Falle 0day per database e server Web: MySQL e Sun Web Server tra i bersagli

di Michele C. Soccio

Pubblicato 14 Gennaio 2010
Aggiornato 12 Febbraio 2018 20:48

Una fitta schiera di vulnerabilità 0-day, con tanto di exploit perfettamente funzionanti, affollerà i siti specializzati di sicurezza da qui al primo febbraio. A fare la promessa è la società Intervydis nella persona del suo presidente Evgeny Legerov, che pubblicherà le falle individuate direttamente sul blog aziendale.

Le vulnerabilità individuate colpiscono numerosi database (nelle cui file spiccano DB2 di IBM e MySQL), Web server (tra cui il diffusissimo Sun Web Server) e directory, ovvero Sun Directory, Tivoli Directory e Novel eDirectory.

La decisione di Legerov non è stata accolta con favore da tutta la comunità. Dal centro ricerche di McAfee arrivano aspre critiche che definiscono la diffusione dei dati sulle vulnerabilità un gesto irresponsabile, soprattutto quando, come in questo caso, avvengono senza alcuna comunicazione preventiva alle relative software house.

A queste critiche risponde lo stesso Legerov, affermando che

dopo aver lavorato con i produttori abbastanza a lungo, abbiamo concluso che, per farla semplice, è una perdita di tempo.

Nella maggior parte dei casi, in pratica, la diffusione indipendente dei dati su vulnerabilità ed exploit, forzerebbe le aziende ad una più rapida soluzione del problema, mentre contatti e collaborazione, sebbene più redditizi per i ricercatori di sicurezza, metterebbero le software house in una posizione di comodo rispetto ad un pericolo reale.

A prescindere dai diversi punti di vista, le falle restano. Resta da capire se la responsabilità sia di chi le ha scoperte o di chi non ha curato abbastanza la sicurezza dei propri software.