viernes, agosto 22, 2008

La seguridad de los Servidores de Fedora se vio comprometida

Si estas suscrito a la lista de fedora-ni, estarás al tanto que desde una semana atrás, las actualizaciones de fedora no ha estado funcionando bien, el día de hoy fue anunciada la causa, esto de debe a que los servidores fueron comprometidos.

Fuente de la Noticia en Ingles

Fuente en Español

La semana pasada descubrimos que algunos intrusos ingresaron a algunos servidores de Fedora de manera ilegal. Descubrimos rápidamente esto, y por eso es que dimos de baja esos servidores.

Los especialistas y administradores han estado trabajando desde entonces para analizar el ingreso, y qué tanto fue comprometido, además de reinstalar los sistemas de Fedora. Estamos utilizando este tiempo para actualizar los servidores tanto funcionalmente como para su seguridad. Seguimos trabajando, asi que sean pacientes. Cualquiera que tenga información pertinente relacionada a esto, por favor contactese con fedora-legal@redhat.com.

Uno de los servidores comprometidos era el sistema que utilizamos para firmar los paquetes de Fedora. Sin embargo, basado en nuestros esfuerzos, estamos seguros que el intruso no logró obtener la FraseSecreta que se utiliza para desatrancar la llave de Firma de Paquetes de Fedora. Basado en nuestros estudios hasta la fecha, la FraseSecreta no se utilizó durante el tiempo que se irrumpió al sistema ya que la Frase no se almacena en ningún servidor de Fedora.

Aún que no tenemos evidencia definitiva de que la llave ha sido comprometida, debido a que los paquetes están distribuidos por múltiples espejos y repositorios de terceros, hemos decidido cambiar a una nueva llave. Esto puede requerir cambios en ésos repositorios, pero comunicaremos los pasos que ayuden a los usuarios cuando estén disponibles.

Entre nuestros otros analisis, hemos revisado la colección de paquetes de Fedora, además del código fuente y no hemos encontrado discrepancias que indíquen pérdida de integridad de los mismos. Nuestros esfuerzos no han descubierto vulnerabilidades adicionales en los paquetes brindados por Fedora.

Nuestras advertencias previas de no actualizar desde los repositorios estaban basadas en prevenir, y por respeto a los usuarios (Ya que aún no sabían el daño exacto - Nushio). Es por esto que hemos decidido cambiar la llave de Firma de Paquetes. Hemos comenzado a planear e implementar otras medidas de seguridad para el futuro. En este momento, estamos seguros que hay muy poco riesgo para aquellos usuarios que quieran instalar o actualizar Fedora o sus paquetes.

Además de esto, Red Hat, Inc. ha detectado un intruso en algunos de sus sistemas, y se ha comunicado con los usuarios de Red Hat Enterprise Linux aqui
http://rhn.redhat.com/errata/RHSA-2008-0855.html. Éste aviso dice en parte “La semana pasada Red Hat ha detectado un intruso en ciertos de nuestros sistemas y tomamos acción inmediata. Mientras nuestras investigacions siguen, nuestro enfoque inicial era ver y probar el canal de distribución que utilizamos con nuestros clientes, el Red Hat Network (RHN) y todas sus medidas de seguridad. Basado en estos esfuerzos, estamos seguros que nuestros sistemas y procesos han prevenido que el acceso ilegal haya comprometido el RHN o el contenido distribuido vía RHN y creemos además que cualquiera de nuestros clientes que mantenga sus sistemas actualizados utilizando RHN no estan en riesgo. Enviamos esta alerta principalmente para aquellos que obtienen sus paquetes mediante otros canales distintos al RHN. ”

Es importante señalar que la manera en que accedieron a Fedora y Red Hat *no* fué la misma. En efecto, la llave de firmado de paquetes Fedora no esta conectada a, y es distinta a, la que se utiliza para firmar paquetes de Red Hat Enterprise Linux. Además, la llave es distinta a, y no esta conectada a, la que se utiliza para firmar los Extra Packages for Enterprise Linux (EPEL).

Continuaremos en mantener la comundiad de Fedora informada de cualquier novedad.

3 comentarios:

Agent Zed dijo...

Hola Rafa!

Agradecería que publicaras un enlace a la fuente original de la traducción: http://proyectofedora.org/mexico/2008/08/22/los-servidores-de-fedora-fueron-comprometidos

Saludos!

Agent Zed dijo...

Bueno, no salió bien el enlace. Aqui va de nuevo: Fedora México

Israel dijo...

Te escribo de FedoraBlogger Network, necesito un e-mail de contacto tuyo para enviarte un correo para entrar a formar parte de l red Internacional de Blogs sobre Fedora. Envía un correo en blanco, o con tu nombre, como quieras a: fedorabn@gmail.com

Saludos