WordPress 2.9 disponibile
E' appena stata rilasciata la nuova versione di WordPress, la 2.9 con numerose novità tra cui l'editor integrato di immagini!
Siete tutti invitata ad aggiornare alla nuova versione.
La localizzazione in italiano dovrebbe seguire a breve anche se la traduzione è compatibile quasi interamente con la vecchia 2.8.x.
EDIT 23/12/2009 ore 14.43
E' ora disponibile anche la versione localizzata in Italiano! Aggiornate!!!
Aircrack-ng matura, la version 1.0 è disponibile
E' stata rilasciata la versione 1.0 della famosissima suite aircrack-ng, una serie di tool molto noti per l'auditing della sicurezza delle reti senza fili. Gli strumenti della suite consentono di sniffare il traffico di rete, forgiare e inviare pacchetti e crackare le chiavi di rete, sia WEP che WPA, utilizzando le varie tecniche scoperte finora da hacker e ricercatori. Per l'occasione il sito web è stato rinnovato e così anche il logo che ora è quello che vedete qui sotto.
Vi rimando a questo post sul blog ufficiale per ulteriori informazioni.
Un nuovo attacco a WPA in pochi minuti decifra il traffico
Due ricercatori dell'università di Kobe, Ohigashi e Morii, hanno affinato la tecnica sfruttata dalla ricerca precedente portata avanti da Beck e Tews per approntare un attacco di tipo MITM ( Man In The Middle ) in gradi di decifrare i pacchetti trasmessi tra il client e l'access point nel tempo di circa 1 minuto.
L'attacco è delineato in un PDF pubblicato dagli stessi ricercatori e disponibile qui.
Mentre l'attacco precedente si concentrava sui dispositivi Wi-Fi con supporto allo standard QoS iee802.11e ( un sottoinsieme ) il nuovo attacco studiato all'università di Kobe è studiato per funzionare con tutte le installazioni Wi-Fi che utilizzino il protocollo WPA con cifrario TKIP. Sono invece al sicuro ( almeno per ora ) gli utenti che utilizzano WPA con il più sicuro AES ( Advanced Encryption Standard ) o ancor meglio il protocollo WPA2. L'accoppiata WPA/TKIP venne studiata come soluzione di transizione dopo la scoperta della debolezza del precedente standard WEP ed ora si cominciano a vedere le prime crepe.
Per tutti quelli che hanno una rete wireless a casa il consiglio è di controllare le proprie impostazioni per assicurarsi di usare AES e non TKIP oppure, meglio, WPA2.
Scoperta grave falla di sicurezza nel Kernel Linux!
E' stata scoperta una pericola vulnerabilità si sicurezza nel kernel linux che sostava tra le righe di codice da circa 8 anni! Ciò significa che tutti i kernel rilasciati in questo periodo sono vulnerabili e urge un'azione di aggiornamento su larga scala. Questi i kernel vunerabili:
- Linux 2.4, from 2.4.4 up to and including 2.4.37.4
- Linux 2.6, from 2.6.0 up to and including 2.6.30.4
Dettagli sul problema sono riportati qui. Si tratta sostanzialmente di una vulnerabilità di tipo NULL Pointer Dereference che consente ad un utente malizioso di eseguire codice con i privilegi del kernel permettendo il pieno controllo della macchina. Sono particolarmente illuminanti le parole di Julien Tinnes dal suo blog ( nel post anche spiegazioni tecniche precise della vulnerabilià ):
Since it leads to the kernel executing code at NULL, the vulnerability is as trivial as it can get to exploit: an attacker can just put code in the first page that will get executed with kernel privileges.
Fortunatamente il buon Linus Torvalds ha già rilasciato una patch per il kernel 2.6 e presto dovrebbero esserci aggiornamenti per tutte le più importanti distribuzioni.
Pronto WordPress 2.8.4 per risolvere la falla
Per risolvere la falla di sicurezza di cui abbiamo parlato ieri qui gli sviluppatori della piattaforma hanno rilasciato WordPress 2.8.4, un pacchetto che contiene appunto il fix. Il download e l'installazione sono ovviamente consigliati.
WordPress 2.8.3 Remote Admin Password Reset
Un problema di una certa portata affligge le ultime versioni del nostro affezionato WordPress. Laurent Gaffiè, un ricercatore nel campo della sicurezza, ha scoperto che è possibile sfruttare la funzionalità di reset della password di WordPress per resettare la password dell'utente amministratore senza conferma. A questo indirizzo trovate l'advisory pubblicata sulla mailing list Full Disclosure.
Il problema è meno grave di quanto sembri in quanto una volta resettata la password essa non sarà comunque in possesso dell'attaccante che potrà in ogni caso realizzare un piccolo sistema per effettuare un reset infinito e in tal modo escludere l'account amministratore dal login per un tempo indefinito.
Gli sviluppatori di WordPress hanno già riconosciuto il bug e rilasciato una patch. Di seguito la modifica da effettuare al file wp-login.php per essere sicuri:
