Reply al bug per Eudora

Versioni non recenti ma ancora molto diffuse del celebre client di posta elettronica contengono un buco di sicurezza che può spalancare le porte ai cracker. Una falla stagionata


Roma – Alcune versioni del celebre client di posta elettronica di Qualcomm, Eudora, soffrono di un problema di sicurezza che, secondo gli esperti, potrebbero renderle facile bersaglio dei cracker.

La società di sicurezza che ha scoperto il bug, la giapponese SecurNet Services (SNS), ha spiegato in un recente advisory che le versioni 5.x di Eudora contengono un buffer non verificato nella funzione Reply-To-All (Rispondi a tutti): questa infatti non verifica correttamente la lunghezza della stringa contenuta nei campi From: e Reply-To: .

Un aggressore potrebbe sfruttare il bug per inviare ad un utente una e-mail malevola che, se rispedita attraverso la funzione Reply-To-All , genera un buffer overflow ed esegue del codice qualsiasi con gli stessi privilegi dell’utente locale.

SNS afferma che il problema è stato risolto da Qualcomm a partire dalla recente versione 6.0 di Eudora in lingua inglese, scaricabile da qui : la localizzazione italiana, disponibile presso alcuni distributori nazionali , è per ora ferma alla release 5.0.2.

E’ curioso notare come questa vulnerabilità risalga addirittura al gennaio del 2003, dunque poco meno di un anno fa: SNS afferma infatti di aver ricevuto la conferma ufficiale che il baco era stato risolto solo lo scorso mese.

Eudora, che proprio di recente è giunto alla versione 6.0.1, costa circa 50 dollari, ma può essere utilizzato anche nella versione sponsorizzata, che visualizza un piccolo banner ed è priva delle funzionalità avanzate anti-spam, e nella versione “light”, priva di pubblicità ma con un minor insieme di funzioni.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Anonimo scrive:
    Vogliamo parlare di fatti ?
    Cerchiamo di mettere ordine nelle cose.1. è vero che ci sono altri pacchetti che fanno le stesse cose, a volte meglio.2. è vero che linux ha già qualcosa di simile.3. è vero che SMS esiste da un pezzo.4. è vero che microsoft con SMS aggiunge una cosa UTILE per la propria linea di software.detto questo:microsoft ha sbagliato e continua a sbagliare (a mio avviso) l'idea di sovrasemplificare che porta, specie in ambito server, a complicazioni senza senso quando un amministratore deve fare delle cose particolari (ovvero 9 volte su 10) ma almeno hanno imparato che i wizard non semplificano la vita, tuttaltro, e stanno cercando di rimettersi sulla buona strada.da questo al "daje a microsoft" però ce ne passa, consideriamo che oggi dovrebbe iniziare il tre giorni a porte chiuse in cui l'UE discute con microsoft possibili accordi e soluzioni prima di passare alle sanzioni, e fin li tutto ok.quello che non capisco, e lo dico da utente avanzato di linux che adora gli OS derivati da unix RECENTI (e annovero anche i vari BSD, open source pure loro, per chi non lo sapesse) è la boria di tantissimi "guru" linux che apparte frasi del tipo "RTFM" non sono assolutamente utili per le comunità e, cosa peggiore, SI SPAVENTANO, tant'è che molte volte proprio loro si rifiutano di fare dei faccia a faccia con il "grande satana" microsoft.se preferite linux ok, ma non fate le barricate.... le macchine "out there" sono sia linux che windows e vi posso assicurare, nella vita come nel lavoro, avrete da farle convivere; buttare boria su una perchè "ci stà antipatica" è un modo di fare inaccettabile per la gente matura.Un Linux/Windows user
    • Anonimo scrive:
      Re: Vogliamo parlare di fatti ?
      - Scritto da: Anonimo
      Cerchiamo di mettere ordine nelle cose.
      1. è vero che ci sono altri pacchetti che
      fanno le stesse cose, a volte meglio.
      2. è vero che linux ha già qualcosa di
      simile.
      3. è vero che SMS esiste da un pezzo.
      4. è vero che microsoft con SMS aggiunge una
      cosa UTILE per la propria linea di software.

      detto questo:
      microsoft ha sbagliato e continua a
      sbagliare (a mio avviso) l'idea di
      sovrasemplificare che porta, specie in
      ambito server, a complicazioni senza senso
      quando un amministratore deve fare delle
      cose particolari (ovvero 9 volte su 10) ma
      almeno hanno imparato che i wizard non
      semplificano la vita, tuttaltro, e stanno
      cercando di rimettersi sulla buona strada.
      da questo al "daje a microsoft" però ce ne
      passa, consideriamo che oggi dovrebbe
      iniziare il tre giorni a porte chiuse in cui
      l'UE discute con microsoft possibili accordi
      e soluzioni prima di passare alle sanzioni,
      e fin li tutto ok.
      quello che non capisco, e lo dico da utente
      avanzato di linux che adora gli OS derivati
      da unix RECENTI (e annovero anche i vari
      BSD, open source pure loro, per chi non lo
      sapesse) è la boria di tantissimi "guru"
      linux che apparte frasi del tipo "RTFM" non
      sono assolutamente utili per le comunità e,
      cosa peggiore, SI SPAVENTANO, tant'è che
      molte volte proprio loro si rifiutano di
      fare dei faccia a faccia con il "grande
      satana" microsoft.
      se preferite linux ok, ma non fate le
      barricate.... le macchine "out there" sono
      sia linux che windows e vi posso assicurare,
      nella vita come nel lavoro, avrete da farle
      convivere; buttare boria su una perchè "ci
      stà antipatica" è un modo di fare
      inaccettabile per la gente matura.

      Un Linux/Windows userApprovo tutto, forse perché sono un Linux/Windows user come te?Poldo
  • Anonimo scrive:
    Cos'e' che gli chiedono i loro clienti?
    "I nostri clienti enterprise - ha spiegato il dirigente Microsoft - ci chiedono prodotti più facili da amministrare e più semplici da installare e da utilizzare" Eh gia! ... i loro clienti gli chiedono solo questo, nessuno gli chiede di aumentare la protezione contro i Worm/Virus che ogni giorno rompono le palle e il 8==o, a tutti gli utilizzatori di Internet.Per favore, qualche utente che usa windows, potrebbe cortesemente chiederglielo?Grazie.Bye
    • Anonimo scrive:
      Re: Cos'e' che gli chiedono i loro clienti?
      - Scritto da: Anonimo
      "I nostri clienti enterprise - ha spiegato
      il dirigente Microsoft - ci chiedono
      prodotti più facili da amministrare e più
      semplici da installare e da utilizzare"
      Queste sono richieste fatte da gente che col software ci lavora ....Chiedono questo anche a Linux ... solo che i sorcini non riescono a concepire che un utente non vuole neanche sapere cos'è un kernel ...
      • Anonimo scrive:
        Re: Cos'e' che gli chiedono i loro clien
        La gente che il software lo usa davvero sa cosa conta davvero!Qui si parla di clientela enterprise e strumenti di amministrazione, quindi non esattamente di software per "utonti", anche se a Redmond continuano a pensare che i sysadmin vadano trattati come tali.Se poi le persone che gestiscono un sistema aziendale "non vogliono nemmeno sapere cosa sia un kernel", cambiassero mestiere invece che affidarsi a prodotti che antepongono la semplicità d'uso alla sicurezza.
        • Anonimo scrive:
          Re: Cos'e' che gli chiedono i loro clien
          - Scritto da: Anonimo
          La gente che il software lo usa davvero sa
          cosa conta davvero!
          Qui si parla di clientela enterprise e
          strumenti di amministrazione, quindi non
          esattamente di software per "utonti", anche
          se a Redmond continuano a pensare che i
          sysadmin vadano trattati come tali.
          Se poi le persone che gestiscono un sistema
          aziendale "non vogliono nemmeno sapere cosa
          sia un kernel", cambiassero mestiere invece
          che affidarsi a prodotti che antepongono la
          semplicità d'uso alla sicurezza.Qui sbagli l'approccio al tuo discorso.Per utenti enterprise ci riferiamo al sistema informatico delle aziende, più o meno grandi (quindi non l'utente casalingo).In una grande infrastruttura ci sono un certo numero di amministratori di rete che possono capire cos'è il kernel e tantissimi impiegati più o meno utonti.Ora: l'impiegato medio non vuole e non gli serve capire che cos'è il kernel perché deve poter utilizzare solo determinate cose.A questo punto nasce il problema di come poter amministrare le macchine degli impiegati in maniera semplice e veloce.SMS dovrebbe essere nato per questo.
    • Anonimo scrive:
      Re: Cos'e' che gli chiedono i loro clienti?
      - Scritto da: Anonimo
      "I nostri clienti enterprise - ha spiegato
      il dirigente Microsoft - ci chiedono
      prodotti più facili da amministrare e più
      semplici da installare e da utilizzare"

