Roberto Pulito

Windows Server è il re del patch tuesday

Due soli cerotti nell'aggiornamento di sicurezza fissato da Microsoft per martedì prossimo. Uno per il sistema operativo server e uno per PowerPoint

Roma - L'aggiornamento light programmato per maggio si contrappone all'esagerato patch tuesday dello scorso mese, che ha sistemato 64 problemi più o meno gravi. Martedì prossimo solo gli utenti che utilizzano Windows Server saranno invitati a scaricare un cerotto da applicare al sistema operativo. L'altra patch Microsoft riguarderà la suite Office.

Il comunicato del Microsoft Security Response Center parla di vulnerabilità classificate con livello "critico" individuate in Windows Server 2003, 2008 e 2008 R2, senza entrare troppo nel dettaglio. Si tratta di un bug sfruttabile per eseguire codice malevolo da remoto. In ogni caso, per una volta i sistemi operativi desktop non vengono chiamati in causa.

Il secondo e ultimo bollettino tira in ballo invece Office XP, Office 2003 e Office 2007, prodotti Microsoft di "uso comune". In questo caso il colosso di Redmond punta il dito su PowerPoint. La nota applicazione dedicata alle presentazioni sarà al centro della correzione. Nel corso del mese arriverà anche un fix per l'Office che gira su computer Mac, nelle versioni 2004 e 2007.
I tecnici Microsoft stanno anche rivedendo il sistema di valutazione che aiuta gli utenti a comprendere i rischi dietro alle vulnerabilità scoperte. Nello specifico, d'ora in avanti l'Exploitability Index utilizzerà voti separati per la gravità del problema. Un giudizio tecnico focalizzato sulla piattaforma più aggiornata e un punteggio complessivo per tutte le versioni precedenti del software.

Roberto Pulito
Notizie collegate
66 Commenti alla Notizia Windows Server è il re del patch tuesday
Ordina
  • Ogni sistema richiede una ripartenza dei programmi patachati.

    A quelli che sostengono il contrario chiedo che mi spieghino come è possibile che un programma in esecuzione possa essere patchato dinamicamente. A me pare molto diffcile. Pertanto se avete, ad esempio, in un server LINUX un SSHD in esecuzione e lo patchate, in realtà patchate il file. Per attivare il patch occorre far ripartire SSHD. E in un bel blocco di patch è assai più semplice e sicuro far ripartire tutto il sistema.

    Per la cronaca è esattamente come funziona l'attuale versione Windows. Se il programma da patchare è in qualche modo bloccato dall'esecuzione, il sistema di patch richiede il reboot. L'installatore (è un servizio di sistema) è in grado di capire le relazioni fra i programmi e richiedere l'eventuale reboot (che non è necessario fare immediatamente).

    La stessa cosa vale per MacOSX e altri sistemi UNIX o non UNIX. Alcuni hanno meccanismi che permettono di far ripartire tutti i sottosistemi coinvolti (ma non mi pare che Windows, Linux o OSX siano tra questi).

    Anche i microkernel soffrono dello stesso problema ma, essendo più modulari, è possibile far ripartire una parte dei servizi senza il riavvio completo della macchina. Aggiungo il fatto che sia OSX, che Windows hanno comportamenti da microkernel (in effetti sono degli ibridi). E lo stesso vale per molti driver. Ad esempio in Windows l'aggiornamento del driver della scheda grafica non richiederebbe reboot (ma a volte le utility che lo accompagnano sì perchè risultano in esecuzione nel momento dell'aggiornamento).
    non+autenticato
  • Mi dici come si cambia il codice in esecuzione?
    non+autenticato
  • - Scritto da: Zucca Vuota
    > Mi dici come si cambia il codice in esecuzione?

    E' scritto nei link che ti ha passato, un suggerimento: inizia dalla pagina che inizia per wi...
    krane
    22544
  • - Scritto da: krane
    > - Scritto da: Zucca Vuota
    > > Mi dici come si cambia il codice in esecuzione?
    >
    > E' scritto nei link che ti ha passato, un
    > suggerimento: inizia dalla pagina che inizia per
    > wi...

    L'ho letto. Ma rimane vero il punto: il patch in memoria avviene solo perchè il codice non è in esecuzione in quel momento (e infatti non contraddice quello che ho scritto). Se hai in esecuzione un processo, per attivare la modifica devi farlo ripartire. Su questo non ci sono altre possibilità. E infatti ksplice introduce una serie di regole abbastanza strette di invarianza che servono ad ottenere questo effetto senza rompere le varie relazioni di dipendenza. Oltretutto lavora solo sul kernel ma non sui processi che non conosce.

