A vulnerabilidade CVE-2026-34165, CVE-2026-33762, CVE-2026-5160 no Fedora 44 pode permitir DoS e XSS. Aprenda a verificar, corrigir e automatizar a segurança do seu sistema com scripts e AppArmor, além de dicas de livros especializados. Proteja seu Linux agora!
Em meados de 2026, foi identificada uma vulnerabilidade de segurança significativa (CVE-2026-34165, CVE-2026-33762, CVE-2026-5160) no pacote chezmoi, uma ferramenta popular para gerenciar arquivos de configuração, conhecidos como dotfiles.
Esta falha poderia permitir que um atacante local causasse um ataque de negação de serviço (DoS), explorando arquivos .idx ou de índice maliciosos, resultando em consumo excessivo de memória ou até mesmo travamento do sistema. Além disso, havia uma vulnerabilidade de Cross-Site Scripting (XSS) na biblioteca goldmark.
Se você usa o Fedora 44 e o chezmoi para gerenciar suas configurações, é essencial tomar as medidas corretivas. Abaixo, mostro como verificar sua situação, automatizar a correção e adotar mitigação alternativa, caso não possa atualizar imediatamente.
Como Verificar se Você Está Vulnerável
A vulnerabilidade afeta o chezmoi em sua versão 2.70.5 para o Fedora 44. Para verificar a versão instalada no seu sistema, execute o seguinte comando no terminal:
dnf list installed chezmoi
Se a versão for anterior à 2.70.5, como por exemplo 2.70.3, seu sistema está vulnerável. A versão corrigida é a 2.70.5.
Script de Automação para Aplicar a Correção
Para manter seu sistema sempre seguro, automatizar as atualizações é a melhor prática. Abaixo, um script bash compatível com Fedora para verificar e aplicar a correção da vulnerabilidade do chezmoi, instalando também o serviço de atualizações automáticas (dnf-automatic).
Isso garantirá que seu sistema receba futuras correções de segurança sem necessidade de intervenção manual.
#!/bin/bash # Script: fix_chezmoi_vulnerability.sh # Descrição: Verifica e corrige a vulnerabilidade do chezmoi no Fedora, # configurando atualizações automáticas de segurança. # Atualiza a lista de pacotes e instala o dnf-automatic (se não estiver instalado) echo "[+] Atualizando repositórios e instalando dnf-automatic..." sudo dnf update -y sudo dnf install -y dnf-automatic # Habilita e inicia o timer para aplicar as atualizações automaticamente echo "[+] Habilitando e iniciando o timer do dnf-automatic..." sudo systemctl enable --now dnf-automatic.timer # Verifica se o chezmoi está instalado e se precisa ser atualizado if dnf list installed chezmoi &> /dev/null; then CURRENT_VERSION=$(dnf list installed chezmoi | awk 'NR==2 {print $2}') echo "[+] Versão atual do chezmoi: $CURRENT_VERSION" # Atualiza o chezmoi especificamente, caso haja atualização disponível echo "[+] Verificando atualização para o chezmoi..." sudo dnf upgrade --advisory FEDORA-2026-905e9afc79 -y else echo "[+] Chezmoi não está instalado. Nada a fazer." fi # Verifica se a atualização foi aplicada com sucesso echo "[+] Verificando a versão do chezmoi após a atualização..." dnf list installed chezmoi echo "[+] Script concluído. O sistema está configurado para receber atualizações de segurança automaticamente."
Como usar:
1. Salve o conteúdo acima em um arquivo, por exemplo, fix_chezmoi.sh.
2. Dê permissão de execução: chmod +x fix_chezmoi.sh
3. Execute como root: sudo ./fix_chezmoi.sh
📗
A vulnerabilidade no chezmoi que discutimos mostra que, em segurança, contar apenas com atualizações pontuais não é suficiente — é preciso construir uma base sólida de conhecimento para se antecipar aos problemas.
É por isso que a melhor ferramenta que um administrador de sistemas pode ter é o estudo contínuo.
O livro que recomendo é o "Segurança em servidores Linux: Ataque e Defesa", do Chris Binnie, publicado pela Novatec Editora. Ele foge da teoria e entrega uma abordagem extremamente prática, perfeita para quem quer ir além dos tutoriais e entender como os invasores pensam.
Segurança em servidores Linux: Ataque e Defesa (anúncio) -> https://amzn.to/4vMZGXQ
Eu ganho uma comissão quando você faz uma compra.
Mitigação Alternativa (Caso Não Possa Atualizar Agora)
Se você não puder atualizar o sistema imediatamente, uma alternativa é isolar o chezmoi para minimizar o risco de exploração. Uma forma eficaz é usar o AppArmor, um módulo de segurança do Linux que restringe as capacidades de um programa.
Com um perfil bem configurado, você pode limitar o acesso do chezmoi a arquivos e recursos do sistema.
Aqui está um exemplo de perfil AppArmor para o chezmoi:
#include <tunables/global> /usr/bin/chezmoi { #include <abstractions/base> #include <abstractions/bash> # Permissões necessárias para o chezmoi operar owner /home/*/.config/chezmoi/ r, owner /home/*/.config/chezmoi/** rw, owner /home/*/.local/share/chezmoi/ r, owner /home/*/.local/share/chezmoi/** rw, owner /home/*/.cache/chezmoi/ rw, owner /home/*/.gitconfig r, owner /home/*/.gitconfig.d/ r, owner /home/*/.ssh/config r, # Bloqueia acesso a arquivos .git e .idx em repositórios suspeitos deny /home/*/.git/** w, deny /home/*/.git/index w, deny /**/.git/** w, # Permite execução de scripts auxiliares, se necessário /usr/bin/git ixr, /usr/bin/make ixr, # Rede (se o chezmoi precisar sincronizar com repositórios remotos) network inet stream, network inet6 stream, # Capacidades essenciais capability dac_override, capability setuid, }
Como aplicar:
1. Salve o perfil em /etc/apparmor.d/usr.bin.chezmoi.
2. Carregue o perfil: sudo apparmor_parser -r /etc/apparmor.d/usr.bin.chezmoi
3. Coloque o chezmoi em modo de reclamação (complain) para testar: sudo aa-complain /usr/bin/chezmoi
4. Monitore os logs em /var/log/syslog ou /var/log/audit/audit.log.
5. Quando estiver confiante, alterne para o modo de aplicação (enforce): sudo aa-enforce /usr/bin/chezmoi
⚠️ Atenção: O AppArmor pode não estar habilitado por padrão em todas as instalações do Fedora. Você pode verificá-lo com sudo aa-status. Caso não esteja, uma alternativa mais simples é restringir o acesso do chezmoi usando um contêiner ou máquina virtual para tarefas isoladas.
Conclusão
A vulnerabilidade no chezmoi serve como um alerta: a segurança do sistema depende de um gerenciamento proativo de atualizações e da adoção de camadas adicionais de proteção.
Ao automatizar as correções com dnf-automatic e considerar mitigações como o AppArmor, você reduz drasticamente a superfície de ataque. Lembre-se: a segurança não é um destino, mas um processo contínuo.
Nenhum comentário:
Postar um comentário