Nota: A libssh é um projeto sem relação com o Openssh do projeto OpenBSD, nossa velha e conhecida ferramenta de acessos remotos. Os detalhes desta postagem só se aplicam a quem tem uma aplicação/serviço que use tal biblioteca.

Este é um lançamento de versão importante e endereça o CVE-2018-10933.

As versões 0.6 e superiores da libssh possuem uma falha que permite ignorar a autenticação em um servidor. Ao apresentar uma mensagem SSH2_MSG_USERAUTH_SUCCESS diretamente ao invés da mensagem SSH2_MSG_USERAUTH_REQUEST, um atacante consegue autenticar sem a necessidade de saber as credenciais. O bug foi descoberto por Peter Winter-Smith do Grupo NCC.

De acordo com o perfil de segurança do GitHub, o site não é afetado por conta da forma como esta biblioteca é utilizada em seus servidores. Eles possuem uma biblioteca de autenticação customizada e não dependente da libssh.

Fonte: libssh 0.8.4 and 0.7.6 security and bugfix release

Add a comment

Os navegadores Firefox, Chrome, Edge, Internet Explorer e Safari estão todos removendo o suporte às versões antigas do protocolo de segurança online TLS. Enquanto poucas pessoas ou máquinas estão usando as há muito tempo inseguras versões 1.0 e 1.1 do protocolo, elas ainda são permitidas em muitas conexões, mas não por muito tempo.

O Transport Layer Security é um padrão desenvolvido pela comunidade cuja versão 1.0 foi lançada há quase 20 anos e sua atualização mais próxima, versão 1.1, possui falhas conhecidas que a tornam inseguras para uso em qualquer comunicação que requeira segurança.

MozillaGoogleMicrosoft, e WebKit fizeram anúncios separados, mas parecidos, em seus blogs, dizendo essencialmente que as versões antigas serão descontinuadas no começo de 2.020. A princípio, os usuários não precisarão fazer coisa alguma em decorrência da mudança. A Mozilla, inclusive, compartilhou um gráfico que mostra que, atualmente, a quantidade de conexões que utiliza o padrão antigo é mínima.

Apesar disso, o longo tempo de espera para a mudança se deve devido à possibilidade de que haja alguns sistemas críticos (por exemplo: uma estrutura legada de uma prefeitura municipal) que deixará de funcionar devido à mudança.

Fonte: TechCrunch.

Add a comment

Ontem a Microsoft anunciou a adesão a Open Invention Network (OIN), um grupo/consórcio de patentes opensource criado para ajudar na proteção do Linux em processos legais relacionados a patentes. Na essência, este acontecimento faz com que a biblioteca com cerca de 60.000 patentes da Microsoft se torne acessível aos membros da OIN.

A OIN possui uma plataforma com cerca de 2.400 associados - de desenvolvedores individuais a grandes empresas do mercado como Google e IBM - e todos os membros tem direito de acesso as patentes que ela (OIN) é dona e isto torna possível o licenciamento cruzado entre tais licenças de forma "royalty-free".

Ao se juntar, a Microsoft dá um passo considerável em direção a comunidade: Faz com que suas patentes estejam acessíveis a outros players do mercado e finda os processos que ela havia em aberto contra outras empresas, como o caso do faturamento bilionário que ela fazia ao cobrar patentes da Samsung relacionadas ao Android.

Tempos mudam e é bom ver empresas como a Microsoft se adequando. Isto a torna "boazinha"? Cabe ao leitor opinar. Na minha humilde opinião, é apenas uma questão de adequação ao mercado.

Anúncio Oficial: Microsoft Joins The Open Invention Network Community

Fonte: The Verge

Edit: Uma matéria chegou até a nossa atenção e ela é importante para mudar a ótica desta notícia e a mística que outros blogs estão reforçando que a Microsoft "ama o Linux" ou "vai deixar de fazer trollagem com patentes".

Resumidamente (tome um tempo para ler o original abaixo): A OIN é apenas uma mordaça bastante barata para o bolso das big-corps que cria um pacto de não-agressão entre elas, coordenada pela IBM, a patent-troll-mor da TI. 

Apesar de parecer ser um "grupo distribuído de empresas importantes" na verdade visa proteger as patentes da comunidade e não a comunidade dos problemas que envolvem patentes. Até a aplicação do termo opensource a patentes é tão abstrato quando dizer "Fulano está com uma voz azul".

Outro detalhe é que o ingresso a OIN não significa que a empresa membro disponibiliza suas melhores patentes, já que empresas grandes acabam tendo privilégio na criação de centenas de patentes pequenas e de conteúdo duvidoso. Ou seja, nada de patentes com as tecnologias interessantes do Windows para o grupo todo utilizar.

Enfim, jogam migalhas e criam um circo para parecer que realmente há cooperação com a comunidade quando na verdade ela é fictícia.

Fonte 2: Open Invention Network is a Proponent of Software Patents — Just Like Microsoft — and Microsoft Keeps Patents It Uses to Blackmail Linux Vendors

Add a comment

Nota: Esta postagem tem opiniões do redator, caso você não tenha notado...

O Gnome e seus gênios do design e usabilidade, decidiram que para a versão 3.32 não haverá mais um "App Menu", aquele drop-down que aparece no nome da aplicação na barra de tarefas. Tudo será centralizado em um botão hambúrguer dentro da aplicação.

Até aí tudo bem. A ideia parece legal para unificar o menu da janela ativa e criar uma certa dedução no usuário que está acostumado com o botão dos três riscos empilhados em alguma esquina da tela ou janela dos dispositivos da atualidade.

Contudo, segundo esta postagem e os comentários nela contidos, basicamente o ícone e nome da aplicação na barra superior também sumirão dificultando a visualização e identificação da janela que está ativa e ampliando o caos de quem trabalha em ambiente com múltiplos monitores.

Parabéns ao Gnome, todo dia implementando uma remoção de funcionalidades e tornando a interface mais estúpida e depois pedindo para que "os usuários testem suas decisões" unilateralmente.

Opinião do redator: Eu nem sei por onde começar. Remover o menu de aplicativo? OK. Agora, tirar o nome e ícone da aplicação selecionada para deixar uma barra no topo apenas com um relógio central ocupando espaço parece altamente estúpido. Nem ao menos um indicativo da aplicação focada ou que gerou alerta junto com a ausência de um botão minimizar? Tenho que concordar com o Linus nas várias criticas que ele já fez sobre o Gnome e a equipe responsável por tal tecnologia.

Fonte: Gitlab - App Menu Retirement

Add a comment

Apenas para relembrar o que já foi dito aqui pelo colega Jerônimo Madruga, a chamada para trabalhos do Tchelinux Porto Alegre se encerra neste próximo Sábado, 13/10/2018.

Acesse o seguinte link para enviar sua proposta de palestra: https://goo.gl/forms/oUT9TXR4Yf1osjUQ2

Fonte: Tchelinux

Add a comment

 

Com a provável vitória do candidato de extrema-direita, Jair Bolsonaro, à presidência da República, será necessário tomar alguns cuidados ao navegar na internet, principalmente se você fizer parte de algum grupo social contrário à ideologia do novo governo. Muitos podem achar esse post algo paranóico, mas não se trata disso. O então pré-candidato, em um pré-encontro com eleitores, disse que o Brasil não é um país laico, mas cristão, e que as minorias teriam que se curvar às maiorias, devendo se adequar ou desaparecer.

Portanto, se você é homossexual, bissexual, ateu, espírita, usuário de drogas ilícitas, liberal, socialista ou se encaixe em qualquer perfil que não seja o propagado pela extrema-direita conservadora brasileira, leia esse post com atenção.

Add a comment

Nota do tradutor: Essa era a notícia que faltava neste ano para os odiadores/amantes do systemd ampliarem suas tretas :) . Lembre sempre agora amiguinho, cada hit seu no like é uma oração para o Deus/Satã systemd, mmmuaaahahahahahahahahahahahaahahah

Na última semana ocorreu a conferência All Systems Go! em Berlin e Davide Cavalca comentou sobre a utilização do systemd pelo Facebook em 2018 e como ela foi expandida desde o último ano.

Em termos simples, digamos que o Facebook ama o systemd. Ele utiliza suas funcionalidades diariamente dentro dos seus data centers. Algumas das notas que merecem destaque incluem:

  • O Facebook tem o systemd como seu carro chefe por no mínimo os últimos 2 anos.
  • O Facebook está utilizando CentOS 7 em todos os hosts para criação de containers.
  • Mesmo utilizando o CentOS 7, o Facebook faz o backport de vários pacotes incluindo novas atualizações do systemd, Meson, dependências, e é claro versões recentes do kernel Linux.
  • O Facebook está trabalhando no "pystemd", um wrapper Python (Cython) para conversação entre os compontentes systemd+dbus+python de forma transparente
  • O Facebook também está desenvolvendo o "systemdmon", um daemon que se alimenta de métricas do systemd que são utilizadas para o monitoramento de sistemas.

O vídeo da apresentação completa está disponível em media.ccc.de.

 Fonte: Phoronix.

 

Add a comment

Segundo um relato da Bloomberg e matérias de vários sites (ArsTechnica,  The Verge, Mac Rumors) a cadeia de distribuição de hardware foi "hackeada" e mais de 30 empresas dos Estados Unidos foram vítimas de um ataque de hardware em um chip embutido nas placas-mãe da Super Micro.

 De acordo com os relatos da Bloomberg, estes chips embutidos nas peças importadas foram descobertos de forma independente pela Apple e Amazon em 2015, e tais empresas reportaram a situação ao FBI que iniciou uma investigação. O relato alega que estes pequeninos chips foram projetados para parecer com outros componentes da placa-mãe ou foram embutidos na própria fibra de vidro desta peças. Conectados a parte de gerenciamento do processador, estes conseguem alcançar áreas importantes do hardware como rede e memória. Alguns relatos indicam que estes chips podiam até mesmo receber instruções remotas de remoção de validação de senhas de um sistema operacional em execução, liberando a máquina alvo para ataques remotos.

Todas as placas foram projetadas pela empresa Californiana Super Micro, e construídas em Taiwan e na China. Ainda segundo o relatório algumas pessoas disfarçadas de funcionários da Super Micro ou representantes do governo abordaram pessoas trabalhando em quatro fábricas e requisitaram mudanças na construção das placas-mãe e a inclusão de um chip extra. Ao que tudo indica o ataque foi promovido pelo Exército Popular de Libertação, o Exército Militar Chinês.

Em resposta a descoberta, a Apple está descartando cerca de 7,000 servidores Super Micro de seus data centers, e a Amazon vendeu um data center Chinês. Em 2016 a Apple findou suas relações com a Super Micro contudo, as causas permaneciam desconhecidas (até agora). A Super Micro, Apple e Amazon negam a versão da história da Bloomberg. A Amazon afirma que não é verdade o fato de que a AWS (Amazon Web Services) tenha trabalhado com o FBI e dado informações para a investigação de um suposto hardware malicioso; A Apple foi evasiva e disse que "não está ciente de parcerias investigativas com o FBI", e a Super Micros "não está a par de investigações sobre este assunto". A Apple sugeriu ainda que a Bloomberg pode ter criado um mal entendido com o incidente de 2016 onde apenas um servidor da Super Micro foi encontrado com uma infecção de firmware nos laboratórios de design da Apple.

Obviamente como a Bloomberg volta e meia é fonte de notícia sensacionalista, mantenham um olho aberto pra esta história.

Opinião do redator - Se for verdade, não sei o que assusta mais: A fragilidade da cadeia de distribuição destas empresas de hardware ou a criação de "walled gardens" pelas receptoras de peças, que possuem clientes globais que consomem seus serviços e produtos que são bem conhecidos e difundidos.

Fonte: Diversas no primeiro parágrafo.

Add a comment

FCP 101: Descontinuação e remoção de módulos Ethernet 10/100

A descontinuação de tais dispositivos deverá ocorrer antes do FreeBSD 13.

O problema

Cada dispositivo de rede cria "atrasos" na tentativa de melhorar a pilha de redes ou na criação de novas funcionalidades como por exemplo expansão da compatibilidade 32-bit. Por exemplo, o autor precisou editar cada driver de placa de rede ao mínimo uma vez no último ano para atualizar interfaces de gerenciamento das mesmas (ioctl). Esta situação pode ser melhorada com a conversão de tais drivers para a iflib, mas cada módulo exige trabalho adicional.

Dispositivos 10 e 100 megabit são altamente irrelevantes hoje em dia e há um número significativo deles na árvore dos fontes. Os que não são utilizados ou os que o estado de funcionamento é desconhecido serão removidos para reduzir a carga de desenvolvimento.

Durante a última década, a maioria dos sistemas (incluindo pequenos embarcados) tem saído de fábrica com interfaces Gigabit Ethernet e máquinas virtuais comumente emulam interfaces gigabit. Suporte a dispositivos físicos e virtuais populares será obviamente mantido enquanto hardwares incomuns terão o suporte removido. Com algumas exceções, tais drivers provavelmente não estarão mais em uso pela base de usuários do FreeBSD no momento em que a versão 12 virar obsoleta (aproximadamente em 2024).

Dispositivos que serão removidos: ae, bfe, bm, cs, de, dme, ed, ep, ex, fe, pcn, sf, smc, sn, ste, tl, tx, txp, vx, wb, xe

Dispositivos que serão mantidosdc, fxp, hme, le, rl, sis, vr, vte, xl

Para maiores detalhes de como a transição será feita, acompanhe o link de referência abaixo.

Fonte: FCP 101: Deprecation and removal of 10/100 Ethernet drivers

Add a comment