Slackware Linux – Atualizações de segurança. Dezembro, 2018.

Ao longo deste tempo em que fiquei sem postar atualizações por aqui, várias correções já foram disponibilizadas pelo time de desenvolvimento da Slackware Linux, para algumas das suas versões deste sistema operacional.

Claro que seria um post bem extenso se eu fosse relacionar todas as que foram liberadas durante o período em que estive ausente da redação no blog, então resolvi retomar essa divulgação da forma em que vinha fazendo anteriormente, listando apenas aquelas disponibilizadas durante o mês vigente.

Embora as dificuldades financeiras enfrentadas pelo projeto ainda persistam, e cujas informações já foram divulgadas em um post anterior, o desenvolvimento da distribuição vem se mantendo. Caso não tenha lido a respeito, sugiro utilizar o link acima para entender o que vem acontecendo, e quem sabe poder ajudar de alguma forma.

Caso opte por contribuir financeiramente com o projeto, adicionei um botão no menu à sua esquerda, e que aponta para a conta no PayPal pertencente ao mantenedor da distribuição. Vai ser fácil encontrá-lo, pois o disponibilizei junto ao outro botão que leva ao site oficial da Slackware Linux. Qualquer valor será bem-vindo.

Em dezembro nós já tivemos algumas atualizações publicadas, e entre elas encontramos:

03/12/208 – mozilla-nss (network security services) – disponibilizada para as versões 14.0, 14.1, 14.2 e -current, possibilitando a correção de falhas de segurança (CVE-2018-12404);

05/12/208 – gnutls – disponibilizada para as versões 14.2 e -current, possibilitando a correção de falhas de segurança (CVE-2018-16868);

05/12/2018 – nettle – disponibilizada para as versões 14.2 e -current, possibilitando a correção de falhas de segurança (CVE-2018-16869);

07/12/2018 – php – disponibilizada para as versões 14.0, 14.1, 14.2 e -current, possibilitando a correção de falhas de segurança (changelog php 5.6.39).

Estas atualizações visam mitigar diversas formas de ataques identificadas junto a estas aplicações, e que poderiam influenciar negativamente as instalações que utilizam a distribuição, caso estas correções não fossem aplicadas.

Se as templates que utiliza em produção, ou as instalações que realizou, contém estes pacotes listados entre os instalados, é altamente recomendável que os atualize, bem como as imagens de instalação que os contemplam.

Claro que uma análise de impacto para as aplicações relacionadas a estes servidores, ou desktops, deve ser realizada, para avaliar como a aplicação destas correções podem afetar o desempenho e funcionamento destas. Porém, para o aspecto da segurança do ambiente como um todo, a opção pela atualização deve ser tomada o mais brevemente possível.

Mais informações sobre as correções disponibilizadas podem ser obtidas através do site oficial da Slackware Linux, na seção “Slackware Security Advisories”.

Anúncios

Slackware Linux – Notícias sobre o desenvolvimento. Novembro, 2015.

Olá pessoal! Long time no see! É, estive um tempo longe das páginas do blog. Nem sei bem explicar o porquê, e portanto nem vou tentar. Então, vamos ao que interessa, pois tenho certeza que não acessou esse post para ler minhas explicações, mas sim as notícias sobre o estado atual de desenvolvimento da nossa amada Slackware Linux. 🙂

Depois de mais de dois anos em desenvolvimento, porém com atualizações regulares sendo disponibilizadas na árvore current, algumas delas com mais de duzentas linhas de descrição, finalmente chegamos ao estágio de “quase um beta”, de acordo com a descrição do próprio Pat.

Uma das grandes mudanças está relacionada à grande dúvida que nos perseguia, sobre como afinal a distribuição iria abordar o assunto systemd, e uma das atualizações mais recentes no changelog nos informa que a decisão foi mudar do udev para o eudev.

Em que isso implica afinal? Bem, o eudev é um fork do systemd-udev, iniciado pelo time do projeto Gentoo, e que tem como objetivo de fornecer maior isolamento ao sistema init, compatibilidade com kernels em versões não tão recentes, ou quaisquer outras coisas requeridas por usuários ou distribuições, e que envolvam o modo como a distribuição é inicializado. Com essa substituição, podemos assumir que uma mudança para o systemd foi adiada por tempo indeterminado. 🙂

Outras novidades até o momento incluem o XFCE em versão 4.12, Linux kernel 4.1.13, Calligra 2.9.9, KDE 4.14.3, entre outras mais.

Para maiores informações sobre as atualizações na Slackware Linux, não deixe de acessar o changelog da distribuição. Continuamos aguardando!

Freak ainda afeta centenas de provedores de serviços em nuvem

Segundo uma pesquisa realizada pela SkyHigh Networks, centenas de provedores de hospedagem em nuvem ainda estão vulneráveis à falha de segurança denominada Freak, que possibilita a atacantes forçarem os navegadores web a utilizarem chaves criptográficas com um nível de encriptação já obsoleto, permitindo então que estas sejam decriptografadas para o roubo de dados sensiveis, como credenciais bancárias, entre outras.

Embora a equipe de desenvolvimento do OpenSSL tenha corrigido a falha em janeiro, a pesquisa revelou que 766 tipos de serviços em nuvem, em um universo de 10.000 tipos de serviços avaliados, ainda estavam sob risco de sofrerem este tipo de ataque. A média é de 122 tipos de serviços vulneráveis por companhia provedora de hospedagem em nuvem, e revela que as empresas estão com processos lentos na correção da falha em seus serviços.

Um em cada dez domínios listados no top 1.000.000 ( um milhão ) da Alexa, ou seja, algo em torno de 9,5% destes, ainda estão vulneráveis à falha, segundo os dados coletados no dia de hoje. A Alexa é uma companhia da Amazon, que fornece ferramentas para análises variadas em websites.

Através da análise dos um milhão de websites melhor colocados no ranking da Alexa, resultados que são atualizados diariamente, um outro website verificou que a correção da falha ainda não havia sido aplicada em centenas deles, além de informar que 26,3% de todos os servidores web ainda permanecem vulneráveis a este tipo de ataque.

“Se o website ou serviço em nuvem que você estiver acessando, for construído sobre o Apache, e muitos são, a Freak é uma séria vulnerabilidade”, disse Nigel Hawtorn, diretor de estratégia na SkyHigh Networks. “Até que as correções sejam aplicadas, será como utilizar tecnologia dos anos 90 contra hackers modernos, o que não representa desafio”.

A companhia contatou cada uma das empresas, provedoras de serviços em nuvem afetadas, e está trabalhando junto às mesmas para assegurar de que estejam cientes quanto a vulnerabilidade e que apliquem as correções necessárias.

Para acessar o artigo original, em inglês, siga o link para o site The Register.