Roma – Alcune delle più diffuse implementazioni di XDR (External Data Representation), un protocollo standard di Internet per la comunicazione fra processi di sistema, soffrono di una grave vulnerabilità che, secondo gli esperti, mette a serio repentaglio la sicurezza di un numero relativamente alto di computer connessi alla Rete.
La vulnerabilità, scoperta dalla società di sicurezza eEye Digital Security , consiste in un buffer overflow che può essere sfruttato da malintenzionati per effettuare attacchi di tipo denial of service o per seguire sul sistema remoto codice a propria scelta.
La gravità di questa falla è amplificata dal fatto che essa riguarda una funzione originariamente sviluppata da Sun per la sua network services library (libnsl) e poi ripresa in alcune delle più diffuse librerie open source, fra cui tutte quelle derivate dalla libc di BSD con le routine XDR/RPC e la glibc di GNU C con sunrpc.
Fra i sistemi operativi di cui è già stata accertata la vulnerabilità ci sono Solaris e AIX di IBM, mentre diversi altri produttori stanno ancora investigando. Il team di sviluppo di Kerberos, il noto protocollo di autenticazione del MIT, sostiene che la falla potrebbe permettere ad un aggressore di mandare in crash il demone kadmind e, eventualmente, di ottenere informazioni sensibili, come chiavi segrete. Attacchi di questo tipo vengono però definiti dal team del MIT come “improbabili”.
Per maggiori informazioni è possibile consultare l’ avviso di sicurezza pubblicato dal CERT.
-
qui la patch Win9x/Me italiano
http://download.microsoft.com/download/9/6/0/9601497a-01cb-4d62-8702-930fe25bc816/js56mit.exeAnonimoNon sono "script Java"
> Microsoft ha avvisato i propri utenti che tutte le> versioni di Windows a partire dalla 98 contengono> una seria falla di sicurezza nel motore che esegue> gli script JavaJScrip = JavaScript = ECMAScript non c'entra nulla con Java.AnonimoRe: Non sono "script Java"
- Scritto da: Anonimo> > Microsoft ha avvisato i propri utenti che> tutte le> > versioni di Windows a partire dalla 98> contengono> > una seria falla di sicurezza nel motore> che esegue> > gli script Java> > JScrip = JavaScript = ECMAScript non c'entra> nulla con Java.JScript = ECMAScript ?Da quel ce ne so non è così, ECMAScript è lo standard ISO mentre JScript è il javascript MS, un subset molto più più ampio...Ciao gsamAnonimoQual'è il problema...
windows update di win2000 - XP provvede automaticamente a scaricare e installare la patch di protezione.AnonimoRe: Qual'è il problema...
sipinfatti ieri mattina mi ha aggiornato il sistemache non sia proprio questa falla?cmq una cosa si può dire, è utile ma gli aggiornamenti sono frequenti e costanti... e questo non penso sia un buon sintomoe cmq a mè sto servizio mi dà tanto dello spywareAnonimoRe: Qual'è il problema...
- Scritto da: Anonimo> sip> infatti ieri mattina mi ha aggiornato il> sistema> > che non sia proprio questa falla?> > cmq una cosa si può dire, è utile ma gli> aggiornamenti sono frequenti e costanti... e> questo non penso sia un buon sintomo> > e cmq a mè sto servizio mi dà tanto dello> spywarePersonalmente ho disabilitato gli aggiornamenti automatici, preferisco fare da solo. Verifico la presenza di un aggiornamento, cerco notizie, se non sembra creare casini lo installo.Skin BracerRe: Qual'è il problema...
- Scritto da: Anonimo> sip> infatti ieri mattina mi ha aggiornato il> sistema> > che non sia proprio questa falla?> > cmq una cosa si può dire, è utile ma gli> aggiornamenti sono frequenti e costanti... e> questo non penso sia un buon sintomo> > e cmq a mè sto servizio mi dà tanto dello> spywarenoooooooooooooooooooooooooscherzerai!!!AnonimoRe: Qual'è il problema...
- Scritto da: Anonimo> windows update di win2000 - XP provvede> automaticamente a scaricare e installare la> patch di protezione.Il problema è che col mio povero 56K sono già indietro di 5/6 patch :(Non riesco a starci dietro.gerryEcco la patch
http://www.linuxiso.orgAnonimoRe: Ecco la patch
http://www.affanculo.org/indexflash.htmlAnonimoRe: Ecco la patch peccato che quelle van
no scaricate a parte.si poi vai su securityfocus e piangi, oltre a i vari buchi nel kernel vero e proprio, vogliamo mettere e contare tutti i buchi nei sw open a contorno delle varie distro, kde, gnome, bind, ecc....AnonimoLa soluzione
Ai sistemi M$ c'è ed è riportata guarda il caso su PI.Leggere con attenzione l'articolo su NetBSD e cliccare sulle pagine proposte.Poi fare un confronto. Sconfortante .............. per M$.AnonimoRe: La soluzione per chi
tu sai installare un netbsd si, io e il 99% degli utilizzatori di pc no, quindi che serve fare questi paragoni, poi lo vedo già uno che deve lavorare con fogli elettronici, usare netbsd, e come usare un carro armato per andare a fare la spesa.quando fate questi paragoni mettete in evidenza tutta la vostra ignoranzaAnonimoJscript = script java ???
