Re: Detectan vulnerabilidad crítica en distri buciones de Linux
Baronti escribió: > Vulnerabilidad en Linux No es una vulnerabilidad de Linux, sino del openssl empaquetado por Debian. Una llave creada con la versión defectuosa de openssl es vulnerable también en Windows. > implica que, en la práctica, las conexiones > seguras hacia servidores basados en Debian, no están cifradas. Sí están cifradas, pero con una llave débil. Y no sólo hay peligro cuando el servidor es Debian, sino también cuando un cliente se autentica con llaves vulnerables. Más abajo en el hilo, Enrique Herrera escribió: > diario ti es como creerle a Las Ultimas Nimiedades...(LUN) La vulnerabilidad fue descubierta por un tal Luciano Bello, así que fijo que sale en LUN uno de estos días. http://www.debian.org/security/2008/dsa-1571 -- Roberto Bonvallet
Re: Detectan vulnerabilidad crítica en distri buciones de Linux
2008/5/20 Leonardo Soto M. <[EMAIL PROTECTED]>: > On Tue, May 20, 2008 at 12:09 PM, Baronti <[EMAIL PROTECTED]> wrote: >> Qué hay de esto? >> http://www.diarioti.com/gate/n.php?id=17634 >> >> Vulnerabilidad en Linux implica que, en la práctica, las conexiones >> seguras hacia servidores basados en Debian, no están cifradas. > > Tiene algo de cierto, pero es noticia de hace una semana atrás, al menos. > > El efecto práctico es que si tienes llaves SSH y usas Debian (o Ubuntu > o cualquier otro derivado), tienes que generarte otra y botar la vieja > a la basura (i.e, sacarla de authorized_keys). Y entiendo que si uno > es paranoico, basta con haber usado una llave *DSA* en un sistema > Debian para verse en la obligación de tirarla a la basura. no afecta solamente al servicio SSH!!! basicamente, se creaste algun certificado para vuestros servidores (pop3s, imaps, https, jabbers, ldaps, VPNs,etc,etc) .. debes de volver a recrearlos y instalar los nuevos certificados. Suponiendo que tu actua como CA para vuestra grande red (lea aca, Universidad, multinacionales, otras).. ademas de crear los certificados en los clientes (ver paragrafo anterior), debes de volver a firmar cada unos de los certifcados !!! habian algunas personas que estaban especialmente preocupados por esto.. ya que caso, alguna CA "oficial" tuvera sus certificados comprometidos.. todos los certificados que fueron firmados por esta CA en los ultimos anos estarian comprometidos !!! imaginate una Versing, CACert y o otra con este problema ??? por aca.. "utilizabamos un sistema" para enviar archivos desde los clientes hacia un servidor.. y como eran demasiados clientes, ni te comento el "rollo" que fue. bien.. en resumen.. el problema/fallo ya esta solucionado, por parte de la distribuicion.. pero para muchos administradores, el problemas va mucho mas alla que un simples "aptitude update && aptitude upgrade" salu2 -- -- Victor Hugo dos Santos Linux Counter #224399 participe y ayude en el FLISOL 2008 http://www.flisol.cl y http://www.flisol.net
Re: Detectan vulnerabilidad crítica en distri buciones de Linux
http://metasploit.com/users/hdm/tools/debian-openssl/ actualiza el cache, la noticia ya es vieja. On Tue, May 20, 2008 at 4:09 PM, Baronti <[EMAIL PROTECTED]> wrote: > Qué hay de esto? > http://www.diarioti.com/gate/n.php?id=17634 > > Vulnerabilidad en Linux implica que, en la práctica, las conexiones > seguras hacia servidores basados en Debian, no están cifradas. > > -- Roberto Araneda, estudiante de ingenieria de ejecucion en telematica From [EMAIL PROTECTED] Tue May 20 13:42:15 2008 From: [EMAIL PROTECTED] (Leonardo Soto M.) Date: Tue May 20 14:11:11 2008 Subject: =?utf-8?q?Re=3A_Detectan_vulnerabilidad_cr=C3=ADtica_en_distribu?= =?utf-8?q?ciones_de_Linux?= In-Reply-To: <[EMAIL PROTECTED]> References: <[EMAIL PROTECTED]> Message-ID: <[EMAIL PROTECTED]> On Tue, May 20, 2008 at 12:09 PM, Baronti <[EMAIL PROTECTED]> wrote: > Qué hay de esto? > http://www.diarioti.com/gate/n.php?id=17634 > > Vulnerabilidad en Linux implica que, en la práctica, las conexiones > seguras hacia servidores basados en Debian, no están cifradas. Tiene algo de cierto, pero es noticia de hace una semana atrás, al menos. El efecto práctico es que si tienes llaves SSH y usas Debian (o Ubuntu o cualquier otro derivado), tienes que generarte otra y botar la vieja a la basura (i.e, sacarla de authorized_keys). Y entiendo que si uno es paranoico, basta con haber usado una llave *DSA* en un sistema Debian para verse en la obligación de tirarla a la basura. -- Leo Soto M. http://blog.leosoto.com
Re: Detectan vulnerabilidad crítica en distri buciones de Linux
On Tue, May 20, 2008 at 12:34 PM, Enrique Herrera Noya <[EMAIL PROTECTED]> wrote: > > diario ti es como creerle a Las Ultimas Nimiedades...(LUN) > me parece haber leido ayer que ya esta solucionado. El hecho de que el blog mencionado tenga o no credibilidad no le quita gravedad a la noticia indicada. La vulnerabilidad es real y es peligrosa y si bien ya hay parches al respecto, quienes tengan sistemas afectados tendrán que analizar con cuidado si se han creado certificados que deban ser regenerados, entre otros análisis. Atte. -- Cristian Rojas R. <[EMAIL PROTECTED]>