Una gravísima vulnerabilidad en OpenSSH fue expuesta hoy, que afecta a Debian y todos sus derivados (Ubuntu, por ejemplo), y deben ser inmediatamente actualizados y regeneradas las llaves ssh generadas desde el 2006 en adelante.
#7:
#6
No exactamente: valgrind soltaba warnings de que se leía de zonas de memoria sin inicializar (eso se hacía para pillar datos "random", estaba bien hecho, aunque sea "guarro").
Un tipo listo pensó en inicializar esa zona de memoria, para que valgrind no soltase el warning. Al inicializar, ya no pilla datos random, por lo que se parte de un seed conocido. Por lo tanto hay menos entropía, y el crackeo de la clave se vuelve mucho más fácil
#12:
#10 Vale ya de repetir tópicos del software libre. También existe otro: "Dado un número suficientemente elevado de ojos, todos los errores se convierten en obvios" y resulta que aquí había un número suficientemente elevado de ojos (OpenSSL y Debian) y aun así este bug tan grave ha estado 2 años sin descubrirse.
Si este fallo fuese de Microsoft habría ya 200 comentarios riéndose de MS, diciendo que "menos mal que uso Ubuntu" y diciendo que esto en el software libre no pasa.
Pero claro, no ha sido MS, si no la sacrosanta Debian, así que mejor callarse y soltar el mantra habitual de estos casos (por ejemplo en los bugs de Firefox) "pero en el SL lo parchea rápido!!!11"
#11:
#10
Sí, lo han arreglado enseguida. El problema es que cualquier clave generada en los dos últimos años (desde 2006) debe ser revocada y generada de nuevo, ya que sufren de ese defecto.
El #8 tiene razón, no es un problema para el "usuario". Que demonios, el usuario normal no tiene SSH instalado. Pero es un error "de libro", de bulto, es algo muy grave desde el punto de vista teórico.
#15:
#12
No puedes comparar esto con un fallo de Microsoft. Aún siendo este uno de los peores fallos de los últimos años, hay grandes diferencias con Windows:
* lo primero, que no ha habido ninguna víctima, ningún ordenador pwn3ado, ninguna clave rota. Compara eso con cualquier virus de Microsoft, cuyas víctimas se cuentan por millones...
* se ha descubierto el fallo, aunque hayan tardado 2 años. Se ha arreglado. En cambio, Windows sigue con infinitos fallos sin documentar.
* se ha parcheado en poquísimo tiempo. Compara eso con los "Windows update".
* aún así, siempre puedes utilizar una versión distinta a la que empaqueta Debian. Prueba tu eso en Windows...
Para ser un fallo de esta magnitud, no es para tanto.
Aún así, felicidades, buen intento de trolleo
#16:
#15 "lo primero, que no ha habido ninguna víctima, ningún ordenador pwn3ado, ninguna clave rota. Compara eso con cualquier virus de Microsoft, cuyas víctimas se cuentan por millones..."
Falacia. Primero porque no sabes cuantas víctimas han habido. No creo que haya muchas, pero te digo que alguna va a haber con sistemas legacy. Aparte de los problemas causados en cosas como tiendas online. Y segundo porque el problema sigue siendo muy grave afecte a 1000 usuarios de Debian o a 100.000 de MS. La cagada es seria.
"se ha descubierto el fallo, aunque hayan tardado 2 años. Se ha arreglado. En cambio, Windows sigue con infinitos fallos sin documentar."
Chupi. Pero la Ley de Linus ha fallado una vez más y estás recurriendo al mantra de "pero ya está arreglado". A ver si nos lo aplicamos cuando saquen parches los de MS... Y Windows sigue con fallos sin documentar, igual que Debian hasta ayer... o hasta la siguiente cagada
"se ha parcheado en poquísimo tiempo. Compara eso con los "Windows update""
Dichoso mantra. Y por cierto, los parches para fallos graves salen sin esperar a Windows Update.
"aún así, siempre puedes utilizar una versión distinta a la que empaqueta Debian. Prueba tu eso en Windows..."
Vale, cuando salga un fallo en Vista te diré. "¡Ah! pero puedes usar Windows 2008, que no tiene ese fallo!"
Y, por cierto, no estaba troleando. Realmente creo que si este fallo fuese de MS ya estaría crucificado en los comentarios pero como es de Ñu se intenta rebajar y disculpar.
Pero que te voy a decir a ti, que en la noticia de las inyecciones de SQL masivas (culpa de los programadores por no sanitizar las entradas de usuario) ya estabas crucificando a MS en la propia entradilla: 500.000 servidores web de Microsoft hackeados
Más de <strong>medio millón de servidores web de Microsoft</strong>, incluyendo servidores de Nacion [...]
#21:
#20 El bug que aprovechaba Blaster llevaba parcheado semanas antes de la primera infección. Los que se infectaron no tenían el sistema actualizado, igual que los que no actualicen y generen claves nuevas se comeran un posible juankeo por esto.
"Cuando es robusto y fuerte, como Debian, un único fallo no suele comprometer el sistema por completo."
Jo-ño. ¿Sacar la clave privada del root de un sistema no es comprometer el sistema por completo?
#6:
A ver si me entero:
un parche aplicado en Debian, que elimina la generar información random a la hora de generar los keys, para evitar que Valgrind se queje
Es decir, como el Valgrind (http://valgrind.org/) se quejaba, pues quitamos la aleatoriedad a la generación de claves SSH y a tomar por saco. Gran técnica de programación, sin duda
El fallo de Firefox fue en un binario de soporte al vietnamita y tardo casí 2 meses en ser detectado. Ok, es un trozo de código poco usado y la detección fue más o menos rápidas.
Pero ¿2 años para localizar este error? Y además en la generación de las llaves SSH, que es un aspecto crítico en materia de seguridad.
Nuevamente, no defiendo el modelo de "seguridad vía oscuridad" del S.P. , pero ¿hasta que punto es verdad y hasta que punto es un mito eso de que hay mucha gente revisando el código?
Por que esta vez es un lugar crítico y el fallo ha estado un montón de tiempo ahí.
#36:
Voy a ir por partes, como cada vez que sale una noticia sobre seguridad, que me llevo las manos a la cabeza leyendo los comentarios...
En primer lugar, el impacto de este bug es incierto, alguno ha comprobado cuanto se tarda, de forma efectiva, en sacar en acertar una de esas claves con entropía reducida? Yo creo que no, entonces no tenemos ni idea de si son 5 minutos o 2 meses.
Es difícil predecir cuanto se tarda realmente, por que se te pueden escapar muchos factores, como bloqueos etc, por lo que no se sabe nunca el impacto de un bug de este tipo, hasta que se prueba ciertamente, y se obtiene una clave.
Dicho esto, #32, eres un alarmista además de un troll.
Las conclusiones del estudio revelan (entre otros fallos) que es posible, y relativamente sencillo, predecir los resultados previos y futuros del algoritmo a partir del conocimiento de un estado interno del generador, así como las claves de sesión usadas y las que se usarán en un futuro para cifrar información.
Repite conmigo: "a partir del conocimiento de un estado interno del generador"
Y como piensas obtener "ese conocimiento"? Teniendo algún tipo de acceso PREVIO, es decir, una cuenta en el sistema o acceso local, por lo cual, el bug no es ni de lejos comparable.
Si bien esta noticia es una mala noticia, quizás sirva para que la gente ENTIENDA que no hay 438248348 personas auditando el código de OpenSSL, ni de Mysql, ni de nada.
Realmente somos 4 gatos los que auditamos (desde el punto de vista de seguridad) software libre para colaborar. Existen pocos auditores de código serios (ojo! no he dicho auditores de seguridad en general) y de ellos, muy pocos colaboramos con el software libre.
Solo hay que leer securityfocus durante un tiempo, y te das cuenta que en el fondo hay poca gente auditando... Gracias a dios, algunos proyectos importantes están mas mirados, como Apache (están mirados por la fama/dinero/maquinas zombie/.../ que puede darte un bug en Apache).
¿Cuanta gente creéis que audita los parches de debian aplicados a OpenSSL? Ni dios. Es algo demasiado especifico y cambiante, en todo caso se auditaría OpenSSL, no los parches de debian.
Esto me levanta otra pregunta: En el modelo actual de distribuciones de linux, el software en si mismo está relativamente auditado y controlado (algunos mas que otros) pero...quien realmente audita distros? Normalmente el equipo de seguridad de la distro (si es que lo tiene).
Como veis, finalmente la seguridad de un sistema acaba recayendo siempre en 2-3 personas de un circulo reducido (el equipo de seguridad de la distro en este caso).
Aparte de todo esto... ¿Por que debian se preocupa tanto por los warnings del valgrind? es que creen que OpenSSL está mal echo? Increible.
#6
No exactamente: valgrind soltaba warnings de que se leía de zonas de memoria sin inicializar (eso se hacía para pillar datos "random", estaba bien hecho, aunque sea "guarro").
Un tipo listo pensó en inicializar esa zona de memoria, para que valgrind no soltase el warning. Al inicializar, ya no pilla datos random, por lo que se parte de un seed conocido. Por lo tanto hay menos entropía, y el crackeo de la clave se vuelve mucho más fácil
#10 Vale ya de repetir tópicos del software libre. También existe otro: "Dado un número suficientemente elevado de ojos, todos los errores se convierten en obvios" y resulta que aquí había un número suficientemente elevado de ojos (OpenSSL y Debian) y aun así este bug tan grave ha estado 2 años sin descubrirse.
Si este fallo fuese de Microsoft habría ya 200 comentarios riéndose de MS, diciendo que "menos mal que uso Ubuntu" y diciendo que esto en el software libre no pasa.
Pero claro, no ha sido MS, si no la sacrosanta Debian, así que mejor callarse y soltar el mantra habitual de estos casos (por ejemplo en los bugs de Firefox) "pero en el SL lo parchea rápido!!!11"
#10
Sí, lo han arreglado enseguida. El problema es que cualquier clave generada en los dos últimos años (desde 2006) debe ser revocada y generada de nuevo, ya que sufren de ese defecto.
El #8 tiene razón, no es un problema para el "usuario". Que demonios, el usuario normal no tiene SSH instalado. Pero es un error "de libro", de bulto, es algo muy grave desde el punto de vista teórico.
#12
No puedes comparar esto con un fallo de Microsoft. Aún siendo este uno de los peores fallos de los últimos años, hay grandes diferencias con Windows:
* lo primero, que no ha habido ninguna víctima, ningún ordenador pwn3ado, ninguna clave rota. Compara eso con cualquier virus de Microsoft, cuyas víctimas se cuentan por millones...
* se ha descubierto el fallo, aunque hayan tardado 2 años. Se ha arreglado. En cambio, Windows sigue con infinitos fallos sin documentar.
* se ha parcheado en poquísimo tiempo. Compara eso con los "Windows update".
* aún así, siempre puedes utilizar una versión distinta a la que empaqueta Debian. Prueba tu eso en Windows...
Para ser un fallo de esta magnitud, no es para tanto.
#15 "lo primero, que no ha habido ninguna víctima, ningún ordenador pwn3ado, ninguna clave rota. Compara eso con cualquier virus de Microsoft, cuyas víctimas se cuentan por millones..."
Falacia. Primero porque no sabes cuantas víctimas han habido. No creo que haya muchas, pero te digo que alguna va a haber con sistemas legacy. Aparte de los problemas causados en cosas como tiendas online. Y segundo porque el problema sigue siendo muy grave afecte a 1000 usuarios de Debian o a 100.000 de MS. La cagada es seria.
"se ha descubierto el fallo, aunque hayan tardado 2 años. Se ha arreglado. En cambio, Windows sigue con infinitos fallos sin documentar."
Chupi. Pero la Ley de Linus ha fallado una vez más y estás recurriendo al mantra de "pero ya está arreglado". A ver si nos lo aplicamos cuando saquen parches los de MS... Y Windows sigue con fallos sin documentar, igual que Debian hasta ayer... o hasta la siguiente cagada
"se ha parcheado en poquísimo tiempo. Compara eso con los "Windows update""
Dichoso mantra. Y por cierto, los parches para fallos graves salen sin esperar a Windows Update.
"aún así, siempre puedes utilizar una versión distinta a la que empaqueta Debian. Prueba tu eso en Windows..."
Vale, cuando salga un fallo en Vista te diré. "¡Ah! pero puedes usar Windows 2008, que no tiene ese fallo!"
Y, por cierto, no estaba troleando. Realmente creo que si este fallo fuese de MS ya estaría crucificado en los comentarios pero como es de Ñu se intenta rebajar y disculpar.
Pero que te voy a decir a ti, que en la noticia de las inyecciones de SQL masivas (culpa de los programadores por no sanitizar las entradas de usuario) ya estabas crucificando a MS en la propia entradilla: 500.000 servidores web de Microsoft hackeados
#20 El bug que aprovechaba Blaster llevaba parcheado semanas antes de la primera infección. Los que se infectaron no tenían el sistema actualizado, igual que los que no actualicen y generen claves nuevas se comeran un posible juankeo por esto.
"Cuando es robusto y fuerte, como Debian, un único fallo no suele comprometer el sistema por completo."
Jo-ño. ¿Sacar la clave privada del root de un sistema no es comprometer el sistema por completo?
A ver si me entero:
un parche aplicado en Debian, que elimina la generar información random a la hora de generar los keys, para evitar que Valgrind se queje
Es decir, como el Valgrind (http://valgrind.org/) se quejaba, pues quitamos la aleatoriedad a la generación de claves SSH y a tomar por saco. Gran técnica de programación, sin duda
El fallo de Firefox fue en un binario de soporte al vietnamita y tardo casí 2 meses en ser detectado. Ok, es un trozo de código poco usado y la detección fue más o menos rápidas.
Pero ¿2 años para localizar este error? Y además en la generación de las llaves SSH, que es un aspecto crítico en materia de seguridad.
Nuevamente, no defiendo el modelo de "seguridad vía oscuridad" del S.P. , pero ¿hasta que punto es verdad y hasta que punto es un mito eso de que hay mucha gente revisando el código?
Por que esta vez es un lugar crítico y el fallo ha estado un montón de tiempo ahí.
#12 Bueno, dos años para un bug tan rebuscado no es tanto tiempo. Aunque sí, es muy grave, y soberanamente gilipollas la forma en que se ha introducido. Será porque el que lo solucionó no es experto en seguridad, y demuestra una vez más que hasta los mejores informáticos cometen/cometemos errores.
#21 pero quien se loguea como root por ssh??? como mucho hasta que haces un usuario y cambias la configuracion para que root no se pueda logear nunca jamas mas...
Aparte, lo de 'instalar y olvidar' se suele hacer con red-hats y cent(oll)os, debian es mas casero (loquesea-buntus)...
Ademas, tampoco es para tanto, yo cuando escucho 'vulnerabilidad critica de windows' solo pienso 'otra' y 'a saber cuando la descubrieron estos campeones y cuando les ha dado la gana arreglarla'
Confio mas en el hedonismo friki -y sus ganas de hacerse famosos como este q ha descubierto este bug- que en el funcionariado de microsoft...
Por cierto, como sabeis que microsoft no tiene la misma cagada?
Por cierto 2, como me encanta decir: si tanto os gusta windows, por que no os lo comprais?
Cuando en Windows apareció un problema similar¹ -desde Windows 2000 hasta XP, hagan cuentas...- no lo catalogaron de ningún modo como grave vulnerabilidad... ¡estos linuxeros, son de un alarmista!...
___________
¹ Desvelados serios problemas en el algoritmo que genera los números pseudoaleatorios en Windows 2000 y XP http://www.hispasec.com/unaaldia/3318
Voy a ir por partes, como cada vez que sale una noticia sobre seguridad, que me llevo las manos a la cabeza leyendo los comentarios...
En primer lugar, el impacto de este bug es incierto, alguno ha comprobado cuanto se tarda, de forma efectiva, en sacar en acertar una de esas claves con entropía reducida? Yo creo que no, entonces no tenemos ni idea de si son 5 minutos o 2 meses.
Es difícil predecir cuanto se tarda realmente, por que se te pueden escapar muchos factores, como bloqueos etc, por lo que no se sabe nunca el impacto de un bug de este tipo, hasta que se prueba ciertamente, y se obtiene una clave.
Dicho esto, #32, eres un alarmista además de un troll.
Las conclusiones del estudio revelan (entre otros fallos) que es posible, y relativamente sencillo, predecir los resultados previos y futuros del algoritmo a partir del conocimiento de un estado interno del generador, así como las claves de sesión usadas y las que se usarán en un futuro para cifrar información.
Repite conmigo: "a partir del conocimiento de un estado interno del generador"
Y como piensas obtener "ese conocimiento"? Teniendo algún tipo de acceso PREVIO, es decir, una cuenta en el sistema o acceso local, por lo cual, el bug no es ni de lejos comparable.
Si bien esta noticia es una mala noticia, quizás sirva para que la gente ENTIENDA que no hay 438248348 personas auditando el código de OpenSSL, ni de Mysql, ni de nada.
Realmente somos 4 gatos los que auditamos (desde el punto de vista de seguridad) software libre para colaborar. Existen pocos auditores de código serios (ojo! no he dicho auditores de seguridad en general) y de ellos, muy pocos colaboramos con el software libre.
Solo hay que leer securityfocus durante un tiempo, y te das cuenta que en el fondo hay poca gente auditando... Gracias a dios, algunos proyectos importantes están mas mirados, como Apache (están mirados por la fama/dinero/maquinas zombie/.../ que puede darte un bug en Apache).
¿Cuanta gente creéis que audita los parches de debian aplicados a OpenSSL? Ni dios. Es algo demasiado especifico y cambiante, en todo caso se auditaría OpenSSL, no los parches de debian.
Esto me levanta otra pregunta: En el modelo actual de distribuciones de linux, el software en si mismo está relativamente auditado y controlado (algunos mas que otros) pero...quien realmente audita distros? Normalmente el equipo de seguridad de la distro (si es que lo tiene).
Como veis, finalmente la seguridad de un sistema acaba recayendo siempre en 2-3 personas de un circulo reducido (el equipo de seguridad de la distro en este caso).
Aparte de todo esto... ¿Por que debian se preocupa tanto por los warnings del valgrind? es que creen que OpenSSL está mal echo? Increible.
Vamos, que ahora en vez de 1.000.000.000.000^50 combinaciones (Un porrillón de años) tendrán que probar 1.000^20 combinaciónes (sólo unos cuatrillones), siempre que tengan una cópia de la RAM en el momento de crear la clave.
(Vale, exagero un poco, me refiero que los usuarios que no requieran muchíísima seguridad no se preocupen demasiado)
Pues acabo de actualizar openssh-server y openssh-client con el problema ya resuelto. Es lo que tiene el Software Libre, cuando se descubre un bug, lo arreglan en menos de dos telediarios.
#18Todas la Etch que se hayan instalado hasta ayer tienen el bug. De ese 100% de bugs pongamos que los BOFHs parchean y regeneran claves en un 90%... tienes un 10% de instalaciones con el bug, ¿comprendes?
No te imaginas la cantidad de servidores "instala y olvida" que hay perdidos por el mundo.
Creo que no se es consciente de la magnitud de este error:
OpenSSL usa distintas maniobras para conseguir aleatoriedad. Cada paso añade una serie de bits de aleatoriedad. El tío que la cagó comentó toda la función que usaba el vector sin inicializar con lo que se cargó una toda una serie de pasos y dejó el sistema con solo 18 bits de libertad, eso son 262114 claves débiles distintas.
Teóricamente puede ser un error grave, pero a la práctica no lo es tanto. En cualquier caso, a los que ya usan esto para "defender" a sus Windows, andan muy errados.
Que mi super mercedes (o cualquier mega coche de gama alta) haya tenido un pequeño problemilla con una tuerca un poco floja no convierte a tu Panda en un coche mejor que el mío.
Yo no veo el fallo como algo tan tremendo. Ese algoritmo está usando zonas de memoria no inicializadas para recoger entropía, pero no tiene ninguna seguridad de que la zona no esté inicializada.
La alerta de seguridad es correcta, pero no hay garantía de que la entropía recogida sea mejor después del parcheado el fallo que antes. Por lo tanto, es de suponer que esa cosa tiene otras fuentes de entropía, lo cual no hace las claves tan fáciles de adivinar como eso. Es un fallo teórico.
El enfoque ante errores en el código es completamente distinto en el software libre que en microsoft. En microsoft deciden arreglar o no un fallo dependiendo de su visibilidad. Hay literalmente cientos de errores del sistema operativo (en XP) conocidos que se decidió no arreglar pues los usuarios no los perciben.
Vamos a imaginarnos que pasara algo parecido en Microsoft:
- Hefe, que he encontrado un problema en la generación de claves SSH.
- Pos qué pasa? Ejecución de código arbitrario?
- Noooo, que va, menos entropía en en PRNG, se pueden descubrir las claves por fuerza bruta con menos recursos.
- Quién hizo esta barbaridad?
- Uno que ya no trabaja aquí. El tio no sabía lo que estaba tocando; he encontrado un log en el correo. ¿Lo arreglo?
- Ni se te ocurra, ¡paleto! Lo contentos que se van a poner en la NSA ¿Quién más lo sabe? ¿ya tienes una acreditación de seguridad firmada?
La NSA nunca declara nada, pero aún así reconocieron hace años que no usan criptoanálisis para descifrar mensajes: "Los sistemas reales son tan inseguros que nunca hace falta".
Después de eso salió una versión de Linux retocada por la NSA, que se podía usar para ciertos sistemas conteniendo información sensible. Windows está prohibido para estos usos.
vaya tela como han salido los perros para abrir la herida.
Los amantes de Windows deberian aprender, se considera Fallo de Seguridad Grave y se anuncia a los 400 vientos, ¿cuantos saben al menos 1 de los mas de 200 fallos críticos del NT?.
Ahora otra historia, analizar el fallo,
1º no afecta a los clientes solo a nivel servidor, esto ya reduce bastante los afectados.
2º no es una puerta abierta, se sigue necesitando la fuerza bruta, y bueno en mi caso ni uso el puerto estandar 22, ni permito a todas las ips que entren, ni una clave me dura mas de 5 dias y el sistema me avisa cuando entra algún root, una buena planificación y todos los ordenadores del mundo y solo necesitaria 20 años para petarlo, [IRONIC ON]ciertamente está endeble el sistema[IRONIC OFF].
>>#2 Perfecto es Windows, cuyos fallos críticos (sí, tiene algunos) se solucionan a más tardar en 1 MES.
>>Por cierto, como sabeis que microsoft no tiene la misma cagada?
Por cierto 2, como me encanta decir: si tanto os gusta windows, por que no os lo comprais?
>>Los amantes de Windows deberian aprender, se considera Fallo de Seguridad Grave y se anuncia a los 400 vientos, ¿cuantos saben al menos 1 de los mas de 200 fallos críticos del NT?.
>>#52#12 Claro, que tu puedes estar COMPLETAMENTE SEGURO de cómo genera las contraseñas Windows porque has visto el código de Microsoft, ¿verdad?
>>* lo primero, que no ha habido ninguna víctima, ningún ordenador pwn3ado, ninguna clave rota. Compara eso con cualquier virus de Microsoft, cuyas víctimas se cuentan por millones...
* se ha descubierto el fallo, aunque hayan tardado 2 años. Se ha arreglado. En cambio, Windows sigue con infinitos fallos sin documentar.
* se ha parcheado en poquísimo tiempo. Compara eso con los "Windows update".
* aún así, siempre puedes utilizar una versión distinta a la que empaqueta Debian. Prueba tu eso en Windows...
>>#47 No sabía que MS España tenía en plantilla gente cuyo cometido es hacer sangre a la primera que otro sistema operativo muestre un fallo...
¿A ver, a mi qué cohone me importa lo que haga o deje de hacer Microsoft y su Windows? ¿Qué clase de justificación es que Windows es peor? Oh, mira, Windows es peor, no pasa nada, MS lo hace peor así que nuestra cagada no cuenta.
¿Desde cuando hacerlo mejor que MS es algo loable o que quite importancia a los propios fallos? Para mi, hacerlo mejor que MS es algo que ni merece ser mencionado. Es lo mínimo exigible y decir "pero mira, soy mejor que el mínimo exigible" no me vale para nada.
Si he mencionado a MS ha sido precisamente porque sabía que iban a venir la retahila de comentarios lamentables como:
"Hoyga, acabo de hacer los 100 metros lisos en 3 minutos 20 segundos. Pero mira, el hemipléjico ciego narcoléptico de ahí al lado, tarda como mínimo 10 minutos. ¡Como molo!"
SECCIÓN: NO PASA NADA, LA LIGA ESTÁ GANADA
>>Pues acabo de actualizar openssh-server y openssh-client con el problema ya resuelto. Es lo que tiene el Software Libre, cuando se descubre un bug, lo arreglan en menos de dos telediarios.
>>El #8 tiene razón, no es un problema para el "usuario". Que demonios, el usuario normal no tiene SSH instalado.
>>una vulnerabilidad menos
>>Este bug es sin duda un ejemplo de software en desarrollo. Ahora, gracias a este señor, tiene un bug menos.
Nadie está experimentando con nadie, te dan el software tal y como está, sin garantias. Tú eres el responsable si quieres usarlo.
Estas frases me las apunto para el próximo bug descubierto en algo como IIS o SQLServer.
"Fallo gravísimo en el SQLServer" -> No es un problema para el "usuario". Que demonios, el usuario normal no tiene SQLServer instalado.
"Escalada de privilegios en IIS" -> una vulnerabilidad menos
#54 Me hace gracia tu comentario poniendo: no te preocupes, acepto tus disculpas.
Había entendido tu comentario perfectamente la primera vez (y sin explicación posterior por tu parte!) pero el que no me has entendido eres tu, te lo voy a explicar no sea que...
Tu has comentado un bug en windows, que requiere de una información de entropía para ser explotado, y que solo puede conseguirse de forma local, ademas, su efectividad NO ha sido probado, para comprar un bug en linux que permite comprometer la cuenta de root, sin necesidad de ninguna información adicional, y de forma completamente remota, ademas, de forma genérica. Y de esta comparación intentas deducir como conclusión, que en linux somos mas "alarmistas" o le damos mas importancia.
Repite conmigo: remoto es mucho mas grave que local...remoto es mucho mas grave que local...remoto es mucho mas grave que local
¿Ves como yo también se poner comentarios chulescos? Pero al menos, cuando lo hagas, como has echo tu arriba, cerciórate de que estás on-topic, de que entiendes del tema, de que comprendes lo que se te dice, y de que no estás metiendo la pata como un iluso, por que sino, al contestar con chulería y encima metiendo la pata, quedas como un ignorante.
Solo te voy a contestar una cosa, he dicho mas arriba que soy auditor, he auditado OpenSSL precisamente en varias ocasiones...pero supongo que no, que no soy capaz de imaginarme el problema me lo podrías explicar de nuevo? es que no queda muy claro cuando te has leído el código fuente entero de la aplicación.
Al final los comentarios a estas noticias se acaban convirtiendo en flames anti-ms o anti-opensource. ¿es que no seremos nunca capaces de apreciar cosas buenas de unos y otros sistemas a la vez que podamos criticar fallos de unos y otros?
#31 ¿Mande? Yo también utilizo Arch Linux. ¿Quiere eso decir que estoy libre de peligro?
#7#12 No podría estar más de acuerdo. Está claro que no ha tenido la magnitud y el alcance de los virus y vulnerabilidades para Windows, pero está claro que el que esa vulnerabilidad haya estado ahí 2 años es bastante grave, pero nada, como es una distro del bicho cornudo, hala, no ha pasado nada, pero si hubiese sido de Microsoft ya se hubieran salido de madre con los tópicos anti-windows.
#29: sí, aquí igual, pero hay que regenerar las claves a mano, y luego cambiarlas en tus máquinas remotas, etc.
A ver, que yo estoy de acuerdo con que el software libre reacciona rápido ante estas cosas, ahora bien, también digo que para el usuario normal es un cristo tener que andar con keygen y con cambios en authorized_keys, etc.
[Claro, que el usuario normal, si nos ponemos, no abre una terminal ni escribe ssh en la vida...]
Ahora entiendo porque ayer tenía tantos intentos brute force en el servidor, de normal hay 3-4 intentos diarios pero ayer se dispararon hasta los 200, gracias a que tengo el logeo de root capado y a que actualizo a diario.
#36 Vuelve a leerte mi comentario #32 y el contenido del enlace, porque es evidente que lo has entendido al revés. Lo explico a continuación, por si el analfabetismo funcional...
La noticia que enlazo de hispasec no es sobre este problema de seguridad en Debian, sino sobre otro semejante en Windows. Y con mi comentario daba a entender, precisamente, que lo que pasa es que los linuxeros nos tomamos la seguridad mucho más en serio y llamamos grave vulnerabilidad a lo que en el argot de Microsoft se denomina compromiso local o algún eufemismo similar.
Parece ser que los ataques van dirigidos a obtener acceso de root mediante SSH, por lo que (según mis conocimientos) bastaría con usar las directivas "PermitRootLogin no" y "AllowUsers nombredeusuario" para evitar cualquier problema. ¿Me dejo algo?
#16
Soy el primero en criticar este fallo de Debian, en ningún momento lo rebajo y discuto. Pero hay órdenes de magnitud, no comparemos este fallo a un Blaster, por decir algo. Cuando un sistema es blandengue y debilucho, un pequeño fallo lo hace temblar y derrumbarse. Cuando es robusto y fuerte, como Debian, un único fallo no suele comprometer el sistema por completo.
Respecto a aquella noticia de inyecciones SQL, el fallo estaba en el IIS, que se dejaba violar hasta el fondo. En un sistema operativo con usuarios y permisos eso no habría pasado (y no pasó). La entradilla era una traducción de la de slashdot, que es lo que suelo hacer. Ala, toma ad-hominem.
#63 Simplemente porque te emperrabas en decir lo de la Ley de Linus cuando el tema es Debian y Linus en Debian no tiene nada que ver.
Respecto al resto, si, la ventaja del software libre, es que uno programa y varios ven ese codigo...siendo mas probable que se descubran mas fallos que en un software donde solo hay un grupo de X personas fijas. Esto es innegable, de ahi que se hagan beta-testeos en practicamente todas las cosas serias... Asi pues, siempre que alguien acceda al codigo fuente de un programa libre y descubra un fallo, la ley de linus se cumplira (por eso es ley y no teoria )
a) no es infalible
b) se asume que todo el SL cumple la Ley de Linus, cuando en casos como este o en proyectos pequeños no existe la premisa de "muchos ojos", con lo cual no puede cumplirse.
Bien, te pondre un ejemplo practico, la Ley de la gravedad.
a) No es infalible. Tanto en agujeros negros como a nivel planetario, la ley no se cumple al 100% (en un agujero negro, a determinadas distancias, sus valores ni se acercan, de ahi que se siga investigando sobre este campo)
b) Se asume que se cumple en todo el universo, cuando resulta que no conocemos de este ni el 10% y sabemos que hay excepciones a la misma, con lo cual no siempre se cumple...
#50#16 Error de concepto. Linus Torvalds no hace Debian.
Error de comprensión lectora y/o conocimientos. Que yo cite la frase llamada "Ley de Linus" no quiere decir que me refiera al trabajo de Torvalds. De hecho, la frase debería llamarse la "Ley de Raymond", Linus no tiene nada que ver en ello...
#62 Antes de nada. ¿A qué te referías con la frase "#16 Error de concepto. Linus Torvalds no hace Debian." ?
¿Seguro que no ha sido que leido "Linus" y has escrito eso sin más?
"Segun esas premisas, lo citado en la noticia, no es mas que una demostracion mas de la "Ley de Linus" dado que sino el error no se hubiese detectado y reparado."
Claro, por lo tanto siempre que alguien mirando un código vea un bug se "demuestra" la "Ley de Linus"...
La idea de esa frase era indicar que en el SL los bugs son detectados muy rápidamente dado hay más gente revisando el código que en el soft privativo.
2 años no me parece demasiado rápido... Y no ha sido rápido porque, entre otras cosas,no se ha aplicado esa ley en este caso: muchos ojos revisaban el código de SSL en busca de fallos. Pero muy pocos revisan las modificaciones hechas por Debian. No hay muchos ojos, no hay Ley de Linus.
Por otro lado, me parece una soberana idiotez negar que varias personas ven mas que una, pinte como se pinte... (aunque puedes sacar todos los casos en los que alguna y rara vez varias personas no se dieron cuenta de algo para justificarte)
¿?¿? No negaba algo tan obvio como eso. Sólo decía que
a) no es infalible
b) se asume que todo el SL cumple la Ley de Linus, cuando en casos como este o en proyectos pequeños no existe la premisa de "muchos ojos", con lo cual no puede cumplirse.
Estoy contigo #40, todo bug detectado en un sop es malo (bueno, entiendase, es bueno que lo detecten, malo que este jeje)
De todas formas a veces hasta entiendo los flames, ya lo comente en otra noticia sobre un bug en win que algunos linuxeros parecian alegrarse cada vez que habia un fallo en windows, y las cosas no son asi, todo sistema tiene sus fallos, al menos si el sistema evoluciona (otra cosa es que siguieramos con un sop del año catapum revisado mil veces pero todos queremos avanzar) , pero creo que es importante que todos, tanto linuxeros como windowseros (como mackeros) aprendamos a respetar a los usuarios de otros sistemas, y a no burlarnos cuando el otro sistema falla, asi que igual la idea es que los que se rieron de bugs de windows ahora aprenden un poco de humildad
sobre el fallo en si, no creo que siendo 'grave' lo sea tanto, al menos si esta solventado ya, aunque los grados de libertad fueran pocos el sistema no ha estado realmente expuesto estos años (ya que los posibles ataques se basarian en la suposicion de que habia mas grados de libertad en la generacion aleatoria) asi que en ese aspecto no es demasiado serio si se parchean los sistemas ahora
El problema puede venir por los sistemas que no se actualizan, muchos diran que hay pocas maquinas asi pero .. las hay , y muchas, en un sistema usado habitualmente por terminal o como 'pc de ofimatica' es muy facil que se parchee , pero en sistemas de 'instalar y olvidar' que en muchos casos no tienen ni conexion a internet o no estan configurados para actualizarse automaticamente, y en los que 'salvo si falla no se loguea nadie' puede ser un problema serio, y existen muchas maquinas asi, en muchos casos se usan distros pre-montadas para una tarea especifica y no se parchea automaticamente (uno actualiza a la distro de la version siguiente cuando considera oportuno pero no suelen sacar parcheos online que la mismo distro baje... porque suele ser algo arriesgado , si la maquina es medio critica no podemos confiar en que automaticamente vaya intentando actualizarse y nos pete a mitad de la noche)
En cualquier caso espero que el problema se solvente bien para todos ^^
Como conclusión:
1º Cierto lo de los tópicos antiwindows (a su favor debo decir que también salen los tópicos antilinux nombrando los tópicos antiwindows)
2º Llevo 1 año con GNU/Linux, con varias distros (una de ellas ubuntu) no entiendo muy bien el problema... Sólamente comprendí que pueden hacerse con el sistema si accedes remotamente siendo root ¿no?
3º En todas las conversaciones acerca de bugs en GNU/Linux se trata de buscar la máxima seguridad, la seguridad es lo más importante, da la sensación de ser muy puristas en este aspecto. Windows se basa en ser cerrado y confiar en que no te encuentren los fallos (una visión parcial y simplista, lo sé).
4º Faltan testeadores y auditores de software, y cuanto más específico es este más faltan, es un problema a solucionar...
5º ¿Por qué las noticias de los bugs de GNU/Linux son siempre tan catastrofistas? Parece que un problema de programación que consista en que un usuario (a través de la consola y después de cierto tiempo de teclear comandos imposibles para el usuario medio) pueda subirse los privilegios es un grave problema cuando el usuario medio de Windows ya los tiene todos (o en el vista desactivando Control de Cuenta de Usuario, lo cual lo hace todo el mundo). Entiendo esa preocupación por la seguridad y es una de las cosas buenas de GNU/Linux
#4 hay que contar el tiempo entre que se descubre y lo arreglan.
En el software libre:
- ¡ya!
Resultado: 3 meses de promedio.
En el privativo:
- esperar a que los desarrolladores exclusivos y amos del código lean el reporte
- esperar a que los desarrolladores exclusivos y amos del código reconozcan el error
- esperar a que los darrolladores exclusivos y amos del código se les pase el cabreo porque alguien descubrió algo feo en su cosa maravillosa (eso decía la nota de prensa de lanzamiento, que casi siempre se puede resumir en "WOW!")
- esperar a que los dsarrolladores exclusivos y amos del código busquen alguna excusa para decir que no es tan grave
- dejar pasar un par de meses, cosa que demuestra cuan cierto es (y ademaś verdadero) lo que dijeron los desarrolladores exclusivos y amos del código: no es tan grave. O lo habrian arreglado inmediatamente, puesto que son «una corporación que el año pasado invirtió la hostia rellena de millones en seguridad».
#12 Cuando hablamos de bugs en el código de Microsoft nos referimos a lo que ellos deberían hacer porque sólo lo pueden hacer ellos. Prohíben que lo hagamos nosotros.
Por eso hoy muy pocos usuarios de software miran código. Costará muchos años recuperar esas buena costumbre --para los aficionados a ello, que siempre hay, y a tunear coches y a hacer torres Eiffel con palillos.
Cuando hablamos de software libre, eso sucedió porque tú no miraste el código. Yo tampoco.
#58: >>Este bug es sin duda un ejemplo de software en desarrollo. Ahora, gracias a este señor, tiene un bug menos.
Nadie está experimentando con nadie, te dan el software tal y como está, sin garantias. Tú eres el responsable si quieres usarlo.
>Estas frases me las apunto para el próximo bug descubierto en algo como IIS o SQLServer.
Microsoft sí que te da garantías de que va a funcionar. La GPL no.
Además, ¿estás en contra de que se solucionen los bugs?
Ya han salido dos exploits específicos que aprovechan la vulnerabilidad para intentar robar logins del sistema:
Como se deduce del código, la vulnerabilidad no consiste en que puedan escuchar una comunicación cifrada, sino en que pueden conseguir bruteforcear en poco tiempo, la key de un usuario para acceder al sistema.
"Aquí, hay una diferencia esencial entre los dos estilos. En el enfoque usado para desarrollar software propietario, los errores y problemas de desarrollo son fenómenos complejos y profundos. Generalmente toma meses de revisión exhaustiva para que unos cuantos confíen en que los errores han sido eliminados. Por eso se dan los intervalos tan largos entre cada versión que se libera, y la inevitable desmoralización cuando estas versiones, largamente esperadas, no resultan perfectas.[1]
En el enfoque usado para desarrollar software libre, se asume que los errores son fenómenos relativamente evidentes, o por lo menos que pueden volverse relativamente evidentes cuando se exhiben a miles de entusiastas desarrolladores que colaboran sobre cada una de las versiones. Por lo tanto, se libera con frecuencia para poder obtener una mayor cantidad de correcciones en menos tiempo.[1]
Una mayor cantidad de usuarios detecta más errores debido a que tienen diferentes maneras de evaluar el programa. Este efecto se incrementa cuando los usuarios son desarrolladores asistentes. Cada uno enfoca la tarea de la caracterización de los errores con instrumentos analíticos distintos, desde un ángulo diferente.[1]
Por lo tanto, el agregar más beta-testers podría no contribuir a reducir la complejidad del "más profundo" de los errores actuales desde el punto de vista del desarrollador, sino que aumenta la probabilidad de que alguno de ellos vea claramente el error y pueda solucionarlo.[1]"
Segun esas premisas, lo citado en la noticia, no es mas que una demostracion mas de la "Ley de Linus" dado que sino el error no se hubiese detectado y reparado.
Por otro lado, me parece una soberana idiotez negar que varias personas ven mas que una, pinte como se pinte... (aunque puedes sacar todos los casos en los que alguna y rara vez varias personas no se dieron cuenta de algo para justificarte)
#36 Y como piensas obtener "ese conocimiento"? Teniendo algún tipo de acceso PREVIO, es decir, una cuenta en el sistema o acceso local, por lo cual, el bug no es ni de lejos comparable.
Pues si es una máquina que corre como firewall/router y cuya única fuente de entropía son los datos que le llegan por red, sería posible tener una idea muy aproximada del estado interno del aparato. Para esto existen otros algoritmos como http://en.wikipedia.org/wiki/Yarrow_algorithm que implementa FreeBSD.
#36 Aparte de todo esto... ¿Por que debian se preocupa tanto por los warnings del valgrind? es que creen que OpenSSL está mal echo? Increible.
Todo está mal hecho. Es normal que se preocupen por los warnings, para depurar lo ideal es que la ejecución sea "limpia", aunque sea una cagada lo que han hecho.
oh dios! han debido robarme todas las claves de tarjetas de credito y convertir mi pc en zombi en las 5 horas en la que la "gravisima" vulnerabilidad ha sido publica... tendre que formatear e instalar windows con mcaffee ¡eso si que es seguridad!
Pues a lo mejor estoy confundido, pero creo que mucha gente se logea como root por ssh. Yo lo hago porque necesito privilegios para modificar cosas de apache y otros programas.
Debian, para los fanáticos de la pureza, que no es tal
Ubuntu, para que te juankeen las fotos del cumple
Gentoo, para configurar una vez y olvidarte de todas estas tonterías
jejejej cuando es de Linux es un fallo sin importancia, cuando es de Microsoft es gravisimo. A ver si asi se le bajan los humos a mas de uno.
Por cierto, eso de que sacan un parche enseguida no se hasta que punto es bueno, una modificación en el SO hay que probarla bien para comprobar entre otras cosas que no genera nuevas vulnerabilidades, no se puede sacar un parche rapido para arreglarlo.
Comentarios
#6
No exactamente: valgrind soltaba warnings de que se leía de zonas de memoria sin inicializar (eso se hacía para pillar datos "random", estaba bien hecho, aunque sea "guarro").
Un tipo listo pensó en inicializar esa zona de memoria, para que valgrind no soltase el warning. Al inicializar, ya no pilla datos random, por lo que se parte de un seed conocido. Por lo tanto hay menos entropía, y el crackeo de la clave se vuelve mucho más fácil
Aquí los mensajes de aquel momento:
http://marc.info/?l=openssl-dev&m=114651085826293&w=2
http://marc.info/?l=openssl-dev&m=114652287210110&w=2 WTF???
(seguid con [next in thread])
#10 Vale ya de repetir tópicos del software libre. También existe otro: "Dado un número suficientemente elevado de ojos, todos los errores se convierten en obvios" y resulta que aquí había un número suficientemente elevado de ojos (OpenSSL y Debian) y aun así este bug tan grave ha estado 2 años sin descubrirse.
Si este fallo fuese de Microsoft habría ya 200 comentarios riéndose de MS, diciendo que "menos mal que uso Ubuntu" y diciendo que esto en el software libre no pasa.
Pero claro, no ha sido MS, si no la sacrosanta Debian, así que mejor callarse y soltar el mantra habitual de estos casos (por ejemplo en los bugs de Firefox) "pero en el SL lo parchea rápido!!!11"
#10
Sí, lo han arreglado enseguida. El problema es que cualquier clave generada en los dos últimos años (desde 2006) debe ser revocada y generada de nuevo, ya que sufren de ese defecto.
El #8 tiene razón, no es un problema para el "usuario". Que demonios, el usuario normal no tiene SSH instalado. Pero es un error "de libro", de bulto, es algo muy grave desde el punto de vista teórico.
#12
No puedes comparar esto con un fallo de Microsoft. Aún siendo este uno de los peores fallos de los últimos años, hay grandes diferencias con Windows:
* lo primero, que no ha habido ninguna víctima, ningún ordenador pwn3ado, ninguna clave rota. Compara eso con cualquier virus de Microsoft, cuyas víctimas se cuentan por millones...
* se ha descubierto el fallo, aunque hayan tardado 2 años. Se ha arreglado. En cambio, Windows sigue con infinitos fallos sin documentar.
* se ha parcheado en poquísimo tiempo. Compara eso con los "Windows update".
* aún así, siempre puedes utilizar una versión distinta a la que empaqueta Debian. Prueba tu eso en Windows...
Para ser un fallo de esta magnitud, no es para tanto.
Aún así, felicidades, buen intento de trolleo
#15 "lo primero, que no ha habido ninguna víctima, ningún ordenador pwn3ado, ninguna clave rota. Compara eso con cualquier virus de Microsoft, cuyas víctimas se cuentan por millones..."
Falacia. Primero porque no sabes cuantas víctimas han habido. No creo que haya muchas, pero te digo que alguna va a haber con sistemas legacy. Aparte de los problemas causados en cosas como tiendas online. Y segundo porque el problema sigue siendo muy grave afecte a 1000 usuarios de Debian o a 100.000 de MS. La cagada es seria.
"se ha descubierto el fallo, aunque hayan tardado 2 años. Se ha arreglado. En cambio, Windows sigue con infinitos fallos sin documentar."
Chupi. Pero la Ley de Linus ha fallado una vez más y estás recurriendo al mantra de "pero ya está arreglado". A ver si nos lo aplicamos cuando saquen parches los de MS... Y Windows sigue con fallos sin documentar, igual que Debian hasta ayer... o hasta la siguiente cagada
"se ha parcheado en poquísimo tiempo. Compara eso con los "Windows update""
Dichoso mantra. Y por cierto, los parches para fallos graves salen sin esperar a Windows Update.
"aún así, siempre puedes utilizar una versión distinta a la que empaqueta Debian. Prueba tu eso en Windows..."
Vale, cuando salga un fallo en Vista te diré. "¡Ah! pero puedes usar Windows 2008, que no tiene ese fallo!"
Y, por cierto, no estaba troleando. Realmente creo que si este fallo fuese de MS ya estaría crucificado en los comentarios pero como es de Ñu se intenta rebajar y disculpar.
Pero que te voy a decir a ti, que en la noticia de las inyecciones de SQL masivas (culpa de los programadores por no sanitizar las entradas de usuario) ya estabas crucificando a MS en la propia entradilla: 500.000 servidores web de Microsoft hackeados
500.000 servidores web de Microsoft hackeados
f-secure.com#20 El bug que aprovechaba Blaster llevaba parcheado semanas antes de la primera infección. Los que se infectaron no tenían el sistema actualizado, igual que los que no actualicen y generen claves nuevas se comeran un posible juankeo por esto.
"Cuando es robusto y fuerte, como Debian, un único fallo no suele comprometer el sistema por completo."
Jo-ño. ¿Sacar la clave privada del root de un sistema no es comprometer el sistema por completo?
#7 gracias por la explicación. Me ha recordado a esta mítica tira http://www.virtualp.us/Dilbert-Oct_25_001.jpg
El fallo es muy fuerte, y es alucinante que lleve ahí desde 2006 sin que nadie se diese cuenta.
Más info imprescindible, en los comentarios de /.:
http://it.slashdot.org/article.pl?sid=08/05/13/1533212
A ver si me entero:
un parche aplicado en Debian, que elimina la generar información random a la hora de generar los keys, para evitar que Valgrind se queje
Es decir, como el Valgrind (http://valgrind.org/) se quejaba, pues quitamos la aleatoriedad a la generación de claves SSH y a tomar por saco. Gran técnica de programación, sin duda
Y aprovecho para flamear de nuevo:
mozilla-distribuyo-durante-meses-complemento-para-firefox-incluia-codi/1#comment-2
Mozilla distribuyó durante meses un complemento pa...
kriptopolis.orgEl fallo de Firefox fue en un binario de soporte al vietnamita y tardo casí 2 meses en ser detectado. Ok, es un trozo de código poco usado y la detección fue más o menos rápidas.
Pero ¿2 años para localizar este error? Y además en la generación de las llaves SSH, que es un aspecto crítico en materia de seguridad.
Nuevamente, no defiendo el modelo de "seguridad vía oscuridad" del S.P. , pero ¿hasta que punto es verdad y hasta que punto es un mito eso de que hay mucha gente revisando el código?
Por que esta vez es un lugar crítico y el fallo ha estado un montón de tiempo ahí.
#12 Bueno, dos años para un bug tan rebuscado no es tanto tiempo. Aunque sí, es muy grave, y soberanamente gilipollas la forma en que se ha introducido. Será porque el que lo solucionó no es experto en seguridad, y demuestra una vez más que hasta los mejores informáticos cometen/cometemos errores.
"que afecta a Debian y todos sus derivados (Ubuntu, por ejemplo)" Le estoy cogiendo manía a Ubuntu
#21 pero quien se loguea como root por ssh??? como mucho hasta que haces un usuario y cambias la configuracion para que root no se pueda logear nunca jamas mas...
Aparte, lo de 'instalar y olvidar' se suele hacer con red-hats y cent(oll)os, debian es mas casero (loquesea-buntus)...
Ademas, tampoco es para tanto, yo cuando escucho 'vulnerabilidad critica de windows' solo pienso 'otra' y 'a saber cuando la descubrieron estos campeones y cuando les ha dado la gana arreglarla'
Confio mas en el hedonismo friki -y sus ganas de hacerse famosos como este q ha descubierto este bug- que en el funcionariado de microsoft...
Por cierto, como sabeis que microsoft no tiene la misma cagada?
Por cierto 2, como me encanta decir: si tanto os gusta windows, por que no os lo comprais?
Cuando en Windows apareció un problema similar¹ -desde Windows 2000 hasta XP, hagan cuentas...- no lo catalogaron de ningún modo como grave vulnerabilidad... ¡estos linuxeros, son de un alarmista!...
___________
¹ Desvelados serios problemas en el algoritmo que genera los números pseudoaleatorios en Windows 2000 y XP
http://www.hispasec.com/unaaldia/3318
Voy a ir por partes, como cada vez que sale una noticia sobre seguridad, que me llevo las manos a la cabeza leyendo los comentarios...
En primer lugar, el impacto de este bug es incierto, alguno ha comprobado cuanto se tarda, de forma efectiva, en sacar en acertar una de esas claves con entropía reducida? Yo creo que no, entonces no tenemos ni idea de si son 5 minutos o 2 meses.
Es difícil predecir cuanto se tarda realmente, por que se te pueden escapar muchos factores, como bloqueos etc, por lo que no se sabe nunca el impacto de un bug de este tipo, hasta que se prueba ciertamente, y se obtiene una clave.
Dicho esto, #32, eres un alarmista además de un troll.
Según citas tu en:
http://www.hispasec.com/unaaldia/3318
Las conclusiones del estudio revelan (entre otros fallos) que es posible, y relativamente sencillo, predecir los resultados previos y futuros del algoritmo a partir del conocimiento de un estado interno del generador, así como las claves de sesión usadas y las que se usarán en un futuro para cifrar información.
Repite conmigo: "a partir del conocimiento de un estado interno del generador"
Y como piensas obtener "ese conocimiento"? Teniendo algún tipo de acceso PREVIO, es decir, una cuenta en el sistema o acceso local, por lo cual, el bug no es ni de lejos comparable.
Si bien esta noticia es una mala noticia, quizás sirva para que la gente ENTIENDA que no hay 438248348 personas auditando el código de OpenSSL, ni de Mysql, ni de nada.
Realmente somos 4 gatos los que auditamos (desde el punto de vista de seguridad) software libre para colaborar. Existen pocos auditores de código serios (ojo! no he dicho auditores de seguridad en general) y de ellos, muy pocos colaboramos con el software libre.
Solo hay que leer securityfocus durante un tiempo, y te das cuenta que en el fondo hay poca gente auditando... Gracias a dios, algunos proyectos importantes están mas mirados, como Apache (están mirados por la fama/dinero/maquinas zombie/.../ que puede darte un bug en Apache).
¿Cuanta gente creéis que audita los parches de debian aplicados a OpenSSL? Ni dios. Es algo demasiado especifico y cambiante, en todo caso se auditaría OpenSSL, no los parches de debian.
Esto me levanta otra pregunta: En el modelo actual de distribuciones de linux, el software en si mismo está relativamente auditado y controlado (algunos mas que otros) pero...quien realmente audita distros? Normalmente el equipo de seguridad de la distro (si es que lo tiene).
Como veis, finalmente la seguridad de un sistema acaba recayendo siempre en 2-3 personas de un circulo reducido (el equipo de seguridad de la distro en este caso).
Aparte de todo esto... ¿Por que debian se preocupa tanto por los warnings del valgrind? es que creen que OpenSSL está mal echo? Increible.
Vamos, que ahora en vez de 1.000.000.000.000^50 combinaciones (Un porrillón de años) tendrán que probar 1.000^20 combinaciónes (sólo unos cuatrillones), siempre que tengan una cópia de la RAM en el momento de crear la clave.
(Vale, exagero un poco, me refiero que los usuarios que no requieran muchíísima seguridad no se preocupen demasiado)
Pues acabo de actualizar openssh-server y openssh-client con el problema ya resuelto. Es lo que tiene el Software Libre, cuando se descubre un bug, lo arreglan en menos de dos telediarios.
#18 Todas la Etch que se hayan instalado hasta ayer tienen el bug. De ese 100% de bugs pongamos que los BOFHs parchean y regeneran claves en un 90%... tienes un 10% de instalaciones con el bug, ¿comprendes?
No te imaginas la cantidad de servidores "instala y olvida" que hay perdidos por el mundo.
#28 lo recomendable es logear con un usuario normal y luego jugar con sudo o pasar a root.
Creo que no se es consciente de la magnitud de este error:
OpenSSL usa distintas maniobras para conseguir aleatoriedad. Cada paso añade una serie de bits de aleatoriedad. El tío que la cagó comentó toda la función que usaba el vector sin inicializar con lo que se cargó una toda una serie de pasos y dejó el sistema con solo 18 bits de libertad, eso son 262114 claves débiles distintas.
De hecho hay una lista con las claves posibles en este script:
http://security.debian.org/project/extra/dowkd/dowkd.pl.gz
En menos de un segundo se peta una comunicación que tenga esta vulnerabilidad.
#16 no mires el árbol, contempla el bosque
Teóricamente puede ser un error grave, pero a la práctica no lo es tanto. En cualquier caso, a los que ya usan esto para "defender" a sus Windows, andan muy errados.
Que mi super mercedes (o cualquier mega coche de gama alta) haya tenido un pequeño problemilla con una tuerca un poco floja no convierte a tu Panda en un coche mejor que el mío.
#16 los sistemas "legacy" como tu los llamas, no se verán afectados. Sólo afecta a partir de Debian Etch, Sarge está limpia.
Hay mucho loler que no entiende el bug aún... y suelen estár inflados a negativos.
Este bug es sin duda un ejemplo de software en desarrollo. Ahora, gracias a este señor, tiene un bug menos.
Nadie está experimentando con nadie, te dan el software tal y como está, sin garantias. Tú eres el responsable si quieres usarlo.
Para más información, léase la GPL.
#12, menos mal que uso Arch Linux
Yo no veo el fallo como algo tan tremendo. Ese algoritmo está usando zonas de memoria no inicializadas para recoger entropía, pero no tiene ninguna seguridad de que la zona no esté inicializada.
La alerta de seguridad es correcta, pero no hay garantía de que la entropía recogida sea mejor después del parcheado el fallo que antes. Por lo tanto, es de suponer que esa cosa tiene otras fuentes de entropía, lo cual no hace las claves tan fáciles de adivinar como eso. Es un fallo teórico.
El enfoque ante errores en el código es completamente distinto en el software libre que en microsoft. En microsoft deciden arreglar o no un fallo dependiendo de su visibilidad. Hay literalmente cientos de errores del sistema operativo (en XP) conocidos que se decidió no arreglar pues los usuarios no los perciben.
Vamos a imaginarnos que pasara algo parecido en Microsoft:
- Hefe, que he encontrado un problema en la generación de claves SSH.
- Pos qué pasa? Ejecución de código arbitrario?
- Noooo, que va, menos entropía en en PRNG, se pueden descubrir las claves por fuerza bruta con menos recursos.
- Quién hizo esta barbaridad?
- Uno que ya no trabaja aquí. El tio no sabía lo que estaba tocando; he encontrado un log en el correo. ¿Lo arreglo?
- Ni se te ocurra, ¡paleto! Lo contentos que se van a poner en la NSA ¿Quién más lo sabe? ¿ya tienes una acreditación de seguridad firmada?
La NSA nunca declara nada, pero aún así reconocieron hace años que no usan criptoanálisis para descifrar mensajes: "Los sistemas reales son tan inseguros que nunca hace falta".
Después de eso salió una versión de Linux retocada por la NSA, que se podía usar para ciertos sistemas conteniendo información sensible. Windows está prohibido para estos usos.
vaya tela como han salido los perros para abrir la herida.
Los amantes de Windows deberian aprender, se considera Fallo de Seguridad Grave y se anuncia a los 400 vientos, ¿cuantos saben al menos 1 de los mas de 200 fallos críticos del NT?.
Ahora otra historia, analizar el fallo,
1º no afecta a los clientes solo a nivel servidor, esto ya reduce bastante los afectados.
2º no es una puerta abierta, se sigue necesitando la fuerza bruta, y bueno en mi caso ni uso el puerto estandar 22, ni permito a todas las ips que entren, ni una clave me dura mas de 5 dias y el sistema me avisa cuando entra algún root, una buena planificación y todos los ordenadores del mundo y solo necesitaria 20 años para petarlo, [IRONIC ON]ciertamente está endeble el sistema[IRONIC OFF].
SECCIÓN: Y TÚ MÁS, TE REBOTA Y EN TU CULO EXPLOTA
>>#2 Perfecto es Windows, cuyos fallos críticos (sí, tiene algunos) se solucionan a más tardar en 1 MES.
>>Por cierto, como sabeis que microsoft no tiene la misma cagada?
Por cierto 2, como me encanta decir: si tanto os gusta windows, por que no os lo comprais?
>>Los amantes de Windows deberian aprender, se considera Fallo de Seguridad Grave y se anuncia a los 400 vientos, ¿cuantos saben al menos 1 de los mas de 200 fallos críticos del NT?.
>>#52 #12 Claro, que tu puedes estar COMPLETAMENTE SEGURO de cómo genera las contraseñas Windows porque has visto el código de Microsoft, ¿verdad?
>>* lo primero, que no ha habido ninguna víctima, ningún ordenador pwn3ado, ninguna clave rota. Compara eso con cualquier virus de Microsoft, cuyas víctimas se cuentan por millones...
* se ha descubierto el fallo, aunque hayan tardado 2 años. Se ha arreglado. En cambio, Windows sigue con infinitos fallos sin documentar.
* se ha parcheado en poquísimo tiempo. Compara eso con los "Windows update".
* aún así, siempre puedes utilizar una versión distinta a la que empaqueta Debian. Prueba tu eso en Windows...
>>#47 No sabía que MS España tenía en plantilla gente cuyo cometido es hacer sangre a la primera que otro sistema operativo muestre un fallo...
¿A ver, a mi qué cohone me importa lo que haga o deje de hacer Microsoft y su Windows? ¿Qué clase de justificación es que Windows es peor? Oh, mira, Windows es peor, no pasa nada, MS lo hace peor así que nuestra cagada no cuenta.
¿Desde cuando hacerlo mejor que MS es algo loable o que quite importancia a los propios fallos? Para mi, hacerlo mejor que MS es algo que ni merece ser mencionado. Es lo mínimo exigible y decir "pero mira, soy mejor que el mínimo exigible" no me vale para nada.
Si he mencionado a MS ha sido precisamente porque sabía que iban a venir la retahila de comentarios lamentables como:
"Hoyga, acabo de hacer los 100 metros lisos en 3 minutos 20 segundos. Pero mira, el hemipléjico ciego narcoléptico de ahí al lado, tarda como mínimo 10 minutos. ¡Como molo!"
SECCIÓN: NO PASA NADA, LA LIGA ESTÁ GANADA
>>Pues acabo de actualizar openssh-server y openssh-client con el problema ya resuelto. Es lo que tiene el Software Libre, cuando se descubre un bug, lo arreglan en menos de dos telediarios.
>>El #8 tiene razón, no es un problema para el "usuario". Que demonios, el usuario normal no tiene SSH instalado.
>>una vulnerabilidad menos
>>Este bug es sin duda un ejemplo de software en desarrollo. Ahora, gracias a este señor, tiene un bug menos.
Nadie está experimentando con nadie, te dan el software tal y como está, sin garantias. Tú eres el responsable si quieres usarlo.
