OpenBSD - Dos fallos de seguridad remotos en diez años


OpenBSD, el sistema operativo derivado de Unix (perteneciente a la familia *BSD, como NetBSD o FreeBSD) se ha visto obligado a cambiar su eslogan "bandera" por segunda vez desde que orgullosos, lo colgaron bien visible en su página como símbolo de un sistema pensado para la seguridad.





OpenBSD es un sistema abierto, gratuito y de una gran calidad.
Implementa por defecto todas las medidas de seguridad imaginables,
aquellas que casi todos los otros sistemas ofrecen como complementos o
de forma opcional. Esto convierte a OpenBSD en una verdadera roca que,
nada más ser instalado, puede mantenerse más que razonablemente seguro
sin necesidad de bastionado. Además, los servicios que ofrece al
exterior en primera instancia son mínimos, manteniendo deshabilitadas
una gran cantidad de funcionalidades por defecto. Por último, sus
creadores someten al código a continuas auditorías, con la seguridad
siempre como objetivo primordial.

OpenBSD_Logo

Al poco de observar tan buenos resultados con respecto a la seguridad,
los orgullosos desarrolladores establecieron como lema de su página el
logro que estaban consiguiendo, y a mediados de 2000, se podían leer las
frases: "Tres años sin un agujero remoto en la instalación por defecto"
y "Dos años sin agujero local en la instalación por defecto" junto con
el pez globo que representa este sistema operativo. Esta última
afirmación sobre la seguridad en local (siempre más compleja) duró poco,
y para finales de ese mismo año 2000 ya había sido retirada.

En junio de 2002, cuando la frase ya hablaba de "seis años sin agujeros
remotos", el eslogan tuvo que ser modificado de nuevo. Se encontró un
grave fallo de seguridad en OpenSSH que permitía a un atacante remoto
obtener total control del sistema. Desde entonces hasta el pasado día 17
de marzo, se podía leer "sólo un agujero de seguridad en la instalación
por defecto en más de 10 años".

El problema ha surgido, no sin polémica, cuando se ha descubierto una
nueva vulnerabilidad en la pila Ipv6 de OpenBSD. Este sistema activa la
nueva versión del protocolo por defecto, de forma que era vulnerable de
forma remota. El fallo se debía a un desbordamiento de memoria
intermedia cuando se manejaban paquetes Ipv6 fragmentados. En un
principio se pensó que sólo podría provocar una denegación de servicio,
pero poco después se desarrolló una prueba de concepto que acreditaba la
posibilidad de que fuese aprovechada para ejecutar código. Al tratarse
de una versión del protocolo todavía no muy extendida, la gravedad del
problema podría verse suavizada. Un atacante debería encontrarse en una
red Ipv6 y enviar el paquete a la víctima. Muchos administradores de
OpenBSD también, muy concienciados con la seguridad, deshabilitaban este
protocolo si no iba a ser utilizado. Los descubridores del problema
hablaban de vulnerabilidad desde un principio, mientras que OpenBSD
prefirió llamarla "bug" (fallo) y más tarde "problema de estabilidad".

Aun así, con ciertas reservas, OpenBSD se ha visto obligado a modificar
su eslogan, donde ahora se puede leer "sólo dos agujeros de seguridad
remotos en la instalación por defecto en más de diez años", algo que no
todos los proyectos pueden permitirse afirmar y de lo que siguen
pudiendo sentirse orgullosos. La actual versión OpenBSD 4.0 seguirá
presentándose como uno de los sistemas más seguros para servidores,
donde la seguridad y estabilidad como objetivo primen por encima de
todo.

Más información:

OpenBSD:
http://es.wikipedia.org/wiki/OpenBSD

Report states that OpenBSD developers played down critical vulnerability
http://www.heise-security.co.uk/news/86757

Sergio de los Santos
http://www.hispasec.com



Otras noticias de interés:

Microsoft emitirá dos parches de emergencia para IE
Microsoft distribuirá mañana dos parches de emergencia antes de la fecha prevista dentro de su sistema mensual de emisión de actualizaciones de seguridad: el martes 11 de agosto. Los parches cubrirán un fallo crítico en Internet Explorer (IE) y ...
Cuidado si te etiquetan en Facebook
BitDefender ha alertado sobre un nuevo método de ataque en Facebook utilizando el etiquetado de personas en las fotos, para hacerles llegar enlaces a malware. Facebook se está convirtiendo en una de las principales vías para distribuir enlaces mal...
Cuáles objetivos serán usados por piratas informáticos en 2011?
Informes de dos multinacionales tecnológicas evalúan los ataques que realizaron los cibrecriminales durante este año y pronostican el escenario que deberán enfrentar las empresas, el Estado y los usuarios finales en el año próximo....
Desbordamiento entero en rutinas Sun RPC XDR
Gran parte de los sistemas que utilizan el sistema XDR definido por SUN son susceptibles de un ataque de desbordamiento entero que permite, bajo circunstancias propicias, que un atacante remoto mate servicios e incluso llegue a ejecutar código arbit...
Instalador de GNU/Linux desde MS-Windows
Ya es posible instalar Linux desde Windows, de forma sencilla, sin tener que configurar la BIOS del ordenador, en español e incluso sin CDROM. El proyecto instlux, que lleva ya más de medio año en marcha, ha liberado la versión 4.0 traducida al e...
VaSLibre celebrará el Software Freedom Day 2009
El próximo 19 de Septiembre 2009, 1105 equipos (teams) alrededor del mundo festejarán el Día Mundial del Software Libre. Es una reunión anual a nivel mundial donde el propósito es explicar y enseñar a la gente los beneficios que trae el uso del...
El futuro de ODF, en entredicho
La organización OpenDocument Foundation ha dejado caer una bomba sobre el futuro del formato ODF creado por OASIS y que es un estándar ISO desde hace meses: ahora resulta que no les convence, y prefieren el formato llamado CDF, de la W3C....
Actualización de seguridad Thunderbird 2.0.0.14
Se ha publicado una nueva actualización de seguridad para los usuarios de Thunderbird. La versión 2.0.0.14 incluye dos arreglos destacables...
Facebook se une a OpenID
El blog de desarrolladores de esta gigantesca red social ha sido el medio elegido para anunciar que Facebook se ha unido al consorcio OpenID que trata de implantar un sistema de autenticación universal que libere a los usuarios de los problemas actu...
¿Luis Tascón ANTI-Software Libre? (Que verguenza de diputado)
Luis Tascón prohibe entrada de Felipe Pérez Martí a Asamblea Nacional y anuncia que artículo 75 de la Ley de T.I. se redactará en privado...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • diez
  • dos
  • exploits
  • fallos
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • openbsd
  • opensource
  • pgp
  • php
  • remotos
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra