Tag vulnerabilidades linux

Si no vives en una cueva y estás al día con la información tecnológica, es más que posible que ya te hayas topado con la noticia de una vulnerabilidad que afecta a casi cualquier distribución Linux y que llevaba más de doce años ahí, sin que nadie supiera de ella; una vulnerabilidad muy sencilla de explotar según los investigadores que la han descubierto, gracias a la cual un atacante podría perpetrar una escalada de privilegios y ganar permisos de administrador.

Si todavía no te habías enterado, relájate, porque las casi todas las grandes distros han emitido ya el parche que cierra el agujero. Con que tengas las actualizaciones de su sistema al día, estás cubierto.

Pero ¿en qué consiste esa vulnerabilidad, te preguntas? ¿Qué componente es el afectado? Se trata de pkexec, una de las herramientas de PolicyKit utilizada para ejecutar aplicaciones con privilegios de administrador. PolicyKit, ahora Polkit, es el componente estándar encargado de gestionar los procesos con privilegios en sistemas Linux. En todo caso, no es una parte del kernel Linux como tal, de ahí que se hable de distribuciones Linux.

Toda la información relativa a este descubrimiento está en este artículo de Qualys, compañía que ha descubierto y alertado del fallo. De hecho, ahí está toda la información, excepto un método viable para explotar el agujero, pues están esperando a que las principales distribuciones hayan lanzado sus parches.

Lo curioso del caso es que vulnerabilidad es vieja, sí, pero… ¿estaba sin descubrir? Pues no: el error no solo estaba presente en el código de pkexec desde prácticamente su primera versión, es decir, desde que la herramienta viese la luz, sino que hay un desarrollador independiente que en 2013 dio la voz de alarma, llegando incluso a enviar un parche que, por lo visto, nunca se integró.

Lo único que no consiguió el tipo fue una manera viable de explotar el agujero; o dicho con otras palabras, todo el software tiene errores, pero solo cuando esos errores suponen un riesgo para la seguridad, es cuando son denominados como vulnerabilidades. La pregunta en este caso concreto es si alguien descubrió el problema antes y se lo calló.

A saber; pero voy a aprovechar la vez para responder a una cuestión, o quizás un reproche, que nos lanzáis de vez en cuando, coincidiendo con noticias como esta, que en MuyLinux solemos pasar de largo. Pues bien, no se trata de «ocultar» los problemas de Linux, ni mucho menos: se trata de que todo el software es susceptible de padecer esta clase de inconvenientes y es información muy aburrida de cubrir, especialmente cuando no hay riesgo, sino que sirve únicamente para escribir titulares llamativos que solo confunden.

Y para muestra, un botón: este mismo que nos ocupa, porque como ocurre con el 99% de estas vulnerabilidades, esta no se puede explotar de manera remota, sino que es preciso tener acceso físico al equipo. Si a eso le sumas la noticia sale de la mano del parche, ahí está el porqué solo recogemos estas noticias de vez en cuando.

Fuente: https://www.muylinux.com/

GHOST, que no es un acrónimo porque se corresponde con ‘glibc gethostbyname buffer overflow‘, pero que debido a tal función -Get-HOST- recibe ese nombra tan chulo, es la última gran vulnerabilidad de Linux, informan… desde todas partes.

Según explican nuestros compañeros de MuyComputer, “este fallo de seguridad se puede explotar a través de lafunción gethostbyname de glibc, utilizada en casi todos los ordenadores Linux que está conectados en red, cuando un nodo está llamando a otro utilizando el archivo “/etc/hosts” o mediante DNS. Lo único que necesita hacer el atacante es provocar un desbordamiento de memoria utilizando un nombre de host inválido sobre el servicio de DNS. Esto hace que el atacante pueda usar el sistema a través del usuario que está ejecutando el servidor DNS, sin necesidad de saber sus credenciales…”.

Lo llamativo de esta vulnerabilidad, sobre la que se informó públicamente ayer, es que estaba en glibc desde el año 2000 y no fue resuelta hasta 2013; sin embargo, la corrección no se marcó como de seguridad, por lo que distribuciones de largo recorrido como las LTS de Ubuntu, Debian o RHEL, no aplicaron el parche.

Pero, repetimos, la vulnerabilidad se hizo pública ayer y ayer publicaban las las principales distribuciones el parche. Entonces, ¿se ha actuado en tiempo récord? Porque se trata de un agujero que llevaba más de diez años abierto y que se haya revelado ahora no significa que no pudiera haber sido descubierto -¿explotado?- con anterioridad.

Leyendo comentarios por ahí, un “bando” se queda con la premura en aplicar la actualización, el otro con la década de exposición, pero en ambos casos es un error intentar buscar paralelismos entre el software libre y el privativo, cuando en este último no es posible detectar este tipo de problemas.

Fuente: www.muycomputer.com

Investigadores de la empresa de seguridad Qualys han descubierto un importante agujero de seguridad en Linux, que ha recibido el nombre de GHOST.

El componente afectado es el GNU C Library, más conocido como glibc. Esta vulnerabilidad permite a los hackers tomar el control del sistema sin tener que saberse los usuarios o las contraseñas. Qualys ha recomendado a los desarrolladores de las distribuciones principales parchear cuanto antes este agujero de seguridad.

El problema está presente en cualquier sistema Linux que haya sido construido con glibc-2.2, que fue liberado el 10 de noviembre de 2000. La empresa de seguridad encontró que el fallofue parcheado con una corrección de errores menores liberada el 21 de mayo de 2013, entre los lanzamientos de glibc-2.17 y glibc-2.18.

Sin embargo la corrección no fue clasificada como problema de seguridad y, como resultado, muchas versiones de distribuciones de largo soporte como Debian 7, Red Hat y CentOS 5, 6 y 7 y Ubuntu LTS 12.04 y 10.04 están afectados. A estas horas los parches ya han llegado a algunas de las versiones mencionadas, y las que restan están en camino.

Este fallo de seguridad se puede explotar a través de la función gethostbyname de glibc, de ahí su nombre, GHOST (Get-HOST). Esta función se utiliza en casi todos los ordenadores Linux que está conectados en red, cuando un nodo está llamando a otro utilizando el archivo /etc/hosts o mediante DNS. Lo único que necesita hacer el atacante es provocar un desbordamiento de memoria utilizando un nombre de host inválido sobre el servicio de DNS. Esto hace que el hacker pueda usar el sistema a través del usuario que está ejecutando el servidor DNS, sin necesidad de saber sus credenciales, dejando el sistema vendido.

El alcance de GHOST puede ser similar al que tuvo en su día Heartbleed, así que habrá que esperar que los parches estén a la altura, además de que toda persona que esté ejecutando un sistema Linux, sobre todo si es un servidor de producción, debería de actualizar el sistema en cuanto los parches estén disponibles.

Fuente: www.muycomputer.com