Descontento sobre la gestión de seguridad de los núcleos Linux


Los últimos problemas de seguridad en los núcleos Linux han puesto sobre la mesa el descontento en los procedimientos actuales de parcheo y distribución de las versiones actualizadas del Kernel.





En los últimos meses se han descubierto diversas vulnerabilidades en los núcleos Linux que, gracias a ser un sistema Open Source, han sido solucionadas, en la mayor parte de los casos, en cuestión de horas. Es decir, que los administradores preocupados han podido encontrar parches solucionando las vulnerabilidades en un corto espacio de tiempo.

No obstante, en algunos casos, esas correcciones no han estado disponibles en actualizaciones "oficiales" de los kernel hasta meses después. Esto es así porque la tendencia hasta ahora ha sido el integrar esos parches en la versión en desarrollo de los kernel, cuya fecha de publicación puede estar a semanas o meses vista.

Muchos miembros de la comunidad, incluyendo Hispasec & *Xombra Team, reclamamos que:

1. Los problemas de seguridad del kernel Linux deben ser solucionados
en el menor plazo posible, una vez descubiertos. Tanto si se trata de
vulnerabilidades accesibles desde el exterior como si requieren acceso
local, ya que se utilizan muchos sistemas Linux para dar servicio
usuarios no confiables.

2. Las actualizaciones de seguridad deben aplicarse tanto a los kernel
en desarrollo en este momento, como a los kernel en producción.

3. Se debe publicar una actualización de los kernel en producción,
solucionando exclusivamente las vulnerabilidades descritas, en el menor
plazo posible.

Es decir, si se descubre un problema de seguridad en la versión 2.4.28
del núcleo Linux, no debe ser necesario esperar a la versión 2.4.29 del
mismo para solucionar el problema, que puede suponer semanas o meses.
Antes bien, debe publicarse una versión 2.4.28.1 del kernel,
solucionando exclusivamente el problema en cuestión, sin tener que
esperar un nuevo ciclo de desarrollo completo del núcleo.

El propio Linus Torvalds aboga porque los problemas de seguridad de los
kernel se discutan de forma pública, para reducir al mínimo los retrasos
y las "excusas" a la hora de publicar una actualización. En ese sentido,
Linus es un defensor a ultranza del "Full Disclosure" de vulnerabilidades.

Solo queda esperar ver cómo evolucionan los acontecimientos, a la luz de
futuras vulnerabilidades.

Más Información:

Security Holes Draw Linux Developers' Ire
http://it.slashdot.org/article.pl?sid=05/01/10/035225

grsecurity 2.1.0 and kernel vulnerabilities
http://lwn.net/Articles/118251/

Críticas a la seguridad en Linux
http://barrapunto.com/journal.pl?op=display&uid=3721&id=9683

Torvalds on the Linux Security Process
http://linux.slashdot.org/article.pl?sid=05/01/14/1450219

Torvalds Criticizes Security Approaches
http://www.internetnews.com/dev-news/article.php/3458961

Local Root Exploit in Linux 2.4 and 2.6
http://linux.slashdot.org/article.pl?sid=05/01/07/2028203&tid=172


Fuente:
Jesús Cea Avión
hispasec.com



Otras noticias de interés:

I Encuentro Nacional de Comunidades del Software Libre
El Grupo de Usuarios de Gnu/Linux de Aragua (LUGMA) está invitando al I Encuentro Nacional de Comunidades del Software Libre, el cual se estará celebrando los días 30 de Junio y 1° de Julio de este año en la ciudad de Maracay del Estado Aragua....
MPAA: Es hora de detener la obstrucción contra SOPA
SOPA simplemente se ha parado, unos días más, quizá unas semanas, pero el debate continúa y la declaración de la Casa Blanca y posterior paralización de la Cámara de Representantes es sólo un punto y seguido en el debate. ...
SPAM por medio de la mensajería de Windows
En Windows 2000 y XP, existe un servicio denominado Mensajería de Windows (Messenger Service), que permite mostrar una ventana (del tipo pop-up, o sea que se abre sobre cualquier ventana actual), con algún tipo de mensaje, por ejemplo de alerta, ...
Malware en protectores de pantalla
Los distribuidores de malware están encontrando una vía perfecta de distribución con los contenidos relacionados con el Mundial de Fútbol....
Pastebin no quiere que hackers publiquen datos sensibles
El dueño de la página web Pastebin.com planea aumentar su plantilla para poder controlar los datos que se publican en la página. Esta web es utilizada frecuentemente por usuarios que aseguran ser miembros de grupos de hackers como Anonymous o Lulz...
Los 5 niveles de usuarios Linux
Al parecer los usuarios linux estan catalogados por niveles... Esta el que usa linux y guindo$ hasta el más radical... Una lectura interesante para que sepas en que nivel estas......
Localizando (físicamente) routers inalámbricos a partir del identificador emitido (BSSID)
Una simpática empresa denominada Skyhook lleva años pagando a gente para que realice wardriving en su nombre por todos los Estados Unidos. ...
Un código maligno puede comprometer los sistemas Windows XP y 2000
Expertos en seguridad informática han detectado en Internet un código que explota una vulnerabilidad presente en ordenadores con sistema operativo Windows XP o Windows 2000. Dos ejemplos de estos agujeros de seguridad en Windows Workstation Service...
Nueva versión Firefox 3.09
Disponible la actualización de la versión 3.09 del mejor browser, hablamos de Firefox....
El Día por la Libertad en Internet ensombrecido por la UNESCO
La polémica está presidiendo la jornada que por primera vez se celebra hoy contra los estados Enemigos de Internet, al retirar la UNESCO (ONU), su apoyo a la promoción de esta jornada, en una muestra de gran cobardía según apuntaron responsables...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • descontento
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • gestion
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • nucleos
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra