Re: Actualización de la ISO - Open SSL heartbleed bug. [Solucionado].
El 12/04/14 20:50, Santiago Vila escribió: On Sat, 12 Apr 2014, esmunarriz wrote: Estimada comunidad, gracias por vuestra ayuda e interés. He actualizado debian Wheezy de mi HD pero me queda la duda de si habrán actualizado las imágenes .iso de la web oficial de debian. Para conectarme a web's donde voy a suministrar datos sensibles inicio mediante un USB con arranque en debian y desconectando mi HD fisicamente. Tras este fallo de seguridad, ¿debería formatear el USB e instalar de nuevo una imagen booteable de debian con el fallo ya corregido? ¿Estarán ya actualizadas las imágenes? ¿como podría comprobarlo?. Las imágenes ISO de instalación de Debian se actualizan únicamente cuando se publica una point release. La última point release de Debian stable es la 7.4 y este error se descubrió después, por lo que los paquetes corregidos están en security.debian.org pero no en la ISO de instalación. Por lo tanto, no encontrarás ninguna imagen ISO de instalación actualizada hasta que salga Debian 7.5, y eso no será hasta dentro de dos semanas. Pero si lo que tienes en tu USB es una Debian normal instalada en un USB (no un Live CD copiado al USB), entonces todo esto es *irrelevante*. En este caso lo que debe hacerse es apt-get update; apt-get upgrade; apt-get dist-upgrade y dará igual si instalaste el sistema con una ISO de Debian 7.0 que si lo hiciste con una ISO de Debian 7.2. El resultado será la Debian stable de hoy en día, con las actualizaciones de seguridad a fecha de hoy en día. Pero incluso esto último también es irrelevante si se tiene en cuenta que el problema de este bug es fundamentalmente que esté presente en los servidores a los que nos conectamos. Esto es: Da igual que nuestro sistema de escritorio esté perfectamente actualizado si luego nos conectamos a una web que no lo está. El verdadero problema es saber qué webs son vulnerables y cuáles no. En resumen: Ocúpate por supuesto por la seguridad de tu sistema de escritorio, pero ocúpate mucho más por preguntarle a tu banco que si ya ha corregido este error en sus servidores. Estimados Santiago Vila y Camaleón, gracias por vuestra ayuda/aclaración e interés. No pude agradecerles antes debido a un problema de mi cliente de correo. -- Saludos cordiales. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/534d67e9.5060...@gmail.com
Re: Actualización de la ISO - Open SSL heartbleed bug
El Sat, 12 Apr 2014 18:55:22 -0500, esmunarriz escribió: Estimada comunidad, gracias por vuestra ayuda e interés. He actualizado debian Wheezy de mi HD pero me queda la duda de si habrán actualizado las imágenes .iso de la web oficial de debian. Seguramente no, las imágenes ISO se generan cada X meses, lo que sí está actualizado es el paquete vulnerable, pero de manera independiente (el .deb). Para conectarme a web's donde voy a suministrar datos sensibles inicio mediante un USB con arranque en debian y desconectando mi HD fisicamente. Tras este fallo de seguridad, ¿debería formatear el USB e instalar de nuevo una imagen booteable de debian con el fallo ya corregido? ¿Estarán ya actualizadas las imágenes? ¿como podría comprobarlo?. No, únicamente tienes que mantener la Debian de la llave USB actualizada y ya está. Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/pan.2014.04.13.14.12...@gmail.com
Re: Actualización de la ISO - Open SSL heartbleed bug
El 13/04/14 09:12, Camaleón escribió: El Sat, 12 Apr 2014 18:55:22 -0500, esmunarriz escribió: Estimada comunidad, gracias por vuestra ayuda e interés. He actualizado debian Wheezy de mi HD pero me queda la duda de si habrán actualizado las imágenes .iso de la web oficial de debian. Seguramente no, las imágenes ISO se generan cada X meses, lo que sí está actualizado es el paquete vulnerable, pero de manera independiente (el .deb). Para conectarme a web's donde voy a suministrar datos sensibles inicio mediante un USB con arranque en debian y desconectando mi HD fisicamente. Tras este fallo de seguridad, ¿debería formatear el USB e instalar de nuevo una imagen booteable de debian con el fallo ya corregido? ¿Estarán ya actualizadas las imágenes? ¿como podría comprobarlo?. No, únicamente tienes que mantener la Debian de la llave USB actualizada y ya está. Saludos, Estimados Santiago Vila y Camaleón, muchas gracias por vuestras respuestas/aclaraciones e interés. -- Saludos cordiales. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/534ac766.10...@gmail.com
Actualización de la ISO - Open SSL heartbleed bug
Estimada comunidad, gracias por vuestra ayuda e interés. He actualizado debian Wheezy de mi HD pero me queda la duda de si habrán actualizado las imágenes .iso de la web oficial de debian. Para conectarme a web's donde voy a suministrar datos sensibles inicio mediante un USB con arranque en debian y desconectando mi HD fisicamente. Tras este fallo de seguridad, ¿debería formatear el USB e instalar de nuevo una imagen booteable de debian con el fallo ya corregido? ¿Estarán ya actualizadas las imágenes? ¿como podría comprobarlo?. -- Saludos cordiales. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/5349d26a.4030...@gmail.com
Re: Actualización de la ISO - Open SSL heartbleed bug
On Sat, 12 Apr 2014, esmunarriz wrote: Estimada comunidad, gracias por vuestra ayuda e interés. He actualizado debian Wheezy de mi HD pero me queda la duda de si habrán actualizado las imágenes .iso de la web oficial de debian. Para conectarme a web's donde voy a suministrar datos sensibles inicio mediante un USB con arranque en debian y desconectando mi HD fisicamente. Tras este fallo de seguridad, ¿debería formatear el USB e instalar de nuevo una imagen booteable de debian con el fallo ya corregido? ¿Estarán ya actualizadas las imágenes? ¿como podría comprobarlo?. Las imágenes ISO de instalación de Debian se actualizan únicamente cuando se publica una point release. La última point release de Debian stable es la 7.4 y este error se descubrió después, por lo que los paquetes corregidos están en security.debian.org pero no en la ISO de instalación. Por lo tanto, no encontrarás ninguna imagen ISO de instalación actualizada hasta que salga Debian 7.5, y eso no será hasta dentro de dos semanas. Pero si lo que tienes en tu USB es una Debian normal instalada en un USB (no un Live CD copiado al USB), entonces todo esto es *irrelevante*. En este caso lo que debe hacerse es apt-get update; apt-get upgrade; apt-get dist-upgrade y dará igual si instalaste el sistema con una ISO de Debian 7.0 que si lo hiciste con una ISO de Debian 7.2. El resultado será la Debian stable de hoy en día, con las actualizaciones de seguridad a fecha de hoy en día. Pero incluso esto último también es irrelevante si se tiene en cuenta que el problema de este bug es fundamentalmente que esté presente en los servidores a los que nos conectamos. Esto es: Da igual que nuestro sistema de escritorio esté perfectamente actualizado si luego nos conectamos a una web que no lo está. El verdadero problema es saber qué webs son vulnerables y cuáles no. En resumen: Ocúpate por supuesto por la seguridad de tu sistema de escritorio, pero ocúpate mucho más por preguntarle a tu banco que si ya ha corregido este error en sus servidores. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/alpine.deb.2.02.1404130332440.1...@kolmogorov.unex.es
Re: Actualización de la ISO - Open SSL heartbleed bug. [olucionado]
El 12/04/14 20:50, Santiago Vila escribió: On Sat, 12 Apr 2014, esmunarriz wrote: Estimada comunidad, gracias por vuestra ayuda e interés. He actualizado debian Wheezy de mi HD pero me queda la duda de si habrán actualizado las imágenes .iso de la web oficial de debian. Para conectarme a web's donde voy a suministrar datos sensibles inicio mediante un USB con arranque en debian y desconectando mi HD fisicamente. Tras este fallo de seguridad, ¿debería formatear el USB e instalar de nuevo una imagen booteable de debian con el fallo ya corregido? ¿Estarán ya actualizadas las imágenes? ¿como podría comprobarlo?. Las imágenes ISO de instalación de Debian se actualizan únicamente cuando se publica una point release. La última point release de Debian stable es la 7.4 y este error se descubrió después, por lo que los paquetes corregidos están en security.debian.org pero no en la ISO de instalación. Por lo tanto, no encontrarás ninguna imagen ISO de instalación actualizada hasta que salga Debian 7.5, y eso no será hasta dentro de dos semanas. Pero si lo que tienes en tu USB es una Debian normal instalada en un USB (no un Live CD copiado al USB), entonces todo esto es *irrelevante*. En este caso lo que debe hacerse es apt-get update; apt-get upgrade; apt-get dist-upgrade y dará igual si instalaste el sistema con una ISO de Debian 7.0 que si lo hiciste con una ISO de Debian 7.2. El resultado será la Debian stable de hoy en día, con las actualizaciones de seguridad a fecha de hoy en día. Pero incluso esto último también es irrelevante si se tiene en cuenta que el problema de este bug es fundamentalmente que esté presente en los servidores a los que nos conectamos. Esto es: Da igual que nuestro sistema de escritorio esté perfectamente actualizado si luego nos conectamos a una web que no lo está. El verdadero problema es saber qué webs son vulnerables y cuáles no. En resumen: Ocúpate por supuesto por la seguridad de tu sistema de escritorio, pero ocúpate mucho más por preguntarle a tu banco que si ya ha corregido este error en sus servidores. Estimado Santiago Vila, gracias por la aclaración y tu interés. -- Saludos cordiales. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/534a1f2a.1070...@gmail.com
Re: Open SSL heartbleed bug
El día 10 de abril de 2014, 15:23, Camaleón noela...@gmail.com escribió: El Wed, 09 Apr 2014 14:17:39 -0300, Mauro Antivero escribió: El 09/04/14 11:33, Jose Maldonado escribió: El 09/04/2014 10:10 a.m., Mauro Antivero escribió: Estimados, qué opinan de esto?: http://heartbleed.com/ Según parece hay un bug de seguridad muy importante en OpenSSL. Les pido disculpas, puesto que recién estoy empezando a leer, pero como es algo extremadamente importante les escribo para ver que opinan ustedes así voy leyendo dichas opiniones y vamos comentando entre todos. El error está corregido tanto en Debian Wheezy (1.0.1edeb7u5 y la actual, 1.0.1edeb7u6) como en Testing y SID (1.0.1g), toca actualizar y reiniciar servicios en pos de mantenerte seguro. Ojo con eso que no sólo hay que actualizar el paquete sino regenerar las claves que hayan sido creadas con las bibliotecas vulnerables, aunque dudo mucho que todo el mundo haga. Luego de hacer un apt-get update y un apt-get install openssl (para actualizar de momento solo este paquete) veo que la versión instala es la siguiente: 1.0.1e-2+deb7u6 Pero en este página: http://barrapunto.com/comments.pl?sid=90959cid=1358343 Dicen que las versiones 1.0.1 a 1.0.1f son vulnerables. Entonces, está mal lo que dice esta página o yo estoy interpretando mal algo? Los paquetes de Debian siguen una nomenclatura propia, por lo que tienes que fijarte en la lista de cambios que haya en cada paquete (con apt-listchanges o consultando online¹ el registro de cambios). También ayuda estar suscrito o seguir la lista de avisos de seguridad² de Debian ;-) ¹http://metadata.ftp-master.debian.org/changelogs//main/o/openssl/openssl_1.0.1e-2+deb7u6_changelog ²https://lists.debian.org/debian-security-announce/2014/msg00071.html Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/pan.2014.04.10.13.23...@gmail.com Un bug grande sin duda. Entonces Camaleón, para instalar sólo o actualizar openssl, cuáles serían los pasos a seguir?? Ya que no sólo vale actualizando openssl... Saludos. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/CAJ2aOA9T4ur76jYnYnnQ5fnfgq-jzHdJCNKcq7F1hCqcMA=z...@mail.gmail.com
Re: Open SSL heartbleed bug
Un bug grande sin duda. Entonces Camaleón, para instalar sólo o actualizar openssl, cuáles serían los pasos a seguir?? Ya que no sólo vale actualizando openssl... Saludos. Aqui tienes mas informacion sobre el bug y su parche https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=743883 Indica claramente Debian will need to patch OpenSSL in sid, jessie, and wheezy, and all keys used with vulnerable processes will need to be replaced both in Debian infrastructure and by all users of this package.
Re: Open SSL heartbleed bug
El día 11 de abril de 2014, 12:30, Ricardo Eureka! ricardoeur...@gmail.com escribió: Un bug grande sin duda. Entonces Camaleón, para instalar sólo o actualizar openssl, cuáles serían los pasos a seguir?? Ya que no sólo vale actualizando openssl... Saludos. Aqui tienes mas informacion sobre el bug y su parche https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=743883 Indica claramente Debian will need to patch OpenSSL in sid, jessie, and wheezy, and all keys used with vulnerable processes will need to be replaced both in Debian infrastructure and by all users of this package. Me gustaría subscribirme a las listas de correo de debian de seguridad, para avisos y demás. Saludos. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/caj2aoa8lnzgcx3xmaacd08eqf+fvhk4yzh0roftr7xctho4...@mail.gmail.com
Re: Open SSL heartbleed bug
Y que te lo esta impidiendo? El 11 de abril de 2014, 7:47, Maykel Franco maykeldeb...@gmail.comescribió: El día 11 de abril de 2014, 12:30, Ricardo Eureka! ricardoeur...@gmail.com escribió: Un bug grande sin duda. Entonces Camaleón, para instalar sólo o actualizar openssl, cuáles serían los pasos a seguir?? Ya que no sólo vale actualizando openssl... Saludos. Aqui tienes mas informacion sobre el bug y su parche https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=743883 Indica claramente Debian will need to patch OpenSSL in sid, jessie, and wheezy, and all keys used with vulnerable processes will need to be replaced both in Debian infrastructure and by all users of this package. Me gustaría subscribirme a las listas de correo de debian de seguridad, para avisos y demás. Saludos. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/caj2aoa8lnzgcx3xmaacd08eqf+fvhk4yzh0roftr7xctho4...@mail.gmail.com
Re: Open SSL heartbleed bug
El día 11 de abril de 2014, 12:51, Ricardo Eureka! ricardoeur...@gmail.com escribió: Y que te lo esta impidiendo? El 11 de abril de 2014, 7:47, Maykel Franco maykeldeb...@gmail.com escribió: El día 11 de abril de 2014, 12:30, Ricardo Eureka! ricardoeur...@gmail.com escribió: Un bug grande sin duda. Entonces Camaleón, para instalar sólo o actualizar openssl, cuáles serían los pasos a seguir?? Ya que no sólo vale actualizando openssl... Saludos. Aqui tienes mas informacion sobre el bug y su parche https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=743883 Indica claramente Debian will need to patch OpenSSL in sid, jessie, and wheezy, and all keys used with vulnerable processes will need to be replaced both in Debian infrastructure and by all users of this package. Me gustaría subscribirme a las listas de correo de debian de seguridad, para avisos y demás. Saludos. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/caj2aoa8lnzgcx3xmaacd08eqf+fvhk4yzh0roftr7xctho4...@mail.gmail.com Sinceramente, hay tantas de security que no sé a cual subscribirme... http://www.debian.org/MailingLists/subscribe Saludos. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/caj2aoa8yt97ecwxt0bk1kar2r2qxw49xdzyho6dsn2jmier...@mail.gmail.com
Re: Open SSL heartbleed bug
Yo no veo tantas, ademas, tambien esta claramente escrito If you're looking for security advisories from Debian, subscribe to debian-security-announce instead. Si aun asi sigues con dudas, te pido un favor: no nos vuelvas a consultar por aqui, suscribete a las que sospeches que te serviran, pruebalas durante un tiempo prudencial (1-2 semanas), quedate con la que te guste, descarta la que no, y vuelve a contar tu experiencia por aca. 2014-04-11 8:01 GMT-03:00 Maykel Franco maykeldeb...@gmail.com: El día 11 de abril de 2014, 12:51, Ricardo Eureka! ricardoeur...@gmail.com escribió: Y que te lo esta impidiendo? El 11 de abril de 2014, 7:47, Maykel Franco maykeldeb...@gmail.com escribió: El día 11 de abril de 2014, 12:30, Ricardo Eureka! ricardoeur...@gmail.com escribió: Un bug grande sin duda. Entonces Camaleón, para instalar sólo o actualizar openssl, cuáles serían los pasos a seguir?? Ya que no sólo vale actualizando openssl... Saludos. Aqui tienes mas informacion sobre el bug y su parche https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=743883 Indica claramente Debian will need to patch OpenSSL in sid, jessie, and wheezy, and all keys used with vulnerable processes will need to be replaced both in Debian infrastructure and by all users of this package. Me gustaría subscribirme a las listas de correo de debian de seguridad, para avisos y demás. Saludos. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/caj2aoa8lnzgcx3xmaacd08eqf+fvhk4yzh0roftr7xctho4...@mail.gmail.com Sinceramente, hay tantas de security que no sé a cual subscribirme... http://www.debian.org/MailingLists/subscribe Saludos. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/caj2aoa8yt97ecwxt0bk1kar2r2qxw49xdzyho6dsn2jmier...@mail.gmail.com
Re: Open SSL heartbleed bug
On Fri, Apr 11, 2014 at 01:01:06PM +0200, Maykel Franco wrote: Sinceramente, hay tantas de security que no sé a cual subscribirme... http://www.debian.org/MailingLists/subscribe Quizás en debian-security-acnnounce, ya que es donde se ha informado de la vulnerabilidad [0]. De hecho es lo que se sugiere en [1]. Y en la de Testing (debian-testing-security-announce) si usas esta rama. [0] https://lists.debian.org/debian-security-announce/2014/msg00071.html [1] https://www.debian.org/security/ -- Adrià García-Alzórriz 0x09494C14 ¿Qué es el arte? Cagarte de frio. -- Graffiti. Pintada en un banco de estación. signature.asc Description: Digital signature
Re: Open SSL heartbleed bug
El Fri, 11 Apr 2014 12:06:53 +0200, Maykel Franco escribió: El día 10 de abril de 2014, 15:23, Camaleón noela...@gmail.com escribió: El Wed, 09 Apr 2014 14:17:39 -0300, Mauro Antivero escribió: (...) Pero en este página: http://barrapunto.com/comments.pl?sid=90959cid=1358343 Dicen que las versiones 1.0.1 a 1.0.1f son vulnerables. Entonces, está mal lo que dice esta página o yo estoy interpretando mal algo? Los paquetes de Debian siguen una nomenclatura propia, por lo que tienes que fijarte en la lista de cambios que haya en cada paquete (con apt-listchanges o consultando online¹ el registro de cambios). También ayuda estar suscrito o seguir la lista de avisos de seguridad² de Debian ;-) (...) Un bug grande sin duda. Entonces Camaleón, para instalar sólo o actualizar openssl, cuáles serían los pasos a seguir?? Ya que no sólo vale actualizando openssl... Los usuarios que no tengan ningún servicio remoto con hacer un apt-get update apt-get -V upgrade es suficiente. Por ahí estoy leyendo que hay que cambiar las contraseñas de los servicios que usemos (Gmail, bancos, servicios en línea, etc...) pero me parece a mí que eso no va a servir de nada si no son los propios servicios los que nos solicitan ese cambio ya que sólo ellos saben si eran vulnerables y si han hecho ya algún cambio. Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/pan.2014.04.11.13.51...@gmail.com
Re: Open SSL heartbleed bug
Para los que les gusta jugar: https://www.cloudflarechallenge.com/heartbleed -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/53482c8b.3070...@openmailbox.org
Re: Open SSL heartbleed bug
El 09/04/14 12:47, Mauro Antivero escribió: El 09/04/14 11:33, Jose Maldonado escribió: El 09/04/2014 10:10 a.m., Mauro Antivero escribió: Estimados, qué opinan de esto?: http://heartbleed.com/ Según parece hay un bug de seguridad muy importante en OpenSSL. Les pido disculpas, puesto que recién estoy empezando a leer, pero como es algo extremadamente importante les escribo para ver que opinan ustedes así voy leyendo dichas opiniones y vamos comentando entre todos. Saludos y gracias. Mauro. El error está corregido tanto en Debian Wheezy (1.0.1edeb7u5 y la actual, 1.0.1edeb7u6) como en Testing y SID (1.0.1g), toca actualizar y reiniciar servicios en pos de mantenerte seguro. Luego de hacer un apt-get update y un apt-get install openssl (para actualizar de momento solo este paquete) veo que la versión instala es la siguiente: 1.0.1e-2+deb7u6 Pero en este página: http://barrapunto.com/comments.pl?sid=90959cid=1358343 Dicen que las versiones 1.0.1 a 1.0.1f son vulnerables. Entonces, está mal lo que dice esta página o yo estoy interpretando mal algo? Saludos y muchas gracias. Mauro. En Debian Wheezy, OpenSSL versión 1.0.1edeb7u4 era vulnerable al ataque, pero desde la versión 1.0.1edeb7u5 el bug fue parcheado, por lo que dejo de ser vulnerable. En Debian se usa una nomenclatura propia para los paquetes, y siempre que se parchea alguno por una vulnerabilidad se coloca la información en los changelog, para revisar esa información basta con ejecutar: sudo aptitude changelog openssl Esto te mostrara las cambios realizados en el paquete. -- Dios en su Cielo, todo bien en la Tierra * signature.asc Description: OpenPGP digital signature
Re: Open SSL heartbleed bug
On Wednesday 09 April 2014 14:17:39 Mauro Antivero wrote: El 09/04/14 11:33, Jose Maldonado escribió: El 09/04/2014 10:10 a.m., Mauro Antivero escribió: El error está corregido tanto en Debian Wheezy (1.0.1edeb7u5 y la actual, 1.0.1edeb7u6) como en Testing y SID (1.0.1g), toca actualizar y reiniciar servicios en pos de mantenerte seguro. Luego de hacer un apt-get update y un apt-get install openssl (para actualizar de momento solo este paquete) veo que la versión instala es la siguiente: 1.0.1e-2+deb7u6 Pero en este página: http://barrapunto.com/comments.pl?sid=90959cid=1358343 Dicen que las versiones 1.0.1 a 1.0.1f son vulnerables. Entonces, está mal lo que dice esta página o yo estoy interpretando mal algo? Cuando te surgan estas dudas lee el changelog del paquete para comprobar si se ha corregido el bug. Ten en cuenta que weezy está congelada, por lo que 1.0.1g no llegará a weezy. Lo que hace el equipo de seguridad lo que hacen es incorporar los parches de seguridad sobre los paquetes. Es la forma debian de hacer las cosas. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/2665132.4uCrrHz26A@mychabol
Re: Open SSL heartbleed bug
El Wed, 09 Apr 2014 14:17:39 -0300, Mauro Antivero escribió: El 09/04/14 11:33, Jose Maldonado escribió: El 09/04/2014 10:10 a.m., Mauro Antivero escribió: Estimados, qué opinan de esto?: http://heartbleed.com/ Según parece hay un bug de seguridad muy importante en OpenSSL. Les pido disculpas, puesto que recién estoy empezando a leer, pero como es algo extremadamente importante les escribo para ver que opinan ustedes así voy leyendo dichas opiniones y vamos comentando entre todos. El error está corregido tanto en Debian Wheezy (1.0.1edeb7u5 y la actual, 1.0.1edeb7u6) como en Testing y SID (1.0.1g), toca actualizar y reiniciar servicios en pos de mantenerte seguro. Ojo con eso que no sólo hay que actualizar el paquete sino regenerar las claves que hayan sido creadas con las bibliotecas vulnerables, aunque dudo mucho que todo el mundo haga. Luego de hacer un apt-get update y un apt-get install openssl (para actualizar de momento solo este paquete) veo que la versión instala es la siguiente: 1.0.1e-2+deb7u6 Pero en este página: http://barrapunto.com/comments.pl?sid=90959cid=1358343 Dicen que las versiones 1.0.1 a 1.0.1f son vulnerables. Entonces, está mal lo que dice esta página o yo estoy interpretando mal algo? Los paquetes de Debian siguen una nomenclatura propia, por lo que tienes que fijarte en la lista de cambios que haya en cada paquete (con apt-listchanges o consultando online¹ el registro de cambios). También ayuda estar suscrito o seguir la lista de avisos de seguridad² de Debian ;-) ¹http://metadata.ftp-master.debian.org/changelogs//main/o/openssl/openssl_1.0.1e-2+deb7u6_changelog ²https://lists.debian.org/debian-security-announce/2014/msg00071.html Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/pan.2014.04.10.13.23...@gmail.com
Open SSL heartbleed bug
Estimados, qué opinan de esto?: http://heartbleed.com/ Según parece hay un bug de seguridad muy importante en OpenSSL. Les pido disculpas, puesto que recién estoy empezando a leer, pero como es algo extremadamente importante les escribo para ver que opinan ustedes así voy leyendo dichas opiniones y vamos comentando entre todos. Saludos y gracias. Mauro. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/534554ea.20...@gmail.com
Re: Open SSL heartbleed bug
El Wed, 09 Apr 2014 11:10:50 -0300, Mauro Antivero escribió: Estimados, qué opinan de esto?: http://heartbleed.com/ Según parece hay un bug de seguridad muy importante en OpenSSL. Les pido disculpas, puesto que recién estoy empezando a leer, pero como es algo extremadamente importante les escribo para ver que opinan ustedes así voy leyendo dichas opiniones y vamos comentando entre todos. Se trata de un problema serio, no sólo por el fallo en sí mismo (permite acceder al contenido de 64 KiB de información que debería estar cifrada) sino porque afecta además a varios servicios en línea de empresas reconocidas aunque no he leído nada sobre si el error ha sido utilizado con éxito. Ayer mismo sacaron la versión corregida del paquete openssh en Debian, que por cierto, se puede actualizar en remoto, la conexión ssh no se cierra :-) Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/pan.2014.04.09.14.21...@gmail.com
Re: Open SSL heartbleed bug
El mié, 09-04-2014 a las 11:10 -0300, Mauro Antivero escribió: Estimados, qué opinan de esto?: http://heartbleed.com/ Según parece hay un bug de seguridad muy importante en OpenSSL. Les pido disculpas, puesto que recién estoy empezando a leer, pero como es algo extremadamente importante les escribo para ver que opinan ustedes así voy leyendo dichas opiniones y vamos comentando entre todos. Saludos y gracias. Mauro. en barrapunto vi un comentario interesante, a modo de resumen de como actuar: http://barrapunto.com/comments.pl?sid=90959cid=1358343 -- (-.(-.(-.(-.(-.(-.-).-).-).-).-).-) -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/1397053572.2549.1.ca...@eeepc.ucasal.ar
Re: Open SSL heartbleed bug
Saludos, Mensaje original De: Gonzalo Rivero fishfromsa...@gmail.com Fecha: Para: debian-user-spanish@lists.debian.org Asunto: Re: Open SSL heartbleed bug El mié, 09-04-2014 a las 11:10 -0300, Mauro Antivero escribió: Estimados, qué opinan de esto?: http://heartbleed.com/ Según parece hay un bug de seguridad muy importante en OpenSSL. Les pido disculpas, puesto que recién estoy empezando a leer, pero como es algo extremadamente importante les escribo para ver que opinan ustedes así voy leyendo dichas opiniones y vamos comentando entre todos. Saludos y gracias. Mauro. en barrapunto vi un comentario interesante, a modo de resumen de como actuar: http://barrapunto.com/comments.pl?sid=90959cid=1358343 -- (-.(-.(-.(-.(-.(-.-).-).-).-).-).-) Acabo de hacer varios upgrade y ya aparecen los paquetes de openssh y openssl listos para actualizar. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/1397053572.2549.1.ca...@eeepc.ucasal.ar
Re: Open SSL heartbleed bug
