Noticias generales

Avances en la liberación de Lenny

Hace unos días nos enterábamos por medio del mensaje de Luk Claes en la lista de correo debian-devel-announce de lo adelantado que va el desarrollo la versión 5.0 "Lenny" de Debian: La próxima semana da comienzo la fase en que se detiene todo paso de paquetes de sid a testing, proceso más conocido como congelamiento o "freeze", para concentrarse en corregir los bugs restantes. Luk también nos cuenta los objetivos de la versión alcanzados hasta el momento, que según él, se van alcanzando muy bien, aunque se encuentra un tanto preocupado por la página de calificación de arquitecturas en wiki.debian.org, a la que aún le falta mucha información. Los encargados de los ports deberían dar información actual del estado del desarrollo para que le sea más fácil al equipo encargado de la liberación de Lenny enterarse del estado de las arquitecturas.

http://lists.debian.org/debian-devel-announce/2008/07/msg00005.html

Relacionado a esta información, Ana Guerrero ha elaborado un reporte acerca del estado de KDE, especialmente de KDE4, acerca que los paquetes que están entrando a debian unstable y los que entrarán en la versión 5 de Debian. Nos cuenta que kde4libs, kdepimlibs y kdebase-runtime finalmente han entrado en sid y serán parte de Lenny. También nos dice que, atención usuarios de stable con leve versionitis :D , habrá KDE4 para Lenny en los backports.

http://ekaia.org/blog/2008/07/19/debian-packages-for-kde-41-koffice-alph...

El instalador de Debian soportará la carga de firmwares externos.

Joey Hess ha anunciado esta nueva capacidad en el instalador: Carga de firmwares según se necesario. Como algunos drivers necesitan cargar esos blobs binarios en el dispositivo antes de que puedan funcionar, pero según la DFSG esos firmwares no son Libres, algunos dispositivos sólo funcionan luego de haber instalado Debian y que el acceso a la red haya sido debidamente configurado y haya sido activada la sección non-free, lo que puede ser un problema si el driver de red necesita de un firmware para funcionar.

http://kitenet.net/~joey/blog/entry/d-i_firmware_loading/

Con esta nueva funcionalidad, es ahora posible cargar los firmwares desde un medio externo, como un pendrive de forma que el instalador de Debian dispone de esos archivos necesarios durante la instalación. Joey también resalta que el equipo del CD de Debian ha puesto a disposición archivos .zip y tarballs conteniendo todos los firmwares que Debian incluye en non-free.

http://cdimage.debian.org/cdimage/unofficial/non-free/firmware/

La mejor manera para depurar paquetes

Theodore Tso ha abierto un interesante hilo en la lista de correo debian-devel preguntando por la que debería ser la mejor forma de crear un paquete de depuración. Mike Hommey ha respondido que los archivos de depuración deberían ser instalados junto a los archivos que no son de depuración, pero precedidos por /usr/lib/debug/, y que dependiendo del tamaño de esos datos, podría ser necesario incluirlos en un paquete aparte. Jerg Jaspert añadió que la prioridad de esos paquetes de depuración debería ser mayor y que deberían estar en la misma sección que los paquetes de los que derivan.

http://lists.debian.org/debian-devel/2008/07/msg00187.html

El sitio web de DebConf 8 solicita ayuda.

Martin Ferrari pide ayuda para el sitio web de la próxima conferencia de Debian. La gran cantidad de información que necesitan los viajeros está aún incompleta y resalta el hecho de que, cuando eres un habitante de la región, te cuesta imaginar la clase de información que necesitan los extranjeros.

http://blog.debconf.org/blog/debconf8/mf_website_help.dc

Acerca de la nomenclatura de las versiones de Debian.

Martin Kraft propuso en la lista debian-devel cambiar la manera en que debian define sus versiones. Él propone incrementar el primer número en cada liberación y el segundo con cada "re-liberación" de la rama estable que sólo incluya correcciones en los paquetes, mientras que las nuevas liberaciones que incluyan nuevas características (como la próxima "Etch y medio") lleven un 5 como segundo número, Lars Wirzenius le recordó que Debian introdujo el actual modo de nombrar sus versiones para que los vendedores de CDs no tuvieran problema en usar las cajas impresas con el mismo número de versión para cualquiera de las distintas "reliberacioenes" que sólo corrigen errores. Otros prefieren la clásica nomenclatura "de dos puntos", en la que el primer número se incremente con cada nueva liberación, el tercero para cada corrección de errores y el segundo con cada liberación que añada nuevas características.

http://lists.debian.org/debian-devel/2008/07/msg00371.html

¿Administración de paquetes insegura? - NO.

Un estudio reciente, que describe muchas formas de atacar sistemas Linux usando sus respectivos administradores de paquetes, ha causado ya algunas discusiones en las listas de correo de Debian.

http://www.cs.arizona.edu/people/justin/packagemanagersecurity/attacks-o...
http://lists.debian.org/debian-security/2008/07/msg00054.html
http://lists.debian.org/debian-devel/2008/07/msg00321.html

Y aunque el mencionado estudio es generalmente tachado de ser un "capturador de atención supersensacionalista", algo en lo que sí hay consenso es en que aún queda un punto débil en el sistema de paquetes de Debian: Un atacante puede manipular el sistema de nombres de dominios y redireccionar security.debian.org, la fuente de actualizaciones de seguridad para Debian, a una versión anticuada del servidor. Actualmente se hacen planes para añadir una sello de tiempo firmado para prevenir ese tipo de ataques.

Noveau

Noveau, alternativa libre al driver propietario de nvidia, ha entrado recientemente en Debian experimental. De momento, no hay soporte para 3D y el driver puede contener una gran cantidad de bugs, pero todo aquel que desee probarlo y esté en sid, puede seguir las siguientes instrucciones:

http://chris-lamb.co.uk/2008/07/16/nouveau-nvidia-drivers-now-available-...

Si deseas probarlo y tienes instalado el driver privativo de nvidia tendrás que elegir entre uno u otro, puesto que los paquetes nvidia-glx y xserver-xorg-video-nouveau entran en conflicto, con el driver nv no hay problema.

Más detalles:
http://nouveau.freedesktop.org/
http://nouveau.freedesktop.org/wiki/FeatureMatrix

Estado de Emdebian
Emdebian, un proyecto creado para disponer de un sistema operativo basado en Debian diseñado para sistemas embebidos, se encuentra actualmente en la siguiente situación:
- 138 paquetes han sido construidos con éxito.
- 19 paquetes han fallado en su construcción.
- 2 paquetes han sido marcados para subir manualmente (temas de dependencias)

Más información en:
http://www.linux.codehelp.co.uk/serendipity/index.php?/archives/126-Stat...

Problema con las DNS

Una serie de sitios de seguridad han anunciado un problema en el protocolo DNS que fue descubierto por Dan Kaminsky. Por ejemplo, entre los aviso de Debian se encuentran:

DSA-1605 glibc - DNS cache poisoning
DSA-1604 bind - DNS cache poisoning
DSA-1603 bind9 - DNS cache poisoning

El ataque funciona si la víctima utiliza un puerto fuente predecible cuando realiza las consultas DNS. La solución actual al problema es tratar de hacer que ese puerto sea lo más aleatorio posible.

http://www.imsc.res.in/~kapil/blog/lg/dns_quickfix-2008-07-10-17-07.html

kde4 necesita java

Lo siguiente no es una broma:
KDE4 necesita java para obtener mejor rendimiento. Soprano, utilizado por Nepomuk (semántica para el escritorio), tiene un backend "sesame" (java) y uno "redland" (c++). De acuerdo con las pruebas que se han llevado a cabo, el backend "sesame" es más rápido que el "redland".

Sigue en: http://pusling.com/blog/?p=76

Awesome ahora soporta las especificaciones XDG

Awesome, el conocido WM, ahora soporta las especificaciones XDG del directorio base. Un paso más para alcanzar los estándares FDO.

http://julien.danjou.info/blog/index.php/post/2008/07/09/awesome-and-XDG...

Etiquetas vs Dispositivos vs UUIDs

Alguien preguntó en una lista de correo cuestiones relacionadas con la posibilidad de utilizar etiquetas, UUIDs o el nombre del dispositivo en el fstab. Así, empieza este interesante análisis sobre las bases que sostienen cada uno de los modelos y las ventajas e inconvenientes que presentan: http://etbe.coker.com.au/2008/07/08/label-vs-uuid-vs-device/

Fin del soporte a los viejos drivers cyrix y nsc.

Tenía que ocurrir tarde o temprano. Los drivers de X.org para las antiguas variantes GX1 de los chips geode, hechas por Cyrix y NSC, no van a tener soporte en el ya presente X.org 7.4, que emplea el xserver 1.5. Ello se verá en la práctica cuando se decida actualizar a Ubuntu Intrepid Ibex o a Debian Lenny.

Más detalles en:
http://q-funk.blogspot.com/2008/07/xf86-video-cyrix-and-xf86-video-nsc-i...

Paquetes listos para adopción:

http://www.df7cb.de/blog/2008/Packages_up_for_adoption.html
Existen varios paquetes para entregar:

• endeavour - Suite de archivos y disco
• avscan - Interfaz GTK para Clam AntiVirus (ClamAV)
• cryopid - Crea un archivo ejecutable a partir de un proceso en ejecucion
• xar - Extensible Archiver
• minimalist - Gestor de listas de correo minimalista
• dtmfdial - Tonos de marcado telefónico DTMF

Los tres primeros tienen bugs RC que necesitan ciertos arreglos, han estado huérfanos por algunas semanas, sin atención. endeavour y avscan están ya vistos por RM, si usted está interesado en ellos, visite la página antes mostrada .Gracias :)

Paquetes nuevos o actualizados

Wordpress

WordPress ha alcanzado su versión final para lenny (2.5). Ahora tenemos un paquete completamente limpio (según lintian), con los errores más importantes cerrados y (lo que es grandioso) ¡sin problemas de seguridad! Todavía carece de alguna característica (editor de temas y complementos) pero no se va a parchear el paquete nuevamente antes de la liberación oficial de lenny: implementar estas características significa modificar permisos de una manera que no ofrece las suficientes garantías de seguridad.

Entonces, por favor, ¡prueba Wordpress tan pronto sea posible y reporta los problemas de seguridad si es que encuentras alguno!

A pesar de todo esto, se va a subir Wordpress 2.6 a experimental solo para obtener el paquete de allí en los próximos días.

Más información en:
http://debsanity.wordpress.com/2008/07/15/wordpress-26-wont-be-in-lenny/
http://debsanity.wordpress.com/2008/07/11/wordpress-freeze/

Nuevo gkrellm 2.3.1-6

Ahora gkrellm trabaja con versiones del kernel linux superiores a la 2.6.24 (recordemos que en esta versión el obsoleto /proc/acpi fue reemplazado por /sys). Los paquetes binarios para la mayoría de arquitecturas están disponibles en el archivo Debian.
http://ghostbar.ath.cx/node/25

xscreensaver 5.05-3

Se ha subido xscreensaver 5.05-3 al archivo Debian. Esta versión arregla el tema de XRandR que mucha gente ha reportado desde que se introdujo en la versión 5.05. Asimismo, en una semana o dos la versión 5.06 estará lista en el archivo Debian.

http://ghostbar.ath.cx/node/26

samba 3.2.0 en Sid

Steve Langasek ha subido samba 3.2.0 justo antes de la congelación. Este cambio lleva planeándose durante meses, lo cual explica porque se ha subido cuando queda tan poco para que Lenny sea congelado totalmente.

http://www.perrier.eu.org/weblog/2008/07/20#samba-3.2

Smuxi 0.6.0 Liberado

Mirco Bauer ha liberado la primera versión pública de smuxi, un cliente IRC para gnome que suple algunas carencias de irssi, relacionadas en su mayor parte con la integración con el escritorio.

http://www.meebey.net/jaws/?gadget=Blog&action=SingleView&id=42

Explotando DS-1571: Como romper PFS en SSL con EDH.

