16 de Mayo de 2008 — Manuel Delgado
Unas actualizaciones “llamativas” en mi Ubuntu me dieron qué pensar. Cuando volvà a ver las mismas actualizaciones en el portátil de mi mujer, recién instalado con Ubuntu 8.04, empecé a sospechar. Al ver la noticia en Kriptópolis, todo se confirmó: una enorme vulnerabilidad afecta al componente OpenSSL de Linux Debian y sus derivados, como Ubuntu (y sus derivados, valga la redundancia, Kubuntu, Xubuntu y Edubuntu). Otros lo llaman debilidad, pero en Kriptópolis lo llaman chapuza y, a decir verdad, estoy muy de acuerdo con el término. Es un asunto de enorme gravedad provocado por una falta absoluta de controles de calidad, tanto en OpenSSL como en Debian: un desarrollador de Debian consultó a OpenSSL si era posible comentar un par de lÃneas de código que disparaban advertencias al depurar y, desde OpenSSL, se le contestó que no habÃa mayor problema. Sólo que esas dos lÃneas de código son las que dotaban de robustez a las claves generadas; sin ellas, las claves eran tan robustas como la voluntad de un niño ante una bolsa de caramelos. Y nadie se dio cuenta durante un año y medio. Por tanto, una chapuza. Recordemos, por cierto, que ésta es la segunda vulnerabilidad ultra-crÃtica provocada por un error ridÃculo en menos de tres meses.
Leer el resto del artículo »
