Re: Debian security

To: debian-italian@lists.debian.org
Subject: Re: Debian security
From: Davide Prina <davide.prina@gmail.com>
Date: Mon, 07 Nov 2011 20:55:56 +0100
Message-id: <[🔎] 4EB837CC.3060106@gmail.com>
Reply-to: debian-italian <debian-italian@lists.debian.org>
In-reply-to: <[🔎] 20111107174609.M15548@corep.it>
References: <[🔎] 20111107174609.M15548@corep.it>

On 07/11/2011 18:57, dea wrote:

Ho letto 2 minuti fa che è stato rilasciato un aggiornamento di sicurezza per
un pacchetto stable, il sistema LMS Moodle.

Il 18 Ottobre 2011 sono stati rilasciati aggiornamenti di sicurezza per
diversi problemi anche seri, resi poi pubblici una settimana dopo, il 25
Ottobre..

in realtà ci sono bug resi pubblici anche dell'8 agosto (uno serio) edel 27 ottobre (non ho visto se ci sono altre date successive, non li hoguardati tutti)

riporto parte della mail [SECURITY] [DSA 2338-1] moodle security updateemessa il November 07, 2011

[...]
* MSA-11-0020 Continue links in error messages can lead offsite
* MSA-11-0024 Recaptcha images were being authenticated from an older
              server
* MSA-11-0025 Group names in user upload CSV not escaped
* MSA-11-0026 Fields in user upload CSV not escaped
* MSA-11-0031 Forms API constant issue
* MSA-11-0032 MNET SSL validation issue
* MSA-11-0036 Messaging refresh vulnerability
* MSA-11-0037 Course section editing injection vulnerability
* MSA-11-0038 Database injection protection strengthened

For the stable distribution (squeeze), this problem has been fixed in
version 1.9.9.dfsg2-2.1+squeeze2.

For the unstable distribution (sid), this problem has been fixed in
version 1.9.9.dfsg2-4.
[...]

quindi chiunque dal 25 Ottobre saprebbe come sfruttare tali
vulnerabilità (il progetto Moodle quando rilascia un aggiornamento di security
rende pubblici i problemi solo 7 giorni dopo il rilascio della versione
corretta, per permettere l'aggiornamento dei sistemi).

Ed ora mi chiedo.. il pacchetto Debian sicurizzato.. me lo rilasciano.. OGGI
??? Il 7 Novembre ????

Un'installazione di Moodle basata su un pacchetto Debian sarebbe stata
unpatched per quasi 2 settimane....


ma scusa tu che versione di Debian usi?

guardando su Debian per capire quando sono stati rilasciati i pacchetti
http://packages.qa.debian.org/m/moodle.html

si può vedere che:

[2011-10-31] moodle 1.9.9.dfsg2-4 MIGRATED to testing (Britney)
[2011-10-28] Accepted 1.9.9.dfsg2-4 in unstable (high) (Tomasz Muras)

[2011-06-17] Accepted 1.9.9.dfsg2-2.1+squeeze1 in stable-security (high)(Moritz Muehlenhoff)

quindi in stable i bug sono corretti dal 17/06/2011, in unstable il28/10/2011 e in testing il 31/10/2011.Visto che il team di sicurezza è attivo in questo periodo soltanto perstable si può dire che i bug sono stati corretti il 17/06/2011.


Non sono un esperto di sicurezza, quello che ho letto è che:

* nella maggior parte dei casi il team di sicurezza Debian partecipaalle discussioni interne dell'upstream ed è a conoscenza da subito deibug, partecipando anche alla sua correzione* viene decisa una data in cui i bug possono essere resi pubblici eprima di quella data non è possibile comunicare nulla

Posso ipotizzare che per qualche motivo non si potesse rendere pubblicitutti i bug prima di una certa data e dato che in Debian tutti i bugsono stati risolti dal 17/06/2011 si è dovuto aspettare che tuttipotessero essere resi pubblici, prima di indicarli


Ciao
Davide

--
Dizionari: http://linguistico.sourceforge.net/wiki
Motivi per non comprare/usare ms-windows-vista:
http://badvista.fsf.org/
Non autorizzo la memorizzazione del mio indirizzo su outlook

Reply to:

Follow-Ups:
- Re: Debian security
  - From: "dea" <dea@corep.it>

References:
- Debian security
  - From: "dea" <dea@corep.it>

Prev by Date: Re: richiesta consiglio per chiavetta usb telefonica
Next by Date: Re: richiesta consiglio per chiavetta usb telefonica
Previous by thread: Debian security
Next by thread: Re: Debian security
Index(es):
- Date
- Thread