Un grave fallo compromete la seguridad en Linux

Software

Apenas unos días después del denominado fallo goto fail en los sistemas de Apple que afectaba a la librería de SSL de OS X e iOS, conocemos otra vulnerabilidad similar, que en esta ocasión afecta a Linux. Su peligrosidad es similar ya que podría facilitar el espionaje de las comunicaciones de los usuarios.

Algunas de las distribuciones Linux más importantes como Debian, Ubuntu o Red Hat se han visto afectadas por un grave fallo de seguridad. Como nota llamativa, cabe remarcar que la vulnerabilidad se introdujo hace una década y hasta ahora no había sido detectada.

Ésta afecta a la librería GnuTLS, usada en Linux por centenares de aplicaciones para establecer conexiones seguras mediante SSL. Entre ellas encontraríamos importantes programas como OpenOffice, Filezilla, Chromium o el servidor Apache en algunas de sus configuraciones.

Como leemos en ArsTechnica, el fallo nace de una equivocación en la programación en la función que verifica la validez de certificados X.509 tipo ASN.1, dado que no se interpretó bien el código de salida. De este modo, “un código de retorno negativo que indica un error se convierte en un código de retorno distinto de 0 que señala que todo ha ido bien”, explican en Genbeta.

gnutlsUn atacante con conocimiento del fallo podría haberse aprovechado del mismo para interceptar las comunicaciones a través de un certificado inválido pero que, debido al error, no sería calificado por el sistema como tal. No obstante, cabe señalar que es difícil que esto haya sucedido pese a haber pasado 10 años desde que se cometiese el error.

El parche que lo soluciona ya está disponible

La vulnerabilidad ha disparado todas las alarmas entre expertos en seguridad, principalmente por el tiempo que ha transcurrido sin ser detectado y por lo obvio que parecía. Por suerte, el parche que corrige el fallo de seguridad ya se encuentra disponible y muchas distribuciones ya lo tienen disponible para actualización inmediata.

Escrito por Redacción

Fuente > ArsTechnica

Vía > Genbeta

Continúa leyendo
Comentarios
27 comentarios
  1. Anónimo
    Usuario no registrado
    05 Mar, 14 12:20 pm

    Ya, acaba de ser descubierto por alguien que quiera taparlo, pero si ya se descubrió por “otros” hace tiempo y no se dijo nada para aprovecharlo. Seguridad que es eso?

  2. maite89 05 Mar, 14 12:28 pm

    Linux es un nido de inseguridades. :/

    1. Anónimo
      Usuario no registrado
      05 Mar, 14 1:18 pm

      Totalmente xDD

      1. Anónimo
        Usuario no registrado
        07 Mar, 14 1:48 am

        Es que él es el pollito

    2. Anónimo
      Usuario no registrado
      06 Mar, 14 11:22 am

      por eso van todos contra windows y también para android.

  3. Anónimo
    Usuario no registrado
    05 Mar, 14 2:23 pm

    ahora donde están esos que dicen que linux no pilla nada?? si es que vaya tanto presumir y mira el fallo gordo que tiene. no digáis mas o ciertas cosas pasaran factura.

    no discuto la rapidez de la comunidad en taparlo que es rápido.
    que guay sumar dividir o multiplicar para postear Como mola!!!

    1. Anónimo
      Usuario no registrado
      05 Mar, 14 2:33 pm

      ¿cuanto han tardado en solucionarlo? ¿cuanto tarda microsoft en solucionar los fallos? ya te contesto yo, han tardado unas pocas horas, sin embargo microsoft como te pille el fallo el miercoles estas jodido hasta el martes siguiente.

      1. Anónimo
        Usuario no registrado
        05 Mar, 14 3:56 pm

        Cuanto hace que existe ese fallo? Cuanto han tardado en darse cuenta del fallo?
        Ni lo intentes, ni ellos mismos lo saben.
        Fail tremendo para Linux

        1. Anónimo
          Usuario no registrado
          05 Mar, 14 4:31 pm

          ese fallo en ssl esta desde hace 10 años y ni siquiera los malos se habian dado cuenta que existia. ¿cuantos fallos tiene o tenia windows desde hacia años que microsoft sabia y pasaron del tema?

          ¿no te parece demasiada casualidad que hace poco se descubrio uno muy parecido en apple? quizas los mas paranoicos diran que la nsa siempre ha estado detras de este fallo.

    2. Anónimo
      Usuario no registrado
      05 Mar, 14 2:47 pm

      10 años, 0 virus, 0 troyanos, 0 cuelgues, tú usa lo que quieras, a mi me da lo mismo.

