Los usuarios de Ubuntu Hardy se habran dado cuenta que hace poco salio una actualizacion de OpenSSL / OpenSSH que bota ventana emergente y explica de una vulnerabilidad critica encontrada en el codigo de OpenSSL que hace que el sistema estuviera bajo peligro y que las claves generadas anteriormente fueran invalidas.
Bueno, detras de todo esto hay una historia del tipico ejemplo de lo que esta dañando a la comunidad de Software Libre, la arrogancia.
La historia arranco en Abril de 2006, cuando un simple usuario de Debian encontro un warning raro con valgrind (programa para detectar complicados fallos de uso de memoria), el problema basicamente era que una variables estaba siendo utilizada sin inicializarse. La persona encargada del paquete en Debian debuggeo el error y encontro la parte del problema y la reporto a la gente de OpenSSL en la lista de distribucion openssl-dev. Algunas personas dieron su opinion y uno de los duros termino regañandolo porque la lista de distribucion openssl-dev "no es para discutir asuntos de desarrollo de openssl", quien sabe entonces porque se llamara asi porque el "dev" se asume en cualquier proyecto como "development".
Peleas por cuestiones de forma y egos a diestra y siniestra, peleas por quien sabe mas, gente nombrando normas ISO, etc, etc, etc y mientras tanto el error no fue corregido hasta dos años luego de ser reportado, un error que nos tuvo a todos los usuarios de Debian y derivados corriendo maquinas inseguras por mucho tiempo. Quien sabe cuantos habremos sido juakeados y ni nos dimos cuenta.
Aqui toda la historia en ingles:
http://lwn.net/SubscriberLink/282038/528cb5a3f2dea48f/
PD. Y por supuesto, no hay paquetes con la correccion para Dapper. Quien sabe que significara para la gente de Ubuntu que una version tenga "soporte".
Edit:
Instrucciones para verificar si su sistema tiene llaves faciles de ***************ear (o sea que tiene el problema):
http://ubuntu-tutorials.com/2008/05/13/openssh-openssh-vulnerabilities-confirm-fix-instructions/
Bueno, detras de todo esto hay una historia del tipico ejemplo de lo que esta dañando a la comunidad de Software Libre, la arrogancia.
La historia arranco en Abril de 2006, cuando un simple usuario de Debian encontro un warning raro con valgrind (programa para detectar complicados fallos de uso de memoria), el problema basicamente era que una variables estaba siendo utilizada sin inicializarse. La persona encargada del paquete en Debian debuggeo el error y encontro la parte del problema y la reporto a la gente de OpenSSL en la lista de distribucion openssl-dev. Algunas personas dieron su opinion y uno de los duros termino regañandolo porque la lista de distribucion openssl-dev "no es para discutir asuntos de desarrollo de openssl", quien sabe entonces porque se llamara asi porque el "dev" se asume en cualquier proyecto como "development".
Peleas por cuestiones de forma y egos a diestra y siniestra, peleas por quien sabe mas, gente nombrando normas ISO, etc, etc, etc y mientras tanto el error no fue corregido hasta dos años luego de ser reportado, un error que nos tuvo a todos los usuarios de Debian y derivados corriendo maquinas inseguras por mucho tiempo. Quien sabe cuantos habremos sido juakeados y ni nos dimos cuenta.
Aqui toda la historia en ingles:
http://lwn.net/SubscriberLink/282038/528cb5a3f2dea48f/
PD. Y por supuesto, no hay paquetes con la correccion para Dapper. Quien sabe que significara para la gente de Ubuntu que una version tenga "soporte".
Edit:
Instrucciones para verificar si su sistema tiene llaves faciles de ***************ear (o sea que tiene el problema):
http://ubuntu-tutorials.com/2008/05/13/openssh-openssh-vulnerabilities-confirm-fix-instructions/