GnuTLS, falla scoperta e patchata

Un'altra vulnerabilità scovata nella popolare libreria per le connessioni Internet sicure. Un bug potenzialmente pericoloso per cui è già stata distribuita una patch per tutte le versioni supportate

Roma – I ricercatori hanno individuato una nuova vulnerabilità in GnuTLS, importante libreria software del mondo Linux già oggetto di polemiche qualche mese or sono in seguito alla scoperta di un baco che sembrava una vera e propria backdoor della NSA.

La nuova falla è stata scoperta dallo sviluppatore Red Hat Nikos Mavrogiannopoulos, e riguarda il modo in cui la libreria GnuTLS esegue il parsing degli ID di sessione durante l’avvio di una comunicazione su protocolli TLS/SSL. Un ID particolarmente lungo potrebbe scatenare un errore di buffer overflow nel client, portando al crash del sistema o alla possibile esecuzione di codice malevolo.

Mavrogiannopoulos ha già provveduto a rilasciare una patch inclusa in GnuTLS versione 3.1.25, 3.2.15 e 3.3.3, assicurandosi che la libreria tenga in debita considerazione non solo il controllo delle dimensioni dei pacchetti in arrivo come in precedenza, ma anche la lunghezza massima dell’ID di sessione affetto dal bug.

La patch è ovviamente già stata implementata in Red Hat, mentre l’aggiornamento delle versioni vulnerabili di GnuTLS è responsabilità degli utenti, degli amministratori di sistema e degli sviluppatori al lavoro su un ambiente Linux.

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Il Punto scrive:
    La pena.
    Non ha senso ci sono reati ben peggiori rispetto agli attacchi informatici che sono sicuro che neanche ci arrivino all'ergastolo.
    • Leguleio scrive:
      Re: La pena.

      Non ha senso ci sono reati ben peggiori rispetto
      agli attacchi informatici che sono sicuro che
      neanche ci arrivino
      all'ergastolo.La gravità dei singoli reati la decidono i parlamenti e i giudici che irrogano la pena. Sono valori in continuo cambiamento, in base a dove tira il vento e al fatto di cronaca del momento.
  • Etype scrive:
    Fuori dal tempo
    Mentre regna disoccupazione e povertà sociale la vecchia babbiona che vive nello sfarzo,che vive fuori dal tempo che non si è degnata neanche di far visita ad un bimbo malato che gli aveva fatto una esplicita richiesta per incontrarla,tanto che ci è dovuta andare un'attrice al suo posto si permette pure di giudicare un cracker.E il popolo bue che ancora gli va dietro,ancora più penoso.Famiglie reali che hanno più scheletri nell'armadio loro del peggior criminale informatico che tanto si affrettano a condannare.Paura di chi non puoi vedere,di chi non puoi controllare e può diffondere notizie scomode su internet ? :DPaura di un possibile caso Snowden britannico?Vedi babbiona dalla puzza sotto il naso,in alcuni stati degli USA come in altri del mondo esiste già la pena capitale...e mai servita da deterrente ? Non si sono mai verificati omicidi ?Un cracker che provoca vittime ? :D :D :D,perchè dovrebbe ? Cosa gliene viene ? ancora con questa comica del terrorismo ?Un cracker trafuga informazioni,al massimo ti ricatta per denaro o se gli gira pubblica tutto su internet.Babbiona non è ora di uscire dal 1800 ? :D
  • Angelo Branduardi scrive:
    Demenza senile
    E' evidente che raggiunta una certa età le persone non sono più in grado di fare ragionamenti logici...
  • cicciobello scrive:
    Pena capitale in caso di vittime
    Quindi non si sta parlando di chi cracca un videogioco e rivende le copie (o le mette sul suo sito), stiamo parlando di chi manomette sistemi critici: un esempio che mi viene in mente... un cracker si intromette nel sistema informatico di un ospedale, modifica la cartella clinica di qualcuno cambiandone il gruppo sanguigno (magari eri di gruppo 0, ti fanno diventare di gruppo AB: il gruppo 0 può ricevere solo da gruppo 0, il gruppo AB può ricevere trasfusioni da qualunque gruppo); il paziente riceve la trasfusione sbagliata, va in shock anafilattico e muore.In un caso del genere sarebbe effettivamente un omicidio, in cui il sistema informatico è semplicemente un'arma impropria; inoltre, se il cracker non si limitasse a colpire una vittima specifica, ma più di una, anche scelte a caso, allo scopo di ricattare l'ospedale, sarebbe un vero e proprio atto di terrorismo. Non mi sembra affatto sbagliato che per tali crimini venga applicata la pena prevista per omicidio o per terrorismo.
    • Leguleio scrive:
      Re: Pena capitale in caso di vittime

      Quindi non si sta parlando di chi cracca un
      videogioco e rivende le copie (o le mette sul suo
      sito), stiamo parlando di chi manomette sistemi
      critici: un esempio che mi viene in mente... un
      cracker si intromette nel sistema informatico di
      un ospedale, modifica la cartella clinica di
      qualcuno cambiandone il gruppo sanguigno (magari
      eri di gruppo 0, ti fanno diventare di gruppo AB:
      il gruppo 0 può ricevere solo da gruppo 0, il
      gruppo AB può ricevere trasfusioni da qualunque
      gruppo); il paziente riceve la trasfusione
      sbagliata, va in shock anafilattico e
      muore.

      In un caso del genere sarebbe effettivamente un
      omicidio, in cui il sistema informatico è
      semplicemente un'arma impropria; inoltre, se il
      cracker non si limitasse a colpire una vittima
      specifica, ma più di una, anche scelte a caso,
      allo scopo di ricattare l'ospedale, sarebbe un
      vero e proprio atto di terrorismo. Non mi sembra
      affatto sbagliato che per tali crimini venga
      applicata la pena prevista per omicidio o per
      terrorismo.Preferirei vederlo in atto prima, un attacco terroristico di questo genere.A me pare più una barzelletta. Chi ha queste capacità così spiccate, è cioè in grado di inserirsi in un sistema senza lasciare alcuna traccia, trafugherà i dati per rivenderli. Conviene di più.-----------------------------------------------------------Modificato dall' autore il 05 giugno 2014 23.07-----------------------------------------------------------
      • krane scrive:
        Re: Pena capitale in caso di vittime
        - Scritto da: Leguleio
        A me pare più una barzelletta. Chi ha queste
        capacità così spiccate, è cioè in grado di
        inserirsi in un sistema senza lasciare alcuna
        traccia, trafugherà i dati per rivenderli.
        Conviene di più.Non si parla di convenienza, si parla di bravate di ragazzini, in italia gli ospedali sono abbastanza a rischi, ma anche i pannelli autostradali si craccano facile in usa e' una moda.http://ricerca.gelocal.it/tribunatreviso/archivio/tribunatreviso/2004/11/05/TP2PO_TP230.html
        • Leguleio scrive:
          Re: Pena capitale in caso di vittime


          A me pare più una barzelletta. Chi ha queste

          capacità così spiccate, è cioè in grado di

          inserirsi in un sistema senza lasciare alcuna

          traccia, trafugherà i dati per rivenderli.

          Conviene di più.

          Non si parla di convenienza, si parla di bravate
          di ragazzini, in italia gli ospedali sono
          abbastanza a rischi, ma anche i pannelli
          autostradali si craccano facile in usa e' una
          moda.
          http://ricerca.gelocal.it/tribunatreviso/archivio/Ripeto, vorrei proprio vedere fino a dove può arrivare il danno a persone o cose di una simile incursione. Negli ospedali si usano ancora cartelle cliniche su carta, a quanto ne so. Il codice della strada rimane sempre lo stesso, anche con un cartellone autostradale impazzito. Già che hai citato le strade, vorrei ricordare che la moda di fine anni Novanta di gettare sassi dal cavalcavia era sì una ragazzata, era sì letale, ma non richiedeva nemmeno conoscenze informatiche particolari.
          • krane scrive:
            Re: Pena capitale in caso di vittime
            - Scritto da: Leguleio

