.:: VaiSulWeb Blog ::.

Upgrade sicurezza ASP.NET per tutti i server di Web Hosting

Filed under Network e manutenzione , Network e manutenzione

Molti clienti ci hanno scritto per chiedere maggiori informazioni circa la vulnerabilità di ASP.NET che era stata annunciata da Microsoft il 17 Settembre 2010 nel suo security advisory 2416728 ed erano giustamente preoccupati che questo problema potesse portare alla compromissione delle loro applicazioni, soprattutto attraverso accesso non autorizzato al file web.config, che spesso contiene molte informazioni importanti come accessi ai database sia locali che remoti, chiavi di criptazione etc. La soluzione proposta da Microsoft mentre quest'ultima elaborava una patch per la vulnerabilità non era certo delle più allettanti in quanto sarebbe stato necessario attivare la redirezione di tutti gli errori verso una pagina personalizzata che emettesse poi un codice di errore generico e non specifico, in modo da non consentire ad utenti malintenzionati di usare i codici di errore per "scoprire" le chiavi necessarie all'accesso di sezioni criptate come il ViewState e, soprattutto, usare tali chiavi per effettuare accessi diretti a file importanti come il web.config.

Questa modalità però aveva l'effetto collaterale di disabilitare globalmente la visualizzazione degli errori specifici e quindi impedire anche di svolgere un debug di una applicazione o capire che tipo di problema questa stesse sperimentando, anche quando tale problema non fosse legato alla vulnerabilità ma solo ad errori comuni. Ancora peggiore era la possibilità che questo bug compromettesse anche le applicazioni che non usavano ASP.NET come quelle in PHP. 

A 11gg dall'annuncio, Microsoft ha rilasciato poi un nuovo bollettino di sicurezza, l'MS10-070, che confermava che erano subito disponibili le patch per la correzione della vulnerabilità, probabilmente la peggiore che abbia afflitto ASP.NET dal momento della sua introduzione, nel 2003, e noi vogliamo confermare che tutti i nostri server di Web Hosting sono già protetti, con le patch di sicurezza installate ed operative. Abbiamo inoltre già inviato delle segnalazioni ai nostri clienti che usino server virtuali o dedicati con Windows installato e speriamo che tutti loro abbiano già installato le patch, considerando comunque che da ieri queste sono disponibili anche come aggiornamenti via Windows Update, per cui tutti i clienti che abbiano attivato gli aggiornamenti automatici le riceveranno in brevissimo tempo.

Microsoft ha comunicato che le modifiche apportate non hanno impatto sul codice esistente e che tutte le applicazioni dovrebbero continuare a funzionare senza che sia necessario effettuare delle modifiche. Invitiamo però tutti i nostri clienti a segnalarci eventuali anomalie in modo che sia possibile eventualmente suggerire loro una soluzione. In generale, però, se gli sviluppatori hanno seguito le indicazioni e la documentazione fornita da Microsoft durante lo sviluppo delle proprie soluzioni, non dovrebbe essere necessario apportare alcuna modifica al codice esistente. 

Sospensione operatività di uno dei WebServer

Filed under Network e manutenzione

Nella notte di ieri sono stati distribuiti da Microsoft alcuni aggiornamenti che i nostri server, come sempre, hanno recepito ed installato automaticamente (per avere maggiori informazioni sulla nostra politica di aggiornamento dei server di shared hosting, si può fare riferimento a questa pagina). Per tutti i server gli aggiornamenti sono stati installati senza problemi e le macchine riavviate. Per uno dei server, invece, gli aggiornamenti hanno causato un conflitto con i servizi installati che non ha consentito alla macchina di riprendere il normale funzionamento, sospendendo l'operatività di uno dei nostri WebServer di shared hosting.

Il problema ha riguardato solo i siti Web e non ha intaccato l'operatività di posta elettronica, database e altri servizi (macchine virtuali, server dedicati etc.). I nostri clienti con IP condiviso terminante in 65.115 e 192.82 sono stati interessati dal problema. Sin dalle prime ore della mattina, alcuni dei nostri tecnici hanno lavorato per correggere il problema e la situazione si è normalizzata attorno alle 9:30-9:45 di oggi. Stimiamo pertanto, per i siti Web interessati, una sospesione dell'operatività Web che sia durata attorno alle 3-4 ore massimo, delle quali meno di due in orario lavorativo (cioè dalle 8 in poi).

Come sanno bene i nostri clienti, questo incidente rappresenta probabilmente la più lunga sospensione dell'operatività di un Web server dedicato allo shared hosting dal 2004 ad oggi. Ci scusiamo ovviamente con i nostri clienti che sono stati interessati dal problema, ribadendo che quest'ultimo non ha comunque intaccato tutti gli altri servizi. Vogliamo confermare che non sia necessario alcun intervento da parte dei nostri utenti in quanto l'operatività dovrebbe essere stata ripristinata senza alcun cambiamento nel funzionamento dei servizi.

Perchè l'aggiornamento dei server è importante
Nell'ambito di servizi come lo shared hosting, cioè server esposti 24h su 24 sulla rete Internet, è importante reagire tempestivamente alle possibili minacce ed in particolare a possibili problemi di sicurezza. In molti casi, quando un aggiornamento critico viene distribuito da Microsoft o da altri produttori di sistemi operativi, si è solo a poche ore di distanza da possibili attacchi. In molti casi gli aggiornamenti possono essere programmati e ad esempio Microsoft distribuisce solitamente la maggior parte degli update il secondo Martedì di ogni mese. In questo modo, è possibile programmare degli aggiornamenti cumulativi che riducano la necessità di riavviare i server e di solito un unico reboot costituisce l'unico prezzo da pagare. Esistono tuttavia degli aggiornamenti che, per la loro importanza o per l'impatto che possano avere sulla sicurezza dei sistemi, non possano essere programmati con il dovuto rigore perchè ogni ora persa significa aumentare esponenzialmente le possibilità di compromissione dei sistemi. Nell'era di Internet, spesso le istruzioni su come usare queste vulnerabilità vengono pubblicate su siti, blog o forum, rendendo disponibili in pochi minuti queste informazioni ad un pubblico vastissimo di utenti malintenzionati.

In questi casi le aziende produttrici rendono disponibili aggiornamenti al di fuori dei normali schemi di programmazione, proprio perchè si possa battere sul tempo gli utenti che nel frattempo si stanno attrezzando per compromettere i sistemi. Nei casi più gravi, è questione di ore (se non di minuti!) perchè qualcuno provi a forzare la protezione dei nostri server dopo la pubblicazione di queste istruzioni. La nostra azienda pertanto adotta la politica di installare subito gli aggiornamenti disponibili sui server di shared hosting e, in base alla loro gravità, effettuare subito un riavvio che fosse necessario dopo questa operazione. In moltissimi casi, questo ci consente di non rimanere esposti a possibili pericoli se non per poche ore.

Il problema che si è verificato
In alcuni casi, la combinazione dell'aggiornamento di sistema, dei software installati e dei servizi attivi sul server può generare delle condizioni particolari che non consentono il ripristino immediato dei servizi. In questi casi si deve quindi intervenire manualmente per correggere queste situazioni di errore e questo è ciò che i nostri tecnici hanno fatto nelle prime ore della mattinata. Queste condizioni sono rare ma purtroppo esistono. Scegliendo di effettuare subito gli aggiornamenti di sistema, ci si espone di più a queste situazioni impreviste ma si ha una maggiore sicurezza che i server possano essere compromessi o, peggio, che subiscano perdite o furti di dati.  In questi ultimi casi, infatti, il ripristino potrebbe durare anche molte ore, senza contare i problemi che possono scaturire per gli utenti o per terze parti, visto che la maggior parte delle compromissioni oggi ha una natura speculativa e/o economica.

Non esiste una combinazione perfetta e VaiSulWeb ha scelto il modus operandi che a nostro giudizio limiti i rischi di problemi maggiori e più vasti.Tra i molti Web Server attivi, solo uno ha presentato le difficoltà evidenziate nell'aggiornamento ed i nostri tecnici sono intervenuti prontamente per correggere la situazione e ripristinare l'operatività. I messaggi che ci sono già arrivati in mattinata e che ci ringraziano per interventi così tempestivi testimoniano l'apprezzamento degli utenti per la

rapidità di intervento. In molti hanno già confermato di apprezzare i nostri sforzi per ridurre i rischi pur mantenendo una elevata qualità nei servizi erogati e, soprattutto, una reattività e tempestività di intervento che molti nostri competitori non possono vantare.Spesso in questi casi i provider ripristinano i servizi ma lasciano ai singoli utenti la necessità di adattare le proprie applicazioni o siti Web alle nuove condizioni. La nostra azienda cerca invece sempre effettuare le modifiche ai servizi in modo totalmente compatibile con la situazione precedente in modo da renderle trasparenti agli utenti. Non sempre questo è possibile ed esistono dei casi in cui non si può ripristinare l'operatività senza dei cambiamenti : per fortuna non siamo in presenza di uno di questi casi !

Ci dispiace ovviamente per i problemi che l'incidente possa aver provocato ad alcuni dei nostri utenti ma siamo sicuri che anch'essi apprezzino (ed infatti molti ci hanno già inviato dei messaggi in tal senso) l'efficace mix di sicurezza e qualità dei servizi che stiamo attualmente offrendo.

Per maggiori informazioni circa questa o altre problematiche, non esitate a contattare il nostro Servizio di Assistenza.

Intervento di manutenzione straordinaria network

Filed under Network e manutenzione

Facendo seguito agli interventi precedentemente completati, verranno eseguiti altre due operazioni di manutenzione straordinaria sugli switch di aggregazione. Anche in questo caso, l'intervento programmato serve ad impedire che difficoltà impreviste possano sorgere in futuro e possano causare un tempo di downtime più esteso.

Come comunicatoci dal datacenter di Washington, vi sarà un intervento il 31 Dicembre tra le 8 e le 9 del mattino. Il tempo programmato di intevento è di circa un'ora ma l'effettiva durata delle operazioni dovrebbe aggirarsi tra i 15 ed i 20 minuti. L'intervento riguarderà i servizi di database SQL Server 2008 e ed uno dei server mail dei clienti che operassero sulle nuove piattaforme Windows2008. Pertanto, nella finestra di manutenzione prevista, potrebbe verificarsi una interruzione dei servizi legati ai database SQL Server 2008 e/o delle difficoltà nell'invio e nella ricezione della posta elettronica.

Ci aspettiamo che queste difficoltà non durino più di 20 minuti.

Per qualsiasi informazione relativa a questa operazione di manutenzione, vi preghiamo di contattare il nostro servizio di assistenza.

[12/12/2009 - 19:00] : Intervento di manutenzione straordinaria network

Filed under Network e manutenzione

Il datacenter di Washington ci ha comunicato che verrà eseguito un intervento di manutenzione straordinaria su una parte della rete per consentire la sostituzione di uno degli switch di aggregazione della rete pubblica del DC. L'intervento causerà l'indisponibilità della rete pubblica (e quindi della connettività da/per Internet) ma non interromperà la disponibilità della rete privata (interna).

La durata programma della manutenzione è di un'ora ma ci aspettiamo che l'interruzione effettiva non sia più lunga di 15-20 minuti. La data prevista è il 12/12/2009 e l'orario di inizio della manutenzione è fissato per le 19 in Italia. Come detto, la durata prevista è di circa un'ora.

Per qualsiasi informazione relativa alle caratteristiche dell'intervento, ai suoi effetti o informazioni di carattere generale, preghiamo i nostri clienti di contattare il nostro Servizio di Assistenza.