12 de agosto de 2009

Lançada edição n. 5 da Revista Espírito Livre

Revista Espírito Livre - Ed. n #005 - Agosto 2009

Em meio a correria do mês de julho, que é de férias para uns e um apenas mais um mês para outros, a Revista Espírito Livre traz o [GNU] Linux no desktop, apresentando de forma clara e simples, que isto é perfeitamente possível mesmo nos dias de hoje, onde muitos ainda insistem em dizer que o sistema não amadureceu, e que o mesmo tem como propósito habitar apenas servidores.

Nossa entrevista desta edição é com Clement Lefebvre, criador do Linux Mint, uma distribuição Linux baseada no Ubuntu, ainda não muito conhecida entre os brasileiros, mas vem conquistando devotos por onde passa, com forte apelo visual, quanto a elegância do Linux. Clement prova com o Linux Mint que é possível ter um desktop funcional, bonito e direcionado a usuários leigos, com ferramentas que facilitam a vida destes, que ainda estão por entrar no mundo do pinguim. Outros projetos nacionais apontam para o mesmo objetivo, como o Desktop Paraná, desenvolvido pela Celepar trazendo um desktop fácil de usar, baseado no Debian. O Ekaaty Linux também não segue a regra e também traz uma solução para usuários desktop com um ambiente fácil de usar e bastante completo.

A revista traz também novos parceiros que trazem a possibilidade dos leitores concorrerem a brindes, entre outros. Os que quiserem participar da revista como parceiros, não se acanhem, entrem em contato!

Trazemos ainda novas adições a equipe e que, com certeza, só enriquecerão ainda mais nosso trabalho. Boas vindas a Antônio Augusto Mazzi, que vai falar sobre emulação do DOS no Linux, Flávia Jobstraibizer que fala sobre PHPBoleto, Walter Capanema que traz os aspectos jurídicos sobre Spam, Francisco Junqueira com uma matéria interessante sobre Google App Engine e Hailton David Lemos, do grupo GoJava, que apresenta como trabalhar com JSP, Ajax e Servlet. Os tantos outros que colaboraram na edição, enviando suas dicas, dúvidas, comentários, participando das promoções, o nosso muito obrigado. Isso muito nos alegra e nos faz seguir em frente, mesmo diante das adversidades.

Como não poderia ser diferente em nossa seção de emails trazemos relatos sobre os leitores da revista com suas opiniões e relatos. Você leitor, pode usar este espaço também para tirar suas dúvidas. Aproveite e participe! Envie também o seu comentário!

A Revista Espírito Livre trás a relação de ganhadores das duas promoções da edição anterior, que continuam nesta edição. Então, se você não participou das promoções da edição passada, não perca tempo e participe. No site oficial da revista [http://revista.espiritolivre.org] e nas redes sociais onde a revista se encontra presente também pipocam novidades…

A Revista Espírito Livre, por meio da colaboração de sua equipe chegou até aqui e espera ir muito além. Junte-se também nós! Nosso propósito é sermos uma publicação de qualidade feito por e para usuários, técnicos, professores, estudantes, e tantos outros que fazem parte deste universo de leitores.

6 de agosto de 2009

BIND: Ataque pode causar Negação de Serviço através do Dynamic Update

Essa vulnerabilidade do BIND foi reportada por Matthias Urlichs e liberada ao conhecimento público no dia 28/07/2009. Quando explorada remotamente, causa uma negação de serviço (server crash) através de uma mensagem específica de atualização dinâmica (dynamic update message).

Essa vulnerabilidade afeta todas as versões do BIND 9 e possui um alto grau de risco, podendo ser explorada remotamente através de um exploit que já circula há um tempo pela internet.

O recebimento de uma mensagem, especialmente criada, para uma zona na qual o servidor é o principal pode causar a negação de serviço. Testes indicaram que o ataque foi formulado para uma zona da qual a máquina atacada é o servidor master. Lançando o ataque contra zonas slaves não se obteve sucesso.

Esta vulnerabilidade afeta todos os servidores que são masters para uma ou mais zonas - não é limitada àqueles que são configurados para permitir atualizações dinâmicas. Controle de acesso não ajudará muita coisa no caso de um ataque.

O "dns_db_findrdataset()" falha quando o pré-requisito da mensagem de atualização dinâmica contém um registro do tipo "ANY" e onde há ao menos um RRset para este FQDN no servidor.

O exploit pode ser encontrado aqui:

Solução

Atualização do BIND para as versões 9.4.3-P3, 9.5.1-P3 ou 9.6.1-P1, que podem ser baixadas nos endereços abaixo:

http://ftp.isc.org/isc/bind9/9.6.1-P1/bind-9.6.1-P1.tar.gz
http://ftp.isc.org/isc/bind9/9.5.1-P3/bind-9.5.1-P3.tar.gz
http://ftp.isc.org/isc/bind9/9.4.3-P3/bind-9.4.3-P3.tar.gz