A me piace il web 2.0, AJAX e tutte quelle belle iconcine con effetto glossy aqua e quindi ho sempre cercato ed usato software web 2.0 like ma, per una volta, questa scelta si è rivelata fatale: RoundCube WebMail soffriva di un bug altamente pericoloso.

Tramite file html2text.php era possibile effettuare code injection e quindi caricare file ed eseguirli. E’ successo ad un server che gestisco e chi ha sfruttato tale vulnerabilità ha carico sulla macchina uno script che si collegava ad IRC ed era in grado di smurfare IP di altri utenti.

Risultato? Lo script ha usato fino a 70 Mbit di banda rallentando quindi la connessione e rendendo i servizi ospitati sul server inutilizzabili.

Per fortuna sono stato in grado di capire dove fosse il problema e quindi di prendere le dovute contromisure ma la cosa che mi ha insegnato questo spiacevole evento è che BISOGNA USARE SEMPRE SOFTWARE DEBIAN se non si vuole perdere tempo a cercare ed installare gli aggiornamenti a mano.

Se RoundCube non fa parte del repository Debian un motivo c’è…