Buen día amigos.
Cada día que me levanto veo mi correo y centro mi mirada en un email en especifico y es el de UBUNTU, adivinen, jajajajaj otra vez con vulnerabilidades.
Ahora si le esta pasando lo mismo que en sus gloriosos días que al WindSucks puros bugs y vulnerabilidades diariamente.
Hoy amanecimos con dos nuevos BUGS, bueno realmente 3 pero solo hablaremos de dos que son:
Vulnerabilidades consideradas criticas---
Vulnerabilidades consideradas criticas---
Libgcrypt vulnerability y la GnuPG vulnerability
Que fueron encontradas el día 19 de agosto del 2016 y afecta a las librerías, LIBGCRYPT y GnuPG bug desde el año 1998.libgcrypt11, libgcrypt20
Esta vulnerabilidad afecta a todas las distribuciones de LINUX como UBUNTU y sus derivados:- Ubuntu 16.04 LTS
- Ubuntu 14.04 LTS
- Ubuntu 12.04 LTS
Detalles de la vulnerabilidad:
Libgcrypt genera incorrectamente números aleatorios y además Felix Dörre y Vladimir Klebanov del Instituto Karlsruhe comentan que este con este fallo un atacante que obtiene 4640 bits de la RNG puede trivialmente predecir los próximos 160 bits de salida.
Lo peor de esto es que esta vulnerabilidad catalogada como critica existe desde el año 1998, en todas las versiones de GnuPG y Libgcrypt.
Aquí amigos esto me hace recordar el hackeo que sufrió la NSA y que tenia exploits para accesar a los sistemas de cisco que datan desde el año 2013 y que eran vulnerabilidades todavía vigentes, y esta descrita lineas arriba data del año 1998.
Imagen que mas bugs existen en LINUX que no han sido reportados desde esos años.
Referencias
CVE-2016-6313
UPDATE POR FAVOR. ya en las update de linux se los pide actualizar ;p
Ahora hablemos de que son estas librerías GnuPG y LIBGCRYPT 
GnuPG como es una herramienta que ha tenido ciertos problemas en el plano técnico ha sido diseñada para su uso en situaciones con diversos
requerimientos de seguridad.
Esto complica la gestión de claves.
En el plano social, el uso de GnuPG no es estricatamente una decisión de
tipo personal.
Para que su uso tenga efectividad, GnuPG requiere que todas las partes en
una comunicación sean usuarios del programa.
En el plano legal, desde 1.999, las leyes que contemplan el uso de productos
informáticos criptológicos, y en particular si el uso de GnuPG es legal,
son diferentes según los países y están siendo actualmente debatidas por
muchos gobiernos.
- la elección del tamaño del par de claves público y privado.
- la protección de la clave privada,
- la selección de la fecha de caducidad y el uso de subclaves, y
- la gestión de la confianza entre usuarios.
Es una librería criptográfica de propósito general que esta basada en el código de GnuPG. Esta proporciona infinidad de funciones criptográficas como lo son:
- Cifrado simétrico (AES, DES
- Blowfish.
- CAST5.
- Twofish.
- Algoritmos hash (MD4, MD5, RIPE-MD160, SHA-1, SHA-224, SHA- 256, SHA-384, SHA-512, TIGRE-192, Jacuzzi).
- MAC (HMAC para todos los algoritmos hash).
- Algoritmos de clave pública (RSA, ElGamal, DSA, ECDSA).
y muchas mas funciones que podemos encontrar en estas librerías y ademas este trabaja en POSIX también podemos usarla en Windows.
-= DATOS A TOMAR EN CUENTA DE ESTA LIBRERÍA =-
Estas librerías no son distribuidas mediante el estandar GNU ya que en EUA el software del tipo criptográfico tiene muchas restricciones y solo puedes bajarla de ftps que se encuentran en Europa y sus mirror.
Buueno creo que esto es todo y esperen nuevos bugs de LINUX.
Saludos
L.i Rodolfo H. Baz
www.rodolfohbaz.net
No hay comentarios:
Publicar un comentario