Re: [Gutl-l] Fw: OpenSSL soluciona ocho vulnerabilidades [Hispasec @unaaldia]
Lo se lazaro pero creo que Centos se ha Ganado ser la opcion para servidores en este caso detras de redhat, es decir de los rpm, redhat(el padre), centos(el major de los hijos par servidores) y fedora(el major de los hijos para escritorio). -Original Message- From: gutl-l-boun...@jovenclub.cu [mailto:gutl-l-boun...@jovenclub.cu] On Behalf Of låzaro Sent: Monday, March 28, 2016 2:16 PM To: Lista cubana de soporte técnico en Tecnologias Libres Subject: Re: [Gutl-l] Fw: OpenSSL soluciona ocho vulnerabilidades [Hispasec @unaaldia] > parece una variante iteresante > > Bueno lazaro creo que es "la variante" en tu caso que no quieres usar > debian deribados, usar Centos en los servers y Fedora en tu estacion > de trabajo de paso usas los mismos paquetes. > Voy a darle una ojeada a ovirt arian. Hay fedora server y fedora desktop -- Warning! 100'000 pelos de escoba fueron introducidos satisfactoriamente en su puerto USB. __ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l __ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
Re: [Gutl-l] Fw: OpenSSL soluciona ocho vulnerabilidades [Hispasec @unaaldia]
> parece una variante iteresante > > Bueno lazaro creo que es "la variante" en tu caso que no quieres usar debian > deribados, usar Centos en los servers y Fedora en tu estacion de trabajo de > paso usas los mismos paquetes. > Voy a darle una ojeada a ovirt arian. Hay fedora server y fedora desktop -- Warning! 100'000 pelos de escoba fueron introducidos satisfactoriamente en su puerto USB. __ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
Re: [Gutl-l] Fw: OpenSSL soluciona ocho vulnerabilidades [Hispasec @unaaldia]
-Original Message- From: gutl-l-boun...@jovenclub.cu [mailto:gutl-l-boun...@jovenclub.cu] On Behalf Of låzaro Sent: Wednesday, March 2, 2016 12:24 PM To: Lista cubana de soporte técnico en Tecnologias Libres Subject: Re: [Gutl-l] Fw: OpenSSL soluciona ocho vulnerabilidades [Hispasec @unaaldia] Thread name: "Re: [Gutl-l] Fw: OpenSSL soluciona ocho vulnerabilidades [Hispasec @unaaldia]" Mail number: 3 Date: Wed, Mar 02, 2016 In reply to: Arian Molina Aguilera > > El 02/03/16 a las 14:29, låzaro escribió: > >Thread name: "Re: [Gutl-l] Fw: OpenSSL soluciona ocho vulnerabilidades [Hispasec @unaaldia]" > >Mail number: 2 > >Date: Wed, Mar 02, 2016 > >In reply to: Arian Molina Aguilera > >>El 02/03/16 a las 13:16, låzaro escribió: > >>>>aptitude update > >>>> > >>>>Current status: 6 updates [+6], 42551 new [+1]. > >>>>root@openfire:~# aptitude upgrade > >>>>The following packages will be upgraded: > >>>> libssl1.0.0 openssl perl perl-base perl-modules python-pil The > >>>>following packages are RECOMMENDED but will NOT be installed: > >>>> libarchive-extract-perl libcgi-pm-perl libmodule-build-perl > >>>>libmodule-pluggable-perl libpackage-constants-perl > >>>>libpod-latex-perl libterm-ui-perl > >>>> libtext-soundex-perl rename > >>>>6 packages upgraded, 0 newly installed, 0 to remove and 0 not upgraded. > >>>>Need to get 8,429 kB of archives. After unpacking 5,120 B will be used. > >>>>Do you want to continue? [Y/n/?] > >>>Genial!!! :D > >>> > >>>Yo no hablo mal de debian, aunque hable fuerte; como comenté > >>>anteriormente. Pero no solo de actualizaciones de seguridad se vive. > >>> > >>>No entiendo, si actualizan las de seguridad, porque no actualizan > >>>las versiones también. Que cada empaquetador pruebe su estabilidad > >>>y la actualize. Arch tiene una rama estable y una testing, porque > >>>debian no puede tener lo mismo y ser roll-release también, si tiene > >>>uno de los mejores manipulador de paquetes > >>> > >>> > >>> > >>brother cuando entenderás ningún server que se respete ninguna de > >>las distros más reconocidas. Redhat7, Suse 12, Ubuntu Server 14.04, > >>Etc, tienen lo ultimo de la paquetería. Se busca seguridad y > >>estabilidad por encima de todo. Si quieres tener lo ultimo y > >>sacrificar la seguridad y la estabilidad comprobada, no te > >>recomiendo que lo uses en producción, si es tu maquina de trabajo y > >>desarrollo pues bien que tengas lo ultimo, pero en los servers en > >>producción no. Cuando se ha visto por ahí un server en un cloud de > >>amazon o azure corriendo archlinux, nunca verdad. Entonces analiza > >>mejor para que veas, socio y debian tienes más bien tres ramas, no > >>solo dos, tienen la estable que es la actual debian 8.3. segura y > >>garantizada, tiene la rama testing, que cuando este estable y segura > >>pasará a ser la debian estable 9, y tiene la rama Sid, donde tienes > >>lo ultimo y que contentamente se le actualizan y agregan cosas > >>nuevas, por lo tanto no es la más estable ni la más segura, porque no todo esta probado al 99%. Quieres tener lo más actual y novedoso y seguir usando debian, pues instalas la rama sid y listo. Salu2. > >> > >Por eso me mudo pa Fedora server > > > > > > > tampoco es lo mismo socio, fedora server es la testing de redhat, para > eso mejor me voy a centos 7 que es la versión pro de redhat 7 pero > comunity, y como apoyo de la propia redhat, por cierto ya viste ovirt. > wiki.ovirt.org Salu2. > parece una variante iteresante Bueno lazaro creo que es "la variante" en tu caso que no quieres usar debian deribados, usar Centos en los servers y Fedora en tu estacion de trabajo de paso usas los mismos paquetes. Voy a darle una ojeada a ovirt arian. __ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
Re: [Gutl-l] Fw: OpenSSL soluciona ocho vulnerabilidades [Hispasec @unaaldia]
Thread name: "Re: [Gutl-l] Fw: OpenSSL soluciona ocho vulnerabilidades [Hispasec @unaaldia]" Mail number: 3 Date: Wed, Mar 02, 2016 In reply to: Arian Molina Aguilera > > El 02/03/16 a las 14:29, låzaro escribió: > >Thread name: "Re: [Gutl-l] Fw: OpenSSL soluciona ocho vulnerabilidades > >[Hispasec @unaaldia]" > >Mail number: 2 > >Date: Wed, Mar 02, 2016 > >In reply to: Arian Molina Aguilera > >>El 02/03/16 a las 13:16, låzaro escribió: > >>>>aptitude update > >>>> > >>>>Current status: 6 updates [+6], 42551 new [+1]. > >>>>root@openfire:~# aptitude upgrade > >>>>The following packages will be upgraded: > >>>> libssl1.0.0 openssl perl perl-base perl-modules python-pil > >>>>The following packages are RECOMMENDED but will NOT be installed: > >>>> libarchive-extract-perl libcgi-pm-perl libmodule-build-perl > >>>>libmodule-pluggable-perl libpackage-constants-perl libpod-latex-perl > >>>>libterm-ui-perl > >>>> libtext-soundex-perl rename > >>>>6 packages upgraded, 0 newly installed, 0 to remove and 0 not upgraded. > >>>>Need to get 8,429 kB of archives. After unpacking 5,120 B will be used. > >>>>Do you want to continue? [Y/n/?] > >>>Genial!!! :D > >>> > >>>Yo no hablo mal de debian, aunque hable fuerte; como comenté > >>>anteriormente. Pero no solo de actualizaciones de seguridad se vive. > >>> > >>>No entiendo, si actualizan las de seguridad, porque no actualizan las > >>>versiones también. Que cada empaquetador pruebe su estabilidad y la > >>>actualize. Arch tiene una rama estable y una testing, porque debian no > >>>puede tener lo mismo y ser roll-release también, si tiene uno de los > >>>mejores manipulador de paquetes > >>> > >>> > >>> > >>brother cuando entenderás ningún server que se respete ninguna de las > >>distros más reconocidas. Redhat7, Suse 12, Ubuntu Server 14.04, Etc, tienen > >>lo ultimo de la paquetería. Se busca seguridad y estabilidad por encima de > >>todo. Si quieres tener lo ultimo y sacrificar la seguridad y la estabilidad > >>comprobada, no te recomiendo que lo uses en producción, si es tu maquina de > >>trabajo y desarrollo pues bien que tengas lo ultimo, pero en los servers en > >>producción no. Cuando se ha visto por ahí un server en un cloud de amazon o > >>azure corriendo archlinux, nunca verdad. Entonces analiza mejor para que > >>veas, socio y debian tienes más bien tres ramas, no solo dos, tienen la > >>estable que es la actual debian 8.3. segura y garantizada, tiene la rama > >>testing, que cuando este estable y segura pasará a ser la debian estable 9, > >>y tiene la rama Sid, donde tienes lo ultimo y que contentamente se le > >>actualizan y agregan cosas nuevas, por lo tanto no es la más estable ni la > >>más segura, porque no todo esta probado al 99%. Quieres tener lo más actual > >>y novedoso y seguir usando debian, pues instalas la rama sid y listo. Salu2. > >> > >Por eso me mudo pa Fedora server > > > > > > > tampoco es lo mismo socio, fedora server es la testing de redhat, para eso > mejor me voy a centos 7 que es la versión pro de redhat 7 pero comunity, y > como apoyo de la propia redhat, por cierto ya viste ovirt. wiki.ovirt.org > Salu2. > parece una variante iteresante -- Warning! 100'000 pelos de escoba fueron introducidos satisfactoriamente en su puerto USB. __ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
Re: [Gutl-l] Fw: OpenSSL soluciona ocho vulnerabilidades [Hispasec @unaaldia]
El 02/03/16 a las 14:29, låzaro escribió: Thread name: "Re: [Gutl-l] Fw: OpenSSL soluciona ocho vulnerabilidades [Hispasec @unaaldia]" Mail number: 2 Date: Wed, Mar 02, 2016 In reply to: Arian Molina Aguilera El 02/03/16 a las 13:16, låzaro escribió: aptitude update Current status: 6 updates [+6], 42551 new [+1]. root@openfire:~# aptitude upgrade The following packages will be upgraded: libssl1.0.0 openssl perl perl-base perl-modules python-pil The following packages are RECOMMENDED but will NOT be installed: libarchive-extract-perl libcgi-pm-perl libmodule-build-perl libmodule-pluggable-perl libpackage-constants-perl libpod-latex-perl libterm-ui-perl libtext-soundex-perl rename 6 packages upgraded, 0 newly installed, 0 to remove and 0 not upgraded. Need to get 8,429 kB of archives. After unpacking 5,120 B will be used. Do you want to continue? [Y/n/?] Genial!!! :D Yo no hablo mal de debian, aunque hable fuerte; como comenté anteriormente. Pero no solo de actualizaciones de seguridad se vive. No entiendo, si actualizan las de seguridad, porque no actualizan las versiones también. Que cada empaquetador pruebe su estabilidad y la actualize. Arch tiene una rama estable y una testing, porque debian no puede tener lo mismo y ser roll-release también, si tiene uno de los mejores manipulador de paquetes brother cuando entenderás ningún server que se respete ninguna de las distros más reconocidas. Redhat7, Suse 12, Ubuntu Server 14.04, Etc, tienen lo ultimo de la paquetería. Se busca seguridad y estabilidad por encima de todo. Si quieres tener lo ultimo y sacrificar la seguridad y la estabilidad comprobada, no te recomiendo que lo uses en producción, si es tu maquina de trabajo y desarrollo pues bien que tengas lo ultimo, pero en los servers en producción no. Cuando se ha visto por ahí un server en un cloud de amazon o azure corriendo archlinux, nunca verdad. Entonces analiza mejor para que veas, socio y debian tienes más bien tres ramas, no solo dos, tienen la estable que es la actual debian 8.3. segura y garantizada, tiene la rama testing, que cuando este estable y segura pasará a ser la debian estable 9, y tiene la rama Sid, donde tienes lo ultimo y que contentamente se le actualizan y agregan cosas nuevas, por lo tanto no es la más estable ni la más segura, porque no todo esta probado al 99%. Quieres tener lo más actual y novedoso y seguir usando debian, pues instalas la rama sid y listo. Salu2. Por eso me mudo pa Fedora server tampoco es lo mismo socio, fedora server es la testing de redhat, para eso mejor me voy a centos 7 que es la versión pro de redhat 7 pero comunity, y como apoyo de la propia redhat, por cierto ya viste ovirt. wiki.ovirt.org Salu2. -- Arian Molina Aguilera Administrador de Redes y Servicios Telemáticos Linux Usuario Registrado #392892 Telfs: +53(7)696-7510 ext 236 jabber: linuxc...@openmailbox.org Brascuba Cigarrillos S.A. La Habana. Cuba. “Nunca consideres el estudio como una obligación, sino como una oportunidad para penetrar en el bello y maravilloso mundo del saber. Albert Einstein” __ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
Re: [Gutl-l] Fw: OpenSSL soluciona ocho vulnerabilidades [Hispasec @unaaldia]
Thread name: "Re: [Gutl-l] Fw: OpenSSL soluciona ocho vulnerabilidades [Hispasec @unaaldia]" Mail number: 2 Date: Wed, Mar 02, 2016 In reply to: Arian Molina Aguilera > > El 02/03/16 a las 13:16, låzaro escribió: > >>aptitude update > >> > >>Current status: 6 updates [+6], 42551 new [+1]. > >>root@openfire:~# aptitude upgrade > >>The following packages will be upgraded: > >> libssl1.0.0 openssl perl perl-base perl-modules python-pil > >>The following packages are RECOMMENDED but will NOT be installed: > >> libarchive-extract-perl libcgi-pm-perl libmodule-build-perl > >>libmodule-pluggable-perl libpackage-constants-perl libpod-latex-perl > >>libterm-ui-perl > >> libtext-soundex-perl rename > >>6 packages upgraded, 0 newly installed, 0 to remove and 0 not upgraded. > >>Need to get 8,429 kB of archives. After unpacking 5,120 B will be used. > >>Do you want to continue? [Y/n/?] > > > >Genial!!! :D > > > >Yo no hablo mal de debian, aunque hable fuerte; como comenté > >anteriormente. Pero no solo de actualizaciones de seguridad se vive. > > > >No entiendo, si actualizan las de seguridad, porque no actualizan las > >versiones también. Que cada empaquetador pruebe su estabilidad y la > >actualize. Arch tiene una rama estable y una testing, porque debian no > >puede tener lo mismo y ser roll-release también, si tiene uno de los > >mejores manipulador de paquetes > > > > > > > brother cuando entenderás ningún server que se respete ninguna de las > distros más reconocidas. Redhat7, Suse 12, Ubuntu Server 14.04, Etc, tienen > lo ultimo de la paquetería. Se busca seguridad y estabilidad por encima de > todo. Si quieres tener lo ultimo y sacrificar la seguridad y la estabilidad > comprobada, no te recomiendo que lo uses en producción, si es tu maquina de > trabajo y desarrollo pues bien que tengas lo ultimo, pero en los servers en > producción no. Cuando se ha visto por ahí un server en un cloud de amazon o > azure corriendo archlinux, nunca verdad. Entonces analiza mejor para que > veas, socio y debian tienes más bien tres ramas, no solo dos, tienen la > estable que es la actual debian 8.3. segura y garantizada, tiene la rama > testing, que cuando este estable y segura pasará a ser la debian estable 9, > y tiene la rama Sid, donde tienes lo ultimo y que contentamente se le > actualizan y agregan cosas nuevas, por lo tanto no es la más estable ni la > más segura, porque no todo esta probado al 99%. Quieres tener lo más actual > y novedoso y seguir usando debian, pues instalas la rama sid y listo. Salu2. > Por eso me mudo pa Fedora server -- Warning! 100'000 pelos de escoba fueron introducidos satisfactoriamente en su puerto USB. __ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
Re: [Gutl-l] Fw: OpenSSL soluciona ocho vulnerabilidades [Hispasec @unaaldia]
El 02/03/16 a las 13:16, låzaro escribió: aptitude update Current status: 6 updates [+6], 42551 new [+1]. root@openfire:~# aptitude upgrade The following packages will be upgraded: libssl1.0.0 openssl perl perl-base perl-modules python-pil The following packages are RECOMMENDED but will NOT be installed: libarchive-extract-perl libcgi-pm-perl libmodule-build-perl libmodule-pluggable-perl libpackage-constants-perl libpod-latex-perl libterm-ui-perl libtext-soundex-perl rename 6 packages upgraded, 0 newly installed, 0 to remove and 0 not upgraded. Need to get 8,429 kB of archives. After unpacking 5,120 B will be used. Do you want to continue? [Y/n/?] Genial!!! :D Yo no hablo mal de debian, aunque hable fuerte; como comenté anteriormente. Pero no solo de actualizaciones de seguridad se vive. No entiendo, si actualizan las de seguridad, porque no actualizan las versiones también. Que cada empaquetador pruebe su estabilidad y la actualize. Arch tiene una rama estable y una testing, porque debian no puede tener lo mismo y ser roll-release también, si tiene uno de los mejores manipulador de paquetes brother cuando entenderás ningún server que se respete ninguna de las distros más reconocidas. Redhat7, Suse 12, Ubuntu Server 14.04, Etc, tienen lo ultimo de la paquetería. Se busca seguridad y estabilidad por encima de todo. Si quieres tener lo ultimo y sacrificar la seguridad y la estabilidad comprobada, no te recomiendo que lo uses en producción, si es tu maquina de trabajo y desarrollo pues bien que tengas lo ultimo, pero en los servers en producción no. Cuando se ha visto por ahí un server en un cloud de amazon o azure corriendo archlinux, nunca verdad. Entonces analiza mejor para que veas, socio y debian tienes más bien tres ramas, no solo dos, tienen la estable que es la actual debian 8.3. segura y garantizada, tiene la rama testing, que cuando este estable y segura pasará a ser la debian estable 9, y tiene la rama Sid, donde tienes lo ultimo y que contentamente se le actualizan y agregan cosas nuevas, por lo tanto no es la más estable ni la más segura, porque no todo esta probado al 99%. Quieres tener lo más actual y novedoso y seguir usando debian, pues instalas la rama sid y listo. Salu2. -- Arian Molina Aguilera Administrador de Redes y Servicios Telemáticos Linux Usuario Registrado #392892 Telfs: +53(7)696-7510 ext 236 jabber: linuxc...@openmailbox.org Brascuba Cigarrillos S.A. La Habana. Cuba. “Nunca consideres el estudio como una obligación, sino como una oportunidad para penetrar en el bello y maravilloso mundo del saber. Albert Einstein” __ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
Re: [Gutl-l] Fw: OpenSSL soluciona ocho vulnerabilidades [Hispasec @unaaldia]
> aptitude update > > Current status: 6 updates [+6], 42551 new [+1]. > root@openfire:~# aptitude upgrade > The following packages will be upgraded: > libssl1.0.0 openssl perl perl-base perl-modules python-pil > The following packages are RECOMMENDED but will NOT be installed: > libarchive-extract-perl libcgi-pm-perl libmodule-build-perl > libmodule-pluggable-perl libpackage-constants-perl libpod-latex-perl > libterm-ui-perl > libtext-soundex-perl rename > 6 packages upgraded, 0 newly installed, 0 to remove and 0 not upgraded. > Need to get 8,429 kB of archives. After unpacking 5,120 B will be used. > Do you want to continue? [Y/n/?] Genial!!! :D Yo no hablo mal de debian, aunque hable fuerte; como comenté anteriormente. Pero no solo de actualizaciones de seguridad se vive. No entiendo, si actualizan las de seguridad, porque no actualizan las versiones también. Que cada empaquetador pruebe su estabilidad y la actualize. Arch tiene una rama estable y una testing, porque debian no puede tener lo mismo y ser roll-release también, si tiene uno de los mejores manipulador de paquetes -- Warning! 100'000 pelos de escoba fueron introducidos satisfactoriamente en su puerto USB. __ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
