Un grupo de investigadores de la Universidad de Columbia afirmaron hace algunos días haber descubierto una vulnerabilidad en el proceso de actualización del firmware que afecta a las impresoras HP LaserJet. Demostraron como desde otro equipo pueden enviar una actualización del firmware de la impresora. Llegó a calentarse de tal modo que comenzó a echar humo hasta dejar de funcionar y quemó el papel. Modificar el firmware de la impresora sin autorización podría tener otras muchas implicaciones no solo en el aparato sino en la red donde esté conectada.HP publicó un boletín de seguridad en el que confirma que algunas impresoras HP Laserjet y HP Digital Senders sufren una vulnerabilidad remota en la actualización del firmware. Según el aviso la vulnerabilidad afecta a un total de 42 dispositivos diferentes.Se confirma que el problema reside en la característica "Remote Firmware Update" (RFU) que se encuentra activo por defecto en todos los dispositivos. Un atacante remoto podría enviar una actualización del firmware al puerto 9100 sin autenticar y modificarlo sin autorización, lo que le permite controlarlo por completo. El problema es que no validan criptográficamente la integridad o de dónde proviene el código.La vulnerabilidad está clasificada con CVE-2011-4161 y CVSS de 10 de criticidad máxima.En el boletín HP se limita a recomendar que los dispositivos afectados sigan un documento genérico de seguridad publicado por HP en agosto de 2010. El documento es de 93 páginas e incluye una serie de buenas prácticas de seguridad genéricas en impresoras HP. Se encuentra dispoible desde http://h71028.www7.hp.com/enterprise/downloads/HP-Imagijg10.pdfEn realidad, no existe una solución real, sino la recomendación de seguir un documento que ya debían haber aplicado todos los administradores de impresoras HP conectadas a la red. No se tiene constancia de que finalmente vayan a publicar realmente un parche o no.La lista de dispositivos afectados: HP LaserJet Enterprise 500 color M551, HP LaserJet Enterprise 600 M601, HP LaserJet Enterprise 600 M602, HP LaserJet Enterprise 600 M603, HP Color LaserJet 3000, HP LaserJet P3005, HP LaserJet Enterprise P3015, HP LaserJet M3035, HP Color LaserJet CP3505, HP Color LaserJet CP3525, HP Color LaserJet CM3530, HP Color LaserJet 3800, HP Color LaserJet CP4005, HP LaserJet P4014, HP LaserJet P4015, HP LaserJet 4240, HP LaserJet 4250, HP LaserJet 4345 MFP, HP LaserJet 4350, HP LaserJet P4515, HP Color LaserJet Enterprise CP4520, HP Color LaserJet Enterprise CP4525, HP Color LaserJet CM4540 MFP, HP LaserJet Enterprise M4555 MFP, HP Color LaserJet 4700, HP Color LaserJet 4730 MFP, HP Color LaserJet CM4730 MFP, HP LaserJet M5035, HP LaserJet 5200 HP Color LaserJet CP5525, HP Color LaserJet 5550, HP Color LaserJet CP6015, HP Color LaserJet CM6030, HP Color LaserJet CM6040, HP CM8060 Color MFP with Edgeline, HP LaserJet 9040, HP LaserJet M9040, HP LaserJet 9050, HP LaserJet M9050, HP Digital Sender 9200c, HP Digital Sender 9250c y HP Color LaserJet 9500.Si quieren más información pueden visitar: http://unaaldia.hispasec.com/2011/12/hp-reconoce-el-fallo-y-recomienda-un.html
Adobe publicó una actualización destinada a corregir una vulnerabilidad importante en Adobe Flex SDK 4.5.1 y 3.6 para Windows, Macintosh y Linux. La vulnerabilidad afecta a una gran mayoría de las aplicaciones desarrolladas en este entorno.
Esta vulnerabilidad, con CVE-2011-2461, permite a un atacante la realización de ataques cross-site scripting en aplicaciones Flex. Adobe recomienda a los usuarios de las versiones afectadas de Adobe Flex SDK actualizar el software, verificar los archivos SWF de sus aplicaciones son vulnerables y actualizar cualquier archivo SWF vulnerable usando las instrucciones y herramientas proporcionadas por Adobe.
Para la actualización de las versiones y las aplicaciones afectadas se recomienda seguir las instrucciones: http://kb2.adobe.com/cps/915/cpsid_91544.html
Si quieren más información pueden visitar: http://unaaldia.hispasec.com/2011/11/actualizacion-de-seguridad-para-adobe.html
Siri es un sistema de inteligencia artificial con reconocimiento de voz, permite realizar diferentes acciones sobre un teléfono. Esta utilidad se incorporó como novedad en las terminales iPhone 4S.
Oficialmente solo está disponible para esta terminal, pero ya se ha incluido de manera extra oficial a iPod 4G y existen rumores que indican que Apple puede estar pensando en lanzar esta aplicación para otros dispositivos.
Investigadores de Applidium analizaron el protocolo de comunicación usado por Apple para enviar información a sus servidores, donde procesa y analiza los datos para responder de la mejor manera posible.
Lo que averiguaron hasta ahora es que la comunicación con el servidor se realiza a través de HTTPS al servidor "guzzoni.apple.com" usando el protocolo HTTP con métodos no estándar para la comunicación.
Para sortear el cifrado, los investigadores crearon una entidad certificación SSL personalizada, la agregaron al teléfono, y firmaron con ella un certificado falso para el dominio "guzzoni.apple.com" también creado para la ocasión.
Así descubrieron que:
* El protocolo usado por Siri, añade el método HTTP "ACE" (en vez de usar un "GET").
* Permite un tamaño de datos (Content-Length) de 2000000000.
* Incorpora una cabecera "X-Ace-Host" con el identificador del dispositivo.
Si quieren más información pueden visitar: http://unaaldia.hispasec.com/2011/11/descubriendo-el-protocolo-de-siri.html
El ISC (Internet System Consortium) publicó un parche que corrige una vulnerabilidad 0-day de denegación de servicio en el servidor DNS BIND 9.
BIND 9 es uno de los servidores DNS más usados que tiene su origen en el proyecto de cuatro estudiantes de la universidad de Berkley a principio de los años 80. BIND es código libre, publicado bajo la licencia BSD.
