• CVE-2021-38503

    From Piviul@21:1/5 to All on Tue Nov 16 10:20:03 2021
    Ciao a tutti, leggendo qua[¹] sembra che ci sia una vulnerabilità per thunderbird 78.x che è proprio la versione presente in debian stable.

    Qualcuno sa come debian pensa di affrontare la cosa essendoci in stable (bullseye) proprio tale versione?

    Piviul

    [¹] https://www.omgubuntu.co.uk/2021/11/thunderbird-91-backport-ubuntu-18-04-20-04-lts

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From valerio@21:1/5 to All on Tue Nov 16 12:10:01 2021
    Il 16/11/21 09:28, Piviul ha scritto:
    Ciao a tutti, leggendo qua[¹] sembra che ci sia una vulnerabilità per thunderbird 78.x che è proprio la versione presente in debian stable.

    Qualcuno sa come debian pensa di affrontare la cosa essendoci in stable (bullseye) proprio tale versione?

    Piviul

    [¹] https://www.omgubuntu.co.uk/2021/11/thunderbird-91-backport-ubuntu-18-04-20-04-lts


    ciao,
    forse questo:

    https://tracker.debian.org/pkg/thunderbird

    può dirti qualcosa, sembra che stiano testando la 91...

    valerio

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Piviul@21:1/5 to All on Tue Nov 16 17:50:01 2021
    Il 16/11/21 12:01, valerio ha scritto:


    Il 16/11/21 09:28, Piviul ha scritto:
    Ciao a tutti, leggendo qua[¹] sembra che ci sia una vulnerabilità per
    thunderbird 78.x che è proprio la versione presente in debian stable.

    Qualcuno sa come debian pensa di affrontare la cosa essendoci in
    stable (bullseye) proprio tale versione?

    Piviul

    [¹]
    https://www.omgubuntu.co.uk/2021/11/thunderbird-91-backport-ubuntu-18-04-20-04-lts


    ciao,
    forse questo:

    https://tracker.debian.org/pkg/thunderbird

    può dirti qualcosa, sembra che stiano testando la 91...

    per portarla in unstable... io sto parlando di stable; non è strano che
    nel mondo debian non se ne parli proprio? A me sembra un fake: se si va
    nel "national vulnerability database" dice "CVE ID Not Found"[¹]. La descrizione della vulnerabilità[²] dice essere riservata così non si può
    sapere di cosa si tratta... aspettiamo e vediamo ma se qualcuno ne
    sapesse qualcosa...

    Grazie

    Piviul

    [¹] https://nvd.nist.gov/vuln/detail/CVE-2021-38503
    [²] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-38503

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From valerio@21:1/5 to All on Tue Nov 16 18:20:03 2021
    Il 16/11/21 16:31, Piviul ha scritto:

    Il 16/11/21 12:01, valerio ha scritto:

    https://tracker.debian.org/pkg/thunderbird

    può dirti qualcosa, sembra che stiano testando la 91...

    per portarla in unstable... io sto parlando di stable; non è strano che
    nel mondo debian non se ne parli proprio? A me sembra un fake: se si va
    nel "national vulnerability database" dice "CVE ID Not Found"[¹]. La

    mi sembra che sia su sid, ovviamente per essere ulteriormente testata,
    sembra che manchi qualcosa per portarla in altre versioni. e mi sembra
    che sia piuttosto vecchia.

    descrizione della vulnerabilità[²] dice essere riservata così non si può sapere di cosa si tratta... aspettiamo e vediamo ma se qualcuno ne
    sapesse qualcosa...

    anch'io sono curioso...


    Grazie

    Piviul

    [¹] https://nvd.nist.gov/vuln/detail/CVE-2021-38503
    [²] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-38503


    valerio

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Piviul@21:1/5 to All on Wed Nov 17 11:10:01 2021
    Il 16/11/21 18:05, valerio ha scritto:
    [...]
    descrizione della vulnerabilità[²] dice essere riservata così non si
    può sapere di cosa si tratta... aspettiamo e vediamo ma se qualcuno
    ne sapesse qualcosa...

    anch'io sono curioso...
    In effetti qua[¹] si vedono una decina di CVE di thunderbird senza patch
    ma risolti in sid con l'aggiornamento alla 91.x

    Piviul

    [¹] https://security-tracker.debian.org/tracker/source-package/thunderbird

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Mattia Rizzolo@21:1/5 to Piviul on Wed Nov 17 15:10:02 2021
    On Wed, Nov 17, 2021 at 02:43:35PM +0100, Piviul wrote:
    Pensavo fosse un fake perché temevo che fosse un modo per sponsorizzare pratiche alla windows maniera cosa a cui mi sembra ubuntu si stia adeguando dove si è soliti aggiornare all'ultima versione un programma invece di
    creare ed installare una patch per la versione corrente senza pensare che magari facendo l'aggiornamento di versione sicuramente si risolve il baco ma si potrebbe introdurne altri non ancora scoperti ma più importanti...

    Quanto dici ha molto senso, con l'eccezione che
    firefox/chromium/thunderbird e altri sono troppo troppo grossi e tirano
    su davvero troppi CVE con molta regolarità, al punto che è abbastanza improponibile patchare singole vulnerabilità nella distribuzione e
    restare sani a lungo termine.
    Quindi è da anni che per quei pacchetti (e altri) semplicemente si
    prende qualsiasi cosa rilasci upstream.

    --
    regards,
    Mattia Rizzolo

    GPG Key: 66AE 2B4A FCCF 3F52 DA18 4D18 4B04 3FCD B944 4540 .''`.
    More about me: https://mapreri.org : :' : Launchpad user: https://launchpad.net/~mapreri `. `'`
    Debian QA page: https://qa.debian.org/developer.php?login=mattia `-

    -----BEGIN PGP SIGNATURE-----

    iQIzBAEBCgAdFiEEi3hoeGwz5cZMTQpICBa54Yx2K60FAmGVCooACgkQCBa54Yx2 K63SVg//Qi0wzuTIVkztUh/8pv5BDZ/cjlvkXaghItaKYoVq2LSbxrOfM10vYKG8 666lrUJ18/7+7w/B65SNKUKbYnnOiOGXgnCRVxe0mGTVyuzZ/Pvi+QirVw3oCMqv cFA7IcPMubmE8ECk4ls52S9pWg7I7Lr9U81xrp/17BBp/7F6qz1fxvl2Dsn5OeZq MEg8HCX1bZ3MHIf+dM+CMVPt5YJa/tpFy6ry5wW5ZCM8ZYuxWoT/nT6pOzKJL7Lb YnTfIMcn7UlvuPxSWckq5U2wEOTc3Xs7oYpK4lFtC01DTAafeVOiYNR8jlz56Khg KZOq4x3zEcwzGgL0EaJIwMpAkUOckQ7X6ghGd179Lnj1v7fM8BjmzGm1Y3V+GWre ax4s9VbK+y5zbcZMYV8od6iQZsm2nViuNjsqGyP2dFXixG+amDY2aKfKyhS2Sgch ftpHynW7IWoOu3j5dEtysrvEhdLYYqyEbKjOL2e3zxwYWAKGJCgYftL3Z1exH0yy MkethaYI4RrF9ZSyHmcPonz0X5PRQuEWjOsVbYnnMPwA2QlcE2V
  • From Piviul@21:1/5 to All on Wed Nov 17 14:50:02 2021
    Il 17/11/21 08:55, Paolo Miotto ha scritto:
    [...]Perché pensi sia un fake? E' normale che vulnerabilità importanti vengano sottoposte ad un periodo di embargo prima di rendere pubblici
    i dettagli per dare a tutti la possibilità di creare ed applicare le correzioni necessarie.


