Descubren falla estructural de seguridad en Linux

La grave vulnerabilidad afecta a la biblioteca de compresión de archivos, la cual está presente en todas las versiones de Linux. El problema afecta a varios programas conexos y permitiría que hackers ataquen y tomen posesión de los computadores. 11.03.2002, 18:00

Mouse.- El Equipo de Respuesta para Emergencias Computacionales (Cert) en Estados Unidos, en conjunto con la compañía de software Red Hat, anunciaron el descubrimiento de una falla de seguridad que involucraría a todas las versiones del sistema operativo Linux.

El problema radica en un agujero de seguridad que afecta a la biblioteca de compresión de archivos (zlib) y a cualquier programa que utilice esta aplicación, incluyendo al corazón del sistema el cual es conocido como Kernel.

Según Cert, la carga de un programa específico provocaría un “volcado de memoria” en el sistema operativo, logrando que las librerías basadas en zlib fallen. Este hecho deja a la máquina cargada con Linux a merced de ser controlada a distancia por usuarios inescrupulosos y hackers.

Según el sitio de noticias estadounidense News.com, la vulnerabilidad fue descubierta por Matthias Clasen, un usuario avanzado de este programa y el ingeniero Owen Taylor, quien trabaja para la compañía Red Hat, una de las más importantes en el desarrollo de este sistema operativo, el cual es usado por numerosas compañías en los servidores de bases de datos, web y de alto rendimiento.

Clasen descubrió el problema al crear un archivo gráfico del tipo PNG. El usuario dio aviso de esta falla a Red Hat, quien tras analizar la denuncia, confirmó que se trataba de una de las vulnerabilidades de seguridad más significativas descubiertas hasta ahora y que involucran a Linux.

-------> Sigue

Los expertos de Red Hat y otras compañías anunciaron que otros sistemas operativos no relacionados con Linux y que ocupan las librerías zlib como parte de su sistema, también son afectados por la falla. Entre ellos se cuenta a Solaris de Sun y los BSD.
También se anunció que el problema afecta, también, a los interfaces gráficos X11para computadores basados en Linux, y navegadores de Internet compatibles como Netscape para Linux y Mozilla.

Dave Wreski, director de la compañía de seguridad de código abierto, Guardian Digital, comentó a News.com que muchos otros servicios dependientes de esta biblioteca se verán afectados por la vulnerabilidad. “Las bibliotecas son usadas para la compresión de redes que, conectadas a servicios no confiables podrían permitir que un sitio web hostil libere el camino para crear el volcado de memoria en la máquina”.

Los expertos están esperando una pronta respuesta de Cert (centro que trabaja en colaboración con Red Hat) y otros centros de seguridad para comenzar a crear las soluciones pertinentes que devuelvan la seguridad a Linux, programa que se ha ganado una buena reputación en las corporaciones, gracias a su estabilidad y la ausencia de fallas como ésta, que colocan en peligro la información de los usuarios.


Fea la cosa, vamos a ver si es verdad.

No soy un usuario aserrimo de Linux ni Unix, pero les tengo o tenia? mucha confiansa.

Pues yo no les voy a perder la confianza :P

Sé (al igual que todos sabemos) que en esta vida todos nos equivocamos (incluidos los programadores).

Bueno, yo uso Linux por dos razones:

-Me gusta su filosofía, pienso que el conocimiento tiene que ser libre para que la humanidad avanza.

-Es un sistema potente y estable.


No creo que lo cambie de momento.

Un saludo :)

______________
¿Piensas que el software puede ser algo mas?
<a href="http://www.zonasiete.org/" target="_blank">www.zonasiete.org</a>
Acercando el proyecto GNU/Linux a todos.

Ejem ejem:
Uhm........ jeje estaba actualizando mi Debian ;)

Bueno, pues como dice lical, no voy a perder la confianza en Linux porque haya salido un bug en una librería ;)

Salu2.Ferdy

Si, todos pueden equivocarse, no digo lo caontrario, pero como ustedes son los que saben, que creen, que se le puso mucho color a la noticia, o es algo realmente grave....

Yo creo que si.

Por que:
1.Es muy vulnerable, no es solo que puedan ojear tu maquina, si que pueden manejarla a sus anchas.
2.Afecte a todos los Sistemas de Linux.
3.Que todavìa no hablen de un parche.

Felicidades gornak por la información aunque solo una cosilla.

Uhmm solo una pregunta, ¿que sistema operativo usas???. Windows tiene MUCHOS mas fallos de seguridad y de estabilidad y la gente aún sigue trabajando con él, ni lo eliminan de sus sistemas. jejeje

Además no hay ningún sistema perfecto, solo alguno que roza ese estado.

Un saludo.

Holas

Es lamentable como se DESINFORMA en los medios de comunicacion, no lo digo precisamente por esta noticia, hablo en general, existe la tendencia en exagerar las cosas.

Para empezar decir que el parche aparecio junto con la noticia, a diferencia de lo que ocurre en software propietario, aqui no se esconden las vulnerabilidades, aqui se informa para que todos sepan de que existe un problema y que fue corregido. Asi que no es cierto de que no hayan parches porque eso no es asi. Para los que usan RedHat solo basta colocar up2date -u y listo :P

Sobre la vulnerabilidad en particular, tampoco es para tanto, las zlib nos permiten trabajar directamente con archivos comprimidos para trabajar con ellos &quot;on the fly&quot; hay muchas aplicaciones que hacen uso de esta libreria para trabajar de forma mas eficiente, como yo lo veo, desarrollar un exploit para explotar esa vulnerabilidad no es nada sencillo, asi que no creo q tenga gran impacto en los admins irresponsables q no actualizen su zlib.

Por lo demas, decir &quot;falla estructural de seguridad en Linux&quot; me parece totalmente fuera de lugar.

Just my 2 cents


(o> Cesar Villegas Ureta
// "Slayer_X"
V_/_ -----BEGIN GEEK CODE BLOCK Version: 3.1-----
GCS d- s+:+ a- C++ UL+++$ P+ L++ E-- W+++ N+ o? K? w+(---)
O? M+ V- PS+ !PE Y+ PGP++ t-- !5 X++ R tv+ b+++ DI? D+++ G++ e+ h+ r y++* UF+++

Por cierto, en cuanto leí el mensaje, <a href='ir.asp?http://bugs.debian.org' target='_blank'>bugs.debian.org...</a> y cuál es mi sorpresa al ver que ya estaba arreglado.

Por cierto, usuarios de Debian:
Si es cierto que el bug afecta a muchos paquetes, hasa el gcc se vió afectado, pero ya está arregladito ;)

Slayer_X no te preocupes, Don't Feed the Trolls

Salu2.Ferdy

Hay que informarse antes de informar.

Eso quedo solventado antes de que tu supieras la noticia.

A eso se le llama no contrastar una noticia.

Saludos
Herje

<img src="http://www.electroarea.com/logomw.jpg">