Controlado desde el
19/10/97 por NedStat
|
Tres graves fallas en Linux, ponen en riesgo su seguridad
|
|
VSantivirus No. 999 - Año 7 - Miércoles 2 de abril de 2003
Tres graves fallas en Linux, ponen en riesgo su seguridad
http://www.vsantivirus.com/vul-linux-tres.htm
Por Angela Ruiz
angela@videosoft.net.uy
Una curiosa forma de ser revelados tres serios agujeros de seguridad en Linux, ha tenido lugar esta semana.
Un autodenominado "hacker" hizo públicas en una conocida lista de seguridad, tres importantes agujeros que afectan a los entornos Unix y Linux.
Quien se identifica como "Hack4Life", dijo haber robado la información de estas fallas relacionadas con el sistema de autenticación Kerberos y con dos implementaciones de encriptación para sitios web, de las computadoras de una firma asociada al Computer Emergency Response Team (CERT).
Las alertas no eran para publicarse aún, ya que no se han desarrollado todavía los parches para las mismas. Esto causó gran preocupación entre las empresas relacionadas con la seguridad informática.
Una de las fallas hechas públicas, afecta a cierta librería de Sun incluida en varios servidores que funcionan bajo Linux o Unix. Su explotación pondría en riesgo la seguridad de los sistemas afectados.
La segunda falla tiene que ver con el servicio de autenticación Kerberos, cuya función es autenticar usuarios frente a servidores y servidores frente a usuarios. Kerberos usa cifrado simétrico (también llamado cifrado convencional), método en el cual el cifrado y descifrado se realizan usando una única clave. La falla permitiría a un intruso asumir la personalidad de un usuario determinado, tomando para si el control que éste pudiera tener sobre el sistema.
El tercer agujero hace referencia a la posibilidad de un ataque dirigido a los servidores que utilizan Secure Sockets Layer (SSL), y que permitiría romper su encriptación. SSL es un protocolo que utiliza criptografía para cifrar los datos que se intercambian con un servidor seguro, proporcionando privacidad a los datos y a los mensajes, permitiendo autenticarlos. Básicamente se utiliza para transmitir información personal o relacionada con tarjetas de crédito de los usuarios a través de Internet.
Las tres fallas fueron publicadas en una lista de seguridad ampliamente visitada, y aunque el CERT intentó disuadir a los moderadores de la misma para retirar los mensajes, estos se negaron con el argumento que al haberse hecho ya públicas las fallas, no era ético ocultarlas, a los efectos de que la comunidad pudiera prepararse en caso de la aparición de exploits que intenten sacar provecho de las mismas.
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|