Leggendo la notizia dell’accordo di partnership tra Red Hat e Qualsys, che non è correlata direttamente alla vicenda che stiamo riportando, viene comunque da pensare come nell’azienda dal cappello rosso abbiano capito quanto sia fondamentale avere stretto contatto con chi continua a scoprire falle e problematiche di sicurezza nei sistemi Linux. È infatti Bharat Jogi,…
Read more

Leggi il contenuto originale su Mia mamma usa Linux!

Qualys ha scoperto un nuovo bug di sicurezza di systemd che consente a qualsiasi utente senza privilegi di causare un Denial of Service tramite un kernel panic.
Sul sito ZDNet:
Come ha scritto Bharat Jogi, senior manager di Vulnerabilities and Signatures di Qualys, “Data l’ampiezza della superficie di attacco per questa vulnerabilità, Qualys consiglia agli utenti di applicare immediatamente le patch per questa vulnerabilità”. Puoi dirlo di nuovo. Systemd è utilizzato in quasi (altro…)

La sicurezza informatica è da qualche tempo il focus di molte iniziative. Non a caso, scorrendo questo stesso blog, vedrete una gran parte di notizie riguardanti bug o nuove funzionalità con in mente proprio la sicurezza del software. Spesso gli annunci sono fatti tramite il sistema CVE (Common Vulnerabilities and Exposures – Vulnerabilità ed esposizioni…
Read more

Leggi il contenuto originale su Mia mamma usa Linux!

Recentemente Git il software open-source creato da Linus Torvalds nel lontano 2005 ha annunciato e fixato immediatamente una nuova e interessante vulnerabilità, descritta nella CVE-2021-21300, pubblicata il 9 Marzo 2021 sul blog ufficiale di Git.La vulnerabilità è presente in diverse versioni del sistema di version control, precisamente la 2.15 e successive consentendo a un repository appositamente predisposto di eseguire… Read more

Leggi il contenuto originale su Mia mamma usa Linux!

Sono tre le vulnerabilità scoperte di recente nel kernel Linux che potrebbero fornire privilegi di root.
Presenti nel codice del kernel Linux dal 2006 sono state scoperte dai ricercatori GRIMM.
I bug si trovano nel modulo iSCSI utilizzato per accedere alle strutture di archiviazione dati condivise e tali vulnerabilità, come anticipato, potrebbero consentire privilegi di root a chiunque disponga di un account utente.

Queste sono state catalogate come CVE-2021-27363, CVE-2021-27364 e CVE-2021-27365 – si (altro…)

“Baron Samedit” è il nome che il team di Qualys ha dato alla “nuova” vulnerabilità trovata in sudo e tracciata come CVE-2021-3156. Questo bug è stato introdotto nel luglio 2011, dunque ci sta facendo compagnia da quasi 10 anni, ed affligge tutte le versioni legacy dalla 1.8.2 alla 1.8.31p2 e tutte le versioni stable dalla… Read more

Leggi il contenuto originale su Mia mamma usa Linux!

Lo sappiamo: patch e fix sia di bug che di vulnerabilità ci sono giornalmente. Dobbiamo curare i nostri amati computer per assicurarci che funzionino bene e che non siano esposti ai pericoli della rete (o locali). Certo, sicuramente le fix un pochino più critiche son sempre quelle che riguardano il cuore del nostro sistema, ovvero…
Read more

Leggi il contenuto originale su Mia mamma usa Linux!

La notizia della vulnerabilità, denominata BootHole, è stata appena resa nota da Eclypsium, società che si occupa di sicurezza informatica, e riguarderebbe tutti i sistemi che utilizzano Secure Boot… praticamente tutti i sistemi dal 2009 in poi. UEFI, il successore del BIOS, richiede che un bootloader sia firmato da una CA per poter essere avviato.… Read more

Leggi il contenuto originale su Mia mamma usa Linux!

Scoperto nuovo bug di sicurezza per processori Intel.

Il bug di sicurezza, che è stato chiamato CrossTalk, consente ad un utente malintenzionato l’esecuzione di codice ad-hoc su un core della CPU che raccoglie i dati sensibili da altri software in esecuzione su core diversi.

Il VUSec (Systems and Network Security Group) dell’Università di Vrije afferma che la vulnerabilità CrossTalk è un tipo di attacco MDS (campionamento di dati microarchitettura).

Più specificamente, CrossTalk attacca (altro…)

La falla consente a un utente malintenzionato di forzare qualsiasi DNS resolver ricorsivo a inviare un numero elevato di query (Distributed denial-of-service) al server DNS autorevole della vittima. L’aspetto che viene sfruttato è la delega glueless, dove un glue record corrisponde agli indirizzi IP di un name server (ossia un DNS server).Petr Špa?ek scrive ul … Continua a leggere →

Leggi il contenuto originale su GNU/Linux – valent