2006/9/8, Gustavo Picon <[EMAIL PROTECTED]>:
On Fri, 2006-09-08 at 09:41 -0500, Antonio Ognio wrote: Cierto, pero el problema de Debian no ha sido por aplicaciones compiladas, ya que el punto vulnerable estaba escrito en PHP, pero el problema era parecido: instalar de fuentes en vez de usar paquetes.
Bueno, en realidad han sido dos vulnerabilidades las explotadas. Una a nivel de un programa en PHP y otra a nivel del kernel de Linux. Es por eso que la nueva politica será la de restringir el minimo el uso de programas de cualquier tipo (asi sean aplicaciones web o lo que sea) en su forma "vanilla" y en su lugar usar las versiones empaquetadas. No es una solución 100% fiable pero ayudará.
Quiere decir que el servidor de Debian tenía el register_globals de PHP activo, lo que desde el punto de vista de la seguridad es BASTANTE discutible.[1]
Asi es, este punto es irrefutable. A diferencia de otro tipo de organizaciones, sobre todo las grandes corporaciones, Debian si maneja este tema transparentemente, sobretodo pensando en sus colaboradores y desarrolladores, y asi todos nos enteremos porque la información se hace pública. Yo no pensaría por esta razón que el proyecto Debian es "descuidado" vs otras empresas que proveen distribuciones de Linux, pero si, de hecho al tener quizas mayor número de máquinas que cualquier otro proyecto de voluntarios la probabilidad de que alguno de sus equipos sea comprometido se incrementa.
Adicionalmente, pmwiki no está[2] bajo el control de paquetes de debian stable. Es más, me atrevería a decir que los sysadmins de debian _no_ usan debian stable, que fue también una de las razones por las que tuvieron otro problema serio de seguridad en Julio[3].
Al parecer este incidente esta haciendo que estas politicas se vuelvan mas estrictas aún.
paradójico porque es justamente la misma gente de debian la que recomienda[4] el uso de stable para servidores de producción. Estan sufriendo de un grave caso de "hagan lo que digo, pero no lo que hago".
Y mas paradogico seria seguir el "mal ejemplo" y "hacer lo que dicen" :)
Si hubieran seguido su propia recomendación, como hacemos muchos, se hubieran evitado 2 problemas de seguridad serios.
Por lo que veo, el tema no es tan simple y potencialmente puede afectar a CUALQUIER distribución o sistema con kernel vanilla que use este rango de versiones: 2.6.13 y la 2.6.17.4, o Linux 2.6.16 anterior a 2.6.16.24 Asi que caballero nomas, los que tienen este kernel en sus servidores deberia actuar proactivamente. De todo lo "malo" saquemos algo bueno: que los "nuevos" aprendan que por algo tan "simple" como poner register_globals = On en PHP, algunas aplicaciones (y esto va a seguir pasando y pasando por muchos años mas) pueden ser vulneradas y el atacante logra ganar acceso a una cuenta de usuario local. Una vez que tiene un usuario del sistema puede recolectar muchisima mas información con pocos comandos y usar algun "exploit" (creado para explotar una vulnerabilidad conocida) y atacar al mismo kernel con lo que gana privilegios de root. Lo mas grabe es que ahi no termina la cosa, desde ahi se puede seguir atacando a otros servidores de la misma red con los que hay "relaciones de confianza" y el problema crece y crece. Esto definitivamente NO ES OBVIO para los que son nuevos en temas de networking y en especial con Linux. Ojala esto sirva para que mas de uno aprenda de este tipo de problemas y trate de evitarlos. Antonio _______________________________________________ Lista de correo Linux-plug Temática: Discusión general sobre Linux Peruvian Linux User Group (http://www.linux.org.pe) Participa suscribiéndote y escribiendo a: [email protected] Para darte de alta, de baja o hacer ajustes a tu suscripción visita: http://www.linux.org.pe/cgi-bin/mailman/listinfo/linux-plug IMPORTANTE: Reglas y recomendaciones http://www.linux.org.pe/listas/reglas.php http://www.linux.org.pe/listas/comportamiento.php http://www.linux.org.pe/listas/recomendaciones.php
