Fallo en la biblioteca C de GNU que deja a miles de programas y a Linux desprotegido

Puzzle pieza suelta

Más noticias relativas a la seguridad y que salpican a Linux. No han sido los desarrolladores del kernel Linux los que han metido la pata, pero sí los desarrolladores de la biblioteca C del proyecto GNU. Y un fallo cometido en la programación de este elemento, y que usan multitud de programas (sudo, curl, ssh, apps relacionadas con Bitcoin, PHP, Python,…) y el propio Linux, así como algunos dispositivos de hardware que trabajan con sistemas operativos Linux embebidos, deja la seguridad de estos proyectos comprometida de forma seria.

El fallo permite tomar el control de los paquetes DNS cuando estos sistemas o dispositivos realizan consultas DNS, modificando dichos paquetes al antojo del atacante para conseguir desbordar el buffer del sistema y ejecutar código malicioso de forma remota para saltarse los sistemas de seguridad y poder tomar el control del objetivo víctima. El fallo no estaba presente desde hace mucho, sino que ha sido introducido con las últimas actualizaciones de la biblioteca desde el año 2008.

El fallo afecta a equipos domésticos, empresariales, servidores, routers, consolas, etc. Además de miles de programas que usan esta biblioteca para funcionar. El problema se encuentra en la función getaddrinfo(), que da lugar a un desbordamiento de buffer que permite al atacante aprovecharlo. Y si tienes una versión posterior a glibc 2.9 estás expuesto a esta amenaza, las versiones anteriores no son vulnerables… No obstante, tampoco hay que alarmarse.

Los últimos parches solucionan el problema, así que mantén tu sistema operativo y estarás a salvo de este problema. Pero el software que utilice esta biblioteca no quedará libre de la vulnerabilidad, por tanto habrá que esperar a que los desarrolladores de cada proyecto actualicen sus desarrollos (tienen que volver a compilar usando la nueva biblioteca parcheada). Además, en caso de dispositivos como routers, modems, IoT, y demás dispositivos electrónicos que usan sistemas Linux embebidos, también quedan expuestos.

Pero usuarios de Android, tranquilos, el de Google, a pesar de basarse en Linux no está afectado…


Categorías

Noticias, Software Libre
Etiquetas

Isaac P. E.

Soy un apasionado de la tecnología y me encanta compartir, pero sobre todo aprender cada día más. Me gusta todo lo que tenga que ver con la ciencia y leer sobre esta temática. En mi tiempo libre escribo un libro sobre microprocesadores, mi tema favorito. También me gusta realizar diseños electrónicos en Basic Stamp, Arduino, además me encanta jugar con Linux. Algunos de mis estudios son: - Módulo superior de electrónica y microelectrónica. - Módulo de domótica. - Experto en gestión medioambiental en la empresa. - Técnico en prevención en la industria. - Técnico en montaje y reparación de ordenadores. - Técnico en reparación de portátiles. - Técnico en redes informáticas. - Curso GNU/Linux. Otros conocimientos: inglés, ofimática, programación en diversos lenguajes (C, KOP, VHDL, PBASIC, Arduino y HTML), conocimientos avanzados de Windows y Linux,...

4 comentarios

  1.   Alguien dijo

    Ya hace algunos días que mi ubuntu se actualizó con los parches para solucionarlo.

  2.   La sombra de alguien dijo

    Desprestigio para el kernel Linux porque? o para GNU?
    Todos tenemos errores y más como desarrolladores de algún sistema o software.
    Yo no veo el desprestigio de que están hablando, es un error que ya se arreglo.
    Es mucho mejor dar a conocer los problemas que haya tanto en el kernel como en SO(GNU).
    Así cada día se hace más solido nuestro SO.

  3.   Fran dijo

    Desde que pasé a OpenBSD no miro atrás, gracias systemd :)

    1.    Rafael dijo

      No bueno, simplemente responde que con GNU/Linux no ha habido una crisis de seguridad que amenace con todo el ecosistema, en comparación a windows. Han habido errores serveramente críticos, pero en general esto no ha decaído en una crisis.

Escribe un comentario