Re: Bug en libgnutls
El Wed, 04 Jun 2014 13:33:46 -0300, Mauro Antivero escribió: > El 04/06/14 13:25, Mauro Antivero escribió: >> El 04/06/14 11:09, Guido Ignacio escribió: (...) >>> Mauro el cve es el CVE-2014-3466 y la info y solución la tenés acá [1] >>> >>> Más info [2] > Pido mis disculpas, el mail que acabo de mandar estaba incompleto. Acá > va completo. >>> >>> [1] https://security-tracker.debian.org/tracker/CVE-2014-3466 > Bien, acá dice que el paquete gnutls26 para Debian Squeeze es vulnerable > hasta la versión squeeze3 y que deja de ser vulnerable en la versión > squeeze4. En resumen, Squeeze sería vulnerable si no actualizamos. Del paquete de la versión oldstable (squeeze) no han dicho nada. > Pero si seguimos el link a donde lleva DSA-2944-2 allí dice que Old > Stable (osea Squeeze) no es vulnerable, al igual que Testing y Unstable > y ahí es donde realmente me pierdo :S > > Alguien me podría aclarar esto por favor? Puede ser que se hayan liado. A ver, aplicando la lógica, si la versión oldsatble aún tiene mantenimiento de parches de seguridad y no lo han sacado, una de dos: 1/ La versión del paquete de oldstable no se ve afectada 2/ Están preparando el paquete No nos olvidemos que hay paquetes que son vulnerables y que están pendientes de asignación: https://security-tracker.debian.org/tracker/status/release/oldstable https://security-tracker.debian.org/tracker/status/release/stable >>> [2] http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3466 >>> >>> >>> > Ahora si, completo con lo que había escrito antes, en donde pregunto > como actualizar el paquete libgnutls en Squeeze (en el caso de que > realmente haga falta, ya que sinceramente no termino de entender si hay > que actualizar o no): > > Muchísimas gracias por esta info, muy clara. > > Ahora la pregunta obligada, tengo un par de servers con Debian Squeeze y > luego de hacer un "aptitude update" la última versión que me aparece > disponible es la "squeeze3". > > Tengo que instalar el paquete manualmente acaso o me estoy olvidando de > algo? No, tienes que esperar a que publiquen el paquete actualizado si es que lo sacan. Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/pan.2014.06.04.17.31...@gmail.com
Re: Bug en libgnutls
El 04/06/14 13:25, Mauro Antivero escribió: El 04/06/14 11:09, Guido Ignacio escribió: El día 4 de junio de 2014, 10:39, Mauro Antivero escribió: Estimados, estoy buscando información sobre el bug "reciente" en libgnutls (detallo el mismo más abajo), más precisamente que versiones son las afectadas y a partir de que versión está resuelto el problema. Recuerdo que cuando fue el Heart Bleed la actualización era reciente y si uno hacía un "apt-cache show openssl" en la lista de cambios de la versión que solucionaba el problema aparecía "fix Heart Bleed bla bla bla" (no recuerdo que decía exactamente pero si que aclaraba perfectamente que el bug estaba resuelto). Si hago lo mismo ahora con libgnutls26 me sale que la última versión disponible es la 2.12.20-8+deb7u2, que la prioridad de la actualización es "importante" pero no sale nada más. No sé si esto será porque esta actualización o bien no resuelve el bug o ya fue resuelto por una actualización anterior. Mi pregunta en concreto es (de novato en estas cuestiones): Cómo puedo hacer para saber qué versión es la que implementa el fix en cuestión? Si es posible saberlo directamente desde la consola mejor. Ahora si, leyendo sobre el bendito bug encontré esta página (por supuesto hay muchas, pero esta me pareció muy clara): http://www.etccrond.es/2014/03/fallos-en-ios-y-gnutls-y-advertencia-debian-jessie.html Saludos y muchas gracias. Mauro. Mauro el cve es el CVE-2014-3466 y la info y solución la tenés acá [1] Más info [2] Pido mis disculpas, el mail que acabo de mandar estaba incompleto. Acá va completo. [1] https://security-tracker.debian.org/tracker/CVE-2014-3466 Bien, acá dice que el paquete gnutls26 para Debian Squeeze es vulnerable hasta la versión squeeze3 y que deja de ser vulnerable en la versión squeeze4. En resumen, Squeeze sería vulnerable si no actualizamos. Pero si seguimos el link a donde lleva DSA-2944-2 allí dice que Old Stable (osea Squeeze) no es vulnerable, al igual que Testing y Unstable y ahí es donde realmente me pierdo :S Alguien me podría aclarar esto por favor? [2] http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3466 Ahora si, completo con lo que había escrito antes, en donde pregunto como actualizar el paquete libgnutls en Squeeze (en el caso de que realmente haga falta, ya que sinceramente no termino de entender si hay que actualizar o no): Muchísimas gracias por esta info, muy clara. Ahora la pregunta obligada, tengo un par de servers con Debian Squeeze y luego de hacer un "aptitude update" la última versión que me aparece disponible es la "squeeze3". Tengo que instalar el paquete manualmente acaso o me estoy olvidando de algo? Saludos y gracias. Mauro. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/538f4a6a.9070...@gmail.com
Re: Bug en libgnutls
El Wed, 04 Jun 2014 13:10:49 -0300, Mauro Antivero escribió: > El 04/06/14 11:11, Camaleón escribió: >> El Wed, 04 Jun 2014 10:39:11 -0300, Mauro Antivero escribió: >> >>> Estimados, estoy buscando información sobre el bug "reciente" en >>> libgnutls (detallo el mismo más abajo), más precisamente que versiones >>> son las afectadas y a partir de que versión está resuelto el problema. >> (...) >> >>> Mi pregunta en concreto es (de novato en estas cuestiones): Cómo puedo >>> hacer para saber qué versión es la que implementa el fix en cuestión? >>> Si es posible saberlo directamente desde la consola mejor. >> Apuntándote o siguiendo la lista "debian-security" :-) >> >> [SECURITY] [DSA 2944-1] gnutls26 security update >> https://lists.debian.org/debian-security-announce/2014/msg00124.html (...) >> Más claro imposible. > Es verdad, clarísimo. Gracias! > > Pero me veo obligado a volver a preguntar, hay alguna manera de ver esto > en consola? No estoy loco (creo) y cuando fue el tema de Heart Bleed > recuerdo haber visto en la misma consola el comentario sobre que una > actualización en particular resolvía el problema. Dale un ojo a "apt-listchanges". > Sigo leyendo información al respecto, pero hay que hacer algo más además > de actualizar el paquete? Con heartbleed había que reiniciar openssl y > regenerar determinadas contraseñas en algunos casos. En este caso no veo ninguna nota que recomiende acciones adicionales y por el tipo de vulnerabilidad de la que se trata (DoS) entiendo que con actualizar el paquete sería suficiente. Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/pan.2014.06.04.16.32...@gmail.com
Re: Bug en libgnutls
El 04/06/14 11:09, Guido Ignacio escribió: El día 4 de junio de 2014, 10:39, Mauro Antivero escribió: Estimados, estoy buscando información sobre el bug "reciente" en libgnutls (detallo el mismo más abajo), más precisamente que versiones son las afectadas y a partir de que versión está resuelto el problema. Recuerdo que cuando fue el Heart Bleed la actualización era reciente y si uno hacía un "apt-cache show openssl" en la lista de cambios de la versión que solucionaba el problema aparecía "fix Heart Bleed bla bla bla" (no recuerdo que decía exactamente pero si que aclaraba perfectamente que el bug estaba resuelto). Si hago lo mismo ahora con libgnutls26 me sale que la última versión disponible es la 2.12.20-8+deb7u2, que la prioridad de la actualización es "importante" pero no sale nada más. No sé si esto será porque esta actualización o bien no resuelve el bug o ya fue resuelto por una actualización anterior. Mi pregunta en concreto es (de novato en estas cuestiones): Cómo puedo hacer para saber qué versión es la que implementa el fix en cuestión? Si es posible saberlo directamente desde la consola mejor. Ahora si, leyendo sobre el bendito bug encontré esta página (por supuesto hay muchas, pero esta me pareció muy clara): http://www.etccrond.es/2014/03/fallos-en-ios-y-gnutls-y-advertencia-debian-jessie.html Saludos y muchas gracias. Mauro. Mauro el cve es el CVE-2014-3466 y la info y solución la tenés acá [1] Más info [2] [1] https://security-tracker.debian.org/tracker/CVE-2014-3466 [2] http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3466 Muchísimas gracias por esta info, muy clara. Ahora la pregunta obligada, tengo un par de servers con Debian Squeeze y luego de hacer un "aptitude update" la última versión que me aparece disponible es la "squeeze3". Tengo que instalar el paquete manualmente acaso o me estoy olvidando de algo? Saludos y gracias. Mauro. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/538f4863.6030...@gmail.com
Re: Bug en libgnutls