Re: [Gutl-l] Fw: OpenSSL soluciona ocho vulnerabilidades [Hispasec @unaaldia]
El 02/03/16 a las 10:51, låzaro escribió: y entonces, los usuarios de debian - Forwarded message from Salcocho Noticioso - Date: Tue, 01 Mar 2016 23:00:09 -0500 From: Salcocho Noticioso To: laz...@hcg.sld.cu Subject: OpenSSL soluciona ocho vulnerabilidades [Hispasec @unaaldia] X-Mailer: feedblaster.rb - ruby 2.3.0p0 (2015-12-25 revision 53290) [x86_64-linux] OpenSSL soluciona ocho vulnerabilidades El proyecto OpenSSL ha anunciado la publicación de nuevas versiones de OpenSSL destinadas a corregir ocho vulnerabilidades, dos calificadas de impacto alto, una de gravedad media y otras cinco de importancia baja. [DROWN] Logo DROWN El primero y más destacado de los problemas reside en una vulnerabilidad, de gravedad alta, que puede permitir descifrar sesiones TLS mediante el uso de un servidor que soporte SSLv2 y suites de cifrado de categoría EXPORT. Una vulnerabilidad de esas que llevan nombre, logo y hasta página web, bautizada como DROWN (Decrypting RSA with Obsolete and Weakened eNcryption). DROWN (con identificador CVE-2016-0800) es una nueva forma de protocolo cruzado Bleichenbacher padding oracle attack, que permite a un atacante descifrar conexiones TLS interceptadas mediante conexiones específicamente creadas a un servidor SSLv2 que use la misma clave privada. Por otra parte, dos vulnerabilidades, una de gravedad alta y otra moderada (con CVE-2016-0703 y CVE-2016-0704), que solo afectan a versiones de OpenSSL anteriores a marzo de 2015, momento en el cual el código fue rediseñado para hacer frente a la vulnerabilidad CVE-2015-0293. Estas vulnerabilidades afectan a OpenSSL versiones 1.0.2, 1.0.1l, 1.0.0q, 0.9.8ze y anteriores. Fueron corregidas en OpenSSL 1.0.2a, 1.0.1m, 1.0.0r y 0.9.8zf. [openssl-logo] La importancia de señalar estos problemas en la actualidad reside en que cualquiera de los dos pueden permitir versiones más eficientes de DROWN, incluso eficaces contra conjuntos de cifrado que no sean de exportación, y sin necesidad de requerir un cálculo significativo. De gravedad baja, una vulnerabilidad de denegación de servicio por una dobre liberación cuando OpenSSL trata claves DSA privadas mal construidas (CVE-2016-0705), una fuga de memoria en búsquedas SRP (CVE-2016-0798), referencia a puntero nulo y corrupción de heap en funciones BN_hex2bn y BN_dec2bn (CVE-2016-0797) y problemas de memoria en funciones BIO_*printf (CVE-2016-0799). OpenSSL ha publicado las versiones 1.0.2g y 1.0.1s disponibles desde http://openssl.org/source/ También se recuerda por parte de OpenSSL que las versiones 1.0.1 acaban su soporte a finales de año. Más información: OpenSSL Security Advisory [1st March 2016] https://www.openssl.org/news/secadv/20160301.txt The DROWN Attack https://drownattack.com/ una-al-dia (20/03/2015) OpenSSL soluciona 13 vulnerabilidades http://unaaldia.hispasec.com/2015/03/openssl-soluciona-13-vulnerabilidades.html Antonio Ropero anton...@hispasec.com Twitter: @aropero * - End forwarded message - a actualizar como todo el mundo. Salu2. -- Arian Molina Aguilera Administrador de Redes y Servicios Telemáticos Linux Usuario Registrado #392892 Telfs: +53(7)696-7510 ext 236 jabber: linuxc...@openmailbox.org Brascuba Cigarrillos S.A. La Habana. Cuba. __ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
Re: [Gutl-l] Fw: OpenSSL soluciona ocho vulnerabilidades [Hispasec @unaaldia]
El 02/03/16 a las 10:51, låzaro escribió: y entonces, los usuarios de debian - Forwarded message from Salcocho Noticioso - Date: Tue, 01 Mar 2016 23:00:09 -0500 From: Salcocho Noticioso To: laz...@hcg.sld.cu Subject: OpenSSL soluciona ocho vulnerabilidades [Hispasec @unaaldia] X-Mailer: feedblaster.rb - ruby 2.3.0p0 (2015-12-25 revision 53290) [x86_64-linux] OpenSSL soluciona ocho vulnerabilidades El proyecto OpenSSL ha anunciado la publicación de nuevas versiones de OpenSSL destinadas a corregir ocho vulnerabilidades, dos calificadas de impacto alto, una de gravedad media y otras cinco de importancia baja. [DROWN] Logo DROWN El primero y más destacado de los problemas reside en una vulnerabilidad, de gravedad alta, que puede permitir descifrar sesiones TLS mediante el uso de un servidor que soporte SSLv2 y suites de cifrado de categoría EXPORT. Una vulnerabilidad de esas que llevan nombre, logo y hasta página web, bautizada como DROWN (Decrypting RSA with Obsolete and Weakened eNcryption). DROWN (con identificador CVE-2016-0800) es una nueva forma de protocolo cruzado Bleichenbacher padding oracle attack, que permite a un atacante descifrar conexiones TLS interceptadas mediante conexiones específicamente creadas a un servidor SSLv2 que use la misma clave privada. Por otra parte, dos vulnerabilidades, una de gravedad alta y otra moderada (con CVE-2016-0703 y CVE-2016-0704), que solo afectan a versiones de OpenSSL anteriores a marzo de 2015, momento en el cual el código fue rediseñado para hacer frente a la vulnerabilidad CVE-2015-0293. Estas vulnerabilidades afectan a OpenSSL versiones 1.0.2, 1.0.1l, 1.0.0q, 0.9.8ze y anteriores. Fueron corregidas en OpenSSL 1.0.2a, 1.0.1m, 1.0.0r y 0.9.8zf. [openssl-logo] La importancia de señalar estos problemas en la actualidad reside en que cualquiera de los dos pueden permitir versiones más eficientes de DROWN, incluso eficaces contra conjuntos de cifrado que no sean de exportación, y sin necesidad de requerir un cálculo significativo. De gravedad baja, una vulnerabilidad de denegación de servicio por una dobre liberación cuando OpenSSL trata claves DSA privadas mal construidas (CVE-2016-0705), una fuga de memoria en búsquedas SRP (CVE-2016-0798), referencia a puntero nulo y corrupción de heap en funciones BN_hex2bn y BN_dec2bn (CVE-2016-0797) y problemas de memoria en funciones BIO_*printf (CVE-2016-0799). OpenSSL ha publicado las versiones 1.0.2g y 1.0.1s disponibles desde http://openssl.org/source/ También se recuerda por parte de OpenSSL que las versiones 1.0.1 acaban su soporte a finales de año. Más información: OpenSSL Security Advisory [1st March 2016] https://www.openssl.org/news/secadv/20160301.txt The DROWN Attack https://drownattack.com/ una-al-dia (20/03/2015) OpenSSL soluciona 13 vulnerabilidades http://unaaldia.hispasec.com/2015/03/openssl-soluciona-13-vulnerabilidades.html Antonio Ropero anton...@hispasec.com Twitter: @aropero * - End forwarded message - aptitude update Current status: 6 updates [+6], 42551 new [+1]. root@openfire:~# aptitude upgrade The following packages will be upgraded: libssl1.0.0 openssl perl perl-base perl-modules python-pil The following packages are RECOMMENDED but will NOT be installed: libarchive-extract-perl libcgi-pm-perl libmodule-build-perl libmodule-pluggable-perl libpackage-constants-perl libpod-latex-perl libterm-ui-perl libtext-soundex-perl rename 6 packages upgraded, 0 newly installed, 0 to remove and 0 not upgraded. Need to get 8,429 kB of archives. After unpacking 5,120 B will be used. Do you want to continue? [Y/n/?] -- Arian Molina Aguilera Administrador de Redes y Servicios Telemáticos Linux Usuario Registrado #392892 Telfs: +53(7)696-7510 ext 236 jabber: linuxc...@openmailbox.org Brascuba Cigarrillos S.A. La Habana. Cuba. __ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l