IMPORTANTE: aggiornamento openssl!!!
Luca Giuzzi
giuzzi a dmf.unicatt.it
Lun 16 Set 2002 08:38:00 UTC
On Mon, Sep 16, 2002 at 10:19:54AM +0200, giorusconi a libero.it wrote:
>
>
> > (Mentre ci saranno anche i sysadmin che dormono sonni tranquilli mentr
> e
> > le loro macchine sono preda di worm di tutti i tipi)
> >
>
>
> Un worm che sfrutta quella falla si sta diffondendo con una certa
> velocità.
Verissimo, ma questo mi conduce a 2 considerazioni:
a) la patch che sana la falla di OpenSSL che viene sfruttata dal worm
e' disponibile da piu' di un mese... non si tratta di "aspettare un
bug-fix" e nel frattempo disattivare il servizio... questo penso
possa dire MOLTO relativamente la qualita' di supporto disponibile
per Linux [vulnerabilita' risolta un mese prima della scoperta
di exploits]... chiaramente un sysadmin deve seguire e leggere gli
advisory del caso;
b) parlando di worms: il solo 10 Settembre ho ricevuto 3128 tentativi
di accesso da parte di Code Red... lascio le considerazioni sul
caso come facile esercizio alle persone interessate.
[Hint: il punto b e' per ribadire che non conta quanti "contratti di
assistenza tecnica o service packs esistano"... se le patches non
vengono installate, allora le falle NON si sanano magicamente e
automaticamente! ]
Ciao,
lg
--
Maggiori informazioni sulla lista
Lug
|