- Otras noticias
.jpg)
Actualización urgente de seguridad de Mozilla Firefox
La Asociación de Internautas advierte de nuevos ataques phishing a los bancos Santander y Banesto
Amenazas en la red
Bagle.BA y Bagle.BB se reproducen masivamente en algunos lugares de Europa y Oceanía
Crónica del ataque a los servidores de la fundación Apache
Cross-Site Request Forgery en IBM WebSphere Application Server
Joomla! se actualiza y soluciona dos fallos de seguridad 
Casi todas las empresas de EEUU sufren ataques online, según el FBI
Firefox 2.0.0.12 soluciona múltiples fallos
A un año del SQL Slammer, se espera otro ataque
- En el foro
-
BUGS
Múltiples y serios problemas de seguridad en Linux
25 Oct 2004 | VS ANTIVIRUS
Esto ha obligado a los principales vendedores de este código abierto, a realizar severas actualizaciones, casi todas en un solo un día, según publica Vsantivirus.
Dos de estos agujeros, han sido catalogados de sumamente críticos por la compañía de seguridad Secunia. Afectan la librería gráfica LIBPNG, muy popular en muchas distribuciones Linux y en aplicaciones como el navegador Mozilla, utilizada para la visualización de imágenes en formato PNG (Portable Network Graphics).
Estas vulnerabilidades pueden provocar desbordamientos de búfer cuando se intenta ver una imagen PNG modificada maliciosamente, lo que permitiría la ejecución de código en forma remota. Aunque una nueva versión de esta librería ya está disponible, existen múltiples aplicaciones que están enlazadas con la misma, por lo que se sugiere a los usuarios de Linux que consulten los procedimientos adecuados para dicha actualización en las páginas de los diferentes proveedores.
El problema se produce por un error en las funciones PNG HANDLE y PNG READ de Mozilla. En agosto, habían sido detectados otros fallos en esta misma librería, incluyendo una vulnerabilidad en la capacidad POP3 con el riesgo de descarga no autorizada de datos.
Otros errores fueron descubiertos en el componente XPDF, que es utilizado para visualizar los archivos PDF de Adobe en Linux. Una serie de desbordamientos de entero, pueden comprometer seriamente al sistema del usuario. Usuarios maliciosos también pueden utilizar estas vulnerabilidades para ejecutar código arbitrario en forma remota, usando archivos PDF especialmente modificados.
Además, otros errores en este componente pueden ser explotados para que el equipo consuma todos los recursos del sistema y deje de responder.
Cómo si esto fuera poco, los parches publicados para estos problemas, agregan un tercer agujero en el sistema de impresión CUPS para Linux, que puede permitir el acceso al sistema por parte de usuarios no autorizados.
Algunos vendedores ya han tomado las medidas para proteger a sus usuarios de estas vulnerabilidades. Por ejemplo Debian, ha publicado dos parches para Linux 3.0 que protegen de los fallos en la librería LIBPNG. Mandrake, Fedora y Gentoo, mientras tanto, han realizado parches para las vulnerabilidades en XPDF, y Mandrake y Gentoo tienen parches para otros agujeros.
También se dio a conocer un conjunto de debilidades en el Kernel de Linux que fueron corregidos en la versión 2.6.9. Estos problemas se encuentran en el subsistema terminal. Hay parches disponibles para las versiones 2.4x, pero no para las versiones anteriores.
Uno de los problemas está relacionado con un programa local que realiza operaciones específicas en determinados momentos, pudiendo colapsar al sistema, y en un comportamiento anormal que puede liberar datos aleatorios del kernel.
Otro tipo de ataque involucra a los usuarios con módem que se conectan a través de puertos PPP (point-to-point protocol) y que puede hacer que sus equipos dejen de responder. Este tipo de acción, sin embargo, solo puede ser realizada en forma local, sobre líneas seriales directas, y no a través de los módems en forma remota.
Por otra parte, un desbordamiento de entero fue reportado en el programa IPTABLES incluido en el Kernel 2.6x. IPtables está relacionado con la seguridad en la red, ya que junto a Netfilter, proporciona filtrado de paquetes, traducción de direcciones de red, etc.
Más información:
libpng Integer Overflow and Buffer Overflow Vulnerabilities
secunia.com/advisories/12902/
Linux Kernel Terminal Subsystem Race Condition Vulnerabilities
secunia.com/advisories/12951/
Red Hat update for CUPS
secunia.com/advisories/12950/
SuSE update for libtiff
secunia.com/advisories/12949/
Mandrake update for gpdf
secunia.com/advisories/12940/
Gentoo update for glibc
secunia.com/advisories/12938/
Fedora update for xpdf
secunia.com/advisories/12935/
Debian update for cupsys
secunia.com/advisories/12934/
Gentoo update for xpdf/cups
secunia.com/advisories/12931/ - Boletín
Si quieres recibir cada semana las noticias más interesantes suscríbete a nuestro boletín.
- Comentarios
- Publicidad
- Ahora en LaFlecha puedes encontrar Cursos y Másters
No seamos alarmistas, los fallos que se describen en este articulo llevan, en algunos casos como en libpng, casi un mes corregidos, por ejemplo, para Fedora, podeis comprobarlo en
fedoranews.org/updates/fc2-updates.shtml
Cierto es que otros son mas recientes, como el de xpdf, pero estos solo afecta al que tenga instalado este programa, no es un fallo de Linux, sino de un programa...
Lo cierto es que me ha parecido muy divertido el artículo. En ocasiones llegué a pensar que se acababa el mundo...
Me encantaría leer alguno parecido pero que haga referencia a Windows. ¡Debe ser para cortarse las venas!
gracias por la noticia, ya he actualizado y reparado todo.
Nooooooooo, ke linux no tiene faaallooos, ni problemas de seguridaaaaad.
Claro que linux tiene fallos, y problemas de seguridad, nadie es perfecto, pero el sacar una "noticia" remarcando fallos de hace meses, fallos corregidos nada mas salir practicamente, me parece que es desvirtuar un poco la noticia.
La cuestion no son los fallos, que todo sistema tiene, los desarrolladores aun son humanos, sino que viendo el titular "Múltiples y serios problemas de seguridad en Linux" estas creando un falso estado de alarma, y cuando ya conoces los hechos, el medio informador pierde mucha credibilidad...
Y por cierto Scan, como seguro que lo estas deseando, ahi va mi respuesta linuxera, si linux tiene fallos, pero NO LOS OCULTA esperando que nadie se entere, NI LE SALEN A DECENAS Y SEGUIDOS, INCLUSO DESPUES DE ARREGALRLOS, aqui se habla de cuatro o cinco, en MAS DE DOS MESES, ¿cuantos salen a la semana de quien ya sabemos? ¿cuantos se callan? ¿cuantos corrigen?
Un saludo, y tiempo al tiempo, que el dinero y las malas artes no detienen a la seleccion natural...
Quisiera saber si existe mas informacion acerca de vulnerabilidades en Unix, especificamente HP-UX en cuales de sus versiones, su fuese posible..
Gracias y saludos.
¿En Unix? No hombre, ¿no has visto que eso solamente afecta a Linux? Si tu xpdf se ejecuta sobre cualquier otro S.O. no tiene problemas, sólo si es en Linux, ¡eh! Windows, noooo, Windows no, el propio diseño del sistema operativo como tal impide estas situaciones.
Ahora en serio, lo único que quizás tenga ALGO que ver con el titular es eso de un "conjunto de debilidades" subsanados en el 2.6.9. Pero curiosamente no hay enlace. Pero bueno, ya se sabe, puestos a buscar, me bajo 15000 programas de los repositorios de paquetes y a buscar vulnerabilidades para poder decir que Linux es inseguro. :D
Realmente encuentro poco serio el título y más aun el artículo. Donde esta el paralelo comparativo con otros sistemas operativos propietarios como Windows o cosas por el estilo?????. Señor del artículo sea serio en sus comentarios, y cuidado ya que la comunidad linux es grande y además de grande muy sabia en conocimientos informáticos.
Me parece que algun comentario vienen de personas que viven en otro mundo o realidad.
Estadisticamente cuantos fallos han sido reportados en linux contra los que tiene windows?.
Cuentan cuantas veces se pega en la semana la maquina windows a bajar actualizaciones (parches)?
Se han preguntado como un sistema abierto (linux) tiene menos fallas que uno cerrado(WIN)?
Saben ustedes lo que hace o deja de hacer microsoft por puertas traseran en sus maquinas?¿Quien puede asegurar la seguridad de windows?
El articulo parese pagado por Microsoft, ya que es amarillista, alarmista y sesgado
Esto no es un articulo... esto es un WTF....
Aca no vi casi ningun error de seguridad de linux, la mayoria son de aplicaciones (La LIBPNG, xpdf, y demas) que son utilizadas por mas sistemas operativos como freebsd, Solaris y otros *nix... aparte en un momento habla de parches para linux 3 ¿¿¿???... como que recien vamos por la 2.6... y bueno, seguro que se referian a debian 3.0... me quiero imaginar.
Lo veo muy alamarmante el articulo, y como dije, son errores de aplicaciones, aver si hacen esto con windows les salta un BOF hasta por el notepad...
Por lo menos admitieron que los errores se solucionan en 1 dia...
Como dice exos, acá no hay problemas con Línux sino con sus aplicaciones. Y hay que destacar también el error humano al darle permisos a éstas que no le corresponden.
Las aplicaciones corren con los permisos de usuarios que se le asignan. Si no le das permiso de hacer nada no hay puerta trasera ni virus que te permita hacer ninguna diablura.
Igualmente como dicen los demás lo bueno de los sistemas abiertos es que los fallos se resuelven a veces a minutos de ser detectados.
¿No te parece raro que cuando te bajás el IE pese de 12 a 15 Mb (Firefox pesa 7), teniendo en cuenta que muchas de las librerías que usa el IE ya forman parte del sistema operativo?
¿Y los Services Pack de 300 Mb?
Ahí querido Scan, te están bajando parches ocultos de problemas detectados y no publicados.
Opino igual que todos, una nota sumamente alarmista que parece más una campaña de de$pre$tigio que una noticia técnica.
pues sea lo que sea yo sigo comprando windows, no sera el mejor... pero tiene un respaldo despues de que uno paga los usd por la licencia, es que eso es lo que le falta a linux, organizacion post-instalacion... deberian agruparse todos estos desarrolladorsitos nerds, en organizacion sin animo de lucro que pongan reglas claras sobre este tipo de sistemas libres, asi como la ISO , UIT y otras, con eso uno sabe a que aternese, por lo menos si ocurre un fallo, uno con windows sabe a quien demandar, pero con linux a quejarse al papa jejeeje, pos hay les dejo mi inquietud jejeeje, windows no sera lo mejor pero se ve muy bonito, y para los que manejan linux y que se creen superdotados por manejar piche codigo binario, bajanse de esa nube que esa ciencia es una mas, y el hecho de que las personas se les muestre windows desde su niñez no los hace brutos ni retrasados solo es culpa del sistema, pinches nerd linuxeros que la unica mujer que han visto en la vida es la que les presenta su pc, claro linux .. pero igual es y seguira siendo un pc