Roma – Una grave vulnerabilità scoperta in una libreria comunemente utilizzata nel mondo del software open source, e di Linux in particolare, ha fatto scattare l’allarme rosso fra gli esperti di sicurezza.
La libreria incriminata, zlib, viene utilizzata per la compressione dei dati in svariati campi, dal networking alle immagini, e si trova integrata in centinaia di pacchetti software open source, incluso lo stesso kernel di Linux, il cuore di tutto il sistema. Fra gli altri software che si avvalgono di questa libreria è possibile citare X11, Mozilla/Netscape 6 e Galeon.
La vulnerabilità, scoperta da un ingegnere di Red Hat dietro segnalazione di un utente, consiste in un buffer overflow contenuto nel codice di gestione della memoria della libreria zlib; un bug che, secondo la società di sicurezza Guardian Digital , potrebbe rendere i sistemi interessati vulnerabili ad attacchi da remoto o a denial of service.
Mark Cox, senior director of engineering di Red Hat, ha spiegato che il problema è davvero esteso perché, oltre a Linux, interessa un gran numero di altri sistemi operativi, fra cui BSD e Solaris.
“Lo scenario non è affatto confortante. Questa volta il problema di sicurezza risiede in una libreria utilizzata da un vastissimo numero di applicazioni”, ha detto a Punto Informatico Gabriele D’Angelo, esperto di sicurezza di PortaZero.info . “Nei casi in cui la libreria sia utilizzata dinamicamente è sufficiente sostituirla con una nuova versione che corregga il problema, ma la situazione non è altrettanto semplice quando questa venga utilizzata staticamente: in questo caso l’unica soluzione possibile è quella di ricompilare il programma”.
“E’ bene notare – ha continuato D’Angelo – come in questo caso non si tratti banalmente di un problema di programmazione o di progettazione: la gestione della memoria rimane un problema complesso e i linguaggi di programmazione che lasciano interamente questo fardello sulle spalle del programmatore non aiutano sicuramente ad ottenere applicazioni più sicure”.
Intanto il CERT ha fatto sapere di essersi attivato affinché l’industria, e tutti gli altri soggetti a rischio, vengano a conoscenza della falla e del vasto numero di software da questa interessati.
-
Speriamo...
Speriamo ci aiuti a vivere meglio!Anonimooriente salvaci tu..
speriamo davvero continuino ad usarlo per nobili scopi e non facciano come i nostri "tanto amati" cugini statunitensi che lo avrebbero usato solo per fini bellici!!AnonimoRe: oriente salvaci tu..
mi hai levato le parole di bocca. Speriamo nella saggezza orientale....- Scritto da: zupov> speriamo davvero continuino ad usarlo per> nobili scopi e non facciano come i nostri> "tanto amati" > cugini statunitensi che lo avrebbero usato> solo per fini bellici!!AnonimoRe: oriente salvaci tu..
- Scritto da: georgesfiladini> mi hai levato le parole di bocca. Speriamo> nella saggezza orientale....> > - Scritto da: zupov> > speriamo davvero continuino ad usarlo per> > nobili scopi e non facciano come i nostri> > "tanto amati" > > cugini statunitensi che lo avrebbero usato> > solo per fini bellici!!Ma quale saggezza orientale, ma quali fini bellici, non capite un hacca di ricerca scientifica!! Basti dire che persino la ricerca medica puo' essere a fini bellici.Certo che apparite prevenuti e chiusi di mente: la notizia di pochi giorni fa in merito alle simulazioni di esplosioni atomiche effettuate con un supercomputer negli Stati Uniti vi fanno pensare che siano le prove generali di un uso bellico da parte degli americani? E gli esperimenti climatici non potrebbero benissimo essere usati a fini bellici (e faccio solo un esempio banale banale, prevedere la giornata migliore per far decollare i bombardieri)? Imparate a ragionare!Ma chi vi ha insegnato ad odiare il prossimo in questa maniera incondizionatamenter, ad essere cosi' prevenuti, a cadere in logori luoghi comuni sulla saggezza orientale? Siete proprio indottrinati, come dei talebani.Ah si', gli americani sono cattivi, perche' simulano le bombe