openSUSE estrena su página de estatus con un amago de ataque
Si el pasado 11 de mayo os informábamos acerca de la nueva página de estatus de openSUSE, justo al día siguiente se anotaba el primer incidente serio en la misma: una brecha de seguridad en el sistema de autenticación del proyecto.
Así lo daban a entender en el primer mensaje con el que se dio a conocer el suceso. Según los datos disponibles en ese momento no estaba claro el alcance del problema, pero sí que no en ningún caso afectaría a los medios de descarga de las imágenes de instalación y los paquetes en línea. Por el contrario, se recomendaba el cambio de contraseña a los usuarios de OBS, la wiki, los foros y el resto de servicios ligados al sistema de autenticación global de openSUSE.
La página de estatus de openSUSE, de hecho, aún muestra la advertencia con la información del incidente, cuya resolución no llegó hasta más de dos días después. Tiempo durante el cual los servicios bajo sospecha permanecieron desconectados mientras los administradores investigaban lo ocurrido.
Ya restablecido el servicio, la actualización del estado publicada por el líder del proyecto, Richard Brown, aclara que “el apagón de la infraestructura de openSUSE fue provocado por las políticas corporativas de SUSE diseñadas para fallar por el lado de la precaución con el fin de proteger sus activos y nuestros datos”. Concluyendo que “estamos encantados de poder informar que después de una extensa revisión y auditoría de los sistemas involucrados estamos seguros de que nada fue comprometido y toda la información alojada estuvo adecuadamente protegida”.
Ya veis qué casualidades. Nada que ver con WannaCry, pero… ¿Mejor pecar de precavido? Al menos en este caso, todo parece haber quedado en un falso positivo, pero podría no haberlo sido. Y es que basta con estar conectado para estar expuesto, aunque no siempre.
En otro orden de cosas y poniendo como ejemplo una de esas vulnerabilidades solo al alcance del contacto físico, en OMG! Ubuntu! se hacen eco de una que afectaría precisamente al gestor de sesiones LightDM, solo en Ubuntu 16.10 y 17.04; así como de su solución. Sin embargo, hablamos de acceso local, por lo que las posibilidades de explotación se antojan cercanas al nulo.