Vulnerabilidade no Samba permite execução de código como root

O projeto Samba liberou recentemente correções para algumas vulnerabilidades identificadas, onde pelo menos uma delas pode permitir que invasores obtenham permissão de execução remota de código, com privilégios de root, em servidores que rodem o software com versão vulnerável.

Conforme descrição disponível no site do projeto “o Samba é um componente importante para integrar perfeitamente servidores e desktops Linux/Unix aos ambientes do Active Directory. Ele pode funcionar como um controlador de domínio ou como um membro de domínio regular.”

Essa reimplementação do protocolo de rede SMB fornece serviços de compartilhamento e impressão de arquivos em várias plataformas, permitindo que usuários de sistemas GNU/Linux, Windows e macOS compartilhem arquivos em uma rede.

A vulnerabilidade, registrada como crítica recebeu a designação CVE-2021-44142, foi demostrada pela primeira vez em novembro passado, durante a Pwn2Own Austin 2021, nos Estados Unidos, não sendo necessário nenhum tipo de autenticação para a exploração dessa falha.

Administradores de ambientes que executem versões anteriores à 4.13.17 devem aplicar as correções disponibilizadas, para mitigar a vulnerabilidade. A versão mais recente da aplicação foi liberada no dia 31 de janeiro, e corrige outras duas falhas de segurança, sendo elas CVE-2021-44141 e CVE-2022-0336.

Para maiores detalhes sobre a falha crítica encontrada, consulte o site Zero Day Initiative (em inglês), e o anúncio oficial das correções no site do projeto Samba.

LibreOffice 7.2.0 Community lançado!

LibreOffice 7.2.0 Community, a nova versão do pacote de escritório gratuito suportado por voluntários para produtividade de desktop, já está disponível para download. Com base na plataforma de tecnologia LibreOffice para produtividade pessoal em desktop, móvel e nuvem, ele fornece um grande número de melhorias de interoperabilidade com formatos de arquivo proprietários da Microsoft, sendo mais de 60% das inserções no código-fonte da solução nesta nova versão sendo voltados a esta integração.

Além disso, o LibreOffice 7.2.0 Community oferece inúmeras melhorias de desempenho no manuseio de arquivos grandes, abrindo certos arquivos DOCX e XLSX, gerenciando o cache de fontes e abrindo apresentações e desenhos que contêm imagens grandes. Também há melhorias na velocidade de desenho ao usar o back-end do Skia que foi introduzido com o LibreOffice 7.1.

O LibreOffice 7.2.0 agora está disponível nativamente para Apple Silicon, uma série de processadores projetados pela Apple e baseados na arquitetura ARM. Por causa da fase inicial de desenvolvimento nesta plataforma específica, binários são fornecidos, mas não devem ser usados ​​para nenhum propósito crítico neste estágio.

Esta nova versão adiciona um número significativo de melhorias à interoperabilidade com arquivos DOC legados e documentos DOCX, XLSX e PPTX. Os arquivos da Microsoft ainda são baseados no formato proprietário descontinuado pela ISO em abril de 2008, e não no padrão aprovado pela ISO, portanto, eles incorporam uma grande quantidade de complexidade artificial oculta. Isso causa problemas de manuseio com o LibreOffice, que é padronizado para um formato de padrão aberto, o formato OpenDocument.

Graças à atividade de desenvolvimento, realizada por desenvolvedores voluntários e patrocinados, o LibreOffice 7.2 dá um passo adiante significativo em termos de interoperabilidade transparente, enquanto mantém muitas vantagens em termos de resiliência, robustez e conformidade com padrões – para o benefício de usuários corporativos e individuais.

O LibreOffice oferece o mais alto nível de compatibilidade no segmento de mercado de suítes de escritório, começando com suporte nativo para OpenDocument Format (ODF) – superando formatos proprietários nas áreas de segurança e robustez – até suporte superior para arquivos DOCX, XLSX e PPTX. Além disso, o LibreOffice fornece filtros para um grande número de formatos de documentos legados, para devolver a propriedade e o controle aos usuários.

Lembro que, segundo a definição do próprio projeto, esta versão é indicada para “entusiastas de tecnologia, usuários avançados” ou que abraçem novas versões mais cedo. Para ambientes de produção, é recomendável a utilização da versão testada por um tempo maior, sendo a mais recente a 7.1.5.

Para maiores detalhes sobre o lançamento, consulte o anúncio oficial junto ao blog do projeto.

Mais credenciais comprometidas. O que fazer?

Fonte da imagem: https://www.freepik.com/

Mais uma vez, milhões de credenciais foram divulgadas durante essa semana, em uma das maiores publicações deste tipo na história.

Afirma-se que mais de 770 milhões de endereços de e-mail, e senhas, foram adicionadas a outras bases de credenciais comprometidas anteriormente, virando notícia em sites como o Olhar Digital, bem como o blog da companhia de segurança Kaspersky Labs, entre outras tantas mídias digitais.

O montante de dados foi divulgado por Troy Hunt, pesquisador de segurança e criador do site Have I Been Pwned, que provê um serviço de consultas a estas mesmas bases, permitindo aos usuários que verifiquem se o e-mail informado está entre os listados como comprometidos.

Como estes vazamentos se tornam cada vez mais frequentes, o cuidado na manutenção de dados pessoais faz-se essencial e, portanto, vou passar a publicar dicas de segurança básicas para a proteção destas informações. As primeiras dicas são relacionadas a senhas.

Sempre mantenha senhas diferentes para serviços diferentes. Se você tem cadastro em diversos serviços na Internet, como redes sociais, serviços de correio eletrônico, bancos digitais, entre outros, procure cadastrar senhas diferentes para cada um deles. Assim você minimiza a chance de que o comprometimento de um serviço leve ao acesso indevido de outros, devido a utilizarem as mesmas credenciais de acesso.

Crie senhas com alta complexidade na combinação de caracteres. Outro artigo publicado no site Olhar Digital traz uma lista que aponta as 25 senhas mais utilizadas no mundo durante o ano passado. Isso mostra o quão fácil se torna comprometer uma conta pessoal, a partir da utilização de senhas fracas e comuns.

Por isso é necessário criar senhas complexas, envolvendo letras maiúsculas, minúsculas, números, caracteres especiais, de preferência utilizando frases longas, porém de fácil memorização, evitando assim o uso de senhas mais fáceis de serem descobertas como datas de nascimento, nomes de parentes, entre outras. Daí vem a pergunta, mas como lembrar de tantas senhas complexas e diferentes para manterem-se seguros utilizando diversos serviços?

Isso leva a outra dica: Utilize gerenciadores de senhas. Eles permitem o registro, organização, e manutenção de senhas, guardando-as em bases relativamente seguras, podendo gerar as senhas automaticamente para você, e com complexidades diferentes, mantendo inclusive um histórico das alterações, facilitando a troca destas quando necessário.

Esse recurso possibilita que você armazene centenas de credenciais para o acesso a diversos serviços, sendo necessário apenas se preocupar com a senha configurada para o acesso à aplicação, bem como em sempre manter a sua base de senhas atualizada, quando da troca das credenciais junto aos serviços utilizados.

Uma das várias opções de gerenciadores de senhas, disponíveis no mercado, é o software livre Keepass, disponível em versões para diversos sistemas operacionais, como Windows, GNU/Linux, Mac OS, Android, iPhone, Chromebook, entre outras, tanto em versões de 32 bits quanto de 64 bits. A nomenclatura do app pode variar de acordo com o sistema operacional utilizado, porém são fáceis de localizar na página de downloads da aplicação.

O Keepass é um dos aplicativos coberto pelos investimentos realizados pela União Européia, e que oferece o pagamento de recompensas pela descoberta e reporte de falhas de segurança na aplicação, assim como divulgado recentemente aqui mesmo neste blog.

Esses investimentos permitem que a aplicação seja testada por pesquisadores, bem como possibilita que falhas de segurança existentes sejam descobertas e corrigidas mais rapidamente.

Mesmo empregando complexidade, e a utilização de recursos como os gerenciadores para a geração destas credenciais, também é preciso seguir uma última recomendação, que é trocar as senhas com regularidade.

A facilidade na geração de senhas complexas, oferecida por tais ferramentas, simplifica o processo de troca das credenciais com regularidade, proporcionando um maior grau de segurança através da rotatividade constante das informações de acesso.

Utilizando senhas complexas e diferentes para serviços diferentes, além de armazená-las de forma segura em gerenciadores de senhas, trocando-as regularmente, permite a minimização dos riscos de comprometimento das credenciais utilizadas para os serviços do dia a dia, ajudando a manter uma navegação mais segura.