      1. Anónimo
        Usuario no registrado
        05 Mar, 14 6:03 pm

        claro 0 de todo, pero porque no hay dios que los descubra. Y los que lo descubren se aprovechan.. Linux y seguridad un mito de ignorantes..

        1. Anónimo
          Usuario no registrado
          05 Mar, 14 6:52 pm

          Muestra algún caso en el que hayan explotado esta vulnerabilidad. Espero sentado.

        2. Anónimo
          Usuario no registrado
          06 Mar, 14 10:57 am

          sigue con tu windows lleno de bichitos ignorante.

    3. Anónimo
      Usuario no registrado
      05 Mar, 14 8:11 pm

      recuerda que han tardado horas, no dias, ni semanas, ni meses sino horas en solucionarlo desde que se ha descubierto.

      1. Anónimo
        Usuario no registrado
        07 Mar, 14 1:53 am

        Es que el parche es anterior a la noticia. Adslzone va un poco retrasada.
        Mirad en debian.org
        Ahí está el parche: gnutls26
        Más rápido que la noticia.

    4. Anónimo
      Usuario no registrado
      06 Mar, 14 11:22 am

      vocazas

    5. Anónimo
      Usuario no registrado
      07 Mar, 14 1:44 am

      ” donde están esos que dicen que linux no pilla nada?”
      ¡¡¡ AQUÍ !!!

      15 años con GNU/Linux y los únicos cuelgues de sistema que han tenido mis PCs es por fallos de hardware. Algunos cuelgues de aplicaciones por estar mal programadas.
      A veces aparecen fallos por errores en la configuración que se solucionan pasando muchas horas delante del PC (es cierto). Pero aprendo mucho y estoy muy satisfecho con Linux.
      Si quieres aprender el S.O. que usan los supercomputadores, entonces Linux no es para ti. Harás bien en seguir con Windows.

      1. Anónimo
        Usuario no registrado
        07 Mar, 14 1:46 am

        Corrección:
        Si NO quieres aprender el S.O. que usan los supercomputadores, …..

  4. Anónimo
    Usuario no registrado
    05 Mar, 14 3:03 pm

    Y el agujero de seguridad de Apple sigue abierto desde hace meses, menudos son.

    1. Anónimo
      Usuario no registrado
      05 Mar, 14 3:38 pm

      CUal? el que dicen que se ha descubierto hace unos dias?

  5. Anónimo
    Usuario no registrado
    05 Mar, 14 6:06 pm

    GnuTLS está presente también en Windows y en OS X. Programas como Filezilla hacen uso de esa libreria en todas las plataformas. No es ni mucho menos un fallo del KERNEL DE LINUX y no lo tacharia de grave siquiera porque lo único que falla es la comprobación de certificados. Este fallo no tiene nada que ver con criptografía.

    Y nadie ha usado esta vulnerabilidad porque si los que mantienen el código no se han percatado del fallo, por qué iban a presuponer los hackers que en esa libreria habia un bug en el código?

    1. Anónimo
      Usuario no registrado
      05 Mar, 14 6:54 pm

      Eso ya tiene más sentido.

  6. Anónimo
    Usuario no registrado
    05 Mar, 14 7:33 pm

    Haber windowseros sigiente siguiente siguiente pom!!!! error no se ha podido solucionar el fallo….
    la seguridad no existe en ningun S.O. solo fiabilidad, pero almenos al tener el codigo abierto cualquiera puede detectar y publicar fallos y repararlos, mientras que en codigo cerrado a menos que seas de la Microsoft o seas un figura de Cracker y detectes un fallo quien no te dice que se meten fallos (bugs) a proposito y que nadie dice nada, y como es cerrado pues venga a tener vulneravilidades y como para el usuario normal pasa desapercivido… te informan de los fallos que les interesa.
    mientras que en los sistemas de codigo free hasta tu puedes ver he informar, de hecho la criptografia de clave pubica se basa en transmitir a otro usuario/s la clave publica, y incluso el algoritmo es en algunos casos abierto, ya que si algo es accesible a todos no hay necesidad o interes (aunque tampoco del todo) de joderlo y es mas facil que alguien solucione algo.

    1. Anónimo
      Usuario no registrado
      05 Mar, 14 8:34 pm

      “quien no te dice que se meten fallos (bugs) a proposito”
      Solo con decir esto, pierdes toda la credibilidad.

  7. Anónimo
    Usuario no registrado
    07 Mar, 14 1:35 am

    Uso Debian Wheezy y el parche de seguridad ya fue publicado antes de la noticia.
    ¿Cuántos meses tarda Microsoft en arreglar un problema desde que se sabe?