El 09/04/14 16:26, Gonzalo Rivero escribió: El mié, 09-04-2014 a las 11:10 -0300, Mauro Antivero escribió: Estimados, qué opinan de esto?: http://heartbleed.com/ Según parece hay un bug de seguridad muy importante en OpenSSL. Les pido disculpas, puesto que recién estoy empezando a leer, pero como es algo extremadamente importante les escribo para ver que opinan ustedes así voy leyendo dichas opiniones y vamos comentando entre todos. Saludos y gracias. Mauro. en barrapunto vi un comentario interesante, a modo de resumen de como actuar: http://barrapunto.com/comments.pl?sid=90959cid=1358343 Buenas! Ayer estuve mirando información sobre el tema porque tengo un server en producción afectado y encontré varios enlaces interesantes http://serverfault.com/questions/587329/heartbleed-what-is-it-and-what-are-options-to-mitigate-it http://security.stackexchange.com/questions/55075/does-heartbleed-mean-new-certificates-for-every-ssl-server/55087#55087 El único problema que he leído era en la lista de Debian porque apache hacía uso de un modulo que se llama mod_spdy https://lists.debian.org/debian-user/2014/04/msg00373.html Alguno habéis tenido problemas con algún servicio tras la actualización? Saludos! -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/53455eac.4040...@gmail.com
Re: Open SSL heartbleed bug
El 09/04/2014 10:10 a.m., Mauro Antivero escribió: Estimados, qué opinan de esto?: http://heartbleed.com/ Según parece hay un bug de seguridad muy importante en OpenSSL. Les pido disculpas, puesto que recién estoy empezando a leer, pero como es algo extremadamente importante les escribo para ver que opinan ustedes así voy leyendo dichas opiniones y vamos comentando entre todos. Saludos y gracias. Mauro. El error está corregido tanto en Debian Wheezy (1.0.1edeb7u5 y la actual, 1.0.1edeb7u6) como en Testing y SID (1.0.1g), toca actualizar y reiniciar servicios en pos de mantenerte seguro. -- Dios en su Cielo, todo bien en la Tierra -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/53455a4c.8050...@gmail.com
Re: Open SSL heartbleed bug
El 09/04/14 11:33, Jose Maldonado escribió: El 09/04/2014 10:10 a.m., Mauro Antivero escribió: Estimados, qué opinan de esto?: http://heartbleed.com/ Según parece hay un bug de seguridad muy importante en OpenSSL. Les pido disculpas, puesto que recién estoy empezando a leer, pero como es algo extremadamente importante les escribo para ver que opinan ustedes así voy leyendo dichas opiniones y vamos comentando entre todos. Saludos y gracias. Mauro. El error está corregido tanto en Debian Wheezy (1.0.1edeb7u5 y la actual, 1.0.1edeb7u6) como en Testing y SID (1.0.1g), toca actualizar y reiniciar servicios en pos de mantenerte seguro. Luego de hacer un apt-get update y un apt-get install openssl (para actualizar de momento solo este paquete) veo que la versión instala es la siguiente: 1.0.1e-2+deb7u6 Pero en este página: http://barrapunto.com/comments.pl?sid=90959cid=1358343 Dicen que las versiones 1.0.1 a 1.0.1f son vulnerables. Entonces, está mal lo que dice esta página o yo estoy interpretando mal algo? Saludos y muchas gracias. Mauro. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/534580b3.4040...@gmail.com
Re: Open SSL heartbleed bug
En este sitio pueden verificar si un dominio es vulnerable o no http://possible.lv/tools/hb/?domain= El 9 de abril de 2014, 11:33, Jose Maldonado josemal...@gmail.comescribió: El 09/04/2014 10:10 a.m., Mauro Antivero escribió: Estimados, qué opinan de esto?: http://heartbleed.com/ Según parece hay un bug de seguridad muy importante en OpenSSL. Les pido disculpas, puesto que recién estoy empezando a leer, pero como es algo extremadamente importante les escribo para ver que opinan ustedes así voy leyendo dichas opiniones y vamos comentando entre todos. Saludos y gracias. Mauro.
