Nextcloud: Aplicativo para gerar código do 2FA como administrador

Olá! Quem utiliza o Nextcloud e habilitou o recurso de segundo fator de autenticação (2FA) sabe que muitas vezes é necessário desabilitar o segundo fator para alguma conta que o usuário tenha perdido ou trocado o dispositivo com o código ou até mesmo perdido o acesso.

Continuar lendo “Nextcloud: Aplicativo para gerar código do 2FA como administrador”

Linux: Vulnerabilidade crítica (CVE-2021–4034): PwnKit

Olá! Neste artigo gostaria de informar sobre uma vulnerabilidade crítica que permite a elevação de privilégios em sistemas Linux.

A vulnerabilidade CVE-2021-4034, divulgada em 25 de fevereiro de 2022, afeta o software “pkexec”, presente em praticamente todas as principais distribuições Linux. “Apelidada” de PwnKit, essa vulnerabilidade descoberta pela Qualys permite que um atacante com um usuário comum obtenha privilégios de root no sistema.

Irei publicar em breve mais informações sobre o impacto e como corrigir nas distribuições Linux essa vulnerabilidade.

Por enquanto, algumas documentações que coletei de algumas distribuições e algumas publicações com mais detalhes sobre a vulnerabilidade:

https://access.redhat.com/security/cve/CVE-2021-4034

https://ubuntu.com/security/CVE-2021-4034

https://www.suse.com/security/cve/CVE-2021-4034.html

https://blog.qualys.com/vulnerabilities-threat-research/2022/01/25/pwnkit-local-privilege-escalation-vulnerability-discovered-in-polkits-pkexec-cve-2021-4034

Zimbra: Instalando o recurso de CHAT (NE e Open Source)


Olá! Este artigo é sobre a instalação do recurso de Chat no Zimbra 8.8.15, seja na versão Open Source ou Network Edition.

A Zimbra disponibiliza o Chat básico, com mensagens somente entre usuários diretamente de maneira gratuita. Esse recurso é muito interessante para uma comunicação em tempo real. Como o recurso é implementado como um Zimlet, você pode controlar para quem deseja habilitar o recurso.

Continuar lendo “Zimbra: Instalando o recurso de CHAT (NE e Open Source)”

Zimbra: NÃO é afetado pelas falhas CVE-2021-44228 e CVE-2021-4104

Olá! Um artigo rápido sobre as vulnerabilidades CVE-2021-44228 e CVE-2021-4104 divulgadas recentemente.

CVE-2021-44228

O Zimbra não é afetado uma vez que não utiliza nenhuma versão entre 2.0 e 2.17 do software Log4j, que são as versões afetadas por essa falha. De qualquer maneira, a Zimbra está ciente que utiliza uma versão legada do software Log4j e planeja um upgrade no primeiro trimestre de 2022.

CVE-2021-4104

O Zimbra também não é afetado por essa falha, pois pra essa vulnerabilidade ser explorada é necessário possuir o JMSAppender no ambiente e o Zimbra não o utiliza.