El 04/06/14 11:11, Camaleón escribió: El Wed, 04 Jun 2014 10:39:11 -0300, Mauro Antivero escribió: Estimados, estoy buscando información sobre el bug "reciente" en libgnutls (detallo el mismo más abajo), más precisamente que versiones son las afectadas y a partir de que versión está resuelto el problema. (...) Mi pregunta en concreto es (de novato en estas cuestiones): Cómo puedo hacer para saber qué versión es la que implementa el fix en cuestión? Si es posible saberlo directamente desde la consola mejor. Apuntándote o siguiendo la lista "debian-security" :-) [SECURITY] [DSA 2944-1] gnutls26 security update https://lists.debian.org/debian-security-announce/2014/msg00124.html *** For the stable distribution (wheezy), this problem has been fixed in version 2.12.20-8+deb7u2. For the unstable distribution (sid), this problem has been fixed in version 2.12.23-16. We recommend that you upgrade your gnutls26 packages. *** Más claro imposible. Es verdad, clarísimo. Gracias! Pero me veo obligado a volver a preguntar, hay alguna manera de ver esto en consola? No estoy loco (creo) y cuando fue el tema de Heart Bleed recuerdo haber visto en la misma consola el comentario sobre que una actualización en particular resolvía el problema. Sigo leyendo información al respecto, pero hay que hacer algo más además de actualizar el paquete? Con heartbleed había que reiniciar openssl y regenerar determinadas contraseñas en algunos casos. Saludos y muchas gracias! Mauro. Saludos, -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/538f4509.8020...@gmail.com
Re: Bug en libgnutls
El Wed, 04 Jun 2014 10:39:11 -0300, Mauro Antivero escribió: > Estimados, estoy buscando información sobre el bug "reciente" en > libgnutls (detallo el mismo más abajo), más precisamente que versiones > son las afectadas y a partir de que versión está resuelto el problema. (...) > Mi pregunta en concreto es (de novato en estas cuestiones): Cómo puedo > hacer para saber qué versión es la que implementa el fix en cuestión? Si > es posible saberlo directamente desde la consola mejor. Apuntándote o siguiendo la lista "debian-security" :-) [SECURITY] [DSA 2944-1] gnutls26 security update https://lists.debian.org/debian-security-announce/2014/msg00124.html *** For the stable distribution (wheezy), this problem has been fixed in version 2.12.20-8+deb7u2. For the unstable distribution (sid), this problem has been fixed in version 2.12.23-16. We recommend that you upgrade your gnutls26 packages. *** Más claro imposible. Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/pan.2014.06.04.14.11...@gmail.com
Re: Bug en libgnutls
El día 4 de junio de 2014, 10:39, Mauro Antivero escribió: > Estimados, estoy buscando información sobre el bug "reciente" en libgnutls > (detallo el mismo más abajo), más precisamente que versiones son las > afectadas y a partir de que versión está resuelto el problema. > > Recuerdo que cuando fue el Heart Bleed la actualización era reciente y si > uno hacía un "apt-cache show openssl" en la lista de cambios de la versión > que solucionaba el problema aparecía "fix Heart Bleed bla bla bla" (no > recuerdo que decía exactamente pero si que aclaraba perfectamente que el bug > estaba resuelto). > > Si hago lo mismo ahora con libgnutls26 me sale que la última versión > disponible es la 2.12.20-8+deb7u2, que la prioridad de la actualización es > "importante" pero no sale nada más. No sé si esto será porque esta > actualización o bien no resuelve el bug o ya fue resuelto por una > actualización anterior. > > Mi pregunta en concreto es (de novato en estas cuestiones): Cómo puedo hacer > para saber qué versión es la que implementa el fix en cuestión? Si es > posible saberlo directamente desde la consola mejor. > > Ahora si, leyendo sobre el bendito bug encontré esta página (por supuesto > hay muchas, pero esta me pareció muy clara): > > http://www.etccrond.es/2014/03/fallos-en-ios-y-gnutls-y-advertencia-debian-jessie.html > > Saludos y muchas gracias. > > Mauro. > > Mauro el cve es el CVE-2014-3466 y la info y solución la tenés acá [1] Más info [2] [1] https://security-tracker.debian.org/tracker/CVE-2014-3466 [2] http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3466 -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/ca+wixxjbtrbl44p2vykugvweyskkxq9cvepfb4k3ensyp8z...@mail.gmail.com