Grave error de seguridad en debian y por ende en Ubuntu

Imagen de ubunkai
0 puntos

Señores acabo de leer esto en la web kriptopolis.org sobre un fallo grave en debian y tb afecta a ubuntu hace que pensar sobre la seguridad en ubuntu y muxo.

Imagen de carrillo69
+1
0
-1

Wenas antes de nada 

Mi opinion es que no sera el ultimo fallo grave que encuentren ya que nada puede ser perfecto, y pienso que esto que lo han creado la gente que a querido ayudandonos unos a otros, que tenga fallos es normal y no se porque son tan criticados los fallos en linux luego en cambio windows si tiene un fallo nadie se entera y eso que windows tiene un equipo cobrando lo suyo para que no tuvier ani un fallo y van de mal en peor sino instalaros el vista si es que podeis instalarlo jeje

Weno con esto no te keria decir nada asi k no te lo tomes a mal xdxd es mi opinion

Enga un saludo a la comunidad 

+1
0
-1
Imagen de ubunkai
+1
0
-1

Entonces creo que que Linux no es un sistema seguro pq si dependemos de que la gente anonima se moleste en mirar todo el codigo fuente siempre estaremos indefensos, pq los que lo tienen que mirar tipo canonical pasan olimpicamente, la verdad es que esto me da que pensar sino he hecho bien al pasarme a linux.

+1
0
-1
Imagen de Cristobal López
+1
0
-1

Pues es fácil, sólo hay que enchufar el PC con windows ;-) ;-)

+1
0
-1
Imagen de elgatogordo
+1
0
-1

Tanto Canonical como Debian como Red Hat como el resto de desarrolladores de distros suamdos a la gente de la Linux Foundation sin olvidar de mencionar alas empresas que trabajan con Linux (IBM, SUN, etc) esan permanentemente revisando y corrigiendo fallos. Un sistema operativo son centenares de miles de lineas de código hechas por seres humanos, seres humanos que tienen un mal dia, están enfermos, son malas personas o simplemente incompetentes y cometen errores. Si te fijas en launchpad o instalas las versiones alpha de ubuntu verás las correcciones que se hacen antes de largar la versión definitiva. Y asimismo es imposible evitar que aparezca una vulnerabilidad. Esto pasa en linux y en windows, la diferencia que en linux las soluciones son gratis

soportealinux@fibertel.com.ar

+1
0
-1
Imagen de joseluis
+1
0
-1

la diferencia que en linux las soluciones son gratis

No, la diferencia no es que sea gratis, sino que en GNU/Linux por regla general los errores de seguridad se corrigen en cuestión de horas (tiempo medio) mientras que en Windows suelen tardar semanas (por no hablar de meses y años), esas son las ventajas que tiene Windows por ser software privativo.


Fdo. Forense asesino, Censor fundamentalista, Fustigador de novatos y Patético maleducado

+1
0
-1

Fdo. Forense asesino, Censor fundamentalista, Fustigador de novatos y Patético maleducado

Imagen de elgatogordo
+1
0
-1

No tengo el suficiente conocimiento para afirmar lo de la rapidez por eso no lo puse pero no me negaras que el que no te cobren por las soluciones es algo a tener en cuenta

soportealinux@fibertel.com.ar

+1
0
-1
Imagen de PlayBoy
+1
0
-1

Siempre se suele confundir gratis y libre (free)

Mi BloG --> http://menbass.wordpress.com

Mi CoRReo---> djvaro69@gmail.com

¡BusCa SiemPre AnteS de preGuntaR! -> CoPyraeTh of Furtaxi

+1
0
-1

PlayBoy |Ooº--|--ºoO))*>*
No es más fuerte el que resiste si no el que se levanta

Imagen de danielGT
+1
0
-1

Amigo, se nota que no tienes mucha idea de esto del software libre, pero no te culpo.

Por favor no caigas en el mismo juego que muchos ignorantes, porque la opinion que estas dando es exactamente la misma que argumentan los que atacan a GNU/Linux diciendo que el codigo fuente de Linux está en manos de terroristas que lo unico que hacen es crear inseguridades y virus que vulneran la paz.

Amigo, ;) te aseguramos que Linux es MUY SEGURO, no es perfecto, pero sus vulnerabilidades son minimas comparadas con las de otro sistema cuyo logotipo tiene colores rojo, verde, amarillo y azul.

Debido a eso mismo, a que hay muchos ojos puestos sobre el codigo fuente libre, es por eso que los errores son detectados porque hay muchisima gente trabajando en el codigo fuente, creando asi un sistema mucho mas seguro y en caso de que haya un error, se soluciona MUY RAPIDAMENTE.

Otros sistemas (y no derivados de Unix precisamente, todos sabemos cual), cuando se detecta una grave falla, hay que rezar porque el correspondiente Service Pack salga rapido, y a veces pasan varios meses antes que eso ocurra.

+1
0
-1
Imagen de JT Kirk
+1
0
-1

http://www.kriptopolis.org/chapuza-en-debian

¿Alguien puede traducirlo para usuario de medio pelo como yo? En principio solo afecta a servidores ¿no?

+1
0
-1
Imagen de elgatogordo
+1
0
-1

por favor cuando ponen un artículo de algun lugar con un titulo catástrofe ¿podrian asegurarse de que lo leyeron bien?
el artículo dice bien claro
En definitiva, esta chapuza afecta a muchos sistemas Debian y derivados como Ubuntu. Por supuesto la actualización de OpenSSL (que ya está disponible) es necesaria, pero no suficiente. En esta ocasión han de generarse además claves nuevas para todos aquellos casos en que hayamos utilizado OpenSSL, es decir, redes privadas virtuales, servidores seguros, certificados X.509, SSH, etc. En el caso de usuarios comunes, no obstante, el problema más frecuente puede radicar en tener que renovar las claves SSH utilizadas para acceder remotamente a servidores.
Se trata de un error que solo afecta a usos muy especificos que excede a la mayoria de los usuarios normales de este foro y que ya fue detectado y solucionado.
No soy un experto en el tema, tal vez joseluis siempre tan rápido en detectar mis errores pueda aydarme pero el que un error no haya sido detectado en debian no significa necesariamente que ese error se traslade a ubuntu.
Y de todas formas no hay información de que esa vulnerabilidad se haya aprovechado.

Edito: Leyendo el articulo hasta el final se desprende que el error no es de debian ni de ubuntu sino de OpenSSL
Insisto este tipo de comentarios deberia ir a una sección especial llamada ubuntu-es candalos la cual deberia tener un theme color amarillo rabioso

+1
0
-1
Imagen de PlayBoy
+1
0
-1

Si esos errores no pasan a Ubuntu ¿Por qué audacious si pasó y otros multitudes de fallos?
En fin para eso estamos los Debianitas para solucionaros errores a los ubunteros antes de que ustedes vuelvan con el error y colapsen los foros algooooo

Mi BloG --> http://menbass.wordpress.com

Mi CoRReo---> djvaro69@gmail.com

¡BusCa SiemPre AnteS de preGuntaR! -> CoPyraeTh of Furtaxi

Mi BloG --> http://menbass.wordpress.com

Mi CoRReo---> djvaro69@gmail.com

¡BusCa SiemPre AnteS de preGuntaR! -> CoPyraeTh of Furtaxi

+1
0
-1

PlayBoy |Ooº--|--ºoO))*>*
No es más fuerte el que resiste si no el que se levanta

Imagen de elgatogordo
+1
0
-1

¿cuantos errores detectaste y solucionaste tu personalmente?
¿que paso con audacious?

+1
0
-1
Imagen de PlayBoy
+1
0
-1

Audacious - Fallo de segmentación en hardy por ejemplo.
El Epiphany, sudo nautilus (en debian $su y luego # nautilus) xD Pero yo no los soluciono, ayudan a solucionarlos. El Firefox (En Debian iceweasel, que se colgaba mucho...etc)
Pero no soy el único que lo soluiona ee todos nos ayudamos mútuamente

Mi BloG --> http://menbass.wordpress.com

Mi CoRReo---> djvaro69@gmail.com

¡BusCa SiemPre AnteS de preGuntaR! -> CoPyraeTh of Furtaxi

+1
0
-1

PlayBoy |Ooº--|--ºoO))*>*
No es más fuerte el que resiste si no el que se levanta

Imagen de JT Kirk
+1
0
-1

No sé donde se deduce que no lo haya leído bien o que esté haciendo catastrofismo, sólo he dicho que no lo entiendo del todo, y sí, se ha actualizado corrigiendo el error pero hay que cambiar las claves manualmente.

+1
0
-1
Imagen de elgatogordo
+1
0
-1

me referia al post original

+1
0
-1
Imagen de Ardanbis
+1
0
-1

No se si es que han quitado el enlace o qué, pero no me entero de nada.

Y porqué a mitad de pagina todo el mundo empieza a escribir en negrita. xD



Linux user #466973
Ubuntu user #20815


+1
0
-1
Imagen de JT Kirk
+1
0
-1

El enlace en el primer post no va, pero creo qe se refiere a esto:

http://www.kriptopolis.org/chapuza-en-debian

por eso lo he puesto yo después un poco más adelante.

+1
0
-1
Imagen de elgatogordo
+1
0
-1

"... aquí viene el problema- también desapareció la correcta siembra del generador pseudoaleatorio necesaria para producir claves de calidad, es decir, claves no predecibles. La siembra correcta requería hasta ese momento una mezcla de datos aleatorios, pero quedó de pronto reducida a la escasa aleatoriedad aportada por el identificador del proceso, que en Linux sólo puede llegar hasta el número 32.768. En consecuencia el espacio de claves se vio repentinamente reducido, de los previstos 2^1024 a 2^15, es decir, tan sólo 32.768 posibles claves"...
por cierto, el autor del artículo original en ningun momento habla de graves fallas de seguridad y mas allá de algunos chistes en ningun momento cuestiona las politicas de seguridad de debian y ubuntu

+1
0
-1
Imagen de Ardanbis
+1
0
-1

+1
0
-1
Imagen de Ardanbis
+1
0
-1

repetido

+1
0
-1
Imagen de JT Kirk
+1
0
-1

repetido

+1
0
-1
Imagen de lukilokez
+1
0
-1

Bueno os veo ahí debatiendo sobre si es o no culpa de unos u otros y yo me pregunto:
¿Qué co..tengo yo que hacer?
Nunca he usado conscientemente OpenSSl pero si me suena haber instalado actualizaciones de seguridad. ¿Hay algunas aplicaciones que sí lo usen?
¿Qué es eso de las claves que hay que generar manualmente?
Por favor, alguién que sepa de qué va ¿podría aclararnos a los profanos qué hacer?
Gracias y buen rollo.

3 12 24 27 36 42 Cada vez seremos más, o no sé yo si tendremos que hacernos ingenieros a la fuerza.

+1
0
-1

3 12 24 27 36 42 Cada vez seremos más.

Imagen de elgatogordo
+1
0
-1

si no tienes un servidor web o no te conectas desde tu computadora a una red manejada con servidores debian o ubuntu no tienes de que preocuparte. openssl se usa para encriptar datos y generar certificados digitales que garanticen la autenticidad de un sitio web.
El problema era que al eliminar una linea del programa se reducia la funcion aleatoria del programa lo que hacia más facil vulnerar las medidas de seguridad

+1
0
-1
Imagen de furtaxi
+1
0
-1

A ver si ampliamos las secciones. Tenemos pendientes:

a) Lloros y llantos desconsolados

b) Flaming zone

c) Mazmorra con goteras

d) Zona de humor

e) Trolling zone

y ahora.. tachán...

