En la lista de correo de insecure.org (creadores del nmap) se da a conocer un posible bug MUY GRAVE, el cual daría permisos de root (superusuario) simplemente con ejecutarlo de forma remota. A esta hora no hay noticias del proyecto openssh de ningún parche para solucionarlo.
Un tío dice poseer un exploit para dicho bug, ¿y lo decide hacer público de esa forma? ¿En lugar de publicar un artículo con todo lujo de detalles y cubrirse de gloria? Me suena a fake como una casa.
Joer, el Openssh parece que últimamente no da pie con bola, la última fue de traca http://www.hispasec.com/unaaldia/3492 y hace un añito nada más, eso sí no fue culpa de ellos en este caso.
Edito: Sorry, leí mal el titular, pensé que se refería a ssl, pero bue muy relaccionado de todas formas
Comentarios
¡El cielo se cierne sobre nuestras cabezas!
¿Rumor? Pues para mí, errónea.
#9 Se ha dicho hasta la saciedad desde el principio: el fallo fue de Debian, no de OpenSSL.
Para cualquier script kiddie, esto debe ser una sobredosis de heroina .
Claro, si fuera un producto de Microsoft, enseguida tendríamos disponible un parche vía Windows Update..
Microblogging
#12 Que se eso de sobra joer, que me confundí con la última letra, ¿no he dicho que no fue culpa de ellos? fue culpa de Debian, lo se de sobra.
Pasa que afectaba al ssh y me he liao, simplemente.
Relacionada sobre el tema http://lwn.net/Articles/340483/
Un tío dice poseer un exploit para dicho bug, ¿y lo decide hacer público de esa forma? ¿En lugar de publicar un artículo con todo lujo de detalles y cubrirse de gloria? Me suena a fake como una casa.
Estan esperando a la blackhat para sacarlo.
¿Alguien cree que si desarrollas un exploit de openssh lo vas a liberar el mismo dia?
http://romeo.copyandpaste.info/txt/nowayout.txt
Digo yo que si eres un cabroncete, lo primero que haras es sacar bases de datos comerciales etc.
#6 De "ironic" nada, es totalmente cierto.
Jolin, mientras lo leo se me estan revolviendo las tripas!!! No pensabe yo esta mañana al levantarme que iba a tener un disgusto así!
Que alguien descarte la noticia, ya que es un FAKE bien grande.
En el siguiente link lo demuestran:
http://isc.sans.org/diary.html?storyid=6760
Y esto a quién coño le importa? si usárais robustos productos de Microsoft...
Joer, el Openssh parece que últimamente no da pie con bola, la última fue de traca http://www.hispasec.com/unaaldia/3492 y hace un añito nada más, eso sí no fue culpa de ellos en este caso.
Edito: Sorry, leí mal el titular, pensé que se refería a ssl, pero bue muy relaccionado de todas formas