You are here

La gran repercusión de Debian

Hace no mucho se publico el problema encontrado en OpenSSL de Debian. La verdad es que hay bastante información en la red y no voy a hacer hincapié en el tema:

Graves problemas en el algoritmo que genera los números aleatorios en Debian (Hispasec)

Aunque me parece interesante hacer una pequeña reflexión al comprobar la importancia de Debian, y como repercute sobre las distribuciones derivadas y aplicaciones que corren sobre él.

Se lanzó el aviso de seguridad y se liberaron a nuevos paquetes para solucionar el problema con el generador de números aleatorios predecible. Pero los usuarios de Debian son solo una parte de los afectados. También repercutirá sobre los usuarios de Ubuntu, Knoppix, Xandros, por decir algunas. Podemos ver una lista de distribuciones basadas en Debian.

Pero no estamos hablando de un bug cualquiera, el problema no afecta a una aplicación concreta. La seguridad de los sistemas encriptados está gravemente comprometido. Así que esto conllevará:

Un nuevo aviso del equipo de seguridad de Asterisk (el AST-2008-007) que afecta a usuarios de autenticación RSA para IAX2 y usuarios de DUNDi.

Es evidente que no solo Asterisk hace uso de la criptografía, sino que los servidores DNS, de correo, SSH, VPN, telnet sobre SSL, los sistemas de ficheros encriptados, kerberos, [...] no son seguros. La lista es larga.

El problema es aún más grave si se tiene en cuenta que los sistemas Debian han estado generando claves vulnerables durante dos años hasta que se ha solucionado, y por consecuente gran cantidad de sistemas han estado expuestos.

Debian: 
Asterisk: 
Qué te parece: