Saludos, LiGNUxeros!
Se ha detectado una vulnerabilidad en la seguridad de gran importancia en Bash, del proyecto GNU. Los mayores problemas ya han sido solucionados y se están llevando a cabo más soluciones para que en las próximas horas se solucionen los que queden. Todos los usuarios de Bash deberíais actualizar el sistema para no veros afectados cuanto antes.
Bash es un shell, desarrollado para el proyecto GNU. Resumiendo un poco, es una interfaz de usuario para poder administrar el sistema, en este caso, en vez de ventanas e iconos, se utilizan comandos en la línea de texto. Para que nos entendamos, es el terminal. Todo usuarios que esté usando una distribución de GNU con Linux (Ubuntu, Linux Mint, Debian, Arch...) debe actualizar el sistema, así como los usuarios de sistemas privativos como Microsoft Windows y MacOS de Apple que también usen bash.
GNU Bash se utiliza masivamente ya que es un sistema libre, confiable y lleno de utilidades. La licencia de Bash, GPLv3, ha facilitado la detección y corrección de este problema, pero con este nuevo bug masivo en la seguridad nos hace encontrarnos con un problema que hasta ahora había sido ignorado.
La libertad en el software es una condición para la seguridad en el mismo. Si perdemos la libertad de estudio del código con un programa privativo, podemos estar expuestos a vulnerabilidades sin saberlo. Aunque nosotros mismos no nos dediquemos a comprobar el software que usamos, no somos los únicos usuarios de ésos programas, otros sí que pueden haberlo comprobado anteriormente. Sin embargo, que el software sea libre no nos garantiza que su código esté libre de errores, igual que no nos lo garantiza el software privativo. Los programas lo escriben personas, línea a línea, casi siempre, más de una sola persona trabajando en común y es fácil que entre tantas manos algo salga mal. Antes de llegar al usuario final se le hacen muchas pruebas, pero ninguna prueba es tan apurada como el uso diario que le podemos hacer nosotros mismos.
El software privativo muchas veces se ha vendido como "mejor" que el libre, porque al llevarlo una empresa pueden hacerle más pruebas y suele dar a conocer menos bugs. No nos engañemos, los bugs siguen estando ahí, son inevitable, lo único que cambia es la transparencia. De la misma manera, puede que nos encontremos (y es muy común, más de lo que se piensa, sobretodo en apps para Android) con funcionalidades ocultas al usuario para recoger datos privados. A eso se le ha llamado de toda la vida "malware" y lo hemos evitado, ahora es un plan de empresa para que el programa no nos cueste nada, habrá que darles las gracias.
Por todo eso, el software libre a veces puede parecer inseguro. Usar software libre no nos asegura privacidad, y podemos creer que el privativo es más confiable y seguro, como ya surgió el debate con el Hearthbleed de OpenSSL. La solución no es cambiar un bug en la seguridad conocido por otro desconocido, sino invertir más recursos para arreglar los bugs conocidos.
Por eso, me gustaría inquirir en la importancia de las donaciones a estos desarrolladores que deben tener mil ojos para que sus usuarios no pierdan seguridad. Muchas veces, estos servicios son gratuitos y los desarrolladores son voluntarios, con otros trabajos y responsabilidades. Recordad que nada es gratuito, todo tiene un coste.
Si vuestra distribución aún no ha actualizado el parche de seguridad en sus repositorios, lo que es muy probable, podéis descargar el fichero en este enlace: http://ftp.gnu.org/gnu/bash/
Podeis ver el comunicado de la FSF en el asunto que nos importa aquí.
¡Un saludo!
