domingo, 22 de enero de 2017

Nuevas versiones de PHP corrigen múltiples vulnerabilidades

El equipo de desarrollo de PHP ha publicado actualizaciones para las ramas 7.1, 7.0 y 5.6 de PHP para solucionar múltiples vulnerabilidades que pueden ser aprovechadas para provocar denegaciones de servicio e incluso comprometer los sistemas afectados.

Son múltiples las vulnerabilidades corregidas, aunque ninguna de ellas tiene asignado CVE. Afectan a un gran número de componentes, que además del propio core, incluyen COM, DOM, EXIF, GD, GMP, Mysqli, Mysqlnd, PCRE, PDO_Firebird, Phar, Phpdbg, Reflection, Streams, SQLite3, Standard y Zlib.

Entre los problemas corregidos cabe señalar múltiples desbordamientos de entero, acceso de lectura y escritura ilegal, desreferencias de puntero nulo o usos de memoria después de liberarla.

Se recomienda actualizar a las nuevas versiones 7.1.1, 7.0.15 y 5.6.30 desde

Más información:

PHP 7 ChangeLog
Version 7.0.15
Version 7.1.1

PHP 5 ChangeLog
Version 5.6.30



Antonio Ropero
Twitter: @aropero


sábado, 21 de enero de 2017

Vulnerabilidad de Cross-Site Scripting en IBM iNotes

IBM ha confirmado una vulnerabilidad en IBM iNotes que podría permitir a atacantes remotos la realización de ataques de cross-site scripting.

IBM iNotes (anteriormente conocido como IBM Lotus iNotes) es una versión completa basada en web del cliente de Notes, incluyendo todas sus funciones. iNotes proporciona acceso desde el navegador al correo electrónico, el calendario y los contactos de Notes, así como el acceso a las aplicaciones y herramientas empresariales.

El problema corregido (con CVE-2016-5881) reside en una validación inadecuada de las entradas del usuario. Un atacante remoto podría explotar la vulnerabilidad mediante URLs específicamente creadas, lo que le permitiría ejecutar scripts en el navegador de la víctima. Se podría utilizar esta vulnerabilidad para robar las cookies de las credenciales de autenticación de la víctima y los datos presentados recientemente.

Se ven afectadas las versions IBM iNotes 9.0 y 9.0.1 anterior a 9.0.1 Fix Pack 7 e IBM iNotes 8.5, 8.5.1, 8.5.2 y 8.5.3 anterior a 8.5.3 Fix Pack 6 Interim Fix 15

IBM ha publicado las actualizaciones necesarias en Domino e iNotes versiones 9.0.1 Fix Pack 7 y 8.5.3 Fix Pack 6 Interim Fix 15. Disponible desde:
Notes/Domino 9.0.1 Fix Packs
Interim Fixes para 8.5.3 Fix Pack 6 IBM Notes, IBM Domino e IBM iNotes
Notes/Domino 8.5.3 Fix Packs

Más información:

Security Bulletin: Fix Available for IBM iNotes Cross-site Scripting Vulnerability (CVE-2016-5881)




Antonio Ropero
Twitter: @aropero