Estas frases me las apunto para el próximo bug descubierto en algo como IIS o SQLServer.
"Fallo gravísimo en el SQLServer" -> No es un problema para el "usuario". Que demonios, el usuario normal no tiene SQLServer instalado.
"Escalada de privilegios en IIS" -> una vulnerabilidad menos
PD: F-A-N-B-O-I-S
Gracias al que lo puso. De todas formas creo que aqui esta mejor explicado:
http://www.ubuntips.com.ar/2008/05/13/como-saber-si-tu-sistema-esta-afectado-por-la-vulnerabilidad-en-openssh/
Me parece que se van a comer vivo al que introdujo el bug
#1 Uy Lo que has dicho!
#12 Claro, que tu puedes estar COMPLETAMENTE SEGURO de cómo genera las contraseñas Windows porque has visto el código de Microsoft, ¿verdad?
#54 Me hace gracia tu comentario poniendo: no te preocupes, acepto tus disculpas.
Había entendido tu comentario perfectamente la primera vez (y sin explicación posterior por tu parte!) pero el que no me has entendido eres tu, te lo voy a explicar no sea que...
Tu has comentado un bug en windows, que requiere de una información de entropía para ser explotado, y que solo puede conseguirse de forma local, ademas, su efectividad NO ha sido probado, para comprar un bug en linux que permite comprometer la cuenta de root, sin necesidad de ninguna información adicional, y de forma completamente remota, ademas, de forma genérica. Y de esta comparación intentas deducir como conclusión, que en linux somos mas "alarmistas" o le damos mas importancia.
Repite conmigo: remoto es mucho mas grave que local...remoto es mucho mas grave que local...remoto es mucho mas grave que local
¿Ves como yo también se poner comentarios chulescos? Pero al menos, cuando lo hagas, como has echo tu arriba, cerciórate de que estás on-topic, de que entiendes del tema, de que comprendes lo que se te dice, y de que no estás metiendo la pata como un iluso, por que sino, al contestar con chulería y encima metiendo la pata, quedas como un ignorante.
Acerca de tu sugerencia en #54:
Respecto a la magnitud del problema, lee a #39.
Solo te voy a contestar una cosa, he dicho mas arriba que soy auditor, he auditado OpenSSL precisamente en varias ocasiones...pero supongo que no, que no soy capaz de imaginarme el problema me lo podrías explicar de nuevo? es que no queda muy claro cuando te has leído el código fuente entero de la aplicación.
#45 en el titular pone "GRAVISIMA"
Al final los comentarios a estas noticias se acaban convirtiendo en flames anti-ms o anti-opensource. ¿es que no seremos nunca capaces de apreciar cosas buenas de unos y otros sistemas a la vez que podamos criticar fallos de unos y otros?
#31 ¿Mande? Yo también utilizo Arch Linux. ¿Quiere eso decir que estoy libre de peligro?
#7 #12 No podría estar más de acuerdo. Está claro que no ha tenido la magnitud y el alcance de los virus y vulnerabilidades para Windows, pero está claro que el que esa vulnerabilidad haya estado ahí 2 años es bastante grave, pero nada, como es una distro del bicho cornudo, hala, no ha pasado nada, pero si hubiese sido de Microsoft ya se hubieran salido de madre con los tópicos anti-windows.
#29: sí, aquí igual, pero hay que regenerar las claves a mano, y luego cambiarlas en tus máquinas remotas, etc.
A ver, que yo estoy de acuerdo con que el software libre reacciona rápido ante estas cosas, ahora bien, también digo que para el usuario normal es un cristo tener que andar con keygen y con cambios en authorized_keys, etc.
[Claro, que el usuario normal, si nos ponemos, no abre una terminal ni escribe ssh en la vida...]
Ahora entiendo porque ayer tenía tantos intentos brute force en el servidor, de normal hay 3-4 intentos diarios pero ayer se dispararon hasta los 200, gracias a que tengo el logeo de root capado y a que actualizo a diario.
#37 grrr... ¡troll!
Ubuntu se me acaba de actualizar, corrigiendo dicho fallo de seguridad.
#36 Vuelve a leerte mi comentario #32 y el contenido del enlace, porque es evidente que lo has entendido al revés. Lo explico a continuación, por si el analfabetismo funcional...
La noticia que enlazo de hispasec no es sobre este problema de seguridad en Debian, sino sobre otro semejante en Windows. Y con mi comentario daba a entender, precisamente, que lo que pasa es que los linuxeros nos tomamos la seguridad mucho más en serio y llamamos grave vulnerabilidad a lo que en el argot de Microsoft se denomina compromiso local o algún eufemismo similar.
No te preocupes, acepto tus disculpas.
Respecto a la magnitud del problema, lee a #39.
#44 Tienes razón, esto se está utilizando para hacer FUD.
Pues vale... me voy a pasar a windows solo por esto (porque estas cosas con Windows no pasan).
Parece ser que los ataques van dirigidos a obtener acceso de root mediante SSH, por lo que (según mis conocimientos) bastaría con usar las directivas "PermitRootLogin no" y "AllowUsers nombredeusuario" para evitar cualquier problema. ¿Me dejo algo?
#60 "Microsoft sí que te da garantías de que va a funcionar. La GPL no."
Lee las EULA de MS: tiene un "AS IS" asín de grande.( http://en.wikipedia.org/wiki/As_is ) igualicas que la GPL.
Y repito una vez más. ¿A qué viene compararse con MS? ¿LA idea no es compararse con algo equivalente o superior y no con la mierda? En fin...
"Además, ¿estás en contra de que se solucionen los bugs?"
Mi mente no es capaz de imaginar la forma en la que has podido llegar a plantearte después de leer mis comentarios. Iluminame.
#16
Soy el primero en criticar este fallo de Debian, en ningún momento lo rebajo y discuto. Pero hay órdenes de magnitud, no comparemos este fallo a un Blaster, por decir algo. Cuando un sistema es blandengue y debilucho, un pequeño fallo lo hace temblar y derrumbarse. Cuando es robusto y fuerte, como Debian, un único fallo no suele comprometer el sistema por completo.
Respecto a aquella noticia de inyecciones SQL, el fallo estaba en el IIS, que se dejaba violar hasta el fondo. En un sistema operativo con usuarios y permisos eso no habría pasado (y no pasó). La entradilla era una traducción de la de slashdot, que es lo que suelo hacer. Ala, toma ad-hominem.
#63 Simplemente porque te emperrabas en decir lo de la Ley de Linus cuando el tema es Debian y Linus en Debian no tiene nada que ver.
Respecto al resto, si, la ventaja del software libre, es que uno programa y varios ven ese codigo...siendo mas probable que se descubran mas fallos que en un software donde solo hay un grupo de X personas fijas. Esto es innegable, de ahi que se hagan beta-testeos en practicamente todas las cosas serias... Asi pues, siempre que alguien acceda al codigo fuente de un programa libre y descubra un fallo, la ley de linus se cumplira (por eso es ley y no teoria )
a) no es infalible
b) se asume que todo el SL cumple la Ley de Linus, cuando en casos como este o en proyectos pequeños no existe la premisa de "muchos ojos", con lo cual no puede cumplirse.
Bien, te pondre un ejemplo practico, la Ley de la gravedad.
a) No es infalible. Tanto en agujeros negros como a nivel planetario, la ley no se cumple al 100% (en un agujero negro, a determinadas distancias, sus valores ni se acercan, de ahi que se siga investigando sobre este campo)
b) Se asume que se cumple en todo el universo, cuando resulta que no conocemos de este ni el 10% y sabemos que hay excepciones a la misma, con lo cual no siempre se cumple...
¿Que hacemos, quitamos la ley de la gravedad?
#50 #16 Error de concepto. Linus Torvalds no hace Debian.
Error de comprensión lectora y/o conocimientos. Que yo cite la frase llamada "Ley de Linus" no quiere decir que me refiera al trabajo de Torvalds. De hecho, la frase debería llamarse la "Ley de Raymond", Linus no tiene nada que ver en ello...
#62 Antes de nada. ¿A qué te referías con la frase "#16 Error de concepto. Linus Torvalds no hace Debian." ?
¿Seguro que no ha sido que leido "Linus" y has escrito eso sin más?
"Segun esas premisas, lo citado en la noticia, no es mas que una demostracion mas de la "Ley de Linus" dado que sino el error no se hubiese detectado y reparado."
Claro, por lo tanto siempre que alguien mirando un código vea un bug se "demuestra" la "Ley de Linus"...
La idea de esa frase era indicar que en el SL los bugs son detectados muy rápidamente dado hay más gente revisando el código que en el soft privativo.
2 años no me parece demasiado rápido... Y no ha sido rápido porque, entre otras cosas,no se ha aplicado esa ley en este caso: muchos ojos revisaban el código de SSL en busca de fallos. Pero muy pocos revisan las modificaciones hechas por Debian. No hay muchos ojos, no hay Ley de Linus.
Por otro lado, me parece una soberana idiotez negar que varias personas ven mas que una, pinte como se pinte... (aunque puedes sacar todos los casos en los que alguna y rara vez varias personas no se dieron cuenta de algo para justificarte)
¿?¿? No negaba algo tan obvio como eso. Sólo decía que
a) no es infalible
b) se asume que todo el SL cumple la Ley de Linus, cuando en casos como este o en proyectos pequeños no existe la premisa de "muchos ojos", con lo cual no puede cumplirse.
Estoy contigo #40, todo bug detectado en un sop es malo (bueno, entiendase, es bueno que lo detecten, malo que este jeje)
De todas formas a veces hasta entiendo los flames, ya lo comente en otra noticia sobre un bug en win que algunos linuxeros parecian alegrarse cada vez que habia un fallo en windows, y las cosas no son asi, todo sistema tiene sus fallos, al menos si el sistema evoluciona (otra cosa es que siguieramos con un sop del año catapum revisado mil veces pero todos queremos avanzar) , pero creo que es importante que todos, tanto linuxeros como windowseros (como mackeros) aprendamos a respetar a los usuarios de otros sistemas, y a no burlarnos cuando el otro sistema falla, asi que igual la idea es que los que se rieron de bugs de windows ahora aprenden un poco de humildad
sobre el fallo en si, no creo que siendo 'grave' lo sea tanto, al menos si esta solventado ya, aunque los grados de libertad fueran pocos el sistema no ha estado realmente expuesto estos años (ya que los posibles ataques se basarian en la suposicion de que habia mas grados de libertad en la generacion aleatoria) asi que en ese aspecto no es demasiado serio si se parchean los sistemas ahora
El problema puede venir por los sistemas que no se actualizan, muchos diran que hay pocas maquinas asi pero .. las hay , y muchas, en un sistema usado habitualmente por terminal o como 'pc de ofimatica' es muy facil que se parchee , pero en sistemas de 'instalar y olvidar' que en muchos casos no tienen ni conexion a internet o no estan configurados para actualizarse automaticamente, y en los que 'salvo si falla no se loguea nadie' puede ser un problema serio, y existen muchas maquinas asi, en muchos casos se usan distros pre-montadas para una tarea especifica y no se parchea automaticamente (uno actualiza a la distro de la version siguiente cuando considera oportuno pero no suelen sacar parcheos online que la mismo distro baje... porque suele ser algo arriesgado , si la maquina es medio critica no podemos confiar en que automaticamente vaya intentando actualizarse y nos pete a mitad de la noche)
En cualquier caso espero que el problema se solvente bien para todos ^^
Como conclusión:
1º Cierto lo de los tópicos antiwindows (a su favor debo decir que también salen los tópicos antilinux nombrando los tópicos antiwindows)
2º Llevo 1 año con GNU/Linux, con varias distros (una de ellas ubuntu) no entiendo muy bien el problema... Sólamente comprendí que pueden hacerse con el sistema si accedes remotamente siendo root ¿no?
3º En todas las conversaciones acerca de bugs en GNU/Linux se trata de buscar la máxima seguridad, la seguridad es lo más importante, da la sensación de ser muy puristas en este aspecto. Windows se basa en ser cerrado y confiar en que no te encuentren los fallos (una visión parcial y simplista, lo sé).
4º Faltan testeadores y auditores de software, y cuanto más específico es este más faltan, es un problema a solucionar...
5º ¿Por qué las noticias de los bugs de GNU/Linux son siempre tan catastrofistas? Parece que un problema de programación que consista en que un usuario (a través de la consola y después de cierto tiempo de teclear comandos imposibles para el usuario medio) pueda subirse los privilegios es un grave problema cuando el usuario medio de Windows ya los tiene todos (o en el vista desactivando Control de Cuenta de Usuario, lo cual lo hace todo el mundo). Entiendo esa preocupación por la seguridad y es una de las cosas buenas de GNU/Linux
#16 Error de concepto. Linus Torvalds no hace Debian.
ZAS!!!! En toda la boca.
#4 hay que contar el tiempo entre que se descubre y lo arreglan.
En el software libre:
- ¡ya!
Resultado: 3 meses de promedio.
En el privativo:
- esperar a que los desarrolladores exclusivos y amos del código lean el reporte
- esperar a que los desarrolladores exclusivos y amos del código reconozcan el error
- esperar a que los darrolladores exclusivos y amos del código se les pase el cabreo porque alguien descubrió algo feo en su cosa maravillosa (eso decía la nota de prensa de lanzamiento, que casi siempre se puede resumir en "WOW!")
- esperar a que los dsarrolladores exclusivos y amos del código busquen alguna excusa para decir que no es tan grave
- dejar pasar un par de meses, cosa que demuestra cuan cierto es (y ademaś verdadero) lo que dijeron los desarrolladores exclusivos y amos del código: no es tan grave. O lo habrian arreglado inmediatamente, puesto que son «una corporación que el año pasado invirtió la hostia rellena de millones en seguridad».
Resultado: 3 meses de promedio.
#12 Cuando hablamos de bugs en el código de Microsoft nos referimos a lo que ellos deberían hacer porque sólo lo pueden hacer ellos. Prohíben que lo hagamos nosotros.
Por eso hoy muy pocos usuarios de software miran código. Costará muchos años recuperar esas buena costumbre --para los aficionados a ello, que siempre hay, y a tunear coches y a hacer torres Eiffel con palillos.
Cuando hablamos de software libre, eso sucedió porque tú no miraste el código. Yo tampoco.
No sé si ves la diferencia esencial.
#58: >>Este bug es sin duda un ejemplo de software en desarrollo. Ahora, gracias a este señor, tiene un bug menos.
Nadie está experimentando con nadie, te dan el software tal y como está, sin garantias. Tú eres el responsable si quieres usarlo.
>Estas frases me las apunto para el próximo bug descubierto en algo como IIS o SQLServer.
Microsoft sí que te da garantías de que va a funcionar. La GPL no.
Además, ¿estás en contra de que se solucionen los bugs?
Ya han salido dos exploits específicos que aprovechan la vulnerabilidad para intentar robar logins del sistema:
Como se deduce del código, la vulnerabilidad no consiste en que puedan escuchar una comunicación cifrada, sino en que pueden conseguir bruteforcear en poco tiempo, la key de un usuario para acceder al sistema.
http://www.milw0rm.com/exploits/5632
http://www.milw0rm.com/exploits/5622
#55 El fallo es exclusivo de debian (y derivados).
El problema que veo es tener que regenerar los certificados ssl, con todo lo que ello conlleva. Pero bueno, todo sea por estar más seguros.
Ahh, para evitar ataques por fuerza bruta, fail2ban
#49 hablo de los comentarios
#47 solo ocurre exactamente lo mismo que cuando se anuncia un fallo de Windows
#59 Creo que has errado de nuevo...
Copi pasteo de la wikipedia http://es.wikipedia.org/wiki/Ley_de_Linus :
"Aquí, hay una diferencia esencial entre los dos estilos. En el enfoque usado para desarrollar software propietario, los errores y problemas de desarrollo son fenómenos complejos y profundos. Generalmente toma meses de revisión exhaustiva para que unos cuantos confíen en que los errores han sido eliminados. Por eso se dan los intervalos tan largos entre cada versión que se libera, y la inevitable desmoralización cuando estas versiones, largamente esperadas, no resultan perfectas.[1]
En el enfoque usado para desarrollar software libre, se asume que los errores son fenómenos relativamente evidentes, o por lo menos que pueden volverse relativamente evidentes cuando se exhiben a miles de entusiastas desarrolladores que colaboran sobre cada una de las versiones. Por lo tanto, se libera con frecuencia para poder obtener una mayor cantidad de correcciones en menos tiempo.[1]
Una mayor cantidad de usuarios detecta más errores debido a que tienen diferentes maneras de evaluar el programa. Este efecto se incrementa cuando los usuarios son desarrolladores asistentes. Cada uno enfoca la tarea de la caracterización de los errores con instrumentos analíticos distintos, desde un ángulo diferente.[1]
Por lo tanto, el agregar más beta-testers podría no contribuir a reducir la complejidad del "más profundo" de los errores actuales desde el punto de vista del desarrollador, sino que aumenta la probabilidad de que alguno de ellos vea claramente el error y pueda solucionarlo.[1]"
Segun esas premisas, lo citado en la noticia, no es mas que una demostracion mas de la "Ley de Linus" dado que sino el error no se hubiese detectado y reparado.
Por otro lado, me parece una soberana idiotez negar que varias personas ven mas que una, pinte como se pinte... (aunque puedes sacar todos los casos en los que alguna y rara vez varias personas no se dieron cuenta de algo para justificarte)
A ver si me aclaro, la clave no se puede saber a no ser que exista una comunicación entre dos equipos, no es asi?
Si lo he entendido bien, las claves se pueden sacar interceptando tráfico, que no siempre es posible.
#36 Y como piensas obtener "ese conocimiento"? Teniendo algún tipo de acceso PREVIO, es decir, una cuenta en el sistema o acceso local, por lo cual, el bug no es ni de lejos comparable.
Pues si es una máquina que corre como firewall/router y cuya única fuente de entropía son los datos que le llegan por red, sería posible tener una idea muy aproximada del estado interno del aparato. Para esto existen otros algoritmos como http://en.wikipedia.org/wiki/Yarrow_algorithm que implementa FreeBSD.
#36 Aparte de todo esto... ¿Por que debian se preocupa tanto por los warnings del valgrind? es que creen que OpenSSL está mal echo? Increible.
Todo está mal hecho. Es normal que se preocupen por los warnings, para depurar lo ideal es que la ejecución sea "limpia", aunque sea una cagada lo que han hecho.
oh dios! han debido robarme todas las claves de tarjetas de credito y convertir mi pc en zombi en las 5 horas en la que la "gravisima" vulnerabilidad ha sido publica... tendre que formatear e instalar windows con mcaffee ¡eso si que es seguridad!
¡Revisen los fuentes, coño! ¡los fuentes!
Pues a lo mejor estoy confundido, pero creo que mucha gente se logea como root por ssh. Yo lo hago porque necesito privilegios para modificar cosas de apache y otros programas.
una vulnerabilidad menos
No sabía que MS España tenía en plantilla gente cuyo cometido es hacer sangre a la primera que otro sistema operativo muestre un fallo...
Debian, para los fanáticos de la pureza, que no es tal
Ubuntu, para que te juankeen las fotos del cumple
Gentoo, para configurar una vez y olvidarte de todas estas tonterías
¡Gentoo rulez!
#2 Perfecto es Windows, cuyos fallos críticos (sí, tiene algunos) se solucionan a más tardar en 1 MES.
#2 Calla chacho, que esto es Menéame y decir cosas así aquí es tabú!
#26 Que raro, esta vez estoy de acuerdo contigo al 100%. Mas claro imposible!
jejejej cuando es de Linux es un fallo sin importancia, cuando es de Microsoft es gravisimo. A ver si asi se le bajan los humos a mas de uno.
Por cierto, eso de que sacan un parche enseguida no se hasta que punto es bueno, una modificación en el SO hay que probarla bien para comprobar entre otras cosas que no genera nuevas vulnerabilidades, no se puede sacar un parche rapido para arreglarlo.
tremenda mierda de SO... y asi quieren que todos usen su experimiento? pfff que jueguen los que tienen tiempo, los demas tenemos vida
Espera, ¿Un error en Ubuntu? ¿No era un sistema perfecto? ¿O esque no estoy en menémame?