Tal y como podemos leer en la web hermana «Cajón Desastres», Microsoft ha puesto a disposición de los usuarios fuera del ciclo de actualizaciones regular un parche que solventa una grave vulnerabilidad que afecta a todas las versiones de Internet Explorer. Para ello, es indispensable haber aplicado las actualizaciones de seguridad de las que nos hicimos eco el pasado día 12 y seguir estos pasos.
El pasado 16 de diciembre (se nos pasó publicarlo, pero se están detectando ataques con éxito en versiones vulnerables) el equipo de SMF puso a disposición de los usuarios las versiones 2.0.3, 1.1.17 y 1.0.23 de su sistema de foros. Las actualizaciones solventan un fallo de seguridad de impacto alto en todas las ramas, así como otros menores para la 2.0.x.
Recomendamos por tanto actualizar a la mayor brevedad posible todas las instalaciones de SMF.
(El método más cómodo para hacerlo, es desde el administrador de paquetes integrado en el panel de admin del foro si sólo se trata de parchear desde una versión anterior).
Además de los comentados, ayer, desde Packet Storm, se reportó una vulnerabilidad que afecta a la actual rama estable 2.0X a través de la cual es posible ver las rutas de instalación en el servidor (Path Disclosure). Tan sólo aclarar que este bug es real, pero sólo surte efecto si en php.ini el valor display_errors está = On (para que muestre los errores). Desde WHK Security (la fuente original y donde se reportó el bug) ofrecen una solución temporal hasta que el equipo de SMF lo solvente en futuras versiones.
Tal y como se venía comentando días atrás, Microsoft, dado el grado de exposición en el que quedaban los usuarios de su navegador frente a la vulnerabilidad de la que os informamos hace unos días, ha publicado un parche que para Internet Explorer 7, 8 y 9 que podéis descargar vía Windows Update.
Debido al impacto sobre el sistema, se recomienda actualizar a la mayor brevedad posible caso de usar este navegador ya que hablamos de una vulnerabilidad crítica.
Para más información sobre versiones afectadas y las actualizaciones, recomendamos visitar este enlace de Microsoft (en Inglés)
Aún sin los datos necesarios para conocer otras vías de mitigación del alcance de esta vulnerabilidad, se recomienda desactivar Java en todos los navegadores de forma urgente (info en Security By Default).
El motivo es que se ha descubierto un grave agujero de seguridad para el que Oracle aún no ha proporcionado un parche y cuyo código está al alcance de cualquiera con las consecuencias que este hecho conlleva. Si a esto le sumamos la política de actualización (cada 4 meses) que aplica Oracle a sus productos, la situación es preocupante.
Más información en Hispasec | En Ontinet Blog.
Desde hace unos meses, estamos viendo como los ataques, bien por vulnerabilidades «0 Day» o ya publicadas, hacia servidores web con paneles de administración Plesk van en aumento..
Una forma sencilla de saber si tu panel es sensible a los últimos bugs que le afectan (ENG, sirva como ejemplo y algunos solventados de forma poco transparente en forma de «microupdates») es instalando y ejecutando este sencillo script en PHP que ha realizado Parallels (ENG).
Como recomendación, caso que el resultado revele que está pendiente de actualizar, además de aplicar el parche lo antes posible, frente a posibles intrusiones en días anteriores, es conveniente cambiar todos los passwords de acceso al propio Plesk, cuentas FTP, MySQL, etc.
Se está hablando de más de 600.000 equipos infectados en todo el mundo por el troyano «Flashback» que como su nombre indica, se hace pasar por una actualización del reproductor de Flash para instalarse en tu equipo y aprovecharse de un bug en Java (desde Apple vía «Actualización de software» ya hay parches disponibles).
Tal y como leemos en SpamLoco, Dr Web ha puesto a disposición de los usuarios (Actualización, enlazamos a una de Kaspersky en Inglés) para que una vez hayas introducido el UUID de tu Mac (En la manzana, «acerca de este equipo» | «Más información» | «Hardware»), comprobar si estás infectado.
A través de Hispasec nos enteramos de la detección de un fallo de seguridad que afecta a varias distribuciones linuxeras que hacen uso del comando sudo para ejecutar aplicaciones o tareas de mantenimiento como otro usuario o como administrador del sistema. Concretamente la vulnerabilidad radica en un error de formato de cadena en la función «sudo_debug de sudo.c» cuando procesa el nombre del programa que se le pasa por parámetro.
