Il 26 febbraio 2011 15:57, Claudio Criscione <[email protected]> ha scritto: > Esempio fuori tema, ma domanda rilevante. > > Le infrastrutture che ho osservato sino ad ora - e sono tante - sono > generalmente progettate e gestite senza considerare i differenziali di > sicurezza e le peculiarità dei software di virtualizzazione. In quanti sanno > che un accesso RDP di qualsiasi livello al vCenter è uguale alla > compromissione dell'infrastruttura? O che il sistema di autoupdate di VMware è > stato vulnerabile fino alla 4.1 U1? O che la prima interfaccia web di XEN era > talmente broken che è stata ritirata dal download perchè era impossibile > metterla in sicurezza?
Per non parlare del bug in VMware (presente anche in ESXi 4.1) che "limita" le password ai soli primi 8 caratteri. Anche usando una password robusta e di 20 caratteri, l'algoritmo di autenticazione considera solo i primi 8... http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1024500 Saluti -- Dott. Matteo Cappelli email: [email protected] web: http://matteocappelli.wordpress.com ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
