Problema de Seguridad en Mageia Identity

Un usuario fue capaz de tener acceso a nuestra base de datos LDAP y ha publicado las direcciones de correo, los nombres, y aparentemente los hash de las contraseñas de cualquiera que se haya registrado en identity.mageia.org.

Sin embargo los hash publicados no concuerdan con los que tenemos registrados así que no esta claro que las contraseñas actuales sean las que fueron comprometidas. Como precaución todas las contraseñas se han reinicializado.

Se han añadido nuevas reglas para evitar el acceso al servidor LDAP. Los administradores de sistemas están investigando como se pudo leer esta información ya que la configuración debió de haberlo evitado.

Todas las contraseñas en el servidor LDAP de Mageia son cifradas mediante hash y salt, implicando que de haber sido expuestas, el descifrado de las contraseñas para poder ser utilizadas requerirá de bastante poder de computo para las contraseñas más complejas. A pesar de que parece que la información expuesta solo son los nombres y las direcciones de correo de los usuarios de identity.mageia.org, recomendamos ampliamente a los usuarios ser cautelosos si usaban la contraseña de su cuenta  Mageia en algún otro sitio, y recomendamos cambiar la contraseña en todos los sitios en los que la usaran.

Para acceder nuevamente a su cuenta Mageia, el enlace proporcionado a continuación deberá ser suficiente para todo usuario que no haya tenido acceso a nuestro repositorio git. El enlace para restituir su contraseña puede obtenerse requiriendo una nueva contraseña en https://identity.mageia.org/forgot_password tras lo cual recibirá un correo con un enlace.

Los usuarios que tuvieran privilegios deberán contactar a un administrador de sistemas para recuperar su acceso.

Nuestras sinceras disculpas por cualquier problema e inconveniencia que esto pudiera ocasionarle.
Publicado en Mageia, seguridad, sysadmin, usuarios | Deja un comentario

Fosdem 2018 – y una Ronda Semanal muy corta

Antes de que empecemos con el FOSDEM, nos llego una importante actualización hace pocas horas, que continua la explicación de tmb en la ronda pasada:

MGASA-2018-0125 – Paquetes actualizados del kernel corrigen vulnerabilidades de seguridad

Fecha de publicación: 11 Feb 2018
URL: https://advisories.mageia.org/MGASA-2018-0125.html
Tipo: seguridad
CVE: CVE-2017-5715, CVE-2017-5753
Descripción:

Esta actualización del kernel esta basada en la versión 4.14.18 oficial y añade soporte para la contención de  la variante 1 de Spectre  (CVE-2017-5753) y esta compilado con  gcc-5.5.0-1.mga6 que tiene capacidades de repoline, ahora se proporciona capacidades completas para la contención de la variante 2 de Spectre (CVE-2017-5715). Se ha actualizado WireGuard a la versión 0.0.20180202. Esta actualización también corrige el controlador  rtl8812au para la serie 4.14 del kernel (mga#22524). Para otras correcciones de esta actualización vea el registro de cambios( changelogs).

¡Muchas gracias a tmb y a los otros desarrolladores por su trabajo!

La próxima semana tendremos una ronda semanal más completa; ahora el FOSDEM, visto por alguien que esta presente cada año…

Mageia en el FOSDEM 2018

Desde que nació Mageia, FOSDEM ha sido un evento muy importante para nosotros. Seis ocasiones hemos tenido un puesto y nuestra Asamblea General durante el evento, siempre hemos tenido una Cena Mageia y siempre hay diferentes formas de conocer personas.

Casi no escribo esta entrada, debido a que a menos de una semana del FOSDEM, solo estaba confirmado que un miembro del consejo (akien), estaría ahí. Sin embargo, el iría principalmente por otro gran proyecto, el motor de juegos Godot. A parte de eso nuestra petición de puesto fue rechazada nuevamente.

Seis  días antes del  FOSDEM, se empezaron a añadir nombres a nuestra pagina en el wiki sobre el FOSDEM 2018. Un día después se confirmo que ennael estaría en el FOSDEM y el Miércoles el numero de miembros del consejo se incremento de  2 a 4. Solo después de eso intentamos encontrar voluntarios que nos ayudaran a organizar varias formas de reunirnos en Bruselas.

¡Nos arrepentimos de eso! – de estar consientes de que más entusiastas estarían ahí hubiéramos organizado las cosas mejor y con más tiempo.

Reunión informal

Al final hubo al menos  14 miembros de la comunidad Mageia en el FOSDEM. No pudimos reunirnos con todos, pero varios de nosotros estuvimos en una reunión informal (se esperaba que la Asamblea General se realizara posteriormente en linea mediante Mumble para que más miembros del consejo puedan participar).

