Vulnerabilità del Kernel 2.6.17: Vmsplice()

Scoperta ormai da circa un mese, questa vulnerabilità permette l’esecuzione di codice arbitrario nella macchina vittima, a causa di un mancato controllo su di un puntatore user-defined.

Ecco il listato di codice fs/splice.c) riguardante la vulnerabilità:


error = get_user(base, &iov->iov_base);
/* ... */
if (unlikely(!base)) {
error = -EFAULT;
break;
}
/* ... */
sd.u.userptr = base;
/* ... */
size = __splice_from_pipe(pipe, &sd, pipe_to_user);


In particolare, la funzione __splice_from_pipe() assume che i puntatori forniti come parametri siano validi. La funzione pipe_to_user() invece dereferenzia questi puntatori permettendo l’inclusione dati arbitrari nella memoria del Kernel.

Altre funzioni mancanti di validazione dei parametri sono
vmsplice_to_user()”, “get_iovec_page_array() e “copy_from_user_mmap_sem()”.

La vulnerabilità affligge le versioni del kernel comprese tra la 2.6.17 e 2.6.24.1 con il vmsplice() attivo, ma dopo la pubblicazione dell’exploit è stato subito rilasciato il kernel 2.6.24.2

Petizione per i driver nVidia Open Source

Come utente Linux ed nVidia allo stesso tempo, mi ritrovo a supportere pienamente la petizione presentata sul sito petitiononline volta a sensibilizzare i piani alti nVidia verso gli utenti Open Source.

In poco tempo ha ricevuto molte firme, al momento in cui scrivo sono quasi 4000 e sono destinate a crescere.

come tutti saprete il problema dei driver video è l’ultimo baluardo della teoria “linux è un sistema operativo impegnativo” poichè non tutti gli utenti si sentono in grado (oppure hanno voglia??) di smanettare con moduli del Kernel o con l’eseguibile fornito dalla azienda stessa che crea non pochi problemi.. come instabilità del driver ,incompatibilità con gli upgrade del kernel, crash di X… inoltre, il testo della petizione riporta un articolo in cui gli ingegneri nvidia giustificano la mancanza di driver open source con problemi legati al licensing….

Il panorama Open Source negli ultimi anni ha superato diversi ostacoli, dalla stampa all’usb passando per i modem e le schede di rete WiFi perchè non risolvere anche questo?? in fondo linux si sta diffondendo sempre più.. basta gardare il numero di blog wordpres che taggano sotto Linux, oppure il numero di fonti di TuxFeed!!

p.S Anche se avete una Ati, votare per la petizione può esservi di aiuto!! oltre al fatto che si tratta di una buona causa per l’utenza linux , sull’nda della decisione nVidia, AMD potrbbe scegliere di fare lo stesso!! (magaaaari!!)

Il mio Grazie All’open Source.. ma anche il vostro

Ispirato dall’interessante riflessione sull’open source a cui vi ho linkati (grazie all’autore vitaliano82), ho deciso di dare uno spunto a chiunque voglia dire qualche parola sull’open source: sia che il suo giudizio sia positivo che negativo, non ci saranno censure (occhio bimbi, se spammate però vi cancello il post XD)

Ecco 21 grazie presonali verso l’Open Source

1)Scarico LIBERAMENTE la iso di ogni versione

2)Ho un sistema operativo aggiornato ogni giorno

3)Aggiorno il software con semplicità

4)Amarok il miglior riproduttore audio in circolazione

5)Faccio parte di una comunità disponibile e informatissima (anche se ancora ristrettissima rispetto alla comunità di utenti windows… ma esiste una comunità di utenti windows??)

6)Ho un Desktop Manager di nuova generazione come KDE4

7)Mi sono dimenticato che cos’è un antivirus (sarà un caso che molte minacce arrivano da WINE e mono che esegue programmi .NET?? )

8)Installo il mio amiente di sviluppo e testing PHP5 + Mysql + Apache2 + QuantaPlus in circa 6 clicks con Synaptic (naturalmente tutte le ultime versioni se ho i repo aggiornati)

9)Ho cominciato a studiare la programmazione a 14 anni quando non potevo comprarmi libri da 40 € con gli appunti di informatica libera

10)Firefox, il migliore browser web in circolazione (ma uso molto spesso Konqueror perchè salto dalla navigazione files a quella web/ftp)

11)Comunico via MSN grazie a emesene (secondo me il migliore client per il protocollo MSN)

12)Gioco Online con Manaworld e Urban Terror (ok…. ci sono giochi di gran lunga migliori nel closed source… lo ammetto ma è per completezza. e poi cercate info su Planeshift…. una meraviglia)

13)Utilizzo la maggior parte dei software esclusivi per Windows su Linux grazie a Wine

14)Apro la console in stile Quake spiengendo F12 con Yakuake

15)apt-get

16)Se mi prende lo schizzo installo parallel knoppix e ho una distro per il parallel computing

17)gOS mi mette a disposizione il primo sistema operativo totalmente orientato al Web

18)L’obiettivo di Debian è rimanere Open Source al 100% (Un po di filosofia e passione non guastano no?)

