Eli
307meneos

Gravísima vulnerabilidad encontrada en OpenSSH, en Debian y derivados

Una gravísima vulnerabilidad en OpenSSH fue expuesta hoy, que afecta a Debian y todos sus derivados (Ubuntu, por ejemplo), y deben ser inmediatamente actualizados y regeneradas las llaves ssh generadas desde el 2006 en adelante.

 71 comentarios en: tecnología, seguridad karma: 614
etiquetas: debian, seguridad, ubuntu, openssh
votos negativos: 2  usuarios: 153  anónimos: 154  
últimas relacionadas
  1. #1   "que afecta a Debian y todos sus derivados (Ubuntu, por ejemplo)" Le estoy cogiendo manía a Ubuntu xD
    votos: 13, karma: 82
    por david_1980 el 13-05-2008 20:54david_1980
  2. #2   » ver comentario
    votos: 56, karma: -286
    por xaman el 13-05-2008 20:56
  3. #3   » ver comentario
    por --60390-- el 13-05-2008 20:56
  4. #4   #2 Perfecto es Windows, cuyos fallos críticos (sí, tiene algunos) se solucionan a más tardar en 1 MES.
    votos: 20, karma: -20
    por kaster el 13-05-2008 20:58kaster
  5. #5   El fallo es muy fuerte, y es alucinante que lleve ahí desde 2006 sin que nadie se diese cuenta.

    Más info imprescindible, en los comentarios de /.:
    it.slashdot.org/article.pl?sid=08/05/13/1533212
    votos: 9, karma: 100
    por DZPM el 13-05-2008 21:07DZPM
  6. #6   A ver si me entero:
    un parche aplicado en Debian, que elimina la generar información random a la hora de generar los keys, para evitar que Valgrind se queje

    Es decir, como el Valgrind (valgrind.org/) se quejaba, pues quitamos la aleatoriedad a la generación de claves SSH y a tomar por saco. Gran técnica de programación, sin duda

    Y aprovecho para flamear de nuevo:
    meneame.net/story/mozilla-distribuyo-durante-meses-complemento-para-fi2

    El fallo de Firefox fue en un binario de soporte al vietnamita y tardo casí 2 meses en ser detectado. Ok, es un trozo de código poco usado y la detección fue má...  » ver todo el comentario
    votos: 16, karma: 96
    por angelitoMagno el 13-05-2008 21:14angelitoMagno
  7. #7   #6
    No exactamente: valgrind soltaba warnings de que se leía de zonas de memoria sin inicializar (eso se hacía para pillar datos "random", estaba bien hecho, aunque sea "guarro").
    Un tipo listo pensó en inicializar esa zona de memoria, para que valgrind no soltase el warning. Al inicializar, ya no pilla datos random, por lo que se parte de un seed conocido. Por lo tanto hay menos entropía, y el crackeo de la clave se vuelve mucho más fácil :-(

    Aquí los mensajes de aquel momento:
    marc.info/?l=openssl-dev2
    marc.info/?l=openssl-dev2 WTF???
    (seguid con [next in thread])
    votos: 28, karma: 253
    por DZPM el 13-05-2008 21:22DZPM
  8. #8   Vamos, que ahora en vez de 1.000.000.000.000^50 combinaciones (Un porrillón de años) tendrán que probar 1.000^20 combinaciónes (sólo unos cuatrillones), siempre que tengan una cópia de la RAM en el momento de crear la clave.

    (Vale, exagero un poco, me refiero que los usuarios que no requieran muchíísima seguridad no se preocupen demasiado)
    votos: 7, karma: 67
    por XaPi el 13-05-2008 22:18XaPi
  9. #9   #7 gracias por la explicación. Me ha recordado a esta mítica tira www.virtualp.us/Dilbert-Oct_25_001.jpg
    votos: 12, karma: 103
    por Genko el 13-05-2008 22:19Genko
  10. #10   Pues acabo de actualizar openssh-server y openssh-client con el problema ya resuelto. Es lo que tiene el Software Libre, cuando se descubre un bug, lo arreglan en menos de dos telediarios.
    votos: 9, karma: 63
    por Xela el 13-05-2008 22:45Xela
  11. #11   #10
    Sí, lo han arreglado enseguida. El problema es que cualquier clave generada en los dos últimos años (desde 2006) debe ser revocada y generada de nuevo, ya que sufren de ese defecto.

    El #8 tiene razón, no es un problema para el "usuario". Que demonios, el usuario normal no tiene SSH instalado. Pero es un error "de libro", de bulto, es algo muy grave desde el punto de vista teórico.
    votos: 17, karma: 164
    por DZPM el 13-05-2008 23:00DZPM
  12. #12   #10 Vale ya de repetir tópicos del software libre. También existe otro: "Dado un número suficientemente elevado de ojos, todos los errores se convierten en obvios" y resulta que aquí había un número suficientemente elevado de ojos (OpenSSL y Debian) y aun así este bug tan grave ha estado 2 años sin descubrirse.

    Si este fallo fuese de Microsoft habría ya 200 comentarios riéndose de MS, diciendo que "menos mal que uso Ubuntu" y diciendo que esto en el software libre no pasa.

    Pero claro, no ha sido MS, si no la sacrosanta Debian, así que mejor callarse y soltar el mantra habitual de estos casos (por ejemplo en los bugs de Firefox) "pero en el SL lo parchea rápido!!!11" ¬¬
    votos: 32, karma: 206
    por Hass el 14-05-2008 00:55Hass
  13. #13   ¡Revisen los fuentes, coño! ¡los fuentes!
    votos: 0, karma: 6
    por mijhailjmd el 14-05-2008 01:00mijhailjmd
  14. #14   #12 Bueno, dos años para un bug tan rebuscado no es tanto tiempo. Aunque sí, es muy grave, y soberanamente gilipollas la forma en que se ha introducido. Será porque el que lo solucionó no es experto en seguridad, y demuestra una vez más que hasta los mejores informáticos cometen/cometemos errores.
    votos: 9, karma: 89
    por perl el 14-05-2008 01:01perl
  15. #15   #12
    No puedes comparar esto con un fallo de Microsoft. Aún siendo este uno de los peores fallos de los últimos años, hay grandes diferencias con Windows:
    * lo primero, que no ha habido ninguna víctima, ningún ordenador pwn3ado, ninguna clave rota. Compara eso con cualquier virus de Microsoft, cuyas víctimas se cuentan por millones...
    * se ha descubierto el fallo, aunque hayan tardado 2 años. Se ha arreglado. En cambio, Windows sigue con infinitos fallos sin documentar.
    * se ha parcheado en poquísimo tiempo. Compara eso con los "Windows update".
    * aún así, siempre puedes utilizar una versión distinta a la que empaqueta Debian. Prueba tu eso en Windows...

    Para ser un fallo de esta magnitud, no es para tanto.

    Aún así, felicidades, buen intento de trolleo ;-)
    votos: 28, karma: 132
    por DZPM el 14-05-2008 01:06DZPM
  16. #16   #15 "lo primero, que no ha habido ninguna víctima, ningún ordenador pwn3ado, ninguna clave rota. Compara eso con cualquier virus de Microsoft, cuyas víctimas se cuentan por millones..."

    Falacia. Primero porque no sabes cuantas víctimas han habido. No creo que haya muchas, pero te digo que alguna va a haber con sistemas legacy. Aparte de los problemas causados en cosas como tiendas online. Y segundo porque el problema sigue siendo muy grave afecte a 1000 usuarios de Debian o a 100.000 de MS. La cagada es seria.

    "se ha descubierto el fallo, aunque hayan tardado 2 años. Se ha arreglado. En _ca...  » ver todo el comentario
    votos: 21, karma: 129
    por Hass el 14-05-2008 01:21Hass
  17. #17   #16 no mires el árbol, contempla el bosque :-)
    votos: 5, karma: 56
    por nchi el 14-05-2008 01:21nchi
  18. #18   #16 los sistemas "legacy" como tu los llamas, no se verán afectados. Sólo afecta a partir de Debian Etch, Sarge está limpia.
    votos: 4, karma: 44
    por ArCePi el 14-05-2008 01:28ArCePi
  19. #19   #18 Todas la Etch que se hayan instalado hasta ayer tienen el bug. De ese 100% de bugs pongamos que los BOFHs parchean y regeneran claves en un 90%... tienes un 10% de instalaciones con el bug, ¿comprendes?