Recientemente, se ha implementado un parche para Wireshark capaz de, aprovechándose de la vulnerabilidad que presentaba openssl, desencriptar el tráfico mediante fuerza bruta.

http://community.livejournal.com/lbello_english/8799.html

rng portado a qt4

Se ha portado reportbug-ng a las librerías qt4, introduciendo interesantes características como el widget QWebView, presente en el módulo QWebKit. Su funcionamiento es muy sencillo en comparación con el viejo QTextBrowser de las qt3.

Además, se han subido los paquetes resultantes (rng 1.0) a Sid. La nueva versión no trae grandes características nuevas, pero supone un gran cambio por el paso a las librerías qt4.

http://blog.venthur.de/2008/07/13/porting-rng-to-qt4/
http://blog.venthur.de/2008/07/19/rng-10-in-unstable/

ttf-liberation entra en testing

Las famosas fuentes que tratan de sustituir a las alternativas privativas de Microsoft, han entrado en Lenny. Asimismo, el paquete que instala las fuentes privativas de Microsoft ha sido renombrado a ttf-mscorefonts-installer.

http://loeki.tv/log/archives/86-msttcorefonts-renamed-and-losing-relevan...

Paquetes de KDE 4.1 y Koffice alpha9 en experimental

La semana pasada, KDE 4.1 RC1 fue liberado, y por supuesto, hay paquetes Debian en experimental desde el mismo día de la liberación. Si deseas instalarlos, puedes seguir sin grandes problemas el "howto" que se hizo para la beta1. Asimismo, el equipo de KDE en Debian ha actualizado su web para dar a los usuarios más información sobre como instalar esta RC1.

Siguiendo en esta línea, kdeplasmoids ha vuelto a cambiar de nombre (kdeplasma-addons), de modo que vuelve a estar en la cola de paquetes nuevos. De momento, puedes instalar los kdeplasmoids (beta2+), que parecen funcionar sin problemas.

http://ekaia.org/blog/2008/07/19/debian-packages-for-kde-41-koffice-alph...

Políticas de SE Linux.

Se ha subido a sid, con el objetivo de que llegue a lenny (siempre que los encargados del FTP puedan probar los paquetes a tiempo), nuevos paquetes que definen la política de SE Linux. Entre las novedades, se encuentra el hecho de que ya no hay paquetes separados para las políticas "strict" y "targeted". Ahora, hay un paquete llamado selinux-policy-default que probé las características de ambos.

http://etbe.coker.com.au/2008/07/13/new-se-linux-policy-lenny/

Clutter 0.8 empaquetado

Los paquetes de Clutter 0.8 han sido incorporados al archivo de Debian y al repositorio de Debian "OpenedHand". Hay paquetes disponibles para Debian Sid y Ubuntu Hardy (para Gutsy no debido a que el glib de éste es demasiado viejo).

http://www.robster.org.uk/blog/2008/07/13/clutter-08-packages/

Aptitude GTK. Novedades.

Las funciones básicas del gestor de paquetes están cubiertas. Los desarrolladores todavía están explorando la API de APT, aunque ya están casi "hechos" a ella. Pronto se empezará el trabajo en la interfaz que verá el usuario final y en el diseño real del código.

http://www.milliways.fr/2008/07/09/state-of-the-aptitude-week-7/

Actualización de ikiwiki.

Se ha actualizado ikiwiki, el popular software para la creación de wikis, a la versión existente en los backports (desde la 1.50 a la 2.50).

http://www.camrdale.org/blog/posts/Jul-07-2008/

Otros paquetes actualizados

• libgphoto2 (2.4.2)
• hugin (svn snapshot)
• blender (corrección de bugs)
• sunflow
• graphviz
• python-ssl

http://ikibiki.org//blog/2008/07/14/Package_updates/

Avisos de seguridad

DSA-1613-1 libgd2 -- Múltiples vulnerabilidades

Reportado: 22 de julio de 2008

Paquetes afectados: libgd2

Múltiples vulnerabilidades fueron identificadas en libgd2, una librería para la creación y manipulación programada de gráficos. el proyecto Common Vulnerabilities and Exposures identificó los siguientes tres problemas:

