Problemas de seguridad en BEA WebLogic Server y Express 7.0 y 8.1 Se ha descubierto un problema de seguridad en BEA WebLogic que podría potencialmente permitir a usuarios sin autorización acceder a aplicaciones web afectadas.
WebLogic es un servidor de aplicaciones de la empresa BEA Systems, especialmente indicado para entornos dirigidos al comercio electrónico.
El problema se da si una etiqueta "<role-name>" dentro de otra etiqueta "<security-constraint>" tiene un asterisco como nombre especificado. WebLogic Server interpreta esto como que podría ser cualquier usuario, cuando en realidad debería interpretar que es todos los roles de la aplicación web. Esto podría dar acceso a usuarios no autorizados a zonas restringidas. El problema afecta a WebLogic Server y Express versiones 7.0 y 8.1.
Se recomienda actualizar a la mayor brevedad posible. Las direcciones para descargar los parches son las siguientes:
WebLogic Server y Express version 8.1 Service Pack 2:
ftp://ftpna.beasys.com/pub/releases/security/CR175310_810sp2.jar
WebLogic Server y Express version 7.0 Service Pack 5:
ftp://ftpna.beasys.com/pub/releases/security/CR175310_700sp5.jar
Más Información:
Security Advisory: (BEA04-64.00)
http://dev2dev.bea.com/resourcelibrary/advisoriesnotifications/BEA04_64.00.jspWIN32/SACHIEL.Gnombre:Win32/Sachiel.G
aliases:Win32/HLLW.Sachiel.F, Worm.Win32.Sachiel.f, Worm/Sachiel.G, W32/Sachiel.B, WORM_SACHIEL.G
tipo:Gusano
tamaño:126,976 Bytes
INFORMACION
Gusano que se propaga por disquetes. Se copia utilizando diferentes nombres dependiendo de la fecha. Previene la edición del registro desactivando el editor del registro.
CARACTERISTICAS
Cuando el gusano se ejecuta por primera vez muestra en pantalla una ventana de error con el siguiente mensaje:
El archivo esta total o parcialmente dañado,
imposible abrir el archivo.
Después de ejecutarse e infectar el sistema, muestra esta otra ventana con el texto:
Esto Comienza Ahora, En este Instante.
Se copia a si mismo utilizando alguno de los siguientes nombres:
C:\Windows\\HELP\Sachiel.sys.bat
C:\Windows\83.97.99.104.105.101.108.dll
C:\Windows\Autoexec.bat
C:\Windows\DrivSystem.com
C:\Windows\HHelp.exe
C:\Windows\IExplore32.exe
C:\Windows\System\helpdks.dll
C:\Windows\winrun.pif
Mas información:
http://www.enciclopediavirus.com/virus/vervirus.php?id=995WIN32/REVACC.ANombr3ee:Win32/Revacc.Aaliases:BKDR_REVACC.F
Tipo:Troyano
INFORMACION
Troyano de puerta trasera, abre un puerto y se conecta a un servidor en espera de comandos de un atacante externo.
CARACTERISTICAS
Cuando se ejecuta el troyano modifica las siguientes claves del registro para ejecutarse en cada inicio del sistema:
HKLM\System\CurrentControlSet\Services\
WinSrch
HKLM\Software\Microsoft\
WinMgt
Abre un puerto y se conecta a un servidor esperando comandos de un atacante externo.
También envía un mensaje conteniendo información sobre el equipo infectado.
Puede abrir una consola remota (remote shell).
El troyano se ejecuta en equipos que tengan instalado Windows NT, 2000 o XP.
Mas información:
http://www.enciclopediavirus.com/virus/vervirus.php?id=996WIN32/RICCAIRA.A nombre: Win32/Riccaira.A
aliases: BKDR_RICCAIRA.A
tipo: Troyano
tamaño: 21,088 Bytes
INFORMACION
Troyano de puerta trasera, crea el archivo CSMSS.EXE dentro de la carpeta C:\Windows\System. Crea varias claves en el registro para ejecutarse en cada inicio de Windows. Abre un puerto al azar y espera comandos de un atacante remoto.
CARACTERISTICAS
Cuando se ejecuta el troyano crea una copia de si mismo dentro de la siguiente carpeta:
C:\Windows\System\CSMSS.EXE
De acuerdo a la versión de sistema operativo, las carpetas "c:\windows" y "c:\windows\system32" pueden variar ("c:\winnt", "c:\winnt\system32", "c:\windows\system").
