Terminato supporto di sicurezza per PHP 5.5, 80% di server a rischio

Da 21 luglio 2016 e’ terminato il supporto di sicurezza al PHP 5.5 (nella sua ultima incarnazione 5.5.38) (fonte Unsupported Branches php.net).

Nonostante cio’ le statistiche di rilevamento, ad ottobre 2016 (fonte W3techs) indicano che oltre l’80% dei server usa versioni non piu’ supportate per la sicurezza, ovvero versioni dalla 5.0 alla 5.5. Solo una piccola percentuale ha adottato le nuove versioni tra cui la 5.6 che ricevera’ supporto fino a dicembre 2018.
Nel frattempo, dal 21 luglio, sono stati scoperti per il PHP 5.6 numerosi nuovi problemi di sicurezza (fonte changelog php.net) che molto probabilmente affliggono anche le versioni precedenti (PHP 5.5, PHP 5.4, PHP 5.3, PHP 5.2, etc.).

bug #73007 (add locale length check). (CVE-2016-7416)
bug #72293 (Heap overflow in mysqlnd related to BIT fields). (CVE-2016-7412)
bug #72928 (Out of bound when verify signature of zip phar in phar_parse_zipfile). (CVE-2016-7414)
bug #73029 (Missing type check when unserializing SplArray). (CVE-2016-7417)
bug #73052 (Memory Corruption in During Deserialized-object Destruction). (CVE-2016-7411)
bug #72860 (wddx_deserialize use-after-free). (CVE-2016-7413)
bug #73065 (Out-Of-Bounds Read in php_wddx_push_element). (CVE-2016-7418)
bug #72663 (Create an Unexpected Object and Don’t Invoke __wakeup() in Deserialization). (CVE-2016-7124)
bug #72681 (PHP Session Data Injection Vulnerability). (CVE-2016-7125)
bug #72627 (Memory Leakage In exif_process_IFD_in_TIFF). (CVE-2016-7128)
bug #72697 (select_colors write out-of-bounds). (CVE-2016-7126)
bug #72730 (imagegammacorrect allows arbitrary write access). (CVE-2016-7127)
bug #72749 (wddx_deserialize allows illegal memory access). (CVE-2016-7129)
bug #72750 (wddx_deserialize null dereference). (CVE-2016-7130)
bug #72790 (wddx_deserialize null dereference with invalid xml). (CVE-2016-7131)
bug #72799 (wddx_deserialize null dereference in php_wddx_pop_element). (CVE-2016-7132)

Si consiglia di provvedere autonomamente agli aggiornamenti dei webserver o affidandosi a servizi offerti da aziende specializzate come SicurezzaRete.com

Dropbox, rubati i dati di 68 milioni di account. Cloud sicuro?

Gli hacker hanno ottenuto le credenziali per più di 68 milioni di account per la piattaforma on-line di cloud storage Dropbox. Il furto risale ad una violazione dei dati avvenuta nel 2012, ma solo da pochi giorni si è capita l’entità del furto e i potenziali problemi della sicurezza cloud.
Dropbox ha confermato pochi giorni fa la violazione ed ha comunicato ai propri clienti l’obbligo di reimpostazione la propria password.

sicurezza cloud
sicurezza cloud

Il servizio di controllo e notifica delle violazioni del servizio Leakbase ha individuato file ottenuti dai “trafficanti di database”, circa 5GB di dati contenenti dettagli su 68,680,741 account, che comprendono gli indirizzi e-mail e le hash delle password di utenti Dropbox.

Un dipendente senza nome di Dropbox ha verificato la legittimità dei dati.
Dei 68 milioni, quasi 32 milioni di password sono protette con la funzione di hashing “Bcrypt”, che rende difficile per gli hacker di ottenere le password effettive degli utenti, mentre il resto delle password sono protette debolmente con l’algoritmo di hash SHA-1.

“Abbiamo confermato che la reimpostazione della password proattivo che abbiamo completato la scorsa settimana ha riguardato tutti gli utenti potenzialmente coinvolti”, ha detto Patrick Heim, responsabile della Sicurezza e fiducia per Dropbox.

Fonte: http://thehackernews.com/2016/08/dropbox-data-breach.html

Sicurezza, prestazioni, end-of-life e aggiornamento server linux

Fonte www.sicurezzarete.com.
Gli utenti chiedono sempre nuove features, gli sviluppatori aggiungono protocolli, interfacce, metodi, migliorano, ottimizzano e creano nuove versioni. Cosi’ inesorabilmente i software piu’ vecchi diventano obsoleti e su di essi, pur trattando di open-source, ben pochi ci mettono le mani. Nella fase terminale della loro vita i software ricevono per un po’ solo i “security update”, gli aggiornamenti di sicurezza, quelli senza i quali tali software diverrebbero un grave problema. Poi, i gruppi di sviluppatori piu’ corretti fissano una data di end-of-life, ovvero la fine di qualuque supporto per quella versione del software. Dopo tale data gli sviluppatori ufficiali non apportano piu’ modifiche, neanche quelle per rimediare alle falle di sicurezza piu’ gravi.
Sicurezza Linux End-of-LifeGli sviluppatori corretti si e’ detto, si’ perche’ alcuni terminano completamente il supporto senza neanche renderlo ufficiale. No, non stiamo parlando di qualche solitario free-lance, dentro questa schiera ci sono colossi come APPLE! Si’ avete capito bene, il meraviglioso OSX, il sistema operativo che gira sui famosi “mac” non ha infatti una programmazione di ciclo di vita. Si riceve solo un “caldo” invito ad aggiornare, tanto poi, da alcuni anni il nuovo OS e’ gratis… Si’ ma qualcuno ha hardware non supportato, e per loro?
Tra i software estremamente diffusi che hanno invece un rapido e scandito ciclo di sviluppo, supporto ed end-of-life c’e’ il diffusissimo PHP, il linguaggio server-side usato da oltre l’81% di siti al mondo (1) nel 2016. In particolare la versione 5 domina la scena completamente (2) con il 98,7% rispetto a tutte le versioni da sempre sviluppate.

Delle varie minor-release della versione 5 si osserva inoltre la seguente diffusione (3):

PHP Versione 5.3 -> 34.0% (EOL 14 agosto 2014)
PHP Versione 5.4 -> 30.3% (EOL 2 settembre 2015)
PHP Versione 5.5 -> 16.2%
PHP Versione 5.2 -> 12.3% (EOL 6 gennaio 2011)
PHP Versione 5.6 -> 6.4%
PHP Versione 5.1 -> 0.8% (EOL 24 agosto 2006)
PHP Versione 5.0 -> meno dello 0.1% (EOL 5 settembre 2005)
PHP Versione 5.7 -> meno dello 0.1%

Ora pero’ osservando il ciclo di end-of-life di PHP (4) si nota una cosa importante:
le versioni precedenti alla 5.5 hanno terminato il loro ciclo di supporto alla sicurezza dal 2 settembre 2015. Facendo i calcoli il 77% dei siti web usano una versione di PHP che NON RICEVE SUPPORTO DI SICUREZZA pertanto, in alcuni casi, sono facilmente violabili. L’unica attenuante sono le distribuzioni di classe Enterprise le quali continuano ad applicare patch alle vecchie versioni di PHP per prolungarne la vita.
La soluzione efficace al problema e’ quella di affidarsi ad aziende di assistenza sistemistica che provvedano all’aggiornamento dei server linux e unix al fine di mantenere nel tempo un adeguato livello di sicurezza che possa garantire continuità dei servizi e protezione dei dati.

(1) http://w3techs.com/technologies/overview/programming_language/all
(2) http://w3techs.com/technologies/details/pl-php/all/all
(3) http://w3techs.com/technologies/details/pl-php/5/all
(4) http://php.net/supported-versions.php

Gennaio 2016

Aggiornamento dei certificati ssl, SHA-1 ed effetti su server e client

Nelle scorse settimane i grandi vendor e produttori di browser (leggi Google, Microsoft, Firefox, Opera ) stanno affrontando il problema di dover smettere di accettare certificati ssl firmati con l’algoritmo SHA-1.
sha1_certificati_crittografia
Questo algoritmo che dovrebbe infatti garantire l’autenticita’ della fonte a cui si e’ connessi non e’ piu’ ritenuto sicuro. Alcuni ricercatori sono riusciti a produrre delle “collisioni” e pertanto costruire la possibilita’ di falsificare l’autenticita’ di siti web apparentemente protetti dal “lucchetto verde” e dal sigillo “Connessione Sicura”  (approfondire su argomento SHA1 collisioni, Boomerang Attack).
L’effetto e’ a catena e spinge a un nuovo ricambio generazionale di hardware e software: i vendor decidono di NON accettare piu’ i certificati firmati SHA-1 attraverso i loro browser aggiornati, i grandi utilizzatori (leggi in particolare le Banche) vengono contattati dai loro utenti che rilevano la connessione come “NON sicura”.
installazione di certificati sslI fornitori di servizi “necessariamente sicuri” sono percio’ costretti a sostituire i certificati vecchi con certificati nuovi. I nuovi certificati NON funzionano con i vecchi sistemi operativi e browser (leggi Win XP e Internet Explorer). Gli utenti con vecchi sistemi sono costretti ad aggiornare i loro sistemi.
I gestori di server che usano certificati ssl per proteggere i dati in transito e garantire l’autenticità del proprio sito dovranno a breve aggiornare i certificati o installare la versione SHA256 dei certificati intermedi, pena la segnalazione agli utenti di connessioni “non protette”.
E’ evidente percio’ l’mportanza della corretta gestione ed installazione dei certificati ssl. Rivolgersi a personale qualificato per procedere alla installazione di certificati ssl per server web validita’.