mentre gli orientali simulano la pioggia ed il cielo... che bravi questi orientali. Ridicolaggini. Al calcolatore, oltre ad aspetti climatici ed esplosioni vengono anche simulati collassi del sistema immunitario e crolli di edifici e ponti, vengono simulati delitti e distruzioni della terra mediante asteroidi. Anche in Italia, dove tra l'altro la meterologia e' al servizio di fini militari.Se anche e' vero che in circostanze di guerra molte conoscenze vengono usate per fini distruttivi, non vi pare oggettivamente che sia interessante conoscere le conseguenze di eventi distruttivi, anzicche' piombare in logori luoghi comuni, tipo gli americani fanno le bombe e gli orientali praticano lo zen?Non e' forse meglio conoscere come funziona il corpo umano o una bomba atomica e che conseguenze ci possono essere per uno scoppio? Non credete che simili esperimenti possano anche essere cosi' ben realizzati da dissuadere un capo di stato dall'usare armi atomiche? O pensate veramente che tutti i capi di stato siano dei folli e che solo voi abbiate capito che siamo tutti sullo stesso pianeta?Oppure pensate che gli autori del test sull'atomica, sui tifoni e le inondazioni, sul crollo di edifici, sul collasso dei sistemi immunitari, vogliano fare le prove generali per un uso pratico?Se la pensate cosi' per una sola delle mie domande retoriche, siete dei folli che non capite cosa sia la ricerca ed i benefici (diretti ed indiretti) di cui godiamo tutti ogni giorno. Probabilmente noi stessi siamo vivi grazie alla ricerca (si astengano dal commentare i deisti che evidentemente hanno una concezione ben diversa della vita) ed alla sperimentazione che ci ha permesso di apprendere moltissimo su cose brutte e cattive, come i batteri, gli agenti chimici, i fulmini e non ultimo su sciocchezze come la morte per intossicazione radioattiva, ecc. ecc.Spendete meno soldi per collegarvi in rete e spendete meno tempo a scrivere luoghi comuni imparati per sentito dire e usate le vostre risorse per viaggiare nel mondo e conoscere anche la stupidita' orientale, la sua violenza ed aggressivita' e per conoscere anche la saggezza occidentale ed americana.AnonimoRe: oriente salvaci tu..
ti ringrazio di avermi rinfrescato la memoria riguardo ad alcuni utilizzi della simulazione di eventi complessi al computer, sono daccordo con te che noi occidentali tutto sommato siamo delle "decenti" democrazie e non tutti i nostri governanti sono dei folli, e che in oriente non siano tutti dei santerelli; il problema fondamentale e' che noi occidentali, capeggiati dai nostri cugini imperialisti abbiamo storicamente rotto i coglioni a tutto il mondo, dove abbiamo potuto, mentre loro (pensa solo ai cinesi che sono perlomeno il doppio di tutti i gli abitanti dei paesi occidentali e alla loro potenza (gia' anche 4000 anni fa)) si sono semprefatti i loro cazzi anche se avessero potuto certamente farsi quelli di tante altre popolazionicompresi noi!finisco con una considerazione, quale e' il paese che consuma energia pro capite 4 volte piu' di un europeo (che gia' ne consuma a sufficienza!)? .....gli usa!chi ha gli interessi maggiori a non usare energie alternative ed continuare a smerdare il pianeta con il petrolio?.....gli usa!allora, forse sarebbe meglio che fossero loro autilizzare questi super-computer per vedere cosa stanno e stiamo combinando(ormai tutti, occidentali ed orientali!) , prenderne coscienza e cambiare direzione?AnonimoRe: oriente salvaci tu..
Per Ugola: conosci l'inglese? Vatti a leggerehttp://www.latimes.com/news/printedition/la-000017501mar09.story ..cosa dicevi a proposito dell'utilizzo "sano" dei supercomputer da parte dei soliti americani??Molto, molto meglio la saggezza orientale, credimiAnonimo[OT] Matrix!
Earth simulator? un po' come il mainframe di matrix! :-)AnonimoEmozionante!!
Non so cosa darei per far parte di quel progetto.Anonimouna simulazione fatta per il BENE della TERRA...
hahhahahahahahahhahachissa cosa c'e sotto...AnonimoRe: una simulazione fatta per il BENE della TERRA...
- Scritto da: blah> hahhahahahahahahhaha> chissa cosa c'e sotto...Se non sai perche' insinui? Dietrologia a tutti i costi?AnonimoRe: una simulazione fatta per il BENE della TERRA...
Che c'entra la dietrologia ?AnonimoA che serve ?
Che la terra stia sempre peggio lo sappiamo già. Perchè investire in qualcosa che sappiamo, piuttosto che investire per riparare i danni ?AnonimoRe: A che serve ?
- Scritto da: Antibufala> Che la terra stia sempre peggio lo sappiamo> già. Perchè investire in qualcosa che> sappiamo, piuttosto che investire per> riparare i danni ?Basta fare un passetto logico nel ragionamento.Magari serve per capire come sono accaduti certi danni di non chiara origine e a non ripeterli. E quindi magari anche a riparare o contenere i danni gia' esistenti. Tanto difficile?AnonimoRe: A che serve ?
- Scritto da: Ugola> > > - Scritto da: Antibufala> > Che la terra stia sempre peggio lo> sappiamo> > già. Perchè investire in qualcosa che> > sappiamo, piuttosto che investire per> > riparare i danni ?> > Basta fare un passetto logico nel> ragionamento.> Magari serve per capire come sono accaduti> certi danni di non chiara origine e a non> ripeterli. E quindi magari anche a riparare> o contenere i danni gia' esistenti. Tanto> difficile?A me interessa sapere perche' i dinosauri si sono estinti ^_^certo che con tutti i problemi che ha il mondo questa notizia del supercomputer li aggiusta tutti...AnonimoRe: A che serve ?
> Magari serve per capire come sono accaduti> certi danni di non chiara origine e a non> ripeterli. E quindi magari anche a riparare> o contenere i danni gia' esistenti. Tanto> difficile?Peccato che si ripetano tutti !! Molti danno sono già riconosciuti e denunciati, ma i governi non vogliono ascoltare.Mi sembra mera propagandaAnonimo20 Teraflops = 50.000 Pentium a 450 Mhz
Secondo United Devices (www.ud.com), che si occupa di computing power distribuito, per fare 20 Teraflops 'bastano' 50.000 PC .....(Nel progetto sull'antrace "Uncover lead molecular candidates to ultimately develop into a treatment for advanced stage anthrax" hanno partecipato 200.000 PC = 80 Teraflops)AnonimoRe: 20 Teraflops = 50.000 Pentium a 450 Mhz
Gia', ma quello non è un supercomputer, quello è un grid computer. C'è differenza...- Scritto da: paulborile> Secondo United Devices (www.ud.com), che si> occupa di computing power distribuito, per> fare 20 Teraflops 'bastano' 50.000 PC .....> (Nel progetto sull'antrace "Uncover lead> molecular candidates to ultimately develop> into a treatment for advanced stage anthrax"> hanno partecipato 200.000 PC = 80 Teraflops)AnonimoANDANDO OLTRE: CALCOLO DISTRIBUITO
io non capisco perchè invece di costruire computer grandi come un casa e spendere miliardi di ? inutilmente non facciano uso di una rete di calcolo distribuito, qualcosa tipo quelle del Seti@Home, United Devices, www.intel.com/cure per intenderci ;) Certo capisco i limiti a livello di sicurezza considerando l'importanza di tali dati però si potrebbe adottare un sistema di cifratura particolare (un hack di AES che ne so) in modo da risolvere il problema, certo, rimarrebbe da coinvolgere la gente al progetto, ma credo che dando un impronta "agonistica" alla cosa (sistema a punti) ed abbinandovi un evidente utilità pratica (v. United Devices) non si faticherebbe di certo a trovare persone disposte a collaborare :)ps: senza contare che un sistema formato in questo modo (migliaia di pc connessi in rete che si dividono i dati da elaborare) sarebbe anche molto piu' potente e veloce di quasliasi fantascientifico supercomputerAnonimoGrazie, il tuo commento è in fase di approvazioneGrazie, il tuo commento è stato pubblicatoCommento non inviatoGrazie per esserti iscritto alla nostra newsletterOops, la registrazione alla newsletter non è andata a buon fine. Riprova.Leggi gli altri commentiRedazione 12 03 2002
Ti potrebbe interessare