El 04/06/14 13:25, Mauro Antivero escribió:
El 04/06/14 11:09, Guido Ignacio escribió:
El día 4 de junio de 2014, 10:39, Mauro Antivero
<mauro.antiv...@gmail.com> escribió:
Estimados, estoy buscando información sobre el bug "reciente" en
libgnutls
(detallo el mismo más abajo), más precisamente que versiones son las
afectadas y a partir de que versión está resuelto el problema.
Recuerdo que cuando fue el Heart Bleed la actualización era reciente
y si
uno hacía un "apt-cache show openssl" en la lista de cambios de la
versión
que solucionaba el problema aparecía "fix Heart Bleed bla bla bla" (no
recuerdo que decía exactamente pero si que aclaraba perfectamente
que el bug
estaba resuelto).
Si hago lo mismo ahora con libgnutls26 me sale que la última versión
disponible es la 2.12.20-8+deb7u2, que la prioridad de la
actualización es
"importante" pero no sale nada más. No sé si esto será porque esta
actualización o bien no resuelve el bug o ya fue resuelto por una
actualización anterior.
Mi pregunta en concreto es (de novato en estas cuestiones): Cómo
puedo hacer
para saber qué versión es la que implementa el fix en cuestión? Si es
posible saberlo directamente desde la consola mejor.
Ahora si, leyendo sobre el bendito bug encontré esta página (por
supuesto
hay muchas, pero esta me pareció muy clara):
http://www.etccrond.es/2014/03/fallos-en-ios-y-gnutls-y-advertencia-debian-jessie.html
Saludos y muchas gracias.
Mauro.
Mauro el cve es el CVE-2014-3466 y la info y solución la tenés acá [1]
Más info [2]
Pido mis disculpas, el mail que acabo de mandar estaba incompleto. Acá
va completo.
[1] https://security-tracker.debian.org/tracker/CVE-2014-3466
Bien, acá dice que el paquete gnutls26 para Debian Squeeze es vulnerable
hasta la versión squeeze3 y que deja de ser vulnerable en la versión
squeeze4. En resumen, Squeeze sería vulnerable si no actualizamos.
Pero si seguimos el link a donde lleva DSA-2944-2 allí dice que Old
Stable (osea Squeeze) no es vulnerable, al igual que Testing y Unstable
y ahí es donde realmente me pierdo :S
Alguien me podría aclarar esto por favor?
[2] http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3466
Ahora si, completo con lo que había escrito antes, en donde pregunto
como actualizar el paquete libgnutls en Squeeze (en el caso de que
realmente haga falta, ya que sinceramente no termino de entender si hay
que actualizar o no):
Muchísimas gracias por esta info, muy clara.
Ahora la pregunta obligada, tengo un par de servers con Debian Squeeze y
luego de hacer un "aptitude update" la última versión que me aparece
disponible es la "squeeze3".
Tengo que instalar el paquete manualmente acaso o me estoy olvidando de
algo?
Saludos y gracias.
Mauro.
--
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: https://lists.debian.org/538f4a6a.9070...@gmail.com