#7 gracias por la explicación. Me ha recordado a esta mítica tira http://www.virtualp.us/Dilbert-Oct_25_001.jpg

El fallo es muy fuerte, y es alucinante que lleve ahí desde 2006 sin que nadie se diese cuenta.

Más info imprescindible, en los comentarios de /.:
http://it.slashdot.org/article.pl?sid=08/05/13/1533212

#12 Bueno, dos años para un bug tan rebuscado no es tanto tiempo. Aunque sí, es muy grave, y soberanamente gilipollas la forma en que se ha introducido. Será porque el que lo solucionó no es experto en seguridad, y demuestra una vez más que hasta los mejores informáticos cometen/cometemos errores.

"que afecta a Debian y todos sus derivados (Ubuntu, por ejemplo)" Le estoy cogiendo manía a Ubuntu

Vamos, que ahora en vez de 1.000.000.000.000^50 combinaciones (Un porrillón de años) tendrán que probar 1.000^20 combinaciónes (sólo unos cuatrillones), siempre que tengan una cópia de la RAM en el momento de crear la clave.

(Vale, exagero un poco, me refiero que los usuarios que no requieran muchíísima seguridad no se preocupen demasiado)

Pues acabo de actualizar openssh-server y openssh-client con el problema ya resuelto. Es lo que tiene el Software Libre, cuando se descubre un bug, lo arreglan en menos de dos telediarios.

#18 Todas la Etch que se hayan instalado hasta ayer tienen el bug. De ese 100% de bugs pongamos que los BOFHs parchean y regeneran claves en un 90%... tienes un 10% de instalaciones con el bug, ¿comprendes?

No te imaginas la cantidad de servidores "instala y olvida" que hay perdidos por el mundo.

#28 lo recomendable es logear con un usuario normal y luego jugar con sudo o pasar a root.

Creo que no se es consciente de la magnitud de este error:

OpenSSL usa distintas maniobras para conseguir aleatoriedad. Cada paso añade una serie de bits de aleatoriedad. El tío que la cagó comentó toda la función que usaba el vector sin inicializar con lo que se cargó una toda una serie de pasos y dejó el sistema con solo 18 bits de libertad, eso son 262114 claves débiles distintas.

De hecho hay una lista con las claves posibles en este script:
http://security.debian.org/project/extra/dowkd/dowkd.pl.gz

En menos de un segundo se peta una comunicación que tenga esta vulnerabilidad.

#16 no mires el árbol, contempla el bosque

Teóricamente puede ser un error grave, pero a la práctica no lo es tanto. En cualquier caso, a los que ya usan esto para "defender" a sus Windows, andan muy errados.

Que mi super mercedes (o cualquier mega coche de gama alta) haya tenido un pequeño problemilla con una tuerca un poco floja no convierte a tu Panda en un coche mejor que el mío.

Hay mucho loler que no entiende el bug aún... y suelen estár inflados a negativos.

Este bug es sin duda un ejemplo de software en desarrollo. Ahora, gracias a este señor, tiene un bug menos.

Nadie está experimentando con nadie, te dan el software tal y como está, sin garantias. Tú eres el responsable si quieres usarlo.

Para más información, léase la GPL.

SECCIÓN: Y TÚ MÁS, TE REBOTA Y EN TU CULO EXPLOTA

>>#2 Perfecto es Windows, cuyos fallos críticos (sí, tiene algunos) se solucionan a más tardar en 1 MES.

>>Por cierto, como sabeis que microsoft no tiene la misma cagada?
Por cierto 2, como me encanta decir: si tanto os gusta windows, por que no os lo comprais?

>>Los amantes de Windows deberian aprender, se considera Fallo de Seguridad Grave y se anuncia a los 400 vientos, ¿cuantos saben al menos 1 de los mas de 200 fallos críticos del NT?.

>>#52 #12 Claro, que tu puedes estar COMPLETAMENTE SEGURO de cómo genera las contraseñas Windows porque has visto el código de Microsoft, ¿verdad?

