Ghost, un agujero de seguridad muy peligroso para Linux

Archivado
Ghost es el nombre común que se la ha dado al código CVE-2015-0235, un gravísimo fallo de seguridad que han encontrado los investigadores de Redwood Shores (California) en la biblioteca GNU C (Linux), con el que se puede ejecutar código malicioso de forma remota en servidores.

Para que nos hagamos una idea, la vulnerabilidad permitiría a un posible atacante tomar el control de un ordenador (en este caso Linux) de manera sencilla y “silenciosa”, es decir, que el administrador no se daría cuenta de ningún cambio o actividad. Un problema que según cuentan los investigadores afectaría a la mayor parte de las distribuciones Linux, alcanzando la gravedad de Heartbleed (agujero en la biblioteca de código OpenSSL).

No sólo eso, desde Redwood Shores explican que el atacante no necesitaría saber credenciales de acceso al sistema (las contraseñas de entrada del administrador). ¿Y a quién afecta? El fallo se produce en las versiones glibc (desde la versión 2.2) y se da en Apache, TAZAS, Samba, Exim o Sendmail, así cómo en otras aplicaciones utilizadas por los servidores de Internet.

El principal temor de los investigadores es que Ghost permite ejecutar líneas de código de forma remota sin la práctica percepción del administrador en los registros del servidor.

Desde Red Hat recomiendan, hasta la llegada de los parches que solucionen la vulnerabildad, mantener los equipos actualizados en su última versión con el fin de minimizar cualquier riesgo. Por su parte, la mayoría de distribuciones Linux más populares ya han anunciado soluciones y nuevas actualizaciones para los próximos días.
Como te lea Stallman decir que glibc es Linux, te cuelga del palo mas alto posible xDDD

Bueno, decir que los rolling y demas distros que no sean tortugas debianitas en actualizar ya no tiran de glibc vulnerables. Y en debian tal como salto el CVE habia parche en security (wheezy el unico afectado)

Y bueno, cualquier server que resuelva hostnames podria ser vulnerable.

edit: vaya pinta tiene el que reporto el bug http://fedoraproject.org/wiki/User:Huzaifas
Al final Linux no es tsan seguro como nos quieren hacer creer, segun se popularice su uso seguro que tenemos mas noticias al respecto.
Zokormazo escribió:Como te lea Stallman decir que glibc es Linux, te cuelga del palo mas alto posible xDDD

Bueno, decir que los rolling y demas distros que no sean tortugas debianitas en actualizar ya no tiran de glibc vulnerables. Y en debian tal como salto el CVE habia parche en security (wheezy el unico afectado)

Y bueno, cualquier server que resuelva hostnames podria ser vulnerable.

Y yo usando debian wheezy... bueno para lo que tengo que se lo lleven todo XD pero me has asustado con el comentario, eso sí, información muy util para mi.
@WBYYO: esta en security desde ayer a la tarde, upgradea y listo. El paquete fixeado es libc6 2.13-38+deb7u7 . La u6 es vulnerable

@rodripelto: gnu/linux tiene bugs como el resto de sistemas. La diferencia esta en como se resuelven. En 9 dias desde su reporte interno desde redhat ya lo han solucionado la mayoria de distros. Desde la publicacion del CVE, en pocos minutos.
Recuerda reiniciar el sistema después de actualizar. Si no quieres reiniciar la máquina entera instala el paquete debian-goodies y con el comando checkrestart comprueba qué servicios están usando los archivos antiguos y reinícialos uno por uno.
rodripelto escribió:Al final Linux no es tan seguro como nos quieren hacer creer, segun se popularice su uso seguro que tenemos mas noticias al respecto.


Cuantas noticias de vulnerabilidades has visto sobre linux? casi todas son Windows o MAC OS.

De todas formas ya digo que no hace falta tener este fallo para joder a alguien, en clase cuando nos aburríamos nos poníamos a investigar paginas webs y cuando encontrábamos uno accesible le hacíamos alguna putadita como apagarle el server o cambiar nombres de la pagina y todo eso. Casi todos eran linux, hasta nos cargamos el server de una editorial de un libro que usábamos en clase, ya que el profesor era vago hasta de traer su libro y utilizaba una cuenta que tenia de la web de la editorial para descargar el PDF pero como no lo guardaba lo miraba online asi que nos cargamos el server y en vez de dar clase nos mostraba vídeos y chorradas que a el le gustaban xD. Hasta quitábamos el server de clase. (No es culpa nuestra que nos enseñaran a hakear servers primero para luego aprender seguridad y evitar estos ataques) el profesor debió darse cuenta que esto pasaría JAJA.
@rodripelto: gnu/linux tiene bugs como el resto de sistemas. La diferencia esta en como se resuelven. En 9 dias desde su reporte interno desde redhat ya lo han solucionado la mayoria de distros. Desde la publicacion del CVE, en pocos minutos

Si,si. Si no estoy encontra de linux ni nada parecido, a lo que me refiero es que no estaremos a salvo nunca todo lo que hace el hombre falla y tarde o temprano aparece el fallo, segun linux se haga mas popular entre los usuarios "Normales" se reportaran mas fallos, que los solucionan en un dia pues mejor, pero linux no es la panacea en segurida, que es mejor que windows,android..... no lo discuto.
Es lo que siempre he dicho.

Linux es un gran sistema operativo, lo uso es robusto estable (aunque sus cuelgues tiene) segun que distribucion es mas facil o dificil.

No lo uso tanto como quisiera porque aun desde mi humilde opinion en temas de juegos y multimedia tiene carencias y me daflojera andar reiniciando, ademas a pesar de lo que digan todos Windows 8.1 me parece un grandisimo sistema operativo y lo que veo de Windows 10 me gusta mucho.

Tampoco le quito que Linux es un sistema que necesita pocos recursos muy rapido seguro, pero lo mas importante es gratis.

Pero tambien es cierto que si tiene menos errores, programas basura, bugs y debido a que ocupa el 2% del mercado, y mucho del software dañino de windows busca aprovecharse del usuario y no es lo mismo programar buscando aprovecharme del 90% de los usiuarios que del 2 que ademas son servers y cosas asi.

De hecho en el caso server justamente las vulnerabilidades que sirve son justo de este tipo y Hearhtbleed, no malware y demas cosas.

Ojo no estoy diciendo que no sea mas seguro que Windows, solo digo que cuando un sistema es menos difuso menos sentido atacarlo para obtener provecho.
Ni Linux ni Windows son necesariamente inseguros en cuanto a vulnerabilidades, dejando repercusiones mediáticas aparte. Ambos son sistemas seguros y robustos.

El único problema (?) es que Windows tiene una absoluta mayoría de usuarios domésticos, y cuando dejas a un usuario medio suelto por internet, no hay seguridad que valga: lo va a infectar con lo que sea en tiempo récord, garantizado. Otra cosa que podría achacársele es que antiguamente (de XP para atrás, antes de UAC) se infectaba todo el sistema, ahora lo más habitual es que la infección se contenga en la cuenta del usuario, y con eso ya están Windows y Linux prácticamente igualados.
Pregunto, ¿este tipo de vulnerabilidades que se descubren a posteriori, no pueden prevenirse con un AppArmor bien configurado?. Me interesaría saberlo.
pero la foto de la noticia es un sistema MS-DOS o de la línea de comandos de un Windows...
darksch escribió:Pregunto, ¿este tipo de vulnerabilidades que se descubren a posteriori, no pueden prevenirse con un AppArmor bien configurado?. Me interesaría saberlo.


Podrias reducir los efectos del ataque. Pero bueno, en un buen montaje de los servicios ya vienen reducidos tambien, el usuario que tendria la ejecucion remota seria el que corre el servidor, que deberia de ser un user sin apenas permiso para nada, sin shell, podria estar chrooteado...

@melado: otra razon era la rapidez con la que en windows por ejemplo se solucionaban los problemas. Anda que no se han reportado posibles bugs de ejecucion remota por overflows como este y el parche no aparecia hasta semanas despues de que hubiera un xploit on the wild xD

@faco: deberian poner la foto del judio que lo ha encontrado, es epico, mejores pintas que Alan Cox en sus buenos dias xD
darksch escribió:Pregunto, ¿este tipo de vulnerabilidades que se descubren a posteriori, no pueden prevenirse con un AppArmor bien configurado?. Me interesaría saberlo.

Es una buena pregunta. Yo diría que no, porque que yo sepa un AppArmor/SELinux controla poco más que el ámbito de ejecución: es decir, evitaría una escalada de privilegios, pero esta vulnerabilidad hace que el código se ejecute con el usuario del proceso afectado, así que poco arreglarías.
melado escribió:Ni Linux ni Windows son necesariamente inseguros en cuanto a vulnerabilidades, dejando repercusiones mediáticas aparte. Ambos son sistemas seguros y robustos.

El único problema (?) es que Windows tiene una absoluta mayoría de usuarios domésticos, y cuando dejas a un usuario medio suelto por internet, no hay seguridad que valga: lo va a infectar con lo que sea en tiempo récord, garantizado. Otra cosa que podría achacársele es que antiguamente (de XP para atrás, antes de UAC) se infectaba todo el sistema, ahora lo más habitual es que la infección se contenga en la cuenta del usuario, y con eso ya están Windows y Linux prácticamente igualados.


Suscribo lo que dice este hombre palabra por palabra XD

Ahora, que decir que esto es un agujero de seguridad de Linux, cuando donde se encuentra el problema es en glibc en lugar del Kernel, no me parece muy acertado. Seguro que este problema no afecta a instalaciones de Linux que utilicen alternativas a glibc (como klibc).
Waninkoko escribió:
melado escribió:Ni Linux ni Windows son necesariamente inseguros en cuanto a vulnerabilidades, dejando repercusiones mediáticas aparte. Ambos son sistemas seguros y robustos.

El único problema (?) es que Windows tiene una absoluta mayoría de usuarios domésticos, y cuando dejas a un usuario medio suelto por internet, no hay seguridad que valga: lo va a infectar con lo que sea en tiempo récord, garantizado. Otra cosa que podría achacársele es que antiguamente (de XP para atrás, antes de UAC) se infectaba todo el sistema, ahora lo más habitual es que la infección se contenga en la cuenta del usuario, y con eso ya están Windows y Linux prácticamente igualados.


Suscribo lo que dice este hombre palabra por palabra XD

Ahora, que decir que esto es un agujero de seguridad de Linux, cuando donde se encuentra el problema es en glibc en lugar del Kernel, no me parece muy acertado. Seguro que este problema no afecta a instalaciones de Linux que utilicen alternativas a glibc (como klibc).


Tampoco hilemos tan fino, el 99% de los sistemas con kernel linux que no sean embedded o mobile van con userspace gnu, glibc, binutils y demas mierda stallmaniana
Vamos que sólo es posible contener el ámbito pero no el ataque. Para un servidor de múltiples servicios vale, pero si el servicio que usa esa lib es por ejemplo la BD, podría el atacante ejecutar código con comandos SQL y joderte la BD a base de bien, aunque no pudiera joderte el servicio DNS, DHCP, etc. ni borrarte el directorio /etc ni demás.

En realidad es que se generaliza GNU/Linux como Linux aunque realmente no sean la misma cosa. Pero seamos realistas, sin ese GNU, lo que es con Linux Linux pelón y mondón como que se está bastante limitado ¿no?.
darksch escribió:Vamos que sólo es posible contener el ámbito pero no el ataque. Para un servidor de múltiples servicios vale, pero si el servicio que usa esa lib es por ejemplo la BD, podría el atacante ejecutar código con comandos SQL y joderte la BD a base de bien, aunque no pudiera joderte el servicio DNS, DHCP, etc. ni borrarte el directorio /etc ni demás.

En realidad es que se generaliza GNU/Linux como Linux aunque realmente no sean la misma cosa. Pero seamos realistas, sin ese GNU, lo que es con Linux Linux pelón y mondón como que se está bastante limitado ¿no?.


El fallo esta en la libreria basica de c de gnu, en unos calls de resolucion de hostnames. Todo quisqui compila contra ello.

Un server sql nunca y bajo ningun concepto deberia de abrir su puerto a ips no controladas, pero si, podrian joderte bien lo que ese user pueda tocar. Con apache, podrian borrarte los .html segun como tengas los permisos. Con sendmail los mails, etc etc

EDIT: yo de joder una db con ese bug no andaria picando sql, si lo que quieres es borrar cosas, borra directamente el fichero de /var, que al ser tu proceso tienes acceso a el ;)
Zokormazo escribió:
Waninkoko escribió:
melado escribió:Ni Linux ni Windows son necesariamente inseguros en cuanto a vulnerabilidades, dejando repercusiones mediáticas aparte. Ambos son sistemas seguros y robustos.

El único problema (?) es que Windows tiene una absoluta mayoría de usuarios domésticos, y cuando dejas a un usuario medio suelto por internet, no hay seguridad que valga: lo va a infectar con lo que sea en tiempo récord, garantizado. Otra cosa que podría achacársele es que antiguamente (de XP para atrás, antes de UAC) se infectaba todo el sistema, ahora lo más habitual es que la infección se contenga en la cuenta del usuario, y con eso ya están Windows y Linux prácticamente igualados.


Suscribo lo que dice este hombre palabra por palabra XD

Ahora, que decir que esto es un agujero de seguridad de Linux, cuando donde se encuentra el problema es en glibc en lugar del Kernel, no me parece muy acertado. Seguro que este problema no afecta a instalaciones de Linux que utilicen alternativas a glibc (como klibc).


Tampoco hilemos tan fino, el 99% de los sistemas con kernel linux que no sean embedded o mobile van con userspace gnu, glibc, binutils y demas mierda stallmaniana


Totalmente cierto, pero en mi caso cuando he leído el titular he pensado que había un bug importante en el kernel y luego resulta que era en glibc. Por eso comentaba lo del titular.
@Waninkoko: de ahi mi primer comentario sobre stallman en el primer post. Entiendo la licencia del redactor para que la gente entienda, pero yo habria optado por un GNU/Linux al estilo mas purista xD
con razon francia quiere poner veto a las redes sociales...

ven las fotos de los hipster y se cren que son yihadistas.....

Toy cagaoo!!! [mad]
Todos los Os nos pongamos como nos pongamos tienen agujeros de seguridad , unos como Windows no son agujeros son túneles, otros como Linux y sus distribuciones los tiene también. aunque por ahora habían descubierto pocos, pero cada vez sacaran mas. Android como están basado en linux me supongo que tendrán los mismos y iOS en Unix con lo cual también los tiene.

Un saludo
Lo bueno es que no hay que esperar un mes o el famoso martes de parches XD .
darksch escribió:En realidad es que se generaliza GNU/Linux como Linux aunque realmente no sean la misma cosa. Pero seamos realistas, sin ese GNU, lo que es con Linux Linux pelón y mondón como que se está bastante limitado ¿no?.

Bastante limitado no, es que no podras hacer NADA.

Montate un sistema de pruebas, borra los archivos de GNUlibc, y prueba a seguir haciendo algo mas XD

Por no decir que por lo general, cualquier GNU arranca con GNU GRUB, todos sus programas necesitan GNUlibc, usa las GNU Coreutils para las cosas mas elementales, y usa GNU Bash como shell. Vamos, Linux es un simple kernel y por si solo no se puede usar.

Linux no es un sistema operativo, no tiene ni la mas minima forma de interactuar con el usuario.

Llamar "GNU" o "GNU/linux" a los sistemas operativos GNU que usen kernel Linux no es "ser purista", es ser coherente. Linux es otra cosa.
JanKusanagi escribió:
darksch escribió:En realidad es que se generaliza GNU/Linux como Linux aunque realmente no sean la misma cosa. Pero seamos realistas, sin ese GNU, lo que es con Linux Linux pelón y mondón como que se está bastante limitado ¿no?.

Bastante limitado no, es que no podras hacer NADA.

Montate un sistema de pruebas, borra los archivos de GNUlibc, y prueba a seguir haciendo algo mas XD

Por no decir que por lo general, cualquier GNU arranca con GNU GRUB, todos sus programas necesitan GNUlibc, usa las GNU Coreutils para las cosas mas elementales, y usa GNU Bash como shell. Vamos, Linux es un simple kernel y por si solo no se puede usar.

Linux no es un sistema operativo, no tiene ni la mas minima forma de interactuar con el usuario.

Llamar "GNU" o "GNU/linux" a los sistemas operativos GNU que usen kernel Linux no es "ser purista", es ser coherente. Linux es otra cosa.


Podrias optar por un sistema bsd para el userspace en vez de gnu, o ulibc

[/tocapelotas]
Linux no es perfecto, pero si está mejor hecho que MS Windows en TODO. Y FreeBSD ya ni te digo... FreeBSD simplemente me parece perfecto, si no fuese porque tiene tan poco soporte...
¡Qué casualidad!

Se acaba el soporte para XP: Heartbleed
Se presenta Windows 10: Ghost

Y al que dice que están igualados Linux y Windows en seguridad, que me explique quién tiene más de un usuario en una máquina Windows. Infección en un usuario en Linux implica problemas para ese usuario... Si es apache, el usuario www-data.

Si es en Windows solo hay problemas para ese usuario... Si es apache, el usuario Administrador. Lo mismito que en Linux sí...

Saludos!
benito11 escribió:Y al que dice que están igualados Linux y Windows en seguridad, que me explique quién tiene más de un usuario en una máquina Windows

Cualquiera que utilice de Vista en adelante. Por defecto la cuenta de administrador no está activada y UAC controla los accesos a los archivos del sistema.

Si es en Windows solo hay problemas para ese usuario... Si es apache, el usuario Administrador. Lo mismito que en Linux sí

Si alguien tiene un servidor Windows y ejecuta Apache con el usuario administrador, se merece que le entren hasta la cocina. Es una locura.
melado escribió:Si alguien tiene un servidor Windows y ejecuta Apache con el usuario administrador, se merece que le entren hasta la cocina. Es una locura.


Aparte de la locura de usar un servidor windows para montar apache xD
@Zokormazo: +10 compañero, menuda pinta de taliban.
Zokormazo escribió:@WBYYO: esta en security desde ayer a la tarde, upgradea y listo. El paquete fixeado es libc6 2.13-38+deb7u7 . La u6 es vulnerable

@rodripelto: gnu/linux tiene bugs como el resto de sistemas. La diferencia esta en como se resuelven. En 9 dias desde su reporte interno desde redhat ya lo han solucionado la mayoria de distros. Desde la publicacion del CVE, en pocos minutos.


upgradea, fixeado, bugs... vaya manera de patear nuestro idioma.
Zokormazo escribió:@WBYYO: esta en security desde ayer a la tarde, upgradea y listo. El paquete fixeado es libc6 2.13-38+deb7u7 . La u6 es vulnerable

@rodripelto: gnu/linux tiene bugs como el resto de sistemas. La diferencia esta en como se resuelven. En 9 dias desde su reporte interno desde redhat ya lo han solucionado la mayoria de distros. Desde la publicacion del CVE, en pocos minutos.

@melado casi mejor reinicio, muchas gracias a los dos :) [oki]
EDITO:
Aunque no lo crea paradox (mensaje de arriba), me he enterado más con los términos en inglés que si hubiesen estado en español, es preferible aprender los términos comunes en el idioma padre que acabar aprendiendotelo en los dos idiomas creo yo pero bueno siempre alguien le quiere sacar punta a todo supongo :)
Ahora resultará que solo Linux tiene libc... Vaya manera de escribir las noticias, luego me tocará actualizar el FreeBSD y el OSX
ZeTaKa escribió:Ahora resultará que solo Linux tiene libc... Vaya manera de escribir las noticias, luego me tocará actualizar el FreeBSD y el OSX


Ninguno de los dos usa gnu libc como libc principal.

Pero vamos, si usas cygwin en windows tambien te tocara actualizar
AWES0MN escribió:Linux no es perfecto, pero si está mejor hecho que MS Windows en TODO. Y FreeBSD ya ni te digo... FreeBSD simplemente me parece perfecto, si no fuese porque tiene tan poco soporte...



Para nada veo poco soporte, eso si, no preguntes sin leer el manual. Y aun así normalmente tendrás el linux_base y tienes actualización al canto. Ahora me da pereza, pero el finde tendré que actualizar los paquetes del brew, pues seguramente uno de ellos será el libc.
Que me digas, que openbsd o netbsd tienen menos soporte, eso está claro, pero FreeBSD tiene un soporte bastante completo de maquinas y seguramente con un emulador de Linux algo más moderno, sacaría mejores resultados en juegos de Steam, pues es lo que pasa, con los pocos que van con las actuales librerías de la base de centos6.

Zokormazo http://www.vuxml.org/freebsd/0765de84-a ... ca99c.html


Pero eso se usa para la compatibilidad de paquetes linux. El apache de FreeBSD por ejemplo no compila contra eso
ZeTaKa escribió:
AWES0MN escribió:Linux no es perfecto, pero si está mejor hecho que MS Windows en TODO. Y FreeBSD ya ni te digo... FreeBSD simplemente me parece perfecto, si no fuese porque tiene tan poco soporte...



Para nada veo poco soporte, eso si, no preguntes sin leer el manual. Y aun así normalmente tendrás el linux_base y tienes actualización al canto. Ahora me da pereza, pero el finde tendré que actualizar los paquetes del brew, pues seguramente uno de ellos será el libc.
Que me digas, que openbsd o netbsd tienen menos soporte, eso está claro, pero FreeBSD tiene un soporte bastante completo de maquinas y seguramente con un emulador de Linux algo más moderno, sacaría mejores resultados en juegos de Steam, pues es lo que pasa, con los pocos que van con las actuales librerías de la base de centos6.

Zokormazo http://www.vuxml.org/freebsd/0765de84-a ... ca99c.html

No me refiero al FAQ, me refiero al soporte de las empresas (drivers por ejemplo, algunos llegan con meses de retraso a FreeBSD y otros no llegan), juegos, programas (hay algunos que no están, pero si que hay alternativas),... el FAQ de FreeBSD es hoy día el más completo que existe, tiene tanta información como para acabar dominando el sistema completamente.
Veremos si corrigen dicho fallo
rodripelto escribió:Al final Linux no es tsan seguro como nos quieren hacer creer, segun se popularice su uso seguro que tenemos mas noticias al respecto.

Fijate si es poco seguro que ya hay parches y esta corregido XD
La noticia esta muy mal explicada.

1) Ghost no es el nombre común y molón del bug, sino de la función que contenía el bug: gethostbyname

2) El error fue clasificado como un bug menor en lugar de seguridad hace unos dos años y ya entonces fue parcheado, pero al no publicarlo como un parche de seguridad algunas distros no lo habían incluido al tratarse de funciones obsoletas. Aun así hoy este bug es historia en toda distribución Linux ;)

3) Esto no es una prueba de que Linux es inseguro, me explico. Han examinado el código, se han dado cuenta del error y lo han arreglado. ¿Cuantas máquinas han sido atacadas con este sistema? el límite tiende a cero. En un SO de código cerrado una vulnerabilidad se descubre por las malas pues no puedes hacer una revisión del código, y obviamente la corrección y publicación no es tan inmediata...
No se si alguien ya se ha dado cuenta.

Pero la imagen de la noticia es un la salida de un DIR en un Windows XP o superior (se ve lo del directorio documents and settings).

[qmparto] [qmparto]
AWES0MN escribió:
ZeTaKa escribió:
AWES0MN escribió:Linux no es perfecto, pero si está mejor hecho que MS Windows en TODO. Y FreeBSD ya ni te digo... FreeBSD simplemente me parece perfecto, si no fuese porque tiene tan poco soporte...



Para nada veo poco soporte, eso si, no preguntes sin leer el manual. Y aun así normalmente tendrás el linux_base y tienes actualización al canto. Ahora me da pereza, pero el finde tendré que actualizar los paquetes del brew, pues seguramente uno de ellos será el libc.
Que me digas, que openbsd o netbsd tienen menos soporte, eso está claro, pero FreeBSD tiene un soporte bastante completo de maquinas y seguramente con un emulador de Linux algo más moderno, sacaría mejores resultados en juegos de Steam, pues es lo que pasa, con los pocos que van con las actuales librerías de la base de centos6.

Zokormazo http://www.vuxml.org/freebsd/0765de84-a ... ca99c.html

No me refiero al FAQ, me refiero al soporte de las empresas (drivers por ejemplo, algunos llegan con meses de retraso a FreeBSD y otros no llegan), juegos, programas (hay algunos que no están, pero si que hay alternativas),... el FAQ de FreeBSD es hoy día el más completo que existe, tiene tanta información como para acabar dominando el sistema completamente.



Yo llevo ya bastantes ordenadores con FreeBSD y siempre perfecto, igualmente ya se que hardware normalmente tengo que evitar y tal. Cosas que si echa un poco de menos, es el hibernar, pero es evidente, que no es un OS para portátiles, es para servidores, por lo que, cuando sale algo de soporte para escritorios, se agradece y ya, pero no se reclama nada. Supongo que cuando el hardware es más cercano al campo de los servidores, la falta de drivers tiende a mucho menor.
Los programas que no funcionan, pierdo más por no querer tener java en mis equipos, del que pierdo por usar FreeBSD en vez de Linux.
Zokormazo escribió:Como te lea Stallman decir que glibc es Linux, te cuelga del palo mas alto posible xDDD

Bueno, decir que los rolling y demas distros que no sean tortugas debianitas en actualizar ya no tiran de glibc vulnerables. Y en debian tal como salto el CVE habia parche en security (wheezy el unico afectado)

Y bueno, cualquier server que resuelva hostnames podria ser vulnerable.

edit: vaya pinta tiene el que reporto el bug http://fedoraproject.org/wiki/User:Huzaifas


¿Lo de tortuga es por lento? Yo no lo creo, ¿eh?
albion_land escribió:¿Lo de tortuga es por lento? Yo no lo creo, ¿eh?


Se, por su historica relajacion a la hora de sacar releases.
Zokormazo escribió:
albion_land escribió:¿Lo de tortuga es por lento? Yo no lo creo, ¿eh?


Se, por su historica relajacion a la hora de sacar releases.


Hombre, releases completas vale, pero sus razones de peso tienen.

En cuanto a parches, y este en concreto, ayer ya estaba disponible.
albion_land escribió:
Zokormazo escribió:
albion_land escribió:¿Lo de tortuga es por lento? Yo no lo creo, ¿eh?


Se, por su historica relajacion a la hora de sacar releases.


Hombre, releases completas vale, pero sus razones de peso tienen.

En cuanto a parches, y este en concreto, ayer ya estaba disponible.


El comentario venia porque glibc va por la 2.20, el problema ya estaba solucionado desde 2013 en glibc 2.18, y en debian debido a sus ciclos de release lentorras, aun siguen con stable en 2.13, y con sid en 2.19 xD
Zokormazo escribió:
albion_land escribió:
Zokormazo escribió:
Se, por su historica relajacion a la hora de sacar releases.


Hombre, releases completas vale, pero sus razones de peso tienen.

En cuanto a parches, y este en concreto, ayer ya estaba disponible.


El comentario venia porque glibc va por la 2.20, el problema ya estaba solucionado desde 2013 en glibc 2.18, y en debian debido a sus ciclos de release lentorras, aun siguen con stable en 2.13, y con sid en 2.19 xD


Bueno, es otro enfoque ciertamente el que tienen.
-Dyne- escribió:La noticia esta muy mal explicada.

1) Ghost no es el nombre común y molón del bug, sino de la función que contenía el bug: gethostbyname

2) El error fue clasificado como un bug menor en lugar de seguridad hace unos dos años y ya entonces fue parcheado, pero al no publicarlo como un parche de seguridad algunas distros no lo habían incluido al tratarse de funciones obsoletas. Aun así hoy este bug es historia en toda distribución Linux ;)

3) Esto no es una prueba de que Linux es inseguro, me explico. Han examinado el código, se han dado cuenta del error y lo han arreglado. ¿Cuantas máquinas han sido atacadas con este sistema? el límite tiende a cero. En un SO de código cerrado una vulnerabilidad se descubre por las malas pues no puedes hacer una revisión del código, y obviamente la corrección y publicación no es tan inmediata...


Exacto. Solo añadir una cosa.

El bug, siempre segun los investigadores que lo han revisado/descubierto, que ellos sepan, solo lo han sabido ejecutar usando exim.

Es decir, que para poder ejecutarlo, debes tener el codigo vulnerable en la libreria, y en la aplicacion. Y de momento solo con exim han sido capaces de hacerlo. Suponen, pero dicen que sus conocimientos no "dan para mas", que tambien podria aplicarse en versiones viejas de:

"apache, cups, dovecot, gnupg, isc-dhcp, lighttpd, mariadb/mysql,
nfs-utils, nginx, nodejs, openldap, openssh, postfix, proftpd,
pure-ftpd, rsyslog, samba, sendmail, sysklogd, syslog-ng, tcp_wrappers,
vsftpd, xinetd."

Por lo tanto, mucha prensa, pero poco bug. Actualizar glibc, reiniciar servicios basicos (tambien ha habido mucha movida con esto, que si reinicio de servidores y tal), y arreando, que no es para tanto.

Saludos
Puntero mal declarado en c, no hace falta decir más. XD
48 respuestas
Archivado
Volver a Internet