Arquivos históricos do BR-Linux.org apresenta:

Corra para o upgrade do Samba!

Notícia publicada por brain em abril 8, 2003 01:49 PM

Este alerta do Digital Defense descreve a vulnerabilidade do Samba resolvida ontem. Se você usa a série 2.x deste sistema, está na hora de aplicar os patches ou fazer upgrade para a versão 2.2.8a. Segundo o comunicado oficial, a falha é grave e já existe um exploit.



Esta linha é apenas um teste, faz parte do upgrade do site ;)

 

Comentários dos leitores
(Termos de Uso)

» Tiago Cruz () em 08/04 16:11

Puxa...
Esse up2date demo é cruel....
Volte mais tarde sempre!

...


» pimpolho () em 09/04 10:47

Putz, mais um! Já tô de saco cheio, todo mês sai descoberto um bug no samba que permite root remoto!


» decko () em 09/04 11:11

Pelo menos, ele é avisado, consertado e disponibilizado!!! No windows, o erro é encontrado, explorado, e após muito tempo, a microsoft lança um patch e nem avisa seus usuarios...


» windows??? () em 09/04 14:08

quem aqui falou em windows??
ninguem mais discute a ruindade do windows
eh provado que ele eh uma bosta e pronto
o ponto eh que o samba tem muitas falhas e ja esta dando no saco mesmo
quem usa red hat ta fudido nao se consegue uma vaga naquela droga de up2date


» zé do caixão () em 09/04 14:59

Como assim, o bug é achado, explorado e depois de meses é feito um patch? Faça o seguinte: Mantenha-se informado antes de falar bobagem e ir na onde dos que falam "Microsoft sucks!".

Visite: http://www.microsoft.com/security/security_bulletins/decision.asp para ter uma relação completa de patchs, e de bônus ainda poderá se inscrever em uma lista de correções. E ver o quanto é rápido.


» Tiago Cruz () em 09/04 16:23

Eu uso Red Hat... e hoje eu consegui uma vaga :-)
Xi... já mudaram de assunto de novo...


» Dyego Souza do Carmo () em 09/04 16:28

HEHE eh por isso q eu curto o Debian... apt-get ... maravilha :P fora q vc tem uns 2 mil mirrors para download... em tudo q eh país... E BELEZA :) , quem tem estrutura eh outra coisa...


» Tiago Cruz () em 09/04 16:45

Tem como colocar o apt-get no RH tb, mas mó pregui :-)


» FAS () em 09/04 16:47

Ao Zé do Caixão:

Como assim, o bug é achado, explorado e depois de meses é feito um patch? Faça o seguinte: Mantenha-se informado antes de falar bobagem e ir na onde dos que falam "Microsoft sucks!".

- Não adianta você querer passar por cima da realidade, no WINDOWS muitas das falhas só são corrigidas em Services Packs, depois de muito tempo. Outras falhas demoram muito tempo para que as atualizações sejam disponibilizadas, tempo esse que os Hackers usam para explorá-las. a MICROSOFT esconde a maioria dos BUG's coisa que a comunidade do Software Livre não faz. O que importa para a M$ é publicidade. Ela não vai querer ser exposta, não é.
Mesmo assim as falhas estão aí, a olhos vistos. Ora é correção que gera outras falhas, ora é um vírus que ataca servidores numa velocidade terrível, etc, etc, etc...
Só mais um detalhe, você é sócio da M$???????
Vai defender assim lá no Iraque ô meu :-).


» zé do caixão () em 09/04 18:01

Fas,

Você tem como provar isso? Que a microsoft esconde as falhas? Dificilmente uma falha é descoberta pelo próprio desenvolvedor, e sim por terceiros (como foi o caso desse último do samba).

Como você sabe tanto de services pack, deveria saber que eles são a junção de vários hotfixes. Hotfixes esses que são lançados logo após o problema. Não fale do que você não sabe.


» FAS () em 10/04 10:53

Zé do Caixa,

Além dos hotfixes que são divulgados eles deixam vários outros para serem incluídos nos services packs.
Não é preciso provar nada, é preciso ter consciência, a provas estão aí na Internet, várias invasões devido às falhas nos softwares da M$ e a demora para corrigi-las.
Você está parecendo uma americano, que acredita em tudo que o presidente diz na Televisão. É mais ou menos a mesma coisa... Eles dizem e o povo é obrigado a acreditar.
Você deve frequentar muito o site do Baboo não é??? Devia ficar por lá mesmo 8-).


