Falha no libsoup3 (CVE-2026-5119) expõe cookies em texto claro ao usar proxy HTTP. Aprenda a verificar, corrigir e mitigar o problema no Fedora com comandos práticos, script de automação e medidas alternativas. Guia definitivo para os administradores Linux.
Em maio de 2026, a Red Hat e a equipe do Fedora divulgaram uma correção para uma falha crítica de segurança no libsoup3, a biblioteca HTTP usada por aplicações GNOME, incluindo o navegador Epiphany, gerenciadores de downloads e muitos outros utilitários do sistema.
A vulnerabilidade, identificada como CVE‑2026‑5119, expunha cookies de sessão em texto claro durante o estabelecimento de túneis HTTPS através de proxies HTTP.
Essa data é apenas um ponto de partida. O que realmente importa é que essa falha pode afetar qualquer sistema que utilize libsoup3, independentemente de quando você está lendo este guia.
Por isso, preparamos um conteúdo perene – útil por muitos meses ou anos – com tudo o que você precisa para verificar, corrigir e se proteger dessa e de outras vulnerabilidades semelhantes.
O que exatamente acontece na CVE‑2026‑5119?
Quando uma aplicação que usa libsoup3 tenta acessar um site HTTPS através de um proxy HTTP, a biblioteca envia um comando especial chamado HTTP CONNECT para o proxy.
O problema é que, nesse comando inicial, os cookies de autenticação da sessão são enviados em texto claro, antes mesmo de qualquer criptografia ser estabelecida.
Um invasor posicionado na rede ou um proxy malicioso pode interceptar esses cookies e sequestrar sua sessão – ou seja, assumir o controle da sua conta sem precisar da sua senha.
Em resumo: mesmo que você veja o cadeado de HTTPS no seu navegador, se houver um proxy HTTP no meio do caminho, seus cookies podem estar viajando desprotegidos.
Como verificar se você está vulnerável (comandos reais para Fedora)
Antes de sair aplicando correções, é bom confirmar se sua versão do libsoup3 está afetada. Execute os comandos abaixo no terminal:
1. Descubra qual versão do libsoup3 está instalada
rpm -q libsoup3
Se o comando retornar algo como libsoup3-3.6.6-3.fc43 ou anterior, você está na versão vulnerável. A correção foi introduzida a partir da versão 3.6.6-4.fc43 (para Fedora 43) e equivalentes em outras distribuições.
2. (Opcional) Veja se alguma aplicação em execução está usando libsoup3
lsof | grep libsoup3
Ou, de forma mais ampla:
sudo ss -tunap | grep :80\|:443
Isso mostrará processos com conexões de rede abertas – alguns deles podem ser aplicações GNOME que utilizam a biblioteca vulnerável.
3. Teste manual com um proxy de teste (para ambientes controlados)
Se você tem um proxy HTTP de teste configurado, pode observar o tráfego:
sudo tcpdump -i eth0 port 8080 -A | grep -i "cookie"
(Substitua eth0 pela sua interface de rede e 8080 pela porta do proxy.)
Se a versão do libsoup3 for anterior à corrigida, continue lendo – você precisa agir.
Script de automação para aplicar a correção (Fedora)
Para quem administra várias máquinas ou quer garantir que a atualização seja feita corretamente, crie um script bash. Salve o conteúdo abaixo como fix-libsoup3.sh e execute com sudo bash fix-libsoup3.sh.
#!/bin/bash # fix-libsoup3.sh – Atualiza libsoup3 e reinicia serviços afetados # Compatível com Fedora 38, 39, 40, 41, 42, 43 e derivados. set -e # Interrombe o script se algum comando falhar echo "=== [1/4] Verificando versão atual do libsoup3 ===" CURRENT_VERSION=$(rpm -q libsoup3 2>/dev/null | cut -d'-' -f2) echo "Versão atual: $CURRENT_VERSION" echo "=== [2/4] Aplicando atualização via DNF ===" sudo dnf upgrade --advisory FEDORA-2026-37298d3095 -y # Se o aviso acima não funcionar (por exemplo, em versões mais novas do Fedora), use: # sudo dnf update libsoup3 -y echo "=== [3/4] Verificando nova versão instalada ===" NEW_VERSION=$(rpm -q libsoup3 2>/dev/null | cut -d'-' -f2) echo "Nova versão: $NEW_VERSION" echo "=== [4/4] Reiniciando serviços que dependem de libsoup3 ===" # GNOME桌面 e aplicações comuns systemctl --user restart gnome-session 2>/dev/null || true killall -HUP gnome-software 2>/dev/null || true killall -HUP epiphany 2>/dev/null || true # Para servidores com aplicações web em C que usam libsoup3, reinicie o serviço específico # Exemplo: systemctl restart meuservico echo "=== CORREÇÃO APLICADA COM SUCESSO! ==="
Como usar:
chmod +x fix-libsoup3.sh sudo ./fix-libsoup3.sh
✅ Para outras distribuições:
- RHEL / Rocky Linux / AlmaLinux 10: sudo dnf update libsoup3
- Arch Linux: sudo pacman -Syu libsoup3
Produto recomendado para aprofundamento
Para entender por que falhas como a CVE‑2026‑5119 acontecem – e como evitá‑las em seus próprios projetos –, recomendo o livro:
"Segurança em Redes Informáticas " (Amazon)
Considerado o “clássico” da segurança em português, este livro tem um diferencial importante: é atualizado com temas modernos como Cartão de Cidadão, Chave Móvel Digital, controlo de acesso, autorização e delegação.
Ele explica de forma acessível por que simplesmente conectar uma máquina à Internet já expõe a riscos que muitos administradores desconhecem – como a falha CVE‑2026‑5119 que motivou este guia.
O autor, professor e investigador da Universidade de Aveiro, cobre:
- Criptografia e assinaturas digitais
- Gestão de chaves públicas e certificados
- Firewalls, IDS/IPS, VPNs e segurança em redes sem fio 802.11
Por que indico: É o livro que amarra a teoria à prática. Você não só aprende o que aconteceu naquela vulnerabilidade do libsoup3, mas também por que ela aconteceu – e como evitar que situações semelhantes ocorram em qualquer ambiente que você administre.
Segurança em Redes Informáticas (anúncio) -> https://amzn.to/4x65qx4
Eu ganho uma comissão quando você faz uma compra.
Mitigação alternativa caso não possa atualizar agora
Se por qualquer motivo você não puder atualizar o libsoup3 imediatamente (ambiente de produção crítico, incompatibilidade de versões, etc.), existem algumas medidas paliativas:
1. Desative o uso de proxies HTTP para as aplicações que usam libsoup3
A falha só ocorre quando um proxy HTTP está configurado. Se você não precisa de proxy, remova ou desabilite as configurações:
# Para o usuário atual, remova variáveis de proxy unset http_proxy https_proxy HTTP_PROXY HTTPS_PROXY # Para o sistema, comente ou remova linhas em /etc/environment ou /etc/profile.d/proxy.sh
2. Use um proxy seguro (HTTPS ou SOCKS5)
Se você realmente precisa de um proxy, opte por um que suporte HTTPS ou SOCKS5 – ambos criptografam toda a comunicação, incluindo o comando CONNECT.
Exemplo de configuração com SOCKS5 via SSH:
ssh -D 1080 usuario@servidor-seguro # Depois configure a aplicação para usar proxy SOCKS5 na porta 1080
3. Bloqueie o tráfego de CONNECT não essencial com iptables (avançado)
Em um servidor, você pode impedir que aplicações vulneráveis estabeleçam túneis CONNECT para proxies não autorizados:
# Bloqueia pacotes CONNECT saindo para portas comuns de proxy (8080, 3128, etc.) sudo iptables -A OUTPUT -p tcp --dport 8080 -m string --string "CONNECT" --algo bm -j DROP sudo iptables -A OUTPUT -p tcp --dport 3128 -m string --string "CONNECT" --algo bm -j DROP
⚠️ Cuidado: Isso pode afetar o funcionamento legítimo de algumas aplicações. Teste antes em ambiente não produtivo.
4. Isolamento com Flatpak ou Snap
Aplicações GNOME empacotadas como Flatpak (ex.: Epiphany) podem ter seu próprio runtime, incluindo libsoup3. Para forçar o uso de um ambiente sem proxy:
flatpak override --user --unset-env=http_proxy flatpak override --user --unset-env=https_proxy
Conclusão: não deixe sua segurança para depois
A vulnerabilidade no libsoup3 é apenas mais um exemplo de como configurações aparentemente inofensivas (como um proxy HTTP) podem anular toda a proteção do HTTPS. Agora você tem um roteiro completo:✅ Verificou se está vulnerável.
✅ Aplicou a correção oficial (ou uma mitigação temporária).
✅ Está preparado para futuras vulnerabilidades similares.
Nenhum comentário:
Postar um comentário