Vai al contenuto


Breve post a mo di appunto su come sistemare la vulnerabilità chiamata shellshock in un server Debian 7 Wheezy.
Verificate che sia vulnerabile e scaricate il pacchetto deb come indicato qui.
Inserite temporaneamente il repository di sviluppo (sid) e aggiornate la libreria libc6 come indicato qui. Come detto in un commento anche per me ha funzionato installando libc6 e non libc6-amd64.

Ricordatevi di togliere il repository sid una volta terminato.

Ora che avete il pacchetto libc6 aggiornato potete installare il deb bash scaricato prima: se cercate di installarlo senza aggiornare la libc6 vi segnala errore.

Grandstream GXV3000Qualche giorno fa mi ha colpito la notizia di un problema di sicurezza in un telefono VoIP e avevo notato che veniva spacciato come un problema del protocollo SIP che sta alla base delle comunicazioni voce via internet.

Un azienda australiana ha pubblicato il resoconto di una vulnerabilità nel telefono VoIP Grandstream GXV3000 che permette di chiamare e farsi rispondere silenziosamente attivando così il microfono. In questo modo si può ascoltare quello che succede vicino al telefono ma non solo: mentre è attiva questo tipo di chiamata silenziosa il telefono non può essere usato visto che c'è già in corso una conversazione.

Oltre a spacciare il problema come causato dal protocollo e non dalla implementazione bacata che un produttore fa del protocollo stesso, ho visto parlare di possibili attacchi Denial of Service (DoS) generalizzati. Va bene l'inglesismo ma, come ho scritto sopra, se attivi una chiamata silenziosa il telefono è occupato e quindi non va. Si tratta di una banale conseguenza e, soprattutto, possibile solo su quel particolare modello!

I ricercatori affermano che è potenzialmente possibile che altri modelli di telefoni IP abbiano questo problema e difatti pare siano stati pubblicati i dettagli di problemi simili anche su telefoni IP della Cisco.

Fare di tutta l'erba un fascio e sparare a zero contro il protocollo SIP mi sembra eccessivo. Il Grandstream GXV3000 è stato prontamente sistemato con una nuova versione del firmware e così qualsiasi altro problema simile che potrà capitare.

Nulla è esente da difetti ma mi sento di dire che la telefonia via internet non è meno sicura di quella tradizionale, anzi, se ben impostata è decisamente più sicura.