bug

Un paio di giorni fa vi abbiamo messo in guarda per un grave bug in runC, la runtime di Docker; se avete corso e patchato il vostro sistema avete fatto un ottimo lavoro, ma se siete utenti delle diverse distribuzioni Canonical che utilizzano snapd (Ubuntu in primis) non potete ancora tirare un sospiro di sollievo.

Già perchè proprio in questi giorni Chris Moberly, ricercatore nell’ambito della sicurezza, ha scoperto un bug, battezzato

Leggi il contenuto originale su Mia mamma usa Linux!

Brutto risveglio per gli utilizzatori di container questa mattina, all’interno di un messaggio apparso in nottata su seclist.org è stata annunciata l’esistenza di un grosso bug relativo alla runc.

Se il nome non vi dice nulla, basti sapere che runc è la runtime (l’insieme di tutto il codice utilizzato per interagire con le funzionalità di sistema relative ai container) alla base di Docker, containerd, Kubernetes e via dicendo.

Insomma, chiunque utilizzi i container deve

Leggi il contenuto originale su Mia mamma usa Linux!

C’è un problema con il Kernel di Ubuntu 18.04, o meglio, ce ne sono ben tredici, come documenta questa pagina delle security noticies di Ubuntu.

Parte di queste sono state scoperte è stato uno studente di informatica della Georgia Tech di nome Wen Xu. La falla riguarda il filesystem ext4 ed il fatto che sia possibile creare un’immagine con questo filesystem che, una volta montata, riesca a garantire privilegi di root o

Leggi il contenuto originale su Mia mamma usa Linux!

Il 22 gennaio scorso, ossia tre giorni fa, Max Justicz ha pubblicato un interessante articolo nel quale mostra come sia possibile ottenere i privilegi di utente root per eseguire codice arbitrario mediante l’utilizzo del tool apt.

apt è il comando standard attraverso il quale, letteralmente da decenni, è possibile installare programmi su sistemi Debian e derivati (quindi Ubuntu, Mint e via dicendo). Ebbene, Justicz ha identificato una falla attraverso la quale è

Leggi il contenuto originale su Mia mamma usa Linux!

La Commissione Europea ha lanciato l'iniziativa FOSSA Bug Bounties finalizzata alla scoperta di bug nei software open source che vengono maggiormente utilizzati nelle infrastrutture IT di Parlamento, Consiglio e Commissione Europea.

FOSSA sta per Free and Open Source Software Audit, un progetto lanciato dagli europarlamentari Julia Reda e Max Andersson qualche anno fa dopo il caso OpenSSL. Lo scopo di questo progetto è quello di garantire maggiore sicurezza nel software software libero utilizzato dalle

Leggi il contenuto originale su Marco's Box

L’Unione Europea è alla ricerca di ethical hackers per scovare bug in alcuni software open source particolarmente utilizzati dalle istituzioni europee.

Questo bug bounty fa parte del progetto più ampio FOSSA (Free and Open Source Software Audit) che mira ad assicurare l’integrità e l’affidabilità della rete e delle infrastrutture.

Lanciato nel 2015 a seguito della scoperta da parte di alcuni ricercatori di diverse vulnerabilità nelle librerie di OpenSSH, è ora giunto alla terza

Leggi il contenuto originale su Mia mamma usa Linux!

Nei giorni scorsi, il ricercatore Narendra Shinde, ha scovato un bug nel servizio X.Org (la componente che gestisce l’ambiente grafico) che consente ad un utente limitato di effettuare una privilege escalation fino a diventare root.

Il bug è presente da almeno due anni, precisamente dalla versione 1.19.0; la CVE assegnata è  CVE-2018-14665:

An incorrect permission check for -modulepath and -logfile options when starting Xorg X server allows unprivileged users with the ability to

Leggi il contenuto originale su Mia mamma usa Linux!

A marzo è stato il turno dello scandalo di Facebook, che porta il nome di Cambridge Analytica: i dati di più di 80 milioni di persone erano a disposizione di quella società per fare profili, comparazioni e non si sa cos’altro. E sebbene iscrivendosi a Facebook si permetta l’accesso ad una certa serie di dati, nel caso specifico tale permesso non era stato dato: a tutti gli effetti i dati sono stati rubati.
Lo

Leggi il contenuto originale su Mia mamma usa Linux!

È stato scoperto un grave bug nel browser Mozilla Firefox. Il bug permette a un utente (da remoto) di mandare in crash il browser su sistemi desktop. Il bug è stato scoperto dall’esperto di sicurezza Sabri Haddouche (che si definisce developer, pentester, bug hunter & privacy advocate).

Haddouche ha creato uno script per dimostrare il modo in cui si può sfruttare il bug e l’ha aggiunto al proprio sito web, dove troviamo

Leggi il contenuto originale su Lffl.org

L’epopea di Intel e dei bug hardware dei suoi processori non cenna a diminuire. Dopo l’annuncio di altre varianti di Spectre e Meltdown, con relative patch in arrivo, Cyberus Technology annuncia la scoperta di un nuovo buco, relativo al lazy FPU state switching (cambiamento di stato della FPU pigro).

Di cosa si tratta? Abbiamo già accennato ai meccanismi di Meltdown e Spectre, per cui alcune tecniche di miglioramento delle prestazioni (branch prediction)

Leggi il contenuto originale su Mia mamma usa Linux!