Per favore corregete l'errore nel abstract del titolo!!!AnonimoRe: Jscript = script java ???
fatto, grazie.la redazioneopenari non è che voi siete messi meglio
Grossa falla in una diffusa libreria di Sun, presente inoltre nelle versioni open di questa libreria, ed usate anche il linuz ecc....quindi che dire, non perdete tempo in commenti e andate a paccare ricompilare ops reinstallare tutto ehehehehio non ho problemi win update stamattina e partito e a differenza di voi sono già sicuro come in una botte di ferro.AnonimoRe: openari non è che voi siete messi me
Sei sicuro che l'update ti renda del tutto sicuro?oppure, come qualche giorno, fa hai dovuto fare l'update di una patch che non era stata corretta in modo perfetto????'Mah.AnonimoRe: openari non è che voi siete messi meglio
Bhe, il fatto che anche in linux ci sono bug è ok.Il fatto che win update consanta di patchare subito ok (l'ha fatto anche a me ieri sera)Il fatto che tu sia in una botte di ferro è invece discutibile perchè fra 5 giorni ci sarà un'altra patch a un bug che ti ha lasciato scoperto dal 98 ad oggi.Cosa che comunque accadrà anche con linux, magari fra qualche settimanaAnonimoRe: openari non è che voi siete messi meglio
- Scritto da: Anonimo> Il fatto che tu sia in una botte di ferro è> invece discutibile perchè fra 5 giorni ci> sarà un'altra patch a un bug che ti ha> lasciato scoperto dal 98 ad oggi.> Cosa che comunque accadrà anche con linux,> magari fra qualche settimanaIn verità sta accadendo adesso.P.I. non ha ancora riportato la notizia, che è cmq di un paio di giorni fa:19/03/2003 Security hole found in Linux <> Giusto per la cronaca.Zeross ZerossRe: openari non è che voi siete messi me
- Scritto da: Zeross> - Scritto da: Anonimo> > Il fatto che tu sia in una botte di ferro> è> > invece discutibile perchè fra 5 giorni ci> > sarà un'altra patch a un bug che ti ha> > lasciato scoperto dal 98 ad oggi.> > Cosa che comunque accadrà anche con linux,> > magari fra qualche settimana> > In verità sta accadendo adesso.> P.I. non ha ancora riportato la notizia, che> è cmq di un paio di giorni fa:Se non sbaglio e' un attacco che puo' essere portato a buon fine solo se l'utente ha accesso alla macchina (Detto da profani "ha una shell") al momento del caricamento di un modulo da parte del Kernel (W i kernel monolitici :-D !).Lungi da me voler minimizzare il BUG (Guadagnare i privilegi di root dovrebbe far venire i brividi a chiunque), mi pare comunque sia piu' difficile da "exploitare" rispetto al BUG di ISA Server.GiamboRe: openari non è che voi siete messi meglio
- Scritto da: Anonimo> Bhe, il fatto che anche in linux ci sono bug> è ok.> Il fatto che win update consanta di patchare> subito ok (l'ha fatto anche a me ieri sera)> Il fatto che tu sia in una botte di ferro è> invece discutibile perchè fra 5 giorni ci> sarà un'altra patch a un bug che ti ha> lasciato scoperto dal 98 ad oggi.> Cosa che comunque accadrà anche con linux,> magari fra qualche settimanae allora i buchi presenti e non ancora scoperti, le insicurezze insite nello stack TCP/IP ben conosciute da anni, non sfruttabili anni fa per scarsa potenza dei pc, ma oggi chi sa.io attualmente mi considero in una botte di ferro vista anche la sicurezza al contorno che utilizzo firewall, antivirus e per le parti più esposte IDS.che dire di più tu puoi bindare quello che vuoi ma poi l'ex dipendente con la sua scheda magnetica ti entra nella stanza del server e appicca il fuoco, e la botte diventa una grigliata di nastri.la sicurezza e relativa io relativamente mi sento in una botte di ferro.AnonimoRe: openari non è che voi siete messi me
- Scritto da: Anonimo> Grossa falla in una diffusa libreria di Sun,> presente inoltre nelle versioni open di> questa libreria, ed usate anche il linuz> ecc....Gia' patchata, grazie. Ah, non ho avuto un BSOD come con l'ultima patch della Microsoft.> quindi che dire, non perdete tempo in> commenti e andate a paccare ricompilare ops> reinstallare tutto ehehehehEhehehehe, mi fai sbellicare dalle risate ! Troppo forte, sei !> io non ho problemi win update stamattina e> partito e a differenza di voi sono già> sicuro come in una botte di ferro.Per un paio di giorni (Ore ?), almeno.GiamboRe: openari non è che voi siete messi me
- Scritto da: Claster> TrollingRedazione la voce del menu che vedo qui a fianco 'forum degli OT e dei troll' è li per qualche motivo ?AnonimoRe: openari non è che voi siete messi me
> io non ho problemi win update stamattina e> partito e a differenza di voi sono già> sicuro come in una botte di ferro.HAHAHAHAHAHAHAHAHAHAHAHAHAHAHHHAAHHHHAAAAAnonimoLinuxari perché nessuno sparla di SUN?
Avete letto che anche SUN ha un grosso problema di security? L'altro giorno un altro problema nel suo application server... eppure nessuno di voi ne parla male...Il vostro è "pregiudizio"... e non una serena discussione tecnica...AnonimoRe: Linuxari perché nessuno sparla di SU
- Scritto da: Anonimo> Avete letto che anche SUN ha un grosso> problema di security?E allora ? Qui, se non mi sbaglio, si parla di Microsoft.Se proprio insisti, pero' possiamo pure parlare della Juve o delle tette di Kate Moss ...GiamboRe: giambo ti prego sei lamer
evita qualsiasi commento non hai le conoscenze e le capacita, oggi e venerdi ricordati di chiedere la paghetta alla mamma, se no come vai al pub staseraAnonimoRe: giambo ti prego sei lamer
- Scritto da: Anonimo> > evita qualsiasi commento non hai le> conoscenze e le capacita, oggi e venerdi> ricordati di chiedere la paghetta alla> mamma, se no come vai al pub staseraBravo, hai fatto il tuo teatrino, ora raccogli le monetine e sparisci: Da noioso stai diventanto antipatico con questo tuo comportamento infantile.GiamboRe: Linuxari perché nessuno sparla di SU
Forse perchè se ne parla, appunto, nell'articolo dopo?E poi quale legame tra Sun e Linux!?!?!?!?AnonimoRe: Linuxari perché nessuno sparla di SU
- Scritto da: nesar> Forse perchè se ne parla, appunto,> nell'articolo dopo?>Non so' se hai notato, ma al momento, su qella notizia non c'e' nemmeno un commento. Secondo te dove si possono trovare i Linuxari? Naturalmente dove si puo' parlare male di MS. :-)> E poi quale legame tra Sun e Linux!?!?!?!?[Cut]La gravità di questa falla è amplificata dal fatto che essa riguarda una funzione originariamente sviluppata da Sun per la sua network services library (libnsl) e poi ripresa in alcune delle più diffuse librerie open source, fra cui tutte quelle derivate dalla libc di BSD con le routine XDR/RPC e la glibc di GNU C con sunrpc.[/Cut]GNU sara' anche Not Unix, mi sembra pero' che sia molto Linux. :-)AnonimoRe: Linuxari perché nessuno sparla di SUN?
> Avete letto che anche SUN ha un grosso> problema di security? L'altro giorno un> altro problema nel suo application server...> eppure nessuno di voi ne parla male...E' un fenomeno sociologico ben noto.Il piu' grasso sta sempre sul caxxo.Tutti tifano per Davide e nessuno per Golia.Aggiungi il fatto che qui Golia (M$) e' pure scorretto e fa uso sistematico di colpi bassi ... ci sono tutti gli ingredienti per identificarlo con "il cattivo".Quando poi finanzia le campagne elettorali di entrambi i candidati alla presidenza USA e ne ottiene un riesame piu' che benevolo della condanna per le sue malefatte, l'ingiustizia fa ribollire lo spettatore.Aggiungi a questo i sorrisi a 48 denti di S.Ballmer che nell'ennesimo comunicato stampa si dice soddisfatto perche' la giustizia finalmente ha trionfato (in quello prima aveva velatamente minacciato di non garantire + il futuro agli utenti M$ se la sentenza non fosse stata corretta).Neanche Spielberg saprebbe rendere cosi' antipatico un personaggio di un film.> Il vostro è "pregiudizio"... e non una> serena discussione tecnica...Eh eh .. e tu sei l'avvocato del diavolo. Rassegnati.AnonimoRe: SUN zitto zitto ci da i soldi vuoi p
arlarne male e che sei pazzo.ma sai quando poi compri una loro macchina e per una scheda di rete (identica ad una scheda per pc con solo il marchio del sole che si arrichisce) aggiuntiva ti chiedono più di 500 euro, qualche parolina ti viene.beati voi linari openari i vostri serverozzi del menga girano su vecchi pentium, ma quando ci vuole qualcosa di veramente robusto su cui far girare il vostro pattume open, sotto IBM e sun finite e li son dolori, altro che billAnonimoRe: SUN zitto zitto ci da i soldi vuoi p
- Scritto da: Anonimo> arlarne male e che sei pazzo.> > ma sai quando poi compri una loro macchina e> per una scheda di rete (identica ad una> scheda per pc con solo il marchio del sole> che si arrichisce) aggiuntiva ti chiedono> più di 500 euro, qualche parolina ti viene.> > beati voi linari openari i vostri serverozzi> del menga girano su vecchi pentium, ma> quando ci vuole qualcosa di veramente> robusto su cui far girare il vostro pattume> open, sotto IBM e sun finite e li son> dolori, altro che billparole sante fino a che usi un pc intel allora il linaro va di gratuito, ma quando le cose si fanno serie allora sono doloriAnonimoRedazione: ATTENZIONE agli svarioni!!
lla newsletter chiamate i Javascript (Jscript per casa M$) "Script Java", uno svarione degno di quelli storici di Repubblica et similia.Attenti a cosa scrivete, fate la figura dei cioccolatai.BiroBiroperchè in linux non ci sono tante falle
rchè non lo caga nessuno.. mentre windows lo usano tutti secondo voi gli hacker dove si dirigono a scoprire le falle ?AnonimoCHE PALLE !!!!!!!!!!
Linux e meglio Windows e' peggio FreeBSD e meglio di tutti pero' anche Solaris ha i suoi bachi . . . . . e basta !!!!Non c'e' un software che non abbia bachi a questo mondo, sfido chiunque a scrivere u SO composto da milioni di righe di codice che non abbia un baco.Ogni volta e' la stessa storia e MS fa schifo, io mondo Open e meglio e viceversa. Fossi in punto informatico non pubblicherei nemmeno questi articoli. Le patch escono per tutti i sistemi tutti i santi giorni fine ognuno si patchi il suo sistema in silenzioAnonimoRe: CHE PALLE !!!!!!!!!!
Hai ragione ma:1) PI in questo modo sarebbe accusabile di on fornire una informazione di tipo indipendente e completo2) I trolloni non si divertirebbero più3) Le pagine di PI perderebbero un sacco di traffico.Indi per cui.....Se sei stufo delle "battaglie" verbali tra i sostenitori delle varie "parti" in causa, puoi non aprire il forum e limitarti a leggere le notizie. Ciao !PS = Continua così PI !AnonimoRe: CHE PALLE !!!!!!!!!!
Hai ragione il mio era solo uno sfogo ;-)AnonimoRe: CHE PALLE !!!!!!!!!!
Sposta di qualche centimetro in altoa destra il puntatore del mouse, fai clicksul bottone con la XAnonimoSono molto contento
Scusatemi tanto eh.Ma il porblema qual'è? Sono ben contento che sia emerso questo problema. Anzi, adesso mi informo un po meglio e poi applico la soluzione che mi pare migliore e non è detto che debba applicare una patch.Grazie P.I., grazie MS.>LuPenAnonimoPerchè questa vulnerabilità è peggiore
Bug RPC: 5% degli utenti internet. Inoltre, e più importante: NORMALMENTE RPC non è molto usato. Bug javascript: 95% degli utenti internet...e ... quanto è usato il javascript? Quando si vuole essere il mercato di punta, bisogna essere in grado di assumerne le responsabilità!AnonimoCome mai il buco in linux non è stato
pubblicato, anzi per meglio dire, i buchi che a migliaia vengono scoperti nei sw open perchè non raggiungono la notorieta di quelli dei SW close.si e pur vero che chi usa queste immondizie sono in pochi, ma non pubblicare niente non puo dare all'openaro utonto un falso senso di sicurezza.il manager poco accorto che voglia tentare la strada dell'open (influenzato dalla sirena openara) potrebbe scoprire troppo tardi che i soldi investiti in migrazioni ed altro sono serviti solamente per finire dalla padella alla brace.meditate gente meditateAnonimoRe: Come mai il buco in linux non è stato
- Scritto da: Anonimo> pubblicato, anzi per meglio dire, i buchi> che a migliaia vengono scoperti nei sw open> perchè non raggiungono la notorieta di> quelli dei SW close.> si e pur vero che chi usa queste immondizie> sono in pochi, ma non pubblicare niente non> puo dare all'openaro utonto un falso senso> di sicurezza."il buco in Linux" Intendi dire un buco nel kernel? Se ce ne fosse uno sarebbe gia stato sistemato. E poi, serve che lo vengano a dire a te, che usi windows? Anche se fosse, è sufficiente che tu vada a cercarti i bug report."non raggiungono la notorietà di quelli dei SW close"Cioè, fammi capire: tu usi windows e sei contento di sapere che è praticamente un colabrodo e che i suoi bug vengono detti ai quattro venti? Certo, a vantarsi di un bug ce ne vuole...complimentiSe poi ci sono "migliaia" di bug nel software open, figuriamoci in windows. Sappi comunque che le patch che risolvono i bug sono spesso disponibili dopo poche ore. Anche MS dà questa impressione, ma solo perché rende nota la presenza di un bug pochissime ore prima di rilasciare la patch. Almeno fossero stabili, le patch della MS!Non entro nel merito del termine "immondizia".> il manager poco accorto che voglia tentare> la strada dell'open (influenzato dalla> sirena openara) potrebbe scoprire troppo> tardi che i soldi investiti in migrazioni ed> altro sono serviti solamente per finire> dalla padella alla brace.Soldi investiti in migrazioni? Io come moltissimi altri non ho speso assolutamente niente per passare a Linux.E' comunque evidente che il tuo è un tentativo di mascherare l'ennesimo fallimento microsoft.> meditate gente meditateDai, comincia tu! Dacci il buon esempio.stevieRe: stevie ma ci sei o ci fai
> Intendi dire un buco nel kernel? Se ce ne> fosse uno sarebbe gia stato sistemato. Eda mie notizie ci stanno lavorando e afflige versioni del kernel presenti in distribuzioni red hat e SUSE (la suse ma come non era indemagliabile)> poi, serve che lo vengano a dire a te, che> usi windows? Anche se fosse, è sufficiente> che tu vada a cercarti i bug report.commento inutile> "non raggiungono la notorietà di quelli dei> SW close"hai ragione il buco in openssl che ha permesso la violazione di svariati server CVS, e l'inserimento di back door in vari programmi open, se per te non è grave allora che se po di de più, oppure i buchi in bind per prendere il controllo di centinaia di macchine e lanciare attacchi ddos, con blocco di decine di portali e perdite per milioni di euro ecc......> Cioè, fammi capire: tu usi windows e sei> contento di sapere che è praticamente un> colabrodo e che i suoi bug vengono detti ai> quattro venti? Certo, a vantarsi di un bug> ce ne vuole...complimentibo ma sai esprimere un concetto?> Se poi ci sono "migliaia" di bug nel> software open, figuriamoci in windows. Sappi> comunque che le patch che risolvono i bug> sono spesso disponibili dopo poche ore.e grazie li tenete nascosti, quando la ICS rese disponibile le info su un buco di apache ci fu una rivoluzione e proteste da tutta la comunita open (su questo non ho niente da dire mi sembra giusto peccato che se le proteste vengono da MS allora sono guai) > Anche MS dà questa impressione, ma solo> perché rende nota la presenza di un bug> pochissime ore prima di rilasciare la patch.> Almeno fossero stabili, le patch della MS!come volevasi dimostrare l'openaro nega anche l'evidenza,ti comunico che quando puo la comunita open fa la stessa cosa.> Non entro nel merito del termine> "immondizia".vedo che hai capito l'open e un immondizia> > il manager poco accorto che voglia tentare> > la strada dell'open (influenzato dalla> > sirena openara) potrebbe scoprire troppo> > tardi che i soldi investiti in migrazioni> ed> > altro sono serviti solamente per finire> > dalla padella alla brace.> > Soldi investiti in migrazioni? Io come> moltissimi altri non ho speso assolutamente> niente per passare a Linux.la tua azienda non fa niente (utente casalingo) quindi non migra niente, prendiamo un exchange server che gestisce 100 utenti con profili di posta filtri, archivi, programmi che accedendo all'AD gestiscono la reperibilità la presenza in azienda ecc... non redo che siano in blocco trasportabili su un curier ad esempio.bo che dire di più studia lamerone linaroAnonimoRe: stevie ma ci sei o ci fai
- Scritto da: Anonimo> > Intendi dire un buco nel kernel? Se ce ne> > fosse uno sarebbe gia stato sistemato. E> > da mie notizie ci stanno lavorando e afflige> versioni del kernel presenti in> distribuzioni red hatCorretto ieri, bugiardone. > > Se poi ci sono "migliaia" di bug nel> > software open, figuriamoci in windows.> Sappi> > comunque che le patch che risolvono i bug> > sono spesso disponibili dopo poche ore.> > e grazie li tenete nascosti,Uhhhhh, la "Congiura dei Linari Comunisti contro Bill il Benefattore" :-D !Raccontami ancora di quando gli alieni ti hanno rapito e asportato parte del cervello :) ... > bo che dire di più studia lamerone linarobo che dire, sei un caso perso ClasterAnonimoRe: stevie ma ci sei o ci fai
- Scritto da: Anonimo > > Intendi dire un buco nel kernel? Se ce ne> > fosse uno sarebbe gia stato sistemato. E> > da mie notizie ci stanno lavorando e afflige> versioni del kernel presenti in> distribuzioni red hat e SUSE (la suse ma> come non era indemagliabile)Commento assolutamente privo di utilità. E' _OVVIO_ che il problema affligge le versioni del kernel presenti in praticamente tutte le distribuzioni (anche nella mia, dunque).Che versioni vuoi che ci siano adesso nelle distribuzioni? La 2.6??Tra parentesi io non sono un sostenitore né della suse né della red hat (e se non lo sapessi, cosa molto probabile, non esistono solo red hat e suse).Non ero al corrente di questo bug solamente perché in questi ultimi giorni non ho avuto il tempo materiale di andare a vedere eventuali bug report, altrimenti te l'avrei detto io che c'era questo bug. Probabilmente, quelli di punto informatico non ne sono ancora al corrente. > > poi, serve che lo vengano a dire a te, che> > usi windows? Anche se fosse, è sufficiente> > che tu vada a cercarti i bug report.> > commento inutilePerché? Se voglio sapere se un software che voglio usare ha dei bug, vado sul sito di quel software e vedo un po'.In altre parole, mi documento!! > > "non raggiungono la notorietà di quelli> dei> > SW close"> > hai ragione il buco in openssl che ha> permesso la violazione di svariati server> CVS, e l'inserimento di back door in vari> programmi open, se per te non è grave allora> che se po di de più, oppure i buchi in bind> per prendere il controllo di centinaia di> macchine e lanciare attacchi ddos, con> blocco di decine di portali e perdite per> milioni di euro ecc......Non mi risulta che il software proprietario abbia buchi meno gravi. "Grave falla in Windows 2000" credo voglia dire anche questo. > > Cioè, fammi capire: tu usi windows e sei> > contento di sapere che è praticamente un> > colabrodo e che i suoi bug vengono detti> ai> > quattro venti? Certo, a vantarsi di un bug> > ce ne vuole...complimenti> > bo ma sai esprimere un concetto?Io si, magari sei tu che non ci arrivi. Secondo te cosa vuol dire la frase "Certo, a vantarsi di un bug ce ne vuole...complimenti"? Io questo capisco dal tuo post iniziale: che i bug in un software proprietario raggiungono una certa notorietà, e perciò è il caso di vantarsene. > > Se poi ci sono "migliaia" di bug nel> > software open, figuriamoci in windows.> Sappi> > comunque che le patch che risolvono i bug> > sono spesso disponibili dopo poche ore.> > e grazie li tenete nascosti, quando la ICS> rese disponibile le info su un buco di> apache ci fu una rivoluzione e proteste da> tutta la comunita open (su questo non ho> niente da dire mi sembra giusto peccato che> se le proteste vengono da MS allora sono> guai)Non dire ca**ate. Cosa vuol dire "li tenete nascosti"? Siamo in pochi ad usare software libero, perciò al 90-95% di quelli che usano un computer non frega niente che ci sia un bug in sendmail. Come ho detto sopra, se ti interessa ti vai a leggere i bug che sono stati rilevatie applichi le relative patch.Comunque, qualche giorno fa è stato pubblicato proprio qui un articolo relativo alla presenza di un bug in sendmail.Perciò non sono solo i bug di windows ad essere resi noti.Stammi bene attento: _tutto_ e dico _tutto_ il software open si è sviluppato da alcuni individui NON RETRIBUITI con l'hobby della programmazione e con un certo spirito di condivisione. E' pertanto ammissibilissimo che ci sia più di qualche bug. La M$ è un'azienda che si fa _pagare_ e anche PROFUMATAMENTE per le licenze di windows, office & c. I programmi, dunque, farebbero bene a testarli un pochettino di più.> > Anche MS dà questa impressione, ma solo> > perché rende nota la presenza di un bug> > pochissime ore prima di rilasciare la> patch.> > Almeno fossero stabili, le patch della MS!> > come volevasi dimostrare l'openaro nega> anche l'evidenza,Sorvolo. > ti comunico che quando puo la comunita open> fa la stessa cosa.Mai sentito nominare il BugTraq? Documentati prima di parlare. > > Non entro nel merito del termine> > "immondizia".> > vedo che hai capito l'open e un immondiziaMa allore lo vedi che sei tu che non capisci un c***o? > > > il manager poco accorto che voglia> tentare> > > la strada dell'open (influenzato dalla> > > sirena openara) potrebbe scoprire> troppo> > > tardi che i soldi investiti in> migrazioni> > ed> > > altro sono serviti solamente per finire> > > dalla padella alla brace.> > > > Soldi investiti in migrazioni? Io come> > moltissimi altri non ho speso> assolutamente> > niente per passare a Linux.> > la tua azienda non fa niente (utente> casalingo) quindi non migra niente,> prendiamo un exchange server che gestisce> 100 utenti con profili di posta filtri,> archivi, programmi che accedendo all'AD> gestiscono la reperibilità la presenza in> azienda ecc... non redo che siano in blocco> trasportabili su un curier ad esempio.Dici che sia un grosso costo per un'azienda installare sui suoi server qualcosa tipo Debian GNU/Linux (vai su http://www.debian.org, così ti documenti anche sul BugTraq). E' totalmente gratuita, i pacchetti sono scaricabili da internet come pure gli aggiornamenti di sicurezza, è stabile come una roccia e dei tuoi 100 (100!!!) utenti...come dire... se ne fa un baffo.Le grosse aziende (parliamo di Lucent, Cisco Systems e IBM, ad esempio) passano a linux proprio per motivi di convenienza.> bo che dire di più studia lamerone linaroNon raccolgo l'insulto. Io nel mio post non ti ho offesoPer favore, IMPARA A SCRIVERE:-non si scrive "bo" ma "boh"-quando la "e" è verbo e non congiunzione copulativa, si scrive con l'accento.-le virgole (,) esistono apposta per far prendere un po' di fiato a quelli che leggono.-l'articolo indeterminativo "un" si apostrofa davanti ai nomi di genere femminile.-la "a" di "già" va accentata.La grammatica italiana è una bella cosa. Non stuprarla!Infine, il tuo post non c'entra una beata mazza con l'articolo, che si intitola "Windows in balia di JScript".Aspetto una tua risposta... (se vuoi, e sennò fai tranquillamente a meno, che tanto vivo lo stesso)Regards,SteviestevieRe: Come mai il buco in linux non è stat
- Scritto da: Anonimo> pubblicato, anzi per meglio dire, i buchi> che a migliaia vengono scoperti nei sw open> perchè non raggiungono la notorieta di> quelli dei SW close.--- snip --- LOL grazie ancora.questa volta la trollata l'hai fatta stile berlusconi... peccato che non ci sia a mimicaz.AnonimoRe: Come mai il buco in linux non è stat
Pure tu hai un buco che non è mai stato chiuso......ma che hai capito, parlavo della tua bocca! :)Ecco, prima si spalancare di nuovo questo buco connetti il cervello :)AnonimoRe: Come mai il buco in linux non è stato
prima di tutto a ogni buco grave di linux ce ne sono 10 di windows .. seconda cosa quando un buco viene trovato in Linux spesso e volentieri la stessa persona che lo scova lo corregge e lo segnala tramite bugzilla o cmq al team di sviluppo del software che mette il apkketto corretto on line, tutto questo accade spesso in pochissimo tempo, poi la maggiorparte dei sysadmin Linux non sono dei beoti improvvisati come invce spesso capita dal lato Windows ivi per cui la pericolosita' di una falla per windows in queste condizioni auomenta la sua potenziale pericolosita', come fonte di disastri, esponenzialmente.AnonimoRe: Come mai il buco in linux non è stato
- Scritto da: Anonimo> prima di tutto a ogni buco grave di linux ce> ne sono 10 di windows ehehehhe come no continua ad intortare gli utonti dando questo falso senso di sicurezza.>.. seconda cosa quando> un buco viene trovato in Linux spesso e> volentieri la stessa persona che lo scova lo> corregge e lo segnala tramite bugzilla o cmq> al team di sviluppo del software che mette> il apkketto corretto on line, tutto questo> accade spesso in pochissimo tempo,mi tutto aumma aumma il test chi lo fa, tu.> poi la> maggiorparte dei sysadmin Linux non sono dei> beoti improvvisati come invce spesso capita> dal lato Windowsallora come chiami gli sysadmin che hanno permesso a dei cracker di bucare dei server CVS ed infilare BACK DOOR in vari sw open.per non parlare poi di centinaia di server *nix affetti da buchi di vario tipo sparsi per internet, fai una prova usa un nessus lancia uno scan di vulnerabilità su un piccolo segmento di rete e piangi.Io mi occupo di sicurezza e ti posso garantire che gli sysadmin *inux sono i più arruffoni di tutti, pensano che solo per il fatto di usare un bsd o un linuz, di essere al sicuro ehehehhehe, e poi vado a fare un controllo e trovo di tutto root kit, back door, demoni bind vecchissimi con decine di vulnerabilità ecc...> ivi per cui la> pericolosita' di una falla per windows in> queste condizioni auomenta la sua potenziale> pericolosita', come fonte di disastri,> esponenzialmente.credo che sia vero il contrario i buchi di so come *nix possono rendere cosi difficoltosa la rilevazione di un attacco che in genere (in casi ben documentati) solo dopo mesi si rilevano gli intrusi (dopo che hanno raziato a più non posso dati importanti).AnonimoPatch sospetta...
Chi sa cosa esattamente corregge la patch Q815021, bollettino MS03-007?Secondo me e' mooolto sospetta...All'inizio sembraa servisse per correggere un bug del supporto WebDAV di IIS, ma se si va a guardare la lista dei files aggiornati, si puo' facilmente notare che e' interessato anche il file ntdll.dll....Cioe', viene passato come un bug di IIS un bug del sistema, perche', insieme al kernel, ntdll.dll e' NT!Sapientemente le funzioni in ntdll.dll della patch sono state spostate rispetto all'originale e quindi l'analisi per capire dove era il buco e' pressoche' impossibile.Qualcuno ha idea di cosa _realmente_ viene corretto?E, tra parentesi, veramente un bel comportamento da parte di microsoft... ma si', difendiamola a spada tratta!!AnonymousAnonymousPer la redazione
Se quello che dice l'anonimo sopra è vero, perchè non analizzate la situazione? Sarebbe uno scoop per PI!AnonimoRe: Per la redazione
> Se quello che dice l'anonimo sopra è vero,> perchè non analizzate la situazione? Sarebbe> uno scoop per PI!Ma che razzo dici ?Ma qualcuno legge i bulletin prima di mettersia dire razzate ?Da:http://www.iss.net/issEn/delivery/xforce/alertdetail.jsp?oid=22029"WebDAV is an extension to the HTTP 1.1 protocoldesigned to add distributed authoring and versioncontrol to Web content. The overflow vulnerability in a__path conversion__ function within __NtDLL__, whichis called from a common API exported from the Kernel32library.___However, the specific API in question isreachable through the WebDAV component of IIS 5.0___"Hai scoperto l'acqua calda, bravo!cicoRe: Per la redazione
ciccio, il bollettino M$ e' stato in seguito rettificato, perche' non vai a vedere la lista delle revisioni?Quindi, perche' prima la cosa e' stata tenuta nascosta, facendola passare per altro?AnonymousAnonymousRe: Patch sospetta...
> Chi sa cosa esattamente corregge la patch> Q815021, bollettino MS03-007?> > Secondo me e' mooolto sospetta...Secondo me sei solo un fomentatore> All'inizio sembraa servisse per correggere> un bug del supporto WebDAV di IIS, ma se si> va a guardare la lista dei files aggiornati,> si puo' facilmente notare che e' interessato> anche il file ntdll.dll....Perche' il bug e' dentro a quella DLL> Cioe', viene passato come un bug di IIS un> bug del sistema, perche', insieme al kernel,> ntdll.dll e' NT!Leggo da:http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-007.asp"A security vulnerability is present in a Windows component used by WebDAV, Ntdll.dll, and results because the component contains an unchecked buffer"e anche"WebDAV uses IIS to pass requests to and from Windows 2000. When IIS receives a WebDAV request, it typically processes the request and then acts on it. However, if the request is formed in a particular way, a buffer overrun can result because one of the Windows components called by WebDAV does not correctly check parameters."Come vedi si parla di un C O M P O N E N T Echiamato da WebDAVL'unchecked buffer e' nella ntdll, ma dato che lafunzione incriminata e' chiamata da webdavlo attribuiscono a quello perche' e' l'unico modoper sfruttarlo.Cosa dovevano dire ?Bug nel Kernel bla bla bla cosi' magari qualcunocon IIS lo sottovalutava ?> Sapientemente le funzioni in ntdll.dll della> patch sono state spostate rispetto> all'originale e quindi l'analisi per capire> dove era il buco e' pressoche' impossibile.??analisi ? sei andato a fare un debug dellefunzioni ? hai qualche cosa di consistente ?> Qualcuno ha idea di cosa _realmente_ viene> corretto?Da:http://www.iss.net/issEn/delivery/xforce/alertdetail.jsp?oid=22029"The overflow vulnerability in a path conversion functionwithin NtDLL, which is called from a common APIexported from the Kernel32 library."non vedo perche' dovrei dubitare, questi signorisolitamente si fanno il reverse engineer per capirecosa dovrebbe fare una determinata API> E, tra parentesi, veramente un bel> comportamento da parte di microsoft... ma> si', difendiamola a spada tratta!!No, bello il tuo invece, venire ad insinuaredubbi che non esistono per niente.Certo che la difendo, quanto meno per bilanciareuna certa propaganda insulsa.cicoMa come Spino.....te ne stai muto?
e strano però Spino, se invece di MIcrosozz la notizia fosse stata relativa ad Apple avresti già postato i tuoi soliti commenti negativi...ma per Microsozz invece eh?Ah già..ma tu ti fai le pippe con la foto di un certo Bill (CIAO SFIGATO!!!)Firmato: exWinzozzAnonimoRe: Ma come Spino.....te ne stai muto?
e questo msg cosa dovrebbe significare ?updated: non era colpa mia, dissento-----------------------------------------------------------Modificato dall' autore il 26 aprile 2006 22.37-----------------------------------------------------------cicoRe: Patch sospetta...
- Scritto da: cico> > Sapientemente le funzioni in ntdll.dll> della> > patch sono state spostate rispetto> > all'originale e quindi l'analisi per> capire> > dove era il buco e' pressoche'> impossibile.> > ??> analisi ? sei andato a fare un debug delle> funzioni ? hai qualche cosa di consistente ?> Un semplice diff dei disassemblati..Conosci diff?E' il comando usato da tutti i sysadmin *nix per capire cosa modifica una patch e risalire cosi' direttamente al problema.AnonymousAnonymousRe: Patch sospetta...
> Un semplice diff dei disassemblati..> Conosci diff?> > E' il comando usato da tutti i sysadmin *nix> per capire cosa modifica una patch e> risalire cosi' direttamente al problema.bene e quindi cosa hai ricavato dallatua analisi ?No perche' ripeto: http://www.iss.net/issEn/delivery/xforce/alertdetail.jsp?oid=22029"The overflow vulnerability in a path conversion function within NtDLL, which is called from a common API exported from the Kernel32 library." non vedo perche' dovrei dubitare, questi signori solitamente si fanno il reverse engineer per capire cosa dovrebbe fare una determinata API a me bastano le analisi che fanno questi signoridi mestiere, onestamente credo abbiano unpo' piu' di credibilita' di tecicoogni tanto mi chedo
se windows non avesse integrato internet explorer nel sistema ed avese optatlo per una soluzione esterna, quanti bug in meno avrebbe avuto il signor windows 9x.ho installato win ME (con win98lite, per cui con IE rimosso in parte dalla shell) e sembra ottimo, rispetto a XP è molto piu'. veloce.p.s. come browser uso mozilla 1.3 (dalla 1.3beta è molto migliorato)pippo75Re: ogni tanto mi chedo
mozilla is bug free :-)really funny- Scritto da: pippo75> se windows non avesse integrato internet> explorer nel sistema ed avese optatlo per> una soluzione esterna, quanti bug in meno> avrebbe avuto il signor windows 9x.> > ho installato win ME (con win98lite, per > cui con IE rimosso in parte dalla shell) e> sembra ottimo, rispetto a XP è molto piu'.> veloce.> > p.s. come browser uso mozilla 1.3 (dalla> 1.3beta è molto migliorato)AnonimoRe: ogni tanto mi chedo
- Scritto da: Anonimo> mozilla is bug free :-)> really funny> mozilla non è bug free, ma ha alcuni vantaggirispetto ad OE non riceve tutti i virus, uno del mio paese ogni tanto mi diceva se potevo passare da lui perche' aveva ricevuto un virus, da quando gli ho messo opera non ha piu' questo problema. Io con mozilla posso aprire qualsiasi messaggio senza problemi (non ho ancora avuro problemi con virus o simili)Non ho ancora sentito che con mozilla ci siano stato probllemi di reindirizzamento del collegamento internet verso provider con chiamate intercontinentali.ci sono dei test su internet per provare i firewall, gli stessi li ho fatti con IE, opera e con mozilla, senza il firewall l'unico che mi dava che il sistema non era protetto era con il primo.Sicuramente IE ha dei vantaggi, è quello che supporta il maggior numero di tencologie (VBScript, JScript ed altri), ma non è certo il piu' sicuro.Sicuramente Mozilla non è bugfree, ma rispetto ad IE lo preferisco perche' da meno problemi, sopratutto un suo problema non si deve legare con il resto del sistema.ciaopippo75Grazie, il tuo commento è in fase di approvazioneGrazie, il tuo commento è stato pubblicatoCommento non inviatoGrazie per esserti iscritto alla nostra newsletterOops, la registrazione alla newsletter non è andata a buon fine. Riprova.Leggi gli altri commentiPubblicato il 21 mar 2003Ti potrebbe interessare