Menéame: comentarios [2154140]

#153 Error muy grave en la seguridad de OpenSSL

Jakeukalane — Thu, 10 Apr 2014 00:18:07 +0000

Interesante: techrights.org/2014/04/08/howard-schmidt-codenomicon/

» autor: Jakeukalane

#152 Error muy grave en la seguridad de OpenSSL

Jakeukalane — Thu, 10 Apr 2014 00:17:34 +0000

#62 wtf????

» autor: Jakeukalane

#151 Error muy grave en la seguridad de OpenSSL

JCarlesVilaseca — Wed, 09 Apr 2014 22:48:13 +0000

¿meneame.net también afectado? El test dice que sí...

» autor: JCarlesVilaseca

#150 Error muy grave en la seguridad de OpenSSL

Avantasia — Wed, 09 Apr 2014 21:56:56 +0000

#24 #146 Ha faltado tiempo (era previsible)

gist.github.com/thomasskora/10281460

» autor: Avantasia

#149 Error muy grave en la seguridad de OpenSSL

--347930-- — Wed, 09 Apr 2014 17:54:06 +0000

[Usuario deshabilitado]

» autor: --347930--

#148 Error muy grave en la seguridad de OpenSSL

--400142-- — Wed, 09 Apr 2014 17:37:45 +0000

[Usuario deshabilitado]

» autor: --400142--

#147 Error muy grave en la seguridad de OpenSSL

rafaLin — Wed, 09 Apr 2014 14:47:25 +0000

#60 Al vuelo

» autor: rafaLin

#146 Error muy grave en la seguridad de OpenSSL

Nova6K0 — Wed, 09 Apr 2014 13:32:49 +0000

#24 Por ejemplo. Todos los que usen el DNI electrónico para conectarse a las diferentes webs de la Administración, entre otras lo usan:

www.dnielectronico.es/seccion_integradores/dniec_explicaciones.pdf

Salu2

» autor: Nova6K0

#145 Error muy grave en la seguridad de OpenSSL

Marx — Wed, 09 Apr 2014 09:46:56 +0000

#136 Fix It será lo que tú quieras. Un fix it de Microsoft es lo que te dije. Lo que hace un Fix it está bien claro desde un principio y normalmente también tienes la opción manual paso a paso. En ningún momento oculta ningún problema y tanto te dan el fix it que hace como el que revierte. Si tú no eres capaz de comprender frases sencillas es tu problema.

"OpenSSL no ha tenido un fallo durante más de 15 años."

Por eso yo he dicho CINCO años.

" es que sigues apostando por la seguridad por oscuridad cuando todo el mundo sabe (menos tú, claro) que no funciona."

Tú eres lelo, macho. Yo he dicho "La seguridad por oscuridad no es seguridad" y tú dices que yo apuesto por la seguridad por oscuridad.

Puedes repetir el mismo mantra cuanto quieras pero: wpcme.coverity.com/wp-content/uploads/2012-Coverity-Scan-Report.pdf

Resumo: Similar to the 2011 report findings, in 2012 we found the defect density of open source software to be on par with proprietary software.

Ese es el párrafo más benevolente, no quiero profundizar en la densidad de defectos del kernel de linux.

» autor: Marx

#144 Error muy grave en la seguridad de OpenSSL

--312149-- — Wed, 09 Apr 2014 06:27:17 +0000

[Usuario deshabilitado]

» autor: --312149--

#143 Error muy grave en la seguridad de OpenSSL

--312149-- — Wed, 09 Apr 2014 06:10:13 +0000

[Usuario deshabilitado]

» autor: --312149--

#142 Error muy grave en la seguridad de OpenSSL

Sheldon_Cooper — Wed, 09 Apr 2014 00:04:18 +0000

#112 pocas veces un username ha sido tan relevante en un comment.

» autor: Sheldon_Cooper

#141 Error muy grave en la seguridad de OpenSSL

Joe_Dalton — Tue, 08 Apr 2014 21:51:01 +0000

#85 seria mas correcto detener los servicios susceptibles de ser vulnerables porque tienen dependencias de OpenSSL (o cualquier otro afectado, según sea el caso).

La mitra alternativa es que lo quites de producción y vuelvas a ponerlo en producción una vez resuelto. De hecho es básico no conectar una maquina a la red de producción hasta que no cumpla unos mínimos de seguridad.

» autor: Joe_Dalton

#140 Error muy grave en la seguridad de OpenSSL

--403407-- — Tue, 08 Apr 2014 21:47:54 +0000

Que si que todas las distros y las grandes compañías ya están actualizados, pero este bug ha estado durante 2 años activos, asi que con dos añitos por delante con una iteracion de 64KB cada vez, se pueden conseguir sesiones enteras de claves, passswords transmitidos por ssl.

Mi recomendación es actualizar todos los passwords de las plataformas online en las que estéis registrados.

» autor: --403407--

#139 Error muy grave en la seguridad de OpenSSL

--420014-- — Tue, 08 Apr 2014 21:26:35 +0000

#138 todas las generales ya.

» autor: --420014--

#138 Error muy grave en la seguridad de OpenSSL

NeV3rKilL — Tue, 08 Apr 2014 21:15:30 +0000

No sé si ya está posteado por aqui pero el fallo ya está reparado. Mi distro, archlinux, desde las 7 de la tarde ya tiene el paquete que arregla el bug.

» autor: NeV3rKilL

#137 Error muy grave en la seguridad de OpenSSL

redewa — Tue, 08 Apr 2014 21:07:32 +0000

#7 Error del programador de un lenguaje que permite las condiciones sin llaves.

» autor: redewa

#136 Error muy grave en la seguridad de OpenSSL

--347930-- — Tue, 08 Apr 2014 20:39:24 +0000

[Usuario deshabilitado]

» autor: --347930--

#135 Error muy grave en la seguridad de OpenSSL

RivaSilvercrown — Tue, 08 Apr 2014 19:52:30 +0000

#83 evidentemente... que no hay medios para poder revisar línea a línea todo el código. En contra de la creencia popular tanto la programación como las pruebas de código son un proceso más artesanal que otra cosa, lo que hace que defectos de diseño o implementación puedan pasar desapercibidos durante años.

» autor: RivaSilvercrown

#134 Error muy grave en la seguridad de OpenSSL

Marx — Tue, 08 Apr 2014 19:50:35 +0000

#131 eso es la teoria. En la practica disponer del codigo no es significativo para encontrar fallos, ni es negativo, simplemente raras personas se dedican a buscae fallos leyendo el codigo. Si es bueno para arreglar el problema una vez los encuentras.

El ping de la muerte... Openssl tuvo un fallo gordo y tonto, tanto que si alguien se leyese el codigo deberia encontrarlo, durante mas de cinco años.

Los fix it sirven tambien para arreglar de verdad problemas. Son algo asi como "te lo hacemos nosotros, no tienes que hacerlo de forma manual" El unico que tiene problemas para entender lo que es u fix it de microsoft eres tu porque en todo momento esta claro lo que hace el fix it.

» autor: Marx

#133 Error muy grave en la seguridad de OpenSSL

--320894-- — Tue, 08 Apr 2014 19:33:47 +0000

#127 actualizáte amigo. De eso hace ya más de 15 años. Vives en la edad de piedra, como la mayoría de fansboys

» autor: --320894--

#132 Error muy grave en la seguridad de OpenSSL

--417156-- — Tue, 08 Apr 2014 18:56:05 +0000

Noticia antigua para la NSA...

» autor: --417156--

#131 Error muy grave en la seguridad de OpenSSL

--347930-- — Tue, 08 Apr 2014 18:51:10 +0000

[Usuario deshabilitado]

» autor: --347930--

#130 Error muy grave en la seguridad de OpenSSL

--125581-- — Tue, 08 Apr 2014 18:46:08 +0000

#122 No, no vale, créeme. Eso cae como nada, y se le engaña facil.

La verdad, yo a la gente que usa XP les puse Lubuntu y a correr.

» autor: --125581--

#129 Error muy grave en la seguridad de OpenSSL

--1479-- — Tue, 08 Apr 2014 18:39:07 +0000

#116 No te preocupes, a mi me suele pasar también

» autor: --1479--

#128 Error muy grave en la seguridad de OpenSSL

Marx — Tue, 08 Apr 2014 18:34:29 +0000

#123 " y hacer el código fuente disponible para que cualquiera pueda inspeccionarlo."

Eso es lo que está fallando. Salvo los encargados del código pocas veces se mira y menos entiende el código en busca de bugs, se buscan de otras formas.

"O no."

Sí, claro, que el atacante querrá atacarte pero antes te chivará el fallo.

"La seguridad de hacer el código libre disponible permite a todo el mundo inspeccionarlo y aprovecharse de posibles fallos."

Como dije, "todo el mundo inspeccionando" es lo que está fallando.

" y así disminuir radicalmente la ventana de tiempo "

Y aumentar la probabilidad de que alguien encuentre el fallo y lo explote en esa ventana de tiempo. Dos años lleva presente este fallo.

"Resulta bastante gracioso que te atrevas a trolear de una forma tan descarada ante algo tan obvio como son las reglas básicas sobre seguridad."

No jodas que te vas a poner en plan lloriqueo.

"es un ejecutable que soluciona un problema"

Yo no sé lo que es un fix it y al parecer Microsoft tampoco. Este fix it, que sí, presentado en forma de ejecutable aunque normalmente se puede hacer también de forma manual, lo único que hace es "Deshabilitar la opción de abrir contenido RTF en Microsoft Word" : support.microsoft.com/kb/2953095

No soluciona el problema, tan sólo impide la apertura de archivos RTF y es un Fix It.

» autor: Marx

#127 Error muy grave en la seguridad de OpenSSL

vejeke — Tue, 08 Apr 2014 18:28:19 +0000

#120 Pésimo troll.

Claro, tú aún estabas en primaria y no sabes cómo fue aquello. Cuando había "un" ordenador por casa conectado a un módem ADSL con IP estática. La de risas que me cogía yo gracias al blaster y al puerto 4444.

PD: ¿La IP pública de tu router que hace NAT?

» autor: vejeke

#126 Error muy grave en la seguridad de OpenSSL

AlexVixgeck — Tue, 08 Apr 2014 18:12:47 +0000

#125 tu servidor

» autor: AlexVixgeck

#125 Error muy grave en la seguridad de OpenSSL

--320894-- — Tue, 08 Apr 2014 18:11:39 +0000

#124 y qué es lo que testeas???

» autor: --320894--

#124 Error muy grave en la seguridad de OpenSSL

AlexVixgeck — Tue, 08 Apr 2014 18:09:18 +0000

apt-get update && apt-get upgrade, y testeado con filippo.io/Heartbleed/. Todo guay

» autor: AlexVixgeck

#123 Error muy grave en la seguridad de OpenSSL

--347930-- — Tue, 08 Apr 2014 18:08:56 +0000

[Usuario deshabilitado]

» autor: --347930--

#122 Error muy grave en la seguridad de OpenSSL

--320894-- — Tue, 08 Apr 2014 18:06:10 +0000

#121 Me refiero a los routers, pero bueno, el cortafuegos de windows también vale, aunque sea bastante penoso

» autor: --320894--

#121 Error muy grave en la seguridad de OpenSSL

--125581-- — Tue, 08 Apr 2014 18:04:00 +0000

#120 "cortafuegos".

El de XP era de chiste. Los Zone Alarm y demás, también.

» autor: --125581--

#120 Error muy grave en la seguridad de OpenSSL

--320894-- — Tue, 08 Apr 2014 18:03:06 +0000

#117 pero qué puerta trasera amigo, si los equipos están todos detrás de cortafuegos . Yo si quieres te dejo un troyano escuchando en uno de mis puertos, y te digo la ip pública, a ver si consigues entrar jaja

» autor: --320894--

#119 Error muy grave en la seguridad de OpenSSL

--5160-- — Tue, 08 Apr 2014 17:59:49 +0000

#8 Richard stallman's seal of approval

» autor: --5160--

#118 Error muy grave en la seguridad de OpenSSL

Marx — Tue, 08 Apr 2014 17:55:53 +0000

#114 La seguridad por oscuridad no es seguridad porque el código no es tan importante para encontrar fallos sino más para arreglarlos. Si el código de windows no es público no es por seguridad sino por temas comerciales, propiedad y todo eso.

"no hay mejor test que el de dar todo el poder posible al atacante "

Eso sería verdad si después el atacante te contase el fallo pero el atacante se callará como una mona. Tú le das el poder y él lo usará sin decirte que ha encontrado un bug.

No conoces las políticas de Microsoft pero dices que son malas y obedecen a los intereses de la empresa. Muy bien.

"Los fix it no consisten en deshabilitar la dll afectada."

No, qué va. Por ejemplo, cuando hubo una vulnerabilidad con una imagen malintecionada que explotaba el fallo al generarse la miniatura de vista previa, el fix it deshabilitaba la dll encargada de generar las miniaturas.

Los fix it consisten en lo que consistan pero por lo general consisten en deshabilitar dlls, modificar el registro o en el caso del RTF, en impedir su apertura.

» autor: Marx

#117 Error muy grave en la seguridad de OpenSSL

vejeke — Tue, 08 Apr 2014 17:49:09 +0000

#75 ¿Y la puerta trasera que dejaba instalada el blaster dando a cualquiera la posibilidad de acceso remoto total sobre tu equipo?

Cierto, no es para nada comparable. Con este bug "sólo" se puede leer parte de la memoria. Además, es un fallo de una librería multiplataforma. No el fallo de un sistema operativo concreto.

Hazte un favor y vete a tomarte un café. Que llevas un buen rato haciendo el ridículo.

cc #71

» autor: vejeke

#116 Error muy grave en la seguridad de OpenSSL

Overmind — Tue, 08 Apr 2014 17:42:26 +0000

#3 Perdón por el negativo, he pulsado el botoncito por error...

» autor: Overmind

#115 Error muy grave en la seguridad de OpenSSL

Bley — Tue, 08 Apr 2014 17:40:51 +0000

#24

» autor: Bley

#114 Error muy grave en la seguridad de OpenSSL

--347930-- — Tue, 08 Apr 2014 17:37:51 +0000

[Usuario deshabilitado]

» autor: --347930--

#113 Error muy grave en la seguridad de OpenSSL

Marx — Tue, 08 Apr 2014 17:33:19 +0000

#111 Entre la corrección pasa un tiempo que -siendo tan fácil encontrar los fallos gracias al código según afirmas- los atacantes aprovechan para explotar. Por ejemplo este en concreto lleva desde 2011 o 2012, al menos dos años para explotar. Por contra, en soft privativo dices que es más difícil de encontrar fallos, por ende, si no se encuentran no se pueden explotar.

Los fallos graves no esperan al segundo martes de cada mes.

Microsoft lo que debe es darte detalles de cómo protegerte, no de cómo explotar el fallo para que los hackers que todavía no conozcan el problema lo exploten antes de haber un parche. Todo para que la mayoría ni siquiera entienda dichos detalles.

Los fixt it normalmente consisten en deshabilitar la dll afectada, si la dll no está habilitada, el fallo no se puede explotar; o en el caso del primer enlace, impedir la apertura de un rtf, si no se puede abrir, ya me dirás cómo te infectas abriendo contenido rtf.

El último enlace muestra como efectivamente Microsoft calla mientras no hay parche.

» autor: Marx

#112 Error muy grave en la seguridad de OpenSSL

--7636-- — Tue, 08 Apr 2014 17:32:59 +0000

Yo por eso uso Windows XP

» autor: --7636--

#111 Error muy grave en la seguridad de OpenSSL

--347930-- — Tue, 08 Apr 2014 17:23:30 +0000

[Usuario deshabilitado]

» autor: --347930--

#110 Error muy grave en la seguridad de OpenSSL

Marx — Tue, 08 Apr 2014 17:14:51 +0000

#106 Go to a leer mejor mi comentario, espera que te lo resalto: Microsoft no al menos con detalles que te ayuden a explotarlo.

Mira los fix it que te bloquean el fallo mientras no hay parche.

Y lee su último enlace que puso.

Si tan necesario es el código para encontrar fallos, entonces con el soft privado lo tienen más difícil ¿no?

» autor: Marx

#109 Error muy grave en la seguridad de OpenSSL

--347930-- — Tue, 08 Apr 2014 17:10:08 +0000

[Usuario deshabilitado]

» autor: --347930--

#108 Error muy grave en la seguridad de OpenSSL

Taliesin — Tue, 08 Apr 2014 17:08:14 +0000

#99 Pues depende, hay algunas vulnerabilidades que al ser explotadas dejan rastro (que se puede o no eliminar) y otras que no.

Si, por ejemplo, descubro tu contraseña de Menéame (vulnerabilidad) y entro con ella en el sistema, en algún sitio se va a quedar almacenado mi hora de login y mi IP como poco (rastro). Si no tengo acceso a los logs de Menéame y no puedo borrar esa información, más tarde se podrá comprobar si alguien se ha conectado usando tu cuenta desde una IP no habitual.

Es un ejemplo tonto, pero igual se entiende.

» autor: Taliesin

#107 Error muy grave en la seguridad de OpenSSL

--125581-- — Tue, 08 Apr 2014 17:06:43 +0000

#103 "Nadie utiliza OpenBSD"

Cientos de firewalls en el mundo usan OpenBSD y PF. Yo no hablaría tanto a la ligera. Y OpenSSH viene de ahí, nos guste o no.

Y en corporaciones GORDAS usan OpenBSD como escritorio, con parches de seguridad creados al vuelo, junto con otros capados, impidiendo que nada se ejecute de forma física.

» autor: --125581--

#106 Error muy grave en la seguridad de OpenSSL

--347930-- — Tue, 08 Apr 2014 17:06:35 +0000

[Usuario deshabilitado]

» autor: --347930--

#105 Error muy grave en la seguridad de OpenSSL

Marx — Tue, 08 Apr 2014 17:05:08 +0000

#95 Los errores rara vez se encuentra mirando el código, si fuese tan importante el código para encontrar bugs entonces el soft privativo sería más seguro porque no hay código en el que buscar.

Los miles de ojos son más un mito que otra cosa y bugs en soft privativo a pesar de no haber código se descubren bastantes.

El código es útil para después arreglar el problema.

#99 Vaya, entonces Microsoft no esconde nada.

Que te enteres no significa que Microsoft publique el fallo antes de ser arreglado, no al menos con detalles que te ayuden a explotarlo. Es la norma ya sea en soft libre o privado.

» autor: Marx

#104 Error muy grave en la seguridad de OpenSSL

--125581-- — Tue, 08 Apr 2014 17:05:03 +0000

#103 ¿Te crees que en CentOS (Ahora RHEL) no cogían las correcciones de seguridad de Red Hat?

Si piensas que los paquetes de RH son "vanilla", estás bastante equivocado.

De hecho en RHEL6/ScientificLinux recuerdo que usaban un kernel 2.6 con todos los drivers del 3.8 "backporteados".

» autor: --125581--

#103 Error muy grave en la seguridad de OpenSSL

--320894-- — Tue, 08 Apr 2014 17:03:42 +0000

#101 Nadie utiliza OpenBSD. Casi todos los servidores montan Ubuntu, Debian o CentOS y todos tienen el mismo problema. Los que mantienen los paquetes son los únicos que miran el código, así que estos bugs pueden estar en todas partes

» autor: --320894--

#102 Error muy grave en la seguridad de OpenSSL

kahun — Tue, 08 Apr 2014 17:01:50 +0000

#93 Me parece a mi que no estas muy puesto, hay vulnerabilidades que se reportan a Microsoft y que incluso están siendo explotadas activamente que tardan meses en ser corregidas:

unaaldia.hispasec.com/2014/03/microsoft-publica-una-alerta-por-una.htm
unaaldia.hispasec.com/2012/09/grave-vulnerabilidad-sin-parche-en.html
unaaldia.hispasec.com/2010/01/tras-la-grave-vulnerabilidad-detectada.h

» autor: kahun

#101 Error muy grave en la seguridad de OpenSSL

--125581-- — Tue, 08 Apr 2014 17:01:21 +0000

#100 Los de OpenBSD quiere discutir ciertas cosas contigo, sobre todo en las aplicaciones que empaquetan y parchean.

Prácticamente todo está compilado contra strlcpy, eso para empezar.

» autor: --125581--

#100 Error muy grave en la seguridad de OpenSSL

--320894-- — Tue, 08 Apr 2014 17:00:40 +0000

#95 y las públicas acaso las sabes? venga anda, no me hagas reír. No se realiza una auditoría a nivel de código prácticamente en ninguna aplicación de software libre, así que casi que es el mismo problema que el software privativo. En uno el problema es la oscuridad y nadie puede ver, y en el otro hay luz pero todos son ciegos

» autor: --320894--

#99 Error muy grave en la seguridad de OpenSSL

--347930-- — Tue, 08 Apr 2014 16:59:16 +0000

[Usuario deshabilitado]

» autor: --347930--

#98 Error muy grave en la seguridad de OpenSSL

--125581-- — Tue, 08 Apr 2014 16:58:52 +0000

#62 "En actualizar OpenSSL no se deben de preocupar (porque no lo tienen instalado). Ni el navegador."

Claro, por eso mi cliente de correo, Alpine, depende de OpenSSL. Te recuerdo que es una librería y tal.
(libssl)

» autor: --125581--

#97 Error muy grave en la seguridad de OpenSSL

Taliesin — Tue, 08 Apr 2014 16:57:47 +0000

#91 Por eso lo pongo entre comillas.

Si quieres, digamos que se trata de una violación de un sistema aprovechando una vulnerabilidad. ¿Mejor?

De todas formas, llevarte una bici sin candado sigue siendo robar, así que... sed buenos y no os aprovechéis de las vulnerabilidades ajenas. Eso es de script kiddies.

» autor: Taliesin

#96 Error muy grave en la seguridad de OpenSSL

Marx — Tue, 08 Apr 2014 16:55:37 +0000

#86 No lo has entendido, Microsoft calla mientras no hay parche y lo publica cuando ya hay parche para que todos se enteren y actualicen.

Pero esto también se hace con el soft libre, no es la primera vez que sale la corrección de un error antes de ser "encontrado" (en realidad publicado). Recuerdo uno de Firefox en el que todos aplaudían lo rápido que eran "corrigiendo fallos".

» autor: Marx

#95 Error muy grave en la seguridad de OpenSSL

kahun — Tue, 08 Apr 2014 16:53:54 +0000

#89 Si tuvieras razón jamás se hubiese descubierto el problema: "Thanks for Neel Mehta of Google Security for discovering this bug and to Adam Langley <agl@chromium.org> and Bodo Moeller <bmoeller@acm.org> for preparing the fix." www.openssl.org/news/secadv_20140407.txt

Ahora pregúntate cuantas aplicaciones privativas son vulnerables y nunca se sabrá públicamente.

» autor: kahun

#94 Error muy grave en la seguridad de OpenSSL

Taliesin — Tue, 08 Apr 2014 16:53:41 +0000

#89 Y tienes razón en que el código nadie lo mira (o más bien sólo el 0.001% de los usuarios), pero es que en el caso del software propietario, ni siquiera es posible.

Insisto, un software no es más seguro por ser libre o no. La oscuridad no es sinónimo de seguridad.

» autor: Taliesin

#93 Error muy grave en la seguridad de OpenSSL

--292091-- — Tue, 08 Apr 2014 16:52:48 +0000

#86 Yo te explico, no te preocupes. El código de Windows es cerrado, cuando ellas detectan un error, no dicen nada porque si lo dijeran lo atacarían. Cuando lo tienen solventado te dan la actualización y te publican un informe con la vulnerabilidad resuelta. El problema es que la gente no se mantiene actualizada y claro, ese informe en las manos de un maleante, hace que se aproveche de la vulnerabilidad de aquellas personas que no la han solventado actualizando. ¿Lo has entendido ahora? Y vuelvo a reiterar que a mi Windows no me gusta, ni lo uso. Porque aquí parece que si dices algo a favor de windows ya eres un ser despreciable.

» autor: --292091--

#92 Error muy grave en la seguridad de OpenSSL

--125581-- — Tue, 08 Apr 2014 16:52:14 +0000

#89 Con el final de soporte de XP verás que tu que pifostio se monta al no tener ni código fuente disponible siquiera.

» autor: --125581--

#91 Error muy grave en la seguridad de OpenSSL

--347930-- — Tue, 08 Apr 2014 16:51:52 +0000

[Usuario deshabilitado]

» autor: --347930--

#90 Error muy grave en la seguridad de OpenSSL

Taliesin — Tue, 08 Apr 2014 16:50:07 +0000

#89 El problema ocurrido no tiene mucho que ver con que el software sea libre o no, sino que se trata de un error de programación o implementación con consecuencias graves. Todo el software tiene bugs, independientemente de si es libre o no.

La diferencia es que un software no-libre, del que no tienes código, es una caja negra y no sabes lo que hay dentro. Puede que haya los mismos errores, o más, que en un software libre, pero dependes de la compañía que te ha vendido el producto para su corrección. En el caso del software libre, la corrección de la vulnerabilidad viene de la mano de la publicación de la misma.

Si no, piensa en la de veces que se ha publicado una vulnerabilidad de Windows, Acrobar Reader,... y han tardado días (o más) en corregirlas.

» autor: Taliesin

#89 Error muy grave en la seguridad de OpenSSL

--320894-- — Tue, 08 Apr 2014 16:44:48 +0000

#88 Para que luego digan que el software libre es más seguro. Yo diría más bien al contrario, porque crea falsa sensación de seguridad, al igual que los antivirus. El código está ahí, lo puedes ver, pero a la hora de la verdad, nadie lo mira. TrueCrypt es otro gran ejemplo de esto

» autor: --320894--

#88 Error muy grave en la seguridad de OpenSSL

Taliesin — Tue, 08 Apr 2014 16:43:10 +0000

#84 En realidad, lleva en el código desde diciembre de 2011 y está "en la calle" desde la versión OpenSSL 1.0.1 de marzo de 2012, pero se ha publicado ahora. Otra cosa es que alguien lo haya descubierto en algún momento desde el 2012 y lo haya estado usando en su beneficio, y sin dejar rastro.

Casi nada, dos años de "too many secrets"...

» autor: Taliesin

#87 Error muy grave en la seguridad de OpenSSL

Taliesin — Tue, 08 Apr 2014 16:39:45 +0000

#81 Según dicen, el "ataque" no deja rastros, así que no se puede saber si un sistema se ha visto comprometido.

» autor: Taliesin

#86 Error muy grave en la seguridad de OpenSSL

--125581-- — Tue, 08 Apr 2014 16:35:45 +0000

#84 " Windows lo que hace es detectar, callarse la boca, solucionarlo y luego ya publica un informe que lo usan los "malvados" para atacar a quien no se actualiza."

Ya, claro. Mejor callarse para que los usuarios sin actualizar no protejan el servicio de alguna forma y después los "malvados" hagan y deshagan riéndose de MS.

» autor: --125581--

#85 Error muy grave en la seguridad de OpenSSL

--198199-- — Tue, 08 Apr 2014 16:35:18 +0000

#25 Si apago el servidor no puedo actualizar nada.

» autor: --198199--

#84 Error muy grave en la seguridad de OpenSSL

--292091-- — Tue, 08 Apr 2014 16:33:47 +0000

#76 Pa los listos que votan negativo porque no les gusta lo que oyen, debo decir que este bug fue encontrado en diciembre de 2011, y publicado en en marzo de 2012 y hasta ayer día 7 de abril de 2014 no se ha resuelto. Windows lo que hace es detectar, callarse la boca, solucionarlo y luego ya publica un informe que lo usan los "malvados" para atacar a quien no se actualiza.

Y esto no lo digo para defender a Windows, que sobra decir que no me gusta. Simplemente relato una realidad que alguien ha dicho de forma errónea. A partir de ahí que cada uno haga lo que quiera.

» autor: --292091--

#83 Error muy grave en la seguridad de OpenSSL

Marx — Tue, 08 Apr 2014 16:29:50 +0000

#26 Vaya, peor aún

#34 Algo falla cuando a "miles de ojos" se les escapan fallos con tantos años y con más años aún como uno que salió hace unos meses que creo que era de 2007, o el otro de openssl de 2008 descubierto en 2013...

#81 Sólo puede leer 64KB y 64KB y 64KB de forma reiterativa de tal modo que obtienes bastante más que esos 64KB

» autor: Marx

#82 Error muy grave en la seguridad de OpenSSL

--122466-- — Tue, 08 Apr 2014 16:15:31 +0000

[Usuario deshabilitado]

» autor: --122466--

#81 Error muy grave en la seguridad de OpenSSL

--347930-- — Tue, 08 Apr 2014 16:11:52 +0000

[Usuario deshabilitado]

» autor: --347930--

#80 Error muy grave en la seguridad de OpenSSL

RubenC — Tue, 08 Apr 2014 16:01:48 +0000

#78 Jeje tranqui, a todos se nos ha ido la mano y según pinchamos hemos dicho "ups"

» autor: RubenC

#79 Error muy grave en la seguridad de OpenSSL

Avantasia — Tue, 08 Apr 2014 16:00:55 +0000

Sigo diciendo que perdéis el fondo del asunto, el caso no es si afecta/no afecta a X o a Y o si han tardado 0 o 0,1 en parchearlo, el fondo es que la información YA está comprometida, las pass de los servicios que usamos todos, el cifrado de las comunicaciones que hemos dado por sentado que estaban seguras.

Afecta a todo dios, el que no lo vea es que está un poco cegato

» autor: Avantasia

#78 Error muy grave en la seguridad de OpenSSL

tarantino — Tue, 08 Apr 2014 16:00:48 +0000

#74 siento el negativo, me he liado con los botones

Algo hace el arreglo, pero nada comparado con todo el trabajo que ha llevado avisar y que va a llevar actualizar...

» autor: tarantino

#77 Error muy grave en la seguridad de OpenSSL

--320894-- — Tue, 08 Apr 2014 15:59:58 +0000

#72 otro que no se entera. Twitter ya corrigió la vulnerabilidad. Ve corriendo ya a cambiar tu contraseña, que seguro que todos los que están aquí ya lo hicieron

» autor: --320894--

#76 Error muy grave en la seguridad de OpenSSL

--292091-- — Tue, 08 Apr 2014 15:59:19 +0000

#5 "En todo caso, en el mundo linux las vulnerabilidades se pueden subsanar tan pronto como se detectan"

Como en todos los sistemas operativos. Es más me atrevería a decir que en Linux cuesta más. Porque en Linux primero se dice la vulnerabilidad y luego se arregla. En Windows por ejemplo se corrige y luego se explica con detalle, publican informes y todo. Momento que usan los creadores de virus y hackers para aprovechar la vulnerabilidad de los incautos que no se han instalado la actualización que resuelve el problema.

» autor: --292091--

#75 Error muy grave en la seguridad de OpenSSL

--320894-- — Tue, 08 Apr 2014 15:58:54 +0000

#71 Esto es mucho peor. Con el blaster lo máximo que te pasaba es que te apagan el equipo. Con este bug, las credenciales de la gente están seriamente amenazadas (intimidad de la gente, dinero etc). No es nada comparable

» autor: --320894--

#74 Error muy grave en la seguridad de OpenSSL

RubenC — Tue, 08 Apr 2014 15:57:56 +0000

#70 Hombre.. es algo más que un true/goto/false/return

» autor: RubenC

#73 Error muy grave en la seguridad de OpenSSL

--320894-- — Tue, 08 Apr 2014 15:56:26 +0000

#69 la vulnerabilidad lleva ahí desde hace años. A saber cuánta pasta han ganado aprovechando ese bug

» autor: --320894--

#72 Error muy grave en la seguridad de OpenSSL

daniol — Tue, 08 Apr 2014 15:56:08 +0000

Que nadie use Yahoo ni Twitter!

filippo.io/Heartbleed/#yahoo.com
filippo.io/Heartbleed/#twitter.com

y así un largo etc.

» autor: daniol

#71 Error muy grave en la seguridad de OpenSSL

--125581-- — Tue, 08 Apr 2014 15:55:53 +0000

#68 " estamos hablando de un bug tremendo, a nivel blaster o sasser en sistemas Microsoft, o aún peor. "

No flipes, el Blaster caía con conectar el XP a la red antes de instalarlo . Con Ubuntu directamente te estoy hablando desde clase en uno de ellos.

Estás comparando una gripe con un cáncer terminal.

» autor: --125581--

#70 Error muy grave en la seguridad de OpenSSL

tarantino — Tue, 08 Apr 2014 15:54:56 +0000

El código del arreglo. Como siempre pasa con estas cosas bastante tonto:
git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=96db902

» autor: tarantino

#69 Error muy grave en la seguridad de OpenSSL

--347930-- — Tue, 08 Apr 2014 15:52:14 +0000

[Usuario deshabilitado]

» autor: --347930--

#68 Error muy grave en la seguridad de OpenSSL

--320894-- — Tue, 08 Apr 2014 15:50:55 +0000

estamos hablando de un bug tremendo, a nivel blaster o sasser en sistemas Microsoft, o aún peor. Aquello todavía se recuerda. Esto se olvidará mañana.

» autor: --320894--

#67 Error muy grave en la seguridad de OpenSSL

edetano — Tue, 08 Apr 2014 15:49:42 +0000

#4 La actualización está disponible desde antes de la noticia.

root@Clavicordio:/home/clavicordio# apt-get update && apt-get upgrade
Leyendo lista de paquetes... Hecho
Creando árbol de dependencias
Leyendo la información de estado... Hecho

Se actualizarán los siguientes paquetes:
libssl1.0.0 openssh-client openssl

» autor: edetano

#66 Error muy grave en la seguridad de OpenSSL

--320894-- — Tue, 08 Apr 2014 15:49:27 +0000

#65 correcto. Pero revisa la conversación desde el principio y comprueba cómo se fue desviando el tema hacia los intereses de los propios fanboys. Lástima que la mayoría han terminado huyendo despavoridos. Ejemplo, la crítica de #21 es falsa, pero sin embargo es al mismo tiempo aplaudida porque se postula a favor de la comunidad del software libre. Lástima la cantidad de fanboys que hay en menéame

» autor: --320894--

#65 Error muy grave en la seguridad de OpenSSL

--23321-- — Tue, 08 Apr 2014 15:45:53 +0000

#39 no es necesario que tu ejecutes nada. Si los servidores a los que te conectas tienen una versión vulnerable de OpenSSL tus datos en ese servidor pueden ser comprometidos.

» autor: --23321--

#64 Error muy grave en la seguridad de OpenSSL

--320894-- — Tue, 08 Apr 2014 15:43:07 +0000

#61 y #63 vuestro sitio está en forocoches. Allí seréis bienvenidos

» autor: --320894--

#63 Error muy grave en la seguridad de OpenSSL

Lito — Tue, 08 Apr 2014 15:41:38 +0000

#62 sí, sí... "Los que deben preocuparse son los administradores de sistema, que deben actualizar OpenSSL urgentemente a la versión 1.0.2 en todos los servidores y volver a generar los certificados. Nada más que eso. Los usuarios no tienen que hacer nada."

» autor: Lito

#62 Error muy grave en la seguridad de OpenSSL

--320894-- — Tue, 08 Apr 2014 15:40:20 +0000

#59 En actualizar OpenSSL no se deben de preocupar (porque no lo tienen instalado). Ni el navegador. Eso es de lo que hablo. Sin embargo, vas leyendo lo que te parece, y así es más fácil rebatirme

#58 se va por la tangente, rectifica y luego llora. :megaroll

» autor: --320894--

#61 Error muy grave en la seguridad de OpenSSL

--127714-- — Tue, 08 Apr 2014 15:39:11 +0000

#57 y eso nos lleva al lado oscuro...

» autor: --127714--

#60 Error muy grave en la seguridad de OpenSSL

Mallorquina — Tue, 08 Apr 2014 15:39:05 +0000

Una pregunta de novata:
- ¿La velocidad en corregir el problema es porque ya estaban avisados y trabajando en ello, o en realidad lo han resuelto "al vuelo" tras ser avisados?

» autor: Mallorquina

#59 Error muy grave en la seguridad de OpenSSL

Lito — Tue, 08 Apr 2014 15:39:02 +0000

#51 #54 solemne estupidez. Los que deben preocuparse SON TODO LOS USUARIOS DE INTERNET ya que sus datos han estado expuestos durante dos años a quien conociera el bug. Seas administrador o no, tus usuarios y contraseñas pueden estar comprometidas, y si te preocupa la seguridad deberías cambiarlas. Lo dicho, no tienes ni idea de lo que comentas.

» autor: Lito

#58 Error muy grave en la seguridad de OpenSSL

Jakeukalane — Tue, 08 Apr 2014 15:37:44 +0000

edit.

» autor: Jakeukalane

#57 Error muy grave en la seguridad de OpenSSL

--320894-- — Tue, 08 Apr 2014 15:37:21 +0000

#56 Eso sí, pero vuelvo a repetir que el usuario no utiliza OpenSSL en su equipo. Si lo hiciera, tendría que actualizar el navegador también. Y no lo hace. Por ende, aquí la mayoría de la gente miente. Y cuando miente, es porque ha perdido. Y cuando ha perdido, la única escapatoria que le queda es el insulto (véase #54 y #55)

» autor: --320894--

#56 Error muy grave en la seguridad de OpenSSL

davisdmg — Tue, 08 Apr 2014 15:35:13 +0000

#51 que si que si, pero que yo cambiaria todas mis contraseñas de las webs con ssl en las que haya logueado hoy, solo por si acaso

» autor: davisdmg

#55 Error muy grave en la seguridad de OpenSSL

--127714-- — Tue, 08 Apr 2014 15:35:02 +0000

#39 eres mu tonto.

» autor: --127714--

#54 Error muy grave en la seguridad de OpenSSL

--320894-- — Tue, 08 Apr 2014 15:34:28 +0000

#52 Revísatelo por favor. Yo solo digo que la gente no utiliza OpenSSL en sus clientes. Ver #51

» autor: --320894--

#53 Error muy grave en la seguridad de OpenSSL

--127714-- — Tue, 08 Apr 2014 15:34:20 +0000

#46 ¿Por qué te crees que se ha llegado a tan bajo nivel en el hacking de los chips de Intel? ¿Por qué crees que Joanna Rutkowska hackea intel y no mipsel? No es más seguro, es menos mainstream.

» autor: --127714--

#52 Error muy grave en la seguridad de OpenSSL

Lito — Tue, 08 Apr 2014 15:33:03 +0000

#39 qué tendrán que ver tus binarios para Windows con la versión OpenSSL que se ejecute en el servidor al que te conectas. El problema está en el servidor no en tus binarios (que también pueden disponer del bug).

Para este comentario sólo puedo decir ...

» autor: Lito

#51 Error muy grave en la seguridad de OpenSSL

--320894-- — Tue, 08 Apr 2014 15:32:29 +0000

#47 #48 Me estáis dando la razón. Los que deben preocuparse son los administradores de sistema, que deben actualizar OpenSSL urgentemente a la versión 1.0.2 en todos los servidores y volver a generar los certificados. Nada más que eso. Los usuarios no tienen que hacer nada. Ni siquiera actualizar el navegador.

Por favor, dejad de engañar a la gente

» autor: --320894--

#50 Error muy grave en la seguridad de OpenSSL

jorgedlcruz — Tue, 08 Apr 2014 15:31:18 +0000

Buenas tardes, para corregir el problema en un servidor de Correo Zimbra - t.co/xWezbU2Bbh (Sí es mi Blog, pero escribo cada día acerca de Zimbra) Espero os ayude a corregir este problema.

Un saludo

» autor: jorgedlcruz

#49 Error muy grave en la seguridad de OpenSSL

--15092-- — Tue, 08 Apr 2014 15:30:44 +0000

#44 No lo hice intencionadamente, no lo había visto.
#45 peleeea peleeeeea!

» autor: --15092--

#48 Error muy grave en la seguridad de OpenSSL

--125581-- — Tue, 08 Apr 2014 15:29:55 +0000

#39 Windows usa OpenSSL internamente. Tus juegos y aplicaciones, también.

» autor: --125581--

#47 Error muy grave en la seguridad de OpenSSL

davisdmg — Tue, 08 Apr 2014 15:29:19 +0000

#39 vale, no estabas de coña. Que mas da lo que tu ejecutes o dejes de ejecutar? Te has leido en que consiste el 0day?

Para ponerte un ejemplo:

Te logueas en brazzers con tu user y tu pass, el servidor almacena tu cookie y/o tu peticion de login (desde tu windows, por supuesto) en su memoria ram. Llega un listo con un script y se vuelca parte de la memoria del servidor de Brazzers en su pc. Se pone a leerla y BINGO! Ahi estan tus credenciales

» autor: davisdmg

#46 Error muy grave en la seguridad de OpenSSL

--125581-- — Tue, 08 Apr 2014 15:29:19 +0000

#41 Si quieres seguridad, es lo que hay. En las ultimas CPU de Intel, en la BIOS, se permite un acceso remoto. No me fio.

» autor: --125581--

#45 Error muy grave en la seguridad de OpenSSL

Cuñado — Tue, 08 Apr 2014 15:29:13 +0000

#8 ¿Qué cojones tiene que ver Linux con Hurd?

» autor: Cuñado

#44 Error muy grave en la seguridad de OpenSSL

conversador — Tue, 08 Apr 2014 15:28:24 +0000

#37 Ya me he disculpado en #15. Tampoco hay que ensañarse

» autor: conversador

#43 Error muy grave en la seguridad de OpenSSL

--222052-- — Tue, 08 Apr 2014 15:27:58 +0000

[Usuario deshabilitado]

» autor: --222052--

#42 Error muy grave en la seguridad de OpenSSL

Shotokax — Tue, 08 Apr 2014 15:26:50 +0000

#40

» autor: Shotokax

#41 Error muy grave en la seguridad de OpenSSL

--127714-- — Tue, 08 Apr 2014 15:25:58 +0000

#36 JAJAJA, adoro tu MIPSEL siempre acaba saliendo

» autor: --127714--

#40 Error muy grave en la seguridad de OpenSSL

dogday — Tue, 08 Apr 2014 15:24:49 +0000

#13, la vecina de #11 tiene una prima en Tarragona.

» autor: dogday

#39 Error muy grave en la seguridad de OpenSSL

--320894-- — Tue, 08 Apr 2014 15:24:38 +0000

#27 #29 #30 #31 que yo sepa los binarios de OpenSSL para windows están aquí:

www.openssl.org/related/binaries.html

y yo no los ejecuto para conectarme a páginas HTTPS. Si lo haces tú, enhorabuena. Escríbelo en tu blog y luego envíalo a menéame que seguro que te lo publican, dado el nivel intelectualoide que pulula por aquí

» autor: --320894--

#38 Error muy grave en la seguridad de OpenSSL

--1479-- — Tue, 08 Apr 2014 15:24:22 +0000

Este error sigue al de GNuTLS: www.meneame.net/story/linux-bug-critico-compromete-cientos-applicacion

De hecho, en los comentarios de la otra, alguna gente se alegraba de tener la opción de usar OpenSSL (www.meneame.net/story/linux-bug-critico-compromete-cientos-applicacion)

Lo preocupante es que en los últimos meses se han visto comprometidos todos los cifrados de prácticamente todos los sistemas operativos. Aunque creo que este es el más grave, teniendo en cuenta que es una librería que se usará en cantidad de servidores de internet.

Es muy difícil saberlo, pero de descubrirse que la NSA está detrás de todos estos fallos, la cosa sería muy preocupante...

» autor: --1479--

#37 Error muy grave en la seguridad de OpenSSL

--15092-- — Tue, 08 Apr 2014 15:24:09 +0000

#4 y yo creía que no quedaba gente tan burra para confundir una licencia de software y un nucleo de SO, pero así es la vida.

» autor: --15092--

#36 Error muy grave en la seguridad de OpenSSL

--125581-- — Tue, 08 Apr 2014 15:21:40 +0000

#35 "esto demuestra una vez más que todos los sistemas están troyanizados "

Si quieres algo seguro te bajas OpenBSD y te dejas de paranoias.

Y sobre todo en un PC que no sea Intel.

Un MIPSEL de Longsoon o un PowerMac G4 es perfecto en plan de seguridad.

» autor: --125581--

#35 Error muy grave en la seguridad de OpenSSL

--127714-- — Tue, 08 Apr 2014 15:20:58 +0000

#32 Hoy sí me da para flame... El tema de que mil ojos ven más que 2 es muy recurrente en el OS, esto demuestra una vez más que todos los sistemas están troyanizados y da lo mismo que sea abierto o cerrado.

» autor: --127714--

#34 Error muy grave en la seguridad de OpenSSL

RivaSilvercrown — Tue, 08 Apr 2014 15:20:29 +0000

#23 el problema es que no había sido detectado antes y hoy ha sido cuando han empezado a aparecer pruebas de concepto con el codigo del exploit... Es decir, antes habría gente que lo usaría pero, desde luego, mucha menos que lo que lo estará haciendo hoy con la información que se ha publicado.

» autor: RivaSilvercrown

#33 Error muy grave en la seguridad de OpenSSL

--127714-- — Tue, 08 Apr 2014 15:20:08 +0000

#17 du-dum dsh!!

» autor: --127714--

#32 Error muy grave en la seguridad de OpenSSL

--125581-- — Tue, 08 Apr 2014 15:19:01 +0000

Primero GNUTLS y ahora OpenSSL

En OpenBSD ya lo han corregido

undeadly.org/cgi?action=article&sid=20140408063423

» autor: --125581--

#31 Error muy grave en la seguridad de OpenSSL

davisdmg — Tue, 08 Apr 2014 15:14:10 +0000

#24 espero que estés siendo sarcástico. En ese caso tienes mis dies.

» autor: davisdmg

#30 Error muy grave en la seguridad de OpenSSL

--23321-- — Tue, 08 Apr 2014 15:09:24 +0000

#24 el 99% del que hablas lo usan cada día al entrar en facebook, linkedin, gmail etc.

» autor: --23321--

#29 Error muy grave en la seguridad de OpenSSL

Lito — Tue, 08 Apr 2014 15:05:36 +0000

#24 #27 ni tampouco nunca ha consultado ninguna web bajo HTTPS ni siquiera se ha conectado a ningún servidor de correo con seguridad bajo SSL.

» autor: Lito

#28 Error muy grave en la seguridad de OpenSSL

Sheldon_Cooper — Tue, 08 Apr 2014 15:04:55 +0000

#13 OpenSSL es una librería, la mas usada para SSL, como zlib lo es para el formato Zip. Lo que significa que esto afecta a miles de programas de Linux, pero también de Windows, de Mac OS, de iOS y de Android. Y de OS/2, y de BeOS y Haiku, y ... podria seguir horas. OpenSSL lo usa todo cristo. Por no hablar de casi todos los servidores, tanto web, como de correo, muchos servers de juegos (suelen usar ssl para el login al menos). Creo que gmail y otros servidores de correo se libran por usar TLS.

» autor: Sheldon_Cooper

#27 Error muy grave en la seguridad de OpenSSL

dale — Tue, 08 Apr 2014 15:01:56 +0000

#24 ¿quieres decir que jamás te conectas a servidores que corran Apache?

» autor: dale

#26 Error muy grave en la seguridad de OpenSSL

CapitanObvio — Tue, 08 Apr 2014 15:01:07 +0000

#23 Diciembre de 2011:

heartbleed.com/

» autor: CapitanObvio

#25 Error muy grave en la seguridad de OpenSSL

Lito — Tue, 08 Apr 2014 14:59:08 +0000

Es un bug gravísimo que lleva desde 2012 y que se ha descubierto esta semana.

Las versiones afectadas de OpenSSL (usado por el 70% de los servidores en Internet) van desde la 1.0.1 hasta la 1.0.1f. La versión 1.0.1g ha sido publicada ayer y puede ser instalada a través de estos PPA si usas ubuntu: launchpad.net/~george-edison55/+archive/openssl-heartbleed-fix

Las recomendaciones genéricas son APAGA TU SERVIDOR, ACTUALIZA, REGENERA LOS CERTIFICADOS SSL Y ENCIENDE.

Esto es un puto coñazo (regenerar los certificados de todos los servidores), pero como mínimo sí se debe actualizar cuanto antes a OpenSSL 1.0.1g y reiniciar todos los servicios asociados a SSL o simplemente reiniciar el servidor.

Que quiere decir que el bug exista desde 2012? Pués que todos los usuarios, contraseñas e información sensible que has usado desde esa fecha estuvieron expuestos a quién conocía el bug y ninguno de esos datos podrían ya ser seguros.

Creo que es el bug más crítico asociado a servidores y seguridad de las comunicaciones desde hace muuuuucho tiempo.

» autor: Lito

#24 Error muy grave en la seguridad de OpenSSL

--320894-- — Tue, 08 Apr 2014 14:50:48 +0000

#21 Lo utilizarás tú, porque yo no tengo OpenSSL en mi Windows. Y estoy convencido que el 99% tampoco lo usa

» autor: --320894--

#23 Error muy grave en la seguridad de OpenSSL

Marx — Tue, 08 Apr 2014 14:36:23 +0000

#12 #16 Bueno, "tan solo" lleva ahí desde marzo de 2012.

» autor: Marx

#22 Error muy grave en la seguridad de OpenSSL

derethor — Tue, 08 Apr 2014 13:51:07 +0000

para los garrulos que se rien de linux (y los fanboys de linux que hacen el ridiculo)

Linux es de código abierto. Esto quiere decir que muchos ojos pueden descubrir lo que hay ahí, revisarlo, crear entornos controlados de compilacion, escribir parches y mejoras, etc.

Obiamente, no quita que tenga bugs, defender que linux es la leche de bien hecho no tiene sentido, y hay muchas partes manifiestamente mejorables.

Pero lo que pone de manifiesto el bug es que se puede solucionar, se descubre, y colectivamente se puede buscar una solucion. Al darle publicidad al asunto, es más fácil atacar usando el bug, pero más probable que los sysadmins se defiendan correctamente.

» autor: derethor

#21 Error muy grave en la seguridad de OpenSSL

Nova6K0 — Tue, 08 Apr 2014 13:49:56 +0000

#13 Ahora es cuando sales de Fantasía y te enteras que OpenSSL también lo hay y se usa en Windows. No en vano lo bueno que tiene el software libre es que cualquiera, con conocimientos, puede parchear una aplicación que haya creado otro y con el software privativo necesitas esperar a que la empresa de turno, o persona que haya desarrollado la susodicha, lo haga.

