Se ha descubierto un bug crítico en la librería glibc 2.2 que permite ejecución remota de código en Linux. El bug se introdujo en el año 2000 y fue parcheado en el trunk principal en el 2013, pero como no fue marcado como de seguridad, muchas distros no lo incorporaron. Son vulnerables y hay que parchear con rapidez 7 Debian (Wheezy), RHEL 5, 6 y 7, CentOS 6 y 7 y Ubuntu 12.04.
#11:
Enésima gilipollez de todos los ignorantes que desean fervientemente echar mierda sobre Linux sin saber ni lo que es. Para variar.
La vulnerabilidad reside en una librería de C del proyecto GNU, la glibc. Esta librería es empleada en el código del kernel de Linux pero NO es una librería del kernel Linux, es una librería de GNU. Por supuesto, no sólo se emplea en el kernel de Linux, sino también en muchos otros sitios. De acuerdo a la Wiki::
Additionally, there are heavily patched versions that run on the kernels of FreeBSD and NetBSD (from which Debian GNU/kFreeBSD and Debian GNU/NetBSD systems are built, respectively), as well as the kernel of OpenSolaris.[13] It is also used (in an edited form) and named libroot.so in BeOS and Haiku.[14]
O sea: las gilipolleces que estáis diciendo las podéis guardar y decírselas a los desarrolladores de glibc. Os estoy mirando a vosotros, #2 y #5.
La noticia además añade:
Qualys encontró que el fallo había sido parcheado junto con una corrección menor entre los lanzamientos de glibc-2.17 y glibc-2.18 publicado 21 de mayo de 2013. Sin embargo, esta solución no fue clasificada como un problema de seguridad, y como resultado, muchas distribuciones estables aún tienen el bug.
Es decir, las diferentes distribuciones GNU/Linux no fueron notificadas sobre este fallo, por lo tanto no pudieron aplicar el parche. Y los desarrolladores del kernel Linux se dedican a lo suyo: programar y revisar el kernel Linux. Las librerías que utilizan, como glibc, no son responsabilidad suya (si bien en el caso de detectar fallos los reportarían y solucionarían), así que no les podemos acusar de ello, tristemente para muchos inútiles Windoseros que estarían encantados de hacerlo aunque ellos no sepan ni siquiera utilizar correctamente los punteros de C por pura ignorancia de lo que es un puntero
Más suerte a la próxima con vuestras troleadas. De momento, id pidiendo perdón por el retraso a Linus Torvalds y sus muchachos.
#21¿qué importa si técnicamente es o no es una librería del kernel linux si te afecta igualmente?
Importa si yo desarrollo algo en Python, utilizando la librería Paramiko, una de las funciones de esa librería tiene un bug que hace mi software inseguro y tú vienes diciéndome que menuda puta mierda de programador que soy que mira qué basura de software hago lleno de bugs y que si no me he dado cuenta y que si vaya mierda.
Básicamente, porque no es responsabilidad mía auditar dicha librería. Yo sólo hago uso de ella y si en algún momento descubro un fallo pues o lo arreglo o informo a sus desarrolladores, nada más. No merezco que vengan diciéndome de todo a mí por un fallo de terceros.
Y tampoco los desarrolladores de dicha librería merecen las subnormalidades que tienen que aguantar por parte de idiotas que jamás han tirado una línea de código en su vida. Menos todavía cuando es un fallo involuntario y nadie se había dado cuenta hasta ahora y menos todavía cuando a las pocas horas el parche estaba disponible para todo el mundo.
Pero sí, el radical ahora seré yo y "Linux" es una puta mierda. Claro que sí, con dos cojones. Mucho mejor Windows y tal y cual Pascual.
#26 pero es que alguien nombro a linus toolvara personalmente? Aqui se tiro mierda contra linux o, para los puristas, gnu-linux.
Este problema viene de serie en esas distribuciones, asi que tanto da quien lo haya hecho.
Sin querer se mata a un hombre y debe ser castigado. Todos los bugs son sin querer y sin darse cuenta, no por ello son menos graves. Donde estan los miles de ojos tan aclamados que se les cuelan estes pedazo bugs? Y no fueron uno ni dos.
#7, que tiene que ver la velocidad con el tocino?, que no lo use ni dios es cojonudo, que lo usen pocas personas y las que lo usan saben un montón es cojonudo. A los hechos me remito.
#13 pues no, no yo me digo cosas al espejo por las mañanas como tu, pero .. si te refieres a si soy muy listo, yo soy listuam, ¿Lo pillas? ¿O te hago un mapa?
Que un bug de hace 15 años no haya sido aprovechado por nadie demuestra lo cojonudo que es Linux y su comunidad, en el escritorio, en el servidor y en donde sea.
#5 Que el fanboyismo no conozca límites. No es que se trate de una vulnerabilidad compleja de explotar y con un impacto limitado. No es que en entornos reales, la posibilidad de que otro caso remoto como el de EXIM sea descubierto es bastante bajo... nada de eso es el motivo. El motivo es que Linux y su comunidad son cojonudos.
En fin, enhorabuena a la gente de Qualys por el trabajo que han hecho de explotación real en EXIM, porque es una de las mejores ideas de exploiting que he visto en tiempo. Y poco más. El resto, gente armando ruído, sin entender ni el 20% del problema...
Enésima gilipollez de todos los ignorantes que desean fervientemente echar mierda sobre Linux sin saber ni lo que es. Para variar.
La vulnerabilidad reside en una librería de C del proyecto GNU, la glibc. Esta librería es empleada en el código del kernel de Linux pero NO es una librería del kernel Linux, es una librería de GNU. Por supuesto, no sólo se emplea en el kernel de Linux, sino también en muchos otros sitios. De acuerdo a la Wiki::
Additionally, there are heavily patched versions that run on the kernels of FreeBSD and NetBSD (from which Debian GNU/kFreeBSD and Debian GNU/NetBSD systems are built, respectively), as well as the kernel of OpenSolaris.[13] It is also used (in an edited form) and named libroot.so in BeOS and Haiku.[14]
O sea: las gilipolleces que estáis diciendo las podéis guardar y decírselas a los desarrolladores de glibc. Os estoy mirando a vosotros, #2 y #5.
La noticia además añade:
Qualys encontró que el fallo había sido parcheado junto con una corrección menor entre los lanzamientos de glibc-2.17 y glibc-2.18 publicado 21 de mayo de 2013. Sin embargo, esta solución no fue clasificada como un problema de seguridad, y como resultado, muchas distribuciones estables aún tienen el bug.
Es decir, las diferentes distribuciones GNU/Linux no fueron notificadas sobre este fallo, por lo tanto no pudieron aplicar el parche. Y los desarrolladores del kernel Linux se dedican a lo suyo: programar y revisar el kernel Linux. Las librerías que utilizan, como glibc, no son responsabilidad suya (si bien en el caso de detectar fallos los reportarían y solucionarían), así que no les podemos acusar de ello, tristemente para muchos inútiles Windoseros que estarían encantados de hacerlo aunque ellos no sepan ni siquiera utilizar correctamente los punteros de C por pura ignorancia de lo que es un puntero
Más suerte a la próxima con vuestras troleadas. De momento, id pidiendo perdón por el retraso a Linus Torvalds y sus muchachos.
No soy yo quien ha empezado a echar mierda sobre cosas que ni conozco y encima acusando a falsos culpables.
Simplemente respondo a trolls con troleadas, porque es algo que me encanta y lo hago siempre que puedo.
Y aquí, pese a ser un fallo en una librería de C externa, se le echa la culpa a "Linux" y "su comunidad". Han faltado microsegundos desde que se ha publicado el exploit (por cierto, arreglado de rebote hace casi 2 años, aunque hasta la fecha no se había tenido constancia de él) para que enseguida podamos ver los tradicionales comentarios de "Linux es una puta mierda que no vale para nada". Todo a pesar de que en cuestión de días desde que esa empresa de seguridad comunicó el fallo la gran mayoría (por no decir todas las distribuciones de Linux ya habían actualizado sus repositorios.
Pero seh... los talibanes y los cegados por la fe somos los linuiseroh, que zemo mu malo... Los putos gwuindols que apenas sale la mínima chorrada ya vienen con insultos y con descalificaciones y acusaciones hacia no-culpables acerca de cosas de las que no tienen la más remota idea, esos no son ni cegados por la fe ni nada. Qué va hombre... sólo tratan de hacernos ver amablemente la putísima mierda que es Linux y lo fracasado que es ese zurullo de sistema sarnoso y jipiesco, pero nada más. Los radicales somos los linuxeros.
#11 ¿qué importa si técnicamente es o no es una librería del kernel linux si te afecta igualmente?
A pesar de no ser una librería del kernel linux, desde el 2000 hasta el 2013 todos los servidores linux tuvieron un bug que permitía tomar el control remoto del sistema, del 2013 hasta estos días gran parte de ellos ¿te parece poco?
"Es decir, las diferentes distribuciones GNU/Linux no fueron notificadas sobre este fallo, por lo tanto no pudieron aplicar el parche."
No, las diferentes distribuciones linux sí fueron notificadas pero no se clasificó el parche como problema de seguridad, así que algunas aplicaron el parche mientras que otras no a pesar de que sí podían aplicar el parche, pero no lo hicieron porque "no era para tanto el bug" al no ser clasificado como un problema de seguridad.
Tú entenderás mucho de punteros láser y esas cosas pero se ve que no diferencias "muchas distribuciones estables" de "las diferentes distribuciones GNU/Linux"
Comentarios
redupe
Actualización crítica de glibc en GNU/Linux (CVE-2015-0235) [ENG]
Actualización crítica de glibc en GNU/Linux (CVE-2...
ma.ttias.beGhost un agujero de seguridad muy peligroso para Linux
Ghost un agujero de seguridad muy peligroso para L...
elotrolado.net#4 En todo caso sería dupe del primer link que pones, el 2º se envió después que esta noticia. Esta noticia aporta algún dato más.
Que digo yo que si cualquier chorri-noticia que contenga "linux" en el titular o cuerpo, llega a portada, esta también debería.
#10 A los trolls no se les responde, se les ignora, que pareces nuevo
Sensacionalista es poco.
Bug catalogado como de extrema gravedad. Si fuera de windows tendría ya 1000 de karma.
Luego hablamos del gobierno. Pero aquí en menéame se juegan con las mismas reglas. La corrupción está en todas partes
#21 ¿qué importa si técnicamente es o no es una librería del kernel linux si te afecta igualmente?
Importa si yo desarrollo algo en Python, utilizando la librería Paramiko, una de las funciones de esa librería tiene un bug que hace mi software inseguro y tú vienes diciéndome que menuda puta mierda de programador que soy que mira qué basura de software hago lleno de bugs y que si no me he dado cuenta y que si vaya mierda.
Básicamente, porque no es responsabilidad mía auditar dicha librería. Yo sólo hago uso de ella y si en algún momento descubro un fallo pues o lo arreglo o informo a sus desarrolladores, nada más. No merezco que vengan diciéndome de todo a mí por un fallo de terceros.
Y tampoco los desarrolladores de dicha librería merecen las subnormalidades que tienen que aguantar por parte de idiotas que jamás han tirado una línea de código en su vida. Menos todavía cuando es un fallo involuntario y nadie se había dado cuenta hasta ahora y menos todavía cuando a las pocas horas el parche estaba disponible para todo el mundo.
Pero sí, el radical ahora seré yo y "Linux" es una puta mierda. Claro que sí, con dos cojones. Mucho mejor Windows y tal y cual Pascual.
#26 pero es que alguien nombro a linus toolvara personalmente? Aqui se tiro mierda contra linux o, para los puristas, gnu-linux.
Este problema viene de serie en esas distribuciones, asi que tanto da quien lo haya hecho.
Sin querer se mata a un hombre y debe ser castigado. Todos los bugs son sin querer y sin darse cuenta, no por ello son menos graves. Donde estan los miles de ojos tan aclamados que se les cuelan estes pedazo bugs? Y no fueron uno ni dos.
#7, que tiene que ver la velocidad con el tocino?, que no lo use ni dios es cojonudo, que lo usen pocas personas y las que lo usan saben un montón es cojonudo. A los hechos me remito.
#8 " las que lo usan saben un montón "
Eso es lo que te dices frente al espejo cada mañana ? te funciona ?
#13 pues no, no yo me digo cosas al espejo por las mañanas como tu, pero .. si te refieres a si soy muy listo, yo soy listuam, ¿Lo pillas? ¿O te hago un mapa?
#15 hehe que grasioso
A mí me la suda, mi sistema no es vulnerable a ese fallo:
aptitude search glibc
glibc-2.19-1
Enlace con un pequeño FAQ para el parcheo y detección si nuestro sistema es vulnerable:
http://www.sysadmit.com/2015/01/linux-vulnerabilidad-ghost.html
Que un bug de hace 15 años no haya sido aprovechado por nadie demuestra lo cojonudo que es Linux y su comunidad, en el escritorio, en el servidor y en donde sea.
#5 Que el fanboyismo no conozca límites. No es que se trate de una vulnerabilidad compleja de explotar y con un impacto limitado. No es que en entornos reales, la posibilidad de que otro caso remoto como el de EXIM sea descubierto es bastante bajo... nada de eso es el motivo. El motivo es que Linux y su comunidad son cojonudos.
En fin, enhorabuena a la gente de Qualys por el trabajo que han hecho de explotación real en EXIM, porque es una de las mejores ideas de exploiting que he visto en tiempo. Y poco más. El resto, gente armando ruído, sin entender ni el 20% del problema...
#6, panete, que es una respuesta a mi querido trollTao-Pai-Pai.
#5 O mas bien como dice #2 , no lo usa ni la madre que lo pario y no merece la pena explotarlo.
Enésima gilipollez de todos los ignorantes que desean fervientemente echar mierda sobre Linux sin saber ni lo que es. Para variar.
La vulnerabilidad reside en una librería de C del proyecto GNU, la glibc. Esta librería es empleada en el código del kernel de Linux pero NO es una librería del kernel Linux, es una librería de GNU. Por supuesto, no sólo se emplea en el kernel de Linux, sino también en muchos otros sitios. De acuerdo a la Wiki::
Additionally, there are heavily patched versions that run on the kernels of FreeBSD and NetBSD (from which Debian GNU/kFreeBSD and Debian GNU/NetBSD systems are built, respectively), as well as the kernel of OpenSolaris.[13] It is also used (in an edited form) and named libroot.so in BeOS and Haiku.[14]
O sea: las gilipolleces que estáis diciendo las podéis guardar y decírselas a los desarrolladores de glibc. Os estoy mirando a vosotros, #2 y #5.
La noticia además añade:
Qualys encontró que el fallo había sido parcheado junto con una corrección menor entre los lanzamientos de glibc-2.17 y glibc-2.18 publicado 21 de mayo de 2013. Sin embargo, esta solución no fue clasificada como un problema de seguridad, y como resultado, muchas distribuciones estables aún tienen el bug.
Es decir, las diferentes distribuciones GNU/Linux no fueron notificadas sobre este fallo, por lo tanto no pudieron aplicar el parche. Y los desarrolladores del kernel Linux se dedican a lo suyo: programar y revisar el kernel Linux. Las librerías que utilizan, como glibc, no son responsabilidad suya (si bien en el caso de detectar fallos los reportarían y solucionarían), así que no les podemos acusar de ello, tristemente para muchos inútiles Windoseros que estarían encantados de hacerlo aunque ellos no sepan ni siquiera utilizar correctamente los punteros de C por pura ignorancia de lo que es un puntero
Más suerte a la próxima con vuestras troleadas. De momento, id pidiendo perdón por el retraso a Linus Torvalds y sus muchachos.
#11 tachar a los Windoseros de inútiles te retrata. Sabes de lo que hablas, pero la fe te ciega. Es un bug muy grave. Háztelo ver
#20 ¿"La fe me ciega", dices?
No soy yo quien ha empezado a echar mierda sobre cosas que ni conozco y encima acusando a falsos culpables.
Simplemente respondo a trolls con troleadas, porque es algo que me encanta y lo hago siempre que puedo.
Y aquí, pese a ser un fallo en una librería de C externa, se le echa la culpa a "Linux" y "su comunidad". Han faltado microsegundos desde que se ha publicado el exploit (por cierto, arreglado de rebote hace casi 2 años, aunque hasta la fecha no se había tenido constancia de él) para que enseguida podamos ver los tradicionales comentarios de "Linux es una puta mierda que no vale para nada". Todo a pesar de que en cuestión de días desde que esa empresa de seguridad comunicó el fallo la gran mayoría (por no decir todas las distribuciones de Linux ya habían actualizado sus repositorios.
Pero seh... los talibanes y los cegados por la fe somos los linuiseroh, que zemo mu malo... Los putos gwuindols que apenas sale la mínima chorrada ya vienen con insultos y con descalificaciones y acusaciones hacia no-culpables acerca de cosas de las que no tienen la más remota idea, esos no son ni cegados por la fe ni nada. Qué va hombre... sólo tratan de hacernos ver amablemente la putísima mierda que es Linux y lo fracasado que es ese zurullo de sistema sarnoso y jipiesco, pero nada más. Los radicales somos los linuxeros.
Hay que joderse.
#11 ¿qué importa si técnicamente es o no es una librería del kernel linux si te afecta igualmente?
A pesar de no ser una librería del kernel linux, desde el 2000 hasta el 2013 todos los servidores linux tuvieron un bug que permitía tomar el control remoto del sistema, del 2013 hasta estos días gran parte de ellos ¿te parece poco?
"Es decir, las diferentes distribuciones GNU/Linux no fueron notificadas sobre este fallo, por lo tanto no pudieron aplicar el parche."
No, las diferentes distribuciones linux sí fueron notificadas pero no se clasificó el parche como problema de seguridad, así que algunas aplicaron el parche mientras que otras no a pesar de que sí podían aplicar el parche, pero no lo hicieron porque "no era para tanto el bug" al no ser clasificado como un problema de seguridad.
Tú entenderás mucho de punteros láser y esas cosas pero se ve que no diferencias "muchas distribuciones estables" de "las diferentes distribuciones GNU/Linux"
Que un bug de hace 15 años no haya sido aprovechado por nadie demuestra la mierda que es Linux en el escritorio.
#2 Ya te digo, 15 años esperando a que implementen un sistema de "vista en miniatura" o "thumbs" en los dialogos de elegir y subir archivos
#3 hostia, eso es realmente grave. Coge el código y ponte tú a hacerlo.
#3 Esto te pasa por usar programas basados en GTK, en vez de programas de KDE.
#2 Excepto que esto es ejecución remota lo cual implica servidores.