Microsoft alza il limite minimo delle chiavi RSA

Cancello sul mare / Gate to the seaIl patch tuesday di ottobre conterrà l’aggiornamento di cui all’articolo KB2661254.

L’avviso è stato diramato con così largo anticipo per l’impatto che potrebbe avere in molte organizzazioni: una volta installata KB2661254 non verranno più considerate valide le chiavi RSA con lunghezza minore di 1024 bit.

È possibile scaricare fin d’ora l’aggiornamento dalla pagina dell’articolo per poter condurre i test opportuni in un ambiente controllato. Considerato l’impatto dell’aggiornamento è consigliabile eseguire comunque un’analisi per verificare se si stanno ancora usano chiavi RSA non più considerate sicure.

Kurt Hudson ha scritto un articolo tecnico nel blog Technet PKI in merito a questo aggiornamento (qui la seconda parte).

Leggi tutto “Microsoft alza il limite minimo delle chiavi RSA”

Vulnerabilità critica nel remote desktop

Microsoft ha rilasciato una patch che interessa tutti i sistemi operativi supportati per correggere un problema grave del protocollo RDP.

Questo protocollo era già stato oggetto di precedenti attacchi, ora Microsoft sembra che sia arrivata per tempo per scongiurare problemi, posto che vengano installati gli aggiornamenti di questo patch tuesday.

I computer con il protocollo RDP esposto direttamente a Internet sono più di quelli che si possa pensare, la maggior parte sono PC di privati o di piccole organizzazioni.

Anche chi ha attivato il RDP all’interno dell’azienda dovrebbe applicare le patch quanto prima per evitare problemi.

Aggiornamenti di PHP per CentOS

Sono stati rilasciati gli aggiornamenti dei pacchetti php e php53 di CentOS versione 6 e 5.x rispettivamente.

Questo aggiornamento corregge due bachi di sicurezza dell’interprete, come indicato nella nota di quello che CenOS chiama l’upstream.

Il primo baco corretto riguarda la funzione di hash degli array suscettibile di collisioni prevedibili. Se un HTTP POST contiene molti parametri il cui nome ha il medesimo hash, il consumo di CPU di PHP aumenta notevolmente.

Questo problema è stato mitigato introducendo la direttiva di configurazione max_input_vars, il cui valore di default è 1.000.

Il secondo baco corretto riguarda un integer overflow sui sistemi a 32 bit: se viene caricata un’immagine i cui dati EXIF sono stati modificati ad arte, l’interprete va in crash e potrebbe esporre i dati che ha in memoria.

Aggiornamento per Acrobat

Dopo quasi un mese dalla diffusione di  uno 0-day, Adobe rilascia finalmente un aggiornamento per il suo reader PDF, le cui versioni attuali diventano 9.4 e 8.2.5; le versioni precedenti non sono più supportate e dovrebbero essere aggiornate quanto prima.

Se non si verificano altre emergenze, il prossimo aggiornamento del software è previsto per l’8 febbraio 2011.

Aggiornamenti per Flash

Adobe ha aggiornato l’advisory con cui segnala un baco di Flash e di Acrobat Reader.

Da oggi sono disponibili gli aggiornamenti di Flash Player.

Diversamente da quanto annunciato, gli aggiornamenti che correggono il problema di Acrobat Reader saranno disponibili nella settimana del 4 ottobre p.v. (via F-Secure)

Vulnerabilità di ASP.NET – Aggiornamento

Secondo Microsoft sembrerebbero non esserci ancora stati attacchi basati sulla vulnerabilità di ASP.NET segnalata qualche giorno fa; lo stesso articolo di Microsoft elenca in dettaglio i sistemi coinvolti e propone una modifica alla configurazione che potrebbe mitigare l’impatto del problema.

Anche Scott Guthrie consiglia di modificare i medesimi parametri per ridurre gli effetti del problema e segnala uno script VBS che analizza il server locale e verifica se ci sono applicazioni con la pagina di errore personalizzata. (via SANS)