Red Hat introduce RHEL una versione gratuita per piccoli carichi di lavoro fino a 16 sistemi

Dopo aver ricevuto molti reclami sugli ultimi piani di sviluppo per CentOS Linux, Red Hat inizierà a offrire Red Hat Enterprise Linux a costo zero per piccoli carichi di lavoro per la produzione e lo sviluppo.
Quando Red Hat ha annunciato che avrebbe cambiato CentOS Linux da un clone stabile di Red Hat Enterprise Linux (RHEL) a una distribuzione Linux di tipo “rolling”, molti utenti di CentOS hanno reagito con grande disappunto. Ora, trovare una nuova pace con i numerosi utenti, Red Hat sta introducendo una modalità d’uso di RHEL gratuito.

RHEL gratuito

Occorre segnalare che, al posto di CentOS Linux, Red Hat offriva da tempo agli sviluppatori l’uso gratuito di RHEL attraverso il programma Red Hat Developer. I termini dell’offerta in precedenza ne limitavano l’uso agli sviluppatori monomacchina. Ora Red Hat amplierà questo programma in modo che l’abbonamento per sviluppatore individuale a RHEL possa essere utilizzato anche in produzione per un massimo di 16 sistemi.
Per usufruire di questa possibilita’ di utilizzo e’ sufficiente la sola sottoscrizione al programma “Individual Developer”. Tale aggiornamento sara’ disponibile dal giorno 1 febbraio 2021.

Email aziendale, posta elettronica servizi a confronto

email aziendale confronto
email aziendale confronto

Comunque vengano chiamati, Email Aziendale, Posta Elettronica Aziendale, Piani Email Aziendali, si tratta sempre dei servizi più usati dalle aziende per lo scambio dei messaggi con i propri clienti e fornitori: posta elettronica.

Qui segnaliamo un caso reale di una azienda con diverse sedi in Italia che ha in uso 700 mailbox aziendali sul proprio dominio.
Il reparto IT ha deciso di rinnovare il proprio servizio e il fornitore e per questo ci ha chiesto di mettere a confronto quanto disponibile sul mercato. Ecco cosa e’ emerso.

Stime eseguite su 700 Email account *:

Gmail: 3.996,72 Euro/mese IVA COMPRESA (Caselle MAX 30 GB)

OVH: 2.553,46 Euro/mese IVA COMPRESA (Caselle MAX 50 GB)

Aruba: 1.779 Euro/mese IVA COMPRESA (Caselle MAX 25 GB)

Sicurezzarete: 470,00 Euro/mese IVA COMPRESA (Caselle MAX 30 GB)
Server mail dedicato, antivirus, antispam, firewall, pannello amministrativo, certificato ssl per tutti i protocolli (web, IMAP, SMTP), accesso tramite i protocolli POP3, IMAP e webmail, mailbox fino a 30 GB. Server fully managed ovvero gestito da Sicurezzarete (non occorre ulteriore assistenza). Durata minima contratto 6 mesi.
Stesso costo fino a 1000 Account.

In sostanza l’adozione di un server mail gestito (managed) per la gestione della email aziendale permette di avere un risparmio del 73% rispetto al servizio cloud piu’ economico e di avere a disposizione servizi migliori (30 GB di storage contro 25 GB spazio mailbox). Se poi il confronto dei servizi di email aziendale viene fatto con provider come Gmail o OVH il risparmio sale ad oltre il 40%. Se il numero di mailbox fosse maggiore di quello usato nel nostro confronto (700 mailbox aziendali), il risparmio aumenterebbe ancora.

* I calcoli sono stati eseguiti alla data del 27 ottobre 2018, aggiornati al 16 Gennaio 2021 e sono stati considerati i costi dei servizi piu’ possibili simili tra loro visto che alcuni fornitori scorporano in varie componenti i servizi acquistabili (estensione spazio di archiviazione, servizio imap, antispam, antivirus). Di ciascun fornitore viene riportato il link al listino usato sul relativo nome.

INFORMAZIONI

Rocky Linux il nuovo clone di RHEL

In arrivo in primavera il clone della distribuzione Linux Enterprise col cappello rosso.
La risposta dopo l’annuncio che a breve cessera’ il supporto di CentOS 8 (previsto inizialmente per il 2029 e anticipato al 2021 !)
L’annuncio di Jordan Pisaniello racconta quali sono gli sviluppi a poche settimane dall’avvio.
Le attese della comunita’ sono molte visto che la distribuzione e’ per molte aziende il sistema operativo alla base del proprio business.

Il gruppo di sviluppo dichiara che la trasparenza con la comunità e per coloro che si affideranno a Rocky Linux è fondamentale.
Presto sara resa pubblica la Timeline del che seguira’ i seguenti passi:

  • realizzazione dei sistemi e delle infrastrutture
  • creazione delle infrastrutture per il build automatico dei pacchetti
  • il repository dei pacchetti sarà reso pubblico per i test
  • disponibilità dell’installatore per i test
  • stimato il tempo necessario per i test della comunità
  • rilascio della release-candidate

Fonte: https://fossbytes.com/first-release-of-rocky-linux-will-arrive-after-march-2021/

La fine di CentOS come distribuzione Enterprise

In settembre si discuteva. Una idea sul futuro di CentOS: penso non sia roseo.

Senza tediarti gli eventi passati sono questi (la storia si ripete).

  • Redhat (la compagnia) fa business con la sua distribuzione libera e gratuita chiamata appunto “RedHat”, e’ il 1995 circa
  • per fare piu’ contratti di assistenza e profitto la distribuzione RedHat viene trasformata in Red Hat Enterprise Linux “RHEL”(circa 2003) non piu’ libera (solo i sorgenti, come impone la GPL sono disponibili), per accontentare la comunita’ e far sperimentazioni viene lanciata Fedora. Peccato che negli ambienti di produzione non si vuole sperimentazione ma STABILITA’.
  • Nasce CentOS come ricompilazione dei sorgenti di RHEL (circa 2004),
  • CentOS 6 e 7 si diffondono moltissimo nelle sale server,
  • 2018 tutti i dipendenti di CentOS assunti da RedHat !
  • 2018, viene rilasciata RHEL 8, la ricompilazione di RHEL 8 in CentOS 8 ritarda quasi 1 anno
  • 2018 nasce CentOS Stream: una versione non ricompilata dai sorgenti RHEL ma di sviluppo e test di RHEL (non adatta alla produzione… ci risiamo…)
  • 2019 RedHat viene acquisita da IBM…
    Mi sembra sia chiaro che i giganti dell’informatica (Google, Amazon, IBM, Oracle, …) ormai abbiano capito i modi per aggirare o superare gli ostacoli imposti dalle licenze del software libero e stanno producendo enormi profitti da cio’.
    Cosa ne sara’ di CentOS ??? Difficile dirlo ma e’ presente in una grossa fetta degli ambienti server e difficilmente non stimola l’appetito di soldi del mondo informatico.

Oggi 12 Dicembre 2020, la notizia che CentOS 8 e suoi futuri sviluppi termineranno. Sostituiti con una distribuzione di sviluppo e NON di produzione.
La notizia riporta chiaramente: “CentOS Linux 8, as a rebuild of RHEL 8, will end at the end of 2021.”

Fonte: https://blog.centos.org/2020/12/future-is-centos-stream/

Addio CentOS RIP

Fine supporto per CentOS 6, non sarà più aggiornato

Terminato il supporto di CentOS 6

Il famoso sistema operativo basato su Linux e clone della famosa distribuzione Enterprise RHEL 6 e’ giunto, dopo 10 anni di onorato servizio, alla fine del suo ciclo di vita. Dal 30 novembre 2020 i server con installato CentOS 6, non riceveranno aggiornamenti di sicurezza. Ha raggiunto quello che tecnicamente e’ chiamato EOL (End Of Life).
CentOS 6 e’ ancora molto diffuso ed installato su moltissimi server fisici, virtuali e in istanze cloud, in aziende e in server farm. L’impatto della fine supporto e’ percio’ rilevante in particolare dal punto di vista della sicurezza.

CentOS 6 fine supporto 30 novembre 2020
CentOS 6 fine supporto 30 novembre 2020

Non solo, chi oggi lancera’ una aggiornamento della lista dei pacchetti presenti nei repository ricevera’ un errore di questo tipo:

YumRepo Error: All mirror URLs are not using ftp, http[s] or file.
Eg. Invalid release/repo/arch combination/
removing mirrorlist with no valid mirrors: /var/cache/yum/x86_64/6/base/mirrorlist.txt
Errore: Cannot find a valid baseurl for repo: base

In questo modo, non solo non disporra’ degli aggiornamenti ma non potra’ neppure installare o reinstallare un pacchetto necessario.
Per questo problema c’e’ una soluzione: affidarsi agli archivi “vault” (ATTENZIONE:questo archivio non presenta aggiornamenti di sicurezza ma si tratta solo di un archivio di pacchetti utilizzabili). Bastera’ lanciare il seguente comando.

curl https://www.getpagespeed.com/files/centos6-eol.repo -o /etc/yum.repos.d/CentOS-Base.repo

Ovviamente, la soluzione a lungo termine non e’ quella di rimanere con un server privo di aggiornamenti ma di migrare ad altra versione del sistema operativo, ad esempio CentOS 7 che sara’ supportato fino al 2024 oppure CentOS 8 che avra’ aggiornamenti fino al 2029 (AGGIORNAMENTO CentOS 8 sara’ supportato solo fino al 2021 – Leggi ARTICOLO). L’aggiornamento di un sistema in produzione da centOS 6 alla versione 7 e’ sconsigliato, le due versioni presentano enormi differenze ( dal kernel al sistema di gestione dei servizi e molto altro ancora).
Anche la migrazione non e’ del tutto priva di problemi, le versioni dei pacchetti (php, Mysql, apache, etc.) tra versioni sono molto diverse e conviene fare una analisi prima di procedere. Se la procedura di migrazione preoccupa il consiglio e’ quello di affidarsi a sistemisti esperti che possono suggerire la soluzione migliore per evitare qualsiasi interruzione dei servizi. Suggeriamo l’assistenza offerta da SicurezzaRete.

Vulnerabilità WordPress, milioni di siti a rischio.

La vulnerabilita’ di WordPress
WPBakery, un diffuso plug-in per WordPress che svolge la funzionalita’ di editor html, ha una grave vulnerabilità che consente agli utenti con livello di autore e collaboratore di iniettare JavaScript e HTML dannosi in post e pagine. Il difetto interessa tutti i siti WPBakery che utilizzano la versione 6.4 e precedenti e coinvolge oltre 4 milioni di siti web.

Vulnerabilità WordPress WPbakery

I dettagli del problema
Wordfence ha scoperto una vulnerabilità nel famoso page builder di WPBakery (vedi articolo Wordfence del 7 ottobre 2020). La falla consentiva ad attaccanti autenticati con livello di contributore e autore di iniettare codice JavaScript dannoso in post e pagine. Inoltre, la vulnerabilità consente a questi utenti di modificare i post di altri utenti.

Ciò accade perché WPBakery ha disabilitato i controlli di filtraggio post-HTML predefiniti nella funzione saveAjaxFe. Pertanto, qualsiasi utente con accesso al generatore di pagine potrebbe potenzialmente iniettare HTML e JavaScript. Inoltre, la funzionalità onclick di WPBakery per i pulsanti consente agli hacker di aggiungere codice javascript dannoso in un pulsante che viene eseguito quando gli utenti fanno clic su di esso.
Le vulnerabilità wordpress nei plug-in e nei temi non sono nuove. Quindi, è una buona idea seguire alcune best practice di sicurezza per mantenere il tuo sito al sicuro. Infine, per prevenire attacchi DDOS e tenere a bada gli hacker.

Soluzione
La buona notizia è che c’è una soluzione rapida: aggiorna WPBakery all’ultima versione 6.4.1. Quindi ti consigliamo di aggiornare il generatore di pagine il prima possibile. Inoltre, tieni d’occhio tutti gli account a livello di contributore e autore per assicurarti che siano affidabili.

Utilizzi il page builder di WPBakery? Hai aggiornato all’ultima versione? Quale e’ lo stato degli altri plug-in? Se non sai come fare per aggiornare o hai poco tempo affidati a professionisti attraverso uncontratto di assistenza.

Falla su OpenVPN

Scoperta una falla di sicurezza sul pacchetto opensource piu’ usato per costruire connessioni sicure attraverso VPN. Il pacchetto e’ alla base di moltissime infrastrutture basate su Linux e in appliance che offrono la possibilita’ di creare con facilita’ tunnel criptati per la creazione di reti private virtuali.
Il bug di sicurezza OpenVPN e’ stato scoperto da Lev Stipakov e segnalata sulla lista degli sviluppatori il 15 Aprile 2020. E’ gia’ stata creata una patch al codice che corregge il problema.

VEDI sito web OpenVPN
Al bug e’ stato assegnato un codice CVE (Common Vulnerability Exposure), il CVE-2020-11810
Vedi sito web MITRE
Non e’ ancora chiara la gravita’ della falla cosi’ come la possibilità’ di sfruttarla per compiere operazioni non autorizzate. Non si sa neppure se esistono exploit 0day che hanno utilizzato tale falla. Non ancora classificato il bug di sicurezza nel’archivio NVD (National Vulnerability Database).
A breve i diversi vendor procederanno all’aggiornamento dei pacchetti, alcuni di essi lo hanno gia’ fatto (Slackware in primis)
Vedi sito web Slackware

SACK Panic: grave problema nei dispositivi basati su linux degli ultimi 10 anni

SACK panic sicurezza reti informatiche
SACK panic sicurezza reti informatiche

I ricercatori di Netflix hanno scoperto alcune nuove vulnerabilità denial-of-service (DoS) nei kernel Linux e FreeBSD, inclusa una grave vulnerabilità (CVSS: 8.2) chiamata SACK Panic che potrebbe consentire agli attori malintenzionati di bloccare da remoto i server ed interrompere le comunicazioni, secondo un advisory pubblicato nel repository Github: “Le vulnerabilità riguardano in particolare le capacità MSS (Maximum Segment Size) e SACK (Selective Acknowledgement) TCP. Il più serio, soprannominato “SACK Panic“, consente un blocco del kernel attivato da remoto sui kernel Linux”.

I ricercatori di Netflix hanno aggiunto che ci sono patch per la maggior parte di queste vulnerabilità e strategie di mitigazione aggiuntive da considerare se la patch non è possibile.

“I problemi sono stati assegnati codici CVE: CVE-2019-11477 è considerato un livello di gravità importante, mentre CVE-2019-11478 e CVE-2019-11479 sono considerati di gravità moderata”, ha dichiarato un advisory di Red Hat.

Questi difetti possono avere un impatto su qualsiasi organizzazione che esegue grandi flotte di computer Linux di produzione e, se lasciati privi di patch, consentono agli aggressori remoti di assumere il controllo e bloccare le macchine.
Una volta che la maggior parte di delle infrastrutture avra’ ricevuto la patch appropriata, molte organizzazioni dovranno affrontare la lunga coda del ciclo di aggiornamento. Alla fine di questa coda ci sono i dispositivi che non ricevono aggiornamenti automatici e che potrebbero non ricevere alcun aggiornamento – la IOT (Internet of things) e i dispositivi non gestiti che in molti casi sono costruiti su Linux (router, firewall, VPN, etc.). Questa vulnerabilità risale a molto tempo indietro (dal momento che Linux v2.6.29, che è stato rilasciato 10 anni fa), quindi la quantità di dispositivi legacy che usano il codice vulnerabile sarà molto significativa in questo caso, e questi tipi di dispositivi probabilmente non riceveranno aggiornamenti e rimarranno vulnerabili.

RIFERIMENTI

  • SACK Panic (CVE-2019-11477)
  • SACK Slowness or Excess Resource Usage (CVE-2019-11478)
  • SACK Slowness the RACK TCP Stack (CVE-2019-5599)
  • Excess Resource Consumption Due to Low MSS Values (CVE-2019-11479)

Falla di Exim mette a rischio milioni di server

Una grave vulnerabilità (CVE-2019-10149), che ha un punteggio di gravità critico di 9,8 su 10 sulla scala CVSS v3, è stata scoperta il 5 giugno nelle versioni dalla 4.87 alla 4.91 di Exim. La versione 4.92 di Exim non è vulnerabile.
La maggiore gravita’ della falla consiste nel fatto che, in determinate condizioni (non rare) la falla puo’ essere sfruttata da remoto per eseguire comandi di livello amministrativo.

Grave falla in server mail Exim
Grave falla in server mail Exim

Il server di posta Exim e’ un MTA open-source, che riceve, instrada e consegna messaggi e-mail da utenti locali e host remoti.
Exim è l’MTA predefinito incluso in alcuni sistemi Linux tra cui il diffusissimo sistema di Web-Hosting WHM/Cpanel.

Gli aggressori stanno sfruttando un difetto critico di Linux Exim per eseguire comandi remoti, scaricare i ministri crittografici e annusare altri server vulnerabili.

Nello specifico, sotto attacco è un difetto nei server di posta basati su Exim, che gestiscono un enorme numero di server di posta elettronica di Internet.

Exim è infatti ampiamente distribuito. Al momento della pubblicazione, i risultati di ricerca di una ricerca condotta da Shodan mostrano oltre 4,1 milioni di sistemi che eseguono versioni di Exim considerate vulnerabili (4.87-4.91), mentre 475.591 utilizzano l’ultima versione con patch (4.92). In altre parole, quasi il 90% dei sistemi con Exim è vulnerabile allo sfruttamento locale e potenzialmente allo sfruttamento remoto basato sulla configurazione.I risultati mostrano oltre 4,1 milioni di sistemi che eseguono versioni di Exim considerate vulnerabili (4.87-4.91)

Risultati totali per numero di versione
Exim 4.87: 206.024
Exim 4.88: 24.608
Exim 4.89: 206.571
Exim 4.90: 5.480
Exim 4.91: 3.738.863
Exim 4.92: 475.591

Gli aggressori stanno sfruttando il difetto, scoperto la scorsa settimana, per prendere il controllo delle macchine della vittima, cercare su Internet altre macchine da infettare e avviare un’infezione da cryptominer.

Una campagna diffusa sta sfruttando una vulnerabilità nell’agente di trasporto della posta Exim (MTA) per ottenere l’esecuzione da remoto dei comandi sui sistemi Linux delle vittime. I ricercatori dicono che attualmente più di 3,5 milioni di server sono a rischio dagli attacchi, che utilizzano un exploit wormable.

“Questi tipi di attacchi hanno grandi implicazioni per le organizzazioni”, hanno detto i ricercatori di Cybereason in un post di giovedì. ” Il processo di recupero da questo tipo di attacco è costoso e richiede molto tempo.”

Il difetto
Il difetto deriva dalla convalida impropria dell’indirizzo del destinatario nella funzione deliver_message () nel server.

“Una patch esiste già, è in fase di test e backported a tutte le versioni rilasciate da (e incluso) 4.87”, secondo un recente avviso di sicurezza. ” La gravità dipende anche dalla configurazione. Dipende da quanto vicino alla configurazione standard è la tua configurazione di runtime Exim.

Una prima ondata di attacchi a questa vulnerabilità – che ha coinvolto utenti malintenzionati che lanciavano exploit da un malintenzionato server command-and-control (C2) – è stata scoperta il 9 giugno dal ricercatore Freddie Leeman.

Si consigli di provvedere subito all’aggiornamento dei server che presentano tale grave falla al fine di proteggere i propri utenti e quelli esterni che possono veder violati i propri dati riservati. A tal fine si consiglia di lasciar operare sistemisti linux esperti (suggeriamo i servizi erogati da SicurezzaRete.com)

Denial of service web server linux, danni economici e soluzioni

Segue un caso reale di Denial Of Service Distribuito di web server linux risolto da SicurezzaRete.

Scenario: Contatto di azienda che eroga contenuti multimediali a pagamento. Richiesta assistenza per server bloccato poiche’ sotto attacco di tipo Denial Of Service da 10 giorni.

Richiesta ricevuta da SicurezzaRete: “Da alcuni giorni il nostro server subisce degli attacchi ddos. Nonostante il sito sia protetto da cloudflare e dal firewall CSF questo hacker riesce a tenerlo giù per ore, fino a che il provider N….cheap blocca l’ip per troppi accessi… Abbiamo assolutamente necessità che in giornata il sito sia messo in sicurezza…”

Tipo: messa in sicurezza e ripristino servizio.

Priorita’: urgente

Danni stimati: 35.000-45.000 Euro di mancato fatturato in 10 giorni.

Giorno 0
Analisi: Il problema e’ causato da un attacco Denial of service distribuito (DDOS) presumibilmente generato con strumenti tipo memcrashed (sfruttano circa 80.000 host compromessi per generare un effetto moltiplicatore di traffico UDP) usati per saturare la banda disponibile per l’host.

Alla ripetuta sollecitazione al provider (N…cheap) la risposta e’ deludente e mostra la loro impossibilita’ tecnica di bloccare il Denial of service:
We are afraid that the DDoS attack is still in place (UDP pkts/s > 8000; 622.60Mb/s). This time on on 198.x.y.z again. The next network block will expire within half an hour. Reboot won’t help here.
We are deeply sorry.

Giorno 1
Azione 1: apertura canale sul server bloccato
Azione 2: attivazione nuovo server presso un provider con dispositivi adeguati di protezione anti-DDOS
Azione 3: messa in sicurezza totale dei servizi sul nuovo server. Configurazione DNS corretta.
Azione 4: migrazione verso nuovo server di tutta la piattaforma. Ottimizzazione server.
Azione 5: configurazione per accessibilita’ della macchina solo da front-end (Cloudflare).
Azione 6: ripristino del servizio, avvenuto entro 36 ore dalla prima chiamata.

Nuovo attacco di tipo diverso verso Cloudflare. Rallentamento del server.
Azione 7: creazione script per interazione attraverso API Cloudflare per protezione dinamica della macchina. Servizi completamente operativi ed efficienti. IlDenial of service del web server linux non e’ piu’ efficace.

Conclusioni:
a) si consiglia di affidarsi a provider di buon livello in particolare se si tratta di business on-line dove i disservizi possono generare danni economici significativi.
b) affidarsi a sistemisti esperti (SicurezzaRete) per la soluzione di problemi tecnici di rete e/o sistemistici complessi.

Denial of service web server linux

Richiedi assistenza per Denial of service web server linux