Crea la siguiente clave en el registro de Windows:
HKLM\Software\Microsoft\Windows
CurrentVersion\Run
[Nombre] = "C:\Windows\System\csmss.exe"
El nombre creado en la clave puede ser alguno de los siguientes:
ActiveXUpdate
MicrosoftOEM
MsgApi
OfficeGuardUI
SoundControl
VC5MediaPlayer
WIN95DEFVIEW
WindowsInstaller
El troyano abre un puerto al azar en espera comandos de un atacante remoto, este puede realizar las siguientes acciones:
Cambiar la pagina de inicio del Explorer.
Terminar un proceso.
Abrir direcciones IP para que sean escaneadas.
Modificar el archivo HOSTS.
También modifica el archivo HOSTS impidiendo el acceso a los siguientes sitios:
avp.com
ca.com
customer.symantec.com
dispatch.mcafee.com
download.mcafee.com
download.mcafee.com
downloads1.kaspersky-labs.com
downloads2.kaspersky-labs.com
downloads3.kaspersky-labs.com
downloads4.kaspersky-labs.com
f-secure.com
ids.kaspersky-labs.com
kaspersky.com
kaspersky-labs.com
liveupdate.symantec.com
liveupdate.symantec.com
liveupdate.symantecliveupdate.com
liveupdate.symantecliveupdate.com
mast.mcafee.com
mcafee.com
my-etrust.com
nai.com
networkassociates.com
rads.mcafee.com
secure.nai.com
securityresponse.symantec.com
sophos.com
symantec.com
trendmicro.com
update.symantec.com
update.symantec.com
updates.symantec.com
us.mcafee.com
viruslist.com
www.avp.com www.ca.com www.f-secure.com www.grisoft.com www.kaspersky.com www.mcafee.com www.my-etrust.com www.nai.com www.networkassociates.com www.sophos.com www.symantec.com www.trendmicro.com www.viruslist.com El troyano puede borrar servicios que se encuentren en la siguiente clave del registro:
HKLM\CurrentControlSet
\Services\[Nombre de la carpeta]
El nombre de la carpeta puede ser uno de los siguientes:
kavsvc
navapsvc
Network Client
Network Client Monitor
nwclntserv
savscan
Symantec Core LC
wuauserv
Mas información:
http://www.enciclopediavirus.com/virus/vervirus.php?id=998WIN32/PEEPVIEWER.202.A1 nombre: Win32/PeepViewer.202.A1
aliases: BKDR_PEEPVIEWR.F, Backdoor.PeepViewer.202, Bck/PeepViewer.A, Win32:Trojan-gen {VC}, BDS/PeepView.202.A, BackDoor.Peepviewer.T, Backdoor.Win32.PeepViewer.81920
tipo: Troyano
tamaño: 81,920 Bytes
INFORMACION
Troyano que varia su instalación dependiendo del sistema operativo instalado en el equipo. Después de instalarse se carga en memoria en espera de comandos de un atacante externo.
CARACTERISTICAS
Después de instalarse se carga en memoria en espera de comandos de un atacante externo.
Se actualiza automáticamente, además puede descargarse de la memoria.
Puede utilizar una consola de comando para realizar distintas acciones entre ellas puede terminar procesos.
Un atacante remoto puede enviar comandos al equipo infectado utilizando una aplicación llamada Peepbrowser.
En equipos con Windows 95, 98 o ME, primero cierra el Explorador de Windows, después lo mueve a la carpeta C:\WINDOWS\SYSTEM.
Luego de se carga en memoria y espera por comandos remotos, además infecta el Explorador de Windows.
En maquinas con Windows NT, 2000 o XP, crea el archivo EXPLORER.EXE dentro de la carpeta C:\WINDOWS\SYSTEM.
Después modifica las siguientes entradas en el registro de Windows:
HKLM\Software\Microsoft\Windows NT
\CurrentVersion\Winlogon
Shell = C:\Windows\System\explorer.exe
De acuerdo a la versión de sistema operativo, las carpetas "c:\windows" y "c:\windows\system32" pueden variar ("c:\winnt", "c:\winnt\system32", "c:\windows\system").
Mas información:
http://www.enciclopediavirus.com/virus/vervirus.php?id=997No se toman vacaciones, no :lol: :lol:
