Ceci n’est pas une pipe

Questa volta la vulnerabilità segnalata dal team Debian Security Advisory è di quelle che devono far correre ai ripari - è il caso di dirlo - anche il sysadmin più easy!

Come raramente accade, questa volta il problema è specifico della distro Linux, anche se si tratta di una conseguenza indiretta del bug non Debian-specific scoperto pochi giorni fa nell’applicazione OpenSSH. Per dirla in poche parole, tutte le chiavi host e user generate per ogni connessione SSH dal pacchetto `openssh` buggato sono completamente inaffidabili, poiché la loro generazione non è avvenuta seguendo un algoritmo di randomizzazione valido e sono pertanto facilmente “prevedibili”.

Per le persone sagge, allego in calce a questo post il comunicato del DSA.

Risolvere il problema è comunque un gioco da ragazzi. È sufficiente lanciare:

apt-get dist-upgrade

e confermare il prompt che riproduco qui di seguito:

Ecco infine il Debian Security Advisory DSA-1576-1. Buona lettura!

Sun ha finalmente deciso di aprire tutto il codice Java, ma proprio tutto, anche quelle porzioni che ha tenuto sino all’ultimo completamente inaccessibili alla community. La versione open source del framework di sviluppo Java si chiama OpenJDK e il suo uso sarà completamente regolato dalla licenza GPL.

A momento in cui scrivo restano ancora fuori gran parte delle librerie per cifratura, grafica, audio e gestione SNMP. Non è cosa da poco, ma il team di Sun sta lavorando per portare a termine il lavoro. La principale conseguenza sarà la riammissione di Java in tutte le distribuzioni GNU/Linux, ora osteggiata a causa della precedente licenza del Java Community Process, incompatibile con la GPL.

Gli obbiettivi di Sun sono gli stessi di tutte le grandi software house che si sono recentemente convertite alla filosofia open: catturare il maggior numero possibile di sviluppatori open source, contrastando così l’avanzata degli altri linguaggi runtime. Una battaglia che fa senz’altro bene anche alla community e alla filosofia che la governa.

Oggi mi si è presentato un piccolo problema: dopo avere aggiunto una stampante di rete HP Color LaserJet 2840 ad una LAN ho configurato i client perché stampassero su quella stampante mediante il protocollo di stampa CUPS. Sui tutti i client gira Debian GNU/Linux protetto da firewall iptable. Benché la stampante venisse individuata, era impossibile avviare la stampa di un documento senza prima disabilitare il firewall.

Analisi e risoluzione del problema hanno richiesto solo pochi minuti! Dopo avere avviato un `tail` su /var/log/messages ho lanciato una stampa di prova:

#tail -f /var/log/messages
Ho ottenuto immediatamente a video queste linee di log generate da iptable:

Mar 18 12:34:53 localhost kernel: DROPPED IN= OUT=eth2 src=192.168.1.112 DST=192.168.1.138 LEN=78 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=1700 DPT=161 LEN=58
Mar 18 12:34:53 localhost Officejet_6300_series?ip=192.168.1.138: INFO: open device failed; will retry in 30 seconds...

In altre parole, lo scambio di pacchetti UDP sulla porta 161 veniva impedito (in nerdese: droppato) dal firewall. È bastato aggiungere una regola al firewall perché permettesse il transito dei pacchetti UDP su quella porta per risolvere il problema.

Questa mattina ho letto un post che descrive una apparente vulnerabilità dei sistemi Linux. Si tratta in realtà di una sequenza di caratteri che - se lanciata da linea di comando - genera un loop infinito, con conseguente blocco di CPU e saturazione di RAM. Non si tratta quindi di una deficienza di Linux, ma di un evidente errore logico di chi lancia la stringa da bash su qualsiasi sistema operativo che ne sia dotato. L’autore del post suggerisce comunque la soluzione più semplice ed efficace per ovviare agli effetti del microscopico ma pericoloso script.

Forse questo articolo può essere utile per smorzare un po’ i toni apologetici con cui si decanta l’inossidabile sistema operativo GNU/Linux: esiste infatti una sequenza di pochi caratteri che, se digitata nel terminale, manda l’intero sistema in tilt. Leggi il resto »