Microsoft, un firewall a rischio DoS?

La soluzione di sicurezza Microsoft, ISA Server 2000, soffre di un buco di sicurezza che, in certe condizioni, lo rende vulnerabile ad attacchi tesi ad interrompere il servizio. Il guardiano elettronico rimedia un cerottone

Redmond (USA) - Il primo software per la sicurezza di Microsoft, l'Internet Security and Acceleration (ISA) Server's Web Proxy, contiene una falla che lo rende vulnerabile ad attacchi di tipo DoS.

Secondo il bollettino diffuso da Microsoft, "quando si utilizza la funzione Web Publishing per inoltrare il traffico HTTP ad un Web server, una specifica richiesta Web non valida può causare una violazione di accesso nel servizio di Web Proxy".

Sebbene il big di Redmond assicuri che questa vulnerabilità "non compromette la sicurezza o il controllo amministrativo dell'ISA", essa può essere utilizzata da un cracker per un attacco DoS mirato ad interrompere il servizio del Web Proxy.
L'ISA Server, che è stato recentemente promosso da Microsoft come una soluzione di firewalling e Web caching "a prova di hacker", dovrà mettere il suo primo cerottino, una patch appena rilasciata sul sito di Microsoft che pone rimedio alla falla e sventa il rischio di eventuali e difficilmente diagnosticabili interruzioni nel servizio di proxing.
TAG: microsoft
24 Commenti alla Notizia Microsoft, un firewall a rischio DoS?
Ordina
  • il fatto è che personalmente molti di voi non sanno neppure che cosa sia un firewall, o sanno solo dare definizioni molto discutibili. Guarda a caso, sono gli stessi che pensano solo in due modi: linux = perfetto, windows(e microsoft) = merda.
    al di là di tutto (non è questo il tema dell'articolo), riporto un link che rivela un problema su iptables (che, come tutti sapete, vero?, è IL firewall per linux con kernel 2.4.*)

    http://netfilter.samba.org/security-fix/index.html

    ps: leggete con attenzione il bug in questione, che è ben + grave di quello criticato da tutti voi sapientoni in questi interventi.
    non+autenticato
  • Ma cosa vuoi che importi una impercettibile imperfazione nella maestosa bellezza e potenza di Linux.

    E poi basta installare la patch 2.4.01.abc.01a.345.039.1144 disponibile in rete dal 1912 e dopo appena qualche ora di lavoro, 5 ricompilazioni, un paio di sabba e un sacrificio alla trimurti il problema viene risolto.

    - Scritto da: Pippo
    > il fatto è che personalmente molti di voi
    > non sanno neppure che cosa sia un firewall,
    > o sanno solo dare definizioni molto
    > discutibili. Guarda a caso, sono gli stessi
    > che pensano solo in due modi: linux =
    > perfetto, windows(e microsoft) = merda.
    > al di là di tutto (non è questo il tema
    > dell'articolo), riporto un link che rivela
    > un problema su iptables (che, come tutti
    > sapete, vero?, è IL firewall per linux con
    > kernel 2.4.*)
    >
    > http://netfilter.samba.org/security-fix/index
    >
    > ps: leggete con attenzione il bug in
    > questione, che è ben + grave di quello
    > criticato da tutti voi sapientoni in questi
    > interventi.
    non+autenticato


  • - Scritto da: Darth Vader
    > E poi basta installare la patch
    > 2.4.01.abc.01a.345.039.1144 disponibile in
    > rete dal 1912 e dopo appena qualche ora di
    > lavoro, 5 ricompilazioni, un paio di sabba e
    > un sacrificio alla trimurti il problema
    > viene risolto.

    perche' tu sotto win le patch non le installi mai? auguri.

    non+autenticato
  • Certo. Ma nessuno di noi si atteggia a supporter del SO operativo perfetto, come voi fate abitualmente. Vi rendete conto che qualsiasi cosa faccia MS c'è qualcuno di voi che le dà contro?

    - Scritto da: munehiro
    >
    >
    > - Scritto da: Darth Vader
    > > E poi basta installare la patch
    > > 2.4.01.abc.01a.345.039.1144 disponibile in
    > > rete dal 1912 e dopo appena qualche ora di
    > > lavoro, 5 ricompilazioni, un paio di
    > sabba e
    > > un sacrificio alla trimurti il problema
    > > viene risolto.
    >
    > perche' tu sotto win le patch non le
    > installi mai? auguri.
    >
    non+autenticato


  • - Scritto da: Pippo
    > il fatto è che personalmente molti di voi
    > non sanno neppure che cosa sia un firewall,
    > o sanno solo dare definizioni molto
    > discutibili. Guarda a caso, sono gli stessi
    > che pensano solo in due modi: linux =
    > perfetto, windows(e microsoft) = merda.
    > al di là di tutto (non è questo il tema
    > dell'articolo), riporto un link che rivela
    > un problema su iptables (che, come tutti
    > sapete, vero?, è IL firewall per linux con
    > kernel 2.4.*)
    >
    > http://netfilter.samba.org/security-fix/index
    >
    > ps: leggete con attenzione il bug in
    > questione, che è ben + grave di quello
    > criticato da tutti voi sapientoni in questi
    > interventi.

    gia'.. e dopo uscito, la patch era gia' allegata all'"exploit", quindi lo stesso scopritore del problema ha posto rimedio

    http://netfilter.samba.org/security-fix/ftp-securi...

    potenza dell'opensource... meno di 20 secondi per la patch. Per la microsoft quanto aspetti?
    non+autenticato


  • - Scritto da: munehiro
    > gia'.. e dopo uscito, la patch era gia'
    > allegata all'"exploit", quindi lo stesso
    > scopritore del problema ha posto rimedio
    >
    > http://netfilter.samba.org/security-fix/ftp-s
    >
    > potenza dell'opensource... meno di 20
    > secondi per la patch. Per la microsoft
    > quanto aspetti?
    la questione è su un altro livello. non metto in discussione l'open e il closed surce con i suoi lati, ma l'"affidabilità" di fatto.
    pare che se un programma esce per windows è sicuramente inneficiente, mentre su *nix è perfetto.
    è la superficialità che mostrano questi commenti che non quadra. insomma.. la sicurezza deriva solo dall'admin, non (esclusivamente) dall'os.
    ma qui pare inutile parlarne, qui ci sono solo espertoni che conoscono la loro red hat, magari non consapevoli che dall'installazione di questa sono perfettamente vulnerabili.
    Comprendi?:)

    non+autenticato


  • - Scritto da: Pippo
    > la questione è su un altro livello. non
    > metto in discussione l'open e il closed
    > surce con i suoi lati, ma l'"affidabilità"
    > di fatto.
    > pare che se un programma esce per windows è
    > sicuramente inneficiente, mentre su *nix è
    > perfetto.
    > è la superficialità che mostrano questi
    > commenti che non quadra. insomma.. la
    > sicurezza deriva solo dall'admin, non
    > (esclusivamente) dall'os.

    e chi ha mai detto questo? e' ovvio che non puoi pretendere di dire che un OS e' perfetto. E' pero' certo che se metti in condizione anche un deficiente di fare il sysadmin, otterrai un sysadmin deficiente. Come diceva qualcuno su questo forum, un incompetente sull'amministrazione di sistema unix lo scopri in 10 secondi, per scoprirne uno su un sistema win ci metti un po' di piu. Qui si parla di reattivita' dell'intero gruppo di sviluppatori ad un problema. Se guninski scopre un baco distruttivo in windoze, chi usa windoze o chiude baracca finche' alla M$ non rilasciano la patch, oppure stringe le chiappe e prega. Sotto linux la cosa e' diversa. Se viene scoperta una vvulnerabilita' spesso devi solo arrivare in fondo alla mail per avere la patch. Questo, per un sito che gestisce puttanate, magari e' poco importante, ma ci sono settori in cui non puoi permetterti di lasciare il sistema scoperto anche per un solo istante (vedi carte di credito, banche e compagnia). Tutto cio' ovviamente non e' automatico, ma non puoi certo pretendere che una qualsiasi ditta di informatica ti telefoni a casa per dirti che devi mettere una patch. Questo non lo fa la microsoft e non lo fa nessuna casa di distribuzione di linux. Se fai l'amministratore di sistema, lo fai. Punto. Se sei un incompetente, lo sei sotto win e sotto linux. Se pero' sei competente, sotto linux hai sicuramente gli strumenti per rispondere in modo istantaneo ad un eventuale problema.

    > ma qui pare inutile parlarne, qui ci sono
    > solo espertoni che conoscono la loro red
    > hat, magari non consapevoli che
    > dall'installazione di questa sono
    > perfettamente vulnerabili.

    io sono perfettamente vulnerabile. La mia box del dialup monta wuftpd 2.5.0, portmap e bind, tutti bucabili. Per non parlare degli exploit locali. E' una redhat 6.1, ed e' stata configurata per essere un dialup. Ho sotto il culo una macchina completamente apribile e sbudellabile e da piu' di 2 anni. Ma chissa' perche' nessuno mi ha ancora bucato, anzi, se vuoi ti do' l'ip e ci provi un po'. Forse perche' so fare il mio lavoro, cosa che invece altri OS ti fanno credere e invece non e' vero?

    > Comprendi?:)

    comprendo. e tu?
    non+autenticato


  • - Scritto da: munehiro

    >
    > e chi ha mai detto questo? e' ovvio che non
    > puoi pretendere di dire che un OS e'
    > perfetto. E' pero' certo che se metti in
    > condizione anche un deficiente di fare il
    > sysadmin, otterrai un sysadmin deficiente.

    Traduco: Linux è talmente complesso che si difende da solo dagli amministratori incapaci. Il problema è che se un amministratore è capace dopo qualche tempo vorrà evolvere professionalmente e fare qualcosa di meglio. Quindi amministratori incapaci ce ne saranno sempre di più di quelli capaci. E cosa dovrebbe fare Microsoft? Inserire un questionario come test di capacità, al posto del logon di administrator? Oppure dotare Windows di una interfaccia in sanscrito?

    Tempo fa mi è capitato uno come te da un cliente che mi diceva che il Windows non andava bene perché non era a prova di imbecille e lasciava che un sysadmin potesse fare tutti i danni che voleva. Ti rendi conto dell'assurdità dell'affermazione? Ti vendo una macchina, tu ti schianti e poi dai la colpa a me perché non ti avevo spiegato che col rosso ti devi fermare. No, meglio. Perché non ci ho inserito un sensore che capisca che tu non sai cosa significa un semaforo rosso e, nel caso, si fermi da sola.

    > Come diceva qualcuno su questo forum, un
    > incompetente sull'amministrazione di sistema
    > unix lo scopri in 10 secondi, per scoprirne
    > uno su un sistema win ci metti un po' di
    > piu. Qui si parla di reattivita' dell'intero
    > gruppo di sviluppatori ad un problema. Se
    > guninski scopre un baco distruttivo in
    > windoze, chi usa windoze o chiude baracca
    > finche' alla M$ non rilasciano la patch,
    > oppure stringe le chiappe e prega. Sotto
    > linux la cosa e' diversa. Se viene scoperta
    > una vvulnerabilita' spesso devi solo
    > arrivare in fondo alla mail per avere la
    > patch. Questo, per un sito che gestisce
    > puttanate, magari e' poco importante, ma ci
    > sono settori in cui non puoi permetterti di
    > lasciare il sistema scoperto anche per un
    > solo istante (vedi carte di credito, banche
    > e compagnia).

    Dove difatti c'è molto di Microsoft. Lo sai che il sistema di SIA per lo scambio delle transazioni su carta di credito è basato su Windows 2000 e MSMQ? Se gestisci Windows come si deve è stabile e sicuro quanto una macchina Unix. I costi, be', sono un'altra cosa.

    Tutto cio' ovviamente non e'
    > automatico, ma non puoi certo pretendere che
    > una qualsiasi ditta di informatica ti
    > telefoni a casa per dirti che devi mettere
    > una patch. Questo non lo fa la microsoft e
    > non lo fa nessuna casa di distribuzione di
    > linux. Se fai l'amministratore di sistema,
    > lo fai. Punto. Se sei un incompetente, lo
    > sei sotto win e sotto linux. Se pero' sei
    > competente, sotto linux hai sicuramente gli
    > strumenti per rispondere in modo istantaneo
    > ad un eventuale problema.

    Anche in ambiente Windows. Ma quanto ti costa una persona che sappia mettere le mani nel codice del SO? E chi ti supporta le modifiche, una volta fatte? E quanto ti costa invece un contratto di assistenza MS?
    non+autenticato


  • - Scritto da: Darth Vader
    >
    >
    > - Scritto da: munehiro
    >
    > >
    > > e chi ha mai detto questo? e' ovvio che
    > non
    > > puoi pretendere di dire che un OS e'
    > > perfetto. E' pero' certo che se metti in
    > > condizione anche un deficiente di fare il
    > > sysadmin, otterrai un sysadmin deficiente.
    >
    > Traduco: Linux è talmente complesso che si
    > difende da solo dagli amministratori
    > incapaci.

    no... il problema e' che la microsoft te lo vende come se dovesse essere un "gioca a fare l'amministratore di sistema". Linux e' facile (difficile) da amministrare esattamente quanto win. Linux pero' ti mette meno barriere. Puoi fare quello che vuoi e nel modo che vuoi, e soprattutto senza dipendere da una esclusiva fonte.

    > Il problema è che se un
    > amministratore è capace dopo qualche tempo
    > vorrà evolvere professionalmente e fare
    > qualcosa di meglio. Quindi amministratori
    > incapaci ce ne saranno sempre di più di
    > quelli capaci.

    non venirmi a dire che chiunque e' in grado di installare, configurare e soprattutto gestire una win2000. Il fatto e' che quando si parla di amministrazione di sistema, non si sta giocando. Certa gente che ha giocato fino all'altro giorno con win98, ora installa il 2000 e con un paio di click e una adsl si sente il superfigo amministratore... e il brutto e' che molta gente fa cosi' anche in ambito lavorativo. Nel momento in cui invece sei competente, linux ti fornisce una rapidita' di risposta ai problemi che e' assolutamente non paragonabile con qualsiasi altra fonte centralizzata e closed source.


    > Tempo fa mi è capitato uno come te da un
    > cliente che mi diceva che il Windows non
    > andava bene perché non era a prova di
    > imbecille e lasciava che un sysadmin potesse
    > fare tutti i danni che voleva. Ti rendi
    > conto dell'assurdità dell'affermazione?

    a me pare invece che windoze ti lasci troppa poca liberta' invece. Fa troppo per i cazzi suoi. Io voglio avere il controllo totale del mio sistema, a partire da quando lo installo, e ogni scelta e ogni programma li voglio installare io. Solo cosi' posso sapere cosa e' installato e cosa no, e su cosa devo mettere le mani in caso di necessita'. La lista delle "ingessature" di win non si limita cmq a questo, e non ho voglia di dilungarmi.

    > Ti vendo una macchina, tu ti schianti e poi
    > dai
    > la colpa a me perché non ti avevo spiegato
    > che col rosso ti devi fermare. No, meglio.
    > Perché non ci ho inserito un sensore che
    > capisca che tu non sai cosa significa un
    > semaforo rosso e, nel caso, si fermi da
    > sola.

    il paragone e' errato. Per guidare devi fare un esame, e ti viene rilasciata una certificazione, la patente, che conferma che tu sei a conoscenza delle regole della strada.

    > Dove difatti c'è molto di Microsoft.

    e questo mi spaventa. La visa tedesca che si fa bucare e fregare il database delle carte di credito e' una cosa a dir poco comica.

    > Lo sai
    > che il sistema di SIA per lo scambio delle
    > transazioni su carta di credito è basato su
    > Windows 2000 e MSMQ? Se gestisci Windows
    > come si deve è stabile e sicuro quanto una
    > macchina Unix.

    assolutamente si', se parli di unix commerciale, ma decisamente meno plastico. Su uno unix commerciale, puoi installare apache, bind e tutti gli altri applicativi di rete, e puoi scegliere, se ti fidi piu' di postfix o di sendmail o di qmail per un server smtp. Sotto win appena parti non hai nemmeno il compilatore. Se devi installare un server mail ti becchi exchange. o quello o zitto.

    Assolutamente no se parli di unix = linux. Non puoi venirmi a dire che microsoft rilascia le patch dopo 20 secondi che il baco e' stato reso noto.

