Bug profondo sul server Web di Sun

Scoperto un grave buco di sicurezza nella funzione di ricerca di iPlanet, il server Web di Sun adottato da quasi 700mila siti Internet


Surrey (Gran Bretagna) – Nonostante il caldo torrido e la stagione estiva che avanza i cacciatori di bachi non sembrano concedersi riposo. Dopo le recenti falle scoperte in Internet Information Server e in Apache è ora il turno di iPlanet, il server Web di Sun. La società di sicurezza Next Generation Security Software ha infatti rilasciato un advisory in cui descrive una seria vulnerabilità che affligge la funzione di ricerca di iPlanet 4.1 e 6.0.

Il problema consiste in un buffer overrun nel parametro NS-rel-doc-name che può essere sfruttato da un aggressore per prendere il controllo del processo e di eseguire qualsiasi codice con gli stessi privilegi dell’account di amministrazione del server Web: questo potrebbe dare al cracker la possibilità di guadagnare il controllo dell’intero sistema. A limitare la portata della vulnerabilità vi è il fatto che in iPlanet la funzione di ricerca è disabilitata di default.

La falla può essere corretta installando i due nuovi service pack rilasciati da Sun: l’SP10 per iPlanet 4.1, disponibile qui , e l’SP3 per iPlanet 6.0, disponibile qui .

Secondo la nuova rilevazione di giugno dell’osservatorio Web di Netcraft, i siti Internet su cui gira una qualche versione di iPlanet (iPlanet-Enterprise, Netscape-Enterprise, Netscape-FastTrack, Netscape-Commerce, Netscape-Communications, Netsite-Commerce & Netsite-Communications) ammonterebbero a circa 687.000, pari all’1,77% del totale.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Anonimo scrive:
    Speriamo che prenda...
    L'importante è dare una severa lezioen alle major della musica, strafottenti e troppo ricche.
  • Anonimo scrive:
    E' dannoso, molto dannoso
    Perchè poi finisce che molti host mettono limiti capestro (tipo 100Kb) alla dimensione dei file.
  • Anonimo scrive:
    Speriamo!
    Il mio sogno segreto è vedere punita la tracotanza delle case discografiche, speriamo...
  • Anonimo scrive:
    ma dove diavolo...
    ...si trovano questi mp3 camuffati?!ho cercato ho cercato ma nulla...
  • Anonimo scrive:
    Better Late Than Never
    Nothing more to add...
  • Anonimo scrive:
    bah :)
    La solita roba...Il software antipirateria controllerà al massimo l'header del file mp3 e basterebbe alterare quest'ultimo tramite il programma di filesharing, un po' come facevano una volta i virus veri per non rendersi visibili agli antivirus...Il problema poi è molto semplice e si risolverebbe altrettanto semplicemente:Abbassate i prezzi degli originali e le copie probabilmente non spariranno!!!
  • Anonimo scrive:
    Spreco di banda
    Quasi tutti gli algoritmi di steganografia usano solo il bit meno significativo delle immagini per memorizzarvi i contenuti steganografati.Questo vuol dire che per incorporare in un immagine un tipico file mp3 di 4 MB, occorre che l'immagine sia di circa 4*8 = 32 MB.Tenete anche presente che se l'algoritmo steganografico non e' ben progettato, e' facile capire se un'immagine contiene in realta' qualcosaltro con tecniche di analisi statistica della distribuzione dei bit meno significativi.In definitiva, la steganografia non mi sembra una strada tecnicamente praticabile.SalutiGiorgio
    • Anonimo scrive:
      Re: Spreco di banda
      Il calcolo non e' corretto. Il file ha una lunghezza approssimata data da: lunghezza file originale + immagine .jpgNiente da dire, non è affatto male.Avevo visto le prime apparizione di questo prodotto nell'ottobre dello scorso anno.
    • Anonimo scrive:
      Re: Spreco di banda
      - Scritto da: Giorgio(cut)
      In definitiva, la steganografia non mi
      sembra una strada tecnicamente praticabile.parliamoci chiaramente e senza esagerare in tecnicismi:posti comuni, materiale mediamente riservato.mica la nasa.ho la mia cartella "immagini" con donnine varie e quattro cavolate.ci nascondo dentro qualche zip con dei dati riservati. stanno li e nessuno pensa a cosa può esserci sotto.--
      zip con password invece: "mi dica la password!"oppure , mi copiano il file e usano programmi con brute force attack, dato che sono alla portata di chiunque e pure pubblicizzati.la steganografia è MOOOlto utile! i grafici potrebbero anche nasconderci i dati dei copyright
      • Anonimo scrive:
        nascondere files
        ci sono modi molto piu' semplici (e vecchi) per nascondere file in locale. Per partizioni NTFS il comando POSIX cp per esempio crea uno stream in questo modo:cp cmd.exe: e la dimensione di cmd.exe nemmeno cambia!cp e' disponibile nei Resource Kit di NT/2000
    • Anonimo scrive:
      Re: Spreco di banda

      Quasi tutti gli algoritmi di steganografia
      usano solo il bit meno significativo delle
      immagini per memorizzarvi i contenuti
      steganografati.

      Questo vuol dire che per incorporare in un
      immagine un tipico file mp3 di 4 MB, occorre
      che l'immagine sia di circa 4*8 = 32 MB.Si, questo è vero... Ma non ti metti a usare questa tecnica per scambiarti mp3... Quanto per scambiarti documenti...
      Tenete anche presente che se l'algoritmo
      steganografico non e' ben progettato, e'
      facile capire se un'immagine contiene in
      realta' qualcosaltro con tecniche di analisi
      statistica della distribuzione dei bit meno
      significativi.Si, certo... Ma se io lo cripto pure il documento che metto all'interno dell'immagine? Ciò vorrebbe dire che prima che qualcuno mi scopre il contenuto nascosto passa un bel po' di tempo e una volta scoperto che qualcosa c'è cmq non può leggerlo...
      In definitiva, la steganografia non mi
      sembra una strada tecnicamente praticabile.Mah... Dipende per cosa la vuoi utilizzare... Se io fossi un terrorista o una spia tipo James Bond ci gumerei un pacco per sta cosa... ;-)
    • Anonimo scrive:
      Re: Spreco di banda

      Questo vuol dire che per incorporare in un
      immagine un tipico file mp3 di 4 MB, occorre
      che l'immagine sia di circa 4*8 = 32 MB.Si vede che non hai mai utilizzato il programma in questione, la dimensione finale è data semplicemente dalla somma delle dim dei 2 file, tutto qui.E' x questo ke funziona.
  • Anonimo scrive:
    Ma la steganografia....
    ...è illegale, o può essere considerata tale?
    • Anonimo scrive:
      Re: Ma la steganografia....
      - Scritto da: Ingenuo 2001
      ...è illegale, o può essere considerata tale?illegale ? perche'? se fosse cosi' lo sarebbe anche la crittografia
      • Anonimo scrive:
        Re: Ma la steganografia....

        - Scritto da: Ingenuo 2001

        ...è illegale, o può essere considerata tale?- Scritto da: samu
        illegale ? perche'? se fosse cosi' lo sarebbe anche la crittografia ... efa afanchefe lafa lifinguafa fafarfafallifinafa ... :-)
        • Anonimo scrive:
          Re: Ma la steganografia....
          - Scritto da: Il crittografo

          - Scritto da: Ingenuo 2001


          ...è illegale, o può essere
          considerata tale?
          - Scritto da: samu

          illegale ? perche'? se fosse cosi' lo
          sarebbe anche la crittografia

          ... efa afanchefe lafa lifinguafa
          fafarfafallifinafa ... :-)ROTFLERRARRIMOooooooooooooooOOOOOOOohhhhhhohhhohhhooooo!!!!! porcadiavola!!!! sono in ufficio!!! non puoi farmi ridere altrimenti la capa qui mi accoppa!!!!!!
        • Anonimo scrive:
          Re: Ma la steganografia....
          - Scritto da: Il crittografo
          ... efa afanchefe lafa lifinguafa
          fafarfafallifinafa ... :-)ROTFOLLISSIMO !!!!Sublime !..anzi..sufublifimefe !
    • Anonimo scrive:
      Re: Ma la steganografia....

      ...è illegale, o può essere considerata tale?No, di per se non credo sia illegale... Altrimenti dovremmo considerare illegali tutti i vari sistemi di criptaggio, ecc...
  • Anonimo scrive:
    avevo già scritto un articolo su HackerJournal n°3
    come da titolo, avevo già scritto un articolo sulle potenzialità di Camouflage su Hacker Journal n°3....peccato non me lo abbiano firmato...P.s. per i redattori di HJ, aspetto ancora il pagamento e la ricevuta della ritenuta d'acconto...sapete voi dove e come trovarmi
    • Anonimo scrive:
      Re: avevo già scritto un articolo su HackerJournal n°3
      P.s. per i redattori di HJ, aspetto ancora il pagamento e la ricevuta della ritenuta d'acconto...sapete voi dove e come trovarmiNon ti preoccupare, li riceverai prima o poi. Forse.redaz HJ
    • Anonimo scrive:
      Re: avevo già scritto un articolo su HackerJournal n°3
      Ritieniti licenziato....
      • Anonimo scrive:
        Re: avevo già scritto un articolo su HackerJournal n°3
        - Scritto da: Redazione HJ
        Ritieniti licenziato....bwahahahabella!
      • Anonimo scrive:
        Re: avevo già scritto un articolo su HackerJournal n°3
        - Scritto da: Redazione HJ
        Ritieniti licenziato....mmm...strano, mi consideravo fuori ben prima di questo messaggio
  • Anonimo scrive:
    hey ... lo avevo segnalato a Lucas!!
    lo avevo segnalato a lucas, tra i programmi di steganografia
    • Anonimo scrive:
      Re: hey ... lo avevo segnalato a Lucas!!
      - Scritto da: cosmix
      lo avevo segnalato a lucas, tra i programmi
      di steganografiaciao!... e mica solo quello ! grazie per tutte le segnalazioni (ci faro' un numero della rubrica) ma nelle ultime settimane ero impegnato con lo specialone "SourceForge" ;)arigrazzz e ariciao! :)
Chiudi i commenti