jueves, 18 de diciembre de 2014

Actualización del kernel para Red Hat Enterprise Linux 6

Red Hat ha publicado una actualización considerada importante del kernel de Red Hat Enterprise Linux 6 y 6.6.z (cliente y servidor), que solventa ocho nuevas vulnerabilidades que podrían ser aprovechadas por un atacante para elevar sus privilegios en los sistemas afectados y provocar condiciones de denegación de servicio.

Existen vulnerabilidades de denegación de servicio por problemas en en la implementación SCTP (CVE-2014-3673, CVE-2014-3687 y CVE-2014-3688), en el sistema de archivos UDF (CVE-2014-6410) y en la implementación de red por el tratamiento de sockets raw (CVE-2012-6657).

Por otra parte existen vulnerabilidades de elevación de privilegios al recuperarse de un fallo en el segmento de pila (CVE-2014-9322) y en la función parse_rock_ridge_inode_internal() de la implementación ISOFS (CVE-2014-5471, CVE-2014-5472)

Además se han solucionado otros fallos de menor importancia. Ésta actualización está disponible desde Red Hat Network. Información sobre el uso de Red Hat Network para la instalación de la actualización está disponible en:

Más información:

Important: kernel security update



Antonio Ropero

Twitter: @aropero

miércoles, 17 de diciembre de 2014

Cross-Site Scripting en Cisco ASA

Cisco ha anunciado la existencia de una vulnerabilidad en el software Cisco de losAdaptive Security Appliances (ASA) configurados para WebVPN, que podría permitir a un atacante realizar ataques de cross-site scripting.

El problema reside en la validación inadecuada de las entradas en la página de autenticación del portal WebVPN de Cisco ASA que podría permitir la ejecución de código script arbitrario (cross-site scripting). Con ello el atacante podría acceder a las cookies (incluyendo las de autenticación) y a información recientemente enviada, además de poder realizar acciones en el sitio haciéndose pasar por la víctima.

La vulnerabilidad tiene asignado el CVE-2014-8012. Cisco no ofrece actualizaciones gratuitas para este problema. Para obtener versiones actualizadas se debe contactar con el canal de soporte.

Más información:

Cisco Adaptive Security Appliance DOM Cross-Site Scripting Vulnerability in WebVPN Portal


Antonio Ropero
Twitter: @aropero