General

Sobre Security y bug reports

Después del post de ayer en el que trataba de enumerar algunos problemas actuales con Debian, quisiera comentar algo más. El 13 de Septiembre Moritz Naumann informó sobre varias vulnerabilidades en Mailman, y su correo se publicó en Bugtraq. El 15 de Septiembre le escribí al equipo de Seguridad de Debian preguntándoles si las vulnerabilidades realmente estaban presentes en la versión en Sarge (a la que se le da soporte de Seguridad) porque había tratado de replicarlas en sucre.solve.net.ve, un servidor que administro, sin éxito.

No recibí respuesta alguna, lo que motivó que suspendiera las interfaces CGI de las listas de SOLVE y restringiera un poco más el análisis de payloads en el servidor. Finalmente, luego de 21 días, el equipo de seguridad liberó 2.1.5-8sarge5 que resolvía dos de las vulnerabilidades reportadas por Naumann y que sí estaban presentes en Sarge. Afortunadamente en esta ocasión no me até de manos esperando que Debian resolviera, pero quizás algun otro usuario u organismo simplemente se hubiera esperado veinte días (inconcebible) con vulnerabilidades ahí.

Tambien sé que no es el trabajo de Security responderme mis correos y tienen mejores cosas que hacer (como liberar parches de OpenSSL) que arreglar Mailman, pero me parece que todo va dentro de la misma onda del post de ayer: mucha gente en Debian está repensando sus prioridades, mientras los usuarios están presionando y exigiendo cada vez más.

Standard

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s