    [1] https://security-tracker.debian.org/tracker/CVE-2021-38503

    Si, infatti come dicevo in un precedente post qua[¹] si possono trovare
    tutte le CVE riguardanti thunderbird e il loro stato ed in effetti c'è
    anche la CVE-2021-38503 in cui si dice soltanto che è stato risolto in
    sid con l'aggiornamento alla versione 91.3.

    Pensavo fosse un fake perché temevo che fosse un modo per sponsorizzare pratiche alla windows maniera cosa a cui mi sembra ubuntu si stia
    adeguando dove si è soliti aggiornare all'ultima versione un programma
    invece di creare ed installare una patch per la versione corrente senza
    pensare che magari facendo l'aggiornamento di versione sicuramente si
    risolve il baco ma si potrebbe introdurne altri non ancora scoperti ma
    più importanti...

    Grazie

    Piviul

    [¹] https://security-tracker.debian.org/tracker/source-package/thunderbird

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Piviul@21:1/5 to All on Wed Nov 17 16:10:02 2021
    Il 17/11/21 14:58, Mattia Rizzolo ha scritto:
    [...]
    Quindi è da anni che per quei pacchetti (e altri) semplicemente si
    prende qualsiasi cosa rilasci upstream.

    Quindi normalmente debian che fa? Aggiorna le versioni di TB e FF anche
    in stable? ...me ne rendo conto solo ora 😮

    Piviul

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Davide Prina@21:1/5 to Piviul on Sun Nov 21 08:30:02 2021
    On 17/11/21 15:48, Piviul wrote:
    Il 17/11/21 14:58, Mattia Rizzolo ha scritto:
    [...]
    Quindi è da anni che per quei pacchetti (e altri) semplicemente si
    prende qualsiasi cosa rilasci upstream.

    Quindi normalmente debian che fa? Aggiorna le versioni di TB e FF anche
    in stable? ...me ne rendo conto solo ora 😮

    per Firefox c'era anche un altro problema, il team mozilla era poco collaborativo e creare patch per riportare in versioni vecchie di
    Firefox le modifiche che risolvevano/mitigavano il problema era davvero complesso. Da questo avevano deciso di portare anche in stable versioni
    più recenti di Firefox.

    Ciao
    Davide
    --
    Strumenti per l'ufficio: https://www.libreoffice.org
    GNU/Linux User: 302090: http://counter.li.org
    Non autorizzo la memorizzazione del mio indirizzo su outlook

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Davide Prina@21:1/5 to Piviul on Sun Nov 21 08:20:02 2021
    On 16/11/21 16:31, Piviul wrote:

    A me sembra un fake: se si va
    nel "national vulnerability database" dice "CVE ID Not Found"[¹]. La descrizione della vulnerabilità[²] dice essere riservata così non si può sapere di cosa si tratta...

    quando una vulnerabilità è stata scoperta viene comunicata alla comunità
    che gestisce la sicurezza sui vari sistemi operativi e componenti. Viene
    dato un periodo di tempo di X giorni/mesi per permettere a tutti di predisporre patch/workaround che sistemano o mitigano
    totalmente/parzialmente il problema. In tale periodo di tempo i dettagli
    non sono resi pubblici per evitare che malintenzionati possano nel
    frattempo sfruttare la vulnerabilità scoperta per fare attacchi.

    Ad esempio è stata scoperta recentemente una vulnerabilità sui sorgenti
    di quasi tutti i linguaggi di programmazione e, almeno l'ultima volta
    che avevo letto, non c'erano i dettagli per capire cosa effettivamente
    fosse e mi sembra che avevano dato 70 giorni a tutti per sistemare il
    problema prima di rendere totalmente pubblica la vulnerabilità.

    Ciao
    Davide

    [¹] https://nvd.nist.gov/vuln/detail/CVE-2021-38503
    [²] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-38503

    --
    Motivi per non comprare/usare ms-windows-vista:
    http://badvista.fsf.org/
    Non autorizzo la memorizzazione del mio indirizzo su outlook

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Davide Prina@21:1/5 to Diego Zuccato on Mon Nov 22 23:50:02 2021
    On 22/11/21 08:20, Diego Zuccato wrote:
    Il 21/11/2021 08:19, Davide Prina ha scritto:

    Ad esempio è stata scoperta recentemente una vulnerabilità sui
    sorgenti di quasi tutti i linguaggi di programmazione e, almeno
    l'ultima volta che avevo letto, non c'erano i dettagli per capire cosa
    effettivamente fosse e mi sembra che avevano dato 70 giorni a tutti
    per sistemare il problema prima di rendere totalmente pubblica la
    vulnerabilità.

    Però, IMVHO, non è una vulnerabilità del compilatore.

    Non avevo detto questo, poiché quando avevo letto io non c'era scritto
    quasi nulla.

    Però qui:

    https://www.schneier.com/blog/archives/2021/11/hiding-vulnerabilities-in-source-code.html

    dice:

    many compilers, interpreters, code editors, and repositories have
    implemented defenses

    Quindi probabilmente introdurranno un flag in vari compilatori per intercettare problematiche di questo tipo e segnalarle

    Infatti qui:
    https://trojansource.codes/

    dice:
    Compilers, interpreters, and build pipelines supporting Unicode should
    throw errors or warnings for unterminated bidirectional control
    characters in comments or string literals, and for identifiers with mixed-script confusable characters.
    Language specifications should formally disallow unterminated
    bidirectional control characters in comments and string literals.
    Code editors and repository frontends should make bidirectional control characters and mixed-script confusable characters perceptible with
    visual symbols or warnings.

    e nel PDF spiega un po' meglio di cosa si tratta: https://trojansource.codes/trojan-source.pdf

    Quando avevo letto io c'era solo un accenno al fatto di tipi di
    caratteri estesi, di commenti, di lettura destra-sinistra e
    sinistra-destra, senza far capire nulla, invece nel pdf è spiegato tutto
    più in dettaglio.

    Ciao
    Davide
    --
    Fate una prova di guida ... e tenetevi la macchina!: http://linguistico.sf.net/wiki/doku.php?id=usaooo2
    Non autorizzo la memorizzazione del mio indirizzo su outlook

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Davide Prina@21:1/5 to All on Mon Nov 22 23:30:03 2021
    On 22/11/21 08:19, Paolo Redælli wrote:

    Il 21/11/21 08:19, Davide Prina ha scritto:
    Ad esempio è stata scoperta recentemente una vulnerabilità sui
    sorgenti di quasi tutti i linguaggi di programmazione e, almeno
    l'ultima volta che avevo letto, non c'erano i dettagli per capire cosa
    effettivamente fosse e mi sembra che avevano dato 70 giorni a tutti
    per sistemare il problema prima di rendere totalmente pubblica la
    vulnerabilità.

    Mi incuriosisci! Di cosa si trattava?

    da quello che avevo capito si può introdurre nei sorgenti codice
    malevolo immettendolo nei commenti e sfruttando il fatto che per alcune
    lingue si scriva da destra a sinistra e per altre da sinistra a destra.
    In questo modo un'analisi manuale può ritenere una cosa innocua, quando
    in realtà non lo è.

    Quando avevo letto io c'era ancora l'embargo e non si avevano dettagli,
    ma solo un accenno generico, ora non so se l'embargo è finito.

    Comunque cercando dovrebbe essere questo il CVE aperto: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-42574

    e anche qui se ne era parlato https://www.schneier.com/blog/archives/2021/11/hiding-vulnerabilities-in-source-code.html


    Ciao
    Davide
    --
    Fate una prova di guida ... e tenetevi la macchina!: http://linguistico.sf.net/wiki/doku.php?id=usaooo2
    Non autorizzo la memorizzazione del mio indirizzo su outlook

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)