Debian GNU/Linux Mexico

Todas las ramas del sistema Unix BSD se encuentran afectadas por un agujero de seguridad que ha estado presente en su código desde hace un cuarto de siglo sin haber sido detectado y utilizado… o al menos esto es lo que se piensa.

Guillem Alsina (guillem@imatica.org) - Todo empezó hace unos pocos días cuando Marc Balmer, desarrollador del proyecto OpenBSD, recibió un mensaje de correo electrónico de un usuario que se quejaba de un problema con Samba cuando trataba de acceder a los ficheros almacenados en un servidor Unix desde MS-DOS. Samba es la implementación del protocolo SMB para sistemas Unix (Linux, Mac OS X, Solaris,…) que permite a éste entenderse con máquinas Windows e intercambiar recursos cómo ficheros o utilizar impresoras. La tarea de Marc en OpenBSD consiste inicialmente en ocuparse de ciertos aspectos de la estabilidad del sistema cuando ejecuta cambios entre las aplicaciones que está ejecutando, pero al ser un usuario de Samba él mismo se interesó por el tema y realizó las pruebas correspondientes. Lo que descubrió a continuación ha dejado perpleja a la comunidad de desarrolladores de software.

Puesto en contacto con los desarrolladores de Samba, estos explicaron a Balmer que el código fuente utiliza una función común a todas las variantes de la rama BSD de Unix para acceder a los ficheros del servidor. Un bug presente en éste código sería el causante del fallo experimentado por el usuario.

Investigando un poco más, el programador llegó a la conclusión que el fallo había estado presente en el código desde la concepción de éste y su inclusión en la versión 4.2 de BSD en el lejano año de 1983 (lejano en términos informáticos, claro). Los detalles técnicos del problema son explicados por Balmer en su weblog[1].

En todo éste “curioso” asunto solamente queda un tema por resolver: ¿realmente el bug ha estado todo ese tiempo ahí sin ser descubierto y utilizado, o bien ha sido explotado durante algún tiempo (incluso años) por grupos de hackers/crackers sin ser descubiertos? Pese a que el bug haya podido permanecer oculto, una explotación masiva de estos agujeros de seguridad es detectable aunque sus causas puedan no ser establecidas, así es que si la comunidad hacker lo hubiera detectado con anterioridad, sin lugar a dudas hubiera salido a la luz de alguna manera. El peor temor es que lo haya aprovechado algún cracker (hacker que asalta sistemas informáticos solamente por interés propio, sin observar las reglas éticas y morales del hacking) para colarse esporádicamente en algún sistema comprometedor cómo computadoras gubernamentales o grandes servidores de Internet. Es una incógnita que probablemente estará ahí durante mucho tiempo.

Tampoco hay pruebas fehacientes de que éste bug pueda ser explotable para un ciberataque. No todos los problemas del software conllevan un problema de seguridad.

La forma de corregir éste fallo es, en palabras de Balmer, trivial, y expone la solución al final de la entrada correspondiente de su weblog[1], la misma en la que explica la historia del descubrimiento del ya famoso bug.

[1] http://www.vnode.ch/fixing_seekdir

La Universidad Jaume I ha liberado el código de CryptoApplet, un applet para la realización de firma digital avanzada en el lado del cliente a través de un navegador (soportados Internet Explorer y navegadores de la familia Mozilla bajo Linux y Windows) accediendo de forma correcta a cada almacén de certificados (como en el caso de DNI-e). Este applet es capaz de generar firmas y ofrecer su representación en PKCS#1, PKCS#7, XMLDsig, XAdES-X-L v1.1.1 (JDigiDoc de openxades), PDF y PDF con sello de tiempo. Todo el código del applet se ha liberado bajo GPLv2.

En febrero se lanzó de manera oficial Adobe AIR 1.0 en sus versiones para Windows y Mac, anunciándose que la versión para Linux estaría disponible más tarde durante este año.

