22/May/2012

Vulnerabilità 0day privilege escalation in Back|Track

Sul forum della distribuzione Back|Track è stato pubblicato un post dal titolo “Backtrack 5 R2 priv escalation 0day found in CTF exercise” dall’Infosec Institute.

La segnalazione ha confuso inizialmente gli stessi sviluppatori della distribuzione poiché si chiedevano come fosse possibile applicare una “privilege escalation” considerato che l’unico utente della distribuzione è “root”. Evidentemente il titolo “Backtrack 0day” è stato scelto  in modo inappropriato per farlo apparire più grave di quanto effettivamente sia.

Back|Track respinge al mittente  la segnalazione del bug e ricorda a Infosec Institute che, quale organizzazione di professionisti di sicurezza, dovrebbero avere una conoscenza più approfondita delle tematiche trattate. In particolare viene fatto notare che la scelta della descrizione di una vulnerabilità è probabilmente la parte più importante della segnalazione. Senza questa regola base, qualsiasi singolo overflow di server FTP di terze parti verrebbe categorizzato come  uno “windows 0day”, e ogni singola vulnerabilità di applicazioni web PHP come un “Apache 0day”.

Tirando le somme, lo staff di Back|Track afferma che vi è stata un’associazione volontaria della vulnerabilità da parte di Infosec Institute nei confronti della distribuzione Back|Track per denigrarla agli occhi delle persone che non conoscono i meccanismi sottostanti al sistema operativo, e che ha altresì gettato discredito verso Infosec agli occhi di quelli che invece li conoscono.

Il comunicato ufficiale di Back|Track può essere letto qui.

In realtà la vulnerabilità riguarda il gestore di connettività wifi WICD e può essere letta all’indirizzo http://www.securityfocus.com/bid/52987/info

Infosec Insitute dopo le critche ricevute da parte di tutta la comunità IT ha chiesto pubblicamente scusa agli autori della distribuzione Back|Track riconoscendo la leggerezza con la quale ha trattato la materia. Trovate il comunicato qui.

Probabilmente, e molto più realisticamente però, le scuse sono arrivate dopo che David ‘ReL1K’ Kennedy ha cambiato la licenza del suo Social Engineer Toolkit (SET) vietandone l’uso all’istituto fino a quando Infosec Institute non avesse chiesto scusa pubblicamente, il comunicato lo trovate qui.

Comments are closed.