Fedora México

Alerta Fedora!

Si has intentado accesar a los servicios de Fedora (actualizar, visitar el sitio, etc) y has notado que no todo ha estado funcionando bien, es debido a que los servidores fueron comprometidos y tuvieron que ser retirados del Internet mientras corregían los problemas. El día de hoy finalmente anunciaron todo.

Traducido de aquí.

La semana pasada descubrimos que algunos intrusos ingresaron a algunos servidores de Fedora  de manera ilegal. Descubrimos rápidamente esto, y por eso es que dimos de baja esos servidores.

Los especialistas y administradores han estado trabajando desde entonces para analizar el ingreso, y qué tanto fue comprometido, además de reinstalar los sistemas de Fedora. Estamos utilizando este tiempo para actualizar los servidores tanto funcionalmente como para su seguridad. Seguimos trabajando, asi que sean pacientes. Cualquiera que tenga información pertinente relacionada a esto, por favor contactese con fedora-legal@redhat.com.

Uno de los servidores comprometidos era el sistema que utilizamos para firmar los paquetes de Fedora. Sin embargo, basado en nuestros esfuerzos, estamos seguros que el intruso no logró obtener la FraseSecreta que se utiliza para desatrancar la llave de Firma de Paquetes de Fedora. Basado en nuestros estudios hasta la fecha, la FraseSecreta no se utilizó durante el tiempo que se irrumpió al sistema ya que la Frase no se almacena en ningún servidor de Fedora.

Aún que no tenemos evidencia definitiva de que la llave ha sido comprometida, debido a que los paquetes están distribuidos por múltiples espejos y repositorios de terceros, hemos decidido cambiar a una nueva llave. Esto puede requerir cambios en ésos repositorios, pero comunicaremos los pasos que ayuden a los usuarios cuando estén disponibles.

Entre nuestros otros analisis, hemos revisado la colección de paquetes de Fedora, además del código fuente y no hemos encontrado discrepancias que indíquen pérdida de integridad de los mismos. Nuestros esfuerzos no han descubierto vulnerabilidades adicionales en los paquetes brindados por Fedora.

Nuestras advertencias previas de no actualizar desde los repositorios estaban basadas en prevenir, y por respeto a los usuarios (Ya que aún no sabían el daño exacto – Nushio). Es por esto que hemos decidido cambiar la llave de Firma de Paquetes. Hemos comenzado a planear e implementar otras medidas de seguridad para el futuro. En este momento, estamos seguros que hay muy poco riesgo para aquellos usuarios que quieran instalar o actualizar Fedora o sus paquetes.

Además de esto, Red Hat, Inc. ha detectado un intruso en algunos de sus sistemas, y se ha comunicado con los usuarios de Red Hat Enterprise Linux aqui http://rhn.redhat.com/errata/RHSA-2008-0855.html. Éste aviso dice en parte “La semana pasada Red Hat ha detectado un intruso en ciertos de nuestros sistemas y tomamos acción inmediata. Mientras nuestras investigacions siguen, nuestro enfoque inicial era ver y probar el canal de distribución que utilizamos con nuestros clientes, el Red Hat Network (RHN) y todas sus medidas de seguridad. Basado en estos esfuerzos, estamos seguros que nuestros sistemas y procesos han prevenido que el acceso ilegal haya comprometido el RHN o el contenido distribuido vía RHN y creemos además que cualquiera de nuestros clientes que mantenga sus sistemas actualizados utilizando RHN no estan en riesgo. Enviamos esta alerta principalmente para aquellos que obtienen sus paquetes mediante otros canales distintos al RHN. ”

Es importante señalar que la manera en que accedieron a Fedora y Red Hat *no* fué la misma. En efecto, la llave de firmado de paquetes Fedora no esta conectada a, y es distinta a, la que se utiliza para firmar paquetes de Red Hat Enterprise Linux. Además, la llave es distinta a, y no esta conectada a, la que se utiliza para firmar los Extra Packages for Enterprise Linux (EPEL).

Continuaremos en mantener la comundiad de Fedora informada de cualquier novedad.

Gracias por su paciencia,
Paul W. Frields

Articulos Similares:

• Editorial: El gobierno y su “influencia”
• Desarrollar fedora 9 desde cero
• Liferea organiza tus noticias
• Por qué en Martes?
• Open Source Watershed