. O que você precisa saber sobre o bug GnuTLS Linux - Tudo Sobre Tecnologia


A crítica Linux bug que muitos estão comparando com a "Ir a falhar" problema que afligia a Apple no mês passado foi descoberto recentemente, o que levou distribuição Linux desenvolvedores de aplicativos e que lutar para incorporar um novo patch para o seu código.
O bug, que afeta a biblioteca GnuTLS para a implementação do SSL, TLS e DTLS, protocolos de segurança, pode causar software para indicar falsamente que uma ligação de comunicação em particular é seguro, quando na verdade não é. Tal como acontece com a falha da Apple, que abre a porta à exploração onde um invasor poderia secretamente interceptar e manipular a comunicação do problema do usuário foi descoberto "man-in-the-middle", durante uma auditoria de código, no mês passado. Red Hat então notificou as outras distribuições afetadas, e um patch foi lançado segunda-feira.
"Os usuários do Red Hat Enterprise Linux pode obter atualizados corrigidos pacotes GnuTLS em seu caminho habitual ou ver https://access.redhat.com/security/cve/CVE-2014-0092 links para nossos avisos ", disse Mark Cox, Vermelho diretor sênior de chapéu para a segurança do produto.

A maioria dos usuários de Linux afetados

"Há centenas de pacotes que usam as bibliotecas de criptografia GnuTLS, para praticamente todo usuário Linux é afetado", advertiu Dave Wreski, CEO da empresa de segurança de código aberto Guardião Digital , bem como fundador e desenvolvedor líder em linuxsecurity.com .
Na verdade, o erro parece ser mais de 10 anos de idade, "por isso, provavelmente, afeta todos os sistemas Linux atualmente em operação, que utiliza a biblioteca GnuTLS", ele me disse.
Entrei em contato com algumas das outras grandes distros na quarta-feira para ver quais as medidas que tomou para resolver o problema até o momento.
"Nossa equipe abordou a questão em tempo hábil", disse o porta-voz do Ubuntu Sian Aherne. "O gerente de atualização irá solicitar que os usuários de desktop sobre atualizações de segurança, e recomendamos que as pessoas que usam Ubuntu garantir seus sistemas estão atualizados para garantir que eles não são afetados."

Distros Linux saltar para a ação

Depois de notar que a Red Hat avaliado a questão como de alta gravidade , David Walser, que gerencia as atualizações de segurança para o Mageia Linux , "imediatamente embalados a atualização, usando o patch de montante", disse ele. "Um membro de nossa equipe de QA testado a atualização logo após eu construí-lo e validado a atualização, e nosso principal sysadmin-que empurra atualizações para os espelhos-lançado a atualização . "
Ao todo, "foi cerca de cinco horas a partir de quando nos tornamos conscientes do problema até que a correção foi implementada, testada e, em seguida, liberado como uma atualização de segurança", acrescentou Dave Hodgins, vice-líder da equipe de QA do Mageia.
Eu ainda não ouvi de volta a partir do Linux Mint, mas é claro que inúmeras outras distros têm emitido alertas também.

OpenSSL não afetados

É evidente que é motivo de alguma preocupação. Ao mesmo tempo, enquanto GnuTLS implementa o SSL, TLS, e DTLS comumente usado por aplicações que requerem comunicações seguras através de canais inseguros como a Internet, a biblioteca OpenSSL é realmente muito mais comum, e não é afetado por esta vulnerabilidade, Wreski apontou .
"OpenSSL é responsável pelas funções de criptografia para a grande maioria das aplicações comuns da Internet", incluindo o Firefox eo Chrome, disse ele. "Uma rápida verificação revelou que o Firefox e Chrome não são afetados por esta vulnerabilidade."
De fato, "Mageia tende a favorecer OpenSSL, então não temos muito muitos pacotes ligados a GnuTLS", disse Walser do Mageia, acrescentando que Claws Mail, FileZilla e Pidgin são os aplicativos mais criticamente afetados no distro.
Para as aplicações que são afetados, enquanto isso, "é necessário que um atacante criar um certificado digital especial que leva os usuários regulares a acreditar que está se comunicando com um site confiável, quando na verdade as suas comunicações serem interceptadas e manipuladas possibilidade, por o atacante ", explicou Wreski.
Em outras palavras, o ataque não requer apenas que o atacante gerar um certificado falso, mas também que ele ou ela estar numa posição em que o certificado falsificado pode ser inserido no fluxo de comunicações normal da vítima.

Um bug 'sutil'

Eu não pude resistir pedindo Wreski porque o erro levou tanto tempo para ser encontrada, dado o fato de que GnuTLS é um software open source, com código amplamente disponíveis para visualização.
"O código é extremamente complicado", explicou. "Mesmo que o código está disponível livremente para a revisão, apenas um seleto grupo de pessoas estariam qualificados para analisar e compreender todo o sistema bem o suficiente para pegar um bug tão sutil com precisão."
Também não é o tipo de vulnerabilidade que pode ser encontrado por ferramentas de análise automatizados, exigindo exame minucioso manual de vez, Wreski apontou.
"Eu não tenho dúvida de que, como resultado destes tipos de vulnerabilidades, análise de código e testes de ferramentas serão desenvolvidas para evitar isso no futuro", acrescentou.

Update, atualização, atualização

Nesse meio tempo, o que deve fazer para usuários de Linux ficar seguro? Basicamente, as mesmas coisas que sempre devemos fazer.
"Todo mundo deve sempre aplicar as atualizações de segurança mais recentes para o seu sistema, e garantir que eles estão usando a última versão do seu sistema operacional disponível", disse Wreski.
Os usuários de distribuições Linux atuais deverão contactar o seu fornecedor de serviços ou administrador para garantir o seu sistema é atualizado corretamente, enquanto os usuários de plataformas Linux, sem suporte mais velhos devem atualizar para as últimas aplicações de libertação ou desabilitar que apontam contra software vulnerável, ele aconselhou.
"Praticamente todas as plataformas Linux sem suporte mais velhos têm vulnerabilidades que podem ser exploradas," Wreski concluiu, "e nunca deve ser conectado a redes inseguras."
Autora: 

0 comentários Goocle+ 0 Facebook

Postar um comentário

 
Tudo Sobre Tecnologia © 2013-2020. Todos os direitos reservados. Tudo Sobre Tecnologia. Desenvolvido por TST
Topo