Atualidades de segurança

Já faz algum tempo que eu não falo sobre de segurança digital aqui, então, eis algumas atualidades no assunto para variar.

Dia 17 de julho foi lançada nova versão do navegador web Mozilla Firefox 2.0.0.5 corrigindo oito vulnerabilidades — três críticas, duas altas, uma moderada e duas baixas.

Duas das vulnerabilidades (2007-18 e 2007-23) afetavam também o Thunderbird. Por isso, o leitor de correio eletrônico também teve seu Security Update 2.0.0.5 lançado em seguida, no dia 19. Veja mais informações no Thunderbird 2.0.0.5 Release Notes.

Segundo notícia por Carlos Machado no Plantão INFO Online dia 27, nova falha já foi descoberta pelos consultores Bill Rios, da Verisign, e Nate McFeters, da Ernst & Young. A Fundação Mozilla informou que já está desenvolvendo correção para essa nova brecha de segurança. Aguardem atualização em breve.

As atualizações de segurança dos programas da Fundação Mozilla foram tema do blog Security Fix de Brian Krebs no Washington Post, dia 18, e do alerta do CAIS repassando o Secunia Advisory SA26095, no dia 19.

No mesmo dia 19, o CAIS fez um outro triste alerta. Segundo o boletim Mensagens falsas relacionadas ao acidente da TAM, as fraudes estavam se aproveitando do tema da recente tragédia ocorrida com o vôo 3054 da TAM. O objetivo é o mesmo de sempre: usar um pretexto de impacto para tentar proliferar programas maliciosos que visam roubar dados bancários. Além do crime, é um profundo desrespeito ao ser humano.

Tony Bradley também alertou para o problema em sua coluna Network Security na About.com: Beware Brazilian Plane Crash Malware (em inglês), 20 de julho.

Dia 25, o CIAC divulgou o alerta R-312: Apache Tomcat Vulnerability. Informa que a página de exemplo SendMailServlet nas versões 4.0.x e 4.1.x do servidor de aplicação web Java Tomcat até a 4.1.36 eram vulneráveis ao ataque cross-site scripting pelo campo “From”. O alerta, contudo, é de baixo impacto, já que se trata de versões antigas — já sucedidas por três linhas de versões, 5.0, 5.5 e 6.0 — e envolve uma página exemplo, que em geral não é utilizada em ambiente de produção.

Zachman Framework

Pesquisando temas relacionados a arquitetura de software e governança de TI na Internet, encontrei novas informações interessantes e fiz atualizações nas respectivas páginas de referências que mantenho:

Entre as informações, encontrei uma Associação Internacional de Arquitetos de Software – IASA cujo portal, entre outras informações, mantém uma publicação disponível on-line chamada IASA Perspectives Journal. A edição atual traz uma entrevista com John Zachman, criador do Framework Zachman para Arquitetura Corporativa.

Zachman Framework versão 3.0

Tão logo fui apresentado ao Zachman Framework, vi imediatamente que ele faz todo o sentido e provê uma ótima visão de alto nível muito abrangente dos aspectos arquiteturais de sistemas de informação. Seu esquema se resume a uma tabela fácil de compreender. Este framework foi originado do trabalho de Zachman na IBM. Veja em especial o artigo A framework for information systems architecture (PDF), IBM Systems Journal, Vol. 26, No. 3, 1987.

O esquema Zachman é uma tabela onde em uma dimensão estão as seis perguntas básicas da comunicação — O quê, Como, Onde, Quem, Quando, Como e Por quê — e na outra dimensão estão níveis de modelos relacionados aos grupos de interessados (stakeholders) — Visionário, Dono, Projetista, Construtor, Implementador e Trabalhador.

Para saber mais (em inglês):

Mais direitos aos usuários da telefonia celular

Novas regras da Anatel foram divulgadas nesta sexta-feira (27) e entrarão em vigor dentro de seis meses.

O portal de notícias G1 da Globo publicou um quadro Entenda o que muda na telefonia celular resumindo 9 das principais medidas.

No portal Anatel, a notícia Novas regras da telefonia celular ampliam direitos dos usuários destaca 8 pontos abordados pelas novas regras.

Anatel e G1 destacam melhorias para usuários em temas como: Créditos, Fidelização, Atendimento, Cobrança, Serviços de emergência, Rescisão contratual (Cancelamento de linha), Comparação entre planos, Inadimplência, Número do telefone e outros.

Para uma explicação mais completa, o documento Resumo das Principais Mudanças (PDF) disponível na Sala de Imprensa do portal Anatel explica as mudanças do novo Regulamento do Serviço Móvel Pessoal em 20 temas.

Apache Struts 2.0.9

Para quem aderiu à segunda geração do Struts, o Struts2 baseado no framework WebWork, uma nota importante.

Foi lançada dia 24 a versão Apache Struts 2.0.9, que inclui uma importante correção de segurança sobre uma vulnerabilidade de código remoto no tratamento de expressão OGNL. Recomenda-se fortemente a todos os desenvolvedores atualizar para Struts 2.0.9 o mais rápido possível!

Para outras mudanças inclusas no Struts 2.0.9, veja release notes.

Baixar Struts 2.0.9.

Java EE 6 e JavaFX Compiler

Dia 16 de julho passado, a Espeficicação do JEE 6.0 foi aprovada no JCP, conforme notícia do JavaFree (19/07). Foi a votação da análise inicial da JSR 316: Java Platform, Enterprise Edition 6 (Java EE 6), especificação guarda-chuva da plataforma Java EE que deve ser completada em 2008.

Dos 16 membros do Comitê Executivo para Java SE/EE do JCP, 14 votaram a favor da aprovação da JSR 316, com a abstenção da Borland e o voto contrário da Apache Software Foundation (ASF).

Como se pode ver no resultado da votação, o voto contrário da ASF não se deve ao mérito técnico da JSR 316 em si, sobre o qual a Apache é favorável, mas porque aguarda solução da questão de licenciamento entre a Apache e a Sun, lider dessa especificação.

A questão pendente de licença é a restrição de liberação pela Sun do Kit de Compatibilidade Java (JCK) para o projeto Apache Harmony — implementação Java SE como software livre — validar compatibilidade oficial com JDK 5. Segundo a Apache, esta restrição viola os termos do acordo JSPA do JCP. Mais detalhes estão no FAQ da Carta Aberta à Sun Microsystems, 10 abril 2007, por Geir Magnusson Jr., ASF.

Intel e Red Hat, que votaram “Sim”, ressaltaram que a Sun afirmou que não haverá “restrições de campo de uso” no licenciamento do Kit de Testes de Compatibilidade (TCK) EE6 para a JSR 316.

Entre os apoiadores da especificação técnica JSR 316 estão instituições de peso como a própria Apache, Oracle, JBoss (Red Hat), BEA e IBM, e também o brasileiro Felipe Leme (veja seu blog), entre outros.

Facilidade foi foco do Java EE 5. Para o Java EE 6, a JSR 316 objetiva extensibildiade e definição de perfis (profiles) para usos e aplicações específicos da plataforma EE. Além disso, propõe que sejam deprecadas as especificações EJB CMP, efetivamente substituída pela Java Persistence (JPA), e JAX-RPC, substituída por JAX-WS.

JSR 316 prevê também ampliar o suporte a SOA e SCA, evoluir as especificações para as tecnologias Enterprise JavaBeans (EJB), Java Persistence API (JPA), Servlets, JavaServer Faces (JSF), JAX-WS e Java EE Connector API. Propõe também a inclusão das seguintes especificações:

  • JSR-196 Java Authentication SPI for Containers
  • JSR-236 Timer for Application Servers
  • JSR-237 Work Manager for Application Servers
  • JSR-299 Web Beans
  • JSR-311 JAX-RS: Java API for RESTful Web Services

Outra plataforma que anda quente em novidades e artigos nos últimos dias, é JavaFX. O destaque mais recente foi o lançamento de um Compilador JavaFX como software livre, em 20 de julho.

Referências UML atualizadas

A minha página de referências relacionadas a Engenharia de Software teve uma boa revisão hoje na parte sobre UML, principalmente listando mais ferramentas para modelagem UML.

Destaque para o StarUML, ferramenta de modelagem UML e plataforma MDA para Windows bem poderosa e flexível, software livre e de código aberto. Agradeço ao colega Adolfo pela animadora demonstração das potencialidades do programa.

NetBeans 6.0 avança no M10

Liberado em 2 de julho, o NetBeans IDE 6.0 Milestone 10 (M10) continua trazendo melhorias para a futura versão, como:

  • Melhorias no depurador Ruby (vars globais, watch view, locals view)
  • Plugin Manager permite distribuir grupos de componetes do IDE (por exemplo Ruby, SOA)
  • Visual Designer tem novo visual (look and feel)
  • Mais componentes com Ajax do Projeto Woodstock
  • Arquivos Struts 1.3.x são reconhecidos pelo IDE
  • Sincronização de código fonte UML

Veja a lista completa de recursos e melhorias do NetBeans IDE 6.0 Milestone 10 (M10).

Estas são adições a recursos já existentes na base de código do NetBeans IDE 6.0, incluindo:

  • Suporte a Ruby/JRuby/Ruby on Rails
  • Um editor mais inteligente e rápido
  • Desenvolvimento Swing melhorado (Swing Data Binding)
  • Profiling integrado
  • Desenho visual para aplicações Web integrado
  • Novo desenvolvimento de IU para CLDC/MIDP e CDC integrado

O lançamento oficial do NetBeans IDE 6.está planejado ainda para o 2º semestre de 2007.

O Netbeans IDE, cuja lista de discussão oficial atingiu ontem o número 300 do seu boletim semanal, vem chegando à versão 6.0 mais ativo do que nunca. Vem sendo foco dos tópicos mais quentes, como por exemplo An Introduction to Building RESTful Web Services in Java Using NetBeans 6.0, por Brian Leonard em seu blog de hoje.

Oracle 11g

Ontem, 11 de julho, em um evento ao vivo na cidade de Nova York, a Oracle revelou o Oracle Database 11g — sua nova geração de sistema de gestão de informações corporativas que, segundo a empresa, ajudará os clientes a inovar mais rapidamente através de uma melhor visão de negócios.

Assim é descrito o anúncio de lançamento (em inglês) da nova versão 11g do sistema gerenciador de bancos de dados relacional (SGBDR/RDBMS) que se mantém número 1 do mercado mundial (47,1% do mercado; Gartner, 2006), desde quando há trinta anos o visionário Larry Ellison apostou no potencial da então recém criada linguagem SQL.

A nomenclatura da versão segue a linha da anterior, onde o “G” de 11g — assim como 10g — vem de grid computing, termo que faz referência à era da computação distribuída em alta escala, baseada em cluster (ou grade — grid) de computadores inter-conectados. A linhagem “G” da Oracle sucedeu a “I” das versões 8i e 9i, que aludia à era da internet.

O release de imprensa do Oracle Database 11g (em inglês) destaca as seguintes caracterísiticas da nova versão:

  • Real Application Testing Helps Reduce Time, Risk and Cost of Change
  • Increase Return On Investment for Disaster Recovery Solutions
  • Enhanced Information Lifecycle Management and Storage Management
  • Total Recall of Data Changes
  • Maximum Availability of Information
  • Oracle Fast Files
  • Faster XML
  • Transparent Encryption
  • Embedded OLAP Cubes
  • Connection Pooling and Query Result Caches
  • Enhanced Application Development
  • Enhanced Self-Management and Automation

Os outros produtos da Oracle Corporation devem acompanhar brevemente a nova geração 11g na numeração de suas versões. A ferramenta de desenvolvimento Java, Oracle JDeveloper, já tem disponível a versão 11g em Technology Preview (beta).

Para saber mais:

Dalai Lama

Dizem que perguntaram ao Dalai Lama: — O que mais te surpreende na Humanidade?

A resposta:

Os homens… Porque perdem a saúde para juntar dinheiro, depois perdem o dinheiro para recuperar a saúde.

E por pensarem ansiosamente no futuro, esquecem o presente de tal maneira que acabam por não viver nem o presente nem o futuro.

Vivem como se nunca fossem morrer… e morrem como se nunca tivessem vivido.

Para saber mais: