El 04/06/14 13:25, Mauro Antivero escribió:
Pido mis disculpas, el mail que acabo de mandar estaba incompleto. Acá va completo.El 04/06/14 11:09, Guido Ignacio escribió:El día 4 de junio de 2014, 10:39, Mauro Antivero <mauro.antivero@gmail.com> escribió:Estimados, estoy buscando información sobre el bug "reciente" en libgnutls(detallo el mismo más abajo), más precisamente que versiones son las afectadas y a partir de que versión está resuelto el problema.Recuerdo que cuando fue el Heart Bleed la actualización era reciente y si uno hacía un "apt-cache show openssl" en la lista de cambios de la versiónque solucionaba el problema aparecía "fix Heart Bleed bla bla bla" (norecuerdo que decía exactamente pero si que aclaraba perfectamente que el bugestaba resuelto). Si hago lo mismo ahora con libgnutls26 me sale que la última versióndisponible es la 2.12.20-8+deb7u2, que la prioridad de la actualización es"importante" pero no sale nada más. No sé si esto será porque esta actualización o bien no resuelve el bug o ya fue resuelto por una actualización anterior.Mi pregunta en concreto es (de novato en estas cuestiones): Cómo puedo hacerpara saber qué versión es la que implementa el fix en cuestión? Si es posible saberlo directamente desde la consola mejor.Ahora si, leyendo sobre el bendito bug encontré esta página (por supuestohay muchas, pero esta me pareció muy clara):http://www.etccrond.es/2014/03/fallos-en-ios-y-gnutls-y-advertencia-debian-jessie.htmlSaludos y muchas gracias. Mauro.Mauro el cve es el CVE-2014-3466 y la info y solución la tenés acá [1] Más info [2]
Bien, acá dice que el paquete gnutls26 para Debian Squeeze es vulnerable hasta la versión squeeze3 y que deja de ser vulnerable en la versión squeeze4. En resumen, Squeeze sería vulnerable si no actualizamos.[1] https://security-tracker.debian.org/tracker/CVE-2014-3466
Pero si seguimos el link a donde lleva DSA-2944-2 allí dice que Old Stable (osea Squeeze) no es vulnerable, al igual que Testing y Unstable y ahí es donde realmente me pierdo :S
Alguien me podría aclarar esto por favor?
Ahora si, completo con lo que había escrito antes, en donde pregunto como actualizar el paquete libgnutls en Squeeze (en el caso de que realmente haga falta, ya que sinceramente no termino de entender si hay que actualizar o no):[2] http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3466
Muchísimas gracias por esta info, muy clara.Ahora la pregunta obligada, tengo un par de servers con Debian Squeeze y luego de hacer un "aptitude update" la última versión que me aparece disponible es la "squeeze3".
Tengo que instalar el paquete manualmente acaso o me estoy olvidando de algo?
Saludos y gracias. Mauro.