Archivi categoria: Patch

Tre nuovi bug (in attesa di patch) in SystemD garantiscono shell di root

In questo momento immagino gli utenti Devuan seduti alla scrivania in compagnia di un bidone di popcorn mentre osservano gli utenti di systemd che, impotenti, attendono delle patch. Qualys ha infatti individuato tre nuove vulnerabilità nel sistema di init più amato di sempre™, systemd, più precisamente in systemd-journald, servizio che si occupa di raccogliere e memorizzare i log in maniera indicizzata. Le tre CVE individuate sono: CVE-2018-16864 e CVE-2018-16865 fanno riferimento a due memory corruptionsCVE-2018-16866 invece si riferisce ad un information leak Per le CVE 865 ed 866 il team di Qualys ha sviluppato un exploit che, in soli 10 minuti su i386 e 70 minuti su amd64, riesce ad ottenere accesso una shell di root locale. Al momento pare proprio che tutte le distribuzioni basate su systemd siano vulnerabili, con qualche eccezione: SUSE Linux Enterprise 15openSUSE Leap 15.0Fedora 28 e 29 che non sono exploitabili perché lo user space è compilato utilizzando l’opzione fstack-clash-protection di GCC. In ogni caso è presumibile che arriveranno presto comunicazioni anche dalle altre major, Red Hat in primis. Va sottolineato comunque, ad onor del vero, come Jimmy Graham, direttore del product management di Qualys, dica di non vedere nulla di strano nella presenza di [...]

Bruce Perens, che accusava Open Source Security Inc. di violare la GPL con le patch Grsecurity, vince la causa

Avevamo parlato di questa vicenda all’incirca un anno fa: Bruce Perens aveva accusato l’azienda Open Source Security Inc. di violare la licenza GPL. In che modo? Presto detto: l’azienda annoverava tra i suoi prodotti Grsecurity, una serie di patch del Kernel Linux fornite in maniera preventiva e dedicata ai clienti. Queste patch venivano distribuite con licenza GPL, ma con un vincolo: il giorno che il cliente avesse deciso di renderle pubbliche (continuando a rispettare quindi la licenza GPL, che lo prevede) si sarebbe visto precludere l’accesso alle future patch. A questo punto Perens, dalle pagine del suo blog, aveva accusato Open Source Security Inc. di violazione venendo subito denunciato per diffamazione. La notizia del giorno è che la causa intentata da Open Source Security Inc. è stata persa e l’azienda dovrà risarcire quasi duecentosessanta milioni di dollari a Perens. E va sottolineato come inizialmente la cifra richiesta da Perens ed i suoi legali fosse enormemente maggiore (più di cinquecento milioni di dollari) e come in fase di giudizio questa sia stata ritenuta irragionevole dal giudice. Certo, c’è ancora l’appello, ma sicuramente questa prima sentenza stabilisce come non ci sia stata diffamazione nelle affermazioni di Perens, poiché formulate in risposta a [...]

Anche OpenBSD riceve le patch per Meltdown

Quando ad inizio anno c’è stato il rush di aggiornamenti per Meltdown sui vari OS, parecchi sistemi BSD sono rimasti indietro.

Tra i sistemi Unix-like come – appunto – BSD, sicuramente il fatto di avere una base utente molto più limitata rispetto ad altre controparti (leggi Linux) ha penalizzato molto l’arrivo di queste patch, sia per una disponibilità molto minore di sviluppatori che per una base utente di test molto ridotta. read more

Problemi su Ubuntu dopo le patch per Spectre e Meltdown

Negli ultimi ultimi giorni Spectre e Meltdown sono al centro di praticamente ogni articolo del mondo IT. I bug, in tre varianti, affliggono tutte le CPU Intel ed AMD (sì, alla fine anche AMD ha ammesso di essere affetta dalle due varianti di Spectre) e trattandosi di falle a livello hardware, i produttori di software stanno correndo ai ripari rilasciando patch su base quasi giornaliera.

Tutta questa fretta sta generando non pochi disagi agli utenti che spesso si ritrovano con macchine che non fanno più boot. Inizialmente c’è stata Microsoft con una patch che rendeva inutilizzabili i computer con CPU Athlon ed ora anche Ubuntu sembra avere qualche inghippo. read more