19)Scarico Metasploit (anche se non è GPL) e testo le mie aplicazioni senza sborsare un bronzino (o ramino, o qualunqu altro nome abbiano i centesimi da 1 2 e 5 , nel vostro dialetto (magari postate!! XD))

20)Perchè mia sorella, che non è un esperta di computer, può usare Debian + KDE senza chiedermi nulla

21) OpenOffice.org è semplicemente fantastico.. ha tutto quello che mi serve per l’università

Bene, so che sono un po pochini…. ma spero che aggiungiate voi quelli che ho omesso

DaniRevi Vi Regala un PC…. con Linux preinstallato!!!

Salve a tutti, dopo giorni e giorni di silenzio, torno con un articolo dotato di duplice funzione:
Informarvi sul Contest di DaniRevi e su di una derivata di Ubuntu molto particolare (finalmente!)

sisi…. avete capito bene!!
All’indirizzo http://www.danirevi.it/contest-danirevi-ti-regala-un-computer.html trovate tutte le informazioni riguardanti il contest organizzato sul blog di DaniRevi che promette al vincitore un fantastico desktop dotato nativamente di un sistema operativo linux-based : gOS.

Ne approfitto per dare qualche informazione a riguardo….

gOS è una derivata di ubuntu… e fin qui potreste pensare… che c’è fi strano, non ci vuole molto a rimasterizzare Ubuntu incollandoci il proprio Logo…ed avreste ragione se non per il fatto che forse ci troviamo davanti alla più innovativa delle derivate di ubuntu.
gOS infatti è dedicato completamente alle applicazioni Web2.0 come i servizi Google, Facebook ecc.. i quali stanno prepotentemente entrando nell’utilizzo quotidiano di oguno di noi, tanto da rendere i browser web le applicazioni più utilizzate in assoluto in ambiente desktop (pensate quanta RAM viene dedicata ogni giorno nel mondo a Firefox ad esempio ).

Oltre al pesante interfacciamento con le aplicazioni web, con gOS si parla di Cloud Computing che potremmo riassumere come la condivisione di servizi provenenti dalla rete (Cloud) , parallelamente a quanto succede con il grid computing riguardo la condivisione di risorse di calcolo e di memoria. Sempre grazie a questa distro linux, sarà possibile toccare con mano la nuova tecnologia ,di casa Google, Google Gears che permette di sfruttare i servizi google anche quando si è offline (grazie ad un sistema di cache basato su un database SQLite).

Una particolarità che non deve passare di secondo piano è la scelta di Enlightenment come gestore desktop: oltre ad essere un DM, Enlightenment è anche uno Window Manager per X e risulta essere molto più leggero e flessibile diK DE e Gnome nell’ambito di un SO orientato al WEB. Una scelta sicuramente oculata che permette di risparmiare RAM nei computer più datati, che potrà essere dedicata al software centrale di questa distro: ilo magnifico, insuperabile, libero ed espandibile (caratteristica secondo me fondamentale dell’intero progetto) Firefox!!.
Era ovvio che in un ambiente desktop orientato al Web, Firefox fosse presente; anche se avremmo potuto vedere Flock, un derivato di firefox orientato proprio al Web2.0, l’affidabilità della volpe di fuoco non ce lo faranno mancare .

Vi lascio con qualche screenshot di gOS e la pagina ufficiale del download

In bocca al lupo a tutti per il contest!!

PHP corazzato con Suhosin

 

Suhosin è un progetto Open Source, che mira ad aumentare la sicurezza delle nostre installazioni di php.

È stato progettato per difendere noi programmatori da numerose falle di sicurezza, sia quelle più note che quelle più nascoste ed infide . Per svolgere al meglio questo lavoro, Suhosin è composto da due parti separate:

• Suhosin Patch: Una patch che agisce sul cuore dell’installazione PHP, eliminando tutti i problemi legati al buffer overflow ed agli exploit basati sulle falle “format string”

• Suhosin Extension: Una vera e propria estensione per PHP che si occupa di mettere una pezza sulla maggior parte dei problemi di sicurezza di PHP.

Tra i gli aspetti che Suhosin si occupa di proteggere, troviamo l’inclusione a run-time, protezione delle sessioni e gestione dei cookie, restrizione di accesso alle variabili di ambiente e filtraggio delle stringhe.

Per uan lista completa delle feature di Suhosin, potete consultare il seguente link al sito ufficiale.

Naturalmente, installare Suhosin , non significa automaticamente che il programmatore è libero di dimenticarsi di aggiungere le dovute strutture di controllo nel proprio codice, al contrario vengono messi a sua disposizione diversi strumenti per scrivere codice più sicuro.