            Non si parla di convenienza, si parla

            di bravate di ragazzini, in italia gli

            ospedali sono abbastanza a rischi, ma

            anche i pannelli autostradali si craccano

            facile in usa e' una moda.
            http://ricerca.gelocal.it/tribunatreviso/archivio/
            Ripeto, vorrei proprio vedere fino a dove può
            arrivare il danno a persone o cose di una simile
            incursione. Negli ospedali si usano ancora
            cartelle cliniche su carta, a quanto ne so.Ma tu non stai fuori dall'italia ? Appunto non sai niente. Sei rimasto indietro, ormai sta tutto su computer, in caso di ricovero quando esci ti danno il CD con tutti gli esami e le cartelle, ormai e' tutto digitale.E' gia' capitato diverse volte in diversi ospedali in italia, hanno ripristinato i backup ed e' andato quasi tutto a posto.
            Il codice della strada rimane sempre lo stesso,
            anche con un cartellone autostradale impazzito.Certo, che so in caso di incidente con persone in mezzo alla strada dietro a una curva sostituisci gli avvisi di pericolo con "strada sgombra buon viaggio" certo non fa cambiare le regole della strada. Per fortuna al momento continuano ad andare di moda gli avvisi di zombie.
            Già che hai citato le strade, vorrei ricordare
            che la moda di fine anni Novanta di gettare sassi
            dal cavalcavia era sì una ragazzata, era sì
            letale, ma non richiedeva nemmeno conoscenze
            informatiche particolari.Gia' che hai citato le strade hai mai pensato di passare qualche serata a grattar via le rane spiaccicate sull'asfalto ?-----------------------------------------------------------Modificato dall' autore il 06 giugno 2014 10.25-----------------------------------------------------------
          • Leguleio scrive:
            Re: Pena capitale in caso di vittime


            Ripeto, vorrei proprio vedere fino a dove può

            arrivare il danno a persone o cose di una
            simile

            incursione. Negli ospedali si usano ancora

            cartelle cliniche su carta, a quanto ne so.

            Ma tu non stai fuori dall'italia ? Appunto non
            sai niente. Sei rimasto indietro, ormai sta tutto
            su computer, in caso di ricovero quando esci ti
            danno il CD con tutti gli esami e le cartelle,
            ormai e' tutto
            digitale.Non credo sia proprio così. Digitalizzare documenti su carta oramai è un attimo, e i risultati di esami con valori numerici vengono forniti da macchinari computerizzati, quindi nulla di strano. Per il resto, il medico fa le visite e gira in corsia così:[img]http://www.deabyday.tv/data/guides/salute-e-benessere/consigli-in-pi-/Come-usare-la-cartella-clinica-correttamente/image_big_16_9/cartella-clinica.jpg[/img]Molto più spesso che così:[img]http://milano.repubblica.it/images/2010/11/26/181003475-cc22196a-2772-4254-8de6-a506d2715f8b.jpg[/img]E non per cattiva volontà: il fatto è che le cartelle cliniche devono essere visionate anche da personale che non ha una tavoletta in dotazione, e anche da pazienti e familiari di pazienti che non necessariamente hanno conoscenze informatiche.
          • krane scrive:
            Re: Pena capitale in caso di vittime
            - Scritto da: Leguleio


            Ripeto, vorrei proprio vedere


            fino a dove può arrivare il


            danno a persone o cose di una


            simile incursione. Negli ospedali


            si usano ancora cartelle cliniche


            su carta, a quanto ne so.

            Ma tu non stai fuori dall'italia ?