• CVE-2007-2445: Los archivos PNG en escala de grises que contenian valores de CRC inválidos podían causar una denegación de servicio (cuelgue) si una imagen preparada maliciosamente era cargada en una aplicación que usara libgd2.
• CVE-2007-3476: Un error de indexado de vectores en el procesado de GIFs podía inducir a una denegación de servicio (cuelgue con corrupción en la estructura del árbol binario) si un índice excepcionalmente grande de colores era suministrado en un archivo GIF maliciosamente preparado.
• CVE-2007-3477: Las rutinas imagearc() y imagefilledarc() permitían a un atacante que controlara los parámetros usados para definir el ángulo del arco en esas funciones hacer un ataque de denegación de servicio (por consumo excesivo de CPU).
• CVE-2007-3996: Múltiples desbordamientos íntegros aparecían en las rutinas de redimensionado y creación; estas debilidades permitían a un atacante que tuviera el control de los parámetros pasados a esas rutinas, inducir un cuelgue o ejecutar código arbitrario con los privilegios del usuario que ejecutaba la aplicación enlazada con la libgd2.

http://www.debian.org/security/2008/dsa-1613

DSA-1612-1 ruby1.8 -- Varias vulnerabilidades

Reportado: 21 de julio de 2008

Paquetes afectados: ruby1.8

Más información:
Varias vulnerabilidades han sido descubiertas en el intérprete del lenguaje Ruby, que pueden conducir a una denegación de servicio o a la ejecución de código arbitrario. el proyecto "Common Vulnerabilities and Exposures" identifica los siguientes problemas:

• CVE-2006-2662: Drew Yao descubrió que múltiples desbordamientos íntegros en el código de procesamiento de cadenas podían conducir a una denegación de servicio y potencialmente a la ejecución de código arbitrario.
• CVE-2008-2663: Drew Yao descubrió que múltiples desbordamientos íntegros en el código de procesamiento de cadenas podían conducir a una denegación de servicio y potencialmente a la ejecución de código arbitrario.
• CVE-2008-2664: Drew Yao descubrió que errores de programación en el procesamiento de cadenas pueden conducir a una denegación de servicio y potencialmente a la ejecución de código arbitrario.
• CVE-2008-2725: Drew Yao descubrió que un desbordamiento íntegro en el código de procesamiento de vectores podía conducir a una denegación de servicio y potencialmente a la ejecución de código arbitrario.
• CVE-2008-2726: Drew Yao descubrió que un desbordamiento íntegro en el código de procesamiento de vectores podía conducir a una denegación de servicio y potencialmente a la ejecución de código arbitrario.
• CVE-2008-2376: Se descubrió que un desbordamiento íntegro en el código de procesamiento de vectores podía conducir a una denegación de servicio y potencialmente a la ejecución de código arbitrario.

http://www.debian.org/security/2008/dsa-1612

DSA-1611-1 afuse -- escalada de privilegios

Fecha de reporte: 16 Jul 2008

Paquetes afectados: afuse

Más información: Anders Kaseorg descubrió que afuse, una herramienta de automontaje de sistemas de ficheros en espacio de usuario, no evitaba los meta-caracteres en las rutas correctamente. Esto permitía a un atacante local con permisos de lectura al sistema de ficheros ejecutar comandos como si fuera su propietario.

http://www.debian.org/security/2008/dsa-1611

DSA-1610-1 gaim -- desbordamiento integro

Fecha de reporte: 15 Jul 2008

Paquetes afectados: gaim

Más información: Fue descubierto que gaim, un cliente de mensajería instantánea multi-protocolo (actualmente conocido como pidgin), era vulnerable a varios desbordamientos íntegros en los handlers de su protocolo MSN. Esto permitía a un atacante remoto ejecutar código arbitrario.

http://www.debian.org/security/2008/dsa-1610

DSA-1609-1 lighttpd -- varias vulnerabilidades

Paquetes afectados: lighttpd

Más información: Varias vulnerabilidades locales/remotas se han descubierto en lighttpd, un rápido servidor web, con consumo de memoria limitado.