La vulnerabilidad fue reportada por varias organizaciones independientes al ISC como un error que afectaba a las consultas recursivas. El mensaje que quedaba en los logs era:
"INSIST(! dns_rdataset_isassociated(sigrdataset))"
El error apuntaba al archivo 'query.c'.
Según ISC, el error provoca el almacenamiento de un registro DNS no valido. Si ese registro es consultado posteriormente el proceso entra en un estado de error de aserción (assert) y muere.
ISC no ha dado detalles técnicos sobre el parche aplicado e incluso se encuentra en fase de estudio sobre la naturaleza y forma del o los exploits utilizados en los ataques que se han observado.
Sobre el parche comenta que se centra en la parte de código que procesa la consulta a la caché de la petición efectuada por el cliente. Por una parte se impide a la caché devolver datos inconsistentes y por otro se previene la caída del proceso 'named' (nombre del proceso de BIND) si se ha detectado una petición de registro con formato no válido.
La vulnerabilidad afecta a las versiones: 9.4-ESV, 9.6-ESV, 9.7.x, 9.8.x.
El error es explotable en remoto y no necesita de autenticación previa. Los parches están disponibles desde la página web del fabricante.
Si quieren más información pueden visitar: http://unaaldia.hispasec.com/2011/11/corregido-0-day-que-afecta-servidores.html
Cisco publicó cinco boletines de seguridad que solventan diversas vulnerabilidades, se encuentran dos escaladas de directorios, dos ejecuciones de código y una denegación de servicio.
Los productos afectados son:
* Cisco Unified Contact Center Express: Permite a un usuario remoto no autenticado obtener archivos a través de una URL especialmente manipulada mediante una escalada de directorios. (CVE-2011-3315)
* Cisco Security Agent: La falla provoca una ejecución de código arbitrario, esto se debe a dos vulnerabilidades de software externo a Cisco, presentes en la librería 'Oracle Outside In' utilizada por Cisco Security Agent. (CVE-2011-0794 y CVE-2011-0808)
* Cisco Video Surveillance IP Cameras: Una denegación de servicio causada por el envío de paquetes RTSP TCP especialmente manipulados, hace que las cámaras dejen de emitir las imágenes grabadas y procedan a reiniciarse. (CVE-2011-3318)
* Cisco WebEx Player: Varios desbordamientos de memoria intermedia en el reproductor Cisco WebEx Recording Format (WRF), pueden permitir que un atacante remoto ejecute código arbitrario con los permisos del usuario afectado. (CVE-2011-3319 y CVE-2011-4004)
* Cisco Unified Communications Manager: El componente de procesamiento de llamadas IP de Cisto también se ve afectado por una falla que permite la revelación, a través de una escalada de directorios, del contenido de archivos que en no deberían ser accesibles desde el exterior del sistema. (CVE-2011-3315)
Junto con los boletines de seguridad, Cisco también publicó las correspondientes actualizaciones que solventan todas las vulnerabilidades comentadas.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4751
Una falla en los Ipad 2 que dispongan de Smart Cover, permite evadir la contraseña de bloqueo y acceder a las aplicaciones del dispositivo.
Smart Cover es un accesorio exclusivo de Ipad2 entre cuyas propiedades se encuentran la posibilidad de activar el dispositivo estando en standby sin necesidad de apretar el botón de encendido.
La falla encontrada, permite a un atacante con acceso físico al aparato, acceder sin necesidad de teclear la contraseña. Parece que el atacante no tiene acceso completo, sino que solamente puede acceder a aquello que se encontraba en ejecución antes de pasar al estado de standby.
Esta falla se ha corroborado en la versión IOS 5, y quizás funcione en la rama anterior. Por ahora, la manera de corregir temporalmente esta falla pasaría por la desactivación del encendido automático por parte del dispositivo Smart Cover.
Los pasos para probar el error son:
* Bloquear el dispositivo.
* Mantener presionado el botón de apagado hasta que muestre el deslizador de apagado.
* Cerrar el Smart Cover.
* Abrir el Smart Cover.
* Presionar el botón de cancelar.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4749
JBoss Application Server es un servidor de aplicaciones J2EE. Se distribuye bajo licencia GPL por lo que es muy utilizado tanto por los desarrolladores como por las empresas.
Se detectó un gusano que afecta a los servidores que ejecutan JBoss AS y aplicaciones basadas en él. Se aprovecha de consolas JMX incorrectamente aseguradas o sin ninguna protección para ejecutar código arbitrario. Se propaga inyectándose en la consola a través del método HEAD con una llamada a la función 'store' del servicio 'jboss.admin'.
También se aprovecha de sistemas antiguos que no están parcheados para corregir la vulnerabilidad CVE-2010-0738 subsanada en abril de 2010. El gusano se encuentra escrito en Perl.
Para evitar la infección se deben aplicar los parches de seguridad disponibles así como las siguientes configuraciones para asegurar la consola JMX: http://community.jboss.org/wiki/SecureTheJmxConsole
Además se recomienda configurar las siguientes protecciones lógicas:
* Quitar los privilegios de 'root' a los procesos de JBoss AS.
* Cambiar la configuración de seguridad por defecto de la consola JMX para bloquear las peticiones a través de los métodos GET y POST que no estén debidamente autenticadas. Para eso se debe editar el archivo 'deploy/jmx-console.war/WEB-INF/web.xml' y eliminar las líneas indicadas.
* Habilitar 'RewriteValve' para bloquear peticiones externas que intenten acceder a URLs de administración editando el archivo 'deploy/jbossweb.sar/server.xml'
Además es conveniente crear el directorio 'conf/jboss.web', y en su interior el archivo 'rewrite.properties'.
Esto bloqueará todas las peticiones que no provengan de la propia máquina o de la red LAN.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4748
Han publicado dos fallas de seguridad en Joomla! que permiten a un atacante tener acceso a información sensible.
Joomla! es un sistema de gestión de contenidos y framework web utilizado para la realización de portales web. Cuenta con una la gran cantidad de extensiones de fácil integración que le proporcionan un gran potencial.
La primera falla fue reportada por Aung Khant, perteneciente al grupo de hacking ético YGN. El problema está en la inadecuada comprobación de errores. Un atacante remoto obtiene información sensible. La versión de Joomla! afectada es la 1.7.1 y anteriores. Esta falla fue reportada el dos de agosto a los desarrolladores.
La segunda falla fue reportada por Jeff Channell y está basado en un cifrado débil que permite a un atacante remoto obtener igualmente acceso a información sensible. La versión de Joomla! afectada es la 1.5.23 y anteriores.
La recomendación es la actualización a las versiones 1.5.24 o posterior y 1.7.2 o posterior.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4746
Cisco confirmó la existencia de una vulnerabilidad en CiscoWorks Common Services, en todas las versiones anteriores a la 4.1 para Windows, que permite la ejecución de comandos arbitrarios a atacantes remotos.
Son afectados CiscoWorks LAN Management Solution, Cisco Security Manager, Cisco Unified Operations Manager, Cisco Unified Service Monitor, CiscoWorks Quality de Service Policy Manager y CiscoWorks Voice Manager incluyendo Common Services.
El problema existe en una validación incorrecta de entradas en el componente CiscoWorks Home Page. Un atacante puede enviar una URL específicamente creada a los puertos TCP 443 o 1741, para lograr la ejecución de comandos arbitrarios en el sistema afectado con privilegios de administrador.
Cisco resuelve el problema en la versión CiscoWorks Common Services 4.1 para resolver este problema.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4744
Publicaron 15 boletines de seguridad que afectan a la plataforma Moodle. Las vulnerabilidades permiten saltar restricciones, ejecutar código arbitrario, revelar información sensible, afectar la integridad de los datos, realizar ataques XSS, CSRF, inyección SQL, y denegación de servicio.
Moodle, acrónimo de Modular Object-Oriented Dynamic Learning Environment (Entorno de Aprendizaje Dinámico, Orientado a Objetos y Modular). Plataforma educativa de código abierto escrita en PHP, que permite a los educadores crear y gestionar tanto usuarios como cursos de modalidad e-learning. Además proporciona herramientas para la comunicación entre formadores y alumnos.
Los boletines, del MSA-11-0027 al MSA-11-0041, contienen diferentes vulnerabilidades que afectan a la plataforma Moodle en las versiones 1.9.x, 2.0.x, y 2.1.x. Ninguna de las vulnerabilidades tiene asignado un identificador CVE de momento:
* MSA-11-0027: existe un error de falta de validación de las peticiones HTTP hechas por los usuarios que puede ser utilizado para realizar un 'cross site reference forgery' (CSRF) con los enlaces de la wiki.
* MSA-11-0028: error de falta de validación en determinadas entradas relacionadas con los comentarios de la wiki que podría ser usado para llevar a cabo ataques 'cross-site scripting' (XSS).
* MSA-11-0029: revela una falla de falta de comprobación de permisos en el servidor de archivos que podría utilizarse para revelar información acerca de las categorías y cursos a usuarios sin acceso a ellos.
* MSA-11-0030: expone una falla en la implementación del plugin 'Box.net' al no incluir las funcionalidades de autenticación OAuth de la aplicación para solicitar los credenciales de los usuarios.
* MSA-11-0031: existe un error en la función 'setConstant' que toma los valores de los formularios y que puede ser aprovechado para modificar los valores enviados a través de dichos formularios.
* MSA-11-0032: revela un error al manipular los datos entregados por la función 'openssl_verify' en 'MNet' que podría ser usado para evitar la validación de certificados SSL.
* MSA-11-0033: un error durante el proceso de instalación que provoca que no se establezca correctamente el valor secreto 'registration_hubs.secret' relacionado con los centros de la comunidad.
* MSA-11-0034: falla en la funcionalidad del chat que provoca una revelación de información sensible tal como los nombres completos de todos los usuarios de la plataforma incluidos aquellos que han sido eliminados.
* MSA-11-0035: una falla relacionado con la variable 'CFG->usesid' en las sesiones sin cookies puede ser aprovechado para realizar un salto de restricciones.
* MSA-11-0036: un error de falta de comprobación en 'message/refresh.php' provoca ilimitadas peticiones al cambiar el valor del parámetro 'wait' por cero, y causaría una denegación de servicio.
* MSA-11-0037: existe un error de falta de comprobación de los datos introducidos por los usuarios en 'editsection.html' y que puede ser usado para ejecutar código arbitrario (HTML y JavaScript) a través de datos de entrada especialmente manipulados.
* MSA-11-0038: múltiples errores de filtrado en funciones de la base de datos que podrían utilizarse para realizar ataques de inyección SQL.
* MSA-11-0039: un error de falta de validación del parámetro de entrada 'section' podría ser usado para realizar ataques 'cross site scripting' (XSS).
* MSA-11-0040: existe un error no especificado en 'mod/forum/user.php' que puede ser utilizado para revelar información sensible acerca de los usuarios de la plataforma a personas no autorizadas.
* MSA-11-0041: falla de comprobación de permisos en la funcionalidad del buscador global que permitiría a un usuario invitado revelar información sensible a través de búsquedas de este tipo directamente desde una URL.
Las vulnerabilidades en los boletines MSA-11-0036, MSA-11-0037, y MSA-11-0038 solo afectan a las versiones 1.9.x.
Las vulnerabilidades de los boletines MSA-11-0027, MSA-11-0028, MSA-11-0029, MSA-11-0030, MSA-11-0033, MSA-11-0034, MSA-11-0035, MSA-11-0039, y MSA-11-0041 solo afectan a las versiones 2.0.x, y 2.1.x, aunque la MSA-11-0035 también puede afectar a las versiones 1.9.x si no están correctamente configuradas.
Por último, los boletines MSA-11-0031, MSA-11-0032, y MSA-11-0040 afectan a ambas ramas, tanto las versiones 1.9.x como las 2.0.x, y 2.1.x.
Las actualizaciones se encuentran disponibles para su descarga desde la página oficial de Moodle.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4744
Anunciaron un problema de seguridad en Asterisk (Versiones 1.8.x anteriores a 1.8.7.1 y 10.x anteriores a 10.0.0-rc1) que permite a un atacante remoto provocar condiciones de denegación de servicio.
Asterisk es una aplicación de una central telefónica (PBX) de código abierto. Como cualquier PBX, puede conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el exterior e incluye un gran número de características: buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. Además el software creado por Digium está disponible para Linux, BSD, MacOS X, Solaris y Windows.
