuntu.com/usn/usn-612-2

 * Ubuntu OpenVPN vulnerability -
  http://www.ubuntu.com/usn/usn-612-3Ubuntu SSL-cert vulnerability

 * Ubuntu OpenSSH update - http://www.ubuntu.com/usn/usn-612-5

 * Ubuntu OpenVPN regression - http://www.ubuntu.com/usn/usn-612-6

 * OpenVPN regression - http://www.ubuntu.com/usn/usn-612-6


 _

 The most recent version of this document can be found at:

   http://www.us-cert.gov/cas/techalerts/TA08-137A.html
 _

 Feedback can be directed to US-CERT Technical Staff. Please send
 email to [EMAIL PROTECTED] with TA08-137A Feedback VU#925211 in the
 subject.
 _

 For instructions on subscribing to or unsubscribing from this
 mailing list, visit http://www.us-cert.gov/cas/signup.html.
 _

 Produced 2008 by US-CERT, a government organization.

 Terms of use:

   http://www.us-cert.gov/legal.html
 

 Revision History

 May 16, 2008: Initial release
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.2.1 (GNU/Linux)

iQEVAwUBSC3OLvRFkHkM87XOAQIY6Qf/RywAJKkMBte71mgV+XKHOFH9yLy+vOGs
HlC35oyfpijFSPI1TyYpN9vvpvfhL8DDDG6/dNBt+u1uVskcurb5Rh1UMmpEEFg0
kVGos6JDD18T6JpfgvEY9k+4iVAGApNirEYRDsKFVRho/3CaJQ6Tdp/jf3NEzmNE
DPgsEA0n825kBd0dr/v3yT5S9wYsn5x9n6OfyHShXVwYPK/V3jEXbU0uZo0Nt7HX
L0FIVTz5tMWIm1LoTsh+GeE0dsnsg/0+qf1jRRq66GQ+3eMGO/wepTbUmqGCXF0s
I+O756V/mDxrPePJRNcpCjtGZCEjtMNJ4fZPQhosxbNVPpvDV5rGlQ==
=93LZ
-END PGP SIGNATURE-


-- 
Per REVOCARE l'iscrizione alla lista, inviare un email a 
[EMAIL PROTECTED] con oggetto unsubscribe. Per
problemi inviare un email in INGLESE a [EMAIL PROTECTED]

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: Vulnerabilità

[Gabriele 'LightKnight' Stilli]

sabato 17 maggio 2008, alle 01:59, Patrizio O.C. Melis scrive:

 Debian/Ubuntu OpenSSL Random Number Generator Vulnerability

Già menzionato in decine di posti diversi, *compresa* questa lista :-)

Gabriele :-)

-- 
http://poisson.phc.unipi.it/~stilli/   ICQ UIN: 159169930
[HT] Lothlorien F.C. (51042, IV.53)   #156 Club dei Mille
Meglio essere ottimisti e avere torto, che pessimisti e avere ragione
[Albert Einstein]


signature.asc
Description: Digital signature

Re: vulnerabilità

[Apaella]

On 220302, 10:58, walter valenti wrote:
  Hola,
  
  qualcuno sa se esiste qualche strumento, per trovare le eventuali 
  vulnerabilità in un programma??
  Specificatamente a me serve per scovarle il codice scritto in Perl.

dubito esista qualcosa di serio... al massimo qualcosa che ti scova
gli errori piu cimuni, ma solitamente su progetti grossi le vulnerabilità
hanno vita proprio (vedi ultime sulle librerie di compressione)



-- 
Antonello Pasella

vulnerabilità

[walter valenti]

Hola,
qualcuno sa se esiste qualche strumento, per trovare le eventuali 
vulnerabilità in un programma??
Specificatamente a me serve per scovarle il codice scritto in Perl.

Grazie
  Walter

Re: vulnerabilità

[Davide Alberani]

On Mar 22, walter valenti [EMAIL PROTECTED] wrote:

 Specificatamente a me serve per scovarle il codice scritto in Perl.

Controlla il tuo codice con rats.

-- 
(=---= [EMAIL PROTECTED] == PGP KeyID: 0x465BFD47 =--=)
 )Davide Alberani  (
(=--= http://digilander.iol.it/alberanid/ =-= ICQ UIN: 83641305 =--=)