Por cierto en Ubuntu/Kubuntu ya está parcheado. Kubuntu desde ayer.

Salu2

» autor: Nova6K0

#20 Error muy grave en la seguridad de OpenSSL

kumo — Tue, 08 Apr 2014 13:40:43 +0000

#13 La diferencia es que hay distros ddonde a día de hoy ya se ha enviado el parche.

» autor: kumo

#19 Error muy grave en la seguridad de OpenSSL

rootzero — Tue, 08 Apr 2014 13:39:00 +0000

Un script en Python para comprobar el fallo o para tocarlo un poco y hacer cosas más divertidas.
s3.jspenguin.org/ssltest.py

» autor: rootzero

#18 Error muy grave en la seguridad de OpenSSL

ezpara — Tue, 08 Apr 2014 13:34:21 +0000

#4 Apache y OpenSSl se pueden instalar en windows y seguramente en OSX. Es una vulnerabilidad de aplicación no de sistema operativo.

» autor: ezpara

#17 Error muy grave en la seguridad de OpenSSL

casty — Tue, 08 Apr 2014 13:31:33 +0000

#8 No lo sé, pero yo diría que el Kernel de Linux es precisamente la parte de GNU/Linux que no es GNU

» autor: casty

#16 Error muy grave en la seguridad de OpenSSL

Avantasia — Tue, 08 Apr 2014 13:20:05 +0000

#12 Ja, el problema es que el bug, aunque lo hayan parcheado hoy, ha permitido que durante unas horas, días, o lo que sea (algunos no han parcheado sus sistemas ni lo harán en meses) se haya podido leer la memoria del servidor.
Cosas que están en la memoria del servidor:
- Tickets de autenticación
- Las claves privadas de SSL
- Cookies, ususarios, etc

Así que aunque, por ejemplo, tu server con debian lo hayan parcheado hoy a las 15:00, si yo te saqué la info a las 14:55, si no has revocado/renovado tu certificado, y los usuarios cambiados sus claves etc pues no vale de nada. Por no mencionar que si yo tengo tráfico SSL que capturé y lo conservo guardado anterior al cambio, con las claves puedo descifrarlo, parchees o no parchees, renueves el cert o no.

Es decir, las consecuencias de este fallo las veremos poco a poco, pero es de lo más grave que se ha visto en años, de antigua, irrelevante, etc nada de nada, más bien yo diría que se está infravalorando mucho el problema.

PD: Esto no son suposiciones, lo he probado en mis servers por la mañana, y alguno más de conocidos etc, igual que lo he hecho yo, habrá cientos o miles de personas que lo han hecho/están haciendo, aún a esta hora hay servicios online que siguen teniendo el bug.

» autor: Avantasia

#15 Error muy grave en la seguridad de OpenSSL

conversador — Tue, 08 Apr 2014 13:18:28 +0000

#5 #6 #8 No tengo ni puta idea de Linux lo confieso. Disculpad mi ignorancia

» autor: conversador

#14 Error muy grave en la seguridad de OpenSSL

hellodolly — Tue, 08 Apr 2014 13:09:03 +0000

¿alguno utiliza Yahoo ? pffffffffff
twitter.com/markloman/status/453502888447586304/photo/1

» autor: hellodolly

#13 Error muy grave en la seguridad de OpenSSL

--320894-- — Tue, 08 Apr 2014 13:01:22 +0000

Y luego dicen los frikis que Linux es seguro... y aparece ahora un error gravísimo que lleva ahí desde hace lustros.

A saber cuántos regalitos más hay así en todo el código fuente de las aplicaciones que utilizamos habitualmente (ya sea software libre o no)

» autor: --320894--

#12 Error muy grave en la seguridad de OpenSSL

D3S1GN — Tue, 08 Apr 2014 12:58:55 +0000

Antigua. Desde hace horas las mayores distros lo tienen parcheado
Bueno... los de Seattle y los de Cupertino no han corrido tanto

» autor: D3S1GN

#11 Error muy grave en la seguridad de OpenSSL

Shotokax — Tue, 08 Apr 2014 12:49:24 +0000

#4 mi vecina tiene una prima en Tarragona.

» autor: Shotokax

#10 Error muy grave en la seguridad de OpenSSL

Avantasia — Tue, 08 Apr 2014 12:47:43 +0000

A ver si a la tercera.. porque el tema es MUY grave.

» autor: Avantasia

#9 Error muy grave en la seguridad de OpenSSL

--1-- — Tue, 08 Apr 2014 12:46:21 +0000

Aquí se puede probar si un sitio es vulnerable: filippo.io/Heartbleed/

» autor: --1--

#8 Error muy grave en la seguridad de OpenSSL

--8234-- — Tue, 08 Apr 2014 12:45:47 +0000

#4 ¿Qué cojones tiene que ver OpenSSL con el Kernel de GNU?

» autor: --8234--

#7 Error muy grave en la seguridad de OpenSSL

Puntillo — Tue, 08 Apr 2014 12:45:07 +0000

Me recuerda a...

if ((err = SSLHashSHA1.update(&hashCtx, &signedParams)) != 0)
goto fail;
goto fail;

» autor: Puntillo

#6 Error muy grave en la seguridad de OpenSSL

surreal — Tue, 08 Apr 2014 12:41:43 +0000

#4 eso te pasa por creer lo que te cuentan... luego acaba uno echando la culpa a la herencia recibida

en todo caso, apache y openssl no son lo mismo que linux...

» autor: surreal

#5 Error muy grave en la seguridad de OpenSSL

--351254-- — Tue, 08 Apr 2014 12:34:15 +0000

#4 Tu no sabes lo que es la informática. Decir que Linux es invulnerable es como decir que el error humano no existe. Pero bueno, todo sea por la causa .... de Microsoft, Apple ...

En todo caso, en el mundo linux las vulnerabilidades se pueden subsanar tan pronto como se detectan. No dependemos de intereses comerciales de empresas que quizás (solo quizás!) prioricen sus oportunidades de negocio por delante del interés de sus clientes.

» autor: --351254--

#4 Error muy grave en la seguridad de OpenSSL

conversador — Tue, 08 Apr 2014 12:24:40 +0000

Yo creía que Linux era invulnerable

» autor: conversador

#3 Error muy grave en la seguridad de OpenSSL

--1479-- — Tue, 08 Apr 2014 12:17:12 +0000

#2 Totalmente. Es una noticia importante. A ver si hay suerte.

» autor: --1479--

#2 Error muy grave en la seguridad de OpenSSL

shake-it — Tue, 08 Apr 2014 12:15:06 +0000

#1 En el general no estaba en español. Por la gravedad del bug, me ha parecido interesante enviarla al general en español.

» autor: shake-it

#1 Error muy grave en la seguridad de OpenSSL

--1479-- — Tue, 08 Apr 2014 12:13:00 +0000

En el general, en inglés: www.meneame.net/story/the-heartbleed-bug-eng
Y en un sub, también en inglés: www.meneame.net/m/hacking/descubierta-vulnerabilidad-critica-openssl
(No la voy a votar negativo porque es una noticia importante y debería conocerse).

» autor: --1479--