Daboweb

Fuerza bruta

WordPress 3.9.2. Actualización de seguridad

Posted by Destroyer on agosto 07, 2014
Seguridad Informática

WordPress 3.9.2

Es probable que hayas experimentado ya la sensación de ver en tu bandeja de entrada del correro un mail diciendo que tu WordPress se ha actualizado de forma automática a la recién publicada versión 3.9.2

Si por algún motivo no ha funcionado la actualización automática, te recomendamos que la apliques de forma manual ya que trae consigo interesantes mejoras y novedades en seguridad. Desde los peligrosos y molestos ataques de fuerza bruta a través de XML-RPC (han trabajado en conjunto con el equipo de Drupal), evita posibles fugas de información o la ejecución de código bajo determinadas circunstancias, pasando por paliar un posible XSS que afectaría al administrador y otros ataques de fuerza bruta vía CSRF.

.

Tags: , , , , , , ,

Fallos de seguridad en WhatsApp

Posted by vlad on enero 02, 2012
Seguridad Informática, Sistemas Operativos

Según leíamos en Hispasec hace unos días (se nos pasó por aquello de las fechas), se han detectado varias vulnerabilidades que afectan a la popular aplicación de mensajería del sistema operativo Android, las cuales pueden comprometer la seguridad del aparato atacado. En concreto son:

1. Es posible cambiar el estado de un usuario simplemente proporcionando el número de teléfono registrado en WhatsApp y el texto con el mensaje del nuevo estado ya que no se requiere ninguna autenticación o autorización previa a dicha acción.

2. La función que comprueba el código que se envía durante el proceso de registro de un nuevo número de teléfono es vulnerable a ataques de fuerza bruta, lo cual podría permitir que un atacante remoto registre de números de teléfono arbitrarios y suplante la identidad de estos usuarios.

3. El tráfico de datos a través del protocolo XMPP de WhatsApp no está cifrado, lo cual podría ser aprovechado por un atacante remoto para llevar a cabo un ataque Man-in-the-Middle, y conseguir leer, enviar, recibir, e incluso modificar mensajes que están destinados a otra persona.

Solamente se ha facilitado como medida de protección ante el segundo fallo, una limitación de 10 intentos para introducir el códigoque se envía a la hora de realizar el ataque de fuerza bruta, aunque no hay nada al respecto de las otras dos vulnerabilidades. Recordemos que esta aplicación informática se ha hecho muy popular entre todos los usuarios de teléfonos móviles que disponen de Android como su sistema operativo, lo cual multiplica exponencialmente el número de usuarios que pueden verse afectados. Mas información aquí.

Tags: , , , , , ,

[Breves] Protección en servidores GNU/Linux contra ataques de fuerza bruta con BFD

Posted by Destroyer on octubre 17, 2010
[Breves]

Nuestro compañero Dabo ha publicado en su blog un tutorial sobre el uso de BFD, (Brute Force Detection) una herramienta muy a a tener en cuenta para proteger un servidor web bajo GNU/Linux frente a ataques de fuerza bruta, servicios tan importantes en  como; sshd, FTP, correo POP e IMAP, etc.

Acceso al post en DaboBlog.

Tags: , , , , , , , , ,