[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [escepticos] Hasta las narices de los usuarios de Outlook

To: escepticos en ccdis.dis.ulpgc.es
Subject: Re: [escepticos] Hasta las narices de los usuarios de Outlook
From: Miquel <miquel@...>
Date: Thu, 26 Jul 2001 02:48:08 +0200
In-reply-to: <002201c11522$9e486320$2e98d8d9 en supercable.es>
Organization: SinDominio
Reply-to: escepticos en ccdis.dis.ulpgc.es
Sender: owner-escepticos en dis.ulpgc.es
User-agent: Mutt/1.3.18i

M Dolores Moyano dijo:

> http://www.zdnet-es.com/canales/zdnn/mostrarnoticias.html?id=3183
> 
> 
> Un programa defectuoso facilita la llave a los hackers para entrar en
> ordenadores Unix
> 

[...]

> Como resultado de su vulnerabilidad, SSH permite a cualquiera acceder de
> forma remota a una cuenta que utiliza una contraseña de dos caracteres,

al menos en Debian, por defecto no es posible elegir passwords demasiado
simples (como las de dos caracteres). Tampoco es posible acceder via ssh
remoto a la cuenta de root (administrador). Por tanto esta
vulnerabilidad no afecta a la mayoría de sistemas Debian (imagino que en
otros "sabores" de linux será poco más o menos igual). Y, en el caso de un
administrador tan incauto que modificase la configuración por defecto
para permitir passwords de dos caracteres, el peligro se reduce a que
alguien consiguiese entrar con los permisos de un usuario normal. Algo
relativamente facil de detectar y que es inocuo para un sistema bien
configurado.

[...]

> Esta contraseña de dos caracteres probablemente no es para las cuentas
> más activas de los usuarios, pero sí es común para varias cuentas
> administrativas que incluyen funciones como controlar la impresora, o
> para cuentas que el administrador del sistema ha bloqueado para
> desactivar temporalmente el acceso.

al menos en Debian, las cuentas de pseudo-usuarios como las que cita o
no tienen shell o, si la tienen, está desactivada. Imposible pues
aprovechar esa vulnerabilidad de ssh con dichas cuentas.

> No obstante, SSH ha lanzado un parche de su programa, la versión 3.0.1, que
> puede ser descargada desde el sitio FTP de la compañía.
> 

exacto. A esto me refería con la ventaja del software libre en este
punto: no es que no haya problemas, pero se solucionan rapidamente: son
muchos los ojos que pueden escrutar el código, entenderlo y
solucionarlo; los parches solucionando el problema aparecen a veces a
las pocas horas, y no hay que esperar a que la compañía propietaria del
software saque una nueva versión para solucionarlo...

saludos,

m.

-- 
Miquel Vidal            | http://mi.barrapunto.com/yonderboy
miquel en sindominio.net   | http://www.laespiral.org
CSOA el Laboratorio     | Using Debian GNU/Linux 
http://sindominio.net   | GnuPG public information: pub 1024D/F724244F
Key fingerprint  =  9816 F967 FD3C A4AA DD67  0DF7 8CD0 6F1A F724 244F

References:
- Re: [escepticos] Hasta las narices de los usuarios de Outlook
  - From: "M Dolores Moyano" <mdmg99@...>

Prev by Date: Re: [escepticos] Re: Hasta las narices de los usuarios de Outlook
Next by Date: Re: [escepticos] Hasta las narices de los usuarios de Outlook
Previous by thread: Re: [escepticos] Hasta las narices de los usuarios de Outlook
Next by thread: Re: [escepticos] Hasta las narices de los usuarios de Outlook
Index(es):
- Date
- Thread