Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

X

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1549

MessaggioInviato: Lun Gen 27, 2014 11:37 pm    Oggetto: Rispondi citando

Salve,

tutte le versioni di Zeroshell precedenti la 2.0.RC3 risultano vulnerabili a causa della possibilitą di eseguire codice remoto tramite l'interfaccia web
in maniera non autenticata. Tale ben documentata vulnerabilitą č stata sfruttata per introdurre all'interno dei profili un eseguibile che effettua delle connessioni ad alcuni DNS,
con lo scopo di produrre dei DDoS con conseguente consumo di banda.
Anche la versione 2.0.RC3 potrebbe essere soggetta a tale attacco se il profilo di configurazione proviene da una versione precedente gią compromessa. La release 3.0.0 č in grado di rilevare eventuali profili compromessi e di ripulirli. Si raccomanda per questo, vista la gravitą del problema, di migrare quanto prima alla release 3.0.0.

Saluti
Fulvio


L'ultima modifica di fulvio il Mar Gen 06, 2015 6:56 pm, modificato 1 volta
Top
Profilo Invia messaggio privato
svenny



Registrato: 18/09/08 12:11
Messaggi: 245

MessaggioInviato: Mar Gen 28, 2014 1:14 pm    Oggetto: Rispondi citando

Salve, č disponibile una patch per le versioni 2.0RC1 e 2.0RC2?

Dove č possibile reperire la documentazione relativa alla vulnerabilitą?

Ciao e grazie.
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1549

MessaggioInviato: Mar Gen 28, 2014 7:55 pm    Oggetto: Rispondi citando

La vulnerabilitą la trovi ben descritta su Youtube. Purtroppo sarebbe lungo tirare fuori la patch. E' vulnerabile proprio il meccanismo di autenticazione per cui la cosa e' delicata. Poi si tratta versioni Beta e RC, pertanto preferisco incoraggiare il passaggio alla versione stabile e per la quale i bug di sicurezza potranno essere gestiti tempestivamente mediante installazione automatica degli update. Capisco che č richiesto uno sforzo ora per migrare le macchine, ma poi i vantaggi ci sono. Uno fra tutti quello di poter fare l'upgrade alle successive release automaticamente e anche da remoto.
Saluti
Fulvio
Top
Profilo Invia messaggio privato
VITO



Registrato: 03/04/07 23:29
Messaggi: 352

MessaggioInviato: Dom Mar 09, 2014 4:00 pm    Oggetto: Rispondi citando

http://punto-informatico.it/4005087/PI/News/gnutls-un-baco-una-backdoor-linux.aspx

Saluti Vito
Top
Profilo Invia messaggio privato
VITO



Registrato: 03/04/07 23:29
Messaggi: 352

MessaggioInviato: Dom Mar 09, 2014 4:04 pm    Oggetto: Rispondi citando

Buongiorno Fulvio che mi dici di questo ?
DNS format error from 184.105.66.196#53 resolving ns-cmn1.qq.com/AAAA: Name qq.com (SOA) not subdomain of zone ns-cmn1.qq.com -- invalid response

Saluti Vito
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1549

MessaggioInviato: Dom Mar 09, 2014 4:36 pm    Oggetto: Rispondi citando

Nella prossima release prendero' provvedimenti aggiornando quanto necessario. Tuttavia, tale vulnerabilitą a GnuTLS non č direttamente rischiosa per Zeroshell. Invece per quanto riguarda il messaggio relativo al DNS direi che si tratta di una query fatta male da un client.
Saluti
Fulvio
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it