    > > sei sotto win e sotto linux. Se pero' sei
    > > competente, sotto linux hai sicuramente
    > gli
    > > strumenti per rispondere in modo
    > istantaneo
    > > ad un eventuale problema.
    >
    > Anche in ambiente Windows. Ma quanto ti
    > costa una persona che sappia mettere le mani
    > nel codice del SO?

    per installare un diff non ci vuole un dio in terra. Ci vuole un responsabile informatico, che e' dipendente di qualsiasi ditta (seria)

    > E chi ti supporta le modifiche, una volta
    > fatte?

    cosa intendi?

    > E quanto ti
    > costa invece un contratto di assistenza MS?

    tanto e non ti serve praticamente a niente, visto che se hai un problema quasi mai te lo risolvono, e una lettera apparsa qui su punto-informatico alcune settimane fa lo conferma.
    Inoltre, con microsoft devi tenerti un contratto di assistenza microsoft. Se ti va bene, bene, se non ti va bene ti arrangi. Se ti costa 10 volte di piu' non hai scelta.

    Con linux, se non ti va bene il supporto redhat, scegli suse. Se non ti va bene quello, mandrake. Qui c'e' vera concorrenza. Quella concorrenza che ha fatto muovere linux e che adesso lo ha fatto crescere cosi' velocemente che mette il pepe al culo a redmond, mentre ibm sogna gia' la sua personale rivincita per la morte di OS2, e qualsiasi cosa possa fare per metterglielo in quel posto al billy la fa.
    non+autenticato


  • - Scritto da: munehiro
    >
    >
    > assolutamente si', se parli di unix
    > commerciale, ma decisamente meno plastico.
    > Su uno unix commerciale, puoi installare
    > apache, bind e tutti gli altri applicativi
    > di rete, e puoi scegliere, se ti fidi piu'
    > di postfix o di sendmail o di qmail per un
    > server smtp. Sotto win appena parti non hai
    > nemmeno il compilatore. Se devi installare
    > un server mail ti becchi exchange. o quello
    > o zitto.

    Questa è una stupidaggine. Ci sono sicuramente più server di posta elettronica per Windows che per Linux. Dai popolarissimi Lotus o Netscape ai meno conosciuti Atrium Mercur, Sugarsoft o Vircom VOP.

    In realtà le cose funzionano al contrario: moltissimi comprano Windows 2000 perché Exchange gira solo su Windows.

    >
    > Assolutamente no se parli di unix = linux.
    > Non puoi venirmi a dire che microsoft
    > rilascia le patch dopo 20 secondi che il
    > baco e' stato reso noto.

    No, ma sai che verrà messo a posto.

    >
    > > E chi ti supporta le modifiche, una volta
    > > fatte?
    >
    > cosa intendi?

    Se fai una modifica al codice, poi dipendi da quello che ti ha fatto la modifica. E non dirmi che se il codice è aperto non è così perché vivo dal cliente la maggior parte del mio tempo e vedo che le grosse aziende sono ostaggio di programmatori che sono gli stessi da anni, anche se il codice è di proprietà dell'azienda. Secondo te perché hanno richiamato i pensionati per mettere a posto il codice per l'anno 2000 anche se i sorgenti erano disponibili? Il fatto è che chiamare uno, mettergli in mano il codice e dirgli "adesso aggiustamelo" non è quello che succede nel mondo reale. E' solo qualcosa che gente come te racconta ai clienti boccaloni.

    >
    > > E quanto ti
    > > costa invece un contratto di assistenza
    > MS?
    >
    > tanto e non ti serve praticamente a niente,
    > visto che se hai un problema quasi mai te lo
    > risolvono, e una lettera apparsa qui su
    > punto-informatico alcune settimane fa lo
    > conferma.

    Un caso. Se ti ricordi il problema era IBM, non il supporto Microsoft. Sai poi come è andata a finire?

    > Inoltre, con microsoft devi tenerti un
    > contratto di assistenza microsoft. Se ti va
    > bene, bene, se non ti va bene ti arrangi. Se
    > ti costa 10 volte di piu' non hai scelta.

    Ci sono migliaia di certified professional che possono farti l'assistenza a prezzi più bassi.

    >
    > Con linux, se non ti va bene il supporto
    > redhat, scegli suse. Se non ti va bene
    > quello, mandrake.

    Certo. Se sono in una banca con 22000 client mi viene bene cambiare SO ogni 6 mesi. Ma chi sono i tuoi clienti, Pizza & Fichi s.p.a.?


    Qui c'e' vera concorrenza.
    > Quella concorrenza che ha fatto muovere
    > linux e che adesso lo ha fatto crescere
    > cosi' velocemente che mette il pepe al culo
    > a redmond, mentre ibm sogna gia' la sua
    > personale rivincita per la morte di OS2, e
    > qualsiasi cosa possa fare per metterglielo
    > in quel posto al billy la fa.

    Hai idea quanti soldi guadagni IBM con Windows? E pensi che sia disposta a rinunciare in favore di qualcosa su cui non ha controllo (esattamente come su Windows). Ricordati che quello che sta cercando di fare IBM è prendere il controllo di Linux.
    non+autenticato


  • - Scritto da: munehiro
    > e chi ha mai detto questo? e' ovvio che non
    > puoi pretendere di dire che un OS e'
    > perfetto. E' pero' certo che se metti in
    > condizione anche un deficiente di fare il
    > sysadmin, otterrai un sysadmin deficiente.
    > Come diceva qualcuno su questo forum, un
    > incompetente sull'amministrazione di sistema
    > unix lo scopri in 10 secondi, per scoprirne
    > uno su un sistema win ci metti un po' di
    > piu. Qui si parla di reattivita' dell'intero
    > gruppo di sviluppatori ad un problema. Se
    > guninski scopre un baco distruttivo in
    > windoze, chi usa windoze o chiude baracca
    > finche' alla M$ non rilasciano la patch,
    > oppure stringe le chiappe e prega. Sotto
    > linux la cosa e' diversa. Se viene scoperta
    > una vvulnerabilita' spesso devi solo
    > arrivare in fondo alla mail per avere la
    > patch. Questo, per un sito che gestisce
    > puttanate, magari e' poco importante, ma ci
    > sono settori in cui non puoi permetterti di
    > lasciare il sistema scoperto anche per un
    > solo istante (vedi carte di credito, banche
    > e compagnia). Tutto cio' ovviamente non e'
    > automatico, ma non puoi certo pretendere che
    > una qualsiasi ditta di informatica ti
    > telefoni a casa per dirti che devi mettere
    > una patch. Questo non lo fa la microsoft e
    > non lo fa nessuna casa di distribuzione di
    > linux. Se fai l'amministratore di sistema,
    > lo fai. Punto. Se sei un incompetente, lo
    > sei sotto win e sotto linux. Se pero' sei
    > competente, sotto linux hai sicuramente gli
    > strumenti per rispondere in modo istantaneo
    > ad un eventuale problema.
    ci sono alcune cose però da considerare. Prendo come esempio l'exploit di ipfilter. Il bug è stato dichiarato a fine marzo sulle varie ML di sicurezza.Il kernel 2.4.* (e quindi ipfilter)gira da ormai svariati mesi. Nessuno può sapere se un abile coder possa aver scoperto tale bug dopo poche ore dalla disponibilità del kernel o anche dopo un mese, oppure mai. Insomma.. aver il codice sottomano è si positivo se viene poi avviato un "processo di intervento" positivo (come quello riportato in questo caso), ma esiste l'altra faccia della medaglia (scoprire un bug e "tenersi" la conoscenza per se, magari approffitando di questa). Questa discussione è aperta da moltissimo tempo. Certo, si può dire che il popolo opensource è "preddisposto" per una visione positiva, ma non è da escludere le altre "possibilità" negative.
    Tra l'altro, è uno dei punti che la microsoft stessa contrappone ai propri prodotti.
    Faccio presente che sono per l'opensource, ma rifletto anche su tutte le possibilità di questa.


    > io sono perfettamente vulnerabile. La mia
    > box del dialup monta wuftpd 2.5.0, portmap e
    > bind, tutti bucabili. Per non parlare degli
    > exploit locali. E' una redhat 6.1, ed e'
    > stata configurata per essere un dialup. Ho
    > sotto il culo una macchina completamente
    > apribile e sbudellabile e da piu' di 2 anni.
    > Ma chissa' perche' nessuno mi ha ancora
    > bucato, anzi, se vuoi ti do' l'ip e ci provi
    > un po'. Forse perche' so fare il mio lavoro,
    > cosa che invece altri OS ti fanno credere e
    > invece non e' vero?

    scusa la cattiveria.. ma tu sei sicuro che non lo hanno fatto e tu sei ignaro di questo? (certamente non scrivono sui log "io sono qui, ti aspetto per questa sera")
    e cmq, a quanto ho capito sei in dialup, quindi non perrenemente connesso, perchè con tali programmi qualche scriptkiddie avrebbe "aproffittato" della situazione sulla tua macchina per mettere su qualche bot su qualche suo canale irc.

    non+autenticato
  • Sono riuscito a spulciare un pò di documentazione tecnica di M$ su questo buco di sicurezza.

    Mah, il problema c'è ma non credo che sia un "buco": grazie a Dio a Redmond hanno imparato la lezione (pessima) di Proxy 2.0 ed ora se per un qualsivoglia motivo i servizi di ISA si fermano allora il traffico di rete attraverso il server viene completamente bloccato !!!

    Certo, si ha una interruzione di servizio ma non mi sembra che la cosa possa aprire dei varchi nella sicurezza...anzi !!!

    Ricapitolando: 15 minuti per informarsi meglio sul problema, 10 minuti per verificarla, qualche cosa nuova imparata e....senz'altro tempo meglio speso che a sparare "AHAHAHAHAHAHA" !!!!

    Saluti.
    non+autenticato


  • - Scritto da: kerberos

    > Mah, il problema c'è ma non credo che sia un
    > "buco":

    Cosa e', allora?
    Una *feature*?

    > grazie a Dio a Redmond hanno
    > imparato la lezione (pessima) di Proxy 2.0
    > ed ora se per un qualsivoglia motivo i
    > servizi di ISA si fermano allora il traffico
    > di rete attraverso il server viene
    > completamente bloccato !!!

    Uhm...un firewall estremamente efficiente.
    Indubbiamente.
    Resta ancora da vedere quali siano le tutte
    le implicazioni del bug/exploit.
    E quanti ancora ne verranno fuori.

    > Certo, si ha una interruzione di servizio ma
    > non mi sembra che la cosa possa aprire dei
    > varchi nella sicurezza...anzi !!!

    Anzi...un bel DoS e via.
    Un prodotto di grande qualita', non c'e'
    dubbio.

    > Ricapitolando: 15 minuti per informarsi
    > meglio sul problema, 10 minuti per
    > verificarla, qualche cosa nuova imparata
    > e....senz'altro tempo meglio speso che a
    > sparare "AHAHAHAHAHAHA" !!!!

    Di' la verita': vendi prodotti M$.
    non+autenticato
  • IBM WebSphere Vulnerable to Two New Holes (ExecMacro, DoS)

    Two new security vulnerabilities have been found in IBM's WebSphere application server. These vulnerabilities Allow remote attackers expose the server's true path and to cause the product to crash.

    Vulnerable systems:
    IBM Websphere/NetCommerce3 version 3.1.2

    Path revealing:
    Example:
    http://www.example.com/cgi- bin/ncommerce3/ExecMacro/macro.d2w/NOEXISTINGHTMLBLOCK

    (NOTE: The file marco.d2w must exist for this to work.)
    The above URL will result in:

    DTWP029E: Net.Data is unable to locate the HTML block NOEXISTINGHTMLBLOCK in file /usr/NetCommerce3/macros/en_US/macro.d2w

    Denial of Service:
    Example:
    http://www.example.com/cgi-bin/ncommerce3/ExecMacr... 1000)..%0a

    The above URL will cause the server to crash.

    Additional Information:
    The information has been provided by ET LoWNOISE
    non+autenticato
  • Molto meglio il buon caro vecchio totano come Proxy HTTP, ed gira su qualunque piattaforma presente come :win32, linux; FreeBSD, NetBSD, Solaris, HP-UX, AIX, OS/2....

    Ed in piu e' Open Source.

    More info su http://www.squid-cache.org/

    Buon divertimento...
    non+autenticato
  • ahahaahahahaha
    non+autenticato
  • ahauahauhauahauhauahuahaua

    - Scritto da: Buttha
    > ahahaahahahaha
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 6 discussioni)