    Con ksplice è come avere un kernel modulare, bloccare un modulo, sostituirlo e farlo ripartire (cose da microkernel). Una bella pezza sul kernel Linux. Sinceramente non mi pare un gran sistema perchè introduce una serie di dipendenze da un servizio di terze parti (a pagamento per i server), limitato solo ad alcune distribuzioni. E introduce il solito problema di confidenza: siccome puoi patchare a caldo, con Linux rimani convinto di essere al sicuro. Ma in realtà le pezze degli applicativi non le indirizzi.
    non+autenticato
  • - Scritto da: Zucca Vuota
    > - Scritto da: krane
    > > - Scritto da: Zucca Vuota
    > > > Mi dici come si cambia il codice in
    > > > esecuzione?

    > > E' scritto nei link che ti ha passato, un
    > > suggerimento: inizia dalla pagina che inizia
    > > per wi...

    > L'ho letto. Ma rimane vero il punto: il patch in
    > memoria avviene solo perchè il codice non è in
    > esecuzione in quel momento (e infatti non
    > contraddice quello che ho scritto). Se hai in
    > esecuzione un processo, per attivare la modifica
    > devi farlo ripartire. Su questo non ci sono altre
    > possibilità. E infatti ksplice introduce una
    > serie di regole abbastanza strette di invarianza
    > che servono ad ottenere questo effetto senza
    > rompere le varie relazioni di dipendenza.
    > Oltretutto lavora solo sul kernel ma non sui
    > processi che non conosce.

    > Con ksplice è come avere un kernel modulare,
    > bloccare un modulo, sostituirlo e farlo ripartire
    > (cose da microkernel). Una bella pezza sul kernel
    > Linux. Sinceramente non mi pare un gran sistema
    > perchè introduce una serie di dipendenze da un
    > servizio di terze parti (a pagamento per i
    > server), limitato solo ad alcune distribuzioni. E
    > introduce il solito problema di confidenza:
    > siccome puoi patchare a caldo, con Linux rimani
    > convinto di essere al sicuro. Ma in realtà le
    > pezze degli applicativi non le indirizzi.

    Sicuramente meglio che non averlo; se sai bene cosa stai facendo puo' veramente consentirti di non riavviare per anni diversi servizi.
    krane
    22544
  • - Scritto da: krane

    > Sicuramente meglio che non averlo; se sai bene
    > cosa stai facendo puo' veramente consentirti di
    > non riavviare per anni diversi
    > servizi.

    Ah beh... messa in questi termini.

    Il problema è sapere bene cosa stai facendo. E sapere quanti server hai. E quanti servizi sui server hai. E come controllarli tutti ogni giorno.
    Il mio consiglio rimane quello di patchare di brutto e riavviare. Alcune distribuzioni lo fanno loro stesse.
    non+autenticato
  • - Scritto da: Zucca Vuota
    > - Scritto da: krane

    > > Sicuramente meglio che non averlo; se sai bene
    > > cosa stai facendo puo' veramente consentirti di
    > > non riavviare per anni diversi servizi.
    > Ah beh... messa in questi termini.

    > Il problema è sapere bene cosa stai facendo. E
    > sapere quanti server hai. E quanti servizi sui
    > server hai. E come controllarli tutti ogni
    > giorno.

    Ovvieta' per ovvieta'...

    > Il mio consiglio rimane quello di patchare di
    > brutto e riavviare. Alcune distribuzioni lo
    > fanno loro stesse.

    Infatti, questi sistemi si utilizzano in casi particolari per i quali funzionano bene.
    krane
    22544
  • - Scritto da: krane

    > Infatti, questi sistemi si utilizzano in casi
    > particolari per i quali funzionano
    > bene.

    Ammetterai che su questi forum (e anche presso altra gente) passa l'idea che generalmente non servono reboot o ripartenze quando invece non è vero? E che questo introduce un falso senso di sicurezza?
    non+autenticato
  • - Scritto da: Zucca Vuota
    > - Scritto da: krane

    > > Infatti, questi sistemi si utilizzano in casi
    > > particolari per i quali funzionano bene.

    > Ammetterai che su questi forum (e anche presso
    > altra gente) passa l'idea che generalmente non
    > servono reboot o ripartenze quando invece non è
    > vero?

    Questa credenza deriva dal fatto che il riavvio in linux serve solo quando c'e' un aggiornamento il kernel; mentre in windows quando si aggiorna il kernel, una qualsiasi dll di sistema, quando si installa un antivirus, quando si aggiornano DirectX.

    > E che questo introduce un falso senso di
    > sicurezza?

    No, quello deriva dal fatto che cose come apparmour non sono mai state bucate.
    krane
    22544
  • - Scritto da: krane

    > Questa credenza deriva dal fatto che il riavvio
    > in linux serve solo quando c'e' un aggiornamento
    > il kernel; mentre in windows quando si aggiorna
    > il kernel, una qualsiasi dll di sistema, quando
    > si installa un antivirus, quando si aggiornano
    > DirectX.

    Non puoi paragonare il modello Linux al modello Windows. Quelle che tu chiami DLL di sistema a volte sono una parte critica e fanno cose che fa il kernel Linux. L'antivirus si aggancia direttamente al kernel (i produttori hanno fatto causa a Microsoft per poterlo fare) ma non tutti richiedono reboot all'aggiornamento. Quanto a DirectX è un pezzo molto vicino all'hardware.

    >
    > No, quello deriva dal fatto che cose come
    > apparmour non sono mai state
    > bucate.

    E neanche il firewall di Windows.

    In compenso entrambi i sistemi sono stati bucati.
    non+autenticato
  • Mi chiedo come mai un sistema che, come tutti i sistemi, si aggiorna deve essere fonte di notizia.
    Peraltro un sistema che più degli altri ha avuto problemi (complice anche la mostruosa diffusione) di sicurezza in passato: ma che notizia è?

    Serve per caso solo a sentire i solit fanboy dire "Microsoft di qui, Microsoft di là" senza conoscere se non in superficie nemmeno un SO in modo appropriato?

    Mi chiedo perchè quando ci sono aggiornamenti per Linux o MACOSX non se ne dia la minima notizia, eppure (incredibile eh!) esistono e coprono problemi di sicurezza né più né meno di quelli di windows.

    Gli utilizzatori di OSX hanno saputo per esempio:

    http://www.theregister.co.uk/2011/05/06/skype_for_.../

    Mi sembra ben più rilevante che la solita, trita e ritrita, notizia su windows che si aggiorna.

    Grazie.
    non+autenticato
  • Affidarsi a una cosa che ogni mese deve essere rattoppata perché addirittura un ragazzino brufoloso può pisciare addosso a quello che uno chiama sistema operativo o, peggio ancora, server, è da puri incoscienti e masochisti.

    Almeno con Linux e Unix è richiesta una conoscenza informatica decente prima di scardinare il sistema di protezione.
    non+autenticato
  • - Scritto da: Someone in the middle of nowhere

    >
    > Almeno con Linux e Unix è richiesta una
    > conoscenza informatica decente prima di
    > scardinare il sistema di
    > protezione.

    ok ho capito. Questa sarebbe la sicurezza linux/unix.
    non+autenticato
  • - Scritto da: Someone in the middle of nowhere
    > Almeno con Linux e Unix è richiesta una
    > conoscenza informatica decente prima di
    > scardinare il sistema di
    > protezione.

    con linux ti basta fare un sudo e sei in grado di radere al suolo l'intero kernel. Linux non ha uno straccio di controllo di integrità e protezione di se stesso
    non+autenticato
  • - Scritto da: creatina
    > - Scritto da: Someone in the middle of nowhere
    > > Almeno con Linux e Unix è richiesta una
    > > conoscenza informatica decente prima di
    > > scardinare il sistema di
    > > protezione.
    >
    > con linux ti basta fare un sudo e sei in grado di
    > radere al suolo l'intero kernel.

    Vacca boia, un file...

    > Linux non ha
    > uno straccio di controllo di integrità e
    > protezione di se
    > stesso

    Serve per fare ciò che vuoi col tuo sistema, ed è malato impedirlo di default. Se ti servono limitazioni maggiori, esistono selinux e apparmor.
    Shiba
    3876
  • Certo. Ed è normale che sia così.

