Il team di sviluppo, dopo la segnalazione di Dawid Golunski ( ne ho parlato ieri in questo post ), sforna una nuova security release del trunk 2.8 di WordPress.

I problemi fixati sono sostanzialmente due, il primo riguarda una vulnerabilità XSS scoperta da Benjamin Flesch, maggiori informazioni sono consultabili a questo indirizzo. Mentre la seconda riguarda proprio la vulnerabilità di Unrestricted File Upload Arbitrary PHP Code Execution.

L’annuncio ufficiale del rilascio è consultabile a questa pagina del team degli sviluppatori.

Si consiglia a tutti gli utenti della piattaforma WordPress si aggiornare al più presto.

Nella giornata di ieri presso Full Disclosure è comparso un interessante advisory riguardante una vulnerabilità presente in WordPress nelle versioni <= 2.8.5 ( l’attuale ). Questa vulnerabilità infatti acconsentirebbe l’esecuzione di codice php arbitrario uploadato tramite l’upload manager di default presente in WordPress.
Per maggiori informazioni e un proof of concept vi rimandiamo all’advisory.

Anche se la vulnerabilità non è critica, in quando per uploadare un file è comunque necessario avere dei diritti superiori a quelli di un utente normale, attendiamo una security release da parte del team di sviluppatori.

Dopo il rilascio della 2.8.3, avvenuto circa una settimana fa, il team di sviluppo di WordPress rilascia il quarto minor update per il trunk 2.8. Si tratta infatti di una security release che ha come scopo la risoluzione della vulnerabilità di Remote Admin Reset Password, di cui ho parlato in questo post ieri ( include il fix manuale alla vulnerabilità ).
Ricordo che la vulnerabilità non è critica, e non consente l’accesso alla piattaforma da parte di malintenzionati. Nel peggiori dei casi questa vulnerabilità può essere usata per escludere l’account d’amministrazione a tempo indeterminato, effettuando un reset infinito della password del medesimo.

Alla luce di questo, l’aggiornamento della piattaforma è caldamente consigliato. Ricordo sempre che gli utenti aventi un hosting Aruba dovranno seguire questa piccola procedura prima di effettuare l’upgrade.

Per maggiori informazioni potete consultare il post presente nel blog degli sviluppatori a WordPress 2.8.4 ) o aspettate.

Buon upgrade

Oggi nella mailing list di Full Disclosure è stata pubblicata, da Laurent Gaffie, una vulnerabilità che affligge la funzionalità di reset della password di WordPress.
La vulnerabilità coinvolge tutte le versioni <=2.8.3, eppure non si tratta di una vulnerabilità critica, in quanto l’attaccante, effettuato il reset della password, non ne sarà comunque in possesso.

L’advisory originale è consultabile a questo indirizzo, mentre a questo indirizzo potete trovare informazioni supplementari e un fix al problema.

UPDATE

Ora l’advisory è disponibile anche su Milw0rm a questo indirizzo.

Rilasciato oggi il terzo minor update di del trunk 2.8 di WordPress, come gli altri due, anche questo è incentrato sulla risoluzione di bug di sicurezza.
Si tratta infatti di vulnerabilità di privilege escalation non fixate nella versione 2.8.1. Fortunatamente la community di WordPress ha scoperto queste falle e riportate prontamente al team di sviluppatori. Grazie al loro aiuto i bug rimanenti sono stati risolti in questa 2.8.3.

Potete visionare i dettagli nel blog degli sviluppatori a questo indirizzo.

Vi ricordo, come sempre, di consultare questa guida per l’aggiornamento se avete un dominio Aruba.

Buon Update

Gli esperti di sicurezza Charlie Miller e Collin Mulliner sono riusciti a trovare una vulnerabilità di sicurezza nel servizio SMS ( Short Message System ) che affligge tutti i “melafonini” e gli appena nati sistemi Android. I due esperti pensano che anche Windows Mobile possa soffrire di questa vulnerabilità, anche se al momento non ne è possibile la dimostrazione, in tal proposito Charlie e Collin continuato a lavorare sullo stack telefonico del sistema operativo.

I risultati dei due ricercatori sono stati esposti accuratamente durante il Black Hat Cybersecurity Conference tenutasi a Las Vegas.
La vulnerabilità in questione è critica, in quanto un apposito messaggio SMS inviato ad uno di questi sistemi può causare il crash dello stack telefonico. Nel caso di iPhone l’exploit avrà il compito di far crashare il servizio CommCenter, mentre per quanto riguarda Android toccherà al demone /system/bin/rild.
Non si sa ancora se con tale exploit è possibile attaccare anche i terminali Windows Mobile.

L’unica soluzione, che permette di essere al sicuro da questo tipo di vulnerabilità SMS, è spegnere il telefono. Una soluzione praticamente improponibile. Lo stesso Miller afferma che gli SMS sono strumenti potentissimi per effettuare attacchi in mobilità, in quanto non richiedono l’interazione dell’utente che li riceve e al malintenzionato basta conoscere il numero di telefono della vittima.

La paura attuale è che tramite tale exploit sia possibile effettuare un attacco virale, che colpisca tutti i contatti in rubrica della vittima attaccata. Passando quindi da vulnerabilità ad un vero e proprio worm.

Al momento solo Apple, vanta di avere rilasciato un aggiornamento firmware ( iPhone OS 3.0.1 ) in tempi relativamente brevi, si parla 24 ore dopo la dimostrazione dell’exploit. L’aggiornamento risolve solo questa vulnerabilità e pertanto è caldamente consigliato. Il nuovo firmware 3.0.1 occupa in totale 280MB.

Ecco le parole Tom Neumayr riguardo al rilascio del nuovo aggiornamento.

We appreciate the information provided to us about SMS vulnerabilities which affect several mobile phone platforms. This morning, less than 24 hours after a demonstration of this exploit, we’ve issued a free software update that eliminates the vulnerability from the iPhone. Contrary to what’s been reported, no one has been able to take control of the iPhone to gain access to personal information using this exploit.

iPhone quindi potenzialmente al sicuro, mentre per Android e Windows Mobile ancora nessuna soluzione.

Per conosce in modo più dettagliato le dinamiche di funzionamento dell’exploit vi raccomando la lettura di “Fuzzing the Phone in your Phone“, articolo con il quale Charlie e Collin hanno presentato la situazione al Black Hat.

Qualche istante fa è stato reso disponibile il download del nuovo aggiornamento 2.8.2 per WordPress. Quando ho visto la notifica non sapevo cosa pensare; questo è il secondo aggiornamento del trunk 2.8 a poco più di 10 giorni dal primo, davvero incredibile. :suprised:

Questo aggiornamento svolge il ruolo di minor update e corregge una vulnerabilità di tipo XSS ( Cross-site scripting ). La vulnerabilità era localizzata nel panello di admin dove i link degli autori del commento non erano codificati correttamente. Tale vulnerabilità poteva essere utilizzata per effettuare un redirect ad un altro sito.

La notizia della nuova release la trovate a questo post del blog sviluppatori WordPress.
Ovviamente è caldamente consigliato l’update della piattaforma via FTP o tramite il comodo aggiornamento automatico.

Ricordo che gli utenti Aruba dovranno seguire questa procedura prima di effettuare l’update.

Buon aggiornamento

A pochi giorni dal rilascio di Firefox 3.5 è stata scoperta una vulnerabilità critica che affligge il noto browser di casa Mozilla su sistemi Windows. L’exploit in questione sfrutta una falla del nuovo interprete JavaScript permettendo l’esecuzione di un codice arbitrario. L’exploit è già stato pubblicato sui più famosi siti di sicurezza, ad esempio Milw0rm. La tipologia della vulnerabilità è il buffer overflow che consente l’esecuzione di un codice, nell’esempio fornito da Milw0rm, l’exploit eseguirà la calcolatrice di Windows ( calc.exe ). Ovviamente tale codice può essere modificato in modo da effettuare operazioni ben diverse dall’avviare la calcolatrice.

La vulnerabilità riguarda Tracemonkey, il compilatore Just In Time ( JIT ) per JavaScript, introdotto da Mozilla in quest’ultima versione di Firefox per permettere una navigazione e l’esecuzione di applicazioni web più veloce. La modalità d’attacco dell’exploit è una delle più classiche, l’utente arriva ad una pagina web che apparentemente sembra normale, invece nasconde all’interno il codice per sfruttare la vulnerabilità.

Al momento Mozilla lavora per garantire un aggiornamento nel più breve tempo possibile. A tutti gli utilizzatori di Firefox 3.5 si consiglia di effettuare un roleback alla versione 3.0. Oppure in alternativa potete utilizzare questo workaround per disabilitare Tracemonkey. Le operazioni da eseguire sono:

• Nella barra degli indirizzi inserire: about:config;
• Promettete di fare attenzione =D, e scrivete nella casella del filtro jit;
• Fate doppio click sull’opzione “javascript.options.jit.content” e impostate il valore a false.

Utilizzando questo metodo inibirete temporaneamente le prestazioni di Firefox 3.5, in quanto utilizzerà il vecchio interprete JavaScript, quello presente nella versione 3.0.
RICORDATE, appena Mozilla rilascerà la nuova versione dovrete seguire lo stesso procedimento e settare true al posto di false.

UPDATE

Secondo il comunicato rilasciato da MozillaLinks, Mozilla ha confermato che il primo aggiornamento di sicurezza per il nuovo ramo Firefox 3.5 sarà disponibile entro fine settimana. Mentre un secondo aggiornamento sarà rilasciato per la fine di luglio.

UPDATE 2

Mozilla ha rilasciato al versione 3.5.1, che prontamente risolverà questa vulnerabilità. Il download è disponibile a questo indirizzo, oppure tramite il servizio di aggiornamento automatico. Come sempre Mozilla si è rilevata efficiente nel risolvere questo tipo di problematiche.

Durante la notte del 11 luglio ImageShack, noto servizio di hosting per immagini, è stato hackato dal movimento Anti-Sec ( Anti-Security Movement ). L’hack si è basato su un deface della home page e nella sostituzione di tutte le immagini hostate con il loro manifesto. Inoltre gli stessi hacker hanno usato le email ufficiali di ImageShack per diffondere il loro messaggio a tutti gli iscritti al servizio.

Questo è il manifesto diffuso dal movimento Anti-Sec:

Clicca per ingrandire

Riassumendo in poche parole, il movimenti Anti-Sec si oppone accanitamente, e si prefigge lo scopo di eliminare, Full Disclosure. La loro motivazione è molto semplice: non è corretto che i vari exploit, scoperti dalle società di sicurezza, vengano resi pubblici ( per fini economici ). Questo comportamento fa si che chiunque possa copiare gli exploit e utilizzarli per attaccare il bersaglio designato, con relativa facilità.

Il manifesto si conclude con una minaccia abbastanza pesante ai possessori di blog e siti legati al mondo della sicurezza:

If you own a security blog, an exploit publication website or you distribute any exploit…”you are a target and you will be rm’d ( removed ). Only a matter of time.”
Thist isn’t like before. This time everyone and everything is getting owned.

Per questa notizia vi rimando al post di UpYou.it Blog a questo indirizzo.

Vi ricordo che se avete un dominio Aruba, come nel mio caso, la procedura da seguire sarà molti più semplice, dovrete infatti seguire questi semplici passi.

Andate nel pannello di amministrazione del vostro sito, solitamente all’indirizzo admin.vostrosito.it, e premete su Protezione Directory Hosting Linux.

Protezione di una cartella dal pannello Aruba

Selezionate la cartella che volete proteggere nella lista alla sinistra, nel nostro caso wp-admin. Inserite il nome che volete dare all’area protetta, ad esempio: admin, admin area, private area, ecc… Inserire poi username e password. Vi ricordo che queste credenziali dovrebbero essere diversi da quelle usate per effettuare il login su WordPress.

Beccati questa password criptata =D

Ora la vostra cartella wp-admin sarà protetta

Con questo piccolo workaround i malintenzionati che utilizzeranno una vulnerabilità 0day non potranno accedere alla sezione d’amministrazione, in quanto protetta.

Un grazie a Stefano per la segnalazione.