Friday, February 22, 2008

Cronometrando la seguridad

Leo en barrapunto que distrowatch ha sacado una comparativa sobre el tiempo que le ha llevado a las principales distribuciones de linux arreglar el fallo de seguridad del kernel que permitia a los usuarios locales convertirse en root. También cuentan la historia del fallo, que por lo visto se descubrió y arregló el día 8 de febrero en las listas del kernel y la primera distribución en arreglarlo fue debian el día 11 a las 13:58.
Aunque ellos cuentan el tiempo como el transcurrido desde que se publicó la versión estable del kernel que corregía el problema (2.6.24.2) hasta que el cambio se incorporaba a la distribución, lo lógico sería contarlo desde el día que se conoció la vulnerabilidad, ya que desde el 8 en adelante los sistemas eran vulnerables a un exploit conocido de manera pública. De hecho distribuciones como Arch publicaron un parche el día 10, 1 día antes del parche oficial de kernel. Gentoo aparece como que se aviso el día 13, pero en la noticia se puede leer que las versiones parcheadas se subieron el lunes, día 11, así que entre dentro de las primeras 10 horas desde la publicación oficial.
Lo más grave me parece que distros como Ubuntu, la que mas usuarios tiene y Red Hat Enterprise, de pago y dedicada a entornos profesionales, hayan tardado mas de 1 día en arreglar el fallo. Y en el caso de Ubuntu, teniendo ya los parches masticaditos en los repositorias de Debian...

No comments: