Slackware Linux – Atualizações de segurança. Junho, 2019.

Slackware logo

Mês movimentado por diversas atualizações de segurança junto a distribuição Slackware Linux, principalmente pelas correções realizadas pela Mozilla para o navegador Firefox, bem como para o seu cliente de e-mails Thunderbird, contando com duas versões disponibilizadas para cada um deles somente neste período.

No momento em que escrevo este post, o navegador e o cliente de e-mails mantido pela Mozilla estão disponíveis em suas versões 60.7.2, tanto para a versão estável 14.2 da Slackware Linux, quanto para a árvore de desenvolvimento current da distribuição.

Além dos produtos citados e oferecidos pela Mozilla, o servidor de resolução de nomes Bind também recebeu correções de segurança, mitigando explorações que geravam uma negação do serviço, sendo disponibilizado agora em sua versão 9.11.8 para diversas versões da distribuição Slackware, sendo elas: 14.0, 14.1, 14.2 e current.

Por último, mas não menos importante, correções também foram aplicadas ao kernel Linux, visando mitigar diversas falhas de segurança, entre elas a conhecida como “SACK Panic”, descoberta por engenheiro de segurança que atua junto a Netflix, e que podia originar negações de serviço remotamente.

As correções foram disponibilizadas junto à versão 4.4.182 do kernel Linux, junto às versões 14.2 e current da distribuição Slackware no dia 18/06, porém depois disso já houveram avanços, especificamente junto a árvore current, que neste momento conta com a versão 4.19.53 do kernel Linux.

Para consultar mais detalhes a respeito das atualizações disponibilizadas, acesse a página Slackware Security Advisories.

Slackware Linux – Atualizações de segurança. Janeiro, 2019.

Slackware logo

Mais atualizações de segurança liberadas para a distribuição Slackware Linux, durante o mês de janeiro. A mais recente envolve um dos navegadores web mais utilizados, o Mozilla Firefox, que foi disponibilizado em sua versão 60.5.0esr, trazendo a aplicação de patches de segurança que corrigem três vulnerabilidades, sendo duas delas consideradas críticas, e uma de alto impacto.

O link para a publicação oficial da correção, pode ser consultado para maiores informações a respeito das vulnerabilidades, que incluem potencial escalação de privilégios, além de possibilidade de execução de código arbitrário.

Foram disponibilizados pacotes atualizados com o navegador, para as versões 14.2 e -current da Slackware Linux, tanto para arquiteturas de 32 bits quanto de 64 bits.

Também mantido pela Mozilla, o cliente de e-mails Thunderbird é outra das aplicações que sofreram atualizações de segurança, bem como melhorias em geral. A versão 60.5 corrige quatro falhas de segurança, sendo duas críticas, uma de alto e outra de baixo impacto. A divulgação oficial, por parte da Mozilla, pode ser vista seguindo este link.

Vale lembrar que a Fundação Mozilla mantém um programa de recompensas por vulnerabilidades descobertas junto aos projetos que esta mantém. Mais detalhes a respeito do programa podem ser consultados aqui.

Anteriormente, tivemos a disponibilização de atualização para o servidor web Apache, que corrige vulnerabilidades de segurança, mas também trazendo melhorias à aplicação. Entre as falhas de segurança corrigidas, encontrasse uma que permitia a atacantes remotos o envio de requisições maliciosamente personalizadas, fazendo com que o mod_ssl iniciasse um loop que poderia levar a uma negação do serviço.

O anúncio oficial foi realizado pela Fundação Apache no dia 22, provocando a disponibilização dos pacotes corrigidos para a Slackware Linux no mesmo dia, estando disponíveis para as versões 14.0, 14.1, 14.2 e -current da distribuição, tanto para arquiteturas de 32 bits, quanto de 64 bits.

Outra atualização envolveu o interpretador de comandos Zsh, que disponibilizou correções para nada menos que sete vulnerabilidades, inclusive algumas que permitiriam a um atacante local a execução de código arbitrário. Pacotes de correção foram disponibilizados também para as versões 14.0, 14.1 e 14.2 da Slackware Linux, tanto para arquiteturas de 32 bits, quanto de 64 bits.

Por fim, o aplicativo Irssi, que é um cliente para comunicações através do protocolo irc, também sofreu correções para problemas de segurança e estabilidade. No total, seis vulnerabilidades foram endereçadas junto a esta versão, cujos pacotes atualizados estão disponíveis para download para as versões 14.0, 14.1, 14.2 e -current da distribuição Slackware, tanto para arquiteturas de 32 bits, quanto de 64 bits.

A recomendação de sempre, é a de aplicar as atualizações de segurança com a maior brevidade possível, reduzindo os riscos de comprometimento dos ambientes expostos às falhas de segurança. A lista, com as atualizações disponbilizadas, podem ser consultadas diretamente no site da Slackware Linux, através de sua página com alertas de segurança.

Atualizações de segurança para o Mozilla Firefox. Dezembro, 2018.

firefox-logo

Seguindo a linha de updates de segurança, a Fundação Mozilla liberou este mês atualizações de versões para o seu navegador Firefox, e com elas várias correções foram aplicadas para mitigar vulnerabilidades de diversas criticidades.

A versão 64 do Firefox oferece correções para as vulnerabilidades:

  • CVE-2018-12406 e CVE-2018-12405, consideradas críticas;
  • CVE-2018-12407, CVE-2018-17466, CVE-2018-18492, CVE-2018-18493 e CVE-2018-18494, consideradas de alto impacto;
  • CVE-2018-18495, CVE-2018-18496, CVE-2018-18497, consideradas de impacto moderado;
  • CVE-2018-18498, considerada de baixo impacto.

Já para a versão 60.4 ESR foram corrigidas as vulnerabilidades:

  • CVE-2018-12405, considerada crítica;
  • CVE-2018-17466, CVE-2018-18492, CVE-2018-18493, CVE-2018-18494, consideradas de alto impacto;
  • CVE-2018-18498, considerada de baixo impacto.

Se você já tem o Firefox instalado, e deseja realizar a atualização de seu navegador, acesse o menu localizado no canto superior direito, opções Ajuda > Sobre o Firefox. O download da nova versão deve ser baixada automaticamente.

Caso queira baixar o navegador open source da Fundação Mozilla, acesse a página oficial de downloads. Há versões para os sistemas operacionais GNU/Linux, Windows ou macOS.

Para obter maiores informações sobre estas, e outras atualizações de segurança, acessem o site oficial do projeto, através deste link (em inglês).