El problema reside en una falla en el controlador del canal SIP, que permitiría a un atacante remoto sin autenticar provocar la caída del sistema. Para llevar a cabo el ataque, se debe enviar al servidor una petición específicamente creada de forma que el sistema accede a una variable sin inicializar y se desencadena la vulnerabilidad.
El problema se encuentra solucionado en las versiones 1.8.7.1 y 10.0.0-rc1.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4742
Por medio de Openwall, Alexander Peslyak publicó una falla en el comando "hardlink" que permite provocar una denegación de servicio y ejecutar código arbitrario a través de nombre de directorios especialmente manipulados.
La vulnerabilidad trata de un desbordamiento de memoria intermedia. Su explotación utiliza cadenas especialmente largas. Según se explica en la lista de Openwall, el comando hardlink trabaja con rutas absolutas, lo que facilita el poder forzar a la aplicación a trabajar con cadenas extremadamente largas.
En la falla explotada, se han utilizado rutas con gran profundidad de directorios (20 directorios), con nombres especialmente creados para la ocasión, siendo de una gran longitud (250 caracteres).
Además del desbordamiento de memoria como la posibilidad de que cambie la ruta sobre la que se ejecuta 'hardlink' o que se realice un 'enlace duro' hacia un archivo que más tarde se convierta en un enlace.
Según el descubridor de la falla, ha conseguido reproducir dichos errores en Fedora, aunque no se descarta que otras distribuciones se encuentren también afectadas.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4741
F-Secure alerta de la aparición del primer troyano para Mac que detecta si está siendo ejecutado en una máquina virtual, para así alterar su comportamiento y evitar ser analizado.
El hecho de que el malware compruebe si está siendo ejecutando en un entorno de virtualización no es nada nuevo. Es una técnica que se utiliza desde hace años por gran cantidad de malware. Esto tiene un objetivo claro: los que analizamos malware solemos ejecutarlo en un entorno virtual, que permite aislar los efectos y poder volver rápidamente a un entorno "limpio" restaurando a un estado anterior.
Existen varias técnicas para comprobar si se está en una máquina virtual, y se ha convertido en un arte: buscar procesos característicos, archivos, drivers que suelen venir en los virtualizadores más populares... Los troyanos realizan una comprobación al ser ejecutados y, si los detectan, no continúan. Los analistas deben entonces o bien pasar a un entorno físico, intentar conocer qué buscan e intentar engañarlos, o bien utilizar software de virtualización menos popular (evitar VirtualBox o VMWare).
También el malware utiliza la detección de máquinas virtuales para evadir los análisis automáticos que suelen realizar sandboxes públicas que se encuentran automatizadas.
Si bien éste método es antiguo, sí es cierto que es la primera vez que se observa este tipo de comportamiento en malware destinado al sistema operativo de Apple. Los avances técnicos de los creadores de malware suelen estar enfocados hacia evitar a los analistas "manuales". Desde luego, el usuario final no supone tanto problema por ahora, con la ingeniería social le basta y no le hacen falta artificios técnicos. En el caso de Mac, su enemigo más fuerte tampoco son los antivirus ni necesita esforzarse demasiado por eludirlos.
La muestra analizada por F-Secure se hacía pasar por una actualización de Adobe Flash Player, y en caso de detectar una máquina virtual, detiene por completo su ejecución. Por el momento, la única máquina virtual comprueba si está corriendo es VMWare.
Existen numerosas formas para comprobar si se está en un entorno virtual. Se puede encontrar información en la propia página de VMWare:
http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1009458
En este caso en concreto no se utiliza ninguna de las técnicas descritas en la web de VMWare, probablemente porque no funcionan en el 100% de los casos. Este troyano en cuestión recurre a un método descubierto por el investigador Ken Kato, que consiste en interactuar con un puerto de Entrada/Salida (puerto 'VX') que no debería existir en un entorno no virtualizado, puesto que es utilizado por la máquina huésped para comunicarse con la máquina virtual.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4740
Jerry Decime reportó un error en el router DIR-685 Xtreme N Storage de D-Link que hace que una red inalámbrica cifrada pase a transmitir todo su tráfico sin ningún tipo de protección.
Tal parece, una de las condiciones en las que se ha conseguido reproducir la falla se da cuando el router está configurado para ofrecer una red inalámbrica con cifrado WPA o WPA2 y clave AES precompartida (PSK).
La segunda condición que da lugar a la falla es la de transmitir una gran cantidad de datos sobre la red. Bajo esta carga, el router pasa de cifrar todo el tráfico generado, a enviar todos los datos en claro a través de la red. Además no es necesario conocer la contraseña para poder acceder a la red inalámbrica. Hay que reiniciar el dispositivo para volver a la configuración de protección de la red inalámbrica original establecida por el usuario, es decir WPA o WPA2 y clave AES PSK.
Las condiciones para que el tráfico sea desvelado no son nada "extrañas". Precisamente este dispositivo se anuncia como ideal para utilizar aplicaciones y protocolos orientados a la transmisión de gran cantidad de datos, como son BitTorrent, NAS, FTP o streaming... Además, el uso de WPA o WPA2 con clave AES es lo más recomendado por no conocerse ninguna falla grave de seguridad aún en esta configuración.
Por el momento D-Link no ha publicado ningún parche oficial para solventar el problema. Se recomienda a los usuarios del modelo afectado evitar el uso del cifrado AES y pasar a la alternativa "menos mala" en estos momentos, que es RC4 o si es posible, autenticación por RADIUS.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4737
Apple publicó una serie de actualizaciones para varios de sus productos, entre los que destacan OS X, iOS y Safari, encontrándose también nuevas versiones para sus programas Numbers, Pages, iTunes y Apple TV.
La actualización de OS X a la versión 10.7.2 soluciona 75 vulnerabilidades, la mayoría de ellas permiten la ejecución de código arbitrario, además de denegaciones de servicio y elevaciones de privilegios. Muchas de las vulnerabilidades son causadas por software de tercetos, como BIND, PHP, python, X11... Otras, sin embargo, pertenecen a software de Apple, entre ellas encontramos las siguientes:
* Una falla en File Vault deja al descubierto 250 MB de los datos previamente cifrados por la aplicación, al no borrarlos tras la activación del mismo. La falla se ha arreglado borrando el área no cifrada tras la activación de File Vault. (CVE-2011-3212)
* Una persona con acceso físico a la máquina vulnerable puede desbloquear un equipo puesto en suspensión que se encontrase ejecutando Cinema Display. La contraseña necesaria para el desbloqueo y la recuperación de la suspensión del equipo no es requerida en caso de que se encontrase habilitado el modo 'display sleep'. (CVE-2011-3214)
* Una falla conocida desde el mes de julio, permite la obtención de contraseñas de usuarios a través del puerto Firewire durante el proceso de arranque y apagado. (CVE-2011-3215)
* Tres vulnerabilidades en Open Directory permiten la obtención de hashes de las contraseñas de los usuarios, la modificación de las claves sin que fuese necesario el conocimiento de las antiguas, y el acceso a servidores LDAP asociados a Open Directory sin que se requiriese la contraseña (CVE-2011-3435, CVE-2011-3436, CVE-2011-3226)
Otro cambio introducido en esta serie de actualizaciones, es el que hace que los archivos Disk Image (.dmg) y los paquetes de instalación (.pkg) no sean considerados seguros, por lo que no serán ejecutados de manera automática.
De las 98 vulnerabilidades en iOS cabe destacar el envío del AppleID cifrado por parte de las aplicaciones, la revocación de los certificados de DigiNotar o el arreglo de 69 fallas de WebKit. Además se ha añadido soporte para TLS 1.2 en las conexiones cifradas.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4736
Microsoft publicó ocho boletines de seguridad correspondientes a su ciclo habitual de actualizaciones. Seis de los boletines presentan un nivel de gravedad "importante" y los otros dos "críticos". En total se han resuelto 23 vulnerabilidades.
* MS11-075
Ejecución de código en el componente Microsoft Active Accessibility. Boletín de carácter "importante" y la vulnerabilidad afecta a Windows Server 2003 y 2008, Windows XP, Windows Vista y Windows 7 (CVE-2011-1247).
* MS11-076
Ejecución remota de código en Windows Media Center (CVE-2011-2009). Afecta a Windows Vista y 7. Esta vulnerabilidad se basa en la falta de políticas de seguridad al momento de controlar la ruta de ejecución de librerías externas, permitiendo que un atacante utilice DLLs especialmente manipuladas.
* MS11-077
Ejecución de código en los controladores en modo kernel de Windows. Boletín valorado como "importante" y resuelve cuatro vulnerabilidades que afectan a Windows Server 2003 y 2008, XP, Vista y 7 (CVE-2011-1985, CVE-2011-2002, CVE-2011-2003 y CVE-2011-2011).
* MS11-078
Ejecución de código en en .NET Framework y Microsoft Silverlight. Este boletín valorado como "crítico" resuelve una vulnerabilidad que afecta a Windows Server 2003 y 2008, XP, Vista y 7. (CVE-2011-1253).
* MS11-079
Ejecución de código en Microsoft Forefront Unified Access Gateway (UAG), está valorado como "importante" y cuenta con cinco vulnerabilidades (CVE-2011-1895, CVE-2011-1896, CVE-2011-1897, CVE-2011-1969 y CVE-2011-2012 ).
* MS11-080
Elevación de privilegios a través de el controlador de función auxiliar de Windows (AFD.SYS). Esta vulnerabilidad afecta a XP y Windows Server 2003 (CVE-2011-2005).
*MS11-081
Ejecución de código en Internet Explorer. Está valorado como "crítico" y soluciona ocho vulnerabilidades que afectan a todas sus versiones.(CVE-2011-1993, CVE-2011-1995, CVE-2011-1996, CVE-2011-1997, CVE-2011-1998, CVE-2011-1999, CVE-2011-2000 y CVE-2011-2001 ).
* MS11-082
Denegación de servicio en Host Integration Server. Un atacante remoto que envía paquetes de red especialmente diseñados a un servidor Host Integration Server que escuche en el puerto UDP 1478 o en los puertos TCP 1477 y 1478 puede causar una denegación de servicio. (CVE-2011-2007 y CVE-2011-2008).
Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4735
Cisco anunció una serie de vulnerabilidades que afectan al módulo Firewall Services Module (FWSM) de los switches Catalyst serie 6500 y los routers de la serie 7600 en las versiones 3.1.x, 3.2.x, 4.0.x, y 4.1.x.
Las vulnerabilidades tienen un impacto de denegación de servicio o salto de restricciones.
* Denegación de servicio a través de un error en los mensajes 'syslog'.
El error se encuentra en la implementación de un mensaje de log cuyo identificador es 302015. Cuando se genera este mensaje a causa del tráfico IPv6, puede ocurrir una falla de memoria que provoque una denegación de servicio. A esta vulnerabilidad se le ha asignado el identificador CVE-2011-3296.
* Denegación de servicio a través de 'Authentication Proxy'.
Existe un error en la autenticación para permitir el acceso a los usuarios de la red conocida como 'Authentication Proxy' o 'cut-through'. Cuando esta autenticación se configura a través de los comandos 'aaa authentication match' o 'aaa authentication include', puede producirse una denegación de servicio si hay un elevado número de peticiones de autenticación. El identificador asignado a esta vulnerabilidad es el CVE-2011-3297.
* Salto de restricciones a través de TACACS+.
TACACS+ ('Terminal Access Controller Access Control System') protocolo utilizado para gestionar el acceso a servidores y dispositivos. A través de un error no especificado en la implementación de este protocolo, es posible eludir la autenticación de usuarios utilizando una respuesta TACACS+ especialmente manipulada. Su identificador es el CVE-2011-3298.
* Denegación de servicio a través del motor de inspección de SunRPC.
El motor de inspección habilita o deshabilita la inspección de aplicaciones para el protocolo SunRPC ('Sun Remote Procedure Call'). Se publicaron 4 vulnerabilidades que pueden causar la sobrecarga del dispositivo al procesar mensajes SunRPC especialmente manipulados cuando está activado el motor. Los identificadores asignados a estas vulnerabilidades son: CVE-2011-3299, CVE-2011-3300, CVE-2011-3301, y CVE-2011-3302.
* Denegación de servicio a través del motor de inspección ILS
El motor de inspección ILS ('Internet Locator Server') proporciona el servicio de traducción de direcciones de red o NAT ('Network Address TranslationT') al intercambiar información de directorios con el servidor ILS. Existe un error no especificado que sobrecarga el dispositivo al procesar mensajes ILS malformados cuando éste se encuentra habilitado. Se le ha asignado el identificador CVE-2011-3303.
Las dos últimas series de vulnerabilidades no se ven afectadas por el tráfico dirigido a estos dispositivos, sino únicamente por el tráfico de paso.
Por otra parte, las 3 últimas series de vulnerabilidades, las que se refieren a TACACS+, SunRPC, e ILS, afectan además a los módulos Adaptive Security Appliances de Cisco ASA serie 5500 y ASA Services Module de Cisco Catalyst serie 6500, en las versiones 7.0.x, 7.1.x, 7.2.x, 8.0.x, 8.1.x, 8.2.x, 8.3.x, 8.4.x, y 8.5.x.
Los parches se encuentran disponibles para su descarga en la página de Cisco.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4733
Han publicado una falla en el módulo 'mod_proxy' de Apache 2.x que permite a un atacante obtener información sobre la red interna detrás de un servidor vulnerable.
'mod_proxy' es un módulo de Apache que desempeña la función de un proxy/gateway, permitiendo configuraciones 'forward' y 'reverse'.
La configuración 'forward proxy' actúa de intermediario entre el cliente y el servidor, y requiere que el cliente esté debidamente configurado para usarlo. El uso más común de este tipo de configuración es proporcionar acceso a Internet a usuarios que se encuentran en una intranet protegida por un firewall.
La configuración 'reverse proxy' es totalmente transparente al usuario, por lo que éste no necesita realizar ningún tipo de configuración especial. El uso típico de esta configuración es permitir a usuarios de Internet el acceso a servidores alojados tras un firewall.
http://blog.hispasec.com/laboratorio/images/apache1.jpg
Sin embargo existe una falla en el módulo 'mod_proxy', al utilizar las directivas 'RewriteRule' y 'ProxyPassMatch' para configurar un servidor Apache en modo 'reverse proxy' mediante coincidencias de patrones. Esto puede provocar que los servidores internos o no públicos queden expuestos, de tal manera que un atacante remoto obtenga información sensible a través de peticiones especialmente manipuladas.
La falla está provocada por una configuración como la que sigue
RewriteRule (.*)\.(jpg|gif|png) http://images.ejemplo.com$1.$2 [P]
ProxyPassMatch (.*)\.(jpg|gif|png) http://images.ejemplo.com$1.$2
ya que, ante una petición de este tipo
GET @otro.ejemplo.com/otro.png HTTP/1.1
puede traducirse, por ejemplo, en:
http://images.ejemplo.com@otro.ejemplo.com/algo.png
lográndose una conexión a la máquinaque en principio no debería ser accesible, confundiendo el sistema la parte izquierda de la URL con credenciales. Un atacante podría obtener información de los sistemas internos de una red según la respuesta data ante la petición.
http://blog.hispasec.com/laboratorio/images/apache2.jpg
La configuración siguiente no se ve afectada por esta vulnerabilidad (nótese el carácter '/' antes de '$1.$2'):
RewriteRule (.*)\.(jpg|gif|png) http://images.ejemplo.com/$1.$2 [P]
ProxyPassMatch (.*)\.(jpg|gif|png) http://images.ejemplo.com/$1.$2
La vulnerabilidad tiene asignado el identificador CVE-2011-3368, y el parche puede descargarse desde: http://www.apache.org/dist/httpd/patches/apply_to_2.2.21/
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4732
Microsoft publicará el próximo 11 de octubre ocho boletines de seguridad, del MS11-075 al MS11-082. Los boletines solucionan hasta 23 vulnerabilidades en total.
Las fallas afectan a toda la gama de sistemas Windows, Internet Explorer, .NET Framework, Silverlight, Forefront Unified Access Gateway, y Microsoft Host Integration Server.
Dos de los boletines consideran las fallas en Windows, Internet Explorer, .NET Framework, y Silverlight como críticos, lo que conlleva ejecución remota de código. Los demás boletines son calificados como importantes, y afectan a Windows, Forefront Unified Access Gateway, y Host Integration Server.
Además Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool que estará disponible desde Microsoft Update, Windows Server Update Services, y el centro de descarga.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4731
El boletín Red Hat Security Advisory 2011-1349-01 publicó una serie de fallas que afectan al gestor de paquetes RPM.
RMP Manager Packet, más conocido por sus siglas RPM, es un gestor de paquetes utilizado por sistemas operativos GNU/Linux, aunque originalmente fue desarrollado por Red Hat.
Se han detectado múltiples fallas en la forma en que la biblioteca RPM analiza las cabeceras de dichos paquetes, de forma que permite a un atacante remoto llevar a cabo una denegación de servicio o, incluso, ejecutar código arbitrario utilizando un paquete RPM especialmente manipulado.
La vulnerabilidad tiene asignado el identificador CVE-2011-3378.
Las distribuciones de GNU/Linux que utilizan el gestor de paquetes RPM ya han comenzado a actualizarlo para corregir este problema.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4730
Han publicado múltiples boletines de seguridad por parte de la fundación Mozilla referentes a vulnerabilidades encontradas en diferentes productos de la firma.
Según la propia clasificación de la fundación siete de los boletines han sido clasificados con un impacto crítico, uno de ellos con un impacto alto y dos con un impacto moderado.
Los boletines críticos son:
* MFSA 2011-36: Tres problemas de corrupción de memoria.
* MFSA 2011-37: Desbordamiento de enteros al emplear expresiones JavaScript RegExp (sólo afecta a la rama 3.x).
* MFSA 2011-40: Dos problemas de instalación de software al presionar la tecla "Intro".
* MFSA 2011-41: Dos fallos de potencial ejecución de código a través de WebGL.
* MFSA 2011-42: Un problema de potencial ejecución de código a través de la librería de expresiones regulares YARR.
* MFSA 2011-43: Elevación de privilegios a través de JSSubScriptLoader.
* MFSA 2011-44: Ejecución de código a través de ficheros .ogg.
