Slackware Linux – Notícias sobre o desenvolvimento. Novembro, 2015.

Olá pessoal! Long time no see! É, estive um tempo longe das páginas do blog. Nem sei bem explicar o porquê, e portanto nem vou tentar. Então, vamos ao que interessa, pois tenho certeza que não acessou esse post para ler minhas explicações, mas sim as notícias sobre o estado atual de desenvolvimento da nossa amada Slackware Linux. 🙂

Depois de mais de dois anos em desenvolvimento, porém com atualizações regulares sendo disponibilizadas na árvore current, algumas delas com mais de duzentas linhas de descrição, finalmente chegamos ao estágio de “quase um beta”, de acordo com a descrição do próprio Pat.

Uma das grandes mudanças está relacionada à grande dúvida que nos perseguia, sobre como afinal a distribuição iria abordar o assunto systemd, e uma das atualizações mais recentes no changelog nos informa que a decisão foi mudar do udev para o eudev.

Em que isso implica afinal? Bem, o eudev é um fork do systemd-udev, iniciado pelo time do projeto Gentoo, e que tem como objetivo de fornecer maior isolamento ao sistema init, compatibilidade com kernels em versões não tão recentes, ou quaisquer outras coisas requeridas por usuários ou distribuições, e que envolvam o modo como a distribuição é inicializado. Com essa substituição, podemos assumir que uma mudança para o systemd foi adiada por tempo indeterminado. 🙂

Outras novidades até o momento incluem o XFCE em versão 4.12, Linux kernel 4.1.13, Calligra 2.9.9, KDE 4.14.3, entre outras mais.

Para maiores informações sobre as atualizações na Slackware Linux, não deixe de acessar o changelog da distribuição. Continuamos aguardando!

Freak ainda afeta centenas de provedores de serviços em nuvem

Segundo uma pesquisa realizada pela SkyHigh Networks, centenas de provedores de hospedagem em nuvem ainda estão vulneráveis à falha de segurança denominada Freak, que possibilita a atacantes forçarem os navegadores web a utilizarem chaves criptográficas com um nível de encriptação já obsoleto, permitindo então que estas sejam decriptografadas para o roubo de dados sensiveis, como credenciais bancárias, entre outras.

Embora a equipe de desenvolvimento do OpenSSL tenha corrigido a falha em janeiro, a pesquisa revelou que 766 tipos de serviços em nuvem, em um universo de 10.000 tipos de serviços avaliados, ainda estavam sob risco de sofrerem este tipo de ataque. A média é de 122 tipos de serviços vulneráveis por companhia provedora de hospedagem em nuvem, e revela que as empresas estão com processos lentos na correção da falha em seus serviços.

Um em cada dez domínios listados no top 1.000.000 ( um milhão ) da Alexa, ou seja, algo em torno de 9,5% destes, ainda estão vulneráveis à falha, segundo os dados coletados no dia de hoje. A Alexa é uma companhia da Amazon, que fornece ferramentas para análises variadas em websites.

Através da análise dos um milhão de websites melhor colocados no ranking da Alexa, resultados que são atualizados diariamente, um outro website verificou que a correção da falha ainda não havia sido aplicada em centenas deles, além de informar que 26,3% de todos os servidores web ainda permanecem vulneráveis a este tipo de ataque.

“Se o website ou serviço em nuvem que você estiver acessando, for construído sobre o Apache, e muitos são, a Freak é uma séria vulnerabilidade”, disse Nigel Hawtorn, diretor de estratégia na SkyHigh Networks. “Até que as correções sejam aplicadas, será como utilizar tecnologia dos anos 90 contra hackers modernos, o que não representa desafio”.

A companhia contatou cada uma das empresas, provedoras de serviços em nuvem afetadas, e está trabalhando junto às mesmas para assegurar de que estejam cientes quanto a vulnerabilidade e que apliquem as correções necessárias.

Para acessar o artigo original, em inglês, siga o link para o site The Register.

Microsoft libera correção parcial para a vulnerabilidade JasBug

A Microsoft anunciou, esta semana, a disponibilidade de uma correção de segurança parcial para uma vulnerabilidade existente, já há quinze anos, em algumas das versões do sistema operacional Windows. A falha de segurança conhecida como JasBug, foi descoberta durante uma pesquisa conduzida pela Jas Global Advisors e a simMachines e, devido a sua natureza, demandou mais de doze meses de esforços para que a Microsoft pudesse liberar a correção.

A vulnerabilidade em questão geralmente não afeta usuários domésticos, já que estes não configuram domínios em seus sistemas, através do Active Directory, porém, caso não recebam a correção, pode afetar versões do sistema operacional windows que controlem ou façam parte de um domínio, como são exemplificadas na relação a seguir:

• Windows Vista;
• Windows 7;
• Windows 8;
• Windows RT;
• Windows 8.1;
• Windows RT 8.1;
• Windows Server 2003;
• Windows Server 2008;
• Windows Server 2008 R2;
• Windows Server 2012;
• Windows Server 2012 R2.

A Microsoft classificou a vulnerabilidade como crítica, por possibilitar a execução de códigos maliciosos sem a necessidade de interação com o usuário, através de um ataque Man-in-the-Middle. Este é o tipo de classificação mais sério que uma vulnerabilidade pode receber, de acordo com os padrões adotados pela empresa. A falha é explorada remotamente, podendo garantir ao atacante o acesso ao sistema afetado com privilégios de administrador. Todos os clientes e servidores, participantes do domínio em que um sistema afetado esteja ativo, estarão em risco.

A vulnerabilidade foi descoberta e informada à Microsoft em janeiro de 2014, que prontamente compreendeu a seriedade da falha e imediatamente começou a desenvolver uma solução para o problema. A dificuldade de se chegar a uma correção foi devido a esta falha afetar componentes vitais do sistema operacional Windows, fazendo com que uma resposta só pudesse ser disponibilizada esta semana.

Diferentemente das recentes grandes falhas de segurança descobertas e corrigidas, como a Heartbleed, Shellshock, Gotofail, e POODLE, a Microsoft precisou realizar a reengenharia de componentes núcleo de seu sistema operacional, além de adicionar diversas novas funcionalidades para chegar a uma solução para o problema. A compatibilidade da correção com as diversas versões afetadas do sistema demandou cuidadosa atenção e exaustivos testes para evitar efeitos colaterais indesejados. Infelizmente a solução disponibilizada não corrige a falha nas versões do Windows Server 2003, deixando estas versões passíveis de exploração.

,Para maiores informações a respeito da falha, consulte o informe disponibilizado pela Jas Global Advisors em seu site oficial, bem como através do site de suporte da Microsoft referente à falha.