Panagiotis Atmatzidis wrote:
> On 25 Νοε 2008, at 3:07 ΠΜ, Ti wrote:
>> Relativamente all'hardening, per cercare di prevenire e contenere si
>> puo` iniziare con grsecurity (http://www.grsecurity.net/)
>
> Apparte il fatto che questo tipo di hardening, credo, sia scontatto x la
> maggior parte della lista, anche questa puo essere aggirata, o sbaglio? [1]
Non credo sia tanto scontato, non per tutti.
Il fatto che siano note delle vulnerabilita`, per alcune versioni della
patch, non significa che usare grsecurity sia inutile. Anche perche` se
prendiamo come esempio quella postata da te (Bugtraq ID 28889), essa si
riferisce a RBAC che e` solo una parte di grsecurity. In ogni caso,
l'obiettivo e` quello di fare sicurezza in profondita`, al meglio delle
possibilita`, rendere le cose quanto piu` difficile all'attacker. Credo
che in questo senso grsecurity faccia bene il suo lavoro. D'altra parte
e` scontato dire che non esiste una sicurezza al 100%.
> Per i commenti, sul genere del thread FUD o non FUD. A me sempra molto
> interessante come thread: Se a qualcuno non interesse puo marcarlo come
> "read" sul suo mail client. Per il momento e' possibile spartire
> informazioni di questo genere. Cosi chi ha interesse, prende le
> contromisure adatte (lighttpd, etc).
Come contromisura lighttpd? lol
Si parla di una potenziale vulnerabilita` la cui esistenza e` ancora
dubbia e la soluzione sarebbe passare ad un altro server web? Come se
poi si avesse la certezza che l'altro server sia sicuro al 100%. 0day
per 0day che senso ha cambiare server?
saluti,
Francesco Matarazzo
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
