SecurityHace unos días que saltó la noticia de un fallo de seguridad que afectaba a la librería SSL de iOS y OS X de Apple llamado fallo goto fail, el cual facilitaba el espionaje de las comunicaciones, en las últimas horas se ha sabido que en Linux se encontraba otra vulnerabilidad muy parecida.

El fallo de seguridad afectaba a la libería GnuTLS, resulta que esta librería es utilizada en muchísimas aplicaciones de Linux para establecer conexiones seguras a través de SSL, OpenOffice, Chromium, Filezilla o el servidor de Apache entre otras.
Este fallo se remonta a 10 años antes, pero hasta ahora no se había detectado, al parecer se produjo por una equivocación de la programación en la función que verifica la validez de certificados X.509 tipo ASN.1, ya que el código de salida no fue bien interpretado, lo que produce que un código de retorno negativo que indica un error se convierte en un código de retorno distinto de 0 que señala que todo ha ido bien.

Cualquier atacante que tuviera conocimiento del fallo se ha podido aprovechar para así interceptar las comunicaciones vía certificado inválido sin ser detectado por el sistema, algo que probablemente, a pesar de que el fallo tiene más de una década no haya ocurrido.

La mayor parte de las distros de Linux han sido afectadas por este fallo de seguridad, más de 200, Debian, Red Hat o Ubuntu se encuentran entre ellas, pero éste ya ha sido solucionado y una gran cantidad de distribuciones tienen disponible un parche para ponerle remedio con una actualización. Se ha formado un gran revuelo con todo este tema, disparando las alarmas entre los expertos en seguridad ya que el tiempo transcurrido para su detección se ha prolongado a una década y el error era bastante obvio, algo inexplicable.

Los usuarios de Linux podemos estar tranquilos ya que en horas se ha solucionado el fallo de seguridad, es lo bueno que tiene el código abierto.

Fuente: Adslzone.

9
Deja una respuesta

avatar
4 Hilos de comentario
5 Respuestas de hilo
0 Seguidores
 
Comentario más reaccionado
El hilo de comentarios más caliente
5 Autores de comentarios
La Linux Foundation crea una plataforma para evitar otro Heartbleed | LiGNUxOscar MezaFrancisco MartinezBGBgusJessica Suárez Autores de comentarios recientes
  Suscribirse  
Los más recientes Los más antiguos Más votados
Notificarme las
trackback

[…] ya sabéis hace hace poco tiempo fue descubierto un fallo de seguridad Heartbleed, que no solo ha servido para que muchas empresas tecnológicas tomen cartas en mejorar la seguridad […]

omeza
Miembro

Gracias por el dato, procedo a actualizar…

Saludos

Francisco Martinez
Invitado
Francisco Martinez

Se soluciona con un simple sudo apt-get upgrade ??

Jessica Suárez
Invitado

Sip, debería

Francisco Martínez
Invitado
Francisco Martínez

Disculpa, soy algo novato con muchos comandos linux, ya actualicé con el upgrade, cómo puedo saber si ya se instaló ?? y qué resultados debe arrojoar dicho(s) comando(s), al momento de actualizar no me pareció haber visto ninguno que incluya “ssl” en las lineas.

Jessica Suárez
Invitado

GnuTLS?

eduardo
Invitado
eduardo

Mientras tanto los Applefags seguiran con el fallo abierto y tendrán que esperar hasta el próximo iOS y OSX, siempre y cuando sea compatible con su dispositivo, sino tendrán que comprar una nueva iCosa.

Jessica Suárez
Invitado

xDDDDDDDDDDD

BGBgus
Invitado
BGBgus

jajaja, iCosa, me ha gustado eso xD

seeh, muy cierto xD