    No te imaginas la cantidad de servidores "instala y olvida" que hay perdidos por el mundo.
    votos: 7, karma: 63
    por Hass el 14-05-2008 01:33Hass
  20. #20   #16
    Soy el primero en criticar este fallo de Debian, en ningún momento lo rebajo y discuto. Pero hay órdenes de magnitud, no comparemos este fallo a un Blaster, por decir algo. Cuando un sistema es blandengue y debilucho, un pequeño fallo lo hace temblar y derrumbarse. Cuando es robusto y fuerte, como Debian, un único fallo no suele comprometer el sistema por completo.

    Respecto a aquella noticia de inyecciones SQL, el fallo estaba en el IIS, que se dejaba violar hasta el fondo. En un sistema operativo con usuarios y permisos eso no habría pasado (y no pasó). La entradilla era una traducción de la de slashdot, que es lo que suelo hacer. Ala, toma ad-hominem.
    votos: 6, karma: 14
    por DZPM el 14-05-2008 01:34DZPM
  21. #21   #20 El bug que aprovechaba Blaster llevaba parcheado semanas antes de la primera infección. Los que se infectaron no tenían el sistema actualizado, igual que los que no actualicen y generen claves nuevas se comeran un posible juankeo por esto.

    "Cuando es robusto y fuerte, como Debian, un único fallo no suele comprometer el sistema por completo."

    Jo-ño. ¿Sacar la clave privada del root de un sistema no es comprometer el sistema por completo?
    votos: 14, karma: 123
    por Hass el 14-05-2008 01:38Hass
  22. #22   Gracias al que lo puso. De todas formas creo que aqui esta mejor explicado:

    www.ubuntips.com.ar/2008/05/13/como-saber-si-tu-sistema-esta-afectado-/
    votos: 2, karma: 29
    por IkkiFenix el 14-05-2008 01:52IkkiFenix
  23. #23   una vulnerabilidad menos
    votos: 10, karma: 2
    por hrodic el 14-05-2008 01:53hrodic
  24. #24   » ver comentario
    por zipote-man el 14-05-2008 02:06
  25. #25   #2 Calla chacho, que esto es Menéame y decir cosas así aquí es tabú! :P
    #26 Que raro, esta vez estoy de acuerdo contigo al 100%. Mas claro imposible!
    votos: 8, karma: -21
    por Aguarras el 14-05-2008 02:06Aguarras
  26. #26   » ver comentario
    votos: 22, karma: -102
    por DaTrollMasta el 14-05-2008 02:06
  27. #27   Me parece que se van a comer vivo al que introdujo el bug xD
    votos: 2, karma: 26
    por iacaca el 14-05-2008 02:10iacaca
  28. #28   Pues a lo mejor estoy confundido, pero creo que mucha gente se logea como root por ssh. Yo lo hago porque necesito privilegios para modificar cosas de apache y otros programas.
    votos: 3, karma: 3
    por IkkiFenix el 14-05-2008 02:11IkkiFenix
  29. #29   Ubuntu se me acaba de actualizar, corrigiendo dicho fallo de seguridad.
    votos: 1, karma: 18
    por Filiprino el 14-05-2008 02:14Filiprino
  30. #30   #28 lo recomendable es logear con un usuario normal y luego jugar con sudo o pasar a root.
    votos: 6, karma: 61
    por jotape el 14-05-2008 02:15jotape
  31. #31   #12, menos mal que uso Arch Linux :)
    votos: 4, karma: 37
    por amuchamu el 14-05-2008 02:25amuchamu
  32. #32   Cuando en Windows apareció un problema similar¹ -desde Windows 2000 hasta XP, hagan cuentas...- no lo catalogaron de ningún modo como grave vulnerabilidad... ¡estos linuxeros, son de un alarmista!...