Varias de las cosas que se mencionaron en la reunión informal serán repetidas en la Asamblea General, a parte de la llegada de karine como nueva contribuidora (ella sera contribuidora cuando tengamos la AG 😉 ) y de una observación que  tmb hizo a ennael después de que ella mencionara la gran cantidad que tenemos de contribuidores con problemas de salud. El dijo algo como “Mageia, la distribución para personas con problemas de salud”. Todos nos reímos, pero hay una gran verdad en ello: los contribuidores con problemas de salud son tan bienvenidos en Mageia como aquellos con perfecta salud.

Mageia no existiría si hubiera sido creada solo por personas sanas (aunque tampoco si lo hubiera sido por solo personas enfermas 😉 ). De cualquier forma si desea contribuir pero le preocupa su estado de salud: deje de preocuparse, sus contribuciones siempre serán bienvenidas. No hay cantidad mínima de trabajo para los contribuidores, encuentre  un equipo o una tarea y contribuya cuando pueda hacerlo 🙂

Cena Mageia el Sábado

Sin hacer reservaciones y tras una buen recorrido por muchos restaurantes, buscando alguno con espacio suficiente para nosotros, ocho de nosotros tuvimos una cena agradable en el restaurante halal , la “primera vez” para muchos e nosotros. Se ha convertido en una tradición ir a otro lugar tras salir del restaurante para disfrutar de un waffle . Tal vez no sea la mejor tradición considerando lo mucho que han crecido nuestros vientres.

Almuerzo Mageia el domingo

Durante la reunión informal, akien propuso lo que se puede convertir en una nueva tradición: reunirnos a desayunar el día posterior y disfrutar juntos de una cerveza. Para algunos fue más desayuno que cerveza pero de cualquier forma fue agradable tener otra oportunidad para reunirnos ya que son un puesto no hay un lugar natural para reunirse.

FOSDEM

Parece que cada año el FOSDEM esta más saturado, y cada vez más las platicas atraen a más visitantes que los que caben en el cuarto. No me fue posible ver a ovitters, quien estaba en el puesto de GNOME – estaba tan ocupado que no pude acercarme.

Uno de nuestros entusiastas que fue al FOSDEM lo encontró muy difícil:  “Debido a la gran cantidad de personas me perdí de platicas importantes a las que quería asistir ya que dejar y perturbar la platica previa para tener alguna oportunidad de llegar antes de que cierren el cuarto. Mientras que en uno de los cuartos la calidad del audio en sistema de altavoces era tan malo que no pude escuchar nada. Debido a esto detalles nunca vendré de nuevo. Estoy muy decepcionado y frustrado por haber desperdiciado mi tiempo en esto. Esto esta dirigido para los organizadores del FOSDEM, el haber disfrutado la reunión con ustedes y otros camaradas es irrelevante.”

Machas de las platicas están disponibles en video aquí: https://video.fosdem.org/2018/ y aquí https://www.youtube.com/user/fosdemtalks/videos.

Futuras reuniones de Mageia

Debido a la saturación del FOSDEM, no pudimos tener acceso a un cuarto o a un puesto, fue difícil para los entusiastas reunirse. Tal vez necesitamos considerar otro lugar para encontrarnos, una conferencia  menos saturada y mejor organizada, o incluso ¿Algo alejado de las conferencias? Su opinión es muy importante – por favor deje algún comentario o déjenos escucharlo en los foros o listas de correos.

¡Gracias a Marja por escribir esto! Esperábamos incluir algunas fotografiás pero quienes las tomaron son muy tímidos – tal vez la próxima semana…

Traducido por MDKTrans de la publicación original de Patricia Fraser

Publicado en eventos, ronda semanal, seguridad | Deja un comentario

Ronda Semanal 2018 – Semana 5

El flujo de actualizaciones disminuyo un poco esta semana:

sox (Mga 5, 6); java-1.8.0-openjdk (Mga 5,6); rsyncMga 5,6; gdk-pixbuf2.0 (Mga5) – visite Mageia Advisories para más detalles. Ademas de las 409 actualizaciones que han llegado a Cauldron ¡montones de cosas están ocurriendo!

Tras las cortinas, continuamos trabajando en el mecanismo de actualizaciones de la aplicación del panel, en correcciones adicionales para Meltdown/Spectra, y en la posible publicación de Mageia 6.1, así que pueden estar seguros de que los desarrolladores y el equipo de control de calidad están en realidad ocupados. Como de costumbre recomendamos visitar Mageia Advisories, Mageia AppDB, PkgSubmit par ver la actividad de las ultimas 48 horas, y Bugzilla para ver lo que esta ocurriendo. 

Y casi a diario surgen nuevas actualizaciones y traducciones; ¡un agradecimiento de todo corazón al equipo de traductores! quienes hacen a Mageia tan amigable a usuarios de todo el mundo.

