Ante la vulnerabilidad presentada en Fedora, el pasado 14 de agosto Red Hat calificó el incidente como “problema en los sistemas infraestructurales”. Desde entonces, los usuarios de este sistema operativo no dejan de preguntarse por qué a la noticia se le da tal tono de seriedad.

El gerente del proyecto Fedora de la compañía del sombrero rojo, Paul Frields, aconsejó a los usuarios de esta plataforma no descargar dicho sistema operativo ni actualizar los paquetes hasta que Red Hat les comunique que todo está arreglado. Añadió que administradores y especialistas en seguridad están dedicados a solucionar el incidente y reinstalar los sistemas Fedora. “La penetración en los servidores se descubrió con rapidez y fueron desconectados de Internet… Uno de los servidores comprometidos de Fedora fue un sistema empleado para firmar paquetes de Fedora”, anunció Frields a los ocho días de haber comunicado a los usuarios que se trataba de un problema de infraestructura.

MÁS A FONDO. En la página Web donde se reportaba el problema de infraestructura, Frields comunicaba que la compañía había planeado establecer una nueva frase-contraseña en el servidor de firmas. La frase-contraseña se emplea para asegurar la clave de la firma de los paquetes, de esta manera el servidor asigna una firma digital indicando que la descarga procede de un servidor Fedora de Red Hat y no de un impostor.

“Confiamos en que el intruso no llegó a capturar la frase-contraseña usada para asegurar la clave de la firma del paquete de Fedora”, escribía Frields. Si la frase-contraseña cayó en malas manos podría ser usada para presentar como auténticas descargas fraudulentas.

Aunque Red Hat está estableciendo nuevas claves, Frields explicó que no existen pruebas definitivas de que la clave de Fedora haya quedado comprometida. “La frase-contraseña no era usada en el momento de la intrusión, ni se encuentra almacenada en ninguno de los servidores de Fedora”, dijo.

De acuerdo con el directivo, el aviso del 14 de agosto en que se aconsejaba no actualizar los sistemas de Fedora “fue una muestra de sobrada prevención y de respeto por nuestros usuarios”.

Cabe comentar que Fedora es la versión frecuentemente actualizada o “experimental” de Red Hat Linux que a menudo va muy por delante de la versión empresarial Linux, de este proveedor. El proyecto Fedora está constituido por una comunidad de colaboradores y usuarios que acostumbran actualizar los paquetes de código a base de los cuales van formando su acervo completo Linux.

De acuerdo con Frields, “cambiar la clave de firma es una precaución extremosa que puede llegar a requerir que cada administrador o propietario de un sistema Fedora siga cada uno de los pasos que se den, acerca de los cuales nosotros comunicaremos amplia y claramente”.

Los portavoces de Red Hat no detallaron cuáles podrían ser esos pasos. Sólo insistieron en que los servidores de descarga del proyecto Fedora eran distintos de los sistemas de negocio de Red Hat y del Red Hat Enterprise

Linux. “La clave de la firma de los paquetes no está conectada y es diferente de la usada para firmar los paquetes de Red Hat Enterprise Linux”, decía el mensaje enviado a todos los usuarios de la versión empresarial Linux de Red Hat.