On Fri, 2006-09-08 at 09:41 -0500, Antonio Ognio wrote: > 2006/9/8, Carlos Zuniga <[EMAIL PROTECTED]>:
> En fin, si algunos de Uds. son de la filosofia de "yo compilo todo por > mi mismo" y piensan que eso es mejor, les recomendaria probar con > distros como Debian o en general darle una segunda oportunidad al > software empaquetado, enterarse mas todo el tema de seguridad y los > riesgos que corremos dia a dia y mirar el problema desde una > perspectiva mas amplia. Cierto, pero el problema de Debian no ha sido por aplicaciones compiladas, ya que el punto vulnerable estaba escrito en PHP, pero el problema era parecido: instalar de fuentes en vez de usar paquetes. De todas maneras hay un problema bastante serio en la administración de seguridad en los servidores de debian. La razón? Pues para que la vulnerabilidad en pmwiki solo era explotable si estaba activo register_globals en PHP: --- Versions 2.1.21, 2.1.22, 2.1.23 (2006-09-05, 2006-09-06) This release closes a potential security vulnerability for sites that are running with 'register_globals' set to on. Details of the vulnerability will be forthcoming on the mailing list and site. Sites that are running with PHP 'register_globals' and 'allow_url_fopen' set to 'On' should upgrade to this release at the earliest opportunity. If upgrading isn't an option, contact Pm for a patch to older versions. --- [0] Quiere decir que el servidor de Debian tenía el register_globals de PHP activo, lo que desde el punto de vista de la seguridad es BASTANTE discutible.[1] Adicionalmente, pmwiki no está[2] bajo el control de paquetes de debian stable. Es más, me atrevería a decir que los sysadmins de debian _no_ usan debian stable, que fue también una de las razones por las que tuvieron otro problema serio de seguridad en Julio[3]. Esto es paradójico porque es justamente la misma gente de debian la que recomienda[4] el uso de stable para servidores de producción. Estan sufriendo de un grave caso de "hagan lo que digo, pero no lo que hago". Si hubieran seguido su propia recomendación, como hacemos muchos, se hubieran evitado 2 problemas de seguridad serios. Saludos. [0] http://www.pmwiki.org/wiki/PmWiki/ReleaseNotes [1] http://www.php.net/register_globals [2] http://packages.debian.org/cgi-bin/search_packages.pl?keywords=pmwiki&searchon=names&subword=1&version=stable&release=all [3] http://www.debian.org/News/2006/20060713 [4] http://www.debian.org/releases/ > > Saludos, > > Antonio. -- Gustavo Picón <[EMAIL PROTECTED]> Aureal Systems - http://www.aureal.com.pe/ tel: (511) 243-0131 nextel: (511) 9824*4625 web: http://tabo.aurealsys.com/
signature.asc
Description: This is a digitally signed message part
_______________________________________________ Lista de correo Linux-plug Temática: Discusión general sobre Linux Peruvian Linux User Group (http://www.linux.org.pe) Participa suscribiéndote y escribiendo a: [email protected] Para darte de alta, de baja o hacer ajustes a tu suscripción visita: http://www.linux.org.pe/cgi-bin/mailman/listinfo/linux-plug IMPORTANTE: Reglas y recomendaciones http://www.linux.org.pe/listas/reglas.php http://www.linux.org.pe/listas/comportamiento.php http://www.linux.org.pe/listas/recomendaciones.php
