Reflection



SCTP
Wed Apr 29 12:26 2009



Apeteceu-me falar sobre SCTP porque saiu um exploit que permite obter root shell remoto devido a uma vulnerabilidade na stack SCTP do kernel Linux.
Apesar deste incidente não haverá caos, porque infelizmente a adopção do STCP ainda é muito incipiente apesar das suas vantagens, existindo apenas alguns projectos pilotos como o do tornar o apache e o firefox SCTP compatíveis para verificar as vantagens de se conseguir ter o controlo e a transferência de informação em streams independentes.
Basicamente este transport layer descartou alguns problemas que o TCP tem, como o atraso Head-of-line (HOL) pois o SCTP é um protocolo orientado por mensagens como o UDP, e na possibilidade de redundância de rede na comunicação entre os hosts.
Na minha opinião, as razões da não adoptação do protocolo são idênticas às do IPv6 no network layer, e como tal nada melhor que o documento do DJB sobre isso. No cerne da questão está:

"The way to make IPv6 addresses work is to teach every Internet computer how to talk to IPv6 addresses---not just as an option that the sysadmin might configure, but as something that's automatically enabled as part of regular software/hardware upgrades".

Mudem na frase IPV6 por SCTP e sysadmin por coder e caí-se na mesma problemática. É por isso que este projecto me parece bastante interessante pois tenta permitir que a adopção de TCP para SCTP seja transparente através da implementação de mais um layer no kernel space que mapeia as system calls.


Domìnios .PT
Wed Apr 22 12:26 2009



Eu sou um caos em burocracias, mas tenho uma vaga noção de há uns dois anos ouvir falar numa coisa que era a liberalização dos domínios .pt
Fiquei com a ideia que ia deixar de ser preciso registos juntos do INPI e coisas do género. Não que esteja totalmente de acordo com as supostas novas regras do registo do domínio, só acho estranho que a FCCN ande ainda hoje a enviar emails com a ameaça de suspensão devido à caducarão recente de alguma desta burocracias.
Isto leva-me a conclusões levianas, ou a liberalização vai ficar em águas de bacalhau mais uns anos, ou andam a limpar os domínios para que depois os amigos oportunistas os registem e façam uma espécie de Cybersquatting, tipo o que aconteceu com o ciberia.pt que está para "brevemente"...


Vulnerabilidade do udev
Wed Apr 22 0:15 2009



Quem codou o udevd não se precaveu com uma única linha de código da autenticidade do que é injectado no seu netlink socket.
Percebia se o código de verificação tivesse algum bug, mas a ausência do mesmo e a cegueira de confiar que por ser uma NETLINK_KOBJECT_UEVENT a mensagem advêm do kernel space, deixa-me um pouco apreensivo.

As boas noticias são que o exploit que circula não funciona dentro de um ambiente chroot bem construído, porque este não consegue comunicar com o ID do socket do udev(address.nl_pid) devido à ausência do procfs.


Oracle buys Sun
Tue Apr 21 1:04 2009



A Oracle é a empresa das aquisições e actualmente tem na sua posse os instrumentos para fazer frente à IBM. A principal razão para a compra da SUN foi o JAVA mas este negócio permite também que a Oracle surja como uma empresa transversal podendo apresentar, com os seus produtos, uma solução tecnológica integrada, desde o Hardware, ao Sistema Operativo, à Base de dados, ao servidor aplicacional e as próprias aplicações middleware.

Mas a Oracle terá de tomar decisões. X86 e/ou SPARC? Linux e/ou Solaris? Abdicar do MySQL? BEA weblogic e/ou SJSAS? netbeans e/ou JDeveloper? O futuro dirá..