Gentili utenti vi informiamo che il team di MyTech si è spostato sul canale Hitech & Scienza di Panorama.it

      non hai uno username? regìstrati   /   recupera la password

apple / google / microsoft
business

Applicazioni / Digitbiz / Mobile / Networking / Server & Storage

Archivio » 2004 » dicembre » martedì 28 »

Santy, le mutazioni del worm natalizio

Scritto da Guido Sintoni

[img]
Problemi di sicurezza per i server Web con php

Bookmark and Share

Articoli correlati

Santy è indubbiamente il worm del momento: diffusosi nel periodo prenatalizio, colpisce sistemi Unix/Linux, agendo sul lato server. Si tratta quindi di un problema che riguarda soprattutto gli amministratori di rete.
Il worm ricerca server Web su cui è installata una versione di phpBB (un software per implementare forum di discussione) vulnerabile al bug chiamato Phpbb Remote Urldecode Input Validation Vulnerability.
I rimedi sono noti: è necessario aggiornare il software alla versione 2.0.11. Dopo più di una polemica, i tecnici del motore di ricerca usato per ricercare i server Web vulnerabili (Google) hanno filtrato le richieste così da rendere Santy inoffensivo o quasi.
Non è finita qui: in poco più di una settimana, si registrano già due varianti convenzionali del worm e altre due - ma per alcuni vendor di antivirus è una sola - ben più pericolose.

Difendetevi! Santy.B è la prima variante di Santy, con cui condivide lo stesso bersaglio utilizzando però motori di ricerca diversi: Aol e Yahoo!. Da sottolineare che Aol usa la tecnologia di Google, ma bisogna pensare che l’azienda non abbia adottato in tempo gli stessi filtri già utilizzati dal fornitore stesso. Santy.C, infine, usa ancora Google per ricercare server Web vulnerabili, ma fa uso di una query differente da quella del capostipite.
Le varianti Santy.D e Santy.E sono però di spettro più ampio e hanno spinto alcuni produttori a considerarle un nuovo worm più che una mutazione di Santy: Symantec, ad esempio, le chiama Lexac.
Lexac colpisce server Web in cui le funzioni Php include() e require() sono usate in maniera non sicura, può portare all’esecuzione arbitraria di codice e fa leva sui motori di ricerca Google e Yahoo!. La francese K-otik Security dedica una descrizione dettagliata a Lexac, chiamato per l’occasione PhpIncludeWorm, ponendo enfasi sulla qualità del codice.

Occorre anche usare una versione aggiornata di Php: include() e require() sono utilizzabili per provocare un buffer overflow nella funzione addslashes() in versioni del linguaggio precedenti alle 4.3.9 e 5.0.2 (comprese).
Da notare come la linea di Symantec e K-otik sembri, al momento in cui scriviamo, la più corretta: se Santy (e le sue varianti) colpiscono un software e una piattaforma specifica, Lexac colpisce applicazioni e piattaforme generiche (attacca anche macchine Windows).
Raccomandata quindi la massima prudenza, aggiornamenti tempestivi e un buon antivirus: in campo Unix/Linux in molti usano ClamAV, uno scanner libero e aperto rilasciato sotto licenza Gpl.

Commenti   (Inserisci un commento)

Ancora nessun commento.

Effettua il login

« Analizzare i dati con Excel

Come usare Linux al meglio »

Più letti

Più commentati

Ultimi commenti

Trovaprezzi

mytech shop

eprice product
-
eprice product
-
 
siti della settimana
tutto su google
firefox & c.
wordpress e dintorni
tutto su apple

Ultime notizie

Notizie flash (tutte le notizie)

10:27
Cybercriminali cercano nuove leve, e lo pubblicizzano online
09:32
Microsoft, motore ricerca Bing farà presto profitti,dice manager
09:26
Nokia: 1 milione di download per mappe gratuite su cellulari
09:09
Sky Italia,perdita operativa secondo trimestre 21,4 milioni euro
08:29
Usa, più del 50% usa il Web per cercare informazioni mediche