O projeto Samba liberou recentemente correções para algumas vulnerabilidades identificadas, onde pelo menos uma delas pode permitir que invasores obtenham permissão de execução remota de código, com privilégios de root, em servidores que rodem o software com versão vulnerável.
Conforme descrição disponível no site do projeto “o Samba é um componente importante para integrar perfeitamente servidores e desktops Linux/Unix aos ambientes do Active Directory. Ele pode funcionar como um controlador de domínio ou como um membro de domínio regular.”
Essa reimplementação do protocolo de rede SMB fornece serviços de compartilhamento e impressão de arquivos em várias plataformas, permitindo que usuários de sistemas GNU/Linux, Windows e macOS compartilhem arquivos em uma rede.
A vulnerabilidade, registrada como crítica recebeu a designação CVE-2021-44142, foi demostrada pela primeira vez em novembro passado, durante a Pwn2Own Austin 2021, nos Estados Unidos, não sendo necessário nenhum tipo de autenticação para a exploração dessa falha.
Administradores de ambientes que executem versões anteriores à 4.13.17 devem aplicar as correções disponibilizadas, para mitigar a vulnerabilidade. A versão mais recente da aplicação foi liberada no dia 31 de janeiro, e corrige outras duas falhas de segurança, sendo elas CVE-2021-44141 e CVE-2022-0336.
Para maiores detalhes sobre a falha crítica encontrada, consulte o site Zero Day Initiative (em inglês), e o anúncio oficial das correções no site do projeto Samba.
Depois dos recentes problemas envolvendo as vulnerabilidades descobertas junto à biblioteca de logs Java de código aberto, Log4j, da Fundação Apache, o governo dos Estados Unidos da América convocou um encontro com membros de organizações dedicadas aos softwares livres, bem como representantes de empresas e de agências governamentais.
A reunião foi conduzida pela líder de segurança cibernética da Casa Branca, Anne Neuberger. Executivos e funcionários de organizações como a própria Fundação Apache, Linux Foundation, Apple, Amazon, Google, IBM, Microsoft e Oracle participaram do encontro. Agências governamentais como o Departamento de Defesa e a Agência de Segurança Cibernética e Infraestrutura também estiveram representadas. O tópico do encontro foi que, como o software de código aberto se tornou essencial para toda a tecnologia e, portanto, para a segurança nacional, todos devem trabalhar juntos para protegê-lo.
Após a reunião, o diretor executivo da Linux Foundation, Jim Zemlin, disse que: “A proteção da infraestrutura crítica inclui proteger o software que executa seus sistemas bancário, de energia, defesa, saúde e tecnologia. Quando a segurança de um componente ou aplicativo de código aberto amplamente utilizado é comprometida, todas as empresas, todos os países e todas as comunidades são afetadas. Este não é um problema exclusivo do governo dos EUA; é uma preocupação global. Aplaudimos a liderança do governo dos EUA em facilitar um foco mais forte na segurança de software de código aberto e esperamos colaborar com o ecossistema global para progredir.”
Ainda assim, como David Nalley, presidente da Fundação Apache, observou: “Há muito o que refletir após as discussões, mas acho que foi uma boa rodada de discussões sobre segurança de software de código aberto e cadeia de suprimentos. Embora não haja balas de prata para o complexo conjunto de problemas, é ótimo ver tanto interesse e investimento na melhoria do ecossistema de código aberto.”
Para fazer isso, Kent Walker, presidente de assuntos globais do Google e da Alphabet, disse que é hora de pensar em segurança de software da mesma forma que pensamos em nossa infraestrutura física. “O software de código aberto é um tecido conjuntivo para grande parte do mundo online – merece o mesmo foco e financiamento que damos às nossas estradas e pontes.”
Walker acrescentou em um post no blog da companhia: “Por muito tempo, a comunidade de software se confortou com a suposição de que o software de código aberto geralmente é seguro devido à sua transparência e à suposição de que “muitos olhos” estavam observando para detectar e resolver problemas. Mas, na verdade, enquanto alguns projetos têm muitos olhos neles, outros têm poucos ou nenhum.”
A Google, bem como os principais players do mercado que lidam com software livre já estão cientes do problema, e já atuam em frentes que visam minimizá-lo. A empresa apoiou a Open Source Security Foundation da Linux Foundation, que gerencia as prioridades de segurança em sofwares de código aberto e corrige vulnerabilidades, em colaboração com empresas e comunidades.
Entre as propostas de solução oferecidas durante o encontro, três delas são:
Identificação projetos críticos
Proposta de parcerias público-privadas para identificar uma lista de projetos críticos de código aberto — com criticidade determinada com base na influência e importância de um projeto — para ajudar a priorizar e alocar recursos para as avaliações e melhorias de segurança mais essenciais.
Estabelecimento de linhas de base de segurança, manutenção e testes
Com a crescente dependência do código aberto, é chegada a hora de a indústria e o governo se unirem para estabelecer padrões básicos de segurança, manutenção e testes – para garantir que a infraestrutura nacional e outros sistemas importantes possam continuar contando com projetos de código aberto. Esses padrões devem ser desenvolvidos por meio de um processo colaborativo, com ênfase em atualizações frequentes, testes contínuos e integridade verificada.
Aumentar o apoio público e privado
Muitas empresas e organizações líderes não reconhecem quantas partes de sua infraestrutura crítica dependem do código aberto. É por isso que é essencial que vejamos mais investimentos públicos e privados para manter esse ecossistema saudável e seguro.
Durante o encontro foi proposta a criação de uma organização para servir como um “mercado” para a manutenção de softwares de código aberto, combinando voluntários de empresas com os projetos críticos que mais precisam de suporte, sendo que alguns desses trabalhos já estão em andamento.
O diretor executivo do OpenSSF, Brian Behlendorf, afirmou: “Durante a reunião de hoje, compartilhamos um conjunto de oportunidades importantes nas quais, com compromissos suficientes de todos, poderíamos causar um impacto substancial nos esforços críticos necessários para proteger e melhorar a segurança de nossas cadeias de fornecimento de software. … Por meio de esforços como nossos grupos de trabalho sobre Melhores Práticas, Identificação de Projetos Críticos, Métricas e Scorecards, Projeto Sigstore e outros a serem anunciados em breve, o OpenSSF já teve um impacto em muitas das principais áreas discutidas durante a reunião de hoje. Estamos prontos para promover esses esforços e dar as boas-vindas a todos os novos participantes e recursos.”
Para maiores detalhes, acessem a postagem original, em inglês, no site TheNewStack.
Os governos desenvolveram vários regulamentos de privacidade e leis de proteção de dados (GDPR, PCI DSS, HIPAA).
Nos EUA, o Departamento de Defesa (DoD) aprovou e publicou o Guia de Implementação Técnica de Segurança (STIG) para o MySQL Enterprise Edition 8.0.
A Agência de Defesa dos Sistemas de Informação (DISA) avaliou o MySQL Enterprise Edition, em relação aos rigorosos requisitos de segurança do Departamento de Defesa americano, e o guia resultante dessa avaliação para o MySQL Enterprise Edition fornece etapas abrangentes para atender aos requisitos de segurança para sistemas governamentais.
A Oracle promove webinar que apresentará como o MySQL Enterprise Edition ajuda a cumprir as regulamentações governamentais de segurança e privacidade mais recentes.
Ainda dá tempo de se inscrever através deste link. A transmissão gratuita, em inglês, será amanhã, dia 13/01, às 16h, horário de Brasília.
Caminhando Livre 
