domingo, 26 de junio de 2016

Cross-Site Request Forgery en IBM WebSphere Portal

IBM ha publicado un boletín de seguridad para alertar de una vulnerabilidad de cross-site request forgery (CSRF) en IBM WebSphere Portal 8.5.

IBM WebSphere Portal ofrece una aplicación compuesta o infraestructura de "mashup" empresarial y las herramientas para crear soluciones basadas en SOA (Arquitectura Orientada a Servicios). WebSphere Portal contiene una amplia variedad de tecnologías destinadas a desarrollar y mantener portales B2C, B2B y B2E.

El problema, con CVE CVE-2016-2901, reside en un error de validación de las entradas del usuario que podría permitir a un atacante remoto realizar ataques de cross-site request forgery. Este tipo de vulnerabilidades permiten a un atacante ejecutar funcionalidades de una web determinada a través de la sesión de otro usuario en esa web. De esta forma un atacante podría tener acceso al servidor con los mismos permisos que los del usuario atacado.

IBM ha publicado una corrección para evitar este problema, disponible con la identificación PI62594:

Más información:

Security Bulletin: Cross-Site Request Forgery Vulnerability in IBM WebSphere Portal (CVE-2016-2901)


Antonio Ropero
Twitter: @aropero

sábado, 25 de junio de 2016

Actualización de seguridad para Google Chrome

Google ha publicado una actualización de seguridad para su navegador Google Chrome (versión 51.0.2704.103) para todas las plataformas (Windows, Mac y Linux) para corregir tres nuevas vulnerabilidades.

Como es habitual, Google no facilita información de todos los problemas corregidos. En esta ocasión, confirma la corrección de tres nuevas vulnerabilidades aunque únicamente facilita información de uno de ellos, tampoco ofrece detalles sobre la gravedad de los problemas. Se solucionan problemas de seguridad encontrados a través del trabajo de seguridad interno, de auditoría interna, pruebas automáticas y otras iniciativas (CVE-2016-1704).

Como es habitual, esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados o a través de "Información sobre Google Chrome" (chrome://chrome/).

Más información:

Stable Channel Update



Antonio Ropero
Twitter: @aropero