[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]Hola, Como muchos de ustedes saben, hace unos dias fue descubierta una importante vulnerabilidad en OpenSSH, versiones entre 2.9 y 3.3, que otorga privilegios de superusuario con bastante facilidad. Practicamente todas las distribuciones, asi como muchos otros sistemas operativos, reaccionaron de inmediato, liberando la version 3.4, que implementa muchas correcciones, principalmente la funcionalidad 'privsep' - separacion de privilegios. RedHat decidio *no* hacerlo, pues en la configuracion por default de su distribucion no es vulnerable... Sin embargo, con alterar un poco el archivo de configuracion, o con que alguien analice el codigo y encuentre un error -algo no muy poco probable, segun los desarrolldores- en el codigo que en 3.1 sigue corriendo como root... pueden pasar cosas muy feas. Les adjunto aca un correo en el que explican esta situacion, con una liga para bajar los RPMs necesarios para actualizar a 3.4 ...Esto es, para quien me haya preguntado recientemente, un ejemplo de lo que critico del control de calidad en RH ;-) -- Gunnar Wolf - gwolf en campus iztacala unam mx - (+52-55)5623-1118 PGP key 1024D/8BB527AF 2001-10-23 Fingerprint: 0C79 D2D1 2C4E 9CE4 5973 F800 D80E F35A 8BB5 27AF ---------- Forwarded message ---------- Date: Fri, 5 Jul 2002 13:49:22 -0600 From: Kurt Seifried <openbsd en seifried org> To: jrosenberg en rossint net, misc en openbsd org Subject: Re: openssh fiasco Red Hat will not be issuing 3.3 or 3.4 rpm's for 7.x. Looks like redhat 8.0 beta is out (code named limbo), it has openssh 3.4. I have made rpm spec files available for 7.x, openssh.com does as well, redhat's 3.4 rpm's mostly work on older redhat too. This really sucks though cause the majority of redhat users are running 3.1 with a backported fix, none of the fixes in 3.3/3.4 are there, to say nothing of privsep which would protect them. I can just imagine all the crackers gleefully looking at 3.1 -> 3.4 diff files and finding exploitable problems. The reason redhat won't ship 3.4 is that it would cost a lot more then a backported 3.1 from a support point of view, and really, how many sales are they going to lose from this? I doubt very many. http://seifried.org/security/os/linux/redhat/20020701-rh7x-openssh-34.html Kurt Seifried, kurt en seifried org A15B BEE5 B391 B9AD B0EF AEB0 AD63 0B4E AD56 E574 http://seifried.org/security/ _______________________________________________ Ayuda mailing list Ayuda en linux org mx Para salir de la lista: http://mail.linux.org.mx/mailman/listinfo/ayuda/