• CVE-2008-0983 : lighttpd 1.4.18, y posiblemente otras versiones anteriores a 1.5.0, no calculaban correctamente el tamaño de un vector que describía ficheros, lo cual permitía a atacantes remotos causar denegaciones de servicio.
• CVE-2007-3948 : connections.c en lighttpd 1.4.16 podía aceptar más conexiones de las configuradas como máximo, permitiendo al atacante causar una denegación de servicio.

http://www.debian.org/security/2008/dsa-1609

DSA-1608-1 mysql-dfsg-5.0 -- evasión de autorización

Paquetes afectados: mysql-dfsg-5.0

Mas información:
Sergei Golubchik descubrió que MySQL, un servidor de bases de datos utilizado mundialmente, no validaba adecuadamente las rutas pasadas en una declaración CREATE TABLE, por lo que no podría impedir que (bajo ciertas condiciones) dos bases de datos usaran las mismas rutas para datos o índices de ficheros. Esto permitía que un usuario con privilegios creara una base de datos que leyera y editara datos de otras tablas creadas en otras bases de datos, sin importar las autorizaciones GRANT.

http://www.debian.org/security/2008/dsa-1608

DSA-1607-1 iceweasel -- varias vulnerabilidades

Reportado: 11 de julio de 2008

Más información:

Varias vulnerabilidades remotas han sido descubiertas en el navegador iceweasel, una versión totalmente libre del navegador firefox, el "proyecto Common Vulnerabilities and Exposures" ha identificado los siguientes problemas:

• CVE-2008-2798: Devon Hubbard, Jesse Ruderman y Martijn Wargers descubrieron errores en el motor de diseño, que podrían permitir ejecutar código arbitrario.
• CVE-2008-2799: Igor Bukanov, Jesse Ruderman y Gary Kwong descubrieron errores en el motor de javascript, que podrían permitir ejecutar codigo arbitrario.
• CVE-2008-2800: "moz_bug_r_a4" descubrió varias vulnerabilidades que podrían permitir ataques XSS.
• CVE-2008-2801: Collin Jackson y Adam Barth descubrieron que código javascript arbitrario podía ser ejecutado dentro de un JAR firmado.
• CVE-2008-2802: "moz_bug_r_a4" descubrió que los documentos XUL pueden escalar privilegios accesando al fichero precompilado "de carga rápida"
• CVE-2008-2803: "moz_bug_r_a4" descubrió que se podía usar la función mozIJSSubScriptLoader.loadSubScript() para ejecutar código arbitrario valiendose de algunos addons.
• CVE-2008-2805: Claudio Santambrogio descubrió que sitios maliciosos podían obligar al navegador a subir archivos.
• CVE-2008-2808: Masahiro Yamada descubrió que las URLs file:// no eran tratadas adecuadamente, lo que podría permitir ataques XSS a través de nombres de ficheros elaborados para el caso.
• CVE-2008-2809: John G. Myers, Frank Benkstein y Nils Toedtmann descubrieron que los nombres alternos en certificados auto-firmados no eran procesados adecuadamente, lo que podía permitir spoofing.
• CVE-2008-2811: Greg McManus descubrió un error en el código de reflujo de bloques, que podría permitir ejecutar código arbitrario.

http://www.debian.org/security/2008/dsa-1607

DSA-1606-1 poppler -- error de programación:

fecha de reporte: 09 de julio de 2008

Paquetes afectados: poppler

Más información:
Se descubrió que poppler, una librería de renderizado para PDF, no procesaba adecuadamente las fuentes incluidas en los archivos PDF, permitiendo a posibles atacantes ejecutar código arbitrario a través de un objeto fuente elaborado especialmente.

http://www.debian.org/security/2008/dsa-1606

DSA-1605, DSA 1604 y DSA 1603 -- envenenamiento de la cache DNS

fecha de reporte: 08 de julio de 2008

Paquetes afectados: glibc,bind y bind9

Más información:
Dan Kaminsky ha descubierto que algunas propiedades inherentes al protocolo DNS conducen a la practica de ataques de envenenamiento de la caché DNS. Entre otras cosas, los ataques exitosos pueden llevar a la redirección del tráfico web y a la redirección de email.

http://www.debian.org/security/2008/dsa-1605

http://www.debian.org/security/2008/dsa-1604

http://www.debian.org/security/2008/dsa-1603

Redacción: DeJhanX, Point_to_null, Minaya.