Yellow Zone, a.k.a. ubuntu-es candalos, copyletf elgatogordo.

 

Roberto. (Alias TIMT)

Mi página: www.vigonews.es

Lee y cumple las Normas. Busca antes de preguntar.
En cada hilo, márcalo adecuadamente.

Colabora con Preguntas Frecuentes, para mejorar el foro.

+1
0
-1

Mi web : www.vigovideo.es
Buscar es más rápido que esperar una respuesta.

Imagen de ARJAT
+1
0
-1

A mi parecer, se esta colando mucha gente sectaria de microsucks, deberiamos de cuidar esto, ya que malinformando logran su proposito de ahuyentar a los nuevos usuarios de linux.

El necio aprende padeciendo; (Hesíodo, trabajos 218)

+1
0
-1

El necio aprende padeciendo; (Hesíodo, trabajos 218)

Imagen de ubunkai
+1
0
-1

Que me estas acusando de windero? lo mismo el que acusa tiene mas delito que el que lo comete así que tu mismo.

+1
0
-1
Imagen de joseluis
+1
0
-1

Realmente sí se trata de un error de Debian, que además afecta a Ubuntu (se puede comprobar aquí).

El error es de Debian (y derivados) porque son sus paquetes los únicos que contienen el código vulnerable ya que el problema surge cuando un desarrollador de Debian, intentando solucionar unos problemas (realmente no eran más que warnings) que da openssl con ciertos depuradores de código sugiere la eliminación de la línea responsable de esos problemas. La propuesta se la comunican a los desarrolladores de openssl para que les den el visto bueno, y sobre todo para que verifiquen que no hay implicaciones negativas en el cambio. Los desarrolladores de openssl no ven ningún problema y les dan la aprobación a Debian que lo incluye en sus paquetes.

A partir de ahí y durante un tiempo nadie se da cuenta del error hasta que hace algunos días alguien lo detecta y, como suele ocurrir en el desarrollo del software libre la solución se genera inmediatamente.

Después de esto viene el revuelo, que si bien es cierto que tiene bastante importancia (es bastante grave) también es cierto que no afecta realmente a la mayoría de usuarios de este foro, a no ser claro que tengas montado un servidor seguro (ssl) o que accedas remotamente a tu máquina vía ssh.

De todas formas estos errores se suelen magnificar cuando ocurren con GNU/Linux supongo que porque realmente son noticia por lo poco común, mientras que con otros sistemas operativos ya no son noticia porque vulnerabilidades de este tipo (o peores) tienen tantas, y sin corregir, que una más es difícil que pueda alarmar a alguien.


Fdo. Forense asesino, Censor fundamentalista, Fustigador de novatos y Patético maleducado

+1
0
-1

Fdo. Forense asesino, Censor fundamentalista, Fustigador de novatos y Patético maleducado

Imagen de Ardanbis
+1
0
-1

En la pagina que joseluis dejó aquí habla de que esto está más que ventilado. El error trata de que alguien a base de fuerza bruta saqué las llaves de openssh, y se conecte de forma remota a nuestro ordenador. Voy a hacer una chapuzilla traducción para que se aclaren las cosas:

   Ordenadores que funcionen bajo:
* Ubuntu 7.04 (Feisty) 
* Ubuntu 7.10 (Gutsy) 
* Ubuntu 8.04 LTS (Hardy) 
* Ubuntu "Intrepid Ibex" (en desarrollo): libssl <= 0.9.8g-8 
* Debian 4.0 (etch) (ver el aviso de seguridad correspondiente a Debian)
Y tengan instalado openssh-server (comentario fuera del 
contexto = si no sabes lo que es openssh significa que es imposible que 
seas afectado por esta vulnerabilidad = fin de comentario) o hayan creado 
una llave de Openssh u certificado X.509 (SSL).

   Deben desconfiar de OpenSSH y llaves X.509 generadas por los sistemas antes mencionados, indiferentemente del
sistema donde esten siendo utilizadas, incluso despues de que se haya hecho la actualización del sistema.
   Esto incluye las llaves anfitrión generadas automaticamente por OpenSSH que son la base del desfile (palabra 
original="spoofing") del servidor y la protección del hombre-en-medio. (xD os dije que era traducción chapuzera)

   Han sido creadas listas negras para ciertas llaves y certificados que son vulnerables. Por favor vean los 
siguientes avisos para mas información:
http://www.ubuntu.com/usn/usn-612-2 (OpenSSH) 
http://www.ubuntu.com/usn/usn-612-3 (OpenVPN) 
http://www.ubuntu.com/usn/usn-612-4 (ssl-cert) 
http://www.ubuntu.com/usn/usn-612-5 (OpenSSH update)

El problema se puede corregir actualizando tu sistema con los siguientes paquetes:

Ubuntu 7.04: 
libssl0.9.8 
0.9.8c-4ubuntu0.3 

Ubuntu 7.10: 
libssl0.9.8 
0.9.8e-5ubuntu3.2 

Ubuntu 8.04 LTS: 
libssl0.9.8 
0.9.8g-4ubuntu3.1
   

Gracias por su atención. Y espero que ahora las cosas estén pelín mas claras.
EDIT: Por cierto que no tuve que hacer nada para solucionarlo porque no utilizo openssh y además, el paquete
libssl0.9.8, se me instaló en la ultima actualización. Asi que apt-get na de na.



Linux user #466973
Ubuntu user #20815
+1
0
-1
Imagen de Ardanbis
+1
0
-1

Modo sarcástico ON.
No sé porque dan tanto la lata con eso , si al fin y al cabo no es el fin del mundo. ¡Que van a hacer con esas llaves! ¿Robar codigo fuente? ¿Pillarse algún .deb por la gorra? Pero si son gratis, solo hay que poner apt-get install y lo que te hace falta.

Sí siguen así ¿como me voy a cambiar las notas del servidor del insti, si cambian la clave SSH?

Y ademas cuando ya me iba a quitar Ubuntu me vienen con esto:


¿A Windows le pasó lo mismo?

No. Se demostró que el generador de números aleatorios de Windows era
débil, pero la diferencia es que según el estudio, había que conocer el
estado previo del generador para saber el siguiente cálculo.

ÖÖÖÖ que decepción osea primero me estalla el ordenador con el service pack, luego me lo queman por las revoluciones que pilla el Vista, y ahora me dicen: el generador de números aleatorios de por sí es débil (O,O), pero vamos a cambiar de tema. . . xD
Modo sarcástico OFF.
Creo que nos tenemos que relajar un poco al fin y al cabo nosotros los usuarios domesticos, nos preocupamos para nada, porque esto no nos concierne. A lo mejor metemos otro flame en la papelera como mucho pero nada mas.
Espero que no les importe.



Linux user #466973
Ubuntu user #20815
+1
0
-1
Imagen de muadhib
+1
0
-1

Felicidades señores por la oportunidad y grado de informacion que se maneja en el foro, mientras algunos nos enteramos de este problema apenas ayer vìa y temiamos por nuestras PC's, ustedes ya venían discutiendo y definiendo el asunto (calmando las aguas)así con el asunto ya digerido, delimitado y traducido -al cristiano- es pura tranquilidad.

El manejo de la información y su oportunidad realmente da mucho apoyo en cuanto a la confianza a Ubuntu, y yo que creia venia el bombazo aqui ya lo pararon, felicidades, terminó en bombo para ustedes

Saludos.

Un pequeño "click" para un hombre,
un gran "click" para la humanidad

+1
0
-1

Un pequeño "click" para un hombre,
un gran "click" para la humanidad

Imagen de elgatogordo
+1
0
-1

asi funciona la comunidad del software libre, en cuanto alguien se entera de algo importante enseguida lo pone a disposición de los demás
pero está mejor explicado aqui

+1
0
-1