Acaba de salir una nueva versión de este conocidísimo servidor web open source, concretamente la 2.2.16, la cual da solución a dos vulnerabilidades, una de denegación de servicio en los módulos “mod_cache” y “mod_dav”, así como otra de divulgación de información sensible en “mod_proxy_http”. En el caso del primer fallo se trataba de un error que ocurría cuando se enviaban por parte de un atacante direcciones http especialmente manipuladas y creadas para tal fin, gracias a una vulnerabilidad en la directiva “CacheIgnoreURLSessionIdentifiers” presente en Apache desde la versión 2.2.14.

Desde el proyecto Apache se recomienda la actualización inmediata a esta nueva entrega. En este enlace tenéis mas información al respecto, sobre todo las versiones afectadas en cada vulnerabilidad y enlaces a los parches que se han publicado para esta eventualidad.

Entradas relacionadas

• Vulnerabilidades en servidor web Apache (APR y APR-util) (0)
• XSS (Cross-site scripting) en Webmin y Usermin. (0)
• Vulnerabilidad en Google Chrome, actualización disponible (0)
• Vulnerabilidad crítica solventada en navegador Google Chrome (0)
• Publicado en Daboweb, Diciembre de 2009 (0)

Ha sido reportada por parte de Nikolas Sotiriu una vulnerabilidad en McAfee LinuxShield que podría llevar a la ejecución de código arbitrario remoto en instalaciones de la versión 1.5.1 y anteriores sin el parche HF550192.

El ataque se vale de la interfaz web de LinuxShield además del demonio local “nailsd” que permanece a la escucha en el puerto 65443/tcp, pudiendo derivar bajo determinadas circunstancias tal y como explica Nikolas en el enlace anterior, (estando autenticado en el sistema afectado) a la ejecución de tares con privilegios de root (super ususario).

Si bien este fallo no es tan grave al ser necesaria una cuenta válida en el cliente de LinuxShield, se recomienda parchear el producto a la mayor brevedad posible para evitar problemas mayores en los sistemas afectados.

Desde McAfee ofrecen ya una solución a este bug vía el parche HF550192.

Entradas relacionadas

• Vulnerabilidad en Google Chrome, actualización disponible (0)
• Vulnerabilidad crítica solventada en navegador Google Chrome (0)
• Serias vulnerabilidades en el navegador web Debian Iceweasel (0)
• Publicado en Daboweb, Noviembre de 2009 (0)
• Publicado en Daboweb, Julio y Agosto de 2010 (0)

Apple acaba de publicar el lanzamiento de la versión 4.0.5 de su navegador web Safari, esta entrega del software solventa múltiples vulnerabilidades en ColorSync, ImageIO, PubSub y su motor WebKit.

Safari 4.0.5 está disponible para Mac OS X S.Leopard, Leopard, Tiger, Windows Vista y 7 y dado el impacto de los bugs que se han parcheado en esta versión, es más que aconsejable su inmediata actualización. La gran mayoría de fallos corregidos previenen la ejecución arbitraria de código en el sistema afectado, corrupciones de memoria en el navegador o un cierre inesperado.

Además de lo dicho, se mejoran otros aspectos del navegador como pueden ser el funcionamiento de “Top Sites” o la configuración de Safari con algunos routers Linksys.

Descarga de Safari 4.0.5.

(Debajo toda la lista de vulnerabilidades corregidas según la info de la lista de correo de “Apple Security”; (ENG)

APPLE-SA-2010-03-11-1 Safari 4.0.5

Safari 4.0.5 is now available and addresses the following:

Continue reading…

Entradas relacionadas

• Vulnerabilidades en navegador web Apple Safari. Nueva versión 3.2.2 para Windows Vista y XP (1)
• Navegador web Safari 4.0.4, actualización de seguridad (0)
• [Breves] Safari 5.0.2 y 4.1.2 solventan 3 vulnerabilidades (0)
• Vulnerabilidades y problemas solventados en iTunes 9.0.1 (0)
• Vulnerabilidades en Safari, nueva versión que las solventa (4.0.3) (0)

Desde websecurity, nos ofrecen una serie de interesantes consejos y medidas a poner en práctica para dotar a un sistema basado en GNU/Linux de un mayor nivel de seguridad. Partiendo de la creencia (al menos por estos dominios) de que la seguridad total es una utopía, cuanto más hagamos por llegar a ella, mejor que mejor.

Se da un repaso a herramientas creadas para fortalecer el núcleo (linux) con parches que pueden protegerte de ataques por desbordamiento del búfer, denegación de servicio y otros muy comunes. También se revisan servicios innecesarios o que puedan ser fuente de problemas y cómo desactivarlos, implementación de políticas de seguridad en el sistema, etc, etc.

El contenido se ofrece en 5 partes para una mejor comprensión.

Como blindar nuestro sistema Linux

• Blindaje de nuestro sistema (Parte I)
• Blindaje de nuestro sistema (Parte II)
• Blindaje de nuestro sistema (Parte III)
• Blindaje de nuestro sistema (Parte IV)
• Blindaje de nuestro sistema (Parte V)

Como podréis comprobar, los consejos y medidas a adoptar, además de mucha lógica, están escritos de un modo comprensible por todos. Recordad que en nuestro subforo de GNU/Linux, nos tenéis para echaros un cable -;)

Entradas relacionadas

• Servicios web y ataques a las cuenta de usuario ¿tanto cuesta avisar? (0)
• Serias vulnerabilidades en el navegador web Debian Iceweasel (0)
• Nueva sección en Daboweb; “Seguridad básica”, para los que empiezan. (0)
• (Debian GNU/Linux) Denegación de servicio y ejecución de código en MySQL (0)
• [Breves] Inesperada actualización final (la 9ª) para Debian GNU/Linux 4 (Etch) (0)

Fuera del ciclo mensual de actualizaciones se encuentra disponible para su instalación desde el update de Microsoft, una actualización de seguridad catalogada como crítica, para el Navegador web Internet Explorer en sus diferentes versiones.

Esta actualización viene a solventar problemas de seguridad que ya exponíamos en la entrada anterior y que podría permitir a un usuario malintencionado poner en peligro un sistema que esté ejecutando Microsoft Internet Explorer y hacerse con el control del mismo.

Se recomienda actualizar a la mayor brevedad posible.

La actualización se encuentra disponible desde el propio update automático de Windows o bien, mediante su descarga manual y posterior instalación.

Entradas relacionadas

• Grave vulnerabilidad en Microsof Windows y parche oficial para Internet Explorer (0)
• Virus Conficker o el precio de no actualizar el sistema operativo (1)
• Actualización urgente de seguridad en Microsoft Internet Explorer (0)
• Vulnerabilidades en navegador web Apple Safari. Nueva versión 3.2.2 para Windows Vista y XP (1)
• Vulnerabilidad en Google Chrome, actualización disponible (0)

No empieza el año bien Microsoft. A la conocida vulnerabilidad en Internet Explorer sin parche oficial que puede salir hoy Jueves (incluso varios gobiernos Europeos han desaconsejado su uso), se le suma ahora otra (con solución temporal para paliarlo manualmente prescindiendo de ejecutar aplicaciones en 16 bits) con un impacto grave para el sistema dado que a la falta de una solución vía Windows Update, se une la publicación del exploit para aprovechar el bug.

Según informan desde Hispasec, el analista especializado en seguridad Tavis Ormandy ha publicado un exploit para una vulnerabilidad que permite una escalada de privilegios en Windows valiéndose de un error de diseño en todos los Windows de 32 bits que data del año 1993. Afectando desde NT hasta Windows 7, pasando por 2000, 2003, 2008, XP y Vista.

Toda la información en Hispasec. | Parche oficial para IE hoy Jueves, la info en Threatpost.

Entradas relacionadas

• Actualización de Internet Explorer. Urge actualizar (0)
• Publicado en Daboweb, Diciembre de 2009 (0)
• Actualización urgente de seguridad en Microsoft Internet Explorer (0)
• Virus Conficker o el precio de no actualizar el sistema operativo (1)
• Vulnerabilidades en navegador web Apple Safari. Nueva versión 3.2.2 para Windows Vista y XP (1)

Se ha liberado la versión 2.0.172.43 de Google Chrome que entre otras, solventa una vulnerabilidad catalogada como crítica en un navegador que cada vez va adquiriendo más cuota de mercado, siendo por tanto más que aconsejable su inmediata actualización.

El bug parcheado evitaría un ataque sobre el motor de Javascript V8, que podría permitir a una página web manipulada, leer la memoria sin pasar por los controles de seguridad. Esto podría permitir a un atacante ejecutar código arbitrario o revelar datos no autorizados.

Más información en Google Chrome Releases.

Entradas relacionadas

• Vulnerabilidad crítica solventada en navegador Google Chrome (0)
• Vulnerabilidades críticas en Google Chrome (urge actualizar) (0)
• Vulnerabilidad crítica en Google Chrome (info y solución) (0)
• Vulnerabilidad de alto riesgo en Kaspersky Online Scanner (0)
• Resumen de noticias publicadas en Daboweb (Abril 2009) (0)

Se ha liberado la versión 2.0.172.33 de Google Chrome y según nos informan desde el blog de Chrome, solventa una vulnerabilidad catalogada como crítica en un navegador que cada vez va adquiriendo más cuota de mercado, siendo por tanto más que aconsejable su inmediata actualización.

Concretamente, el bug parcheado se trataba de un desbordamiento del búfer procesando respuestas HTTP debidamente manipuladas para tal fin. Esas peticiones recibidas de un servidor web podían llevar a cerrar el navegador y en el peor de los casos permitían a atacantes remotos ejecutar código arbitrario en el sistema afectado.

Más información en Google Chrome Releases.

Entradas relacionadas

• Vulnerabilidad en Google Chrome, actualización disponible (0)
• Vulnerabilidades críticas en Google Chrome (urge actualizar) (0)
• Vulnerabilidad crítica en Google Chrome (info y solución) (0)
• Vulnerabilidad de alto riesgo en Kaspersky Online Scanner (0)
• Resumen de noticias publicadas en Daboweb (Abril 2009) (0)