Un usuario malintencionado podría realizar un enlace a nivel de sistema de ficheros del binario del comando sudo hacia un archivo, con un nombre manipulado y que contuviera caracteres especiales de cadena. Cuando ejecutase ese nuevo enlace lo haría con privilegios de root. Este problema no solo afecta a GNU/Linux, sigo que sistemas operativos también basados en UNIX, como BSD o Mac también se han visto afectados. Se ha publicado un parche que lo soluciona.
El equipo de desarrollo del sistema de foros SMF, ha liberado dos nuevas versiones para las ramas 2.x y 1.1x que solventan vulnerabilidades catalogadas por ellos como críticas. Debido a este hecho, se recomienda parchear los foros a la mayor brevedad posible.
Recordad que para actualizar hay que poner el foro en mantenimiento, después como idioma «english» y una vez parcheado, hay que ejecutar el script (y luego borrarlo) www/miforo/upgrade.php. Más info y descarga de las versiones 2.0.2 y 1.1.16.
Se ha liberado por parte de la comunidad de desarrolladores de BIND, la versión BIND 9.8.1-P1 que solventa una vulnerabilidad seria que afecta al conocido servidor DNS y que según podemos leer en ISC, resuelve fallos en su funcionamiento a través de ciertas peticiones y el registro o log de errores en «query.c».
Descarga | lista de cambios. (También están disponibles los parches en los «sources» de Debian).
Según leemos en la web amiga «Cajon Desastres«, Microsoft ha puesto a disposición de los usuarios un parche para solventar los efectos del troyano «Duqu» (sucesor del virus Stuxnet) que valiéndose de una vulnerabilidad en Windows pendiente de parchear, además de comprometer el equipo del usuario, está realizando un grado muy elevado de infecciones en equipos de terceros.
Toda la información y parches en Cajón Desastres.
Adobe acaba de publicar una nueva versión de su reproductor Flash Player que solventa varias vulnerabilidades catalogadas como críticas para los sistemas afectados. En Windows, GNU/Linux, Mac OS X o Solaris, si tienes la versión 10.3.183.7 o una anterior, debes actualizar a la 10.3.183.10. En plataformas Android, si tienes la versión 10.3.186.6 o una anterior, debes actualizar a la versión 10.3.186.7.
Si quieres saber la versión de Flash Player que utilizas, puedes comprobarlo desde este enlace.
Concretamente, los bugs corregidos son los siguientes; CVE-2011-2426, CVE-2011-2427, CVE-2011-2428, CVE-2011-2429, CVE-2011-2430, CVE-2011-2444. Hablamos de vulnerabilidades serias caso de ser explotadas, como puede ser la ejecución de código arbitrario en los equipos afectados (AVM stack overflow), ataques cross-site scripting a través de webs o e-mails previamente manipulados para tal fin, en funciones de streaming, etc.
Información detallada en Adobe de los parches incluidos y bugs (ENG) | Descarga de Flash Player.
Como habéis podido leer hoy en Daboweb, hace unas horas os informábamos acerca de los parches que ha aplicado Debian con una nueva versión de Apache que solventaba la vulnerabilidad y los ataque DoS CVE-2011-3192 (además de uno específico en mod_dav) tanto en la rama «oldstable» (Lenny) como en la «stable» (squeeze).
Os informamos que ya está disponible una nueva versión de Apache (2.2.20) que solventa dicho bug por lo que es más que recomendable su actualización a la mayor brevedad posible, además de revertir los posibles cambios (por ejemplo la activación de mod_deflate) relalizados para mitigar el impacto del bug cuando aún no había parches oficiales.
Información sobre cambios y correcciones | Descarga de la nueva versión | Fuente Sans.
Concretamente, la vulnerabilidad ha sido catalogada como «Range header DoS vulnerability in Apache 1.3 and Apache 2» (CVE-2011-3192:). El tema es serio ya que con un número relativamente bajo de peticiones, pueden producirse ataques de denegación de servicio, debido a un excesivo consumo de memoria y CPU.
Como prueba de concepto, está el script escrito en Perl denominado»killapache«. Para comprobar si vuestro servidor es susceptible de recibir este tipo de ataques, os recomendamos leer la entrada sobre el tema de Jordi Prats en»systemadmin.es»
Este bug, del que se espera que en 96 h aproximadamente esté parcheado (aunque hablan de parches para las versiones 2.0x y 2.2x, no para la 1.3x según informan), afecta especialmente a Apache junto a módulos relativos a la compresión de ficheros, como puede ser el caso de uno tan popular como mod_deflate. Debido a la falta de actualizaciones, se proponen varias medidas para paliar los efectos del bug.
Estas actuaciones se pueden combinar con otras soluciones de «apoyo» como podrían ser Mod-Evasive, Mod-Security, (D) DoS Deflate, la configuración de vuestro firewall, etc.
(#Disclaimer; En la fuente original ya se informa que estas medidas pueden afectar al normal uso de los sitios webs en los que se implementen. Vídeo por streaming, sesiones activas, ciertas descargas, cookies y otras peticiones legítimas).
1) Utilizar «mod_headers«; (Ponedlo debajo de la directiva «ServerRoot»)
RequestHeader unset Range
2) Usar «mod_rewrite» para limitar el número de intervalos:
RewriteCond % {HTTP:range} ^bytes=[^,]+(,[^,]+) {0,4}$
RewriteRule. *-[F]3) Reducir el tamaño en bytes de las peticiones; (mejor con la opción 1)
LimitRequestFieldSize 200
4) Usar temporalmente un módulo de «recuento» como mod_rangecnt.c. (esta opción mejor la última…)
http://People.Apache.org/~dirkx/mod_rangecnt.c (descarga directa)
5) Quitar «mod_deflate» temporalmente, la «menos mala» quizás.
(Alguna consideración sobre su desactivación aparte de un «a2dismod» en Debian y derivados)
«Removing any AddOutputFilterByType/SetOutputFilter DEFLATE entries. Disable it with «BrowserMatch .* no-gzip«
Ante las dudas que os puedan surgir, os recomendamos permanecer atentos a posibles parches y leer la fuente original de este artículo o está información de «Debian Security» en el que hablan del bug y cómo afecta a Apache en su versión estable. También es recomendable seguir este hilo para contrastar e ir leyendo más información.
Por David Hernández (Dabo).
Tal y como se lee en el título de la noticia, Microsoft ha puesto a disposición de los usuarios 13 boletines de seguridad que solventan un total de 22 vulnerabilidades en productos como; Internet Explorer, Microsoft .NET Framework, Microsoft Developer Tools, Microsoft Office y Microsoft Windows.
Desde Microsoft, Angela Gunn, obviamente insta a parchear en primer lugar las dos vulnerabilidades catalogadas como críticas y que afectan a Internet Explorer (MS11-057) donde el parche más serio es el que corrige la posibilidad de ejecución remota de código viendo una web especialmente manipulada para tal fin.
La otra afecta a DNS Server (MS11-058), donde el bug más importante que se ha corregido también impide la ejecución remota de código, si un atacante envía una consulta especialmente manipulada «Naming Authority Pointer» (NAPTR) al servidor DNS.
Más información en Microsoft sobre todos los parches y productos afectados.
Dicen las malas lenguas que rectificar es de sabios y aunque no esté del todo de acuerdo tenemos una rectificación importante que hacer.
A veces la inmediatez de publicar una noticia que puede afectar de forma grave a muchos usuarios de un programa o sistema hace que se puedan cometer errores que por suerte, al menos en este caso, tienen fácil solución.
Esta noche publicamos una información referente a un zero day en todas las versiones de wordpress, desde la 3.0.2 para abajo, incluida la 3.1 beta (no alfa).
Este zero day está corregido precisamente en la versión 3.0.2, algunos errores en las traducciones han llevado a esta confusión; por partes:
En Geekeries (en francés) hablan de versiones precedentes a la 3.0.2 (dernières) y habla de aplicar el parche sustituyendo una línea, no añadiéndola:
Sélectionnez le bout de code précédemment cité et coller le code suivant. Cela écrasera votre sélection puis enregistrez.
Lo que viene a decir:
Seleccione el fragmento citado arriba y pega el código siguiente. Que se sobreponen a la selección y guardar.
Mis pocos conocimientos de francés traducen mejor que eso, pero google no lo ha hecho (en este caso) del todo mal.
Además en AyudaWordpress hacen referencia a un artículo que a su vez apunta a un blog (http://blog.sjinks.pro/)
que precisamente sale en los agradecimientos en la noticia de la actualización de WordPress.
Fixed on day zero
One-click update makes you safe
This used to be hardThis maintenance release fixes a moderate security issue that could allow a malicious Author-level user to gain further access to the site, addresses a handful of bugs, and provides some additional security enhancements. Big thanks to Vladimir Kolesnikov for detailed and responsible disclosure of the security issue!
Lamentamos profundamente las molestias que hayamos podido ocasionar, ahora solo toca deshacer lo hecho aquellos que tenían la versión actualizada a la 3.0.2 ya sea eliminando la línea sobrante si la han añadido o haciendo una reinstalación de la versión desde el escritorio. También serviría la sustitución del archivo comment.php en /wp-includes/ si habeis hecho los deberes haciendo una copia antes de sustituirlo.
© 2024 Daboweb | Seguridad y ayuda informática | All Rights Reserved.