La eficiencia del Software Libre a la hora de corregir problemas de seguridad
Este es un tema que surge a menudo cuando alguna compañía dedicada a las encuestas muestra un informe comparando la manera en que se resuelven problemas de seguridad dentro del mundo de Microsoft, Apple, o del Software Libre.
Por tener acceso total al código fuente, por poder modificarlo al instante y trabajar en grupos dinámicos, el mundo del software libre suele ser mucho más eficiente que el del software privativo de Microsoft y -en gran medida- de Apple y otras empresas.
Durante la pasada semana se publicaron detalles de una falla de seguridad en el Kernel Linux 2.6; técnicamente diremos que se trataba de un exploit (forma de explotar un fallo) local (sólo puede ser ejecutado teniendo acceso a la máquina localmente, no por red) producido por la llamada al sistema vmsplice().
Luego en el famoso portal Distrowatch se hizo un resumen sobre la rapidez con que diferentes distribuciones GNU/Linux resolvieron el problema, y es verdaderamente impresionante: las distros dentro del top 10 de rapidez reaccionaron todas en menos de 2 días.
La más rápida fue Debian, que publicó la solución dentro de la hora misma en que el error fue descubierto, luego le siguió en rapidez Fedora, que demoró sólo 8 horas, Slakware, 12 horas, Mandriva, 19 horas, Frugalware, 21 horas, OpenSuse, 23hs, rPath, 26hs, Red Hat Enterprise Linux, 27hs, Ubuntu, 27hs y CentOS, 37hs.
La gravedad del exploit consistía en que un usuario no administrador, es decir, sin privilegios de root, podría hacerse superusuario mediante tal técnica, con lo cual digamos que la mayoría de los sistemas GNU/Linux instalados en la actualidad están potencialmente en riesgo, pero el error no es crítico porque requiere de acceso local… si el exploit pudiera ser utilizado desde la red, sería todo un drama. De todas formas, al haber sido asegurado el kernel Linux tan rápidamente se puede estar seguro de la fiabilidad del Software Libre.
Nunca hemos visto la reparación y publicación de un parche para un exploit de un modo tan veloz en materia de software privativo.
Por Marcos Guglielmetti, el 21/02/2008.
Siguiente