eMule tappa due falle

Il celebre client di file-sharing ha corretto due vulnerabilità che potrebbero essere utilizzate da malintenzionati per attacchi denial of service o per compromettere un sistema remoto


Roma – A metà settimana l’eMule Project ha rilasciato una nuova versione dell’omonimo celebre client P2P, la 0.46c, in cui sono state tappate due vulnerabilità di sicurezza, tra cui la più grave interessa la libreria di compressione open source Zlib .

La falla legata alla libreria Zlib, di tipo buffer overflow, è stata corretta dagli autori della libreria già a partire dallo scorso 18 luglio: il problema ha coinvolto una miriade di software, sia open source che proprietari, tra cui il celebre database MySQL. FrSIRT ha spiegato che un aggressore potrebbe sfruttare il bug per eseguire da remoto del codice a propria scelta.

La seconda vulnerabilità riguarda invece una non corretta gestione dei pacchetti di rete utilizzati dalla rete P2P Kad. Secunia afferma che il bug “può essere sfruttato da un aggressore per mandare in crash l’applicazione attraverso uno speciale pacchetto Kad malformato”.

L’ultima versione di eMule può essere scaricata da qui .

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Inferno scrive:
    Cisco, Cisco.......
    Signori miei, la tecnologia porta anche a questo..... forse a volte vorremmo tornare indietro a quando non esisteva tutto questo!!!!!Smettiamola di lamentarci di sistemi non sicuri e cavolate del genere.... siamo umani e non delle macchine; ci sono problemi ben più importanti, la gente che non sa come fare a campare.... la tecnologia in questo caso passa in secondo piano e specialmente questo tipo di problematiche.Ormai non si capisce più niente nel mondo dell'IT, ogni giorno esce un prodotto diverso e migliorativo.... è come la pubblicità dei detersivi alla televisione che ogni tanto ese un prodotto migliore rispetto a quello precedente..... è come dire che fino ad oggi ci hanno preso per il cu.. ma dai, questo è vivere e stare al passo????Scusate ma penso che ci sia troppa tecnologia al giorno d'oggi che non si riesce a controllare.I
  • Anonimo scrive:
    Anche FrSIRT si piega a Cisco?
    L'advisory al linkhttp://www.frsirt.com/english/advisories/2005/1248non viene visualizzata e rimanda alla homepage.Viceversa le advisories precedenti e successive sono correttamente visualizzabili.Non puzza un pò di bruciato?Jack
  • Anonimo scrive:
    news
    http://www.networkworld.com/news/2005/072805-cisco-settlement.html
  • Anonimo scrive:
    Come funziona la mafia dei DOS
    E' molto più sporca di quanto non immaginiate. La cosa funziona così: ci sono organizzazioni mafiose molto potenti (in Russia, ma anche Europa e USA) che taglieggiano (chiedono tangenti) ai siti web per lasciarli in pace e non metterli in ginocchio. Come non puoi aprire un negozio a Palermo senza pagare chi di dovere, non puoi aprire un sito commerciale senza fare lo stesso. Chi fa questo lavoro lo sa bene, purtroppo. CISCO che fa? Mica scema. Essendo lei la sola a conoscere le falle dei suoi router, si VENDE tali exploit alle varie mafie e mafiette di internet sottobanco, a prezzi stratosferici. Il risultato: CISCO è in cima alla catena alimentare del più grosso business di internet, quello del taglieggio dei siti. C'è poco da stupirsi quindi se quando uno dei suoi rivela tali segreti e fa scalpore lei si incazza: non si incazza per questioni di principio, ma perchè non potrà più vendere tali exploit a caro prezzo alle cosche dei DOS.
    • Anonimo scrive:
      Re: Come funziona la mafia dei DOS

      C'è poco da stupirsi quindi se quando uno
      dei suoi rivela tali segreti e fa scalpore lei
      si incazza: non si incazza per questioni di
      principio, ma perchè non potrà più vendere
      tali exploit a caro prezzo alle cosche
      dei DOS....ci mancavi solo tu, a rivelarci come funziona la router-mafia :) povera italia :)
  • Anonimo scrive:
    Il senso della misura.
    Sicuramente hanno perso il senso della misura entrambe le parti.Rendere di pubblico dominio un bug con tanto di exploit è un comportamento da folli soprattutto quando il problema riguarda componenti critici ed ubiquitari come i router Cisco (che ha oltre il 90% del mercato). Cosi oltre ai veri hacker orde di hacker dilettanti si buttano nella mischia rendendo insicure e suscettibili di attacco anche strutture senza nessun valore.Pretendere di IGNORARE per legge l'esistenza delle vulnerabilità è altresi folle. CISCO dovrebbe poi essere ridimensionata nelle sue quote di mercato. In fondo è molto più monopolista CISCO che Microsoft.
  • Anonimo scrive:
    Libertà di stampa
    Ma in America non esisterebbe la libertà di stampa/comunicazione?
    • Anonimo scrive:
      Re: Libertà di stampa
      - Scritto da: Anonimo
      Ma in America non esisterebbe la libertà di
      stampa/comunicazione?Solo quando non va contro i potenti di turno :D
  • Anonimo scrive:
    Si meriterebbero ....
    Un comportamento ben diverso da questi signori.Meriterebbero che l' informazione fosse VENDUTA a qualcuno che ne facesse un uso DAVVERO illegale.E gli altri giù a ridere.Massa di ixioti .....
  • drakend scrive:
    Arroganza senza limiti
    Questa vicenda mi ricorda da vicino quella di qualche giorno fa di Oracle, la quale si era permessa di ignorare dei bachi nei suoi prodotti per due anni e poi se l'era presa con lo scopritore che aveva "osato" renderli pubblici. Ora Cisco fa pure causa perché qualcuno ha evidenziato delle gravi falle presenti all'interno dei suoi prodotti: Cisco dovrebbe solo ringraziare questo bug hunter, ma invece lo denuncia. L'arroganza di queste aziende sta cominciando a diventare davvero irritante, non trovate? Non solo sono incapaci di produrre software esente da gravi bachi (lo so che il software perfetto non esiste, risparmiatemi la relativa storiella :), però ci sono bachi e bachi secondo me), ma si incazzano pure se qualche utente particolarmente brillante li scopre e li rende noti. Se la dovrebbero prendere soltanto con loro stessi, con la loro organizzazione interna e il loro team di sviluppo che non è stato capace di lavorare a dovere. Cisco, insieme ad Oracle, vai a lezioni di umiltà va.
    • The_Stinger scrive:
      Re: Arroganza senza limiti
      - Scritto da: drakend
      ma si incazzano pure se qualche
      utente particolarmente brillante li scopre e li
      rende noti. Se la dovrebbero prendere soltanto
      con loro stessi, con la loro organizzazione
      interna e il loro team di sviluppo che non è
      stato capace di lavorare a dovere. Cisco, insieme
      ad Oracle, vai a lezioni di umiltà va.Pienamente d'accordo con te.Forse potrei avere dei dubbi nel caso questo ricercatore avesse scoperto la falla ed avesse divulgato al pubblico la notizia senza segnalarla prima a Cisco ed alla società per cui lavora (doverosa segnalazione di un bug), ma pare che invece abbia ben segnalato la cosa (o almeno dall'articolo si capisce così).==================================Modificato dall'autore il 29/07/2005 11.38.35
    • Cavallo GolOso scrive:
      Re: Arroganza senza limiti
      - Scritto da: drakend
      Questa vicenda mi ricorda da vicino quella di
      qualche giorno fa di Oracle, la quale si era
      permessa di ignorare dei bachi nei suoi prodotti
      per due anni e poi se l'era presa con lo
      scopritore che aveva "osato" renderli pubblici.
      Ora Cisco fa pure causa perché qualcuno ha
      evidenziato delle gravi falle presenti
      all'interno dei suoi prodotti: Cisco dovrebbe
      solo ringraziare questo bug hunter, ma invece lo
      denuncia. L'arroganza di queste aziende sta
      cominciando a diventare davvero irritante, non
      trovate?cominciando? :D
  • Anonimo scrive:
    9 --
  • Anonimo scrive:
    sbagliano entrambe le parti
    il ricercatore è ricercatore..non sputtanatore, se trova una falla sulla sicurezza ok avvisa chi si occupa di quel progetto affinchè possano correggerlo invece di dirlo ai quattro venti mettendo a repentaglio ancora di più i sistemi affetti, cisco sbaglia che si mette a denunciarlo, avrebbe dovuto prenderlo a lavorare per sè
    • Anonimo scrive:
      Re: sbagliano entrambe le parti
      - Scritto da: Anonimo
      il ricercatore è ricercatore..non sputtanatore,
      se trova una falla sulla sicurezza ok avvisa chi
      si occupa di quel progetto affinchè possano
      correggerlo invece di dirlo ai quattro venti
      mettendo a repentaglio ancora di più i sistemi
      affetti, cisco sbaglia che si mette a
      denunciarlo, avrebbe dovuto prenderlo a lavorare
      per sèPenso che il ricercatore scorretto sia visto dalle aziende come:1) Sputtanatore, divulga la scoperta e si fa pubblicità per essere assunto presso altri per la sua scoperta2) Ricattatore, non divulga la scoperta e si fa assumere dall'azienda in questioneIl ricercatore corretto invece non divulga e si accontenta di aver fatto il proprio dovere per il bene dell'umanità.Di ricercatori così per fortuna ce ne sono tanti, purtroppo di aziende così non ce n'è nessuna, il profitto prima di tutto.Non vi sembra che ci sia qualcosa di storto in tutto questo ?
    • Anonimo scrive:
      Re: sbagliano entrambe le parti
      - Scritto da: Anonimo
      il ricercatore è ricercatore..non sputtanatore,
      se trova una falla sulla sicurezza ok avvisa chi
      si occupa di quel progetto affinchè possano
      correggerlo invece di dirlo ai quattro venti
      mettendo a repentaglio ancora di più i sistemi
      affetti, cisco sbaglia che si mette a
      denunciarlo, avrebbe dovuto prenderlo a lavorare
      per sèGià lavorava per Cisco, ha comunicato il problema, Cisco ha detto che avrebbero dato un'occhiata, alla fine si è dimesso dal suo incarico e l'ha reso pubblico.Secondo me ha fatto bene, adesso almeno correggeranno i bug senza altre promesse da marinaio.
      • Anonimo scrive:
        Re: sbagliano entrambe le parti
        - Scritto da: Anonimo

        - Scritto da: Anonimo

        il ricercatore è ricercatore..non sputtanatore,

        se trova una falla sulla sicurezza ok avvisa chi

        si occupa di quel progetto affinchè possano

        correggerlo invece di dirlo ai quattro venti

        mettendo a repentaglio ancora di più i sistemi

        affetti, cisco sbaglia che si mette a

        denunciarlo, avrebbe dovuto prenderlo a lavorare

        per sè

        Già lavorava per Cisco, ha comunicato il
        problema, Cisco ha detto che avrebbero dato
        un'occhiata, alla fine si è dimesso dal suo
        incarico e l'ha reso pubblico.
        No, lavorava per ISS
        Secondo me ha fatto bene, adesso almeno
        correggeranno i bug senza altre promesse da
        marinaio.
  • Anonimo scrive:
    9 --
    Altro che minacciare di azioni legali, vergogna, schifosi!
  • carbonio scrive:
    Gli fanno causa per questo:
    cito:[ l'esperto ha poi aggiunto che "IOS è il Windows XP di Internet".]Cisco non posteva sorvolare su una affermazione del genere==================================Modificato dall'autore il 29/07/2005 0.40.56
    • Anonimo scrive:
      Re: Gli fanno causa per questo:
      - Scritto da: carbonio
      cito:
      [ l'esperto ha poi aggiunto che "IOS è il Windows
      XP di Internet".]

      Cisco non posteva sorvolare su una affermazione
      del genereForse lo dovrebbero prendere come un complimento, il loro OS mi sembra molto peggio considerando anche che deve reggere gran parte dei router di internet...
      • godzilla scrive:
        Re: Gli fanno causa per questo:
        - Scritto da: Anonimo
        - Scritto da: carbonio

        cito:

        [ l'esperto ha poi aggiunto che "IOS è il
        Windows

        XP di Internet".]



        Cisco non posteva sorvolare su una affermazione

        del genere

        Forse lo dovrebbero prendere come un complimento,
        il loro OS mi sembra molto peggio considerando
        anche che deve reggere gran parte dei router di
        internet...ma lo sai di cosa parli, o dici tanto per dire?
        • Anonimo scrive:
          Re: Gli fanno causa per questo:
          - Scritto da: godzilla

          - Scritto da: Anonimo

          - Scritto da: carbonio


          cito:


          [ l'esperto ha poi aggiunto che "IOS è il

          Windows


          XP di Internet".]





          Cisco non posteva sorvolare su una
          affermazione


          del genere



          Forse lo dovrebbero prendere come un
          complimento,

          il loro OS mi sembra molto peggio considerando

          anche che deve reggere gran parte dei router di

          internet...

          ma lo sai di cosa parli, o dici tanto per dire?Non si parlava di prosciutto San Daniele?
          • Anonimo scrive:
            Re: Gli fanno causa per questo:
            - Scritto da: Anonimo

            - Scritto da: godzilla



            - Scritto da: Anonimo


            - Scritto da: carbonio



            cito:



            [ l'esperto ha poi aggiunto che "IOS è il


            Windows



            XP di Internet".]







            Cisco non posteva sorvolare su una

            affermazione



            del genere





            Forse lo dovrebbero prendere come un

            complimento,


            il loro OS mi sembra molto peggio considerando


            anche che deve reggere gran parte dei router
            di


            internet...



            ma lo sai di cosa parli, o dici tanto per dire?


            Non si parlava di prosciutto San Daniele?buono il S.Daniele!
          • godzilla scrive:
            Re: Gli fanno causa per questo:
            - Scritto da: Anonimo


            Non si parlava di prosciutto San Daniele?leggi bene: era bresaola :D
      • Anonimo scrive:
        Re: Gli fanno causa per questo:
        IMHO, leggendo il contesto, il paragone era riferito alla diffusione e non alle vulnerabilità.
        • carbonio scrive:
          Re: Gli fanno causa per questo:
          - Scritto da: Anonimo

          IMHO, leggendo il contesto, il paragone era
          riferito alla diffusione e non alle
          vulnerabilità.non saprei... l'affermazione si presta ad entrambe le possibilta', anche se la frase: "Giusto per gettare un po' di benzina sul fuoco" mi sembra piu' intesa riguardo alle vulnerabilita'.IMHO ovviamente
  • Anonimo scrive:
    AGS - I divieto sull'analisi del codice
    Ovvero altra grandissima str*nzata, vietare di analizzare il codice che dovrebbe venire eseguito sui proprio sistemi è una assurdità.Capisco non divulgare il codice sorgente, dove potrebbero essere state usate particolari tecniche e che è molto facilmente sfruttabile, ma vietare di guardare il codice macchina, che dovrebbe essere semplicemente quello matematicamente più efficente per eseguire i compiti per cui il software è stato progettato, è una stronzata grandissima.Ma davvero ci sono leggi che permettono tali clausole nelle licenze?
  • Anonimo scrive:
    5 --
  • Anonimo scrive:
    ha fatto il suo dovere
    "dimettersi e divulgare quella che, a suo dire, è "una vulnerabilità che potrebbe mettere in ginocchio le reti di mezzo mondo" mi sembra giusto e' lo spirito da seguire per correggere il software nascondere serve solo a fare la fortuna degli "scassinatori" divulgare permette a tutti di mettersi in allerta
    • godzilla scrive:
      Re: ha fatto il suo dovere
      - Scritto da: Anonimo
      "dimettersi e divulgare quella che, a suo dire, è
      "una vulnerabilità che potrebbe mettere in
      ginocchio le reti di mezzo mondo" mi sembra
      giusto e' lo spirito da seguire per correggere il
      software nascondere serve solo a fare la fortuna
      degli "scassinatori" divulgare permette a tutti
      di mettersi in allertadi norma si da il tempo di patchare e aggiornare prima di gridarlo ai quattro venti. giusto per non dare vantaggio ad un eventuale attacker che possa venire a conoscenza dell'exploit e sfruttarlo prima che io cliente abbia applicato la patch. non tutti stanno dietro a tutti gli advisories di sicurezza... mentre probabilmente i cracker molto più degli altri!
      • Anonimo scrive:
        Re: ha fatto il suo dovere

        di norma si da il tempo di patchare e aggiornare
        prima di gridarlo ai quattro venti.A quanto pare lui li aveva gia' contattati invano.In ogni caso se io trovo un bug non ho alcun dovere anzi divulgando il tutto faccio un favore (diretto od indiretto) a chi ha scritto il software vulnerabile.Contattare il vendor e' una cosa gradita ma assolutamente non una "norma" come tu la definisci.
        • godzilla scrive:
          Re: ha fatto il suo dovere
          - Scritto da: Anonimo

          di norma si da il tempo di patchare e aggiornare

          prima di gridarlo ai quattro venti.

          A quanto pare lui li aveva gia' contattati invano.
          In ogni caso se io trovo un bug non ho alcun
          dovere anzi divulgando il tutto faccio un favore
          (diretto od indiretto) a chi ha scritto il
          software vulnerabile.
          Contattare il vendor e' una cosa gradita ma
          assolutamente non una "norma" come tu la
          definisci.dopo che alcune società di sicurezza sono state denunciate per aver divulgato pubblicamente le vulnerabilità? io ci penserei due volte...con questo non avallo il gesto della persona cmq, che sia chiaro. poteva sicuramente risparmiarsela.
  • Anonimo scrive:
    E perchè si arrabbiano?
    Se come dicono loro le falle erano vecchie e sarebbero già state corrette?O forse sotto sotto c'è qualcos altro ?
    • The_Stinger scrive:
      Re: E perchè si arrabbiano?
      - Scritto da: Anonimo
      Se come dicono loro le falle erano vecchie e
      sarebbero già state corrette?
      O forse sotto sotto c'è qualcos altro ?La paura di dover effettuare un richiamo per qualche milione di pezzi sparsi per il globo (con i relativi costi)?Sarà quello?:|
      • godzilla scrive:
        Re: E perchè si arrabbiano?
        - Scritto da: The_Stinger
        - Scritto da: Anonimo

        Se come dicono loro le falle erano vecchie e

        sarebbero già state corrette?

        O forse sotto sotto c'è qualcos altro ?

        La paura di dover effettuare un richiamo per
        qualche milione di pezzi sparsi per il globo (con
        i relativi costi)?
        Sarà quello?
        :|non è un problema hardware, mi pare... perché avrebbero dovuto fare un richiamo, secondo te?
        • The_Stinger scrive:
          Re: E perchè si arrabbiano?
          - Scritto da: godzilla
          non è un problema hardware, mi pare... perché
          avrebbero dovuto fare un richiamo, secondo te?Ti rispondo con quello che mi ha detto il responsabile sicurezza qui in ufficio (gran manico sulla configurazione di tutti i prodotti Cisco).***********Mi****a!Aggiornare IOS non è mica uno scherzetto da un c***o!Col contratto che abbiamo voglio qui DOMANI un loro tecnico.***********Adesso moltiplicalo per almeno il 50% di tutta la base di installato di Cisco.Di quanti tecnici BRAVI dovrebbero aver bisogno?Un esercito.Ce li hanno?NO.
          • Anonimo scrive:
            Re: E perchè si arrabbiano?
            - Scritto da: The_Stinger
            - Scritto da: godzilla


            non è un problema hardware, mi pare... perché

            avrebbero dovuto fare un richiamo, secondo te?

            Ti rispondo con quello che mi ha detto il
            responsabile sicurezza qui in ufficio (gran
            manico sulla configurazione di tutti i prodotti
            Cisco).

            ***********
            Mi****a!
            Aggiornare IOS non è mica uno scherzetto da un
            c***o!
            Col contratto che abbiamo voglio qui DOMANI un
            loro tecnico.
            ***********
            Adesso moltiplicalo per almeno il 50% di tutta la
            base di installato di Cisco.

            Di quanti tecnici BRAVI dovrebbero aver bisogno?
            Un esercito.
            Ce li hanno?
            NO.Voi ignoranti informatici gridate al guru non appena vedete una scimmia che sà fare qualcosina più di voi.Aggiornare l' IOS prevede 2 comandi e 10 minuti.IGNORANTI.
          • Anonimo scrive:
            Re: E perchè si arrabbiano?

            Voi ignoranti informatici gridate al guru non
            appena vedete una scimmia che sà fare qualcosina
            più di voi.

            Aggiornare l' IOS prevede 2 comandi e 10 minuti.

            IGNORANTI.Hai ragione, richiede due comandi e al massimo di*** Destination unreachable - No route to host ***
  • Anonimo scrive:
    Siamo al delirio !
    Invece di correre a fixare il problema e cercare di fare una bella figura questi fanno causa a chi ha trovato il bug, roba da pazzi !Comunque quando dice che lo IOS e' un po "improvvisato" non ha tutti i torti, specialmente sulle macchine grosse e' un caos completo tra fork, branch, subminor delle versioni. Ogni volta che si deve fare un aggiornamento lo dobbiamo sempre provare su macchine equivalenti labs.
    • THe_ZiPMaN scrive:
      Re: Siamo al delirio !
      - Scritto da: Anonimo
      Invece di correre a fixare il problema e cercare
      di fare una bella figura questi fanno causa a chi
      ha trovato il bug, roba da pazzi !All'americana. Nulla di cui stupirsi; il problema è che a fronte delle recenti iniziative di pagamento dei bug hunters di queste mega stronzate ce ne saranno decine.
Chiudi i commenti