[Risolto] Vulnerabilità note e aggiornamenti

Sicurezza del sistema: firewall, antispam, antivirus, ssh, patch, bug, eccetera.
pursuit
Prode Principiante
Messaggi: 45
Iscrizione: lunedì 11 dicembre 2006, 16:55

[Risolto] Vulnerabilità note e aggiornamenti

Messaggio da pursuit »

Recentemente sono state scoperte un paio di vulnerabilità abbastanza importanti, specie per macchine pubbliche che ospitano servizi aperti a chiunque:
una riguarda glibc https://www.kb.cert.org/vuls/id/457759 e un'altra openssl https://www.kb.cert.org/vuls/id/583776

Siccome ho delle macchine Ubuntu 14.04 con cui sto pacioccando, volevo comunque tenerle in sicurezza e ho provveduto ad aggiornare all'ultima versione con un update, upgrade e dist-upgrade.

Codice: Seleziona tutto

$ uname -a
Linux 3.13.0-79-generic #123-Ubuntu SMP Fri Feb 19 14:27:58 UTC 2016 x86_64 x86_64 x86_64 GNU/Linux
Ma noto che anche dopo l'ultimo aggiornamento e nonostante i pacchetti corretti siano in circolazione da qualche giorno le versioni attuali in ubuntu sono ancora vulnerabili.
Le versioni incriminate di glibc vanno dalla 2.9 alla 2.22, e anche dopo l'aggiornamento è presente la 2.19:

Codice: Seleziona tutto

$ ldd --version
ldd (Ubuntu EGLIBC 2.19-0ubuntu6.7) 2.19
Per Drown invece è stato rilasciato openssl 1.0.2g ma vedo presente ancora la 1.0.1f

Codice: Seleziona tutto

$ dpkg -l | grep "\<openssl\>"
ii  openssl                         1.0.1f-1ubuntu2.18               amd64        Secure Sockets Layer toolkit - cryptographic utility
Ho controllato per scrupolo il file delle fonti di apt ma mi sembra che cia tutto quello che serve per gli aggiornamenti di sicurezza

Codice: Seleziona tutto

$ cat /etc/apt/sources.list
[...] 
deb http://archive.ubuntu.com/ubuntu/ trusty multiverse
deb-src http://archive.ubuntu.com/ubuntu/ trusty multiverse
deb http://archive.ubuntu.com/ubuntu/ trusty-updates multiverse
deb-src http://archive.ubuntu.com/ubuntu/ trusty-updates multiverse
[...]
deb http://security.ubuntu.com/ubuntu trusty-security main restricted
deb-src http://security.ubuntu.com/ubuntu trusty-security main restricted
deb http://security.ubuntu.com/ubuntu trusty-security universe
deb-src http://security.ubuntu.com/ubuntu trusty-security universe
deb http://security.ubuntu.com/ubuntu trusty-security multiverse
deb-src http://security.ubuntu.com/ubuntu trusty-security multiverse
[...]
Chiedo a voi se non mi sfugga qualcosa, perchè credo che a questo debbano servire gli aggiornamenti di sicurezza...
Potrei aggiornare aggiornare senza passare per apt, i pacchetti corretti sono disponibili cercandoli e installandoli a mano, ma vi chiedo questo poi può interferire e dare noie ai successivi upgrade effettuati con apt oppure no?
Ultima modifica di pursuit il sabato 5 marzo 2016, 23:43, modificato 1 volta in totale.
Avatar utente
mito60
Scoppiettante Seguace
Scoppiettante Seguace
Messaggi: 281
Iscrizione: sabato 10 maggio 2008, 18:25
Desktop: Ubuntu 64 bit - Gnome45rc
Distribuzione: Ubuntu Mantic Minotaur

Re: Vulnerabilità note e aggiornamenti

Messaggio da mito60 »

Benvenuti nel mondo reale di Windows :-(
Ps: SCHERZO!!!! e correggo eliminando le domande
Ultima modifica di mito60 il venerdì 4 marzo 2016, 18:49, modificato 1 volta in totale.
teoria: si sa’ tutto ma niente funziona; pratica: quando tutto funziona e nessuno sa’ il perché.  Abbiamo messo insieme la teoria e la pratica: non c’ è niente che funziona … e nessuno sa’ il perché. (A. Einstein)
Avatar utente
Mdfalcubo
Moderatore Globale
Moderatore Globale
Messaggi: 20415
Iscrizione: venerdì 26 dicembre 2008, 11:17
Desktop: Solo XFCE
Distribuzione: Xubuntu 64 bit
Sesso: Maschile

Re: Vulnerabilità note e aggiornamenti

Messaggio da Mdfalcubo »

Apri un post altrove per favore. Grazie.
Ps:la 15.04 è fuori supporto.
"Il genere umano è stimolante, è la gente che non sopporto,, (Linus - Peanuts)
Avatar utente
milazzo87
Entusiasta Emergente
Entusiasta Emergente
Messaggi: 1958
Iscrizione: sabato 17 dicembre 2011, 16:51
Desktop: GNOME
Distribuzione: Ubuntu 17.10

Re: Vulnerabilità note e aggiornamenti

Messaggio da milazzo87 »

È possibile che le vulnerabilità vengano risolte con patch.
La pisciata in compagnia è di sinistra, il cesso è sempre in fondo a destra. [cit. G. Gaber]
pursuit
Prode Principiante
Messaggi: 45
Iscrizione: lunedì 11 dicembre 2006, 16:55

Re: Vulnerabilità note e aggiornamenti

Messaggio da pursuit »

Mi rispondo da solo:
per quanto riguarda la vulnerabilità su glibc era già stata risolta https://people.canonical.com/~ubuntu-security/cve/2015/CVE-2015-7547.html
mentre per openssl la versione presente è immune a drown, da quello che ho potuto capire grazie a differenti opzioni di default scelte in fase di compilazione da parte del team di ubuntu rispetto ai pacchetti standard https://people.canonical.com/~ubuntu-se ... -0800.html
Sono stato tratto in inganno dai meri numeri di versione, ma ho capito che non contano solo quelli, può essere che alcune versioni date per affette in certi casi possono non esserlo se chi gestisce i pacchetti per una determinata distribuzione li modifica.
Avatar utente
superlex
Rampante Reduce
Rampante Reduce
Messaggi: 5372
Iscrizione: martedì 19 agosto 2008, 23:22
Desktop: Budgie
Distribuzione: Ubuntu 18.04 LTS

Re: Vulnerabilità note e aggiornamenti

Messaggio da superlex »

Esatto.
Alcune patch, specie quelle di sicurezza che richiedono relativa urgenza, vengono applicate dal team di sicurezza di Ubuntu e pertanto la versione del software non cambia, mentre cambia quella del pacchetto (per esempio passa da ~ubuntu4 a ~ubuntu5).

Metti [Risolto] davanti al titolo della discussione se i tuoi dubbi sono stati chiariti :)
!!! NOTA !!!: non si accettano richieste d'aiuto in privato, sebbene si possa segnalare la discussione aperta per un eventuale intervento. Grazie.
[GUIDA] Webcam Motion Eye 05ca:18** Sony Vaio
[GUIDA] TunerTV eb1a:2881 per Ubuntu 16.04
Rogers41
Prode Principiante
Messaggi: 86
Iscrizione: martedì 12 aprile 2016, 13:49
Sesso: Maschile

Re: [Risolto] Vulnerabilità note e aggiornamenti

Messaggio da Rogers41 »

ciao a tutti. spero di non essere ot ma i topic dei vostri annunci sulla sicurezza sono chiusi e non sapevo se creare un thread per una brevissima domanda.

quando dite che basta un aggiornamento del sistema, vuold dire che basta che avvio lo strumento aggiornamento software? o mi di devo scaricare a mano quei pacchetti che elencate?

grazie scusate
Avatar utente
milazzo87
Entusiasta Emergente
Entusiasta Emergente
Messaggi: 1958
Iscrizione: sabato 17 dicembre 2011, 16:51
Desktop: GNOME
Distribuzione: Ubuntu 17.10

Re: [Risolto] Vulnerabilità note e aggiornamenti

Messaggio da milazzo87 »

Puoi aggiornare tramite il gestore aggiornamenti o da terminale.
La pisciata in compagnia è di sinistra, il cesso è sempre in fondo a destra. [cit. G. Gaber]
Scrivi risposta

Ritorna a “Sicurezza”

Chi c’è in linea

Visualizzano questa sezione: 0 utenti iscritti e 10 ospiti