lunes, 19 de mayo de 2008

Detectan vulnerabilidad crítica en distribuciones de Linux

Open SSL es una implantación de código abierto de los protocolos Secure Sockets Layer y Transport Layer Security, usados para establecer comunicaciones cifradas en Internet. Los protocolos son usados para asegurar procedimientos como transferencia de archivos, sesiones de banca en línea y correo electrónico.

Según diversos foros dedicados a Linux, un experto identificado como Luciano Bello habría descubierto que el generador de cifras del paquete OpenSSL para la distribución Debian es previsible. Esto implica que las claves criptográficas creadas con este paquete, muy probablemente pueden ser adivinadas.

La distribución Debian es una de las más populares de Linux, y forma a la vez la base para numerosas otras distribuciones, incluida la más usada de ellas, Ubuntu.

Otras distribuciones de Linux que no están basadas en Debian no están afectadas por la presunta vulnerabilidad, que se atribuye a una modificación hecha por los responsables del proyecto Debian.

La vulnerabilidad de todas las conexiones SSH de servidores basados en Debian consiste en que no están cifradas. En la práctica, todos los certificados SSL generados en estos sistemas no están cifrados. En la práctica, los sitios web seguros ejecutados desde tales sistemas no están cifrados. Esto se aplica desde tiendas en línea donde los usuarios proporcionan los datos de sus tarjetas de crédito hasta bancos en línea.

En uno de los foros sobre Linux se escribe que esta situación implica que todos los usuarios que usen este sistema para conectarse e iniciar sesiones seguras en la práctica no están disponiendo de autenticación segura.

El proyecto Debian sugiere que todo el material criptográfico de importancia clave que haya sido creado con las versiones señaladas de OpenSSL deben ser programado nuevamente, desde cero. La vulnerabilidad habría sido introducida en la versión 0.9.8c-1, que fue implementada a partir del 17 de septiembre de 2006.

La primera versión de Debian afectada es la 4.0 (etch). Todas las versiones de Ubuntu, desde Ubuntu 7.04, están afectadas. La vulnerabilidad ha sido eliminada en el paquete OpenSSL de Debian, versión 0.9.8c-4 etch3.

Una lista de las actualizaciones que deben ser instaladas en las distintas versiones de Ubuntu está disponibles en el sitio de Debian.