Re: Open SSL heartbleed bug
El Wed, 09 Apr 2014 14:17:39 -0300, Mauro Antivero escribió:
> El 09/04/14 11:33, Jose Maldonado escribió:
>> El 09/04/2014 10:10 a.m., Mauro Antivero escribió:
>>> Estimados, qué opinan de esto?:
>>>
>>> http://heartbleed.com/
>>>
>>> Según parece hay un bug de seguridad muy importante en OpenSSL. Les
>>> pido disculpas, puesto que recién estoy empezando a leer, pero como es
>>> algo extremadamente importante les escribo para ver que opinan ustedes
>>> así voy leyendo dichas opiniones y vamos comentando entre todos.
>>>
>>>
>> El error está corregido tanto en Debian Wheezy (1.0.1edeb7u5 y la
>> actual, 1.0.1edeb7u6) como en Testing y SID (1.0.1g), toca actualizar y
>> reiniciar servicios en pos de mantenerte seguro.
Ojo con eso que no sólo hay que actualizar el paquete sino regenerar las
claves que hayan sido creadas con las bibliotecas vulnerables, aunque dudo
mucho que todo el mundo haga.
> Luego de hacer un apt-get update y un apt-get install openssl (para
> actualizar de momento solo este paquete) veo que la versión instala es
> la siguiente:
>
> 1.0.1e-2+deb7u6
>
> Pero en este página:
>
> http://barrapunto.com/comments.pl?sid=90959&cid=1358343
>
> Dicen que las versiones 1.0.1 a 1.0.1f son vulnerables. Entonces, está
> mal lo que dice esta página o yo estoy interpretando mal algo?
Los paquetes de Debian siguen una nomenclatura propia, por lo que tienes que
fijarte en la lista de cambios que haya en cada paquete (con apt-listchanges
o consultando online¹ el registro de cambios).
También ayuda estar suscrito o seguir la lista de avisos de seguridad² de
Debian ;-)
¹http://metadata.ftp-master.debian.org/changelogs//main/o/openssl/openssl_1.0.1e-2+deb7u6_changelog
²https://lists.debian.org/debian-security-announce/2014/msg00071.html
Saludos,
--
Camaleón
Reply to: