Slackware Linux – Atualizações de segurança. Outubro, 2016.

Slackware logo

Olá! Ontem o time de desenvolvimento da Slackware Linux liberou atualizações de segurança importantes, incluindo a que disponibiliza um novo kernel, agora em versão 4.4.29, eliminando de vez a possibilidade de exploração da vulnerabilidade divulgada recentemente, e nomeada como Dirty Cow, portanto se você não fez a atualização manual do kernel, agora já dispõe dos pacotes oficiais oferecidos pela equipe de desenvolvedores da distribuição. Além da atualização do kernel Linux, outras correções importantes estão disponíveis: PHP 5.6.27, MariaDB 10.0.28 e bibliotecas libX.

É recomendável que faça a atualização de todas os sistemas sob sua administração o quanto antes, evitando possíveis explorações às falhas relatadas, além da programação de parada para a devida reinicialização dos mesmos, possibilitando que estes passem a utilizar o novo kernel.

Anúncios

Falhas de segurança encontradas na versão 1.18 do VeraCrypt

System

Uma auditoria realizada pela Quarkslab, empresa francesa de segurança cibernética, descobriu falhas críticas de segurança no software de código aberto VeraCrypt, utilizado para a encriptação de discos ou a criação de compartimentos criptografados nestes.

O trabalho foi realizado sob encomenda do Open Source Technology Improvement Fund, e possibilitou que fossem encontradas oito vulnerabilidades críticas, três de risco médio, além de quinze outras de baixo impacto.

Algumas destas falhas já foram corrigidas e liberadas junto à versão 1.19 do VeraCrypt, portanto se você utiliza versões anteriores a esta é recomendável que realize a atualização do aplicativo. Outras permanecem em aberto devido a complexidade envolvida na correção, e que poderiam causar problemas de retrocompatibilidade.

Uma das mudanças mais significativas, foi a remoção do padrão russo de criptografia GOST 28147-89, que foi considerado inseguro pelos especialistas. Usuários que utilizaram anteriormente este padrão ainda serão capazes de acessar e manipular compartimentos ou discos, porém a criação de novos não estrá mais disponível.

Outras correções foram aplicadas ao gerenciador de inicialização, voltadas a computadores e sistemas operacionais com recursos UEFI, e corrigem falhas encontradas. As bibliotecas XZip e XUnzip também continham falhas e foram substituídas pela mais moderna e segura libzip.

Para acessar o relatório técnico da auditoria, em formato PDF, basta clicar neste link. Para ver o anúncio oficial por parte da OSTIF clique aqui.

SSL perde status de protocolo com criptografia eficaz

System

Devido às recentes falhas de segurança no protocolo de segurança SSL, a mais notável nomeada como POODLE, o PCI Security Standards Council ( Conselho de Padrões de Segurança ), responsável pelo desenvolvimento, gerenciamento, treinamento, e conscientização a respeito dos Padrões de Segurança PCI, que incluem o PCI DSS ( Padrão de segurança de Dados ), o PA-DSS ( Padrão de segurança de Dados em Aplicações de pagamento ), entre outros, resolveu implementar modificações em seus padrões de segurança na transmissão de dados.

A mudança de maior impacto foi declarar esta semana que nenhuma das versões do protocolo SSL atende aos requerimentos de uma criptografia forte, logo depois do NIST ( Instituto Nacional de Padrões e Tecnologia ) ter divulgado que o SSL 3.0 não é mais aceitável para a proteção de dados devido a falhas inerentes ao protocolo.

Depois de trabalhar vários dos últimos meses com diversos interessados, buscando entender o impacto dessas modificações para a indústria como um todo, o Conselho publicará em breve a versão 3.1 dos padrões PCI DSS e PA-DSS visando corrigir esse problema, além de prover outras atualizações menores e explicações.

Quando publicada, a PCI DSS 3.1 será efetivada imediatamente como padrão, porém as companhias terão tempo para adequarem-se e implementar as mudanças que impactem seus negócios. Para a PA-DSS 3.1, o Conselho também estudo como lidar com as futuras submissões e a atual lista de aplicações. Um resumo com as mudanças, assim como uma FAQ, irá acompanhar a versão revisada de cada padrão, para ajudar a esclarecer o impacto dessas mudanças.

Nas palavras da própria organização, “neste ínterim, como não há formas de remediar as vulnerabilidades inerentes ao protocolo SSL, o PCI Security Standards Council recomenda fortemente que as organizações trabalhem com suas equipes de TI e/ou parceiros para compreender se estão usando SSL e determinar as opções disponíveis para atualizarem para um protocolo de criptografia forte o mais rápido possível”. Alguns dos possíveis poderiam ser o TLS, ou o IPSec, dependendo do tipo de tecnologia utilizada por cada companhia.

Para consultar o anúncio original, consulte o artigo disponível no site do PCI Security Standards Council.