25 de agosto de 2008

Red Hat confirma el fallo de seguridad en sus servidores

Una semana después de que se anunciase una violación de seguridad en Fedora, Red Hat emitió un comunicado de seguridad que establece el cambio de la clave del sistema de firma de paquetes OpenSSH.

  • ZDNet critica la demora de ocho días en la confirmación de esta intrusión en los servidores, denominada en un principio como "un problema en los sistemas de infraestructura" y que podría haber resultado en un grave problema de seguridad.
  • Según explicó Red Hat, el intruso no logró descifrar la clave que garantiza la firma de los paquetes de Fedora y no hay pruebas de que la clave haya sido comprometida, la compañía ha decidido cambiarlas, principalmente porque los paquetes se distribuyen a través de múltiples espejos y depósitos de terceros.
  • Paralelamente al anuncio, ha liberado una actualización crítica OpenSSH y un script para comprobar si hay paquetes comprometidos.
  • Red Hat insistió en que los abonados a Red Hat Enterprise Linux no se encuentran en riesgo porque la firma es distinta a la que se utiliza con los paquetes de Fedora.

Fuente: Inforworld