Grossa falla in una diffusa libreria di Sun

Scoperta una grave falla di sicurezza che si annida fra le righe di codice di una libreria sviluppata da Sun. La vulnerabilitÓ interessa due diffuse implementazioni open source della libreria e tutti i prodotti basati su di esse

Roma - Alcune delle pi¨ diffuse implementazioni di XDR (External Data Representation), un protocollo standard di Internet per la comunicazione fra processi di sistema, soffrono di una grave vulnerabilitÓ che, secondo gli esperti, mette a serio repentaglio la sicurezza di un numero relativamente alto di computer connessi alla Rete.

La vulnerabilitÓ, scoperta dalla societÓ di sicurezza eEye Digital Security, consiste in un buffer overflow che pu˛ essere sfruttato da malintenzionati per effettuare attacchi di tipo denial of service o per seguire sul sistema remoto codice a propria scelta.

La gravitÓ di questa falla Ŕ amplificata dal fatto che essa riguarda una funzione originariamente sviluppata da Sun per la sua network services library (libnsl) e poi ripresa in alcune delle pi¨ diffuse librerie open source, fra cui tutte quelle derivate dalla libc di BSD con le routine XDR/RPC e la glibc di GNU C con sunrpc.
Fra i sistemi operativi di cui Ŕ giÓ stata accertata la vulnerabilitÓ ci sono Solaris e AIX di IBM, mentre diversi altri produttori stanno ancora investigando. Il team di sviluppo di Kerberos, il noto protocollo di autenticazione del MIT, sostiene che la falla potrebbe permettere ad un aggressore di mandare in crash il demone kadmind e, eventualmente, di ottenere informazioni sensibili, come chiavi segrete. Attacchi di questo tipo vengono per˛ definiti dal team del MIT come "improbabili".

Per maggiori informazioni Ŕ possibile consultare l'avviso di sicurezza pubblicato dal CERT.
18 Commenti alla Notizia Grossa falla in una diffusa libreria di Sun
Ordina
  • Ma come.. mamma SUN vi scrive un pezzo di codice bucato e voi che fate?
    Zitti e mosca, non lo dite a nessuno...

    Openari: fate ride
    non+autenticato
  • raymond, che hai fatto...
    non+autenticato

  • - Scritto da: Anonimo
    > raymond, che hai fatto...

    problemi di scrittura, e si questa capacità non è open ehehehe
    non+autenticato
  • E' cosi' difficile essere obbiettivi?
    Sempre pronti a dare contro MS, quando pero' si tratta di ammettere l'infallibilita' del proprio "credo", ci si nasconde dietro il silenzio.
    non+autenticato
  • Un computer? 1000 euro con mastercard.

    Una connessione internet per visitare giornalmente P.I.? 100 euro bimestrali con mastercard.

    Non trovare nessun post in questo thread dei lameri che invece postano sull'altro thread? IMPAGABILE!

    >LuPen
    non+autenticato

  • - Scritto da: Anonimo
    > Un computer? 1000 euro con mastercard.
    >
    > Una connessione internet per visitare
    > giornalmente P.I.? 100 euro bimestrali con
    > mastercard.
    >
    > Non trovare nessun post in questo thread dei
    > lameri che invece postano sull'altro thread?
    > IMPAGABILE!
    >
    > >LuPen


    Un esame universitario? 200 euro con Cepu.


    non+autenticato
  • > E' cosi' difficile essere obbiettivi?
    > Sempre pronti a dare contro MS, quando pero'
    > si tratta di ammettere l'infallibilita' del
    > proprio "credo", ci si nasconde dietro il
    > silenzio.

    Ma cosa ti aspetti ?

    Qui c'e' ancora gente che crede che sia
    possibile dimostrare che un software sia
    corretto (esente da bug)

    E la cosa ridicola e' che credono che
    questo accade ogni giorno negli ambienti
    open perche' ci sono migliaia di persone
    che leggono il codice (sarei proprio curioso
    di sapere quanti lo fanno veramente), ancora
    dietro al mito del "facciamo il software meglio,
    tante code-review e non avremo bisogno
    dei test"

    Non si piega perche' mediamente il 15%
    del budget di un progetto software (serio)
    venga speso nel fare i test

    Fare il software di qualita' e' un problema serio,
    MS ha sicuramente avuto problemi nel gestirlo,
    ma hanno capito molto in merito.
    4751

  • - Scritto da: cico
    [cut]
    > Fare il software di qualita' e' un problema serio,

    E' indiscutibilmente vero, però ammetterai che, almeno in teoria, un progetto open-source mettendo i sorgenti a disposizione di un gruppo di persone più ampio, ha più probabilità che qualcuno vi trovi gli eventuali bug.
    In un team di programmazione di una azienda che lavora ad un progetto closed-source (quindi volto a fare SOLDI non beneficienza), quante ore\uomo dei programmatori saranno dedicate alle attività QA\QC?
    Ma soprattutto, il loro operato sarà veramente indipendente ?

    Mi spiego meglio, se un programmatore, per esempio, lavora 70 giorni a programmare e 30 giorni a rivedere codice che magari ha scritto lui stesso, si accorgerà degli errori ?
    Oppure, se questi programmatori si troveranno ad esaminare il lavoro di altri, avranno piacere a "sputtanare" il lavoro dei colleghi ?
    Ma sopratutto: gli addetti al QA\QC non riceveranno mai direttive dall'alto per accelerare il processo di test\controllo ed immettere sul mercato il prodotto nuovo ?

    > MS ha sicuramente avuto problemi nel
    > gestirlo,
    > ma hanno capito molto in merito.

    Sì, secondo me hanno capito che anche mettendo sul mercato prodotti palesemente poco testati, non perderanno mai i clienti, vuoi per pecoronismo (come affermano i paladini del software libero) sia perchè non potranno permettersi il costo del cambiamento.
    La gestione del rischio ormai è una dottrina che ha preso molto piede nelle moderne imprese commerciali ed ormai l'unico conto che viene fatto è: quanto ci potrò potenzialmente perdere rispetto al potenziale guadagno ?
    Ti assicuro che la bilancia pende invariabilmente verso i guadagni e quindi inevitabilmente i nuovi SW saranno SEMPRE bacati, vuoi per la difficoltà nel trovare i bug, vuoi per preciso calcolo commerciale\strategico.

    Ciao
    non+autenticato
  • Prima di tutto premetto che mi fa molto
    piacere fare questa discussione su toni
    pacati, non sviluppo software ne sono
    un capo progetto, ma per diletto mi leggo
    di tutto e tempo fa ho letto anche libri che
    trattano di gestione dei processi di test.

    Questo per dire che forse alcune delle
    riflessioni che appresto a fare sono
    incomplete e/o frammentarie secondo
    quanto mi ricordo.

    Ben vengano quindi precisazioni e
    quant'altro.

    > E' indiscutibilmente vero, però ammetterai
    > che, almeno in teoria, un progetto
    > open-source mettendo i sorgenti a
    > disposizione di un gruppo di persone più
    > ampio, ha più probabilità che qualcuno vi
    > trovi gli eventuali bug.

    Concordo, ma come hai ben detto questo
    e' "in teoria", in pratica non credo che ci
    sia tutta questa gente che si legga veramente
    i sorgenti, neanche quando incontra un bug.

    Comunque sia mi piacerebbe sapere cosa
    ne pensi della qualita' dei test condotti.

    Posto che non e' possibile effettuare test
    esaustivi (per la vastita' del problema,
    ma anche per problemi di tempo/denaro),
    diventa strategico sviluppare una suite
    di test efficace per ridurre al massimo
    il numero di bug.

    Le grosse aziende che producono software
    dovrebbero, almeno in teoria, avere uno
    o piu' di team che si occupano solo di test.

    Questi team dovrebbero essere piu' efficaci
    nella ricerca di questa suite di un gruppo
    scollegato di persone (spesso a livello
    amatoriale per quanto riguarda sia la
    programmazione che questione di QC).

    > In un team di programmazione di una azienda
    > che lavora ad un progetto closed-source
    > (quindi volto a fare SOLDI non
    > beneficienza), quante ore\uomo dei
    > programmatori saranno dedicate alle attività
    > QA\QC?

    Mi rendo conto che la maggior parte delle
    aziende, sopratutto quelle piccole, non
    possono permettersi di spendere quelle
    cifre (e infatti la qualita' generale del
    software direi che e' rimasta piuttosto
    bassina, almeno per quanto riguarda
    le soluzioni verticali che ho incontrato).

    Sono fermamente convinto che MS non
    sia strutturata in questo modo, anche
    perche' ho avuto modo di interagire
    con il test team di un prodotto e di
    vedere una delle loro sale macchine
    solo per i test di un prodotto e sono
    rimasto allibito dal numero di risorse
    impiegate.

    > Ma soprattutto, il loro operato sarà
    > veramente indipendente ?
    >
    > Mi spiego meglio, se un programmatore, per
    > esempio, lavora 70 giorni a programmare e 30
    > giorni a rivedere codice che magari ha
    > scritto lui stesso, si accorgerà degli
    > errori ?

    difficilmente

    > Oppure, se questi programmatori si
    > troveranno ad esaminare il lavoro di altri,
    > avranno piacere a "sputtanare" il lavoro dei
    > colleghi ?

    dipende, ma in generale concordo con
    te: no

    > Ma sopratutto: gli addetti al QA\QC non
    > riceveranno mai direttive dall'alto per
    > accelerare il processo di test\controllo ed
    > immettere sul mercato il prodotto nuovo ?

    Da quanto ho capito

    > Sì, secondo me hanno capito che anche
    > mettendo sul mercato prodotti palesemente
    > poco testati, non perderanno mai i clienti,
    > vuoi per pecoronismo (come affermano i
    > paladini del software libero) sia perchè non
    > potranno permettersi il costo del
    > cambiamento.

    Non sono daccordo, anzi credo che si stiano
    sensibilizzando sempre di piu'.

    Mi rendo conto che vedendo Ballmer saltare
    e gridare su un palco e' un po' come chiedere
    un atto di fede....

    Credo anche che l'aumento di sensibilita'
    al problema sia dovuto ad una serie di
    gogne pubbliche che hanno dovuto subire
    per alcuni bug ed anche al fatto che
    ovviamente hanno dovuto reimparare a
    competere a fronte del guadagno di
    terreno dell'Open Source.

    > La gestione del rischio ormai è una dottrina
    > che ha preso molto piede nelle moderne
    > imprese commerciali ed ormai l'unico conto
    > che viene fatto è: quanto ci potrò
    > potenzialmente perdere rispetto al
    > potenziale guadagno ?
    >
    > Ti assicuro che la bilancia pende
    > invariabilmente verso i guadagni e quindi
    > inevitabilmente i nuovi SW saranno SEMPRE
    > bacati, vuoi per la difficoltà nel trovare i
    > bug, vuoi per preciso calcolo
    > commerciale\strategico.

    Mi pare che siano addirittura dei criteri fondamentali
    per la scelta della suite di test, almeno per quanto
    riguarda i software "commerciali", o meglio quelli
    che non operano in contesti critici.
    4751

  • - Scritto da: cico
    > Prima di tutto premetto che mi fa molto
    > piacere fare questa discussione su toni
    > pacati,

    Prego, siamo adulti e civilizzati... lungi da me le "diatribe" tra idioti che spesso si leggono su PI (che però allietano la mia giornata !!!)

    > non sviluppo software ne sono
    > un capo progetto, ma per diletto mi leggo
    > di tutto e tempo fa ho letto anche libri che
    > trattano di gestione dei processi di test.

    Io invece faccio il capo progetto e giusto adesso sono impegnato nel rivedere ed approvare un piano di test....
    Un esercizio da paura....

    > Concordo, ma come hai ben detto questo
    > e' "in teoria", in pratica non credo che ci
    > sia tutta questa gente che si legga veramente
    > i sorgenti, neanche quando incontra un bug.

    Se vuoi capire come funziona un codice perchè lo devi integrare oppure modificare, lo devi leggere....
    Se chi utilizza software open-source lo usa "a scatola chiusa", beh allora non vedo che differenza possa esserci tra open-source e sw proprietario (a parte il costo della licenza che però in certi ambienti è irrilevante).

    > Comunque sia mi piacerebbe sapere cosa
    > ne pensi della qualita' dei test condotti.

    I recenti avvenimenti (ad esempio la patch di MS che mandava in crash alcune macchine) mi fanno pensare che i test condotti siano pessimi.
    L'urgenza del rilascio non è una scusante, dato che MS ha risorse tecnologiche ed umane pressocchè infinite, che, per un problema di questa portata, avrebbero potute essere impiegate allo scopo.

    Bada, non è che MS non ne sia capace, è che semplicemente l'equazione di cui parlavamo prima, ossia quella che mette in bilancia il possibile guadagno, la possibile perdita ed aggiungiamoci pure la perdita di credibilità, pendeva a favore di test brevi o addirittura praticamente inesistenti.

    > Posto che non e' possibile effettuare test
    > esaustivi (per la vastita' del problema,
    > ma anche per problemi di tempo/denaro),
    > diventa strategico sviluppare una suite
    > di test efficace per ridurre al massimo
    > il numero di bug.

    Ecco un'altro problema: per guadagnare tempo si sviluppano strumenti per il testing:
    chiediti una cosa, come hanno fatto a testare le suite di test ?
    In alcuni progetti ho visto che è meglio affidarsi al buon vecchio essere umano piuttosto che ad uno strumento....
    In caso contrario i bug del programma sottoposto ai test si sommano algebricamente con quelli dello strumento per il test ed il risulatato è un bello ZERO !
    Paradossale, no ?

    [cut]

    > Non sono daccordo, anzi credo che si stiano
    > sensibilizzando sempre di piu'.
    >
    > Mi rendo conto che vedendo Ballmer saltare
    > e gridare su un palco e' un po' come chiedere
    > un atto di fede....
    >
    > Credo anche che l'aumento di sensibilita'
    > al problema sia dovuto ad una serie di
    > gogne pubbliche che hanno dovuto subire
    > per alcuni bug ed anche al fatto che
    > ovviamente hanno dovuto reimparare a
    > competere a fronte del guadagno di
    > terreno dell'Open Source.

    Ti faccio un esempio, quante ditte avranno abbandonato MS dopo quest'ultima faccenda ?
    Secondo me nemmeno una.....


    Ciao, buon fine settimana.
    non+autenticato

  • > E' indiscutibilmente vero, però ammetterai
    > che, almeno in teoria, un progetto
    > open-source mettendo i sorgenti a
    > disposizione di un gruppo di persone più
    > ampio, ha più probabilità che qualcuno vi
    > trovi gli eventuali bug.

    in teoria permettendo modifiche e aggiunte a un numero molto maggiore di persone, e' anche molto piu' probabile che dei nuovi bug vengano introdotti.

    > In un team di programmazione di una azienda
    > che lavora ad un progetto closed-source
    > (quindi volto a fare SOLDI non
    > beneficienza), quante ore\uomo dei
    > programmatori saranno dedicate alle attività
    > QA\QC?
    > Ma soprattutto, il loro operato sarà
    > veramente indipendente ?
    >

    indipendente rispetto a cosa?
    una azienda seria fa prima design, poi scrive codice
    molti degli errori vengono scovati li
    si risparmia dopo
    ovviamente errori nella stesura del codice capitano a tutti, ma se un software e' funzionalmente corretto e' piu' semplice correggerlo
    soprattutto se sono sempre le stesse persone a lavorarci

    > Mi spiego meglio, se un programmatore, per
    > esempio, lavora 70 giorni a programmare e 30
    > giorni a rivedere codice che magari ha
    > scritto lui stesso, si accorgerà degli
    > errori ?

    un programmatore scrive codice
    il programma passa i test
    il programmatore non si mette a rileggere il codice come fosse il compito in clase di italiano
    se il software passa le batterie di test si suppone che sia corretto
    si sa che c'e' qualche bug, ma tanto quello saltera' fuori quando meno te lo aspetti

    non+autenticato

  • > Qui c'e' ancora gente che crede che sia
    > possibile dimostrare che un software sia
    > corretto (esente da bug)

    Invece le dimostrazioni di correttezza sono impossibili?Sorride

    A parte che le fai ogni giorno senza saperlo, se usi un linguaggio tipato staticamente... Si, lo so cosa intendevi, però rileggi come hai posto la quesitione...


    > Fare il software di qualita' e' un problema
    > serio,
    > MS ha sicuramente avuto problemi nel
    > gestirlo,
    > ma hanno capito molto in merito.

    non è che la sun scriva codice a casaccio eh.
    non+autenticato
  • > non è che la sun scriva codice a casaccio eh.

    nessuno ha affermato nulla di simile
    non+autenticato
  • - Scritto da: Anonimo
    > E' cosi' difficile essere obbiettivi?
    > Sempre pronti a dare contro MS, quando pero'
    > si tratta di ammettere l'infallibilita' del
    > proprio "credo", ci si nasconde dietro il
    > silenzio.

    a parte che bisogna vedere ancora quali os ne sono affetti (nell'articolo si parla di Solaris e AIX, mentre tu mi sembra di capire ti stai riferendo a Linux...), guarda che nessuno dice che il codice open source sia esente da bug!
    non+autenticato