OpenSSL han publicado un parche para dos fallos de seguridad graves en su software que podían aprovecharse para realizar ataques de denegación de servicio (DoS) y eludir la verificación de certificados.
OpenSSL es un proyecto de software libre basado en SSLeay, desarrollado por Eric Young y Tim Hudson. Consiste en un robusto paquete de herramientas de administración y bibliotecas relacionadas con la criptografía, que suministran funciones criptográficas a otros paquetes como OpenSSH y navegadores web.
Identificados como CVE-2021-3449 y CVE-2021-3450, ambas vulnerabilidades han sido parcheadas en una actualización (versión OpenSSL 1.1.1k) publicada el jueves. Mientras que CVE-2021-3449 afecta a todas las versiones de OpenSSL 1.1.1, CVE-2021-3450 afecta a las versiones de OpenSSL 1.1.1h y posteriores.
Según un aviso publicado por OpenSSL, CVE-2021-3449 se refiere a una posible vulnerabilidad de denegación de servicio (DoS) debida a la desreferenciación de punteros NULL que puede hacer que un servidor TLS de OpenSSL se cuelgue, si, en el curso de la renegociación, el cliente transmite un mensaje «ClientHello» malicioso durante el «handshake» entre el servidor y un usuario. El problema se introdujo como parte de los cambios que se remontan a enero de 2018.
CVE-2021-3450, por su parte, se refiere a un «flag» X509_V_FLAG_X509_STRICT que permite realizar comprobaciones de seguridad adicionales de los certificados presentes en una cadena de certificados. Aunque esta bandera no está activada por defecto, un error en la implementación hacía que OpenSSL no comprobara que «los certificados no CA no deben poder emitir otros certificados», lo que daba lugar a un bypass de certificados.
Como resultado, el fallo impedía que las aplicaciones rechazaran los certificados TLS que no estuvieran firmados digitalmente por una autoridad de certificación (CA) de confianza del navegador.
Aunque ninguno de los dos problemas afecta a OpenSSL 1.0.2, también hay que tener en cuenta que la versión está fuera de soporte desde el 1 de enero de 2020 y ya no recibe actualizaciones. Se recomienda a las aplicaciones que dependen de una versión vulnerable de OpenSSL que apliquen los parches para mitigar el riesgo asociado a los fallos.
Cuando necesitemos ver las IP’s que se encuentran baneadas en el server, simplemente ejecutamos el siguiente comando:
iptables -vnL
Nos aparece algo parecido a la imagen siguiente, hay que fijarse en la información que nos indica fail2ban-SERVICIO para borrar el que nos interesa.
Si nuestra intención es desbanear la IP 14.141.36.216 del servicio ssh, debemos ejecutar el siguiente comando:
iptables -D fail2ban-ssh 2
Si ven en el comando anterior pusimos el número 2 el cual nos indica que del listado queremos desbanear la línea número 2, que es donde se encuentra la IP antes mencionada.
Aquí dejaré la información con respecto a la creación de usuarios y grupos en linux, ademas todo lo que ello implica.
Creación de usuarios / useradd
Modificación de usuarios / usermod
Eliminación de usuarios / userdel
Creación de grupos / groupadd
Modificación de grupos / groupmod
Eliminación de grupos / groupdel
Añadir usuarios a un grupo / adduser
Quitar usuarios de un grupo / deluser Creación de usuarios
El comando useradd permite añadir un usuario indicando como parámetros la información particular para crear el usuario en la misma líne de comandos. La sintaxis es:
Entre las opciones que podríamos destacar tenemos:
-g: Grupo principal que queremos tenga el usuario (debe existir previamente)
-d: Carpeta home del usuario. Suele ser /home/nombre-usuario
-m: Crear carpeta home si es que no existe.
-s: Intérprete de comandos (shell) del usuario. Suele ser /bin/bash
Ejemplo, si deseamos crear un usuario llamado ‘vusano’ cuyo grupo principal sea ‘leet’, cuya carpeta home sea /home/vusano y su intérprete de comandos sea /bin/bash, ejecutaremos el siguiente comando:
Crear un usuario con carpetas propias
sudo useradd -g leet -d /home/vusano -m -s /bin/bash vusano
De esta manera habremos creado al usuario vusano y su carpeta home. Si no utilizamos la opción -m, no se creará la carpeta home del usuario; en tal caso tendríamos que crearla manualmente. Tan solo nos quedará establecer su contraseña con el comando passwd:
Establecer la contraseña del usuario
sudo passwd vusano
Entonces el sistema nos preguntará dos veces la contraseña que queremos asignar a vusano.
El comando useradd permite crear muchos usuarios automáticamente mediante archivos de comandos (scripts).
Siempre se recomienda que el nombre de usuario sea en minúsculas y además de letras también puede contener números y algún signo como guiones normales y guiones bajos. Debemos recordar que unix distingue entre mayúsculas y minúsculas, es decir, Julio es distinto de julio.
Modificación de usuarios
Se utiliza el comando usermod y permite cambiar el nombre del usuario, su carpeta home, su intérprete de comandos, los grupos a los que pertenece y algunos otros parámetros.
Cambiar el home de un usuario
sudo usermod -d /home/carpeta_vusano vusano
Eliminación de usuarios
Se realiza con el comando userdel seguido del nombre del usuario. Con la opción -r eliminará también su carpeta home, ejemplo:
Eliminación de un usuario
sudo userdel -r vusano
Eliminaría el usuario vusano y su carpeta home.
Creación de grupos
El comando groupadd permite añadir un grupo indicando como parámetro el nombre del grupo. Ejemplo, si deseamos crear un grupo llamado ‘noob’ ejecutaremos:
Añadir un grupo
sudo groupadd noobModificación de grupos
El comando groupmod permite modificar el nombre de un grupo o el gid del mismo. La sintaxis es: sudo groupmod [-g nuevo-gid] [-n nuevo-nombre] nombre-grupo, ejemplo:
Cambiar el gid del grupo leet
sudo groupmod -g 2000 leet
Eliminación de grupos
Se realiza con el comando groupdel seguido del nombre del grupo, ejemplo:
Eliminación de un grupo
sudo groupdel leet
Eliminaría el grupo leet. Si algún usuario tuviera dicho grupo como grupo primario, el comando groupdel no eliminará el grupo.
Añadir usuarios a un grupo
Se utiliza el comando adduser seguido del nombre del usuario y del nombre del grupo al que queremos añadirle, ejemplo:
Añadir a ‘vusano’ al grupo ‘leet’
sudo adduser vusano leet
Quitar usuarios de un grupo
Se utiliza el comando deluser seguido del nombre del usuario y del nombre del grupo del que queremos quitarle, ejemplo:
Quitar a ‘vusano’ del grupo ‘leet’
sudo deluser vusano leet
Si quieres ver mas información de información de todos estos comandos se puede consultar la ayuda del manual ejecutando man seguido del nombre del comando, ejemplo man adduser.
