BR-Linux.org

Quero começar dizendo algo que precede: tenho imenso respeito pelo legado de Andrew Tridgell, o desenvolvedor em questão. Sua principal criação – o Samba (1992-) – foi um dos grandes impulsionadores da vitória do código aberto nos conflitos da interoperabilidade com redes proprietárias, na virada do século.(…) leia mais

Mais de 30 pacotes npm disponibilizados no namespace ‘@redhat-cloud-services’, da Red Hat, foram comprometidos em um ataque que distribuiu uma nova variante do malware de roubo de credenciais Shai-Hulud, apelidado de “Miasma”.

Mais um final de semana, mais uma vulnerabilidade que dá acesso indevido de root em distribuições Linux variadas: desta vez é o CIFSwitch, que permite que um usuário local sem privilégios obtenha acesso root por meio da interação entre o cliente CIFS do kernel Linux e o utilitário cifs-utils.(…) leia mais

O período distópico que assola o GitHub desde a sua aquisição pela Microsoft tem mais um marco assustador: o Megalodon, uma campanha que injetou commits de malware em mais de 5000 repositórios ao longo de 6 horas de atividade na quinta-feira passada. Usando bots diversos e incluindo nos commits descrições (SysDiag, Optimize-Build...(…) leia mais

A quarta-feira começa com a surpreendente notícia de que invasores conseguiram, de alguma forma, encontrar tempo suficiente em que o GitHub estava no ar, para obter acesso não autorizado aos seus repositórios.

As distribuições já estão disponibilizando atualizações contra a vulnerabilidade Dirty Frag, prontas para uso em produção, e a recomendação é que você instale assim que possível1, especialmente (mas não só) se outros usuários tem acesso a executar processos em sua máquina.(…) leia mais

Se o seu computador roda o shell Bash e não foi atualizado nos últimos dias, ele está vulnerável ao Shellshock, uma falha grave – e praticamente todos os computadores desktop e servidor com Linux e com OS X, além de aparelhos como

Elementos básicos da segurança digital não são o local em que esperamos ter fortes emoções. Pelo contrário: o tédio de versões que se sucedem conforme programado, testadas e auditadas de acordo com as especificações, trocando o virtuosismo por código facilmente legível e bem documentado, é bem mais preferível.(…) leia mais

Via idgnow.com.br: Agências legais de diversos países, entre elas o FBI e a Europol, anunciaram na segunda-feira (2/6) que trabalham com fornecedores de soluções de segurança para destruir a botnet Gameover Zeus, que pode ter afetado entre 500 mil e 1 milhão de computadores.(…) leia mais

O projeto OpenSSL, no qual recentemente foi descoberta a largamente explorada falha Heartbleed, acaba de divulgar mais um conjunto de vulnerabilidades. Desta vez, as falhas podem permitir interceptação de comunicações por um intermediário (MITM), além do potencial de permitir execução de código injetado por um atacante.(…) leia mais

O popular sistema de criptografia Truecrypt, disponível para várias plataformas, é uma curiosidade: seus autores são desconhecidos, e tem sido frequentes os questionamentos sobre a segurança de usá-lo.(…) leia mais

A Trend Micro fez um scan, 2 semanas atrás, dos sites que ocupam as primeiras 1.000.000 posições do índice do Alexa (hoje uma empresa da Amazon), separou-os por domínio, e concluiu que 30% dos que usavam SSL estavam com o Heartbleed – na ocasião, o Brasil estava um pouco acima de média: aqui o índice era de 33%.(…) leia mais

Nova lei do software livre: ao fazer fork de um projeto cujo nome tem o prefixo Open, deve-se adotar o prefixo Libre. Ao menos é o que alguém com tendência à generalização poderia inferir se a amostra de forks fosse composta apenas pelo do OpenOffice e do OpenSSL.(…) leia mais

De uma tacada só, os atacantes usaram o Heartbleed para dar a volta tanto no sistema de autenticação de múltiplos fatores e no sistema de verificação que buscava garantir que os clientes da sua VPN pertenciam à empresa e estavam

Um pesquisador divulgou ter conseguido, usando a mesma falha Heartbleed anteriormente explorada em servidores web, extrair repetidamente a chave privada de um servidor OpenVPN, e até mesmo criar outro servidor que conseguia se passar pelo servidor original.(…) leia mais