            Appunto non sai niente. Sei rimasto

            indietro, ormai sta tutto su

            computer, in caso di ricovero quando

            esci ti danno il CD con tutti gli

            esami e le cartelle, ormai e' tutto

            digitale.
            Non credo sia proprio così.Fatti tuoi, che mi fr'ga a me ? Stai fuori dall'italia a farti le tue idee guardando guardando i telefilm sui medici.
            Digitalizzare documenti su carta oramai
            è un attimo, e i risultati di esami con
            valori numerici vengono forniti da
            macchinari computerizzati, quindi nulla
            di strano. Per il resto, il medico fa le
            visite e gira in corsia così:
            [img]http://www.deabyday.tv/data/guides/salute-e-b
            Molto più spesso che così:
            [img]http://milano.repubblica.it/images/2010/11/26 :-o
            E non per cattiva volontà: il fatto è che le
            cartelle cliniche devono essere visionate anche
            da personale che non ha una tavoletta in
            dotazione, e anche da pazienti e familiari di
            pazienti che non necessariamente hanno
            conoscenze informatiche.Se non sai cio' di cui si parla puoi anche tacere ehm, non e' che ti pagano a post... O si ?
          • krane scrive:
            Re: Pena capitale in caso di vittime
            - Scritto da: Leguleio


            Ripeto, vorrei proprio vedere fino a
            dove
            può


            arrivare il danno a persone o cose di
            una

            simile


            incursione. Negli ospedali si usano
            ancora


            cartelle cliniche su carta, a quanto ne
            so.



            Ma tu non stai fuori dall'italia ? Appunto
            non

            sai niente. Sei rimasto indietro, ormai sta
            tutto

            su computer, in caso di ricovero quando esci
            ti

            danno il CD con tutti gli esami e le
            cartelle,

            ormai e' tutto

            digitale.

            Non credo sia proprio così. Digitalizzare
            documenti su carta oramai è un attimo, e i
            risultati di esami con valori numerici vengono
            forniti da macchinari computerizzati, quindi
            nulla di strano. Per il resto, il medico fa le
            visite e gira in corsia
            così:

            [img]http://www.deabyday.tv/data/guides/salute-e-b

            Molto più spesso che così:

            [img]http://milano.repubblica.it/images/2010/11/26

            E non per cattiva volontà: il fatto è che le
            cartelle cliniche devono essere visionate anche
            da personale che non ha una tavoletta in
            dotazione, e anche da pazienti e familiari di
            pazienti che non necessariamente hanno conoscenze
            informatiche.E far cancellare i messaggi di risposta non basta a cancellare l'ignoranza.
          • Ingiurioso scrive:
            Re: Pena capitale in caso di vittime
            - Scritto da: Leguleio
            Non credo sia proprio così. Digitalizzare
            documenti su carta oramai è un attimo, e i
            risultati di esami con valori numerici vengono
            forniti da macchinari computerizzati, quindi
            nulla di strano.Solitamente sono sistemi blade Fujitsu con una ridondanza totale delle componenti basati sul PRIMERGY BX600 S3, abbinati al software di virtualizzazione VMware vSphere ADVanced Acceleration Kit for 6 ProXXXXXr e ad una unità storage NetApp. E UPS, tanti UPS e un generatore elettrico possibilmente all'esterno.[img]http://www.fujitsu.com/it/Images/W-CM29168_tcm28-9433.png[/img]Altro che carta e penna...
      • bubba scrive:
        Re: Pena capitale in caso di vittime
        Modificato dall' autore il 05 giugno 2014 23.07
        --------------------------------------------------oh beh e' molto meno fantasioso di quel che puoi pensare... l'attacco a sistemi SCADA e' uno dei trend dello scorso (e quest') anno, ricatti a strutture pubbliche ci son gia' stati.. per dirne un'altra, e' nota la faccenda dell'hacker al defcon che presento' la manipolazione del microinfusore di insulina al defcon.. e ne aveva un altra sui pacemaker... ma, sfiga, e' morto prima di presentar la ricerca :PCmq io le vedo due cose scorrelate, quindi non capisco il pippotto iniziale (e la fame manettara della regina)... se agisci per ricattare un comune o mandare al creatore un tizio diabetico, usare un bazooka, foto compromettenti, un mattone o l'hacking, non e' che cambi molto. O al prox omicidio con un mattone, cambieranno la legge sull'edilizia?
      • ... scrive:
        Re: Pena capitale in caso di vittime
        Modificato dall' autore il 05 giugno 2014 23.07
        --------------------------------------------------io cambeirei volentieri il codice sanguigno di un certo paziente di un certo ospedale di un certo piccolo stato del vicino oriente affacciato sul mediterraneo... servono altri dettagli o avete capito?
    • Etype scrive:
      Re: Pena capitale in caso di vittime
      Lo scenario che dipingi è assolutamente improbabile,magari è più facile che si intrufoli all'interno di una rete per ricattare qualche illustre primario con qualche documento scottante che lo riguarda e lo ricatta,oppure far trapelare situazioni scomode dell'intero ospedale,ecc.
    • Frank scrive:
      Re: Pena capitale in caso di vittime
      "Quindi non si sta parlando di chi cracca un videogioco e rivende le copie (o le mette sul suo sito)"Ma... per come la penso io se ti beccano che cracchi un videogioco è facile che ti fucilano. Viva la democrazia
  • eilioB scrive:
    Inospitali
    Se guardiamo la singola legge (anche se per ora non lo è ancora) non c'è niente di particolarmente pericoloso per le persone oneste.Il problema nel mondo anglofono, e specialmente in quello anglosassone, è che è sempre più difficile essere onesti.La soglia della disonestà si sta abbassando sempre più..
    • prova123 scrive:
      Re: Inospitali
      http://www.affaritaliani.it/economia/uk-paradiso-fiscale111113.html
      • eilioB scrive:
        Re: Inospitali
        Grazie per il link, interessantissimo.Mi sono spiegato male: intendevo che le leggi (che non sono solo quelle economiche) sono sempre più restrittive dell'iniziativa personale, e il controllo sociale si sta avviando al totalitarismo tecnologico: paradossalmente l'inghilterra, patria di Orwell, sta proprio andando a grandi passi nella direzione del Big Brother...Anche in Australia, Nuova Zelanda e Canada anglofono non scherzano.In altre parole, si fa presto ad uscire dalle regole, e le punizioni non sono certo quelle italiane...
  • prova123 scrive:
    Esempio concreto
    un suddito di sua maestà con una cantenna scrocca la connessione wifi della regina, quanti anni di carcere gli danno?
    • Allibito scrive:
      Re: Esempio concreto
      - Scritto da: prova123
      un suddito di sua maestà con una cantenna scrocca
      la connessione wifi della regina, quanti anni di
      carcere gli
      danno?Niente, non è il reato di cui parlano, che appare un tantino più pericoloso.
    • ... scrive:
      Re: Esempio concreto
      - Scritto da: prova123
      un suddito di sua maestà con una cantenna scrocca
      la connessione wifi della regina, quanti anni di
      carcere gli danno?la vecchia babbiona e' cosi tirata coi soldi che non ha ancora messo il wifi.
  • iRoby scrive:
    Snowden britannico
    Hanno paura di uno Snowden britannico?
  • Leguleio scrive:
    Che disastro!
    " Carcere a vita, o persino la pena capitale "Assolutamente no: gli articoli linkati non parlano di death penalty né di capital punishment , che tra l'altro sarebbe impossibile da promulgare perché il 13° protocollo addizionale alla Convenzione europea dei diritti dell'uomo proibisce la pena di morte, in tempi di guerra e di pace.La Convenzione europea dei diritti dell'uomo ha lo status di Costituzione in Gran Bretagna. " Un'inasprimento "Un inasprimento." e se tale sabotaggio causasse vittime umane si potrebbe arrivare alla galera a vita o persino alla pena capitale "Vedi sopra. Questa della pena capitale è una personale invenzione di Luca Annunziata." di parere opposto il ministro Karen Brady "Karen Bradley." garantirà che nel caso di serie attacchi i responsabili ricevano la punizione che meritano "Seri attacchi. Oppure una serie di attacchi.
    • Allibito scrive:
      Re: Che disastro!
      - Scritto da: Leguleio
      " Carcere a vita, o persino la pena
      capitale "

      Assolutamente no: gli articoli linkati non
      parlano di death penalty né di capital
      punishment , che tra l'altro sarebbe
      impossibile da promulgare perché il 13°
      protocollo addizionale alla Convenzione europea
      dei diritti dell'uomo proibisce la pena di morte,
      in tempi di guerra e di
      pace.
      La Convenzione europea dei diritti dell'uomo ha
      lo status di Costituzione in Gran Bretagna.



      " Un'inasprimento "

      Un inasprimento.


      " e se tale sabotaggio causasse vittime umane
      si potrebbe arrivare alla galera a vita o persino
      alla pena
      capitale "

      Vedi sopra. Questa della pena capitale è una
      personale invenzione di Luca
      Annunziata.


      " di parere opposto il ministro Karen Brady "

      Karen Bradley.


      " garantirà che nel caso di serie attacchi i
      responsabili ricevano la punizione che
      meritano "

      Seri attacchi.
      Oppure una serie di attacchi.Da oggi hai un amico in più... o un'amico in più? :-) A parziale difesa, non esistono quasi più i correttori di bozza, oggi i giornalisti si correggono a vicenda gli articoli e come immaginabile, in tutta fretta. Vittime anche loro della crisi...
      • ... scrive:
        Re: Che disastro!
        - Scritto da: Allibito
        A parziale difesa, non esistono quasi
        più i correttori di bozza,Da quando si sono accorti che è più economico usare gli immancabili legulei sparsi in giro per la rete, i correttori di bozze sono diventati ridondanti.
        • Ciccio scrive:
          Re: Che disastro!
          Correttori di bozza o meno, parlare di pena capitale quando nell'articolo originale non se ne parla mi pare un errore abbastanza grave... (gli altri errori invece direi che sono perdonabili).Wikipedia dice che nel Regno Unito la pena di morte è abolita dal 1998.
          • Leguleio scrive:
            Re: Che disastro!

            (gli
            altri errori invece direi che sono
            perdonabili).Il bilancio va fatto sul numero di errori, ben 4, sul numero di righe dell'articolo, 19. L'indice di raffazzonamento si desume da questi dati.
            Wikipedia dice che nel Regno Unito la pena di
            morte è abolita dal
            1998.Nel 1998 per reati comuni e nel 2004 per reati militari.
    • ... scrive:
      Re: Che disastro!
      - Scritto da: Leguleio
      " Carcere a vita, o persino la pena
      capitale "

      Assolutamente no: gli articoli linkati non
      parlano di death penalty né di capital
      punishment , che tra l'altro sarebbe
      impossibile da promulgare perché il 13°
      protocollo addizionale alla Convenzione europea
      dei diritti dell'uomo proibisce la pena di morte,
      in tempi di guerra e di
      pace.
      La Convenzione europea dei diritti dell'uomo ha
      lo status di Costituzione in Gran Bretagna.



      " Un'inasprimento "

      Un inasprimento.


      " e se tale sabotaggio causasse vittime umane
      si potrebbe arrivare alla galera a vita o persino
      alla pena
      capitale "

      Vedi sopra. Questa della pena capitale è una
      personale invenzione di Luca
      Annunziata.e qui il tmille XXXXXXX di brutto, ma brutto brutto brutto.adesso cancella il mio post e lucchetta i thread, un copione gia visto ma che luca ama ripetere ogni volta che ne ha l'occasione.


      " di parere opposto il ministro Karen Brady "

      Karen Bradley.


      " garantirà che nel caso di serie attacchi i
      responsabili ricevano la punizione che
      meritano "

      Seri attacchi.
      Oppure una serie di attacchi.
    • ... scrive:
      Re: Che disastro!
      - Scritto da: Leguleio
      Vedi sopra. Questa della pena capitale è una
      personale invenzione di Luca
      Annunziata.non piu' terribile del fatto che continua a spacciarci maruccia come giornalista...
      • krane scrive:
        Re: Che disastro!
        - Scritto da: ...
        - Scritto da: Leguleio

        Vedi sopra. Questa della pena capitale è una

        personale invenzione di Luca Annunziata.
        non piu' terribile del fatto che continua a
        spacciarci maruccia come giornalista...(rotfl)(rotfl)(rotfl)
Chiudi i commenti