>>* lo primero, que no ha habido ninguna víctima, ningún ordenador pwn3ado, ninguna clave rota. Compara eso con cualquier virus de Microsoft, cuyas víctimas se cuentan por millones...
* se ha descubierto el fallo, aunque hayan tardado 2 años. Se ha arreglado. En cambio, Windows sigue con infinitos fallos sin documentar.
* se ha parcheado en poquísimo tiempo. Compara eso con los "Windows update".
* aún así, siempre puedes utilizar una versión distinta a la que empaqueta Debian. Prueba tu eso en Windows...

>>#47 No sabía que MS España tenía en plantilla gente cuyo cometido es hacer sangre a la primera que otro sistema operativo muestre un fallo...

¿A ver, a mi qué cohone me importa lo que haga o deje de hacer Microsoft y su Windows? ¿Qué clase de justificación es que Windows es peor? Oh, mira, Windows es peor, no pasa nada, MS lo hace peor así que nuestra cagada no cuenta.

¿Desde cuando hacerlo mejor que MS es algo loable o que quite importancia a los propios fallos? Para mi, hacerlo mejor que MS es algo que ni merece ser mencionado. Es lo mínimo exigible y decir "pero mira, soy mejor que el mínimo exigible" no me vale para nada.

Si he mencionado a MS ha sido precisamente porque sabía que iban a venir la retahila de comentarios lamentables como:
"Hoyga, acabo de hacer los 100 metros lisos en 3 minutos 20 segundos. Pero mira, el hemipléjico ciego narcoléptico de ahí al lado, tarda como mínimo 10 minutos. ¡Como molo!"

SECCIÓN: NO PASA NADA, LA LIGA ESTÁ GANADA

>>Pues acabo de actualizar openssh-server y openssh-client con el problema ya resuelto. Es lo que tiene el Software Libre, cuando se descubre un bug, lo arreglan en menos de dos telediarios.

>>El #8 tiene razón, no es un problema para el "usuario". Que demonios, el usuario normal no tiene SSH instalado.

>>una vulnerabilidad menos

>>Este bug es sin duda un ejemplo de software en desarrollo. Ahora, gracias a este señor, tiene un bug menos.
Nadie está experimentando con nadie, te dan el software tal y como está, sin garantias. Tú eres el responsable si quieres usarlo.

Estas frases me las apunto para el próximo bug descubierto en algo como IIS o SQLServer.

"Fallo gravísimo en el SQLServer" -> No es un problema para el "usuario". Que demonios, el usuario normal no tiene SQLServer instalado.
"Escalada de privilegios en IIS" -> una vulnerabilidad menos



PD: F-A-N-B-O-I-S

Gracias al que lo puso. De todas formas creo que aqui esta mejor explicado:

http://www.ubuntips.com.ar/2008/05/13/como-saber-si-tu-sistema-esta-afectado-por-la-vulnerabilidad-en-openssh/

Me parece que se van a comer vivo al que introdujo el bug

#12 Claro, que tu puedes estar COMPLETAMENTE SEGURO de cómo genera las contraseñas Windows porque has visto el código de Microsoft, ¿verdad?

#54 Me hace gracia tu comentario poniendo: no te preocupes, acepto tus disculpas.

Había entendido tu comentario perfectamente la primera vez (y sin explicación posterior por tu parte!) pero el que no me has entendido eres tu, te lo voy a explicar no sea que...

Tu has comentado un bug en windows, que requiere de una información de entropía para ser explotado, y que solo puede conseguirse de forma local, ademas, su efectividad NO ha sido probado, para comprar un bug en linux que permite comprometer la cuenta de root, sin necesidad de ninguna información adicional, y de forma completamente remota, ademas, de forma genérica. Y de esta comparación intentas deducir como conclusión, que en linux somos mas "alarmistas" o le damos mas importancia.

Repite conmigo: remoto es mucho mas grave que local...remoto es mucho mas grave que local...remoto es mucho mas grave que local

¿Ves como yo también se poner comentarios chulescos? Pero al menos, cuando lo hagas, como has echo tu arriba, cerciórate de que estás on-topic, de que entiendes del tema, de que comprendes lo que se te dice, y de que no estás metiendo la pata como un iluso, por que sino, al contestar con chulería y encima metiendo la pata, quedas como un ignorante.

Acerca de tu sugerencia en #54:

Respecto a la magnitud del problema, lee a #39.

Solo te voy a contestar una cosa, he dicho mas arriba que soy auditor, he auditado OpenSSL precisamente en varias ocasiones...pero supongo que no, que no soy capaz de imaginarme el problema me lo podrías explicar de nuevo? es que no queda muy claro cuando te has leído el código fuente entero de la aplicación.

#45 en el titular pone "GRAVISIMA"

Al final los comentarios a estas noticias se acaban convirtiendo en flames anti-ms o anti-opensource. ¿es que no seremos nunca capaces de apreciar cosas buenas de unos y otros sistemas a la vez que podamos criticar fallos de unos y otros?

#31 ¿Mande? Yo también utilizo Arch Linux. ¿Quiere eso decir que estoy libre de peligro?

#7 #12 No podría estar más de acuerdo. Está claro que no ha tenido la magnitud y el alcance de los virus y vulnerabilidades para Windows, pero está claro que el que esa vulnerabilidad haya estado ahí 2 años es bastante grave, pero nada, como es una distro del bicho cornudo, hala, no ha pasado nada, pero si hubiese sido de Microsoft ya se hubieran salido de madre con los tópicos anti-windows.

#29: sí, aquí igual, pero hay que regenerar las claves a mano, y luego cambiarlas en tus máquinas remotas, etc.
A ver, que yo estoy de acuerdo con que el software libre reacciona rápido ante estas cosas, ahora bien, también digo que para el usuario normal es un cristo tener que andar con keygen y con cambios en authorized_keys, etc.
[Claro, que el usuario normal, si nos ponemos, no abre una terminal ni escribe ssh en la vida...]

Ahora entiendo porque ayer tenía tantos intentos brute force en el servidor, de normal hay 3-4 intentos diarios pero ayer se dispararon hasta los 200, gracias a que tengo el logeo de root capado y a que actualizo a diario.

#37 grrr... ¡troll!

Ubuntu se me acaba de actualizar, corrigiendo dicho fallo de seguridad.

#44 Tienes razón, esto se está utilizando para hacer FUD.

Pues vale... me voy a pasar a windows solo por esto (porque estas cosas con Windows no pasan).

Parece ser que los ataques van dirigidos a obtener acceso de root mediante SSH, por lo que (según mis conocimientos) bastaría con usar las directivas "PermitRootLogin no" y "AllowUsers nombredeusuario" para evitar cualquier problema. ¿Me dejo algo?

#60 "Microsoft sí que te da garantías de que va a funcionar. La GPL no."

Lee las EULA de MS: tiene un "AS IS" asín de grande.( http://en.wikipedia.org/wiki/As_is ) igualicas que la GPL.

Y repito una vez más. ¿A qué viene compararse con MS? ¿LA idea no es compararse con algo equivalente o superior y no con la mierda? En fin...

"Además, ¿estás en contra de que se solucionen los bugs?"

Mi mente no es capaz de imaginar la forma en la que has podido llegar a plantearte después de leer mis comentarios. Iluminame.

#16
Soy el primero en criticar este fallo de Debian, en ningún momento lo rebajo y discuto. Pero hay órdenes de magnitud, no comparemos este fallo a un Blaster, por decir algo. Cuando un sistema es blandengue y debilucho, un pequeño fallo lo hace temblar y derrumbarse. Cuando es robusto y fuerte, como Debian, un único fallo no suele comprometer el sistema por completo.

Respecto a aquella noticia de inyecciones SQL, el fallo estaba en el IIS, que se dejaba violar hasta el fondo. En un sistema operativo con usuarios y permisos eso no habría pasado (y no pasó). La entradilla era una traducción de la de slashdot, que es lo que suelo hacer. Ala, toma ad-hominem.

#63 Simplemente porque te emperrabas en decir lo de la Ley de Linus cuando el tema es Debian y Linus en Debian no tiene nada que ver.

Respecto al resto, si, la ventaja del software libre, es que uno programa y varios ven ese codigo...siendo mas probable que se descubran mas fallos que en un software donde solo hay un grupo de X personas fijas. Esto es innegable, de ahi que se hagan beta-testeos en practicamente todas las cosas serias... Asi pues, siempre que alguien acceda al codigo fuente de un programa libre y descubra un fallo, la ley de linus se cumplira (por eso es ley y no teoria )

a) no es infalible
b) se asume que todo el SL cumple la Ley de Linus, cuando en casos como este o en proyectos pequeños no existe la premisa de "muchos ojos", con lo cual no puede cumplirse.

Bien, te pondre un ejemplo practico, la Ley de la gravedad.

a) No es infalible. Tanto en agujeros negros como a nivel planetario, la ley no se cumple al 100% (en un agujero negro, a determinadas distancias, sus valores ni se acercan, de ahi que se siga investigando sobre este campo)
b) Se asume que se cumple en todo el universo, cuando resulta que no conocemos de este ni el 10% y sabemos que hay excepciones a la misma, con lo cual no siempre se cumple...

¿Que hacemos, quitamos la ley de la gravedad?

#50 #16 Error de concepto. Linus Torvalds no hace Debian.

Error de comprensión lectora y/o conocimientos. Que yo cite la frase llamada "Ley de Linus" no quiere decir que me refiera al trabajo de Torvalds. De hecho, la frase debería llamarse la "Ley de Raymond", Linus no tiene nada que ver en ello...

#62 Antes de nada. ¿A qué te referías con la frase "#16 Error de concepto. Linus Torvalds no hace Debian." ?
¿Seguro que no ha sido que leido "Linus" y has escrito eso sin más?

"Segun esas premisas, lo citado en la noticia, no es mas que una demostracion mas de la "Ley de Linus" dado que sino el error no se hubiese detectado y reparado."

Claro, por lo tanto siempre que alguien mirando un código vea un bug se "demuestra" la "Ley de Linus"...
La idea de esa frase era indicar que en el SL los bugs son detectados muy rápidamente dado hay más gente revisando el código que en el soft privativo.
2 años no me parece demasiado rápido... Y no ha sido rápido porque, entre otras cosas,no se ha aplicado esa ley en este caso: muchos ojos revisaban el código de SSL en busca de fallos. Pero muy pocos revisan las modificaciones hechas por Debian. No hay muchos ojos, no hay Ley de Linus.

Por otro lado, me parece una soberana idiotez negar que varias personas ven mas que una, pinte como se pinte... (aunque puedes sacar todos los casos en los que alguna y rara vez varias personas no se dieron cuenta de algo para justificarte)

¿?¿? No negaba algo tan obvio como eso. Sólo decía que
a) no es infalible
b) se asume que todo el SL cumple la Ley de Linus, cuando en casos como este o en proyectos pequeños no existe la premisa de "muchos ojos", con lo cual no puede cumplirse.

Estoy contigo #40, todo bug detectado en un sop es malo (bueno, entiendase, es bueno que lo detecten, malo que este jeje)

De todas formas a veces hasta entiendo los flames, ya lo comente en otra noticia sobre un bug en win que algunos linuxeros parecian alegrarse cada vez que habia un fallo en windows, y las cosas no son asi, todo sistema tiene sus fallos, al menos si el sistema evoluciona (otra cosa es que siguieramos con un sop del año catapum revisado mil veces pero todos queremos avanzar) , pero creo que es importante que todos, tanto linuxeros como windowseros (como mackeros) aprendamos a respetar a los usuarios de otros sistemas, y a no burlarnos cuando el otro sistema falla, asi que igual la idea es que los que se rieron de bugs de windows ahora aprenden un poco de humildad

sobre el fallo en si, no creo que siendo 'grave' lo sea tanto, al menos si esta solventado ya, aunque los grados de libertad fueran pocos el sistema no ha estado realmente expuesto estos años (ya que los posibles ataques se basarian en la suposicion de que habia mas grados de libertad en la generacion aleatoria) asi que en ese aspecto no es demasiado serio si se parchean los sistemas ahora

El problema puede venir por los sistemas que no se actualizan, muchos diran que hay pocas maquinas asi pero .. las hay , y muchas, en un sistema usado habitualmente por terminal o como 'pc de ofimatica' es muy facil que se parchee , pero en sistemas de 'instalar y olvidar' que en muchos casos no tienen ni conexion a internet o no estan configurados para actualizarse automaticamente, y en los que 'salvo si falla no se loguea nadie' puede ser un problema serio, y existen muchas maquinas asi, en muchos casos se usan distros pre-montadas para una tarea especifica y no se parchea automaticamente (uno actualiza a la distro de la version siguiente cuando considera oportuno pero no suelen sacar parcheos online que la mismo distro baje... porque suele ser algo arriesgado , si la maquina es medio critica no podemos confiar en que automaticamente vaya intentando actualizarse y nos pete a mitad de la noche)

En cualquier caso espero que el problema se solvente bien para todos ^^

Como conclusión:
1º Cierto lo de los tópicos antiwindows (a su favor debo decir que también salen los tópicos antilinux nombrando los tópicos antiwindows)

2º Llevo 1 año con GNU/Linux, con varias distros (una de ellas ubuntu) no entiendo muy bien el problema... Sólamente comprendí que pueden hacerse con el sistema si accedes remotamente siendo root ¿no?

3º En todas las conversaciones acerca de bugs en GNU/Linux se trata de buscar la máxima seguridad, la seguridad es lo más importante, da la sensación de ser muy puristas en este aspecto. Windows se basa en ser cerrado y confiar en que no te encuentren los fallos (una visión parcial y simplista, lo sé).

4º Faltan testeadores y auditores de software, y cuanto más específico es este más faltan, es un problema a solucionar...

5º ¿Por qué las noticias de los bugs de GNU/Linux son siempre tan catastrofistas? Parece que un problema de programación que consista en que un usuario (a través de la consola y después de cierto tiempo de teclear comandos imposibles para el usuario medio) pueda subirse los privilegios es un grave problema cuando el usuario medio de Windows ya los tiene todos (o en el vista desactivando Control de Cuenta de Usuario, lo cual lo hace todo el mundo). Entiendo esa preocupación por la seguridad y es una de las cosas buenas de GNU/Linux

#16 Error de concepto. Linus Torvalds no hace Debian.

ZAS!!!! En toda la boca.

#4 hay que contar el tiempo entre que se descubre y lo arreglan.

En el software libre:

- ¡ya!

Resultado: 3 meses de promedio.

En el privativo:

- esperar a que los desarrolladores exclusivos y amos del código lean el reporte

- esperar a que los desarrolladores exclusivos y amos del código reconozcan el error

- esperar a que los darrolladores exclusivos y amos del código se les pase el cabreo porque alguien descubrió algo feo en su cosa maravillosa (eso decía la nota de prensa de lanzamiento, que casi siempre se puede resumir en "WOW!")

- esperar a que los dsarrolladores exclusivos y amos del código busquen alguna excusa para decir que no es tan grave

- dejar pasar un par de meses, cosa que demuestra cuan cierto es (y ademaś verdadero) lo que dijeron los desarrolladores exclusivos y amos del código: no es tan grave. O lo habrian arreglado inmediatamente, puesto que son «una corporación que el año pasado invirtió la hostia rellena de millones en seguridad».

Resultado: 3 meses de promedio.

#12 Cuando hablamos de bugs en el código de Microsoft nos referimos a lo que ellos deberían hacer porque sólo lo pueden hacer ellos. Prohíben que lo hagamos nosotros.

Por eso hoy muy pocos usuarios de software miran código. Costará muchos años recuperar esas buena costumbre --para los aficionados a ello, que siempre hay, y a tunear coches y a hacer torres Eiffel con palillos.

Cuando hablamos de software libre, eso sucedió porque tú no miraste el código. Yo tampoco.

No sé si ves la diferencia esencial.

#58: >>Este bug es sin duda un ejemplo de software en desarrollo. Ahora, gracias a este señor, tiene un bug menos.
Nadie está experimentando con nadie, te dan el software tal y como está, sin garantias. Tú eres el responsable si quieres usarlo.

>Estas frases me las apunto para el próximo bug descubierto en algo como IIS o SQLServer.

Microsoft sí que te da garantías de que va a funcionar. La GPL no.

Además, ¿estás en contra de que se solucionen los bugs?

Ya han salido dos exploits específicos que aprovechan la vulnerabilidad para intentar robar logins del sistema:

Como se deduce del código, la vulnerabilidad no consiste en que puedan escuchar una comunicación cifrada, sino en que pueden conseguir bruteforcear en poco tiempo, la key de un usuario para acceder al sistema.

http://www.milw0rm.com/exploits/5632
http://www.milw0rm.com/exploits/5622

#55 El fallo es exclusivo de debian (y derivados).

El problema que veo es tener que regenerar los certificados ssl, con todo lo que ello conlleva. Pero bueno, todo sea por estar más seguros.

Ahh, para evitar ataques por fuerza bruta, fail2ban

#59 Creo que has errado de nuevo...

Copi pasteo de la wikipedia http://es.wikipedia.org/wiki/Ley_de_Linus :

"Aquí, hay una diferencia esencial entre los dos estilos. En el enfoque usado para desarrollar software propietario, los errores y problemas de desarrollo son fenómenos complejos y profundos. Generalmente toma meses de revisión exhaustiva para que unos cuantos confíen en que los errores han sido eliminados. Por eso se dan los intervalos tan largos entre cada versión que se libera, y la inevitable desmoralización cuando estas versiones, largamente esperadas, no resultan perfectas.[1]

En el enfoque usado para desarrollar software libre, se asume que los errores son fenómenos relativamente evidentes, o por lo menos que pueden volverse relativamente evidentes cuando se exhiben a miles de entusiastas desarrolladores que colaboran sobre cada una de las versiones. Por lo tanto, se libera con frecuencia para poder obtener una mayor cantidad de correcciones en menos tiempo.[1]

Una mayor cantidad de usuarios detecta más errores debido a que tienen diferentes maneras de evaluar el programa. Este efecto se incrementa cuando los usuarios son desarrolladores asistentes. Cada uno enfoca la tarea de la caracterización de los errores con instrumentos analíticos distintos, desde un ángulo diferente.[1]

Por lo tanto, el agregar más beta-testers podría no contribuir a reducir la complejidad del "más profundo" de los errores actuales desde el punto de vista del desarrollador, sino que aumenta la probabilidad de que alguno de ellos vea claramente el error y pueda solucionarlo.[1]"

Segun esas premisas, lo citado en la noticia, no es mas que una demostracion mas de la "Ley de Linus" dado que sino el error no se hubiese detectado y reparado.

Por otro lado, me parece una soberana idiotez negar que varias personas ven mas que una, pinte como se pinte... (aunque puedes sacar todos los casos en los que alguna y rara vez varias personas no se dieron cuenta de algo para justificarte)

A ver si me aclaro, la clave no se puede saber a no ser que exista una comunicación entre dos equipos, no es asi?

Si lo he entendido bien, las claves se pueden sacar interceptando tráfico, que no siempre es posible.

#36 Y como piensas obtener "ese conocimiento"? Teniendo algún tipo de acceso PREVIO, es decir, una cuenta en el sistema o acceso local, por lo cual, el bug no es ni de lejos comparable.

Pues si es una máquina que corre como firewall/router y cuya única fuente de entropía son los datos que le llegan por red, sería posible tener una idea muy aproximada del estado interno del aparato. Para esto existen otros algoritmos como http://en.wikipedia.org/wiki/Yarrow_algorithm que implementa FreeBSD.

#36 Aparte de todo esto... ¿Por que debian se preocupa tanto por los warnings del valgrind? es que creen que OpenSSL está mal echo? Increible.

Todo está mal hecho. Es normal que se preocupen por los warnings, para depurar lo ideal es que la ejecución sea "limpia", aunque sea una cagada lo que han hecho.

oh dios! han debido robarme todas las claves de tarjetas de credito y convertir mi pc en zombi en las 5 horas en la que la "gravisima" vulnerabilidad ha sido publica... tendre que formatear e instalar windows con mcaffee ¡eso si que es seguridad!

¡Revisen los fuentes, coño! ¡los fuentes!

Pues a lo mejor estoy confundido, pero creo que mucha gente se logea como root por ssh. Yo lo hago porque necesito privilegios para modificar cosas de apache y otros programas.

una vulnerabilidad menos

No sabía que MS España tenía en plantilla gente cuyo cometido es hacer sangre a la primera que otro sistema operativo muestre un fallo...

#2 Perfecto es Windows, cuyos fallos críticos (sí, tiene algunos) se solucionan a más tardar en 1 MES.

#2 Calla chacho, que esto es Menéame y decir cosas así aquí es tabú!
#26 Que raro, esta vez estoy de acuerdo contigo al 100%. Mas claro imposible!