Anche se l’articolo “curl diventa CVE Numbering Authority e, finalmente, le segnalazioni di bug avranno un senso” non sembra aver riscontrato un successo di pubblico esagerato, grazie alla notizia che stiamo per dare è possibile sottolinearne l’importanza. Già, perché dopo curl anche il progetto Linux è stato accettato come autorità CNA, CVE Numbering Authority. Lo...

Leggi il contenuto originale su Mia mamma usa Linux!

Della battaglia in merito alle segnalazioni di CVE insensate che il progetto curl, per mezzo del suo creatore e principale maintainer Daniel Stenberg, sta portando avanti da molto tempo abbiamo parlato parecchio nel recente passato. Tra il programma di bug bounty pieno di segnalazioni fatte da intelligenze artificiali e la gestione di CVE come la…
Segui il link per leggere l'articolo

Leggi il contenuto originale su Mia mamma usa Linux!

Di quanto il creatore di curl, Daniel Stenberg, abbia cercato di contrastare l’uso malsano che viene fatto delle CVE abbiamo parlato a lungo. Poco più di un mese fa l’ultima volta, a proposito di come il National Vulnerability Database (NVD) avesse assegnato ad una vulnerabilità ininfluente un valore pazzesco. Il messaggio che si voleva passare…
Segui il link per leggere l'articolo

Leggi il contenuto originale su Mia mamma usa Linux!

Lo scorso giugno abbiamo raccontato delle perplessità di Daniel Stenberg, creatore di curl, sul National Vulnerability Database (NVD) ed i valori delle CVE e di come in quel caso specifico la CVE-2023-27536, inizialmente inserita con severità 9.8, ossia CRITICAL, ossia Apocalypse now, fosse stata riclassificata, dopo una estenuante serie di azioni, a 5.9, ossia MEDIUM,…
Segui il link per leggere l'articolo

Leggi il contenuto originale su Mia mamma usa Linux!

L’insistenza con cui solitamente affrontiamo le questioni di sicurezza informatica non è mai casuale. Come ripetiamo sempre, una cosa che emerge in maniera decisa a quanti svolgono il mestiere dell’informatico oggi è che non è più minimamente trascurabile la considerazione degli aspetti di sicurezza già in fase di sviluppo. In questo senso la metodologia DevSecOps…
Segui il link per leggere l'articolo

Leggi il contenuto originale su Mia mamma usa Linux!

Annunciata con largo anticipo da Mark Cox, sviluppatore Red Hat e VP security della Apache Software Foundation, la versione 3.0.7 di OpenSSL è una di quelle a cui tutti noi dovremmo prestare particolare attenzione. Il motivo risiede nell’entità dell’annuncio: OpenSSL 3.0.7 update to fix Critical CVE out next Tuesday 1300-1700UTC. Does not affect versions before…
Read more

Leggi il contenuto originale su Mia mamma usa Linux!

Una delle prerogative del nostro container orchestrator prediletto, che per chi non lo sapesse è Kubernetes, è il fatto che di default nessun container viene fatto girare con privilegi amministrativi, nella fattispecie non ci sono container che girano come root. Per far sì che questo avvenga è necessario applicare determinate impostazioni ai deployment Kubernetes, ed…
Read more

Leggi il contenuto originale su Mia mamma usa Linux!

Diamo sempre per scontato, per via del fatto che pubblichiamo costantemente notizie di nuovi CVE, che tutti sappiano di cosa si stia parlando. Vero o no, intanto chiariamo. L’acronimo CVE sta per Common Vulnerabilities and Exposures ed è un’indicizzazione per le problematiche di sicurezza informatica, pubblicate presso il sito https://www.cve.org/ (ed in origine su https://cve.mitre.org/)…
Read more

Leggi il contenuto originale su Mia mamma usa Linux!

Google sta avvisando gli utenti di una vulnerabilità ad alta gravità nel suo browser Chrome che viene attualmente sfruttata dagli aggressori per dirottare (hijack) il browser.

La vunerabilità (CVE-2019-13720), scoperta dai ricercatori di sicurezza Anton Ivanov e Alexey Kulaev di Kaspersky, riguarda un componente audio di Google Chrome. Google sta invitando gli utenti ad aggiornare all’ultima versione di Chrome, 78.0.3904.87 (per Windows, Mac e Linux).

Il bug (CVE-2019-13720) può essere sfruttato per corrompere (altro…)

Il famoso sistema di controllo delle versioni git è stato aggiornato pochi giorni fa correggendo un brutto bug di sicurezza.

Identificato dalla CVE-2017-1000117 questa vulnerabilità permette l'esecuzione di comandi arbitrari sui client che tentano di clonare dei repository git tramite ssh.

In pratica, un attaccante può costruire una url per clonare un repository git che, in realtà, non fa altro che lanciare un comando sul computer dell'utente non attento che, magari, copia/incolla il

Leggi il contenuto originale su Mia mamma usa Linux!