» FAS () em 10/04 10:55

Tem mais, não coloque comentários dizendo que os outros falam bobagens, que não sabem o que diz.
Fica parecendo que você é o dono da verdade e que sabe tudo...
Sabichão.


» zé do caixão () em 10/04 12:10

_Todo_ hotfix crítico sai logo depois da vulnerabilidade ser descoberta. Isso é uma política de empresas sérias. Se não acredita, informe-se ;-).

Minha consiência não é igual a sua, felizmente. Falar bobagem qualquer faz, provar com fatos é muito mais difícil. A maioria dos exploits trabalham em falhas conhecidas e já sanadas. veja o slammer por exemplo:
http://www.cs.berkeley.edu/~nweaver/sapphire/
Surgiu em janeiro de 2003, quando sua correção estava disponível desde julho de 2002. Culpa do software ou do administrador?

Worm por worm, o apache também tem dos seus:
http://www.cert.org/advisories/CA-2002-27.html

Se você ainda acha que tem razão, mande um link para provar ;-)

Nem tanto como gostaria. Sempre tem algum mala pra incomodar.


» FAS () em 10/04 12:55

Microsoft Séria??????
Ah, ah, ah...
Já basta.


» junior () em 10/04 13:06

Microsoft Séria???
Sim, até acredito... na época o 3.11, quem sabe...
Agoraa, se seriedade é quebrar os concorrentes ao invés de competir, então o canibalismo deveria ser profissão regulamentada, com CREA e tudo...
Olha, tô começando a rever minha disposição em ler os comentários do site.....


» zé do caixão () em 10/04 14:12

Ei Fas, ainda estou esperando fatos que comprovem o que você disse. Até agora você _só_ falou bobagem, sem comprovação de nada que saiu da sua boca.

Se então a empresa líder de mercado em _vários_ segmentos (servidores, desktop, office) não for séria por que um fulano qualquer _acha_ isso, fazer o quê...

Procure não ir no hype "microsoft sux". Tece suas opiniões, saiba do que está falando. Fatos, não falácia!

E por favor, não venha dizer que não gosto ou sou contra o linux, em nenhum momento disse isso.


» FAS () em 10/04 15:43

Você me apresentou um site que dá explicações sobre uma uma falha GRAVE do Windows/MsSQL. Várias outras foram encontradas, é só você procurar. Já que você se interessa por Links lhe recomendo um site bastante interessante:
www.google.com, eles tem o melhor mecanismo de buscas da Internet... São tantos que é inviável eu lhe enviar aqui.
Verifique sobre as últimas falhas de script's do Windows, CodeRed (veja que somente depois da disseminação do vírus foi que eles corrigiram a falha), IIS é mais bugado do que tudo...
Ah sim, aproveite e verifique também a gravidade das falhas por exemplo as do Linux e as do Windows/SQL/IIS (ex. o slammer) ... Veja o estrago que worm que explorou falha do Apache (cfe. você apresentou) e o que o Code Red fez com o IIS, veja aindaque o Apache está na maioria dos servidores da Internet :-).
Tem mais... NIMDA, KLEZ, tudo vírus para a merda do Windows, bem, no Linux não temos casos como esses. Quem sabe um dia alguém consiga disseminar algum vírus dessa forma.
Para concluir lhe advirto, a M$ só é boa até você levar a primeira cassetada dela, aguarde... Pode até ser que não leve um baque financeiro (principalmente se você só utilizar Windows piratão), mas independente disso uma dia você vai apanhar feio deles, pode acreditar.


» FAS () em 10/04 15:46

A sim, e ela só é líder de mercado porque pratica monopólio. Mas um dia isso acaba.


» zé do caixão () em 10/04 16:33

Ainda estou esperando links com fatos, mas até agora só vi bobagem em cima de bobagem, kiddie.
A propósito, essa notícia trata sobre um bug no samba, não é mesmo? Como alguém disse lá em cima, todo mês sai um nova vulnerabilidade. Estou longe de desmerecer o samba, excelente software, mas prova não é só o windows que tem bugs.

O hotfix para a falha que o codred explorava foi disponibilizado em 18 de junho de 2001:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-033.asp
Já o codered em si apareceu no dia 16 de julho de 2001:
http://securityresponse.symantec.com/avcenter/venc/data/codered.worm.html

Quase um mês depois da correção que surgiu o worm. Você afirmou justamente o contrário. Vocè é mentiroso ou apenas um pobre desinformado?

Monopólio? Diria que ela faz bem o que se propôe, os números de mercado estão aí para provar. Se os tribunais não decretaram monopólio, quem é você para dizer isso?

Abraço, filho. Não perderei mais do meu tempo com um derrotado como você.


» FAS () em 10/04 17:13

Estou achando que o derrotado é você. Acha monópólio um benefício e se ilude com as afirmações da M$. Acho que o que você é mesmo é um burrão que fica sobrevive a base de links. Não precisa ter muito trabalho não, procura só um pouquinho nos seviços de busca com o seguinte:
falhas + microsoft + windows
que você encontrará milhares de links que você tanto deseja. Não me considero um derrotado e sim um vitorioso por uma usar um sistema superior ao cheio de bug's chamado Windows. Ele tem tanto Bug que em determinado momento a Microsoft chegou a parar todos os serviços somente para corrigi-los. É tão bom que na própria apresentação do sistema feita pelo dono da empresa o sistema trava na frente de todos. Usar um sistema desse eu nem considero uma derrota, acho que quem o defende com unhas e dentes passando por cima das suas falhas é que é um DERROTADO. Utilizo o windows também, não nego, por isso sei o que os seus usuários enfrentam.
Defender o monopólio da M$ é igual a defender os Americamos e suas segundas intenções na guerra contra o Iraque, o aumento da inflação, FHC, e cia... É muita inocência ou então falta de conhecimento. Vá estudar menino e vê se cresce um pouquinho. Para mim já chega...
Colocar a verdade na mente de um teimoso é a pior coisa que o ser humano pode enfrentar. Ah outra coisa, números também são fraudados e inventados, o domínio da M$ que já está caindo, ocorre muito por causa da pirataria, se acabarmos com ela acabaremos com os sistemas da M$ também.

Para reflexão: Segundo a mídia a Guerra do Iraque foi ganha ontem, porém hoje ainda temos muitas batalhas, ou seja, nem sempre o que nos empurram pela goela é a realidade.


» FAS () em 10/04 17:38

Ninda, SIRCAM, entre outros.
Quantos prejuízos não causaram aos usuários???
Nem sempre o fato de ser mais utilzado significa que é o melhor. Se fosse assim a Coca-Cola fazia um bem danado à saúde.
Acho que o problema do Windows/IIS/MsSQL/Ms Office/IE/Outlook Espress é estrutural, pois sempre tem remendo a ser feito para evitar pragas e consequentemente prejuízos. Deviam reescrever esses softwares do zero.
Como é que uma empresa tão boa consegue ter sistemas com tantas falhas assim???
A mais recente é a da máquina java (não vou lhe mandar links, pesquise, vê se aprende Lamer.


» Augusto Campos () em 10/04 19:28

Eu acho essa discussão tola, o Linux não tem que ser "mais seguro que o sistema XYZ". Ele tem que ser seguro e pronto, em termos absolutos e não relativos.

O lugar para discutir a segurança de outros sistemas operacionais não é aqui, acho que já podem parar com essa discussão.

Aliás, evidências de que os patches da Microsoft costumam atrasar são fáceis de achar. Coletei algumas no Google, notem que nenhuma delas vem de sites Linux-cêntricos.

Aqui estão alguns exemplos, na esperança de que vocês agora mudem de assunto. Particularmente interessante é o comentário do Gartner Group, lá embaixo entre linhas de asteriscos ;)


http://www.itworld.com/AppDev/1597/021205msbug/page_1.html (bug reportado em outubro e corrigido só em maio do ano seguinte, descrição: "Security experts, however, say the vulnerability is serious and could be exploited to take over a user's machine. (...) Exploiting it could enable an attacker to read information on a user's computer and invoke programs already on the PC, according to Microsoft in security bulletin MS02-068")

http://news.com.com/2100-1001-834826.html - o "superpatch" do IE publicado em fevereiro do ano passado corrigia várias vulnerabilidades, inclusive uma de dezembro do ano anterior, considerada especialmente séria pelo autor da matéria. Os especialistas consultados pelo News.com não ficaram felizes com a demora: "Both security experts said they were disturbed by Microsoft's slow response, especially with respect to the December security problem found by ThePull."

http://security.itworld.com/4352/IDG010611exchange/page_1.html
Era uma falha do Exchange, a MS lançou patch para o Exchange 2000 e deixou de lançar para o (na época) muito mais usado Exchange 5.5. E o fix para o 2000 ainda tinha problemas, precisou ser retirado do site e relançado depois. Retirado do boletim da vulnerabilidade "oficial" da MS: "Impact of vulnerability: Run code of attacker's choice."

http://www.silicon.com/news/500009/1/1028004.html
Matéria do Silicon.com: Microsoft security moves 'too little too late'. Apesar do título, essa matéria concorda parcialmente com o Zé do Caixão: não é que a MS não saiba fazer os fixes, ou que se atrase para fazer. O problema é o excesso de bugs sérios mesmo...

http://www.silicon.com/news/500013/1/1027704.html
Outra do silicon.com, o título é "Message to users: 'Stop using Microsoft's web server software...'". Essa matéria comenta a decisão do Gartner Group de desaconselhar o uso do servidor web da MS, porque os riscos envolvidos são altos demais. Não sou eu nem o FAS, foi o Gartner Group (que está bem longe de ser um fã-clube do Linux) que disse que a MS demora demais com os patches. Vou até colocar entre asteriscos:

*********************************
Gartner believes that one reason the security risks in using IIS are so high is because Microsoft supplies security patches too slowly. (...) Microsoft refused to comment.
*********************************


» BlackHeart () em 11/04 12:04

Zé do Caixão manda um e-mail pra mim.
Eu vo prepara um programa em ActiveX pra vc acessa pelo internet explorer. Não esqueça de ativar o ActiveX...

O que eu ganho falando isso? só mostro que ao inves de barrar códigos maliciosos no activeX, a microsoft aconselheu o bloqueio de qualquer código ActiveX. Num era mais prático mexer nas permissões do que bloquear todo e qualquer Active X? Foi só pra da um exemplo da incompetencia da maior empresa do mercado.


» jjj () em 01/05 13:54

seus boiolas... vão procurar uma xota...


» OBSERVADOR () em 14/06 10:35

Resultado de todas essas discussões!

O Windows/Linux uma droga!

Como moro em um pais livre acho que tenho o direito de colocar minha opinião!
Por mais que se debata suas falhas e segurança, jamais um sistema será totalmente seguro. É TOTALMENTE IMPOSSÍVEL PARA UM PROGRAMADOR PREVER TODAS AS FALHAS DE UM SISTEMA/PROGRAMA NO ATO DE SEU DESENVOLVIMENTO!
Lógico que devemos nos preocupar SERIAMENTE com a segurança, principalmente hoje em dia mas, NUNCA ESTAREMOS TOTALMENTE SEGUROS COM QUALQUER PROGRAMA OU SISTEMA OPERACIONAL!
As falhas do Windows são graves, porem, acho que a do Linux ainda não foi tão explorada pelo fato de ser um sistema "pouco usado", lógico na grande massa de operadores.
Em se tratando de atualizações do Windows, se já temos um problema com isso, aqui no Brasil então piorou, consequentemente as atualizações para nós seram uma das ultimas, afinal sairá primeiro uma em Inglês, isso vale para todos os programas de todas as empresas Americanas, já sofri isso na pele, hoje a grande maioria de meus programas são em versões em Inglês, e, digo isso com profunda tristeza, pois adoraria ver o Brasil, em se tratando no ramo de informática, líder no desenvolvimento de sistema operacional

Não sou tão informado como as pessoas ai de cima, respeito a opinião de TODOS mas, tenho visão diferente!

** PESSOAS SÉRIAS NÃO DISCUTEM FALHAS, APRESENTAM SOLUÇÕES! ** Se todos compreendêssemos isso, nosso país seria líder em muitos seguimentos! Para reclamar encontramos muitos, para arregaçar as mangas e apresentar resultados, são poucos. É por isso que nosso país esta assim, lógico que são VÁRIOS pontos que precisão ser mudados porem, o primeiro, em minha opinião, SOMOS NÓS MESMOS!

Abraço a todos,

Leandro Amarilha
Santos - SP


Comentários desativados: Esta discussão é antiga e foi arquivada, não é mais possível enviar comentários adicionais.



O Arquivo Histórico do BR-Linux.org mantém no ar (sem alteração, exceto quanto à formatação, layout, tabela de caracteres, etc.) o acervo de notícias, artigos e outros textos publicados originalmente no site na segunda metade da década de 1990 e na primeira década do século XXI, que contam parte considerável a história do Linux e do Open Source no Brasil. Exceto quando indicado em contrário, a autoria dos textos é de Augusto Campos, e os termos de uso podem ser consultados na capa do BR-Linux.org. Considerando seu caráter de acervo, é provável que boa parte dos links estejam quebrados, e que as informações deste texto estejam desatualizadas.