OpenMandriva: Mageia (Mageia 9) 20/Agosto/2023 - Anuncio, Descargas.
Blogdrake recomienda descargar las imágenes de instalación (iso) vía torrent para evitar corrupción de datos, aprovechar mejor su ancho de banda y mejorar la difusión de las distribuciones.
Grave fallo de seguridad en OpenSSL para sistemas basados en Debian que podria afectar a usuarios de Mandriva
Descubierta debilidad en certificados y llaves OpenSSL en sistemas basados en Debian.
Una reciente debilidad fue encontrada en la forma en que el paquete OpenSSL de Debian ha generado llaves, lo que puede indirectamente afectar a usuarios de Mandriva. Debido a un parche aplicado al generador de números aleatorios utilizado por OpenSSL en Debian, Ubuntu, y otros sistemas basados en Debian, ciertas llaves de encriptación son mucho más comunes de lo que deberían ser. Debido a esto, un atacante puede adivinar la llave por medio de un ataque de fuerza bruta teniendo un mínimo conocimiento del sistema.
Esta debilidad en particular afecta las llaves de encriptación utilizadas por OpenSSH, OpenVPN y certificados SSL.
Mientras que el parche nunca fue aplicado al paquete OpenSSL de Mandriva, es posible que estas llaves o certificados débiles existan en sistemas Mandriva. En particular, esto podría afectar sistemas que proveen servicios SSH o VPN a muchos usuarios, algunos de los cuales pueden ser usuarios Debian o Ubuntu, resultando en la posibilidad de que estas llaves o certificados débiles existan.
Ambos, Debian y Ubuntu, han publicado avisos de seguridad conteniendo más información:
http://www.ubuntu.com/usn/usn-612-1
http://www.debian.org/security/2008/dsa-1571
Así mismo, una herramienta escrita para detectar llaves débiles ha sido puesta a disposición para ayudar en la determinación de si una de estas llaves existe en su sistema:
http://security.debian.org/project/extra/dowkd/dowkd.pl.gz
http://security.debian.org/project/extra/dowkd/dowkd.pl.gz.asc (GPG signature)
Mayor información sobre cómo implementar una restauración a un estado previo de llaves de varios paquetes será puesta en el sitio web de Debian:
http://www.debian.org/security/key-rollover/
Se recomienda que los usuarios de Mandriva que proveen servicios SSH o VPN a usuarios remotos, descargar ésta herramienta y chequear para asegurarse de que no existan llaves débiles en el sistema. También se recomienda que cualquier usuario que haya trasladado sus propias llaves o certificados desde una instalación previa de Debian o Ubuntu revisar sus llaves o certificados en máquinas locales o remotas.
De acuerdo al aviso de Debian, las llaves afectadas incluyen llaves SSH, llaves OpenVPN, llaves DNSSEC y material de llaves para uso en certificados X.509 y llaves de sesión utilizadas en conexiones SSL/TLS. Por favor notar que las llaves generadas con GnuPG o GNUTLS no son afectadas.
Ésta vulnerabilidad es rastreada en el diccionario MITRE como CVE-2008-0166.
Los equipos de seguridad de Debian y Ubuntu consideran esto como una seria vulnerabilidad y urgen a todos los usuarios a actuar inmediatamente para asegurar sus sistemas.
Éste es un aviso de seguridad publicado en Mandriva, el cual ha sido traducido por el equipo MdkTrans
Usuario
# 52091 Preocupante....
Es preocupante.... pero aclarenme.... mandriva esta basada (segùn he leido) en RedHat.... no en Debian... este fallo de seguridad no le afecta verdad????
Emuj@v
Emuj@v
"Todos somos muy ignorantes, lo que ocurre es que no todos ignoramos las mismas cosas." A. Einstein
BOFH
# 52092 Respuesta
El otro día, pregunté a los desarrolladores de Mandriva sobre este mismo tema.
La respuesta corta:
No
La respuesta larga:
Claro que NO
Salut,
Sinner
Linux User # 89976 - Blog de SinnerBOFH
Salut,
Sinner
Linux User # 89976 - Blog de SinnerBOFH
BOFH
# 52095 jajajaj
Jajajaj
¿Quien es Jesucristo?
BOFH
# 52188 Hace rato que no
Según tengo entendido, Mandriva nació cono un fork de Red Hat que usaba KDE como escritorio principal en vez de Gnome. Sin embargo, hace ya muuuchos años de eso, y hoy mandriva es ya una distro totalmente independiente.
No es así en el caso de Ubuntu, cuyos paquetes salen directamente de los de Debian, es decir, tienen una base común. A eso se refieren cuando dicen "basadas en Debian". Mandriva se basó alguna vez en Red Hat, pero hoy no.
Como dice el boletín, el fallo puede afectar a Mandriva si es que trabaja con claves generadas en algún Debian/Ubuntu o similar.
Salu2!
Jacen
BOFH y miembro del equipo MDKtrans
Linux user #294897