Disclaimer per i contenuti del Blog


DISCLAIMER:Questo blog non rappresenta una testata giornalistica in quanto viene aggiornato senza alcuna periodicità . Non può pertanto considerarsi un prodotto editoriale ai sensi della legge n° 62 del 7.03.2001.
L'autore non è responsabile per quanto pubblicato dai lettori nei commenti ad ogni post. Verranno cancellati i commenti ritenuti offensivi o lesivi dell’immagine o dell’onorabilità di terzi, di genere spam, razzisti o che contengano dati personali non conformi al rispetto delle norme sulla Privacy. Alcuni testi o immagini inserite in questo blog sono tratte da internet e, pertanto, considerate di pubblico dominio; qualora la loro pubblicazione violasse eventuali diritti d'autore, vogliate comunicarlo via email. Saranno immediatamente rimossi. L'autore del blog non è responsabile dei siti collegati tramite link, del loro contenuto che può essere soggetto a variazioni nel tempo ne degli eventuali danni derivanti dall'utilizzo proprio od improprio delle informazioni presenti nei post.

lunedì 29 settembre 2014

Bash Bug - Ma le patch sono effettivamente risolutive?

A giudicare dagli approfondimenti presenti in Internet sembrerebbe proprio di no, dal momento che la parte di codice interessata al problema è quella che effettua il parsing automatico delle variabili d'ambiente: una variabile d'ambiente contenente una funzione scatenerebbe l'esecuzione automatica del codice!!!

Una completa correzione della vulnerabilità, ad esempio l'eliminazione dal parser della possibilità di utilizzare funzioni nelle variabili d'ambiente,  potrebbe comportare seri problemi di retro-compatibilità con i software esistenti e l'impatto credo sia difficilmente valutabile dal momento che andrebbero ricontrollati tutti i software che in maniera più o meno esplicita utilizzano questa caratteristica.

Ecco una nota del Team di Redhat a riguardo con una breve elenco dei componenti che potrebbero essere interessati a questo problema: https://securityblog.redhat.com/2014/09/24/bash-specially-crafted-environment-variables-code-injection-attack/


Bash Bug - E se non esistono aggiornamenti???

Ho provato ad aggiornare bash di Fedora 9 ma il Team ha pronti gli update solo per le versioni 19, 20 e 21.

Facendo una ricerca su Google ho trovato questa pagina che mi ha permesso di aggiornare bash sul mio sistema di test (http://stevejenkins.com/blog/2014/09/how-to-manually-update-bash-to-patch-shellshock-bug-on-older-fedora-based-systems/) scaricando la versione 4 da ftp.gnu.org, applicando le 41 patch disponibili (sul sito trovate anche uno script che vi evita l'esecuzione manuale dei 41 aggiornamenti), compilandolo e sostituendolo a quello precedente.

Tutti gli step vanno eseguiti come utente normale tranne l'ultimo step (di copia) da eseguire con sudo (se siamo tra i sudoers) o direttamente come root. L'operazione richiede 10/15 minuti di lavoro.

Dovrebbe andare bene per tutti i sistemi per i quali non sono previsti aggiornamenti ufficiali (non mi assumo responsabilità!!!!)

 Fate comunque molta attenzione!!!!


Bash Bug - Shellshock

E' notizia di pochissimi giorni fa l'individuazione, da parte del Team di Red Hat, di una vulnerabilità nella shell Bash e sembra che questo problema sia presente da una ventina d'anni (!!!).
Credo che ormai tutte le distribuzioni di Linux abbiano disponibile un aggiornamento che invito caldamente ad installare.

Per le distribuzioni basate su Red Hat (es. RHEL, Fedora, CentOS):
      sudo yum update bash
Per le distribuzioni basate su Debian (es. Ubuntu):
      sudo apt-get update && sudo apt-get install --only-upgrade bash

E' possibile eseguire questo comando (https://www.digitalocean.com/community/tutorials/how-to-protect-your-server-against-the-shellshock-bash-vulnerability) per avere un'idea dello stato di vulnerabilità del proprio sistema Linux:
      env VAR='() { :;}; echo Bash VULNERABILE!' bash -c "echo Bash Test"
se nell'output del comando NON comparirà la scritta "Bash VULNERABILE" allora il sistema sarà al sicuro.

Ecco un esempio del comando eseguito su un server aggiornato (CentOS5):


ed uno eseguito su un server NON aggiornato e quindi vulnerabile (Fedora 9):


Ma Linux non gira solo su server e client, viene utilizzato sempre più frequentemente nell'Internet delle cose: 
  • Telecamere per videosorveglianza
  • NAS
  • SmartPhone Android (la versione ufficiale non include Bash ma eventuali ROM Custom potrebbero...)
  • Videoregistratori digitali
  • ...ed una infinità di altri oggetti.
Spero che i vari sviluppatori di questi software forniscano al più presto degli update dei firmware così da tappare eventuali falle.

venerdì 26 settembre 2014

iPhone 4S e iOS8

Dopo aver letto parecchi post relativi alla fattibilità di tale aggiornamento ed aver visto che gli esiti erano stati abbastanza diversi, ho voluto tentare comunque e alla fine il risultato è stato accettabile.
Ho voluto effettuare l'aggiornamento su telefono pulito, per evitare possibili problemi derivanti da possibili situazioni confuse, magari derivanti da precedenti aggiornamenti, operando in questo modo:

  1. Backup su iCloud
  2. Ripristino del telefono con azzermanento completo
  3. Riavvio dello telefono e configurazione minimale, configurato wifi, non eseguito restore dei dati e proceduto al download ed all'installazione di iOS8
  4. Ad installazione terminata ho eseguito un nuovo reset del telefono
  5. Al riavvio, quando richiesto, ho operato un ripristino da iCloud e quasi tutto è andato bene, l'unico problema riscontrato era la presenza di alcuni menù dell'Apple Store in inglese
  6. Ho atteso che terminasse l'installazione delle App ed ho riavviato il telefono
  7. Al riavvio tutto era tornato normale.
Cosa dire del nuovo sistema? Le prestazioni grafiche del telefono sono leggermente peggiorate, senza che però questo comporti grossi problemi in fase di utilizzo...
Altri inconvenienti per ora non ne ho trovati, questa mattina ho aggiornato alla v. 8.02. Restano da vedere eventuali problemi legati all'autonomia della batteria. Vi farò sapere tra qualche giorno.