    Perchè, ti risulta che se cancelli la cartella di Windows da administrator ti salvi?
    non+autenticato
  • - Scritto da: Andrea Cerrito
    > Certo. Ed è normale che sia così.
    >
    > Perchè, ti risulta che se cancelli la cartella di
    > Windows da administrator ti
    > salvi?
    ehm.. sto provando in questo momento (incuriosito dalla tua domanda) a cancellare la cartella "C:\WINDOWS" da un Win7 che ho virtualizzato per fare degli esperimenti.
    facendo questi passaggi: avviato il s.o., aperto il CMD, lanciato da C:\ il comando RD \WINDOWS /s/q e mi ha lanciato una raffica di "accesso negato" su ogni singolo file che non ha potuto cancellare.
    Dopodichè l'ho riavviato e... e non parte più..
    Quindi anche Windows 7 non è immune (da amministratore) da sindrome da distruzione causata dall'utenteA bocca aperta
    lroby
    5311
  • Infatti.
    Ma la differenza tra un sistema operativo e uno che fa finta di esserlo (Windows) è che administrator non può ricevere messaggi di "accesso negato"... visto che dovrebbe essere l'utente con più elevati privilegi.

    Anche su *nix puoi cancellare tutto il sistema, ma almeno non ricevi "accesso negato"...

    Inoltre, se si pensa che fino a Windows XP compreso l'utente normale era amministratore... fa capire come veniva vista la sicurezza nel mondo Microsoft.
    non+autenticato
  • - Scritto da: Andrea Cerrito
    > Infatti.
    > Ma la differenza tra un sistema operativo e uno
    > che fa finta di esserlo (Windows) è che
    > administrator non può ricevere messaggi di
    > "accesso negato"... visto che dovrebbe essere
    > l'utente con più elevati
    > privilegi.

    Non è vero: l'utente con i privilegi più elevati è SYSTEM.
    Per accedere come SYSTEM serve una privilege escalation: non credo che al momento ci siano bug aperti di questo tipo su windows.

    >
    > Anche su *nix puoi cancellare tutto il sistema,
    > ma almeno non ricevi "accesso
    > negato"...

    Mah, forse hai le idee un po' confuse...

    >
    > Inoltre, se si pensa che fino a Windows XP
    > compreso l'utente normale era amministratore...

    Sempre più confuse... era amministratore se un amministratore aveva deciso che fosse amministratore.

    > fa capire come veniva vista la sicurezza nel
    > mondo
    > Microsoft.

    Ricordo che sulla carta Microsoft ha le certificazioni di sicurezza più complete di qualunque altro concorrente.
    non+autenticato
  • - Scritto da: hermanhesse
    > Ricordo che sulla carta Microsoft ha le
    > certificazioni di sicurezza più complete di
    > qualunque altro
    > concorrente

    Ricordi male.

    http://en.wikipedia.org/wiki/Security-evaluated_op...
    non+autenticato
  • - Scritto da: hermanhesse
    > Non è vero: l'utente con i privilegi più elevati
    > è
    > SYSTEM.
    > Per accedere come SYSTEM serve una privilege
    > escalation: non credo che al momento ci siano bug
    > aperti di questo tipo su
    > windows.
    L'utente con i pieni privilegi è Administrator, che è l'equivalente a ROOT su UNIX.
    L'account SYSTEM è un account di servizio creato dal kernel per gestire i processi vitali del sistema.
    E no, la EoP non ti fa diventare SYSTEM. Ti rende Administrator, ovvero quanto basta per mettere in ginocchio Windows.

    > Sempre più confuse... era amministratore se un
    > amministratore aveva deciso che fosse
    > amministratore.
    Su XP, quando si creava un utente (dopo l'installazione) lo si creava come amministratore. Idem su Vista e 7.
    Deve essere l'utente a scegliere di autoridursi i privilegi.

    > Ricordo che sulla carta Microsoft ha le
    > certificazioni di sicurezza più complete di
    > qualunque altro
    > concorrente.
    Ma anche no.
    Le migliori tecnologie sono: iptables, pf, NSA SELinux, AppArmor e la funzionalità di chroot, che permette di isolare un servizio che si connette alla rete.
    Tutte cose che non ha Microsoft.
    -----------------------------------------------------------
    Modificato dall' autore il 10 maggio 2011 20.40
    -----------------------------------------------------------
    Darwin
    5126
  • - Scritto da: Darwin
    > - Scritto da: hermanhesse
    > > Non è vero: l'utente con i privilegi più elevati
    > > è
    > > SYSTEM.
    > > Per accedere come SYSTEM serve una privilege
    > > escalation: non credo che al momento ci siano
    > bug
    > > aperti di questo tipo su
    > > windows.
    > L'utente con i pieni privilegi è Administrator,
    > che è l'equivalente a ROOT su
    > UNIX.
    > L'account SYSTEM è un account di servizio creato
    > dal kernel per gestire i processi vitali del
    > sistema.
    > E no, la EoP non ti fa diventare SYSTEM. Ti rende
    > Administrator, ovvero quanto basta per mettere in
    > ginocchio
    > Windows.
    >
    > > Sempre più confuse... era amministratore se un
    > > amministratore aveva deciso che fosse
    > > amministratore.
    > Su XP, quando si creava un utente (dopo
    > l'installazione) lo si creava come
    > amministratore. Idem su Vista e
    > 7.
    > Deve essere l'utente a scegliere di autoridursi i
    > privilegi.
    >
    > > Ricordo che sulla carta Microsoft ha le
    > > certificazioni di sicurezza più complete di
    > > qualunque altro
    > > concorrente.
    > Ma anche no.
    > Le migliori tecnologie sono: iptables, pf, NSA
    > SELinux, AppArmor e la funzionalità di chroot,
    > che permette di isolare un servizio che si
    > connette alla
    > rete.
    > Tutte cose che non ha Microsoft.

