Tag Ghost

Con algo de retraso nos hacemos eco del lanzamiento de una nueva plataforma de blogging Open Source, Ghost, que se originó a partir de una campaña de crowfunding en Kickstarter y de la que recientemente se ha lanzado la versión 1.0.

Aunque no lo parezca, Ghost es un proyecto con un largo recorrido, ya que la campaña que le dio vida se realizó hace cuatro años. Durante todo este tiempo los desarrolladores han hecho grandes esfuerzos para que todo funcionara correctamente cuando se produjera el lanzamiento de la primera versión estable, la cual está disponible desde hace un mes.

Al igual que WordPress, Ghost ofrece la posibilidad de descargar el CMS para montar un blog propio o bien contratar su servicio, el cual está alojado en el hosting de O’Nolan. Como curiosidad, la versión 1.0 ha llegado tras 2.600 commits enviados a través del sistema de control de versiones y se distribuye bajo licencia MIT.

Desde el punto de vista tecnológico, utiliza como editores un Markdown tradicional y otro nuevo basado en bloques llamado Koening, el cual permite al usuario editar las entradas de forma más limpia mediante bloques, siendo esto último una característica que usa MobileDoc y Ember.js para renderizar páginas complejas de forma rápida y fácil.

Y esto no es todo, ya que Ghost cuenta con una aplicación oficial que soporta Mac, Windows y Ubuntu de 64 bits. Por otro lado, los encargados del proyecto han iniciado un programa de periodismo con el fin de apoyar a los proveedores de contenidos.

Ghost 1.0 se presenta como una propuesta interesante dentro del mercado de los servicios de blogs, aunque está por ver si consigue hacerse hueco ante el fuerte dominio de WordPress.

Fuente: http://www.muylinux.com

GHOST, que no es un acrónimo porque se corresponde con ‘glibc gethostbyname buffer overflow‘, pero que debido a tal función -Get-HOST- recibe ese nombra tan chulo, es la última gran vulnerabilidad de Linux, informan… desde todas partes.

Según explican nuestros compañeros de MuyComputer, “este fallo de seguridad se puede explotar a través de lafunción gethostbyname de glibc, utilizada en casi todos los ordenadores Linux que está conectados en red, cuando un nodo está llamando a otro utilizando el archivo “/etc/hosts” o mediante DNS. Lo único que necesita hacer el atacante es provocar un desbordamiento de memoria utilizando un nombre de host inválido sobre el servicio de DNS. Esto hace que el atacante pueda usar el sistema a través del usuario que está ejecutando el servidor DNS, sin necesidad de saber sus credenciales…”.

Lo llamativo de esta vulnerabilidad, sobre la que se informó públicamente ayer, es que estaba en glibc desde el año 2000 y no fue resuelta hasta 2013; sin embargo, la corrección no se marcó como de seguridad, por lo que distribuciones de largo recorrido como las LTS de Ubuntu, Debian o RHEL, no aplicaron el parche.

Pero, repetimos, la vulnerabilidad se hizo pública ayer y ayer publicaban las las principales distribuciones el parche. Entonces, ¿se ha actuado en tiempo récord? Porque se trata de un agujero que llevaba más de diez años abierto y que se haya revelado ahora no significa que no pudiera haber sido descubierto -¿explotado?- con anterioridad.

Leyendo comentarios por ahí, un “bando” se queda con la premura en aplicar la actualización, el otro con la década de exposición, pero en ambos casos es un error intentar buscar paralelismos entre el software libre y el privativo, cuando en este último no es posible detectar este tipo de problemas.

Fuente: www.muycomputer.com

Investigadores de la empresa de seguridad Qualys han descubierto un importante agujero de seguridad en Linux, que ha recibido el nombre de GHOST.

El componente afectado es el GNU C Library, más conocido como glibc. Esta vulnerabilidad permite a los hackers tomar el control del sistema sin tener que saberse los usuarios o las contraseñas. Qualys ha recomendado a los desarrolladores de las distribuciones principales parchear cuanto antes este agujero de seguridad.

El problema está presente en cualquier sistema Linux que haya sido construido con glibc-2.2, que fue liberado el 10 de noviembre de 2000. La empresa de seguridad encontró que el fallofue parcheado con una corrección de errores menores liberada el 21 de mayo de 2013, entre los lanzamientos de glibc-2.17 y glibc-2.18.

Sin embargo la corrección no fue clasificada como problema de seguridad y, como resultado, muchas versiones de distribuciones de largo soporte como Debian 7, Red Hat y CentOS 5, 6 y 7 y Ubuntu LTS 12.04 y 10.04 están afectados. A estas horas los parches ya han llegado a algunas de las versiones mencionadas, y las que restan están en camino.

Este fallo de seguridad se puede explotar a través de la función gethostbyname de glibc, de ahí su nombre, GHOST (Get-HOST). Esta función se utiliza en casi todos los ordenadores Linux que está conectados en red, cuando un nodo está llamando a otro utilizando el archivo /etc/hosts o mediante DNS. Lo único que necesita hacer el atacante es provocar un desbordamiento de memoria utilizando un nombre de host inválido sobre el servicio de DNS. Esto hace que el hacker pueda usar el sistema a través del usuario que está ejecutando el servidor DNS, sin necesidad de saber sus credenciales, dejando el sistema vendido.

El alcance de GHOST puede ser similar al que tuvo en su día Heartbleed, así que habrá que esperar que los parches estén a la altura, además de que toda persona que esté ejecutando un sistema Linux, sobre todo si es un servidor de producción, debería de actualizar el sistema en cuanto los parches estén disponibles.

Fuente: www.muycomputer.com