1773
www.theinquirer.es/2010/02/08/ubuntu-con-problema-de-segu... El problema en sí radica en el kernel de las versiones 6.06, 8.04, 8.10, 9.04 y 9.10. Las versiones 7.xx no están afectadas. Se trata de un problema grave ya que podría permitir el acceso completo al sistema entre otros. Canonical ha recomendado como solución actualizar el kernel de sus distintas versiones ya que el problema afecta gravemente a las mismas con además del posible escalado de privilegios de un extraño, un consumo elevado de tráfico de red y fallo en el sistema de ficheros, FUSE no gestiona bien ciertas peticiones.
menéame
Tengo que votar amarillista, ya que se tienen que dar unas circunstancias muy concretas y difíciles ( a ver que administrador monta un sistema de ficheros modificado) para que esto suceda.
ah y por cierto, han tardado menos de 24 horas en solucionar el problema #3 igualito que Microsoft.
Lo que importa es cuanto tiempo se tarda en enmendar tus errores... Y han sido bastante rapidos, si.
#3, Linux tiene sus fallos como todos. No sé dónde escuchaste que Linux no tiene fallos. Lo chulo es que no son secretos y cualquiera que sepa puede arreglarlos. Y los que no sepan solo tienen que esperar una semana.
#6, habrán sigo bastante rápidos para arreglarlo después de descubierto, porque esto parece que afecta a Ubuntu 6.04... de hace 4 años
Que es un sistema de archivos 'modificado'?
Lo cierto es que lo han sacado rapido en cuanto lo han visto que es mucho decir en el mundo de los SO's.... Hay algunos que de hecho solo sacan parches los segundos martes de mes....
Si conoces alguna manera de arreglar un error antes de descubrirlo, compártelo con el mundo, porque sería un bombazo :^)
#0, ¿afecta a Ubuntu o a Linux? Porque si es un fallo del kernel, afectará a todas las distros que usen ese kernel. Me empieza a dar un poco de rabia que se identifique "Ubuntu" con "Linux" (o GNU/Linux, si os ponéis tiquis-miquis).
Así que #3 FAAAAAAAAAAAAAAAAAAAAAAAAAAAIL en toda la boca, más suerte la proxima vez.
launchpad.net/ubuntu/dapper/+source/linux-source-2.6.15/+changelog
#13, Debian actualizó el fuse la semana pasada así que supongo que afecta a todos. Pero la noticia es de la política de actualizaciones de Ubuntu así que hablamos de Ubuntu (a pesar de que no lo use, yo soy Debian
Me temo que el mundo de los bugs solo conocidos por unos pocos es inmensamente superior al otro.
Y por otro lado, se solucione rapido o no, esto confirma que un SO como linux si puede ser inseguro de igual manera que Windows por muchos permisos y privilegios que exija.
Me temo que aunque windows si sea mas inseguro que linux, solo es cuestion de tiempo y cuota de mercado que tambien los linuxeros sufran lo suyo con la seguridad.
Eso es cierto cuanta más gente use Linux más fallos se descubrirán pero también es cierto que la base de linux es más sólida que la de Windows en ese tema aunque también cabe decir que el aumento de la seguridad del 98 al XP fue sustancial y que el Vista/7 también aporto mucho.
#22 que vergüenza para los fanboys linuxeros ¿no? ¡La perfección se rompeeeeeeee!
De verdad quien piense que Linux es perfecto o 100% seguro es que es idiota del todo, lo malo es que a todos los que usamos Ubuntu o cualquier otra distro nos acusan de fanboys de la misma manera que si digo que uso Windows la gente da por sentado que no sabes nada de informática son tópicos y cada SO tiene sus ventajas e inconvenientes.
Sin embargo hace unas semanas en el curro nos recomendaron tener cuidado al abrir adjuntos o usar otro navegador que no fuese Iexplore porque había un bug no resuelto, que por cierto se ha tardado semanas en solucionar.
Personalmente, me quedo con la política de Canonical u otras distros de Linux, pero bueno, para gustos, colorines.
Una vez arreglado se manda el parche y se publica tras una revisión.
Esto (obviamente) no puede hacerse en compañías que no liberan el código: se notifica el bug, se comprueba, se busca donde es, se arregla, y se empaqueta con más actualizaciones.
Yo tengo claro cual es mejor
Por muy poco que tardasen en arreglarlo, es porque a Canonical le da la gana de publicarlo nada más aplicar el parche al control de versiones que usen.
Otro tema, ¿se ha resuelto 24h después de tener constancia del bug o se ha publicado el parche 24h después de que nosotros hayamos sido informados?, porque son muchas las veces que se hace público un bug casi al mismo tiempo que el parche pero conocer se conocía hace tiempo solo que durante ese tiempo se estuvo haciendo el parche. Esto canta mucho cuando solo pasan horas entre uno y otro. Ojo, a mi no me parece mal, es normal que se espere a tener un parche antes de hacer público un bug. Una vez más, salió aquí en meneame o en barrapunto un artículo que hablaba del tema.
De cualquier forma me alegro, un bug menos.
#35 Verdaderamente en este caso poco tiempo se ha dado para que alguien más realice un parche, seguramente porque cuando una empresa seria dice que va a sacarlo el que ha encontrado el bug no se ve obligado a hacerlo público para evitar la dejadez del creador, ¿Pero me dirás que no has visto nunca, por ejemplo, la lista de BugTraq donde voluntarios sacan el código para parchear un programa incluso antes de que lo hagan los propios responsables de la distro? Porque vaya, ahí tienes todos los ejemplos que necesitas. www.securityfocus.com/archive/1
Edit: lo que sucede es que los creadores y mantenedores de software libre muchas veces son mucho más responsables que los de software privativo, posiblemente porque saben que tienen competencia en su mismo nivel, mientras que los otros saben que dependes de ellos.
www.ubuntu.com/usn/USN-894-1
Algunos de esos bugs implicaban escalado de privilegios, DDoS, etc. vamos lo típico de cualquier actualización; el tono alarmista de TheInquirer ha hecho todo lo demás, si se hubieran limitado a poner que hay un kernel nuevo con bugs corregidos no se habría liado este follón. La noticia quizás esté en un agujero que llevaba 4 años abierto, pero eso también pasa en otros SOs. ¿Qué hay gente que conoce esos bugs desde hace años y los usa en su propio provecho? Pues sí ¿y qué le vamos a hacer?
#7 no pueden arreglar un error antes de descubrirlo...
Mi comentario en #22 era de cachondeo (un poco trollear, lo se) y de paso ver cuantos fanboys me linchaban a negativos
Pues nada chicos! Que pena que un sistema como Ubuntu acabe desprestigiandose por sus usuarios, que no saben ni cojer ni una critica ni una broma para molestar un poquito.
Se ve que os escueze mucho ¿eh?
Todas las respuestas a lo dicho, correctisimas, menos #28... En fin, Podrias haber sido mas productivo con tu comentario. ¿Acaso me conoces? ¿Acaso lo has pillado? Quizas tu seas mas chavalin que yo. Y lo de que no doy mas de mi, bueno, viniendo de alguien que ni caza la broma... En fin
Y ahora mas enserio, os recomendaria relajaros con esto, que no iba a malas. Pero bueno
Por cierto, aseverar tu mismo que tu comentario es un poco trolear y luego decir que no iba a malas, no encaja, son matices contrapuestos, igual es que ya probaste mi sugerencia de la peña de fútbol y después del escozor ya no riges bien.
No voto negativo porque es bueno que los fallos de seguridad se conozcan, pero no creo que fallos tan poco importantes en Windows alcanzasen la portada. A mí la noticia me parece un poco amarillista.
uname -r
2.6.32.7custom
El kernel es de noviembre...
Si el núcleo del servidor es vulnerable y escalan privilegios a root probablemente estés jodido y tengas que reinstalar la máquina. Si no es vulnerable como mucho tendrás los restos del ataque en algún directorio de la máquina.
Para un usuario doméstico, mientras el soft que instale sea de los repositorios y vigile bien lo que ejecuta no debería tener problemas. Al igual que en Windows el problema es ejecutar software sin identificar o encadenar un fallo en el navegador o gestor de correo que permita ejecutar programas sin el consentimiento del usuario.
Generalmente tendrias razon. En este caso no. Dale un vistazo a que implica la explotacion del fallo de esta vulnerabilidad concreta y considera si se puede lograr ese efecto atacando un servidor web. A mi me parece posible, pero realmente muy poco probable que se den las circunstancias adecuadas. El resto de tu comentario merece un positivo desde mi punto de vista (por el caracter informativo)
Coincido en la opinion de #44 respecto al amarillismo. Ademas yo creo que es erronea, ya que es un fallo del kernel, no es un fallo especifico de Ubuntu.
AMARILLISTA !!!!!!!!!!!!!!!!!!!!