Los boletines clasificados con un impacto alto son:
* MFSA 2011-38: XSS a través de plugins y objetos "window.location"
Y finalmente los boletines clasificados con un impacto moderado son:
* MFSA 2011-39: Problemas de potencial inyección CRLF a través de cabeceras Location.
* MFSA 2011-45: Captura de pulsaciones a través de "motion data".
Cabe destacar que las vulnerabilidades clasificadas con un impacto crítico permiten a un atacante ejecutar código e instalar software sin requerir la interacción con el usuario.
Los productos afectados han sido principalmente Firefox y el cliente de correo electrónico Thunderbird. Se recomienda la actualización a la última versión de dichos productos.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4723
IBM publicó un Fix Pack para corregir una vulnerabilidad en IBM WebSphere Application Server que permite a un atacante remoto forzar a un administrador a realizar acciones no deseadas en la consola de administración.
IBM WebSphere Application Server (WAS) puede funcionar con diferentes servidores web y sistemas operativos incluyendo Apache HTTP Server, Netscape Enterprise Server, Microsoft Internet Information Services (IIS), IBM HTTP Server en sistemas operativos AIX, Linux, Microsoft, Windows y Solaris.
Afecta a IBM WebSphere Application Server versiones 8.0. La consola de administración de IBM WebSphere Application Server es vulnerable a ataques de Cross-Site Request Forgery (CSRF) o falsificación de petición en sitios cruzados. El servidor no comprueba la procedencia de las peticiones HTTP sobre la interfaz de administración del servidor. Si un administrador con una sesión válida visita una página especialmente manipulada los atacantes pueden ejecutar acciones con privilegio de administrador sobre el servidor.
Para corregir este problema se ha publicado el Fix Pack 1 (APAR PM36734) para IBM WebSphere Application Server V8.0 (8.0.0.1) disponible desde http://www-01.ibm.com/support/docview.wss?uid=swg27022958
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4721
El sitio MySQL.com fue comprometido y modificado para intentar infectar con malware a los visitantes, esto a través de un iframe en la página, se redirige a otra URL que acaba en un exploit pack llamado BlackHole. Esto es un kit conocido que permite servir diferentes exploits según las características del visitante para poder aprovechar vulnerabilidades de su navegador, Java o Flash.
Brian Krebs encontró el 21 de septiembre en un foro un mensaje de un supuesto atacante ruso que mostraba haber tenido acceso a MySQL.com y poseer la contraseña de root. La vendía por 3.000 dólares. Actualmente el link del foro ha sido borrado. El atacante se podía contactar en la dirección sourcec0de@neko.im. Él mismo vendedor reconocía que, con 40.000 visitas diarias, MySQL.com era un excelente punto donde colocar un exploit kit.
Armorize publicó un video en YouTube donde se muestra qué ocurría al visitar MySQL.com cuando estaba infectado, disponible desde: http://www.youtube.com/watch?v=J7prODlHniU
Todavía quedan dudas por resolver con respecto al compromiso. No existen datos oficiales sobre el tiempo que ha estado comprometido el sistema y cómo ha ocurrido. En estos parece que la página opera correctamente.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4720
Han hecho pública una vulnerabilidad que afecta al producto NetworkManager que permite a un atacante local elevar privilegios en el sistema.
NetworkManager es un grupo de utilidades destinadas a simplificar la configuración de redes WIFI, Ethernet, 3G, o bluetooth disponible para Linux.
La vulnerabilidad reportada por Matt McCutchen, se encuentra en el plug-in 'ifcfg-rh', más concretamente en el archivo
'src/settings/plugins/ifcfg-rh/shvar.c' al no realizar correctamente la validación de los datos introducidos por el usuario. El atacante podría elevar privilegios a través de la creación de un nombre de conexión especialmente manipulado.
Los pasos a seguir para explotar la vulnerabilidad, como usuario sin privilegios, serían los siguientes:
* Crear una conexión ethernet con nombre, por ejemplo, "test".
* Cambiar el nombre a "test\nUSERCTL=true\n/bin/bash" donde '\n' se refiere a una nueva línea introducida a través de Ctrl+Shift+U, A.
* Introducir el comando "usernetctl test up"
Nos devuelve una shell con privilegios root.
Las versiones afectadas son la NetworkManager-0.9.0-1.fc15 y anteriores.
Red Hat recomienda la actualización del software.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4719
Han detectado vulnerabilidades en AWStats 6.95 y 7.0 que permiten a un atacante remoto realizar diferentes tipos de ataques.
AWStats es una herramienta open source para la realización de informes de los accesos a servidores web, streaming, mail y FTP, y mostrar los resultados en formato HTML. Los informes resultantes presentan la información en tablas y gráficos de barra.
Se han detectado diversas vulnerabilidades en el script Advanced Web Redirector (awredir.pl) al no validar correctamente los datos introducidos a través de los parámetros "url" y "key". Los problemas permitirían a un atacante remoto realizar ataques de cross-site scripting, inyección SQL o inyección CRLF.
No existe una actualización disponible, por lo que las medidas recomendadas pasan por valorar el uso del script afectado y restringir su uso; o editar el código fuente para que las entradas afectadas sean adecuadamente tratadas.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4717
Adobe publicó una actualización de seguridad destinada a corregir seis vulnerabilidades críticas en Adobe Flash Player versión 10.3.183.7 y anteriores para Windows, Macintosh, Linux y Solaris, y Adobe Flash Player 10.3.186.6 y versiones anteriores para Android.
Las vulnerabilidades, con identificadores CVE-2011-2426, CVE-2011-2427, CVE-2011-2428, CVE-2011-2429, CVE-2011-2430 y CVE-2011-2444, permiten a un atacante provocar la caída del sistema e incluso llegar a tomar el control de los sistemas afectados.
Según confirma Adobe, al menos una de las vulnerabilidades, se está explotando activamente en ataques dirigidos a través de correos electrónicos.
Las vulnerabilidades se encuentran relacionadas con problemas de cross-site scripting, desbordamientos de pila en AVM (ActionScript Virtual Machine), errores lógicos y evasión de controles de seguridad.
Adobe recomienda a los usuarios de Adobe Flash Player para Windows, Macintosh, Linux y Solaris la actualización a la versión 10.3.183.10 disponible en http://get.adobe.com/flashplayer/ o desde la opción de actualización automática.
