[l-ubuntu-ve] Vulnerabilidad de la Seguridad en Linux

Rene Rodriguez rene_rodriguezve en yahoo.es
Mie Mayo 28 03:42:56 BST 2008 

Este correo me fue enviado, desde otra lista linux a que pertenezco y quería compartirla con toda la Fraternidad Ubuntu Venezuela.


"Hola a todos:
                      Esta noticia puede
ser importante para aquellos que tengan necesidad de manipular datos
encriptados. Para poder entender de qué se trata extracto una breve
explicación sobre OpenSSL y también SSH y luego la vulnerabilidad en sí.
Referencias: 
http://www.redhat.com
http://www.escomposlinux.org
http://doc.ubuntu-es.org/NSU/Edicion_Actual

OpenSSL contiene herramientas de administración y bibliotecas
relacionadas con criptografía. Son útiles para suministrar funciones
criptográficas a otros paquetes, sobre todo OpenSSH y navegadores web
(para acceso seguro a sitios https).
SSH™ (o Secure SHell) es un protocolo que facilita las comunicaciones
seguras entre dos sistemas usando una arquitectura cliente/servidor y
que permite a los usuarios conectarse a un host remotamente. A
diferencia de otros protocolos de comunicación remota tales como FTP o
Telnet, SSH encripta la sesión de conexión, haciendo imposible que
alguien pueda obtener contraseñas no encriptadas. Observe que los
paquetes OpenSSH requieren el paquete OpenSSL (openssl). OpenSSL
instala varias bibliotecas criptográficas importantes, permitiendo que
OpenSSH pueda proporcionar comunicaciones encriptadas.

Vulnerabilidad OpenSSL/OpenSSH

Todos los usuarios de Ubuntu
necesitan regenerar las claves ssl y ssh keys a causa de una
vulnerabilidad encontrada en los paquetes Debian. El agujero de
seguridad creaba claves predecibles que podían usarse para atacar hosts
remotos. El arreglo de Ubuntu comprueba las claves predecibles
generadas por las opciones predeterminadas de ssl y ssh y las pone en
una lista negra. Todos los usuarios de Ubuntu y derivadas deberían
regenerar las claves inmediatamente.
Si las claves regeneradas en Ubuntu se han copiado a un ordenador
usando cualquier otra distribución, esas claves aún son vulnerables y
deberían también regenerarse inmediatamente.
Las imágenes ISO disponibles ya en ubuntu.com,
los ordenadores espejo, y el sistema shipit no se actualizarán con los
nuevos paquetes, sino que se debe usar el Gestor de Actualizaciones
para reemplazar los paquetes afectados. Los usuarios deberían luego
regenerar las nuevas claves.
La edición 8.04.1, que se espera para Julio, incluirá los paquetes actualizados."


      ______________________________________________ 
Enviado desde Correo Yahoo! La bandeja de entrada más inteligente.

Más información sobre la lista de distribución ubuntu-ve