Debian aconseja no confiar en el dominio debian-multimedia.org

El dominio no-oficial de software de terceros "debian-multimedia.org" fue abandonado hace unos meses por sus administradores. Posteriormente, el dominio expiró y fue registrado el día 1 de enero de este año por alguien ajeno a la organización Debian y desconocido por estos.

Anteriormente el dominio era usado para apuntar al repositorio no oficial de software multimedia para Debian. Tras una discusión en la lista de mantenedores de paquetes se llegó a un acuerdo para que no se usara el dominio "debian-multimedia.org" y pasara a usarse el dominio "deb-multimedia.org".

Sin embargo, el dominio anterior podría encontrarse en la lista de fuentes de paquetes (source.list) de muchas distribuciones, sobre todo antiguas. Debido a que las intenciones del nuevo propietario del dominio no se conocen, Debian ha optado por alertar a sus usuarios e insta a borrar la entrada correspondiente en el archivo de fuentes de paquetes.

Un repositorio que se encuentre en el archivo sources.list y no sea controlado por alguien de la organización o reconocido por ellos, como es el caso, es totalmente inseguro ya que se podría utilizar para distribuir malware. Es por esto que Debian recomienda eliminar las ĺíneas concernientes a este repositorio del archivo sources.list.

En primer lugar, para comprobar si se tiene, se podría ejecutar esta orden en el terminal:

grep -i debian-multimedia.org /etc/apt/sources.list 
/etc/apt/sources.list.d/*

Si devuelve algo (debian-multimedia.org), quiere decir que existe un archivo con este repositorio en alguna de sus líneas y debería ser eliminado.

Se recuerda también que no solo la distribución Debian está afectada ya que existen multitud de distribuciones basadas en Debian que aprovechan los mismos repositorios de paquetes e incluso podrían contener la entrada mencionada en el archivo sources.list.

Más información:

Debian - Remove unofficial debian-multimedia.org repository from your sources

http://bits.debian.org/2013/06/remove-debian-multimedia.html

on package duplication between Debian and debian-multimedia

http://lists.alioth.debian.org/pipermail/pkg-multimedia-maintainers/2012-May/026944.html

Software distributions based on Debian

http://www.debian.org/misc/children-distros

David García

dgarcia@hispasec.com

Antonio Sánchez
asanchez@hispasec.com

Actualización fuera de ciclo para Java

Oracle se dispone a liberar un paquete de parches de seguridad para Java el próximo 18 de junio, fuera de su ciclo habitual cada tres meses. El motivo, como menciona Oracle, se debe a que al menos uno de los fallos está siendo activamente explotado con éxito.

37 de las 40 vulnerabilidades están calificadas con una puntuación de 10 en la escala CVSS. Es decir, su explotación conlleva la ejecución de código arbitrario en el equipo. Típicamente, las vulnerabilidades encontradas en Java son explotadas a través de applets incrustados en páginas webs comprometidas. La visita de estas páginas supone la explotación e infección de un equipo cuya versión de Java no esté actualizada o que no disponga de las políticas de restricción adecuadas que impidan la ejecución de applets no confiables.

Estas 40 vulnerabilidades se suman a las 97 que lleva corregidas en lo que va de año. Cabe recordar que 2012 se cerró con un total de 58. Oracle ya desveló un cambio en la política de seguridad concerniente a Java, tal y como dijo Nandini Ramani (Jefe del equipo de desarrollo de Java) el pasado 30 de mayo.

A Oracle le han llovido las críticas, en materia de seguridad, debido sobre todo a la demora en la publicación de parches, a no mantener una política de seguridad proactiva respecto a la búsqueda de fallos en su plataforma o la permisividad con la que se ejecutaban los applets. En cada actualización se seguridad Oracle ha ido restringiendo la ejecución de applets. Desde la eliminación de la opción "baja" en el nivel de seguridad hasta la prohibición de applets no firmados o autofirmados.

Las versiones afectadas son:

JDK y JRE 7 update 21 y anteriores.

JDK y JRE 6 update 45 y anteriores.

JDK y JRE 5.0 update 45 y anteriores.

JavaFX 2.2.21 y anteriores.

Más información:

Oracle Java SE Critical Patch Update Pre-Release Announcement - June 2013

http://www.oracle.com/technetwork/topics/security/javacpujun2013-1899847.html

Maintaining the security-worthiness of Java is Oracle’s priority

https://blogs.oracle.com/security/entry/maintaining_the_security_worthiness_of

David García

dgarcia@hispasec.com

Antonio Sánchez

asanchez@hispasec.com