Linux e la coperta corta della sicurezza contro le performance, tra Spectre e malware c’è poco da stare sereni

La scorsa settimana abbiamo parlato delle patch STIBP (Single Thread Indirect Branch Predictors, una protezione dalle varianti di Spectre) e di come queste avessero influenzato negativamente le performance del Kernel Linux, al punto che Linus Torvalds era intervenuto, educatamente, sottolineando l’importanza di rendere opzionali questo genere di patch così impattanti. Bene, lo scorso venerdì sono state pubblicate le nuove release dei vari Kernel attualmente manutenuti, in particolare le versioni 4.19.4 e 4.14.83 hanno visto includere il revert (o annullamento) della patch relativa a STIBP. Le patch originali erano già un backport dal ramo 4.20, ma visti i problemi di performance evidenziati ed il continuo sviluppo che ancora è eseguito in ambito STIBP si è preferito optare per il revert. La questione risulta interessante per sollevare nuovamente il tema dei problemi alle CPU, di cui abbiamo tanto parlato, da cui è necessario proteggersi: performance e sicurezza non andranno mai d’accordo, almeno fino a quando non verranno prodotte CPU non affette da Meltdown e Spectre, ed il giorno della loro distribuzione di massa è ancora lontano. Se a tutto questo aggiungiamo le altre minacce che ogni giorno vengono scoperte, c’è poco da stare tranquilli. L’ultima minaccia di questo tipo in ordine di […]

Continue reading

Avete aggiornato PostgreSQL ? Per sicurezza meglio farlo in fretta.

Non molto tempo fa vi abbiamo parlato dell’uscita del nuovo PostgreSQL 11, con notevoli miglioramenti di performance rispetto alle versioni precedenti. Beh, a meno di un mese di distanza ecco che arriva il rilascio di PostgreSQL 11.1; ma aspettate, contemporaneamente gli antagonisti di MySQL forniscono anche aggiornamenti per le precedenti release, pubblicando le versioni 10.6, 9.6.11, 9.5.15, 9.4.20 e 9.3.25. Ma per quale motivo questo blocco di update? Beh perchè, nonostante non se ne sia parlato molto se non al di fuori delle cerchie più ristrette di utenti, qualche giorno fa era uscita la CVE-2018-16850, dal testo abbastanza inquetante: CVE-2018-16850: SQL injection in pg_upgrade and pg_dump, via CREATE TRIGGER … REFERENCING Il problema era fondamentalmente un’SQL injection effettuabile mentre un amministratore ha in esecuzione i comandi pg_upgrade o pg_dump/pg_restore; soprattutto questi ultimi due sono particolarmente utilizzati per eseguire backup e restore degli schemi di PostgreSQL, quindi la possibilità che siano in esecuzione è parecchio elevata (o comunque, comune). E’ vero che per poter eseguire questa injection era necessario che l’utente utilizzato per attaccare avesse le permission di CREATE o di TRIGGER almeno su uno schema; peccato che per default tutti gli utenti di PostgreSQL abbiano la permission CREATE sullo schema […]

Continue reading