    _________
    ¹ Desvelados serios problemas en el algoritmo que genera los números pseudoaleatorios en Windows 2000 y XP
    www.hispasec.com/unaaldia/3318
    votos: 12, karma: 69
    por MaraudeR el 14-05-2008 03:19MaraudeR
  33. #33   ZAS!!!! En toda la boca. xD
    votos: 3, karma: 11
    por ioroku el 14-05-2008 03:37ioroku
  34. #34   #29: sí, aquí igual, pero hay que regenerar las claves a mano, y luego cambiarlas en tus máquinas remotas, etc.
    A ver, que yo estoy de acuerdo con que el software libre reacciona rápido ante estas cosas, ahora bien, también digo que para el usuario normal es un cristo tener que andar con keygen y con cambios en authorized_keys, etc.
    [Claro, que el usuario normal, si nos ponemos, no abre una terminal ni escribe ssh en la vida...]
    votos: 1, karma: 20
    por luces el 14-05-2008 04:09luces
  35. #35   Yo no veo el fallo como algo tan tremendo. Ese algoritmo está usando zonas de memoria no inicializadas para recoger entropía, pero no tiene ninguna seguridad de que la zona no esté inicializada.
    La alerta de seguridad es correcta, pero no hay garantía de que la entropía recogida sea mejor después del parcheado el fallo que antes. Por lo tanto, es de suponer que esa cosa tiene otras fuentes de entropía, lo cual no hace las claves tan fáciles de adivinar como eso. Es un fallo teórico.

    El enfoque ante errores en el código es completamente distinto en el software libre que en microsoft. En microsoft deciden arreglar o no un fallo dependiendo de su visibilidad. Hay literalmente cientos de err...  » ver todo el comentario
    votos: 3, karma: 32
    por mlat el 14-05-2008 06:43mlat
  36. #36   Voy a ir por partes, como cada vez que sale una noticia sobre seguridad, que me llevo las manos a la cabeza leyendo los comentarios...

    En primer lugar, el impacto de este bug es incierto, alguno ha comprobado cuanto se tarda, de forma efectiva, en sacar en acertar una de esas claves con entropía reducida? Yo creo que no, entonces no tenemos ni idea de si son 5 minutos o 2 meses.

    Es difícil predecir cuanto se tarda realmente, por que se te pueden escapar muchos factores, como bloqueos etc, por lo que no se sabe nunca el impacto de un bug de este tipo, hasta que se prueba ciertamente, y se obtiene una clave.

    Dicho esto, #32, eres un alarmista además de un troll.

    Según citas tu en:
    ...  » ver todo el comentario
    votos: 7, karma: 69
    por jcarlosn el 14-05-2008 07:02jcarlosn
  37. #37   Debian, para los fanáticos de la pureza, que no es tal
    Ubuntu, para que te juankeen las fotos del cumple
    Gentoo, para configurar una vez y olvidarte de todas estas tonterías

    ¡Gentoo rulez! :-D
    votos: 10, karma: -7
    por JarFil el 14-05-2008 07:27JarFil
  38. #38   #36 Y como piensas obtener "ese conocimiento"? Teniendo algún tipo de acceso PREVIO, es decir, una cuenta en el sistema o acceso local, por lo cual, el bug no es ni de lejos comparable.

    Pues si es una máquina que corre como firewall/router y cuya única fuente de entropía son los datos que le llegan por red, sería posible tener una idea muy aproximada del estado interno del aparato. Para esto existen otros algoritmos como en.wikipedia.org/wiki/Yarrow_algorithm que implementa FreeBSD.

    #36 Aparte de todo esto... ¿Por que debian se preocupa tanto por los warnings del valgrind? es que creen que OpenSSL está mal echo? Increible.

    Todo está mal hecho. Es normal que se preocupen por los warnings, para depurar lo ideal es que la ejecución sea "limpia", aunque sea una cagada lo que han hecho.
    votos: 2, karma: 6
    por cylmor el 14-05-2008 07:32cylmor
  39. #39   Creo que no se es consciente de la magnitud de este error:

    OpenSSL usa distintas maniobras para conseguir aleatoriedad. Cada paso añade una serie de bits de aleatoriedad. El tío que la cagó comentó toda la función que usaba el vector sin inicializar con lo que se cargó una toda una serie de pasos y dejó el sistema con solo 18 bits de libertad, eso son 262114 claves débiles distintas.

    De hecho hay una lista con las claves posibles en este script:
    security.debian.org/project/extra/dowkd/dowkd.pl.gz

    En menos de un segundo se peta una comunicación que tenga esta vulnerabilidad.
    votos: 6, karma: 56
    por salutte el 14-05-2008 07:43salutte
  40. #40   Al final los comentarios a estas noticias se acaban convirtiendo en flames anti-ms o anti-opensource. ¿es que no seremos nunca capaces de apreciar cosas buenas de unos y otros sistemas a la vez que podamos criticar fallos de unos y otros?
    votos: 2, karma: 21
    por jordix el 14-05-2008 08:02jordix
  41. #41   Estoy contigo #40, todo bug detectado en un sop es malo (bueno, entiendase, es bueno que lo detecten, malo que este jeje)

    De todas formas a veces hasta entiendo los flames, ya lo comente en otra noticia sobre un bug en win que algunos linuxeros parecian alegrarse cada vez que habia un fallo en windows, y las cosas no son asi, todo sistema tiene sus fallos, al menos si el sistema evoluciona (otra cosa es que siguieramos con un sop del año catapum revisado mil veces pero todos queremos avanzar) , pero creo que es importante que todos, tanto linuxeros como windowseros (como mackeros) aprendamos a respetar a los usuarios de otros sistemas, y a no burlarnos cuando el otro sistema falla, asi q...  » ver todo el comentario
    votos: 1, karma: 14
    por danic el 14-05-2008 08:30danic
  42. #42   Ahora entiendo porque ayer tenía tantos intentos brute force en el servidor, de normal hay 3-4 intentos diarios pero ayer se dispararon hasta los 200, gracias a que tengo el logeo de root capado y a que actualizo a diario.
    votos: 2, karma: 20
    por canelo el 14-05-2008 08:43canelo
  43. #43   Hay mucho loler que no entiende el bug aún... y suelen estár inflados a negativos.

    Este bug es sin duda un ejemplo de software en desarrollo. Ahora, gracias a este señor, tiene un bug menos.

    Nadie está experimentando con nadie, te dan el software tal y como está, sin garantias. Tú eres el responsable si quieres usarlo.

    Para más información, léase la GPL.
    votos: 5, karma: 39
    por Nitz el 14-05-2008 09:18Nitz
  44. #44   Teóricamente puede ser un error grave, pero a la práctica no lo es tanto. En cualquier caso, a los que ya usan esto para "defender" a sus Windows, andan muy errados.

    Que mi super mercedes (o cualquier mega coche de gama alta) haya tenido un pequeño problemilla con una tuerca un poco floja no convierte a tu Panda en un coche mejor que el mío.
    votos: 6, karma: 46
    por corrosion el 14-05-2008 09:29corrosion
  45. #45   jejejej cuando es de Linux es un fallo sin importancia, cuando es de Microsoft es gravisimo. A ver si asi se le bajan los humos a mas de uno.
    Por cierto, eso de que sacan un parche enseguida no se hasta que punto es bueno, una modificación en el SO hay que probarla bien para comprobar entre otras cosas que no genera nuevas vulnerabilidades, no se puede sacar un parche rapido para arreglarlo.
    votos: 11, karma: -61
    por voltronovo el 14-05-2008 09:38voltronovo
  46. #46   vaya tela como han salido los perros para abrir la herida.

    Los amantes de Windows deberian aprender, se considera Fallo de Seguridad Grave y se anuncia a los 400 vientos, ¿cuantos saben al menos 1 de los mas de 200 fallos críticos del NT?.

    Ahora otra historia, analizar el fallo,
    1º no afecta a los clientes solo a nivel servidor, esto ya reduce bastante los afectados.
    2º no es una puerta abierta, se sigue necesitando la fuerza bruta, y bueno en mi caso ni uso el puerto estandar 22, ni permito a todas las ips que entren, ni una clave me dura mas de 5 dias y el sistema me avisa cuando entra algún root, una buena planificación y todos los ordenadores del mundo y solo necesitaria 20 años para petarlo, [IRONIC ON]ciertamente está endeble el sistema[IRONIC OFF].
    votos: 4, karma: 30
    por anakein el 14-05-2008 09:41anakein
  47. #47   No sabía que MS España tenía en plantilla gente cuyo cometido es hacer sangre a la primera que otro sistema operativo muestre un fallo...
    votos: 4, karma: -6
    por Last_Exile el 14-05-2008 09:42Last_Exile
  48. #48   #44 Tienes razón, esto se está utilizando para hacer FUD.

