Ya iniciaron los problemas generados por la finalización del certificado DST Root CA X3

El día de ayer compartimos aquí en el blog la noticia sobre la terminación del certificado IdenTrust (DST Root CA X3) utilizado para firmar el certificado Let’s Encrypt CA ha provocado problemas con la validación del certificado Let’s Encrypt en proyectos que utilizan versiones anteriores de OpenSSL y GnuTLS.

Los problemas también afectaron a la biblioteca LibreSSL, cuyos desarrolladores no tuvieron en cuenta la experiencia pasada relacionada con fallas que ocurrieron después de que expiró el certificado raíz AddTrust de la autoridad de certificación Sectigo (Comodo).

Y es que en las versiones OpenSSL hasta la 1.0.2 incluida y en GnuTLS anteriores a la 3.6.14, se produjo un error que no permitía el procesamiento correcto de los certificados con firma cruzada si uno de los certificados root utilizados para la firma vencía, incluso si se mantuvieron otras válidas.

 La esencia del error es que las versiones anteriores de OpenSSL y GnuTLS analizaron el certificado como una cadena lineal, mientras que según RFC 4158, un certificado puede representar un gráfico circular distribuido dirigido con varios anclajes de confianza que deben tenerse en cuenta.

Por su parte el proyecto OpenBSD lanzó con urgencia parches para las ramas 6.8 y 6.9 hoy, que solucionan problemas en LibreSSL con la verificación de certificados con firma cruzada, uno de los certificados raíz en la cadena de confianza ha expirado. Como solución al problema, se recomienda en /etc /installurl, se cambie de HTTPS a HTTP (esto no amenaza la seguridad, ya que las actualizaciones se verifican adicionalmente mediante firma digital) o seleccione un espejo alternativo (ftp.usa.openbsd.org, ftp.hostserver.de, cdn.openbsd .org).

También se puede eliminar el certificado DST Root CA X3 caducado del archivo /etc/ssl/cert.pem, además de que la utilidad syspatch utilizada para instalar actualizaciones del sistema binario ha dejado de funcionar en OpenBSD.

Los problemas similares de DragonFly BSD ocurren cuando se trabaja con DPorts. Al iniciar el administrador de paquetes pkg, se genera un error de validación del certificado. La corrección se ha agregado a las ramas maestras, DragonFly_RELEASE_6_0 y DragonFly_RELEASE_5_8 hoy. Como solución alternativa, puede eliminar el certificado DST Root CA X3.

Algunas de las fallas que ocurrieron después de que se canceló el certificado de IdenTrust fueron las siguientes:

  • Se ha interrumpido el proceso de comprobación de los certificados Let’s Encrypt en aplicaciones basadas en la plataforma Electron. Este problema se solucionó en las actualizaciones 12.2.1, 13.5.1, 14.1.0, 15.1.0.
  • Algunas distribuciones tienen problemas para acceder a los repositorios de paquetes cuando se usa el administrador de paquetes APT incluido con versiones anteriores de la biblioteca GnuTLS.
  • Debian 9 se vio afectado por el paquete GnuTLS sin parches, lo que provocó problemas para acceder a deb.debian.org para los usuarios que no instalaron las actualizaciones a tiempo (la solución gnutls28-3.5.8-5 + deb9u6 se propuso el 17 de septiembre).
  • El cliente acme se rompió en OPNsense, el problema se informó con anticipación, pero los desarrolladores no lograron lanzar el parche a tiempo.
  • El problema afectó al paquete OpenSSL 1.0.2k en RHEL/CentOS 7, pero hace una semana para RHEL 7 y CentOS 7, se generó una actualización del paquete ca-certificate-2021.2.50-72.el7_9.noarch, a partir del cual se generó el Se eliminó el certificado IdenTrust, es decir la manifestación del problema fue bloqueada de antemano.
  • Dado que las actualizaciones se publicaron con anticipación, el problema con la verificación de los certificados Let’s Encrypt afectó solo a los usuarios de las antiguas ramas RHEL/CentOS y Ubuntu, que no instalan actualizaciones con regularidad.
  • El proceso de verificación de certificados en grpc está roto.
  • Fallo al crear la plataforma de páginas de Cloudflare.
  • Problemas de Amazon Web Services (AWS).
  • Los usuarios de DigitalOcean tienen problemas para conectarse a la base de datos.
  • Fallo en la plataforma en la nube Netlify.
  • Problemas para acceder a los servicios de Xero.
  • Falló un intento de establecer una conexión TLS con la API web de MailGun.
  • Fallos en las versiones de macOS e iOS (11, 13, 14), que teóricamente no deberían haber sido afectados por el problema.
  • Fallo en los servicios de Catchpoint.
  • Error al comprobar los certificados al acceder a la API de PostMan.
  • The Guardian Firewall se bloqueó.
  • Interrupción en la página de soporte de monday.com.
  • Choque en la plataforma Cerb.
  • No se pudo verificar el tiempo de actividad en Google Cloud Monitoring.
  • Problema con la validación de certificados en Cisco Umbrella Secure Web Gateway.
  • Problemas para conectarse a los proxies de Bluecoat y Palo Alto.
  • OVHcloud tiene problemas para conectarse a la API de OpenStack.
  • Problemas para generar informes en Shopify.
  • Hay problemas al acceder a la API de Heroku.
  • Bloqueo en Ledger Live Manager.
  • Error de validación de certificado en las herramientas de desarrollo de aplicaciones de Facebook.
  • Problemas en Sophos SG UTM.
  • Problemas con la verificación de certificados en cPanel.

Como solución alternativa, se propone eliminar el certificado «DST Root CA X3» del almacén del sistema (/etc/ca-certificates.conf y /etc/ssl/certs) y luego ejecutar el comando «update-ca -ificates -f -v «).

En CentOS y RHEL, puede agregar el certificado «DST Root CA X3» a la lista negra.

from Linux Adictos https://ift.tt/2Y9YVgG
via IFTTT

Linux Mint 20.3 tendrá el nombre en clave de «Una» y podremos descargarlo desde la nueva web ya disponible

Linux Mint 20.3 se podrá descargar desde la nueva web

Ya hace un par de meses que se confirmó que, como en años anteriores, Linux Mint 20.3 llegaría por navidad. Fue el momento en el que Clament Lefebvre nos contó que habían empezado con su desarrollo, y un mes después empezamos a conocer algunos detalles, como que se estaban preparando retoques en su interfaz de usuario. Esta tarde, el líder del equipo del sistema operativo Linux con sabor a menta nos ha contado algo más, como el nombre en clave que usará la nueva versión.

Linux Mint 20.3 tendrá el nombre en clave de «Una». Como ya nos avanzaron en agosto, llegará por navidad, y volverá a hacerlo en sabores Cinnamon (el principal), MATE y Xfce. También están trabajando en LMDE 5, la versión basada directamente en Debian, que usará el nombre en clave de «Elsie». La quinta versión de LMDE estará basada en Bullseye, se lanzará con entorno gráfico Cinnamon y soportará amd64 e i386.

Linux Mint 20.3 volverá a llegar por navidad

En cuanto a otras novedades, Clem dice que van a centrarse más en la imagen para que el sistema operativo tenga una imagen más moderna. Por ejemplo, quieren hacer las barras de título más grandes, con los botones también de mayor tamaño para que sea más agradable de ver y más fácil de hacer clic en ciertos puntos.

Un cambio que probablemente guste menos a algunos es que eliminarán algunos colores de acento o énfasis y añadirán algo de gris en las sombras. Los widgets pequeños, como los deslizadores, las casillas de verificación, las radios y el botón de cierre, seguirán ofreciendo el color de realce, mientras que el resto del tema dará un paso atrás y tendrá un aspecto más neutro que antes. Por otra parte siguen trabajando en el soporte de aplicaciones para temas oscuros.

La página web ya está terminada

Algo de lo que también nos hablaron hace meses era de la web en la que estaban trabajando. Clem dice que han tardado más de lo esperado, pero el resultado les ha dejado satisfechos. Disponible en este enlace, podemos ver como todo se ve más moderno, pero también podemos ver, o no ver, según se mire, que han eliminado los anuncios para dar una imrpesión más seria.

Así que cuando Linux Mint 20.3 «Una» llegue a su versión estable, ya podremos descargarlo desde la nueva página web. Renovarse o morir.

from Linux Adictos https://ift.tt/2Y2zygW
via IFTTT

Samsung comienza a eliminar la publicidad de sus aplicaciones

Samsung comienza a eliminar la publicidad de sus aplicaciones

En estos últimos años a muchos fabricantes les ha gustado meter publicidad en sus capas de personalización y propias aplicaciones, algo que como es lógico no nos gusta a los usuarios, pero esta tendencia podría cambiar en el futuro, ya que Samsung está dando marcha atrás con esta práctica.

Hace un par de meses se filtró que Samsung planeaba eliminar la publicidad de sus aplicaciones. Pues bien, ese día ha llegado, ya que a partir de hoy Samsung empieza a eliminar la publicidad de sus aplicaciones.


Continue reading