Hace unos días que saltó la noticia de un fallo de seguridad que afectaba a la librería SSL de iOS y OS X de Apple llamado fallo goto fail, el cual facilitaba el espionaje de las comunicaciones, en las últimas horas se ha sabido que en Linux se encontraba otra vulnerabilidad muy parecida.
El fallo de seguridad afectaba a la libería GnuTLS, resulta que esta librería es utilizada en muchísimas aplicaciones de Linux para establecer conexiones seguras a través de SSL, OpenOffice, Chromium, Filezilla o el servidor de Apache entre otras.
Este fallo se remonta a 10 años antes, pero hasta ahora no se había detectado, al parecer se produjo por una equivocación de la programación en la función que verifica la validez de certificados X.509 tipo ASN.1, ya que el código de salida no fue bien interpretado, lo que produce que un código de retorno negativo que indica un error se convierte en un código de retorno distinto de 0 que señala que todo ha ido bien.
Cualquier atacante que tuviera conocimiento del fallo se ha podido aprovechar para así interceptar las comunicaciones vía certificado inválido sin ser detectado por el sistema, algo que probablemente, a pesar de que el fallo tiene más de una década no haya ocurrido.
La mayor parte de las distros de Linux han sido afectadas por este fallo de seguridad, más de 200, Debian, Red Hat o Ubuntu se encuentran entre ellas, pero éste ya ha sido solucionado y una gran cantidad de distribuciones tienen disponible un parche para ponerle remedio con una actualización. Se ha formado un gran revuelo con todo este tema, disparando las alarmas entre los expertos en seguridad ya que el tiempo transcurrido para su detección se ha prolongado a una década y el error era bastante obvio, algo inexplicable.
Los usuarios de Linux podemos estar tranquilos ya que en horas se ha solucionado el fallo de seguridad, es lo bueno que tiene el código abierto.
Fuente: Adslzone.