Los usuarios de Adobe Flash Player 10.3.186.6 para Android actualizar a la versión 10.3.186.7 desde Android Market: https://market.android.com/details?id=com.adobe.flashplayer&hl=en
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4716
A finales de agosto se descubrió una vulnerabilidad de denegación de servicio en el servidor httpd de Apache y vimos como de inmediato todas las firmas que lo utilizaban actualizaban sus sistemas. Oracle lo ha tomado en cuenta después de 20 días de espera y finalmente ha publicado un parche crítico para actualizar las ediciones de Oracle Fusion Middleware y Application Server que se sirven internamente de este servidor.
Esta es la quinta vez desde 2005 que se publica un parche fuera de los periodos oficiales de actualización de Oracle. La gravedad de la misma lo explica todo.
Oracle Fusion Middleware y su componente Oracle Applicaction Server ofrecen un conjunto de aplicaciones y soluciones de desarrollo, implementación y gestión integrado para empresas basados en la arquitectura SOA.
La vulnerabilidad CVE-2011-3192 se caracterizaba por una denegación de servicio a través del envío de peticiones Range especialmente manipuladas que originan un consumo excesivo de memoria en el módulo 'mod_deflate'.
Las versiones afectadas son las siguientes:
* Oracle Fusion Middleware 11g Release 1, versiones 11.1.1.3.0, 11.1.1.4.0, 11.1.1.5.0
* Oracle Application Server 10g Release 3, versiones 10.1.3.5.0 (solamente si Oracle HTTP Server 10g basada en Apache 2.0 ha sido instalado desde el CD Application Server Companion).
* Oracle Application Server 10g Release 2, versión 10.1.2.3.0 (solamente si Oracle HTTP Server 10g basada en Apache 2.0 ha sido instalado desde el CD Application Server Companion).
Desde Oracle se recomienda la aplicación urgente de ésta actualización.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4715
El pasado martes Adobe publicó un boletín de seguridad (APSB11-24) avisando de 13 vulnerabilidades que afectan a Adobe Reader y Acrobat en sus versiones 10, 9 y 8 para Windows, Mac y UNIX.
Todas ellas son calificadas como críticas, caracterizadas por elevaciones de privilegios y ejecución de código. Los CVE asignados son: CVE-2011-1353, CVE-2011-2431, CVE-2011-2432, CVE-2011-2433, CVE-2011-2434, CVE-2011-2435, CVE-2011-2436, CVE-2011-2437, CVE-2011-2438, CVE-2011-2439, CVE-2011-2440, CVE-2011-2441, CVE-2011-2442.
La más significativa es la vulnerabilidad CVE-2011-1353 que sólo afecta a la versión de Adobe Reader X de Windows, permitiendo elevación de privilegios al evadir la propia sandbox incorporada en Adobe Reader X desde dentro: gracias a ciertas reglas de seguridad preestablecidas, un pdf especialmente manipulado consege saltarse el modo protegido y desactivarlo por completo.
Las versiones afectadas son las siguientes:
* Adobe Reader y Acrobat X (10.1) y anteriores versiones para Windows y Macintosh
* Adobe Reader y Acrobat 9.4.5 y anteriores versiones para Windows y Macintosh y UNIX.
* Adobe Reader y Acrobat 8.3 y anteriores versiones para Windows y Macintosh.
Se recomienda actualizar estas versiones lo antes posible con las últimas actualizaciones disponibles: 10.1.1, 9.4.6 y 8.3.1 respectivamente.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4712
Existe un error al filtrar el contenido accesible por un usuario no autenticado en BlueCoat Reporter 9.x. Esto permite acceder a cualquier archivo del sistema a través de HTTP, mediante la modificación de la URL.
BlueCoat Reporter es un software que permite obtener reportes de la actividad de red detectada por otros programas como ProxySG o MACH5.
Un atacante remoto puede usar esta vulnerabilidad para acceder a datos confidenciales fuera del entorno web, y solo afecta cuando el programa está alojado en sistemas Windows.
Por el momento solo está disponible el parche para la versión 9.3. BluCoat otorga una criticidad máxima a esta vulnerabilidad si el producto se encuentra disponible en una red pública sin protección.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4707
Después de que los servidores de kernel.org se viesen comprometidos, la Linux.com detectó brechas de seguridad en sus propios servidores posiblemente relacionadas con los sufridos en agosto por el repositorio del núcleo. Debido a esto, las infraestructuras de Linux Foundation se encuentran en estado de mantenimiento con objeto de mejorar y fortalecer la seguridad en sus servidores.
Linux Foundation es un consorcio sin fines de lucro creado en 2007 de la unión de Open Source Development Labs (OSDL) y Free Standards Group (FSG) con el objetivo de fomentar el crecimiento del sistema operativo GNU/Linux. Promociona, protege y estandariza los recursos y servicios necesarios para que el software libre pueda competir con plataformas cerradas.
En estos momentos y desde el día 8, al visitar los sitios web LinuxFoundation.org, Linux.com, y sus correspondientes subdominios se puede observar un mensaje que informa del mantenimiento que se está llevando a cabo. Además se invita a los usuarios a cambiar las contraseñas y claves SSH que hayan utilizado en estos sitios comprometidos, así como aquellas contraseñas que sean reutilizadas en sitios ajenos a ellos por motivos de seguridad.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4706
Han publicado la versión 1.0.0e de OpenSSL que soluciona dos vulnerabilidades.
OpenSSL es un proyecto pensado en desarrollar una implementación robusta del Protocolo de Capa de Conexión Segura (SSL v2/v3), de los protocolos de seguridad en la capa de transporte (TLS v1) así como de una librería criptográfica de propósito general.
La primera de las vulnerabilidades corregidas, identificada como CVE-2011-3207, es un error al validar CRL. Esta falla permite a un atacante validar como correcto un certificado especialmente diseñado, por ejemplo haciendo uso de X509_V_FLAG_CRL_CHECK o X509_V_FLAG_CRL_CHECK_ALL.
La segunda falla solucionada es un error en 'ephemeral ECDH ciphersuites', que permite provocar una denegación de servicio a través de peticiones en un orden incorrecto. Como contramedida se puede desactivar 'ephemeral ECDH ciphersuites'. Esta falla se ha identificado con el CVE-2011-3210.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4705