Información provisional sobre Meltdown/Spectra

Proveniente de tmb, nuestro muy ocupado guru del kernel a quien agradecemos diariamente:

Si usted ejecuta

grep cpu_insecure /proc/cpuinfo && echo "patched" || echo "unpatched"

y obtiene

unpatched

no se preocupe – esta comprobación no es valida. El código Oficial de Linux no contiene “cpu_insecure” .

Si utiliza

   cat /proc/cpuinfo | grep bugs

y obtiene

bugs            : cpu_meltdown
bugs            : cpu_meltdown
bugs            : cpu_meltdown
bugs            : cpu_meltdown

Signifique que su CPU esta afectada por meltdown y necesita ser protegida por KTPI (Aislamiento de la Tabla de Paginas del Kernel). La única forma de deshacerse de esto es comprando hardware nuevo. Segun intel estará lanzando un nuevo procesador a finales de 2018; en cuanto a AMD y Spectre significa comprar un procesador basado en Zen2, que supuestamente estará disponible en algún momento de 2018.

Si ha estado usando https://github.com/speed47/spectre-meltdown-checker y el resultado es “not OK”:

Es algo de esperarse ya que:

1. La variante 1 de Spectre es difícil de corregir y más difícil de explotar  – en realidad necesita de actualizaciones al microcodigo,  Intel ha dificultado eso. Según Lenovo deberá haber una corrección cerca del 9 de Febrero. AMD solo distribuye oficialmente sus actualizaciones al microcodigo a los vendedores de hardware así que depende de ellos cuando los BIOS actualizados estarán disponibles o si podremos obtener el microcodigo de otra manera.

2. La variante 2 de Spectre realmente necesita del  nuevo microcodigo  y las correcciones al Kernel apenas empezaron a llegar la semana pasada, y aun tienen que ser portadas a la rama de soporte extendido (4.14). Tenemos en espera una corrección alterna con un retpoline mínimo https://bugs.mageia.org/show_bug.cgi?id=22454 (Planeo enviar esto el día de hoy en cuanto escriba el aviso). Para un retpoline completo necesitamos que el compilador lo soporte, afortunadamente conseguí algunos parches durante el Fosdem, y hora están aplicados en gcc 5.5.0 que esta en el repositorio testing, así que el próximo kernel tendrá retpoline completo.

3. Meltdown se ha mitigado desde que el kernel 4.14.13 fue anunciado en http://advisories.mageia.org/MGASA-2018-0076.html

NOTA. el Aislamiento de la Tabla de Paginas del  Kernel solo está disponible para x86_64, pero se han sugerido algunos parches para i586, y esperemos que pronto sean aprobados por los desarrolladores del kernel. Corregir meltdown no es algo fácil para 32bit debido a la división existente entre 1G y 3G de memoria que produce otras complicaciones.

Se que algunas distribuciones han “parchado por pánico” con versiones preliminares de las correcciones, pero Redhat, hasta donde se, ha tenido que retirar algunas de las correcciones para spectre ya que han causado más problemas de los que solucionan, así que he elegido confiar en código probado y aprobado por los desarrolladores.

Es por el momento en donde nos encontramos. Si los desarrolladores mantienen el ritmo actual probablemente tengamos todos los bits en su sitio en aproximadamente una semana…

¡Gracias tmb!

En otras noticias:

 Las encuestas de los premios  “Linux Question Members Choice” están activas en estos momentos. Tal vez quiera registrarse y votar por Mageia como distribución de su elección para hacer algo de ruido y publicidad a nuestra distribución favorita. Puede encontrar las encuestas en: 

https://www.linuxquestions.org/questions/2017-linuxquestions-org-members-choice-awards-126/

Si no es miembro de LinuxQuestions.org, solo tiene que registrarse y publicar un comentario en el sitio. Esto le permitirá votar en varias de las encuestas relacionadas a Linux. Pase la voz a todos los que apoyen a Mageia ¡Y hagan que su voz cuente!

Traducido por MDKTrans de la publicación original de Patricia Fraser

Publicado en QA, ronda semanal, seguridad | Deja un comentario

Ronda Semanal 2018 – Semanas 3 y 4

Una disculpa por olvidar la Ronda de la Semana 3; mientras en el hemisferio norte han estado congelándose, aquí en el hemisferio sur hemos estado cocinandonos. ¡Todo ese calor no ayuda a la concentración!

FOSDEM

Febrero es el mes del FOSDEM  – ¿Ira a Bruselas? A pesar de que este año no tendremos un puesto, amamos reunirnos en el FOSDEM. Revise la pagina Wiki del evento, y háganos saber que vendra así las reuniones y la Cena Mageia podrán organizarse.

