Buco in una libreria open

E' stata scoperta una vulnerabilitÓ di sicurezza in zlib, una libreria di compressione utilizzata da molte applicazioni e inclusa in diverse distribuzioni di Linux

Roma - Una seria vulnerabilitÓ di sicurezza che affligge un componente open source largamente utilizzato nel mondo Linux/Unix potrebbe rendere molti server vulnerabili ad attacchi remoti. A dirlo Ŕ il FrSIRT (French Security Incident Response Team), che in questo advisory spiega come il bug, di tipo buffer overflow, si nasconda all'interno della libreria per la compressione dei file zlib.

Gli esperti di sicurezza hanno spiegato che un cracker potrebbe creare uno speciale file compresso che, una volta aperto da un'applicazione, Ŕ in grado di eseguire del codice malevolo o mandare in crash l'applicazione che utilizza zlib.

La libreria vulnerabile, che impiega algoritmi di compressione liberi da brevetti, viene utilizzata da un gran numero di applicazioni open source e proprietarie e si trova inclusa in OpenBSD e in molte distribuzioni Linux.
"Sono moltissimi i software e i dispositivi che utilizzano zlib, dai giochi per Xbox ai telefoni cellulari", ha spiegato Tavis Ormandy, del Gentoo Linux security audit team. "╚ dunque facile immaginare come la portata di questa falla possa essere davvero ampia".

Sebbene il team di sviluppo di zlib stia ancora lavorando ad una patch, il progetto OpenBSD e vari distributori di Linux hanno giÓ messo a disposizione dei propri utenti versioni aggiornate della libreria.
TAG: linux
131 Commenti alla Notizia Buco in una libreria open
Ordina
  • Ecco un'altro esempio di un fenomeno
    che ha ormai dimensioni enormi. Un'altra
    falla in molti sw windows e in certe dll che
    permette di eseguire codice malevolo e
    di trasformare i winputer in zombie per
    impestare la rete (al contrario di altri
    sistemi aggiornabili facilmente in pochi
    secondi, da parte di utenti abituati a farlo).
    Il marketing di questo sistema, che racconta
    alla gente panzane del tipo "non devi sapere
    niente, fa tutto il ns grande software", fa si che
    per vendere il piu possibile si racconti la
    balla colossale che chi usa un computer non
    deve saperlo usare.
    L'insicurezza intrinseca di questo sistema
    e il comportamento inadeguato della grande
    maggioranza dei suoi utenti (convinti dal
    marketing a restare disinformati perché il
    sistema è facile e non richiede nessuna
    competenza) è un cocktail che sta facendo danni
    enormi a tutti in termini di sozzeria che circola in
    rete a causa del gran nr di winputer zombie.
    Ma il danno principale e
    irrimediabile che genera questo "modello
    informatico" basato sul concetto che L'UTENTE
    DEVE RESTARE IGNORANTE perchè tanto il sistema DOVREBB ESSERE cosi FACILE da rendere inutile qualsiasi tipo di conoscenza, è che TUTTO QUESTO GIUSTIFICA L'INTRODUZIONE DI METODI COME DRM E PALLADIUM, con altissimi costi per tutti, sia in termini economici, sia in termini di libertà di comunicazione.
    Grazie utente windows medio per tutta la spazzatura che a causa tua gira per la rete e si beccano tutti.
    Grazie per giustificare con la tua esistenza l'introduzione di meccanismi di controllo, spyware
    integrati, etc.etc. che renderanno a tutti la vita difficile, diminuiranno fortemente la libertà di comunicare,
    aumenteranno i costi dell'informatica per tutti.
    Fai veramente schifo.
    non+autenticato
  • mi sembra sufficiente.
    che dire critica il bucherello MS oggi, e beccati il mega bucone open domani.

    il bello dei buchi open e la loro potenzialita multipiattaforma, praticamente non esiste sw open e non SO open e non che non usi questa libreria.
    non+autenticato

  • - Scritto da: Anonimo
    > mi sembra sufficiente.
    > che dire critica il bucherello MS oggi, e beccati
    > il mega bucone open domani.
    >
    > il bello dei buchi open e la loro potenzialita
    > multipiattaforma, praticamente non esiste sw open
    > e non SO open e non che non usi questa libreria.

    compreso windows... sisi , anche win usa le zlib
    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    > > mi sembra sufficiente.
    > > che dire critica il bucherello MS oggi, e
    > beccati
    > > il mega bucone open domani.
    > >
    > > il bello dei buchi open e la loro potenzialita
    > > multipiattaforma, praticamente non esiste sw
    > open
    > > e non SO open e non che non usi questa libreria.
    >
    > compreso windows... sisi , anche win usa le zlib

    non glielo dire... sai come starà a sapere di essere più open degli open?A bocca aperta
    non+autenticato
  • Le zLib vengono utilizzate anche in Windows ed in Office (la licenza è di tipo BSD, quindi possono essere usate anche in software commerciale... come appunto quello MicrosoftOcchiolino )
    non+autenticato
  • Si ma quelle sono a prova di bug.

    Bye bye lino!A bocca aperta:D
    non+autenticato
  • > Si ma quelle sono a prova di bug.
    >
    > Bye bye lino!A bocca aperta:D

    Nel senso che e' provato che hanno un sacco di bug?A bocca aperta
    non+autenticato

  • - Scritto da: Anonimo
    > Le zLib vengono utilizzate anche in Windows ed in
    > Office (la licenza è di tipo BSD, quindi possono
    > essere usate anche in software commerciale...
    > come appunto quello MicrosoftOcchiolino )

    Credo che anche firefox su XP la utilizzi
    (libimg/png dipende dalla zlib)
    http://www.mozilla.org/owners.html#zlib

    la data di modifica è recente Jul 6 11:31     
    http://lxr.mozilla.org/mozilla/source/modules/zlib...

    il baco è stato corretto, quindi sarebbe utile far scaricare
    una built recente, a chi si è consigliato di usare firefox su win


  • .. ancora??Perplesso
    bastaaaa!!!Arrabbiato
    sia per win che linux.. veramente.. mi sono rotto!Arrabbiato Arrabbiato

    1) falla o non falla, pacchata o non pacchata.. se l'utente non aggiorna, tutti questi discorsi e queste seghe mentali non servono a niente.

    2) esistono i vari auto-update sia per win che linux.. ma se l'utente non li attiva.. non servono a niente

    3) al massimo pubblicatele, ma non attivate il forum... basta flame! ma se le pubblicate e l'utente utilizza internet solo per i pornazzi.. non servono a niente

    discorso valido sia per linari che winari.

    ..come siamo messi a mac?A bocca aperta
    non+autenticato
  • - Scritto da: Anonimo
    > .. ancora??Perplesso
    > bastaaaa!!!Arrabbiato
    > sia per win che linux.. veramente.. mi sono
    > rotto!Arrabbiato Arrabbiato

    A chi lo dici! Triste

    > 1) falla o non falla, pacchata o non pacchata..
    > se l'utente non aggiorna, tutti questi discorsi e
    > queste seghe mentali non servono a niente.

    Giusto, ma un solo appunto: l'utente (un utente domestico, diciamo) non può aggiornare se la patch non esce.

    > discorso valido sia per linari che winari.

    Vero, ma la mia opinione personale è che in giro per questi forum ci siano un po' di troll che postano in base all'umore personale, senza essere convinti né da Linux né da Windows. Ed è per colpa loro che le due categorie, "linari" e "winari", sembrano così estremiste.
  • queste seghe mentali non servono a niente.
    >
    > Giusto, ma un solo appunto: l'utente (un utente
    > domestico, diciamo) non può aggiornare se la
    > patch non esce.

    ma hai pienamente ragione.. comunque la mia osservazione si ferma prima: l'utente NON aggiorna un emerito cavoloSorride ..quindi ... tutto ciò non serve a niente, ne' prima, ne' adesso, ne in futuro (quindi nel caso di falla già pacchata, o che dovra uscire il fix con la correzione..)

    > > discorso valido sia per linari che winari.
    >
    > Vero, ma la mia opinione personale è che in giro
    > per questi forum ci siano un po' di troll che
    > postano in base all'umore personale, senza essere
    > convinti né da Linux né da Windows. Ed è per
    > colpa loro che le due categorie, "linari" e
    > "winari", sembrano così estremiste.

    io non sono convinto ne' dal primo che dal secondo... mi muovo al contrario delgi altri. niente troll & Co. .. non servono a niente...
    perchè devo rovinarmi la giornata per leggermi i comenti (alcuini sono anche utili, perchè spiegano tutto quello che c'è da fare, ma sono rari e mischiati a quelli inutili.. perchè devo leggerli quest'utlimi per andarmi a cercare quelli utili?)
    non+autenticato
  • Redazioneeeeee?

    ci siete? avrei una proposta, onde evitare guerre di religione informatiche perche non mettete queste notizie in una sezione a parte sulla quale non si possano postare commenti e separate dal notiziario giornaliero?

    un po' come la colonnina delel ultime brevi e quelle da non perdere...

  • - Scritto da: awerellwv
    > Redazioneeeeee?
    >
    > ci siete? avrei una proposta, onde evitare
    > guerre di religione informatiche perche non
    > mettete queste notizie in una sezione a parte
    > sulla quale non si possano postare commenti e
    > separate dal notiziario giornaliero?
    >
    > un po' come la colonnina delel ultime brevi e
    > quelle da non perdere...

    Domanda...

    se non ci fosse la possibilità di commentare le notizie di questo tipo tu non leggeresti i commenti...
    chi ti obbliga a leggere questi?
    :s
    non+autenticato
  • leggiti una mia precedente rsiposta...
    ci sono commenti utili... che andrebbero letti perchè spiegano come fare x aggiornare, cosa fa l'aggiornamento eccecc.. ma sono pochissimi. il resto dei commenti 80%.. sono troll...
    però per "beccare" quelli utili.. devo leggermi gli altri...
    non+autenticato
  • Tutti i programmi che linkano zlib staticamente li avete patchati?
    Usate solo programmi ad aggiornamento automatico?
    non+autenticato
  • I programmi che usano zlib, non vanno patchati, in quanto richiamano la libreria zlib comune per tutto il sistema, quindi se è patchata, al richiamo usano quella nuova.
    non+autenticato

  • - Scritto da: Anonimo
    > I programmi che usano zlib, non vanno patchati,
    > in quanto richiamano la libreria zlib comune per
    > tutto il sistema, quindi se è patchata, al
    > richiamo usano quella nuova.

    Sai che significa libreria linkata staticamente???

    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    > > I programmi che usano zlib, non vanno patchati,
    > > in quanto richiamano la libreria zlib comune per
    > > tutto il sistema, quindi se è patchata, al
    > > richiamo usano quella nuova.
    >
    > Sai che significa libreria linkata staticamente???
    >

    Dimenticavo: visto che zlib è open source, ci saranno tanti programmi cha la avranno inclusa nei propri sorgenti (magari per fare qualche modifica secondaria).
    E' veramente incredibile la tranquillità con cui molti dicono: .... tanto la mia distribuzione mi ha aggiornato le librerie di sistema.
    Ignoranti.
    non+autenticato
  • > Dimenticavo: visto che zlib è open source, ci
    > saranno tanti programmi cha la avranno inclusa
    > nei propri sorgenti (magari per fare qualche
    > modifica secondaria).
    si, ad esempio un sacco di sw M$ che ha zlib linkato staticamente e che data la natura WC-closed sarà patchato da M$ solo tra qualche annetto...

    per il resto, 100% daccordo con te.
    non+autenticato
  • >tanto la mia distribuzione mi ha aggiornato le librerie >di sistema.
    Ignorante sarai tu. Linux ha una struttura modulare.
    Le librerie sono linkate dinamicamente e non
    esistono programmi che le hanno compilate
    al proprio interno in modo statico. Queste cose
    succedono in altri mondi (purtroppo) possibili.
    Debian ha patchato zlib il 6 luglio e tutti i programmi
    che usano zlib non sono esposti al bug. Punto
    non+autenticato
  • > Le librerie sono linkate dinamicamente e non
    > esistono programmi che le hanno compilate
    > al proprio interno in modo statico. Queste cose
    > succedono in altri mondi (purtroppo) possibili.
    Ehm, a quanto so il modo è proprio questo, scrivo un programma che fa riferimento a determinate librerie, quando compilo gli dico di compilarle STATICAMENTE, il che significa che si porta dietro tutto il codice che gli serve anche da quelle librerie che sono presenti in quel dato momento dove ho detto al compilatore di andarsele a pescare.
    Fino a che uno usa l'eseguibile questo continua ad usare il codice buggato che gli ho detto di prendersi.
    Se uno prende i sorgenti e ricompila, dovrà anche procurarsi le librerie giuste, o dire al compilatore dove procurarsi le librerie giuste, (il che potrebbe anche essere del tutto automatizzato se il codice dice al compilatore di beccarsi le librerie di sistema, che sono state patchate.
    non+autenticato

  • - Scritto da: Anonimo
    > I programmi che usano zlib, non vanno patchati,
    > in quanto richiamano la libreria zlib comune per
    > tutto il sistema, quindi se è patchata, al
    > richiamo usano quella nuova.

    Veramente il poster originale ha parlato di link *statico*, quindi nell'eseguibile viene integrata la versione di zlib corrente; anche se aggiorni la lib standalone, il programma con la zlib integrata continua ad usare la sua, quindi occorre aggiornare anche tutti i programmi di questo tipo (quanti siano non lo so)

    KaysiX
    non+autenticato
  • > Veramente il poster originale ha parlato di link
    > *statico*, quindi nell'eseguibile viene integrata
    > la versione di zlib corrente; anche se aggiorni
    > la lib standalone, il programma con la zlib
    > integrata continua ad usare la sua, quindi
    > occorre aggiornare anche tutti i programmi di
    > questo tipo (quanti siano non lo so)

    In Debian nessuno.
    non+autenticato

  • - Scritto da: Anonimo
    >
    > In Debian nessuno.

    eh ma io ho fatto una considerazione... come dire...
    cross platformSorride

    KaysiX
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | 4 | Successiva
(pagina 1/4 - 18 discussioni)