Day 3 Keynote: Made Here Together (Cloud Next '18)
Il team di sviluppo dietro il popolare software server Web open source Nginx ha rilasciato aggiornamenti di sicurezza martedì per risolvere una vulnerabilità altamente critica che potrebbe essere sfruttato da autori di attacchi remoti per eseguire codice arbitrario su server sensibili.
Identificato come CVE-2013-2028, la vulnerabilità è un buffer overflow basato su stack ed è stata introdotta per la prima volta nella versione di sviluppo di Nginx 1.3.9 a novembre 2012. Il difetto è presente anche nella versione stabile 1.4.0 rilasciata il mese scorso.
Il bug, che è stato valutato come estremamente critico dalla società di gestione delle vulnerabilità Secun ia, è stato corretto nella nuova versione stabile di Nginx 1.4.1 e nella versione di sviluppo di Nginx 1.5.0. La vulnerabilità può essere sfruttata da aggressori malintenzionati inviando blocchi HTTP appositamente predisposti a un server Nginx esposto.
[Ulteriori letture: Come rimuovere il malware dal PC Windows]Lo sfruttamento riuscito può condurre all'esecuzione di codice arbitrario e compromettere il sistema, Secunia ha detto nel suo advisory.
Nginx è stato sviluppato tenendo conto delle prestazioni e della memoria insufficiente e può essere utilizzato come server HTTP, come server proxy inverso e come bilanciamento del carico.
Nginx è il terzo software per server Web più diffuso su Internet dopo Apache e Microsoft IIS con una quota di mercato superiore al 15%, secondo un recente server Web sondaggio condotto dalla società di servizi Internet Netcraft.
La crescente popolarità del software ha tuttavia attirato l'attenzione dei criminali informatici. Martedì, i ricercatori del fornitore di sicurezza ESET hanno riportato la scoperta di un sofisticato programma di backdoor progettato specificamente per i server Nginx. L'esistenza di questo programma malevolo è la prova che i criminali informatici non si rivolgono solo al software più popolare.
Vulnerabilità critica trovata nel popolare VLC Media Player
La società di sicurezza danese Secunia ha riscontrato un difetto nel VLC Media Player che potrebbe consentire a un utente malintenzionato di ottenere il controllo di ...
Vulnerabilità critica rilasciata in Google Chrome
Una società di sicurezza vietnamita ha rilevato una vulnerabilità critica nel nuovo browser di Google, Chrome, ma Google ha già rilasciato una patch.
Il ricercatore trova vulnerabilità critiche nel prodotto antivirus Sophos
Il ricercatore di sicurezza Tavis Ormandy ha scoperto vulnerabilità critiche nel prodotto antivirus sviluppato dalla società di sicurezza britannica Sophos e consigliato le organizzazioni evitano di utilizzare il prodotto su sistemi critici a meno che il fornitore non migliori le proprie pratiche di sviluppo prodotto, assicurazione qualità e risposta alla sicurezza.