    Sulla carta, il sistema operativo con le certificazioni di sicurezza più alte è STOP di BAE systems. Probabilmente inutilizzabile per usi comuni, e se queste certificazioni poi corrispondano ad un sistema effettivamente più sicuro tout court è da valutare... ma dire che Microsoft ha le certificazioni di sicurezza più complete sono semplici BALLE.
    non+autenticato
  • mi chiedo se faranno mai un sistema operativo che non chieda piu' il riavvio dopo l'installazione delle patch.
    Perlomeno per i server..
    non+autenticato
  • - Scritto da: Luke
    > mi chiedo se faranno mai un sistema operativo che
    > non chieda piu' il riavvio dopo l'installazione
    > delle
    > patch.
    > Perlomeno per i server..
    IMHO dubito che potrà mai verificarsi una situazione del genere, in quanto le falle corrette a livello del kernel richiedono il riavvio dello stesso perchè altrimenti fino ad allora è come se non avessi patchato..
    lroby
    5311
  • hot patching questo sconosciuto Con la lingua fuoriCon la lingua fuoriCon la lingua fuori

    su linux sono anni che si usano ksplice e similari per non dover riavviare
    non+autenticato
  • - Scritto da: collione
    > hot patching questo sconosciuto Con la lingua fuoriCon la lingua fuoriCon la lingua fuori
    >
    > su linux sono anni che si usano ksplice e
    > similari per non dover
    > riavviare
    considerando che non lavoro sui server Linux, mi permetterai di dire che in tale ambito, un po di sana ignoranza me la concedi vero?A bocca aperta
    lroby
    5311
  • Bhe siA bocca aperta
    Comunque su linux l'unica volta che ti chiede il ravvio è appunto quando si aggiorna il kernel, su windows purtroppo non è cosi, per via di come funzionaA bocca aperta
    Sgabbio
    26178
  • - Scritto da: Sgabbio
    > Bhe siA bocca aperta
    > Comunque su linux l'unica volta che ti chiede il
    > ravvio è appunto quando si aggiorna il kernel, su
    > windows purtroppo non è cosi, per via di come
    > funziona
    >A bocca aperta

    Solo che il kernel è talmente pieno di buchi che ti tocca riavviare molto più spesso di windows... si sono dovuti inventare ksplice perché toccava riavviare i bidonix due/tre volte al mese.

    Clicca per vedere le dimensioni originali
    non+autenticato
  • - Scritto da: nome e cognome
    > Solo che il kernel è talmente pieno di buchi che
    > ti tocca riavviare molto più spesso di windows...
    Certo certo.
    http://blog.irwan.name/?p=1133
    Darwin
    5126
  • - Scritto da: collione
    > su linux sono anni che si usano ksplice e
    > similari per non dover
    > riavviare

    peccato che non hanno mai funzionato, la dimostrazione è il fatto che nessuna DISTRO li ha adottati
    non+autenticato
  • Furla ha appena scritto un suo commento che recita così :
    "peccato che non hanno mai funzionato, la dimostrazione è il fatto che nessuna DISTRO li ha adottati"
    Quindi anche su Linux si riavvia...
    lroby
    5311
  • - Scritto da: lroby
    > Furla ha appena scritto un suo commento che
    > recita così
    > :
    > "peccato che non hanno mai funzionato, la
    > dimostrazione è il fatto che nessuna DISTRO li ha
    > adottati"
    > Quindi anche su Linux si riavvia...

    Certo, se lo dice furla e' sicuramente cosi'...
    non+autenticato