Vulnerabilidade no Ubuntu Linux

Foi descoberta (07/07) à noite uma vulnerabilidade no módulo de MOTD do PAM no Ubuntu Linux. O MOTD (Message of the day), componente que mostra informação após o usuário fazer login na linha de comando, tinha uma falha, não tratando a permissão dos arquivos corretamente, sendo corrigida poucas horas depois, ainda ontem à noite.

Usuários e administradores de sistemas Ubuntu devem instalar as atualizações automáticas disponibilizadas pelo sistema. A falha afetou apenas o Ubuntu Linux, não outras distribuições.

A falha foi divulgada no twitter e o exploit já foi cadastrado no exploit-db. Ela permite que usuários comuns acessem arquivos arbitrários com privilégios de super usuário.

Rafael Soares, Colunista do Blog SegInfo e analista da Clavis Segurança da Informação, testou o exploit em ambiente de testes da Clavis e comprovou o impacto da vulnerabilidade utilizando como estudo de caso a alteração da senha de root (editando o arquivo /etc/shadow) através de um usuário sem privilégios.

Veja mais detalhes da vulnerabilidade na lista de anúncios de segurança do Ubuntu.

Fonte: [USN-959-1] PAM vulnerability.

Sk1 – Um programa open-source equivalente ao CorelDraw para Linux

Para quem é fã do Corel Draw e não quer migrar para linux, ou apenas experimentar o sistema, agora você conta com mais uma alternativa. É o programa de código livre SK1 Project (link), que não apenas roda em todas as distribuições Linux, como também tem versão pra Win32 e está programado versões para Mac, ou seja, você agora tem um programa que faz o mesmo que o CorelDraw sem ter que pagar nada para trabalhar nele.

:: Instalando ::

Baixe o arquivo .DEB referente à sua distro. Eu usei os arquivos da versão 32bits.

Dê duplo clique nos arquivos e instale com o Instalador de pacotes.

http://sk1project.org/modules.php?name=Products&product=sk1&op=download

:: Adicionando o Repositório PPA ::

$ sudo add-apt-repository ppa:stani/ppa

:: Para incluí-lo no MENU Aplicativos ::

Depois de instalado o programa não se encontra no menu aplicativos. Para incluí-lo clique com o botão direito em cima do Menu APLICATIVOS e escolha EDITAR MENUS, na coluna da esquerda MENU escolha a seção GRÁFICOS e clique em NOVO ITEM, coloque o nome do aplicativo “SK1” e em comando coloque “gksudo sk1″ (sem as aspas). Escolha uma imagem (PNG ou JPEG) como ícone do programa (não veio um no pacote de instalação), eu coloquei o logo do ubuntu que se encontra no diretório (/usr/share/icons/hicolor/48×48/apps/distributor-logo.png) e clique OK.

Pronto. Vá em APLICATIVOS > GRÁFICOS que ele estará lá!

Dica do blog: http://www.ubuntudicas.com.br/blog/

Imagens:

Criador do Postfix fala sobre o desenvolvimento da ferramenta no fisl 11

O PhD em física Wietse Venema ministrou a palestra “Postfix: past, present and future” aos participantes do 11º Fórum Internacional Livre – fisl 11. Venema ficou conhecido por criar o agente de transferência de emails (MTA), que se tornou popular por ser rápido e fácil de administrar, sendo alternativa ao Sendmail.

Durante sua apresentação, o programador falou ao público sobre os desafios com os quais se deparou e as soluções que encontrou para o desenvolvimento do software. Segundo ele, durante a construção do Postfix o objetivo foi resolver problemas que eram comuns em outros softwares semelhantes utilizados no passado.

Questões como filtros para impedir a entrada de malwares e warms fizeram parte da fala de Venema, que instigou a participação da plateia durante sua palestra. Uma das soluções apontadas para o problema foi a concessão de menos privilégios ao servidor e ao usuário. “Quando desenvolvi o Postfix, eu já havia passado por outros experiências semelhantes e por isso já sabia quais eram os tipos de erros que eu não poderia cometer. A questão dos privilégios estava entre os pontos principais. Era preciso deixar uma lacuna entre a recepção da mensagem e o processo de entrega”, pautou.

Ao ser indagado sobre a utilização de novas plataformas para impedir a infecção de arquivos por pragas, Venema foi objetivo. “Seria muito bom se meu software pudesse garantir que os e-mails que eu estou recebendo são de uma fonte segura, mas pensar nisso é ser idealista”, afirmou.

O fisl11 está sendo realizado no Centro de Eventos da PUCRS, em Porto Alegre, até sábado, 24 de julho. Mais informações no site http://www.fisl.org.br.

23 de Julho de 2010, por Luis Henrique Silveira

ClearOS Enterprise 5.2

A ClearFoundation anunciou que já está liberada a versão 5.2 Enterprise Edition do seu servidor open source de redes Linux e soluções de gateway. Esta última versão lançada inclui uma série de mudanças e introdução de novas funcionalidades. ClearOS Enterprise 5.2 é baseada CentOS 5.5 Red Hat e possui uma ferramenta de firewall personalizada para a criação de regras avançadas, um analisador de tráfego de rede para detectar problemas de largura de banda e para melhorar a segurança através de um mecanismo de políticas de senhas. Outras mudanças trazidas pelo lançamento incluem suporte à H.323 para sistemas VoIP, e um suporte aperfeiçoado para o Google Apps e plataforma Zarafa em um LDAP Directory.

ClearOS, que anteriormente era conhecido como ClarkConnect, é um gateway server que destina-se a ser utilizado em pequenas empresas e em ambientes distribuídos. Baseado no CentOS, ele inclui uma extensa lista de funcionalidades e serviços integrados, que são fáceis de configurar através de uma interface intuitiva baseada na Web. Além disso, ele conta com ferramentas que incluem antivírus, antispam, VPN, filtragem de conteúdo, gerenciador de banda, certificação SSL e analisador de log da Web. Mais detalhes sobre o lançamento da versão 5.2 podem ser encontrados em notas publicadas em sua própria página. ClearOS 5.2 está disponível para download como um arquivo de imagem ISO de 700 MB.

Saiba Mais:

[1] ClearOS 5.2 : http://www.clearfoundation.com/Clear…-released.html
[2] Download ClearOS 5.2: http://www.clearfoundation.com/Software/downloads

Por Camyll