    Pues vale... me voy a pasar a windows solo por esto (porque estas cosas con Windows no pasan).
    votos: 1, karma: 16
    por jjm el 14-05-2008 09:55jjm
  49. #49   #45 en el titular pone "GRAVISIMA"
    votos: 1, karma: 22
    por Nitz el 14-05-2008 09:55Nitz
  50. #50   #16 Error de concepto. Linus Torvalds no hace Debian.
    votos: 2, karma: 12
    por SirViente el 14-05-2008 10:03SirViente
  51. #51   #49 hablo de los comentarios
    #47 solo ocurre exactamente lo mismo que cuando se anuncia un fallo de Windows
    votos: 0, karma: 7
    por voltronovo el 14-05-2008 11:03voltronovo
  52. #52   #12 Claro, que tu puedes estar COMPLETAMENTE SEGURO de cómo genera las contraseñas Windows porque has visto el código de Microsoft, ¿verdad?
    votos: 2, karma: 24
    por rasca el 14-05-2008 11:35rasca
  53. #53   A ver si me aclaro, la clave no se puede saber a no ser que exista una comunicación entre dos equipos, no es asi?

    Si lo he entendido bien, las claves se pueden sacar interceptando tráfico, que no siempre es posible.
    votos: 0, karma: 6
    por alberto666 el 14-05-2008 11:38alberto666
  54. #54   #36 Vuelve a leerte mi comentario #32 y el contenido del enlace, porque es evidente que lo has entendido al revés. Lo explico a continuación, por si el analfabetismo funcional...

    La noticia que enlazo de hispasec no es sobre este problema de seguridad en Debian, sino sobre otro semejante en Windows. Y con mi comentario daba a entender, precisamente, que lo que pasa es que los linuxeros nos tomamos la seguridad mucho más en serio y llamamos grave vulnerabilidad a lo que en el argot de Microsoft se denomina compromiso local o algún eufemismo similar.

    No te preocupes, acepto tus disculpas.

    Respecto a la magnitud del problema, lee a #39.
    votos: 3, karma: 17
    por MaraudeR el 14-05-2008 12:08MaraudeR
  55. #55   #31 ¿Mande? Yo también utilizo Arch Linux. ¿Quiere eso decir que estoy libre de peligro?

    #7 #12 No podría estar más de acuerdo. Está claro que no ha tenido la magnitud y el alcance de los virus y vulnerabilidades para Windows, pero está claro que el que esa vulnerabilidad haya estado ahí 2 años es bastante grave, pero nada, como es una distro del bicho cornudo, hala, no ha pasado nada, pero si hubiese sido de Microsoft ya se hubieran salido de madre con los tópicos anti-windows.
    votos: 2, karma: 21
    por DoodoM el 14-05-2008 12:09DoodoM
  56. #56   #37 grrr... ¡troll! xD
    votos: 1, karma: 19
    por jotape el 14-05-2008 12:27jotape
  57. #57   Como conclusión:
    1º Cierto lo de los tópicos antiwindows (a su favor debo decir que también salen los tópicos antilinux nombrando los tópicos antiwindows)

    2º Llevo 1 año con GNU/Linux, con varias distros (una de ellas ubuntu) no entiendo muy bien el problema... Sólamente comprendí que pueden hacerse con el sistema si accedes remotamente siendo root ¿no?

    3º En todas las conversaciones acerca de bugs en GNU/Linux se trata de buscar la máxima seguridad, la seguridad es lo más importante, da la sensación de ser muy puristas en este aspecto. Windows se basa en ser cerrado y confiar en que no te encuentren los fallos (una visión parcial y simplista, lo sé).

    4º Faltan testeadores y audito...  » ver todo el comentario
    votos: 1, karma: 13
    por Rubenix el 14-05-2008 12:29Rubenix
  58. #58   SECCIÓN: Y TÚ MÁS, TE REBOTA Y EN TU CULO EXPLOTA

    >>#2 Perfecto es Windows, cuyos fallos críticos (sí, tiene algunos) se solucionan a más tardar en 1 MES.

    >>Por cierto, como sabeis que microsoft no tiene la misma cagada?
    Por cierto 2, como me encanta decir: si tanto os gusta windows, por que no os lo comprais?

    >>Los amantes de Windows deberian aprender, se considera Fallo de Seguridad Grave y se anuncia a los 400 vientos, ¿cuantos saben al menos 1 de los mas de 200 fallos críticos del ...  » ver todo el comentario
    votos: 2, karma: 30
    por Hass el 14-05-2008 12:34Hass
  59. #59   #50 #16 Error de concepto. Linus Torvalds no hace Debian.

    Error de comprensión lectora y/o conocimientos. Que yo cite la frase llamada "Ley de Linus" no quiere decir que me refiera al trabajo de Torvalds. De hecho, la frase debería llamarse la "Ley de Raymond", Linus no tiene nada que ver en ello...
    votos: 0, karma: 14
    por Hass el 14-05-2008 12:36Hass
  60. #60   #58: >>Este bug es sin duda un ejemplo de software en desarrollo. Ahora, gracias a este señor, tiene un bug menos.
    Nadie está experimentando con nadie, te dan el software tal y como está, sin garantias. Tú eres el responsable si quieres usarlo.

    >Estas frases me las apunto para el próximo bug descubierto en algo como IIS o SQLServer.

    Microsoft sí que te da garantías de que va a funcionar. La GPL no.

    Además, ¿estás en contra de que se solucionen los bugs?
    votos: 0, karma: 10
    por Nitz el 14-05-2008 13:00Nitz
  61. #61   #60 "Microsoft que te da garantías de que va a funcionar. La GPL no."

    Lee las EULA de MS: tiene un "AS IS" asín de grande.( en.wikipedia.org/wiki/As_is ) igualicas que la GPL.

    Y repito una vez más. ¿A qué viene compararse con MS? ¿LA idea no es compararse con algo equivalente o superior y no con la mierda? En fin...

    "Además, ¿estás en contra de que se solucionen los bugs?"

    Mi mente no es capaz de imaginar la forma en la que has podido llegar a plantearte después de leer mis comentarios. Iluminame.
    votos: 2, karma: 14
    por Hass el 14-05-2008 13:07Hass
  62. #62   #59 Creo que has errado de nuevo...

    Copi pasteo de la wikipedia es.wikipedia.org/wiki/Ley_de_Linus :

    "Aquí, hay una diferencia esencial entre los dos estilos. En el enfoque usado para desarrollar software propietario, los errores y problemas de desarrollo son fenómenos complejos y profundos. Generalmente toma meses de revisión exhaustiva para que unos cuantos confíen en que los errores han sido eliminados. Por eso se dan los intervalos tan largos entre cada versión que se libera, y la inevitable desmoralización cuando estas versiones, _largam...  » ver todo el comentario
    votos: 0, karma: 7
    por SirViente el 14-05-2008 13:37SirViente
  63. #63   #62 Antes de nada. ¿A qué te referías con la frase "#16 Error de concepto. Linus Torvalds no hace Debian." ?
    ¿Seguro que no ha sido que leido "Linus" y has escrito eso sin más? :roll:

    "Segun esas premisas, lo citado en la noticia, no es mas que una demostracion mas de la "Ley de Linus" dado que sino el error no se hubiese detectado y reparado."

    Claro, por lo tanto siempre que alguien mirando un código vea un bug se "demuestra" la "Ley de Linus"... ¬¬
    La idea de esa frase era indicar que en el SL los bugs son detectados muy rápidamente dado hay más gente revisando ...  » ver todo el comentario
    votos: 0, karma: 14
    por Hass el 14-05-2008 14:04Hass
  64. #64   Parece ser que los ataques van dirigidos a obtener acceso de root mediante SSH, por lo que (según mis conocimientos) bastaría con usar las directivas "PermitRootLogin no" y "AllowUsers nombredeusuario" para evitar cualquier problema. ¿Me dejo algo? ?(
    votos: 1, karma: 16
    por LastreGS el 14-05-2008 14:09LastreGS
  65. #65   #63 Simplemente porque te emperrabas en decir lo de la Ley de Linus cuando el tema es Debian y Linus en Debian no tiene nada que ver.