Algunas noticias

Hemos sido informados que el servidor mirror.math.princeton.edu estará fuera de servicio y cambiado de locación a partir de  09:00 del Jueves 1 de Febrero. Se espera que este funcionando de nuevo al medio día ese mismo día. Note que su zona horaria es UTC -5, US Eastern Standard Time.

Actualizaciones – Mageia 5 y 6

Continuamos como Zeno y su tortuga, aun no terminamos de añadir actualizaciones para Mageia 5 – aun esperan algunos de los arreglos relacionados con Meltdown y Spectra. Haremos un articulo del evento para mantenerlos informados. Las actualizaciones recientes a Mageia 5 incluyen nspr, rootcerts, nss, firefox, firefox-l10n, glibc, bind, squid y gdk-pixbuf2.0. Visite Mageia Advisories para más detalles, y note que no hay actualizaciones de correción de fallos(bugfix) para  Mga5.

Una actualización para el applet para migrar de Mageia 5 a Mageia 6 esta en pruebas de control de calidad; este al pendiente de las actualizaciones de esta importante utilidad. Esperamos que facilite el cambio de 5 a 6 para aquellos que prefieran actualizar en vez de realizar una instalación limpia.

Para Mageia 6, la lista de actualizaciones de seguridad es aun más larga – webkit2, kmod-vboxadditions, kmod-virtualbox, virtualbox, graphicsmagick, nspr, rootcerts, nss, firefox, firefox-l10n, glibc, locales, systemd, bind, unbound, golang, mariadb, gdk-pixbuf2.0, gifsicle y squid. Las actualizaciones de corrección de fallos incluyen joe , mpv, radeon-firmware, ldetect-lst, libdrm, mesa, wayland-protocols, x11-driver-video-amdgpu, x11-driver-video-ati, x11-driver-video-intel, subtitlecomposer, nvidia340, smtube, smplayer, cargo y rust.

Cauldron

En las dos semanas que han pasado desde la ultima Ronda Semanal, han llegado unas asombrosas ¡939 actualizaciones de paquetes a Cauldron! tal vez los desarrolladores estén trabajando tan duro para mantenerse cálidos. Gracias a todos ellos, al equipo de control de calidad y a los traductores por su sorprendente trabajo.

Como de costumbre visite Mageia AdvisoriesMageia AppDB, PkgSubmit para ver la actividad de las ultimas 48 horas, y Bugzilla.

Actualizaciones del Wiki

Se ha realizado un montón de trabajo en el Wiki, con actualizaciones y adiciones; visite la pagina Recent Changes, donde podrá subscribirse a las fuentes Atom y recibir alertas de correo cuando se realice algún cambio.

Traducido por MDKTrans de la publicación original de Patricia Fraser

Publicado en eventos, Mageia, ronda semanal | 2 comentarios

Ronda Semanal 2018 – Semana 2

Este año definitivamente empezó con ritmo, se nos ha enviado la sorprendente cantidad de 412 paquetes – la mayoría para cauldron, algunos son las ultimas actualizaciones para Mageia 5, también hay importantes actualizaciones de seguridad para Mageia 6.

Entre esas actualizaciones están las del kernel y la de microcode – nuestros agradecimientos a tmb y a nuestros incansables desarrolladores.

Con la gran ayuda de los desarrolladores del  kernel, nuestro equipo de empaquetadores, el equipo de control de calidad y de cualquiera que se involucro en probar y publicar estas actualizaciones.

El mejor lugar para revisar la lista completa de las actualizaciones es la pagina Mageia Advisories :

Screenshot of Mageia Advisories page

Mageia Advisories ¡Esta llena de información! En el numero de aviso (la segunda columna) se le dará la información completa de cada aviso; así que al ir a MGASA-2018-0076, el aviso de la actualización más reciente al kernel para Mageia 6, se le proporciona una explicación de lo que se ha corregido y una lista de enlaces para una posterior lectura.

Screenshot of Advisory MGASA 2018-0076

Si esta más interesado en los anuncios de seguridad originales la lista de CVEs (Vulnerabilidades y Exposiciones Comunes), la columna de la derecha contiene enlaces que al visitarlos le llevara a la información del CVE. Si al igual que el CVE 2017-5715, se abarca varias correcciones en Mageia, llegara a una pagina intermedia donde todas las actualizaciones relacionadas están listadas:

Screenshot of Advisories aggregation

En esa pagina al presionar sobre la cabecera que contiene el numero del aviso

Screenshot of advisories heading

se le enviara al anuncio del CVE.

Puede mantenerse informado de los acontecido en  Mageia por el IRC o en los Foros, también en las listas de correo – son lugares muy activos en donde sera bienvenido, ¡Por favor únase!

Traducido por MDKTrans de la publicación original de Patricia Fraser

Publicado en Mageia, ronda semanal | Comentarios desactivados en Ronda Semanal 2018 – Semana 2