Re: CVE-2021-38503
On 22/11/21 08:20, Diego Zuccato wrote: Il 21/11/2021 08:19, Davide Prina ha scritto: Ad esempio è stata scoperta recentemente una vulnerabilità sui sorgenti di quasi tutti i linguaggi di programmazione e, almeno l'ultima volta che avevo letto, non c'erano i dettagli per capire cosa effettivamente fosse e mi sembra che avevano dato 70 giorni a tutti per sistemare il problema prima di rendere totalmente pubblica la vulnerabilità. Però, IMVHO, non è una vulnerabilità del compilatore. Non avevo detto questo, poiché quando avevo letto io non c'era scritto quasi nulla. Però qui: https://www.schneier.com/blog/archives/2021/11/hiding-vulnerabilities-in-source-code.html dice: many compilers, interpreters, code editors, and repositories have implemented defenses Quindi probabilmente introdurranno un flag in vari compilatori per intercettare problematiche di questo tipo e segnalarle Infatti qui: https://trojansource.codes/ dice: Compilers, interpreters, and build pipelines supporting Unicode should throw errors or warnings for unterminated bidirectional control characters in comments or string literals, and for identifiers with mixed-script confusable characters. Language specifications should formally disallow unterminated bidirectional control characters in comments and string literals. Code editors and repository frontends should make bidirectional control characters and mixed-script confusable characters perceptible with visual symbols or warnings. e nel PDF spiega un po' meglio di cosa si tratta: https://trojansource.codes/trojan-source.pdf Quando avevo letto io c'era solo un accenno al fatto di tipi di caratteri estesi, di commenti, di lettura destra-sinistra e sinistra-destra, senza far capire nulla, invece nel pdf è spiegato tutto più in dettaglio. Ciao Davide -- Fate una prova di guida ... e tenetevi la macchina!: http://linguistico.sf.net/wiki/doku.php?id=usaooo2 Non autorizzo la memorizzazione del mio indirizzo su outlook
Re: CVE-2021-38503
On 22/11/21 08:19, Paolo Redælli wrote: Il 21/11/21 08:19, Davide Prina ha scritto: Ad esempio è stata scoperta recentemente una vulnerabilità sui sorgenti di quasi tutti i linguaggi di programmazione e, almeno l'ultima volta che avevo letto, non c'erano i dettagli per capire cosa effettivamente fosse e mi sembra che avevano dato 70 giorni a tutti per sistemare il problema prima di rendere totalmente pubblica la vulnerabilità. Mi incuriosisci! Di cosa si trattava? da quello che avevo capito si può introdurre nei sorgenti codice malevolo immettendolo nei commenti e sfruttando il fatto che per alcune lingue si scriva da destra a sinistra e per altre da sinistra a destra. In questo modo un'analisi manuale può ritenere una cosa innocua, quando in realtà non lo è. Quando avevo letto io c'era ancora l'embargo e non si avevano dettagli, ma solo un accenno generico, ora non so se l'embargo è finito. Comunque cercando dovrebbe essere questo il CVE aperto: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-42574 e anche qui se ne era parlato https://www.schneier.com/blog/archives/2021/11/hiding-vulnerabilities-in-source-code.html Ciao Davide -- Fate una prova di guida ... e tenetevi la macchina!: http://linguistico.sf.net/wiki/doku.php?id=usaooo2 Non autorizzo la memorizzazione del mio indirizzo su outlook
Re: CVE-2021-38503
Il 21/11/2021 08:19, Davide Prina ha scritto: quando una vulnerabilità è stata scoperta viene comunicata alla comunità che gestisce la sicurezza sui vari sistemi operativi e componenti. Dicesi "responsible disclosure". In alternativa, chi l'ha scoperta la vende a gruppi che la utilizzano per i loro fini. Indovina chi viene pagato di più... :( Ad esempio è stata scoperta recentemente una vulnerabilità sui sorgenti di quasi tutti i linguaggi di programmazione e, almeno l'ultima volta che avevo letto, non c'erano i dettagli per capire cosa effettivamente fosse e mi sembra che avevano dato 70 giorni a tutti per sistemare il problema prima di rendere totalmente pubblica la vulnerabilità. Questa dovrebbe essere un problema col supporto unicode. In pratica, puoi alterare il codice in modo che una chiamata ad una funzione apparentemente innocua in realtà ne chiami una malevola. Oppure che un controllo di accesso "sbagli" variabile. Purtroppo in unicode ci sono molti simboli formalmente diversi ma graficamente (quasi) uguali. In più i marker RTL o LTR non vengono evidenziati. Però, IMVHO, non è una vulnerabilità del compilatore. Non più del fatto che possa compilare codice contenente bug. Al limite è un problema dei tool di revisione del codice (che, p.e., dovrebbero accettare solo set di caratteri ASCII o di una codepage). E comunque non è una vulnerabilità, a meno che un sorgente non possa far crashare l'ambiente di sviluppo, o fargli eseguire codice arbitrario automaticamente... :) -- Diego Zuccato DIFA - Dip. di Fisica e Astronomia Servizi Informatici Alma Mater Studiorum - Università di Bologna V.le Berti-Pichat 6/2 - 40127 Bologna - Italy tel.: +39 051 20 95786
Re: CVE-2021-38503
On 17/11/21 15:48, Piviul wrote: Il 17/11/21 14:58, Mattia Rizzolo ha scritto: [...] Quindi è da anni che per quei pacchetti (e altri) semplicemente si prende qualsiasi cosa rilasci upstream. Quindi normalmente debian che fa? Aggiorna le versioni di TB e FF anche in stable? ...me ne rendo conto solo ora per Firefox c'era anche un altro problema, il team mozilla era poco collaborativo e creare patch per riportare in versioni vecchie di Firefox le modifiche che risolvevano/mitigavano il problema era davvero complesso. Da questo avevano deciso di portare anche in stable versioni più recenti di Firefox. Ciao Davide -- Strumenti per l'ufficio: https://www.libreoffice.org GNU/Linux User: 302090: http://counter.li.org Non autorizzo la memorizzazione del mio indirizzo su outlook
Re: CVE-2021-38503
On 16/11/21 16:31, Piviul wrote: A me sembra un fake: se si va nel "national vulnerability database" dice "CVE ID Not Found"[¹]. La descrizione della vulnerabilità[²] dice essere riservata così non si può sapere di cosa si tratta... quando una vulnerabilità è stata scoperta viene comunicata alla comunità che gestisce la sicurezza sui vari sistemi operativi e componenti. Viene dato un periodo di tempo di X giorni/mesi per permettere a tutti di predisporre patch/workaround che sistemano o mitigano totalmente/parzialmente il problema. In tale periodo di tempo i dettagli non sono resi pubblici per evitare che malintenzionati possano nel frattempo sfruttare la vulnerabilità scoperta per fare attacchi. Ad esempio è stata scoperta recentemente una vulnerabilità sui sorgenti di quasi tutti i linguaggi di programmazione e, almeno l'ultima volta che avevo letto, non c'erano i dettagli per capire cosa effettivamente fosse e mi sembra che avevano dato 70 giorni a tutti per sistemare il problema prima di rendere totalmente pubblica la vulnerabilità. Ciao Davide [¹] https://nvd.nist.gov/vuln/detail/CVE-2021-38503 [²] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-38503 -- Motivi per non comprare/usare ms-windows-vista: http://badvista.fsf.org/ Non autorizzo la memorizzazione del mio indirizzo su outlook
Re: CVE-2021-38503
Il 16/11/21 16:31, Piviul ha scritto: non è strano che nel mondo debian non se ne parli proprio? In realtà è documentato nel Debian Security Tracker[1] A me sembra un fake: se si va nel "national vulnerability database" dice "CVE ID Not Found"[¹]. La descrizione della vulnerabilità[²] dice essere riservata così non si può sapere di cosa si tratta... aspettiamo e vediamo ma se qualcuno ne sapesse qualcosa... Grazie Piviul [¹] https://nvd.nist.gov/vuln/detail/CVE-2021-38503 [²] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-38503 Perché pensi sia un fake? E' normale che vulnerabilità importanti vengano sottoposte ad un periodo di embargo prima di rendere pubblici i dettagli per dare a tutti la possibilità di creare ed applicare le correzioni necessarie. [1] https://security-tracker.debian.org/tracker/CVE-2021-38503 -- Mandi. Paolo
Re: CVE-2021-38503
Il 17/11/21 14:58, Mattia Rizzolo ha scritto: [...] Quindi è da anni che per quei pacchetti (e altri) semplicemente si prende qualsiasi cosa rilasci upstream. Quindi normalmente debian che fa? Aggiorna le versioni di TB e FF anche in stable? ...me ne rendo conto solo ora Piviul
Re: CVE-2021-38503
Purtroppo è una pratica adottata anche dove non si dovrebbe, e da parecchio. Quando acquistammo un sistema di storage da EMC (prima che entrasse Dell!), ogni volta che provavamo a segnalare un problema, prima ancora di prenderlo a mano ci richiedevano di aggiornare il firmware e i driver FC. Ovvero avevamo preso un sistema che non doveva fermarsi mai e alla fine stava più tempo fermo per aggiornamenti che in funzione. Inutili, la maggior parte delle volte... Il 17/11/2021 14:58, Mattia Rizzolo ha scritto: On Wed, Nov 17, 2021 at 02:43:35PM +0100, Piviul wrote: Pensavo fosse un fake perché temevo che fosse un modo per sponsorizzare pratiche alla windows maniera cosa a cui mi sembra ubuntu si stia adeguando dove si è soliti aggiornare all'ultima versione un programma invece di creare ed installare una patch per la versione corrente senza pensare che magari facendo l'aggiornamento di versione sicuramente si risolve il baco ma si potrebbe introdurne altri non ancora scoperti ma più importanti... Quanto dici ha molto senso, con l'eccezione che firefox/chromium/thunderbird e altri sono troppo troppo grossi e tirano su davvero troppi CVE con molta regolarità, al punto che è abbastanza improponibile patchare singole vulnerabilità nella distribuzione e restare sani a lungo termine. Quindi è da anni che per quei pacchetti (e altri) semplicemente si prende qualsiasi cosa rilasci upstream. -- Diego Zuccato DIFA - Dip. di Fisica e Astronomia Servizi Informatici Alma Mater Studiorum - Università di Bologna V.le Berti-Pichat 6/2 - 40127 Bologna - Italy tel.: +39 051 20 95786
Re: CVE-2021-38503
On Wed, Nov 17, 2021 at 02:43:35PM +0100, Piviul wrote: > Pensavo fosse un fake perché temevo che fosse un modo per sponsorizzare > pratiche alla windows maniera cosa a cui mi sembra ubuntu si stia adeguando > dove si è soliti aggiornare all'ultima versione un programma invece di > creare ed installare una patch per la versione corrente senza pensare che > magari facendo l'aggiornamento di versione sicuramente si risolve il baco ma > si potrebbe introdurne altri non ancora scoperti ma più importanti... Quanto dici ha molto senso, con l'eccezione che firefox/chromium/thunderbird e altri sono troppo troppo grossi e tirano su davvero troppi CVE con molta regolarità, al punto che è abbastanza improponibile patchare singole vulnerabilità nella distribuzione e restare sani a lungo termine. Quindi è da anni che per quei pacchetti (e altri) semplicemente si prende qualsiasi cosa rilasci upstream. -- regards, Mattia Rizzolo GPG Key: 66AE 2B4A FCCF 3F52 DA18 4D18 4B04 3FCD B944 4540 .''`. More about me: https://mapreri.org : :' : Launchpad user: https://launchpad.net/~mapreri `. `'` Debian QA page: https://qa.debian.org/developer.php?login=mattia `- signature.asc Description: PGP signature
Re: CVE-2021-38503
Il 17/11/21 08:55, Paolo Miotto ha scritto: [...]Perché pensi sia un fake? E' normale che vulnerabilità importanti vengano sottoposte ad un periodo di embargo prima di rendere pubblici i dettagli per dare a tutti la possibilità di creare ed applicare le correzioni necessarie. [1] https://security-tracker.debian.org/tracker/CVE-2021-38503 Si, infatti come dicevo in un precedente post qua[¹] si possono trovare tutte le CVE riguardanti thunderbird e il loro stato ed in effetti c'è anche la CVE-2021-38503 in cui si dice soltanto che è stato risolto in sid con l'aggiornamento alla versione 91.3. Pensavo fosse un fake perché temevo che fosse un modo per sponsorizzare pratiche alla windows maniera cosa a cui mi sembra ubuntu si stia adeguando dove si è soliti aggiornare all'ultima versione un programma invece di creare ed installare una patch per la versione corrente senza pensare che magari facendo l'aggiornamento di versione sicuramente si risolve il baco ma si potrebbe introdurne altri non ancora scoperti ma più importanti... Grazie Piviul [¹] https://security-tracker.debian.org/tracker/source-package/thunderbird
Re: CVE-2021-38503
Il 16/11/21 18:05, valerio ha scritto: [...] descrizione della vulnerabilità[²] dice essere riservata così non si può sapere di cosa si tratta... aspettiamo e vediamo ma se qualcuno ne sapesse qualcosa... anch'io sono curioso... In effetti qua[¹] si vedono una decina di CVE di thunderbird senza patch ma risolti in sid con l'aggiornamento alla 91.x Piviul [¹] https://security-tracker.debian.org/tracker/source-package/thunderbird
Re: CVE-2021-38503
Il 16/11/21 16:31, Piviul ha scritto: Il 16/11/21 12:01, valerio ha scritto: https://tracker.debian.org/pkg/thunderbird può dirti qualcosa, sembra che stiano testando la 91... per portarla in unstable... io sto parlando di stable; non è strano che nel mondo debian non se ne parli proprio? A me sembra un fake: se si va nel "national vulnerability database" dice "CVE ID Not Found"[¹]. La mi sembra che sia su sid, ovviamente per essere ulteriormente testata, sembra che manchi qualcosa per portarla in altre versioni. e mi sembra che sia piuttosto vecchia. descrizione della vulnerabilità[²] dice essere riservata così non si può sapere di cosa si tratta... aspettiamo e vediamo ma se qualcuno ne sapesse qualcosa... anch'io sono curioso... Grazie Piviul [¹] https://nvd.nist.gov/vuln/detail/CVE-2021-38503 [²] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-38503 valerio
Re: CVE-2021-38503
Il 16/11/21 12:01, valerio ha scritto: Il 16/11/21 09:28, Piviul ha scritto: Ciao a tutti, leggendo qua[¹] sembra che ci sia una vulnerabilità per thunderbird 78.x che è proprio la versione presente in debian stable. Qualcuno sa come debian pensa di affrontare la cosa essendoci in stable (bullseye) proprio tale versione? Piviul [¹] https://www.omgubuntu.co.uk/2021/11/thunderbird-91-backport-ubuntu-18-04-20-04-lts ciao, forse questo: https://tracker.debian.org/pkg/thunderbird può dirti qualcosa, sembra che stiano testando la 91... per portarla in unstable... io sto parlando di stable; non è strano che nel mondo debian non se ne parli proprio? A me sembra un fake: se si va nel "national vulnerability database" dice "CVE ID Not Found"[¹]. La descrizione della vulnerabilità[²] dice essere riservata così non si può sapere di cosa si tratta... aspettiamo e vediamo ma se qualcuno ne sapesse qualcosa... Grazie Piviul [¹] https://nvd.nist.gov/vuln/detail/CVE-2021-38503 [²] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-38503
Re: CVE-2021-38503
Il 16/11/21 09:28, Piviul ha scritto: Ciao a tutti, leggendo qua[¹] sembra che ci sia una vulnerabilità per thunderbird 78.x che è proprio la versione presente in debian stable. Qualcuno sa come debian pensa di affrontare la cosa essendoci in stable (bullseye) proprio tale versione? Piviul [¹] https://www.omgubuntu.co.uk/2021/11/thunderbird-91-backport-ubuntu-18-04-20-04-lts ciao, forse questo: https://tracker.debian.org/pkg/thunderbird può dirti qualcosa, sembra che stiano testando la 91... valerio
CVE-2021-38503
Ciao a tutti, leggendo qua[¹] sembra che ci sia una vulnerabilità per thunderbird 78.x che è proprio la versione presente in debian stable. Qualcuno sa come debian pensa di affrontare la cosa essendoci in stable (bullseye) proprio tale versione? Piviul [¹] https://www.omgubuntu.co.uk/2021/11/thunderbird-91-backport-ubuntu-18-04-20-04-lts