Risultati da 1 a 5 di 5

Discussione: Grave Falla di sicurezza LINUX

  1. #1
    Member
    Data Registrazione
    03-11-2001
    Messaggi
    52

    Grave Falla di sicurezza LINUX

    Falla di sicurezza anche per LINUX
    Una grave vulnerabilità scoperta in una libreria comunemente utilizzata nel mondo del software open source, e di Linux in particolare, ha fatto scattare l'allarme rosso fra gli esperti di sicurezza.

    La libreria incriminata, zlib, viene utilizzata per la compressione dei dati in svariati campi, dal networking alle immagini, e si trova integrata in centinaia di pacchetti software open source, incluso lo stesso kernel di Linux, il cuore di tutto il sistema. Fra gli altri software che si avvalgono di questa libreria è possibile citare X11, Mozilla/Netscape 6 e Galeon.

    La vulnerabilità, scoperta da un ingegnere di Red Hat dietro segnalazione di un utente, consiste in un buffer overflow contenuto nel codice di gestione della memoria della libreria zlib; un bug che, secondo la società di sicurezza Guardian Digital, potrebbe rendere i sistemi interessati vulnerabili ad attacchi da remoto o a denial of service.

    Mark Cox, senior director of engineering di Red Hat, ha spiegato che il problema è davvero esteso perché, oltre a Linux, interessa un gran numero di altri sistemi operativi, fra cui BSD e Solaris.

    "Lo scenario non è affatto confortante. Questa volta il problema di sicurezza risiede in una libreria utilizzata da un vastissimo numero di applicazioni", ha detto a Punto Informatico Gabriele D'Angelo, esperto di sicurezza di PortaZero.info. "Nei casi in cui la libreria sia utilizzata dinamicamente è sufficiente sostituirla con una nuova versione che corregga il problema, ma la situazione non è altrettanto semplice quando questa venga utilizzata staticamente: in questo caso l'unica soluzione possibile è quella di ricompilare il programma".

    "È bene notare - ha continuato D'Angelo - come in questo caso non si tratti banalmente di un problema di programmazione o di progettazione: la gestione della memoria rimane un problema complesso e i linguaggi di programmazione che lasciano interamente questo fardello sulle spalle del programmatore non aiutano sicuramente ad ottenere applicazioni più sicure".

    Intanto il CERT ha fatto sapere di essersi attivato affinché l'industria, e tutti gli altri soggetti a rischio, vengano a conoscenza della falla e del vasto numero di software da questa interessati.

    http://punto-informatico.com/p.asp?i=39394

  2. #2
    Software Zone Maniac
    Culattone Raccomandato
    L'avatar di parsEc
    Data Registrazione
    06-10-2001
    Messaggi
    3.151

    Re: Grave Falla di sicurezza LINUX

    Messaggio originale di Blade^R
    Falla di sicurezza anche per LINUX
    [CUT]
    La falla riguarda una nota libreria open source usata da molti programmi di Linux (ma anche da programmi di altri sistemi operativi)...
    Quindi la grave falla non e' di Linux (che e' un kernel) ma di una libreria open source che non fa assolutamente parte di Linux (essendo quest'ultimo un kernel)...
    In ogni caso sul sito ufficiale e' disponibile la versione aggiornata che risolve i problemi per i programmi linkati dinamicamente a queste librerie... quelli linkati staticamente vanno ricompilati (se si hanno a disposizione i sorgenti) o aggiornati (nel caso si ha a che fare con dei binari come spesso accade in altri SO)
    CIAO
    Windows XP has detected that there were no errors for the past 10 minutes.
    The system will now try to restart or crash. Click the OK button to continue.

  3. #3
    Software Zone Fanatic L'avatar di Capoccione
    Data Registrazione
    21-11-2001
    Località
    Roma
    Messaggi
    11.984

    Re: Re: Grave Falla di sicurezza LINUX

    Messaggio originale di parsEc
    ... quelli linkati staticamente vanno ricompilati (se si hanno a disposizione i sorgenti) ...
    Scusa la mia ignoranza Parsec, ma che vuol dire che bisogna ricompilarli manualmente? Che l'utente deve modificare la chiamata di quel file nel codice sorgente?

  4. #4
    Software Zone Maniac
    Culattone Raccomandato
    L'avatar di parsEc
    Data Registrazione
    06-10-2001
    Messaggi
    3.151

    Re: Re: Re: Grave Falla di sicurezza LINUX

    Messaggio originale di Capoccione


    Scusa la mia ignoranza Parsec, ma che vuol dire che bisogna ricompilarli manualmente? Che l'utente deve modificare la chiamata di quel file nel codice sorgente?
    Praticamente SI
    Ovvero sulla mia RedHat ho installato un pacchetto precompilato dal nome parsec_1.0.rpm e quando e' stato precompilato si e' fatto ricorso alla libreria bacata swzone_2.0 allora parsec_1.0.rpm si porta (a quanto pare) dietro la falla di swzone_2.0.
    Se aggiorno parsec_1.0.rpm con parsec_1.1.rpm precompilato con swzone_2.1 patchato allora il programma parsec non soffre piu' del problema.
    Se parsec e' invece linkato dinamicamente alla libreria swzone_2.0 allora bastera' aggiornare questa libreria per scongiurare il pericolo di cattivo funzionamento del programma parsec
    Se invece si e' soliti compilare i propri programmi (qualora siano disponibili i sorgenti) allora bastera' patchare la libreria bacata e ricompilare usando questa libreria i programmi a rischio.
    Ho semplificato molto e ho scritto tutto malissimo ... spero che sia stato un po' chiaro
    Windows XP has detected that there were no errors for the past 10 minutes.
    The system will now try to restart or crash. Click the OK button to continue.

  5. #5

Segnalibri

Permessi di Scrittura

  • Tu non puoi inviare nuove discussioni
  • Tu non puoi inviare risposte
  • Tu non puoi inviare allegati
  • Tu non puoi modificare i tuoi messaggi
  •