O security bulletin que eu não entendi 2
Publicado; 28/09/2004 Arquivado em: ColdFusion Comentários desativados em O security bulletin que eu não entendi 2Dias atrás disse que não tinha entendido o último security bulletin da Macromedia. Hoje eu continuo não entendendo. Os tais “pacotes cumulativos” de correções são na verdade os updaters, lançados uma semana antes (ou mais) deste security bulletin. A minha teoria de que o tal “security bulletin” era apenas uma maneira de se aumentar o número de downloads dos updaters (nada mais) talvez ganhe força com esta notícia: Falhas em produtos Macromedia são corrigidas, que encontrei na home do Terra.
Estratégia errada na minha opinião, mas mesmo assim válida (desde que todos baixem e rodem os ditos cujos!).
O security bulletin que eu não entendi…
Publicado; 24/09/2004 Arquivado em: ColdFusion Comentários desativados em O security bulletin que eu não entendi…A Macromedia lançou no começo desta tarde dois Security Bulletins envolvendo o ColdFusion MX (todas as versões) e o JRun (todas as versões). Eu resolvi esperar um pouco para postar pois sinceramente não entendi ambos.
No contexto em que foram apresentados: “This is a cumulative patch for JRun…” e “This is a cumulative security patch for ColdFusion MX…” com links para updaters destes dois produtos, não fazem o menor sentido… Alguém por acaso encontrou algum “cumulative patch” mencionado em ambos bulletins?
Posso estar cego ou louco, mas eu não encontrei… Encontrei apenas links para o download do Updater 4 do JRun 4 e do Updater 1 do CFMX 6.1, ambos anunciados há um certo tempo, inclusive aqui no CFGIGOLO (veja os links).
A vulnerabilidade foi retratada (leia mais abaixo), mas em nenhum lugar existe informação explicita, “idiot-proof” sobre como corrigí-la (como é de se esperar e de costume), a não ser um link para o download dos updaters (CFMX e JRun). E justamente aí que me perdi: afinal, os updaters são security patchs ou vice-versa? Ambos updaters são anteriores aos security bulletins, e um security bulletin só tem razão de existir quando ainda não existe correção/proteção para o dito cujo na forma de um updater, service pack, whatever. Isso é prática em qualquer empresa de software e também era prática na Macromedia (pelo menos até hoje). Por que raios a Macromedia resolveu lançar um “security bulletin” que, apesar do que diz o início do texto, não contém nenhum patch de correção, quando a correção para ambos já existe (na forma de um updater)? Será que o número de downloads dos updaters tem sido baixo e eles resolveram espalhar um pouco de terror (no melhor estilo “tiros em columbine”) para que mais pessoas baixassem os ditos cujos?
É mais um reflexo de algo que sempre digo e critico: a Macromedia tem um péssimo site de suporte…
Para entender a vulnerabilidade anunciada: ela só diz respeito a servidores ColdFusion MX e JRun que tiveram um setting específico do connector para o servidor web (IIS, Apache, etc) modificado. Se você por um acaso habilitou o modo “verbose” para fazer um debug mais detalhado (grampo telefônico!) das transações entre webserver e Jrun enginee pode estar suscetível a revelar o código fonte de scripts de outras tecnologias (como ASP e PHP) que por acaso estejam presentes no mesmo website… Este cenário deve ser encontrado em um ou dois clientes no mundo inteiro… 😉
Em resumo:
1) Procure no seu servidor o arquivo chamado “jrun.ini” (ou “jrun_iis6_wildcard.ini” no IIS6) para IIS, “obj.conf” para Netscape, iPlanet e conjugados e o “http.conf” no Apache;
2) Abra-o no bloco de notas (ou qualquer coisa parecida) e veja se o atributo “verbose” está setado como “false” (“verbose=false” e “JRunConfig Verbose false” para Apache);
3) Se estiver em “false” (o que muito provavelmente deverá estar), você não será afetado pela vulnerabilidade;
4) Se estiver em “true”, troque para “false”, salve o arquivo, reinicie o CFMX e também o seu servidor web. Leia novamente o ítem 3 acima. 😉
Datasource tweaks para ColdFusion MX
Publicado; 23/09/2004 Arquivado em: ColdFusion Comentários desativados em Datasource tweaks para ColdFusion MXSimon Horwit, editor do CFDJ, inglês e um figura bastante interessante (viaja todos os anos em peregrinação para Índia, programa em CF, etc…) postou hoje no seu blog uma dica bastante interessante sobre tweak de datasources no CFMX. Eu já tive problemas com datasources que se conectavam a servidores de redes externas através de um link de baixa velocidade (um ADSL por exemplo) e que por isso precisava de mais tempo para esperar o retorno de resposta, entre outras necessidades específicas.
Eu certamente iria me beneficiar com as dicas que podemos encontra aqui:
Optimizing Datasource Pool Connectivity
CFUG-SP – Reunião passada
Publicado; 21/09/2004 Arquivado em: User Groups 1 comentárioEnquanto preparamos a próxima reunião do CFUG-SP, disponibilizamos o vídeo com as fotos da última reunião. Confira!
Mudanças no licenciamento do Central
Publicado; 17/09/2004 Arquivado em: Macromedia 1 comentárioChanges in License programs between Central 1.0 and Central 1.5.
Será que agora vai?
[via d-ross]
MSN X Google
Publicado; 17/09/2004 Arquivado em: Tecnologia 8 ComentáriosQuem não se lembra quando a Microsoft embutiu o Internet Explorer no Windows 95 para derrubar o Netscape? Pois é, agora quem está na mira do Mr. Gates é o Google.
Recentemente, os milhões de usuários do MSN Messenger, como eu, receberam uma notificação informando que uma nova versão estaria disponível para download, bastando apenas dar um click para instalar. Trata-se da versão 6.2, que supostamente traria algum novo recurso ou correções de segurança. Até aí, tudo normal, mas a surpresa veio ao aparecer uma tela (veja abaixo) com três opções pré-selecionadas que induzem, silenciosamente, o usuário a dar um “chega-pra-lá” no Google!!! Isto é jogo sujo!!! Apesar do usuário ter a opção de des-selecionar qualquer uma delas, a maioria passa batido, não lê as opções e clika logo no botão “Avançar” para concluir a instalação. A malandragem não para por aí, a próxima versão do Windows, de codinome LongHorn, apresenta um sistema de busca no desktop do usuário, que submete as pesquisas automaticamente ao mecanismo do MSN!
O que mais podemos esperar da maior empresa de softwares do mundo?
Meu artigo no CFDJ
Publicado; 17/09/2004 Arquivado em: ColdFusion 3 ComentáriosRecebi permissão para disponibilizar uma versão em Flash Paper (mais leve – cerca de 2Mb) a edição inteira do ColdFusion Developer’s Journal de Setembro.
Confira: http://www.cfgigolo.com/unsorted/cfdj_Setembro_2004.htm
CFDJ edição de Setembro dísponível para download
Publicado; 15/09/2004 Arquivado em: ColdFusion 1 comentárioJá está disponível para download a edição de Setembro do ColdFusion Developer’s Journal. A edição deste mês traz na capa o destaque para a versão em inglês e adaptada para o CFDJ do meu guia “Sandbox security para ambientes compartilhados”.
Agradeço aos amigos que tiveram paciência e tempo para ler o rascunho e fizeram sugestões/correções para a versão final. Espero que este seja o primeiro de outros artigos (se conseguir arrumar tempo!) e principalmente: que sirva de incentivo para que outros mostrem lá fora o que os brasileiros, a comunidade mais ativa em ColdFusion fora do eixo EUA-Europa, sabem de bom.
Como nas edições passadas, a edição deste mês pode ser baixada de forma completa em formato PDF, aproximadamente 7Mb.
Não deixe de conferir e baixar: ColdFusion Developer’s Journal Volume: 06 Issue: 09 – September 2004
500 e poucos convites para o GMail
Publicado; 15/09/2004 Arquivado em: Tecnologia 9 ComentáriosPegue o seu em:
http://isnoop.net/gmailomatic.php
Se você tiver contas para compartilhar também serve.
E a ciranda dos plágios faz mais uma vítima…
Publicado; 14/09/2004 Arquivado em: Macromedia 2 ComentáriosÉ lamentável, não canso de bater na mesma tecla. Hoje o Marlos Carmo foi plagiado. Vejam o post: Me plagiaram também!!!