      Eh gia! ... i loro clienti gli chiedono solo
      questo, nessuno gli chiede di aumentare la
      protezione contro i Worm/Virus che ogni
      giorno rompono le palle e il 8==o, a tutti
      gli utilizzatori di Internet.Fintanto che arrivano le patch prima dei Worm/Virus che approfittano delle vulnerabilità vuol dire che Microsoft lo sta già facendo. Perché dovrei dunque chieder loro una cosa che stanno già facendo?Confrontando le vulnerabilità di Windows 2003 nei primi 150 giorni dal rilascio con Windows 2000 nello stesso periodo, ti accorgi che Microsoft sta lavorando su questo tema anche a livello di progettazione.
  • Anonimo scrive:
    un sistema ben fatto coprirebbe win9x
    un sistema ben fatto, dovrebbe considerare anche i vecchi win9x e vecchie versioni di office, per aiutare a controllare le vulnerabilità.l'integrazione per tenere sotto controllo lerisorse di rete invece mi ricordano languard della GFI
    • Anonimo scrive:
      Re: un sistema ben fatto coprirebbe win9x
      - Scritto da: Anonimo
      un sistema ben fatto, dovrebbe considerare
      anche i vecchi win9x e vecchie versioni di
      office, per aiutare a controllare le
      vulnerabilità.

      l'integrazione per tenere sotto controllo
      lerisorse di rete invece mi ricordano
      languard della GFIUna infrastruttura ben fatta non ha più Win9x dentro! Anche perché non sono più supportati, che patch vuoi distribuirci su?
  • Anonimo scrive:
    ma con w2003server non era già tutto...?
    non era già possibiel fare tutto questo con win2003 server ? e ti consolido i 223 domini in soli 4, e con le group policies bla bla bla ... e risparmiamo con le transazioni ... ... non era già possibile scaricare tutti gli aggiornamenti e fare il deploying?
    • Anonimo scrive:
      Re: ma con w2003server non era già tutto...?
      - Scritto da: Anonimo
      non era già possibiel fare tutto questo con
      win2003 server ? e ti consolido i 223 domini
      in soli 4, e con le group policies bla bla
      bla ... e risparmiamo con le transazioni ...
      ...

      non era già possibile scaricare tutti gli
      aggiornamenti e fare il deploying?In effetti Windows 2003 qualche strumento per l'amministrazione delle reti Microsoft ce l'ha.Però SMS sembra agevolare ancora il compito dell'amministratore.Tra i vantaggi dovrebbe esserci quella di controllare/installare e disinstallare il software installato sui vari client.E' un po come se un giorno dovessi trovarti a dover installare un pacchetto software sulla tua azienda con 200 client. Oppure aggiornare i driver di questo o quel client da una postazione remota.Insomma, dovrebbe velocizzarti in questo genere di operazioni.Non vorrei aver detto una boiata ;-)
      • Anonimo scrive:
        Re: ma con w2003server non era già tutto...?
        - Scritto da: Anonimo
        - Scritto da: Anonimo

        non era già possibiel fare tutto questo
        con

        win2003 server ? e ti consolido i 223
        domini

        in soli 4, e con le group policies bla bla

        bla ... e risparmiamo con le transazioni
        ...

        ...



        non era già possibile scaricare tutti gli

        aggiornamenti e fare il deploying?

        In effetti Windows 2003 qualche strumento
        per l'amministrazione delle reti Microsoft
        ce l'ha.
        Però SMS sembra agevolare ancora il compito
        dell'amministratore.
        Tra i vantaggi dovrebbe esserci quella di
        controllare/installare e disinstallare il
        software installato sui vari client.
        E' un po come se un giorno dovessi trovarti
        a dover installare un pacchetto software
        sulla tua azienda con 200 client. Oppure
        aggiornare i driver di questo o quel client
        da una postazione remota.
        Insomma, dovrebbe velocizzarti in questo
        genere di operazioni.

        Non vorrei aver detto una boiata ;-)dove sarebbe la grande novità?Mac OS X lo fa da un paio d'anni....http://www.apple.com/server/macosx/netboot.html
        • Anonimo scrive:
          Re: ma con w2003server non era già tutto...?

          dove sarebbe la grande novità?
          Mac OS X lo fa da un paio d'anni....
          http://www.apple.com/server/macosx/netboot.htanche SMS lo fa da anni ....
        • Anonimo scrive:
          Re: ma con w2003server non era già tutto...?
          Sveglia Maccartista! Il link che hai postato è il boot dei client da una singola immagine su di un server di rete, una cosa che Windows fa dai tempi di NT. Il SMS è tutta un'altra cosa.A volte se non aveste le fette di tungsteno davanti agli occhi scoprireste che dite delle boiate incredibili, spinti dalla fede!
      • Anonimo scrive:
        Re: ma con w2003server non era già tutto...?
        - Scritto da: Anonimo
        - Scritto da: Anonimo

        non era già possibiel fare tutto questo
        con

        win2003 server ? e ti consolido i 223
        domini

        in soli 4, e con le group policies bla bla

        bla ... e risparmiamo con le transazioni
        ...

        ...



        non era già possibile scaricare tutti gli

        aggiornamenti e fare il deploying?

        In effetti Windows 2003 qualche strumento
        per l'amministrazione delle reti Microsoft
        ce l'ha.
        Però SMS sembra agevolare ancora il compito
        dell'amministratore.
        Tra i vantaggi dovrebbe esserci quella di
        controllare/installare e disinstallare il
        software installato sui vari client.
        E' un po come se un giorno dovessi trovarti
        a dover installare un pacchetto software
        sulla tua azienda con 200 client. Oppure
        aggiornare i driver di questo o quel client
        da una postazione remota.
        Insomma, dovrebbe velocizzarti in questo
        genere di operazioni.

        Non vorrei aver detto una boiata ;-)In Windows 2003 c'è già lo strumento per la distribuzione softare fatta via Group Policy (non limitiamoci alle patch: si distribuisce qualunque software, inclusi script per configurare i client).Ciò che manca in Windows 2003 e che invece c'è in uno strumento come SMS sono funzioni come:- Software e hardware inventory personalizzabile e immagazzinato su DB con la possibilità di farci sopra query e costruire pivot table e similari- Software distribution condizionale, basata sui risultati di una query sulle caratteristiche dell'hardware o del software (per esempio installa questa macro solo a chi ha almeno Office 2003 oppure installa questo database a chi ha almeno 1 GB di disco libero e 256 MB di RAM)- Esito delle installazioni con rollback e actions per installazioni fallite- Possibilità di schedulare le installazioni- Possibilità di sequenziare le installazioni- Gestione della software installation su dispositivi mobile (per esempio i Laptop) collegati con una linea lenta o poco affidabile- ... parecchie altre cose che ora non mi vengono in mente
  • debianaro scrive:
    arrivano i copioni
    RHN Red carpetprogeny currentecc ecc ma guarda un po adesso microsoft si mette a copiare modelli di supporto e update opensourciani :)
    • Anonimo scrive:
      Re: arrivano i copioni
      - Scritto da: debianaro
      RHN
      Red carpet
      progeny
      current
      ecc ecc
      ma guarda un po adesso microsoft si mette a
      copiare
      modelli di supporto e update opensourciani
      :) Dai, zitto... sono anni che esistono questi software e non li fa solo la M$.Quindi non vedo cosa ci sia di strano. Il tuo intervento è nettamente di parte...Purtroppo questi forum di PI sono pieni di gente che si ammazza a colpi di post per sostenere una o l'altra bandiera.E' una brutta roba e non è per niente costruttiva.Sto perdendo la voglia di leggere messaggi come questo :-(SalutiPoldo
      • Anonimo scrive:
        Re: arrivano i copioni
        - Scritto da: Anonimo
        Sto perdendo la voglia di leggere messaggi
        come questo :-(Non ti arrendere! Due anni fa ho letto su punto-informatico un commento che meritava di essere letto, poi purtroppo è stato spostato e ne ho perso le tracce.
        • Anonimo scrive:
          Re: arrivano i copioni
          Ha ragione Poldo. A quanto ne so anche io SMS esiste da diversi anni e non è una copia di qualcos'altro. Se poi qualcuno inventa l'airbag e poi questo viene usato su tutte le macchine non credo ci sia da lagnarsi eh.Vabbè non vale nemmeno la perdita di tempo rispondere ai flamers va...
    • Anonimo scrive:
      Re: arrivano i copioni
      - Scritto da: debianaro
      RHN
      Red carpet
      progeny
      current
      ecc ecc
      ma guarda un po adesso microsoft si mette a
      copiare
      modelli di supporto e update opensourciani
      :) ma de che?SMS esiste da anni e funziona meglio dei tuoi amati software OS.. ma a voi che ve ne frega tanto la vostra unica occupazione è compilare il kernel tutti i giorni
      • Anonimo scrive:
        Re: arrivano i copioni
        - Scritto da: Anonimo

        - Scritto da: debianaro

        RHN

        Red carpet

        progeny

        current

        ecc ecc

        ma guarda un po adesso microsoft si mette
        a

        copiare

        modelli di supporto e update opensourciani

        :)
        le persone piene di merda sono in netta maggioranza in questo forum
        ma de che?
        SMS esiste da anni e funziona meglio dei
        tuoi amati software OS.. ma a voi che ve ne
        frega tanto la vostra unica occupazione è
        compilare il kernel tutti i giorni

      • Anonimo scrive:
        Re: arrivano i copioni
        - Scritto da: Anonimo
        ma de che?
        SMS esiste da anni vero: ne mando almeno un paio al giorno col cellulare
      • Anonimo scrive:
        Re: arrivano i copioni

        ma de che?
        SMS esiste da anni e funziona meglio dei
        tuoi amati software OS.. ma a voi che ve ne
        frega tanto la vostra unica occupazione è
        compilare il kernel tutti i giorni Vero che esiste da anni, meno vero che ci sia ancora qualcuno ad usarlo vista la penosità di tale software. In realtà esistono altri prodotti molto ma molto più validi di SMS. Io conosco per esperienza solo realtà che hanno abbandonato SMS ad esempio per Tivoli.
        • Anonimo scrive:
          Re: arrivano i copioni
          ...o per il sistema di CA. Onestamente non conosco grandi strutture che si affidino a SMS ma sicuramente ce ne sono. Qualcuno ha qualche esempio da fare in Italia?
          • Anonimo scrive:
            Re: arrivano i copioni

            ...o per il sistema di CA. Complimenti a CA... proprio dei bellissimi software...Se prendo una tanica di benzina e la butto sui serverdell'azienda per cui lavoro faccio meno danni deiloro programmi...Uno che ha avuto gli "esperti" di CA in ditta per 7 mesicon tutto il "cacao" possibile ed immaginabile...(e che ha sentito anche di altre aziende a cui gliene hanno combinate di cotte e di crude...)
          • Anonimo scrive:
            Re: arrivano i copioni
            - Scritto da: Anonimo

            ...o per il sistema di CA.

            Complimenti a CA... proprio dei bellissimi
            software...
            Se prendo una tanica di benzina e la butto
            sui server
            dell'azienda per cui lavoro faccio meno
            danni dei
            loro programmi...ma come ... il software che pensa ......
          • Anonimo scrive:
            Re: arrivano i copioni
            - Scritto da: Anonimo
            ...o per il sistema di CA.
            Onestamente non conosco grandi strutture che
            si affidino a SMS ma sicuramente ce ne sono.

            Qualcuno ha qualche esempio da fare in
            Italia?In Italia di casi pubblici non ce ne sono. Comunque ci sono diversi casi in giro per il mondo (li trovi su http://www.microsoft.com/resources/casestudies). Comunque conosco personalmente un paio di grosse banche dove si usa o si utilizzava pesantemente nel passato. Solo che non si possono divulgare i nomi.
    • Anonimo scrive:
      Re: arrivano i copioni

      ma guarda un po adesso microsoft si mette a
      copiare
      modelli di supporto e update opensourciani
      :) ma guarda un po', loro adesso ci guadagnano, e gli altri sucano :-)come sempre!
      • Anonimo scrive:
        Re: arrivano i copioni
        - Scritto da: Anonimo



        ma guarda un po adesso microsoft si mette
        a

        copiare

        modelli di supporto e update opensourciani

        :)

        ma guarda un po', loro adesso ci guadagnano,
        e gli altri sucano :-)
        Loro ci guadagnano x che c'e gente che glieli compra sti software, che a nulla servono se non ha proteggere i loro programmi bacati.Aneddoto:Vado in giro con solo le mutante in inverno, mi busco l'influenza e che faccio? mica mi copro di piu', no!, mi abbono al farmacista e mi faccio mandare l'antibiotico, l'aspirina e lo sciroppo che prendo ogni sera a casa.Il problema (o la fortuna) e' che cosi' non durero' molto.Bye
        • Anonimo scrive:
          Re: arrivano i copioni
          - Scritto da: Anonimo
          Aneddoto:
          Vado in giro con solo le mutante in inverno,
          mi busco l'influenza e che faccio? mica mi
          copro di piu', no!, mi abbono al farmacista
          e mi faccio mandare l'antibiotico,
          l'aspirina e lo sciroppo che prendo ogni
          sera a casa.
          Il problema (o la fortuna) e' che cosi' non
          durero' molto.Ma pensa che storia... mi sa che il malato sei tu.Ovviamente informati prima di sparare perché SMS non fa quello che dici tu... (ti riferisci a SUS per caso??).SMS non è l'unico del suo genere, ce ne sono altri più o meno buoni come qualcuno ricordava in questo forum.Mi dispiace leggere però di interventi che sparano a zero su Microsoft, in qualunque caso.Puoi non condividere le loro politiche, puoi non condividere il modello Closed Source.Ma allora mi chiedo: che c****o intervieni a fare qui se non hai nulla a che vedere su questo mondo, se non ti interessa e soprattutto non sei informato?Non ce l'ho con te... ma in particolare con tutti i linuxiani che fanno la guerra a M$ e a tutti i Microsoftiani che fanno la guerra a Linux.Si parla e chiacchiera proprio come 2 tifoserie di 2 squadre di calcio...Invece di fare discorsi utili, confrontare le diverse tecnologie, migliorare le nostre conoscenze con un rapporto di collaborazione, ci si mette a fare la guerra nei forum....Manco vi pagassero per questo!----Uno che si rompendo a leggere (e scrivere) questi messaggiPoldo
Chiudi i commenti