De momento ya es posible empezar a probarla, ya que está disponible para descarga una versión alpha de Adobe AIR para Linux. Soporta las distribuciones RedHat, Novel Desktop, SUSE y Ubuntu 6.06, y funcion tanto con Gnome como con KDE.

Gran parte de sus características ya son funcionales, pero como es evidente, al ser una alpha, todavía hay unas cuantas que no están implementadas, como el soporte del tray, combinaciones de teclas, DRM, impresión y soporte de PDF y Flash dentro de HTML.

Al menos ya es posible empezar a probarlo y vemos que la promesa de Adobe se va a cumplir en breve, poniéndose a la cabeza en el soporte multiplataforma para aplicaciones RIA.

Fuente: Genbeta

Microsoft, que sobornó a ONG indias para que votasen a su favor, ha tenido, por segunda vez, una mala experiencia con este tipo de prácticas. El comité del Bureau of Indian Standards (BIS) votó 13 a 5 en contra del formato OOXML.

El BIS es un miembro del ISO y representa a la India en esa organización.

Paradojicamente, las entidades que votaron a favor del formato de Microsoft, dijeron que aceptar este formato traería neutralidad tecnológica y una mayor competencia (supuestamente esta haría que los precios de los bienes y servicios IT bajaran, según una organización).

Después de todo, algún efecto habrán tenido los sobornos de Microsoft, recordemos que en la primera votación, se había rechazado el formato por unanimidad.

Esta decisión llega una semana antes de la fecha final que tienen los miembros del ISO para modificar su voto, el 29 de Marzo.

Fuente: Techtear

El proyecto Debian se complace en anunciar la tercera actualización para su distribución estable Debian GNU/Linux 4.0 (codename etch). Esta actualización agrega principalmente correciones para problemas de seguridad en el release estable, junto con algunos ajustes a problemas de importancia.

Por favor notar que esta actualización no constituye una version nueva de Debian GNU/Linux 4.0 solo son actualizaciones de algunos paquetes incluidos. No hay necesidad de botar antiguos CDs o DVDs sino mas bien solo actualizar a través de ftp.debian.org luego de la instalción, para integrar estos ultimos cambios.

Para quienes frecuentemente instalan actualizaciones desde security.debian.org, no tendrán que actualizar muchos paquetes, la mayoría de estos ya se encuentran allí.

Nuevas imágenes DVD/CD incluyendo las respectivas actualizaciones estarán disponibles pronto. Actualizar a esta revisión online puede ser realizada por medio de aptitude (o apt) en cualquiera de las réplicas (aka mirrors) disponibles. Una extensa lista de estos puede ser vista aquí http://www.debian.org/mirror/list

Photoshop es el programa preferido por un gran número de profesionales del diseño gráfico. Hasta ahora no ha tenido soporte para Linux, situación que Google se propone cambiar.

Diario Ti: La carencia de una versión para Linux de Photoshop parece desmotivar a un considerable número de usuarios que consideran cambiar de sistema operativo. Aunque existen alternativas como Gimp para Linux, para la mayoría de los usuarios no se trata de una alternativa cabal.
Por largo tiempo ha sido posible ejecutar algunos programas para Windows en Linux, mediante el uso de soluciones como Wine y CrossOver de CodeWeavers. Sin embargo, hasta ahora no ha habido soporte para Photoshop.

Google es una de las compañías que usan Wine en sus propios productos, incorporando, por ejemplo, soporte para Linux en el programa para fotografías Picasa.

Dan Kegel, representante de Google, informó que la compañía había pagado a CodeWeavers, que también administran el desarrollo de Wine, por hacer posible ejecutar Photoshop de manera estable en Linux. El resultado de la labor encomendada a los desarrolladores fue aproximadamente 200 parches que han sido implementados en la versión 0.9.54 de Wine.

La compañía Adobe también ha registrado la información, aunque precisa que por ahora no tiene planes de lanzar una versión verdadera de Photoshop para Linux.