Sicurezza, occhio a SSH e Messenger

Due falle scoperte nei due protocolli. La prima è meno grave di quanto si potrebbe pensare, la seconda un po' più seria. In attesa delle patch dagli sviluppatori

Roma – Due notizie si rincorrono a distanza di poche ore e coinvolgono due dei protocolli più utilizzati in rete: SSH (secure shell protocol) e OCS (Office Communications Server) sono stati entrambi segnalati alle aziende che sviluppano e mantengono i pacchetti e i programmi ad essi collegati come potenzialmente forieri di guai. Che in un caso sono soltanto una recondita possibilità, nell’altro sono una prospettiva più concreta.

Basterebbe infatti inviare un po’ di emoticon in varie chat ad un utente di Windows Live Messenger (o di uno qualsiasi degli altri servizi di messaggistica Microsoft che si appoggiano sul protocollo OCS) per mettere in seria difficoltà l’attaccato: anche un fiume di inviti ( invite flood ) sarebbe in grado di creare problemi al computer del malcapitato, nella migliore delle ipotesi degradandone pesantemente le prestazioni, nella peggiore conducendo direttamente il programma in questione al crash.

Lo stesso dicasi per una serie di richieste RTCP formulate in modo particolare: mancano i dettagli precisi su questa vulnerabilità, scoperta da VoIPshield , visto che l’azienda specializzata in sicurezza ha annunciato di aver comunicato a Microsoft tutte le informazioni necessarie a tappare il bug e di essere in attesa del rilascio di una patch per procedere poi alla diffusione di tutti i particolari su questa notizia.

Stesso discorso vale anche per un buco scovato nella configurazione standard di OpenSSH . Secondo quanto rivelato dal Centre for the Protection of National Infrastructure (CPNI), in alcuni casi sarebbe possibile ottenere 32 bit di testo non cifrato dall’interno di una comunicazione protetta: il tutto tenendo d’occhio i vari stati conseguenti alcuni errori indotti nel protocollo, in modo da ricostruire alcuni comportamenti del flusso di dati tra utente e server.

In ogni caso , le possibilità di riuscire a portare a termine con successo questo tipo di azione sono pochine: 2^-18 , un po’ poche per temere che questo attacco risulti davvero efficace. Dal CPNI fanno sapere che se ci si accontenta di recuperare solo 14 bit, le probabilità di portare a termine l’intrusione aumentano drasticamente: 2^-14 . In definitiva si tratta quindi di un problema di importanza relativa, che per altro può essere facilmente evitato semplicemente modificando il protocollo di cifratura da cipher-block chaining mode ( CBC ) a counter mode ( CTR ). I vari vendor sono comunque già al lavoro per rilasciare una patch.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • marcov scrive:
    ma come
    neanche una trollata su windows vs linuxva be allora la faccio iohttp://www.top500.org/stats/list/32/osfam
  • Il Detrattore scrive:
    la Cina COMANDA !
    beh non capisco dove stia la notizia pero' : se il 90% dell'hardware mondiale e' made in china + taiwan perche' mai loro stessi non dovrebbero essere leader del mercato e della ricerca ?fatevi un giro alla sede R&D della Microsoft a Pechino ad esempio...
    • marcov scrive:
      Re: la Cina COMANDA !
      E' vero che la Cina avanza (rispetto ad un anno fa 5 supercomputer in più) l'India invece no (-1) il giappone ristagna (-2) Indonesia sparisce (-1) la Corea del Sud è sempre ferma a 1 in totale l'Asia passa dai 58 di 11/07 ai 46 di 11/08, si avvantaggiano USA(+7), Nuova Zelanda (+3) e incredibilmente l'Italia(+6, c'è qualche errore ?).Le tigri asiatiche, Cina a parte, sono tigri di carta?
    • PGStargazer scrive:
      Re: la Cina COMANDA !
      - Scritto da: Il Detrattore
      beh non capisco dove stia la notizia pero' :

      se il 90% dell'hardware mondiale e' made in china
      + taiwan perche' mai loro stessi non dovrebbero
      essere leader del mercato e della ricerca
      ?

      fatevi un giro alla sede R&D della Microsoft a
      Pechino ad
      esempio...Perchè i media fanno credere che la vivono con le vacche, pascolano certo non metto in discussione che anche in india ti trovi sulle arterie principali persone, mezzi e animali come cammelli e elefanti e pure contromano assieme...come in congo quando leggi questi titoli d'effettohttp://archiviostorico.corriere.it/2003/marzo/03/Congo_citta_deserte_per_paura_co_0_030303052.shtmlpoi vai a vedere invece le città vere tipohttp://it.wikipedia.org/wiki/Brazzavillehttp://wikitravel.org/en/BrazzavilleAlla fine concludi : e i 2000 abitanti dove li han pescati in quale angolo remoto di confine della regione?Un'altro esempio banale è che tu guardi come vivono a buenos aires in brasile e sempre in brasile ti dicono però che trovano qualche pigmeo nella foresta amazzonica!!Fin tanto che hanno possibilità di generare ignoranti o privi di pensiero inculacano facilmente di tutto no
Chiudi i commenti