Programador da Red Hat descobre grande falha de segurança no Linux

Um programador da Red Hat, uma distribuição Linux, descobriu um bug que permitia que um hacker pudesse criar um certificado capaz de ignorar as verificações normais de autenticidade. De acordo com reportagem do Phys.org, o problema, que estava presente no sistema há mais de dez anos, já foi corrigido pela Red Hat, que enviou alerta imediato aos usuários sugerindo a atualização do sistema. O responsável pela façanha foi o programador Nikos Mavrogiannopoulos.

O erro de programação, chamado internamente de CVE- 2014-0092, envolve uma biblioteca de funções usada para solicitações de certificado de processamento, conhecida como GnuTLS. Em muitos aspectos, o erro é semelhante a uma falha de segurança que surgiu recentemente no iOS e no OS X. Em todos esses casos, o problema está no uso do comando GOTO (algo como “ir para”), um código que tem sido criticado há anos por vários programadores.

Os comandos GOTO permitem que, a partir de um comando condicional, a execução do sistema vá diretamente para outra parte do código, em uma espécie de atalho que, para muitos, é visto como “gatilho”. Como os programadores não podem prever todos os resultados possíveis dos comandos condicionais, surgem muitas possibilidades de erro – como é o caso da distribuição da Red Hat.

Caso um hacker descobrisse a falha, ele poderia fazer com que seus próprios certificados fossem autenticados em lugar dos originais, permitindo, por exemplo, descriptografar dados. Isso, claro, poderia afetar muitos usuários do Linux, especialmente da distribuição Red Hat – que é muito comumente utilizada como um sistema operacional de servidor web.

O Linux é um sistema operacional de código aberto, o que significa que milhares de pessoas podem acessar e modificar seu código-fonte, o que torna surpreendente o fato do bug ter passado despercebido por tanto tempo. Segundo a Red Hat, as correções foram feitas em praticamente todas as variantes do Linux. Mas há a possibilidade de que nem todos os usuários saibam do problema, mantendo-se na versão problemática, o que pode manter o bug em muitos servidores web e em outros sistemas ao redor do mundo.
TI Rio