Conheça a nossa empresaNotícias de informática e segurançaBoletins, artigos, livros e dicas sobre segurançaO que oferecemosArquivos sobre segurançaUm apoio culturalFale com a Pangeia

 


 

 

 

SEGURANÇA

Microsoft Security Bulletin (MS99-019)

Por Nelson Murilo (nelson@pangeia.com.br)

Patch Available for "Malformed HTR Request" Vulnerability

Originally Posted: June 15, 1999
Updated: June 18, 1999 [...]

Uma recente vulnerabilidade descoberta em servidores IIS, que permite remotamente executar um código arbitrário contra um servidor NT, e que pode ter sido responsável pela onda de ataques a sites do governo, no último fim de semana, traz à tona uma antiga discussão sobre acesso aos códigos fonte.

Neste caso em especial, o grupo responsável pela descoberta disse que só liberou a forma de explorar a vulnerabilidade porque antes reportaram o problema ao fabricante e esse não o considerou grave, já o fabricante retrucou dizendo que não respondeu a tempo porque os 2 (dois) responsáveis pelos contatos na área de segurança da empresa estavam gripados.

Ano passado analisando o código de um conhecido servidor de FTP (WU-FTPD) foi identificada e corrigida uma vulnerabilidade que só veio a ser reportada e corrigida oficialmente há poucos meses. Mesmo que a forma de explorar a vulnerabilidade tivesse sido divulgada antes do patch (como foi o caso do exemplo do ISS) administradores que rodavam a versão com a correção extra-oficial já não estavam vulneráveis.

Existe uma preocupação em muitos países com o desenvolmento de criptografia própria (ou feita sob encomenda) para uso militar, mas estes mesmos países estão formando seu parque computacional baseados em sistemas operacionais proprietários, aos quais não se tem acesso às linhas de código, o que numa primeira avaliação parece macular a garantia de soberania dessas nações. Não se está discutindo a qualidade do programa ou o nome que toda empresa tem a zelar, mas sim impossibilidade de se antecipar diante de um problema, por não ter a opção de examinar um aplicativo ou o próprio sistema escolhido para o ambiente computacional.

Apesar de o assunto dar margem a fanatismos, o certo é que ficar dependente do ritmo de liberação de patches do fabricante, não parece ser uma opção confortável para administradores preocupados com a segurança da sua instalação. Uma auditoria deveria, sempre que possível, verificar os códigos fontes não somente das aplicações como também do sistema operacional, compiladores e demais componentes criticos do sistema (hardware inclusive) visto que uma falha ainda não detectada neste pode por a perder toda uma instalação, mesmo que as aplicações estejam devidamente protegidas.

 


Voltar
Início

Copyright © 1995 - 2000 Pangeia Informática LTDA. Todos os direitos reservados.