mario rossi wrote: > Il rischio segnalato à "moderato" non capisco pero' il > parametro utilizzato per definire "moderato". Intendo, > se la falla c'à non puo' essere moderato, c'à e basta > ( a meno di rattoppi):-) Il livello di rischio assegnato a questo tipo di problemi dipende da quello che il malintenzionato puà fare sfruttando la vulnerabilitÃ. Ad esempio, un problema che consente di leggere un file al quale non si dovrebbe avere accesso à meno grave di un problema che consente a chiunque di eseguire un programma come root. Alcuni fattori che determinano la gravità di un problema sono: - si puà solo leggere o anche modificare dati - l'attacco à utilizzabile solo in locale o anche da remoto - l'attacco consente di eseguire codice come utente generico - l'attacco consente di eseguire codice come root Naturalmente qualsiasi problema di sicurezza à serio e va corretto appena possibile, ma queste distinzioni servono ad un amministratore per capire se un certo problema rappresenta un pericolo immediato o no. Ad esempio, un problema che consente ad un utente locale di eseguire codice come root à grave per un sistema multiutente dove non hai piena fiducia in tutti i tuoi utenti (pensa ad un server aziendale) ma à quasi irrilevante per un sistema personale dove tu sei l'unico utente. D'altra parte, un problema del genere diventa molto pericoloso se combinato con un altro: un malintenzionato potrebbe usare una falla di Apache per eseguire da remoto un programma senza privilegi, il quale a sua volta sfrutta una falla del kernel per guadagnarsi i privilegi di root. -- Ciao, Flavio -- Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO "subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx