OpenSMTPD è un demone, originario di OpenBSD, basato sull’omonima libreria per gestire il protocollo SMTP, ovvero quello usato per l’invio e la ricezione delle email. Recentemente Qualys ha identificato un bug di sicurezza presente da maggio 2018, tracciato con CVE-2020-7247, che permette (potenzialmente) l’esecuzione di codice in remoto come utente root. Il rapporto pubblicato da…
Read more

Leggi il contenuto originale su Mia mamma usa Linux!

Non molto tempo fa abbiamo tenuto sul blog un confronto tra i compensi che GitLab e GitHub danno agli utenti che scovano bug nei loro prodotti. Bene, oggi, se siete utilizzatori di Kubernetes e vi piace scoprire e segnalare i bug vi farà piacere sapere come anche il sistema di orchestrazione di container più famoso… Read more

Leggi il contenuto originale su Mia mamma usa Linux!

E’ stata scoperta una nuova vulnerabilità che consente a potenziali aggressori di dirottare (hijack)connessioni VPN su dispositivi *NIX vulnerabili e iniettare payload di dati arbitrari nei flussi TCP IPv4 e IPv6.

Tale vulnerabilità è stata tracciata nel CVE-2019-14899 e affligge la maggior parte delle distribuzioni Linux e dei sistemi operativi simili a Unix, inclusi FreeBSD, OpenBSD, macOS, iOS e Android.

Riferimento: https://www.bleepingcomputer.com/news/security/new-linux-vulnerability-lets-attackers-hijack-vpn-connections/

Questa falla di sicurezza “consente ad un attaccante in una rete adiacente (altro…)

Abbiamo parlato spesso della rivalità tra le due aziende GitLab e GitHub. Sin dall’acquisizione di quest’ultima da parte di Microsoft i confronti fra le due aziende (e i due prodotti) sono sempre stati vibranti: dalla gestione della CI fino alle politiche di assunzione dei dipendenti e dei clienti. Infatti, come ogni rivalità che si rispetti,…
Read more

Leggi il contenuto originale su Mia mamma usa Linux!

Un set di patch è appena stato inserito nel repository mainline (e aggiornamenti stabili) per l’ennesimo set di vulnerabilità hardware. “TSX async abort” (o TAA) espone informazioni attraverso i soliti side channels tramite buffer interni utilizzati con le istruzioni della memoria transazionale (TSX). La mitigazione viene effettuata disabilitando TSX o cancellando i relativi buffer quando si passa dalla modalità kernel a quella utente. Dato che questo non è il (altro…)

Google ha scoperto un bug che coinvolge Libarchive, una libreria di de/compressione inclusa di default in tantissime distro GNU/Linux, come Debian, Ubuntu, Gentoo, Arch Linux ma anche in FreeBSD e NetBSD. Libarchive contiene una vulnerabilità che consente l’esecuzione di codice arbitrario.

Tale libreria è presente anche su macOS e Windows ma i sistemi operativi di Apple e Microsoft non sono affetti dal bug.

Linux, e CVE-2019-18408 per Libarchive

Libarchive è una libreria per la

Leggi il contenuto originale su Lffl.org

Periodo impegnativo in ambito sicurezza per tutti gli utenti Linux, stanno emergendo diversi problemi parecchio critici. Se qualche giorno fa vi spiegavamo di un pericoloso bug in sudo che permette ad utenti non privilegiati di eseguire comandi come root, rendendo di fatto vulnerabili migliaia (se non milioni) di server in tutto il mondo, quello di… Read more

Leggi il contenuto originale su Mia mamma usa Linux!

Si segnala una vulnerabilità critica riguardo l’acquisizione di privilegi tramite la specifica di “Runas” con la keyword “ALL”. Questo problema affligge le versioni del programma sudo minori di 1.8.28, quindi è opportuno l’aggiornamento ad una versione 1.8.28 o successiva il prima possibile.

Riferimento: https://www.sudo.ws/alerts/minus_1_uid.html

Potential bypass of Runas user restrictions

Release Date:

October 14, 2019

Summary:

When sudo is configured to allow a user to run commands as an arbitrary user via the ALL keyword in a Runas (altro…)

This is not a bug, this is a feature! Quante volte, scherzando, abbiamo sentito dire o detto questa frase? Questi due elementi, i bug e le feature, sono comunque legati indissolubilmente, volente o nolente: se c’è un bug, questo è introdotto da una data feature. Nel caso in questione il bug era all’interno del KDE…
Read more

Leggi il contenuto originale su Mia mamma usa Linux!

L’ufficio di sicurezza di Netflix, per mano di Jonathan Looney, ha pubblicato una serie di bug presenti nel kernel Linux piuttosto spiacevoli che riguardano il trasferimento via TCP, e in particolare la feature SACK (Selective ACK – conferma selettiva). Ma cerchiamo di fare chiarezza: si può immaginare il trasferimento via TCP come la trasmissione di…
Read more

Leggi il contenuto originale su Mia mamma usa Linux!