Daboweb

Archive for enero, 2012

Problema de seguridad en sudo

Posted by vlad on enero 31, 2012
Seguridad Informática

A través de Hispasec nos enteramos de la detección de un fallo de seguridad que afecta a varias distribuciones linuxeras que hacen uso del comando sudo para ejecutar aplicaciones o tareas de mantenimiento como otro usuario o como administrador del sistema. Concretamente la vulnerabilidad radica en un error de formato de cadena en la función “sudo_debug de sudo.c” cuando procesa el nombre del programa que se le pasa por parámetro.

Un usuario malintencionado podría realizar un enlace a nivel de sistema de ficheros del binario del comando sudo hacia un archivo, con un nombre manipulado y que contuviera caracteres especiales de cadena. Cuando ejecutase ese nuevo enlace lo haría con privilegios de root. Este problema no solo afecta a GNU/Linux, sigo que sistemas operativos también basados en UNIX, como BSD o Mac también se han visto afectados. Se ha publicado un parche que lo soluciona.

Tags: , , , , ,

Herramientas para la interpretación de capturas de red. (9/10) Parte 2

Posted by Alfon on enero 26, 2012
Seguridad Informática

En anteriores entregas:

Presentación | Parte 1 | Parte 2 | Parte 3 | Parte4 | Parte 5 | Parte 6 | Parte 7 | Parte 8 | Parte 9 / 1

Afterglow, InetVis, TNV, Argus, INAV.

 

Seguimos con las herramientas que nos proporcionarán una visión gráfica de nuestras capturas. En esta Parte 2 vamos a ver InetVis.

InetVis es una herramientas diferente ya que la representación gráfica del tráfico de red se realizará a través de una representación tridimensional 3D mediante un cubo. Lo vemos…

 

Qué es InetVis.

 

InetVis está basado en el concepto de Spinning Cube of Potencial Doom. Se trata de una herramienta de visualicación tridimensional del tráfico de red  que, además, puede visualizarse reproduciéndose a lo largo del tiempo.

Su objetivo principal es el análisis de tráfico anómalo y scan de puertos a través de una serie de patrones.

InetVis está disponible tanto para sistemas Linux como windows y lo podemos descargar desde:

En esta ocasión vamos a usarlo desde un entorno Windows.

Continue reading…

Tags: , , , ,

Navegador web Opera (11.61) solventa dos bugs, uno de ellos catalogados como crítico.

Posted by Dabo on enero 26, 2012
Seguridad Informática

OperaSegún podemos leer en H-Online, (ENG) el equipo de Opera ha liberado la versión 11.61 de su navegador web. Se han solventado dos vulnerabilidades, siendo una de ellas catalogada de un impacto crítico para el sistema.

Concretamente, un XSS (Cross-site scripting), puede hacer que un atacante pueda traspasar las políticas original de seguridad del software, comprometiendo su integridad. El segundo fallo, catalogado como “leve”, puede hacer que páginas remotas detecten ficheros locales en el sistema del usuario. Hay acualizaciones para Windows, Mac OS X, GNU/Linux, FreeBSD y Solaris. Descargas.

Tags: , , , ,

[Breves] Kernel linux-3.2.x soporta conector midi UM-ONE

Posted by Liamngls on enero 25, 2012
[Breves]

Sacado de los foros, nuestro compañero shicefgo nos comenta lo siguiente:

 

Hola.
No sé si por aquí pasará mucha gente interesada en esto, pero me ha parecido que no estaría de más comentarlo.

Si tenemos por casa un teclado de piano con soporte midi, podemos conectarlo a nuestro linux con el conector um-one de Roland, y con la ayuda de los programas rosegarden y qjackctl, hacer que el ordenador grabe y escriba las partituras de lo que toquemos o que nos reproduzca la música legible por rosegarden a través de nuestro pianillo. El UM-ONE tiene un conector usb que va al ordenador y dos conectores midi de 5 pines que van a los input y output del teclado, y en medio una especie de tarjeta de sonido, para entendernos. Esto es más barato que una interfaz midi profesional y para darse el capricho de montar nuestro pequeño estudio de sonido puede servir.

No confundir con el um-1, que parece que se pronuncian igual pero son diferentes.

Hasta hace un par de semans, o algo menos, no apareció incorporado al kernel 3.2.0. Los kernels anteriores tienen soporte para otros conectores midi parecidos, pero según me dijeron en la tienda, Roland ha dejado la mayoría obsoletos y parece ser que el que venden últimamente en las tiendas es el um-one.

Y es tan fácil como conectarlo al piano y al ordenador, cargar los programas rosegarden y qjackctl (alguna configuración puede que haga falta en éstos, pero en internet hay info), y a cantar. 😉

Saludos.

Tags: , ,

Joomla! 2.5.0 y 1.7.4 actualizaciones de seguridad

Posted by Liamngls on enero 25, 2012
Webmaster

Dos nuevas actualizaciones para Joomla!, concretamente la versión 1.7.4 de la rama 1.7 (obvio) y la versión 2.5, ambas catalogadas como de seguridad por el equipo de desarrollo. Ésta última contiene 26 nuevas características, 4 problemas de seguridad corregidos y otros 356 no catalogados como de seguridad, de los importantes dos han sido catalogados de prioridad baja (Low Priority – Core – Information Disclosure 1,2)y los otros dos de prioridad media (Medium Priority – Core – XSS Vulnerability 1, 2)

La rama 1.7.4 corrige esos mismos cuatro problemas de seguridad, en cualquier caso es importante actualizar. Además se informa que la rama 1.7 finalizará dentro de un mes, el 24 de Febrero de 2012 y se recomienda migrar ya a la versión 2.5 que está asignada como LTS y ofrece al menos 18 meses de soporte.

Al mismo tiempo se ha publicado un anuncio oficial sobre la versión 2.5 recalcando algunos aspectos nuevos como la notificación automática de actualizaciones, tanto del núcleo como de extensiones, la búsqueda avanzada y compatibilidad con Microsoft SQL Server.

Anuncio oficial (1.7.4) | Anuncio oficial (2.5). | Noticia sobre novedades.

Tags: , , , , , , ,

[Breves] Actualización en Kernel de Ubuntu 10.10 solventa 3 vulnerabilidades.

Posted by Dabo on enero 24, 2012
[Breves]

Canonical ha anunciado en un boletín de seguridad,una actualización del Linux Kernel para Ubuntu 10.10 (Maverick Meerkat), esta actualización solventa 3 vulnerabilidades de diferente impacto para el sistema. La solución pasa por actualizar el Kernel (linux-image) de la versión 2.6.35-32 a la 2.6.35-32.64.

Más información sobre los bugs; CVE-2011-1162, CVE-2011-2203, y CVE-2011-4110.

Vulnerabilidades en Apache Tomcat 5, 6 y 7

Posted by vlad on enero 23, 2012
Seguridad Informática

A través de Hispasec nos hacemos eco de las vulnerabilidades remotas localizadas en el contenedor de servlets Apache Tomcat, desarrollado por la Apache Software Foundation, las cuales han sido consideradas como de importancia por sus mantenedores, con lo que se recomienda a aquellos administradores que lo usen en su servidor procedan a comprobar si su versión de Tomcat es una de las afectadas. En concreto se trata de los siguientes fallos:

  •  Denegación de servicio remota  relacionada con las colisiones en las tablas hash. Las versiones afectadas son la 5, 6 y 7
  •  Revelación de información sensible debido a un error en el reciclado de objetos que podría volver visibles datos como IPs remotas o cabeceras HTTP a través de peticiones especialmente manipuladas. Las versiones afectadas son la 6 y 7.

Más información y solución en Hispasec

Tags: , , , , , , ,

Vulnerabilidades severas en phpMyAdmin. Debian Security (DSA-2391-1).

Posted by Dabo on enero 22, 2012
Seguridad Informática

phpMyAdminSe han reportado por parte de Debian dos vulnerabilidades en el gestor de bases de datos phpMyAdmin. Se recomienda su actualización a la mayor brevedad posible debido al impacto de las mismas en el sistema caso de ser explotadas.

La versión “oldstable” (lenny) no está afectada por estos problemas, para la rama actual estable (Squeeze), hay que actualizar phpMyAdmin a la versión 4:3.3.7-7., en la de pruebas “Whezzy” hay que actualizar a la 4:3.4.7.1-1.:

Referencias sobre los bugs (entre ellos un XSS).

In the Debian bugtracking system: Bug 656247.
In Mitre’s CVE dictionary: CVE-2011-1940, CVE-2011-3181, CVE-2011-4107.

Tags: , , , , , , , ,

El FBI cierra Megaupload

Posted by vlad on enero 20, 2012
Cibercultura

El FBI norteamericano ha clausurado la popular página de descargas Megaupload, la cual ha dejado de funcionar, acusada de priratería informática y violación de derechos de autor. Siete personas han sido detenidas en lo que las autoridades de Estados Unidos han calificado comouno de los mayores casos criminales de copyright en la historia de los Estados Unidos,  los cuales se enfrentan a  20 años por contrabando, 5 años por infringir derechos de autor, 20 años lavado de dinero y 5 años por cada una de las dos cuentas asociadas a derechos de autor. También han sido clausurados sitios webs relacionados con Megaupload, como Megaporn, Megavídeo, Megapix, Megabox, Megalive, Megafund y Megakey. También se alude en el informe a webs como Series o películas yonkis.

Medio internet no puede dar crédito a sus ojos ante esta medida, la cual es tan solo el anticipo de lo que las impopulares leyes antidescarga pueden llegar a hacer en la red, algo de lo que hablamos el día del “Blockout” expresando nuestro rechazo contra la SOPA. Ese rechazo es mas que evidente entre los internautas, sobre todo si tenemos en cuenta que ha sucedido tan solo horas después de que muchas webs cerraran sus puertas durante un dia en protesta a leyes como la SOPA (la Sinde americana) y que, estando la votación y posible aprobación de esta medida actualmente congelada, sea tan solo un golpe de efecto con vistas a su definitiva implantación. El tiempo lo dirá.

El problema es que se han borrado datos de usuarios que no tenían por qué contener ficheros ilegales o que violen los derechos de autor, otros están afectados por un problema con el pago de sus cuentas y además, hay mucha inquietud por cómo se tratarán esos datos (nombres, IPs, correos, números de tarjetas de los usuarios) por parte de las autoridades de EEUU.

El colectivo Anonymous ha respondido efecuando ataques de Denegación de servicio a modo de protesta contra webs como la del Departamento de Justicia de Estados Unidos,  la de la compañia discográfica Universal o  la US Copyright Office así como otras del sector.

Tags: , , ,

Sobre la responsabilidad de la (IN) Seguridad. Interesante reparto / repaso

Posted by Dabo on enero 19, 2012
Seguridad Informática

SeguridadMuchas veces ejercemos eso de “echar balones fuera” hablando de quién tiene realmente la responsabilidad de que un sistema, entorno web o infraestructura tenga una brecha de seguridad, la verdadera realidad es que es algo de todos…

Os recomendamos leer una entrada muy interesante en Sec-Track que se presentó en el BarCampSE en Medellín en la que paso a paso, se va desgranando la responsabilidad que cada eslabón de la cadena de la seguridad puede tener, para que bien no se rompa, o caso de que así sea, saber por dónde pueden venir “los tiros”. Un trabajo de meses en un magnífico post.

Acceso a; “Finalmente… ¿Quiénes son los responsables de la (In)seguridad?

Tags: