- Noticias relacionadas
- Otras noticias
Desbordamiento de búfer en Symantec VERITAS Storage Foundation
Denegación de servicio a través de ntpd en IBM AIX
Apple publica un parche de seguridad que soluciona 45 vulnerabilidades
Microsoft registra el fallo más reciente de software como "crítico"
Variantes del gusano informático Netsky los más propagados
Se triplica el número de virus informáticos
La última vulnerabilidad de Microsoft está siendo utilizada para robar datos confidenciales de los usuarios
Actualización del Kernel para Red Hat Enterprise Linux 4
Descubren fallos en los microprocesadores que podrían provocar agujeros de seguridad
El 68% de los usuarios no sospechan de los comentarios maliciosos en redes sociales
- En el foro
.jpg)
Múltiples vulnerabilidades en el kernel 2.6 de Linux
Denegación de servicio por vulnerabilidad en el driver PPP de Linux
Liberan varios parches de Linux
Vulnerabilidad en los kernel Linux.jpg)
Escalada de privilegios en kernel 2.4 de Linux.jpg)
Actualización de seguridad del kernel Linux-
VULNERABILIDADES
Descontento sobre la gestión de seguridad de los núcleos Linux
28 Ene 2005 | HISPASEC.jpg)
En los últimos meses se han descubierto diversas vulnerabilidades en los núcleos Linux que, gracias a ser un sistema Open Source, han sido solucionadas, en la mayor parte de los casos, en cuestión de horas. Es decir, que los administradores preocupados han podido encontrar parches solucionando las vulnerabilidades en un corto espacio de tiempo.
No obstante, en algunos casos, esas correcciones no han estado disponibles en actualizaciones "oficiales" de los kernel hasta meses después. Esto es así porque la tendencia hasta ahora ha sido el integrar esos parches en la versión en desarrollo de los kernel, cuya fecha de publicación puede estar a semanas o meses vista.
Muchos miembros de la comunidad, incluyendo Hispasec, reclamamos que:
1. Los problemas de seguridad del kernel Linux deben ser solucionados en el menor plazo posible, una vez descubiertos. Tanto si se trata de vulnerabilidades accesibles desde el exterior como si requieren acceso local, ya que se utilizan muchos sistemas Linux para dar servicio usuarios no confiables.
2. Las actualizaciones de seguridad deben aplicarse tanto a los kernel en desarrollo en este momento, como a los kernel en producción.
3. Se debe publicar una actualización de los kernel en producción, solucionando exclusivamente las vulnerabilidades descritas, en el menor plazo posible.
Es decir, si se descubre un problema de seguridad en la versión 2.4.28 del núcleo Linux, no debe ser necesario esperar a la versión 2.4.29 del mismo para solucionar el problema, que puede suponer semanas o meses. Antes bien, debe publicarse una versión 2.4.28.1 del kernel, solucionando exclusivamente el problema en cuestión, sin tener que esperar un nuevo ciclo de desarrollo completo del núcleo.
El propio Linus Torvalds aboga porque los problemas de seguridad de los kernel se discutan de forma pública, para reducir al mínimo los retrasos y las "excusas" a la hora de publicar una actualización. En ese sentido, Linus es un defensor a ultranza del "Full Disclosure" de vulnerabilidades.
Solo queda esperar ver cómo evolucionan los acontecimientos, a la luz de futuras vulnerabilidades.
Más Información:
Security Holes Draw Linux Developers' Ire
http://it.slashdot.org/article.pl?sid=05/01/10/035225
grsecurity 2.1.0 and kernel vulnerabilities
http://lwn.net/Articles/118251/
Críticas a la seguridad en Linux
http://barrapunto.com/journal.pl?op=display&uid=3721&id=9683
Torvalds on the Linux Security Process
http://linux.slashdot.org/article.pl?sid=05/01/14/1450219
Torvalds Criticizes Security Approaches
http://www.internetnews.com/dev-news/article.php/3458961
Local Root Exploit in Linux 2.4 and 2.6
http://linux.slashdot.org/article.pl?sid=05/01/07/2028203&tid=172 - Boletín
Si quieres recibir cada semana las noticias más interesantes suscríbete a nuestro boletín.
- Comentarios
- Publicidad
- Ahora en LaFlecha puedes encontrar Cursos y Másters
Totalmente de acuerdo.
Un cuarto numero encaminado a resoolver bugs de seguridad es de lo mejorcito que he oido ultimamente.
Y que las distribuciones se preocupen de actualizar inmediatamente el kernel en sus repositorios también es ensencial.
Ha de comunicar inmediatamante a la comunidad y estaremos completamente satisfechos por el trabajo realizado ..