SOLUCIÓN A GRAVE AGUJERO DE SEGURIDAD DE DEEPIN 20.2.2

Iconos creados por Freepik de Flaticon

El equipo de Deepin en Español ha detectado un grave agujero de seguridad en Deepin 20.2.2, que fue liberado el pasado lunes 28 de junio (29 de junio en China). Esta falla ha sido reportada al equipo de desarrollo de Deepin y están trabajando en una solución, aunque no han notificado cuándo publicarán esta solución.

Pero dada la gravedad de la falla hemos tomado la iniciativa de elaborar una solución mientras tanto.

¿EN QUÉ CONSISTE LA FALLA?

Revisando los permisos de los archivos del sistema, detectamos que los archivos del kernel 5.10.36 y 5.12.9, publicados en Deepin 20.2.2, tienen como propietario al usuario de escritorio. Eso permite que cualquier atacante, aún sin acceso al superusuario, pueda modificar los archivos y carpetas del kernel, teniendo la posibilidad desde borrar archivos esenciales para el funcionamiento del kernel y todo el sistema, pasando por reemplazar los archivos por archivos con malware, hasta inyectar código malicioso, obteniendo control completo del sistema.

Además confirmamos que esta falla no solo afecta a los sistemas que actualizan desde versiones anteriores de Deepin, sino que también afecta a las instalaciones desde cero realizadas con la ISO de Deepin 20.2.2.

La causa de este problema es el empaquetamiento inadecuado de los paquetes linux-image-5.10.36-amd64-desktop y linux-image-5.12.9-amd64-desktop que se usan para instalar el kernel.

SOLUCIÓN

La solución que el equipo de Deepin en Español ha escogido, es buscar los archivos del kernel con el usuario de escritorio como propietario, y corregir los permisos al estándar de GNU/Linux, asignado como propietario al usuario y grupo a root, de manera que solo el superusuario pueda modificarlos.

Aplicar esta solución es muy sencillo, simplemente instale desde la Tienda Deepines el paquete «deepines-security-patch». Usando la caja de búsqueda, busque «deepines» y en los resultados podrá seleccionarlo fácilmente para instalarlo.

Tienda Deepines

También puede instalar «deepines-security-patch» desde la terminal ejecutando el siguiente comando.

sudo apt update && sudo apt install deepines-security-patch

Si aún no ha instalado la Tienda Deepines, a continuación facilitamos el botón de descarga.

CONCLUSIONES

Sinceramente esperamos que este tipo de fallas no vuelvan a pasar, es bastante decepcionante que esto haya pasado, Wuhan Deepin Technology debe mejorar sus controles de calidad sustancialmente. 

Es un golpe a la confianza de los usuarios, y aunque Deepin, como empresa privada, regala generosamente su software a la comunidad, permitiéndonos disfrutar de un escritorio y aplicaciones agradables y fáciles de usar de manera gratuita; como comunidad, nuestra contribución es ayudar a mejorar ese software proporcionando retroalimentación y ofreciendo soluciones dentro de nuestras posibilidades, eso incluye indicar las fallas y exigir buena calidad, desde la parte estética hasta la seguridad, pero siempre en el ánimo de construir juntos.

4.4 14 votos
Califica el Artículo
 
Subscribete
Notificar de
16 Reacciones
Más populares
Más nuevos Más antiguos
Opinión desde el articulo
Ver todos los comentarios
profiler 2.0
profiler 2.0 (@profiler-2-0)
Autor
1 mes atrás

gracias por el trabajo a mi aun no me llega la actualización, pero es bueno ya estar informado.

Emiliano Masochi
Emiliano Masochi (@emilianomasochi)
Miembro
1 mes atrás

Gracias!!!

@H4NGK
@H4NGK (@h4ngk)
Autor
1 mes atrás

Excelente Isaías, un gran aporte en la parte de la seguridad digital. +1

JJJCarlos2
JJJCarlos2 (@jjjcarlos2)
Miembro
1 mes atrás

Ese problema es solo para los que tengan esos  iconos Freepik de Flaticon?.
Por cierto,hoy he recibido una actualizacion muy pequeña del parche del sistema,soluciona ese problema?.
Saludos.
 

yasmani perez
yasmani perez (@yasmaniperez)
Miembro
1 mes atrás

Hola todos, quizas este off topic pero no he encontrado lo q me esta pasando despues del upgrade a 20.2.2 pues nada q el sistema se queda en el grub command line. si entro al seleccionar la particion en el bios pues selecciono la q se tiene mi root directorio y logro entrar…una vez dentro corri sudo grub-update pero nada sigue llevandome al grub command line cada vez q reinicio…alguien podria ser tan amable de indicarme como logro apuntar grub a mi root directorio??/ muchas gracias

Ruben Respinoza
Ruben Respinoza (@ruben-respinoza)
Miembro
1 mes atrás

Muchas gracias ! es tranquilizador saber que tenemos un excelente soporte por parte de ustedes en la comunidad deepenes. Y si , es mas que preocupante que pasen estas cosas, pero la ventaja es que una comunidad activa aporta al mejoramiento del sistema. Este SO no solo es de Wuhan Deepin Technology, es de todos y cada uno de ustedes que se preocupan por auditar cada cambio y verificar que este dirigido en la dirección correcta, y también es nuestro, de la comunidad de usuarios básicos, quienes disfrutamos y publicitamos el uso de linux para que algún día sea el SO por excelencia.

Claudio Speroni
Claudio Speroni (@claudiosperoni)
Miembro
30 días atrás

Muchas gracias por el trabajo!!! Ya está instalado

JJJCarlos2
JJJCarlos2 (@jjjcarlos2)
Miembro
28 días atrás

Hola,he intentado instalar el parche y no me ha dejado,me dice que no lo ha encontrado,dejo una captura.
Saludos.

Captura de pantalla dde desktop 20210705185419

 

Xoas
Xoas (@xoas)
Autor
Respondiendo a  JJJCarlos2
28 días atrás

 JJJCarlos2, tal como dice el artículo, primero tienes que instalar la Tienda Deepines.

JJJCarlos2
JJJCarlos2 (@jjjcarlos2)
Miembro
Respondiendo a  Xoas
28 días atrás

 Xoas Ok gracias,la he instalado y ya de paso he metido Firefox y un tema de iconos,esta muy bien.
 
Saludos.

orfeo
orfeo (@orfeo)
Miembro
22 días atrás

Muchísimas gracias!!

Max Unch
Max Unch (@maxunch)
Miembro
20 días atrás

Muchisimas gracias por solucionar este grave problema de seguridad! Muy buena página web. Hasta ahora pude solucionar varios problemas con su ayuda en los artículos publicados. Hermoso proyecto! Muchas bendiciones!

Raúl Junza
Raúl Junza (@rauljunza)
Miembro
12 días atrás

Gracias, parche aplicado.

Ruben Respinoza
Ruben Respinoza (@ruben-respinoza)
Miembro
7 días atrás

Hola, ya se han instalado varios parches desde esta publicación. Que se sabe del problema? ya se pronunciaron los de Deepin? o dejaron eso así?
Gracias

16
0
Nos gustaría saber lo que piensas, Únete a la discusión.x
()
x