Seguridad

Los responsables del equipo de seguridad de Debian acaban de anunciar que todas las claves y certificados generados por OpenSSL en Debian desde la versión 0.9.8c-1 son vulnerables debido a que el generador de números pseudoaleatorios es predecible (CVE-2008-0166).

La versión 0.9.8c-1 del paquete openssl entró en unstable el 17-09-2006, y después se propagó a testing y a la actual stable (etch). Las distribuciones basadas en Debian son probablemente también vulnerables. Debian Sarge no está afectada porque tiene OpenSSL 0.9.7.

Se insta a todos los usuarios del paquete que actualicen a la versión corregida correspondiente (se incluyen enlaces en el anuncio en la lista debian-security-announce) y se creen nuevas claves en sustitución de las antiguas. Dado que las claves DSA se fundamentan en un número aleatorio secreto, todas las claves de este tipo deben considerarse automáticamente comprometidas.

Cuando necesitamos conectarnos a nuestro servidor por ssh y no disponemos de una ip fija desde el cliente no podemos hacer una denegación de servicio por ip, con lo que hay que buscar otras maneras de hacerlo. Aquí os paso una receta que he visto en Debian Administration para hacerlo con dos lineas de iptables:

iptables -I INPUT -p tcp --dport 22 -i eth0 
-m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 22 -i eth0 
-m state --state NEW -m recent --update 
--seconds 60 --hitcount 4 -j DROP

Con estas reglas denegarán las conexiones a partir del 4º intento continuado y dejaremos de ver esos interminables logs en auth.log

Saludos.

Se descubrieron varias vulnerabilidades en el sistema X Window, que podrían permitir la ejecución de código o denegación de servicio.

Para la distribucion estable (sarge) estos problemas se corrigieron en la versión 4.3.0.dfsg.1-14sarge2 (Faltan los binarios de esta versión para la arquitectura
Motorola 680x0).

Para la distribución inestable (sid) estos problemas se corrigieron en la versión 1:1.2.2-1 de libxfont y versión 1:1.0.2-9 de xorg-server.

Recomendamos actualizar los paquetes de XFree86.

Más detalles

Se descubrieron varios problemas de seguridad en Mozilla y productos derivados como Mozilla Thunderbird. Estas vulnerabilidades podrían permitir una denegación de servicio y ejecución de codigo.

Recomendamos actualizar los paquetes de Mozilla Thunderbird.

Para la distribución estable (sarge) estos problemas se corrigieron en la
versión 1.0.2-2.sarge1.0.8c.1.

Para la distribución inestable estos problemas se corrigieron en la
versión 1.5.0.7-1.

Fuente: lista debian-security-announce

Hace unos días se corrigieron unos defectos del paquete OpenSSl. Sin embargo, parece ser que introdujeron un código que podría llevar al uso de la memoria sin inicializar. Esto podría causar que la aplicación que estiviera usando la librería Openssl se colgara y se podría llegar a ejecutar un código arbitrario.

Así que nada, otra vez que hay que actualizar los paquetes libssl0.9.7 y openssl. Esta vez a la versión 0.9.7e-3sarge4.

Se descubrieron múltiples vulnerabilidades en los paquetes del software criptográfico OpenSSL que permitiría a un atacante lanzar una denegación de servicio consumiendo los recursos del sistema o interrumpiendo procesos en la maquina de la victima.

Para la distribución estable (sarge) estos problemas se corrigieron en la versión 0.9.7e-3sarge3.

Para la distribuciones inestable y testing (sid and etch respectivamente), estos problemas se corrigieron en la versión 0.9.7k-2 de las bibliotecas openssl097 y en la versión 0.9.8c-2 del paquete
openssl.

Se recomienda actualizar los paquetes de openssl. También es necesario reiniciar los servicios que utilizan bibliotecas de openssl, como la mayoría de los MTA, servidores SSH y servidores Http.

Fuente: lista debian-security-announce

Se descubrieron varios problemas de seguridad en el kernel Linux (versiones 2.4.27 y 2.6.8) que puede permitir denegación de servicio o ejecución de código arbitrario.

Recomendamos actualizar el kernel y reiniciar el sistema. Si usas un kernel compilado desde el paquete fuentes del kernel, necesitaras actualizarlo y recompilarlo para corregir estos fallos.

Más información en la lista debian-security-announce

Tavis Ormandy del equipo de seguridad de Google descubrió varias vulnerabilidades en gzip, la utilidad de compresión GNU. Estas vulnerabilidades podrían permitir la ejecución de código arbitrario.

Para la distribución estable (sarge) estos fallos fueron solucionados en la versión 1.3.5-10sarge2 y para la distribución inestable (sid) en la versión 1.3.5-15.

Recomendamos actualizar el paquete gzip.

Fuente: lista debian-security-announce

Daniel Bleichenbacher descubrió un defecto en el paquete criptográfico OpenSSL que podría permitir que un atacante genere una firma forjada que OpenSSL aceptará como válida.
Para la distribución estable (sarge) este problema se corrigió en la versión 0.9.7e-3sarge2. Para la distribución inestable (sid) este problema se corrigió en la versión 0.9.8b-3.
Recomendamos actualizar los paquetes del openssl. Observe que los servicios que se ligan contra las bibliotecas compartidas del openssl necesitarán ser reiniciados. Los ejemplos comunes de tales servicios incluyen la mayoría de los agentes de transporte del correo, los servidores de SSH, y los servidores web.

Se descubrieron dos vulnerabilidades en BIND9. La primera se relaciona con el procesamiento de las consultas SIG y la segunda se relaciona con una condición que puede accionar una falta INSISTIR, ambas conducen a una negación del servicio.
Para la distribución estable (sarge) estos problemas se corrigieron en la versión 9.2.4-1sarge1. Para la distribución inestable (sid) estos problemas se corrigieron en la versión 9.3.2-P1-1.
Recomendamos actualizar el paquete bind9.

Fuente: lista debian-security-announce

Se descubrieron varios problemas de seguridad en Mozilla y productos derivados como Mozilla Firefox. Estos fallos afectan al motor javascript, el cual puede permitir a un atacante remoto ejecutar código arbitrario.

Para la distribución estable (sarge) estos problemas se corrigieron en la versión 1.0.4-2sarge10.

Para la distribución inestable (sid) estos problemas se corrigieron en la versión 1.5.dfsg+1.5.0.5-1.

Recomendamos actualizar los paquetes de mozilla-firefox.

Instrucciones de actualización con apt

Comprueba que la siguiente línea se encuentre en tu archivo /etc/apt/sources.list

deb http://security.debian.org/ stable/updates main

Luego ejecuta los comandos:

apt-get update
apt-get upgrade

Revisa que los paquetes se hayan actualizado.

Más información