    Respecto al resto, si, la ventaja del software libre, es que uno programa y varios ven ese codigo...siendo mas probable que se descubran mas fallos que en un software donde solo hay un grupo de X personas fijas. Esto es innegable, de ahi que se hagan beta-testeos en practicamente todas las cosas serias... Asi pues, siempre que alguien acceda al codigo fuente de un programa libre y descubra un fallo, la ley de linus se cumplira (por eso es ley y no teoria ;) )

    a) no es infalible
    b) se asume que todo el SL cumple la Ley de _...  » ver todo el comentario
    votos: 1, karma: 14
    por SirViente el 14-05-2008 16:01SirViente
  66. #66   #54 Me hace gracia tu comentario poniendo: no te preocupes, acepto tus disculpas.

    Había entendido tu comentario perfectamente la primera vez (y sin explicación posterior por tu parte!) pero el que no me has entendido eres tu, te lo voy a explicar no sea que...

    Tu has comentado un bug en windows, que requiere de una información de entropía para ser explotado, y que solo puede conseguirse de forma local, ademas, su efectividad NO ha sido probado, para comprar un bug en linux que permite comprometer la cuenta de root, sin necesidad de ninguna información adicional, y de forma completamente remota, ademas, de forma genérica. Y de esta comparación intentas deducir como conclusión, que en l...  » ver todo el comentario
    votos: 1, karma: 22
    por jcarlosn el 14-05-2008 16:08jcarlosn
  67. #67   oh dios! han debido robarme todas las claves de tarjetas de credito y convertir mi pc en zombi en las 5 horas en la que la "gravisima" vulnerabilidad ha sido publica... tendre que formatear e instalar windows con mcaffee ¡eso si que es seguridad!
    votos: 0, karma: 6
    por mko2 el 14-05-2008 20:25mko2
  68. #68   #4 hay que contar el tiempo entre que se descubre y lo arreglan.

    En el software libre:

    - ¡ya!

    Resultado: 3 meses de promedio.

    En el privativo:

    - esperar a que los desarrolladores exclusivos y amos del código lean el reporte

    - esperar a que los desarrolladores exclusivos y amos del código reconozcan el error

    - esperar a que los darrolladores exclusivos y amos del código se les pase el cabreo porque alguien descubrió algo feo en su cosa maravillosa (eso decía la nota de prensa de lanzamiento, que casi siempre se puede resumir en "WOW!")

    - esperar a que los dsarrolladores exclusivos y amos del código busquen alguna excusa para decir que no es tan ...  » ver todo el comentario
    votos: 0, karma: 10
    por benjami el 14-05-2008 22:12benjami
  69. #69   #12 Cuando hablamos de bugs en el código de Microsoft nos referimos a lo que ellos deberían hacer porque sólo lo pueden hacer ellos. Prohíben que lo hagamos nosotros.

    Por eso hoy muy pocos usuarios de software miran código. Costará muchos años recuperar esas buena costumbre --para los aficionados a ello, que siempre hay, y a tunear coches y a hacer torres Eiffel con palillos.

    Cuando hablamos de software libre, eso sucedió porque no miraste el código. Yo tampoco.

    No sé si ves la diferencia esencial.
    votos: 0, karma: 10
    por benjami el 14-05-2008 22:22benjami
  70. #70   #55 El fallo es exclusivo de debian (y derivados).

    El problema que veo es tener que regenerar los certificados ssl, con todo lo que ello conlleva. Pero bueno, todo sea por estar más seguros.

    Ahh, para evitar ataques por fuerza bruta, fail2ban
    votos: 0, karma: 8
    por fgordillo el 16-05-2008 12:21fgordillo
  71. #71   Ya han salido dos exploits específicos que aprovechan la vulnerabilidad para intentar robar logins del sistema:

    Como se deduce del código, la vulnerabilidad no consiste en que puedan escuchar una comunicación cifrada, sino en que pueden conseguir bruteforcear en poco tiempo, la key de un usuario para acceder al sistema.

    www.milw0rm.com/exploits/5632
    www.milw0rm.com/exploits/5622
    votos: 0, karma: 9
    por jcarlosn el 16-05-2008 15:51jcarlosn
comentarios cerrados

menéame