domingo, 2 de agosto de 2015

Nuevas versiones de Django solucionan varias vulnerabilidades

La Django Software Foundation ha publicado nuevas versiones de las ramas 1.4, 1.7 y 1.8 de Django, que solucionan varias vulnerabilidades que permitirían ataques de inyección de cabeceras y de denegación de servicio.

Django es un framework de código abierto basado en Python para el desarrollo de sitios web siguiendo el patrón MVC (Modelo-Vista-Controlador). Fue publicado por primera vez en 2005, y desde entonces su uso ha experimentado un considerable crecimiento entre los desarrolladores. Se compone de una serie de herramientas para facilitar la creación de páginas Web, siguiendo las directrices 'DRY' (Do not repeat yourself – No se repita) evitando redundancias de código y consecuentemente reduciendo tiempo y esfuerzo.

La primera vulnerabilidad descubierta por Eric Peterson y Lin Hua Chengy, ha sido identificada como CVE-2015-5143. Es debida a un error en las 'session backends' por el que un atacante remoto no autenticado podría provocar una denegación de servicio a través del mero envío de múltiples peticiones repetidas con claves de sesión desconocidas.

La segunda vulnerabilidad descubierta por Sjoerd Job Postmus, ha sido identificada como CVE-2015-5144. Se debe a un error de validación de entradas al usar expresiones regulares incorrectas. Un atacante remoto podría aprovechar esta vulnerabilidad, para realizar ataques de inyección de cabeceras afectando parcialmente a la integridad del sistema a través de múltiples vectores relacionados con: nuevos caracteres, mensajes de email a 'EmailValidator', y las funciones 'validate_ipv4_address()' y 'validate_slug validator()'.

Para terminar, la última vulnerabilidad, descubierta por João Silva y Ross Brunton, ha sido identificada como CVE-2015-5145. En la cual se produce un error de validación en 'django.core.validators.URLValidator' al incluir expresiones regulares que no evalúan correctamente determinadas entradas. Un atacante remoto, podría valerse de esta vulnerabilidad para provocar una denegación de servicio (consumo excesivo de CPU) a través de vectores no especificados (posiblemente entradas especialmente manipuladas).

Django Software Foundation ha publicado las versiones 1.8.3, 1.7.9, 1.4.21 de Django que solucionan estas vulnerabilidades. Las actualizaciones están disponibles a través del repositorio PyPi o la página oficial de Django.

Más información:
Django Security releases issued



Juan Sánchez

sábado, 1 de agosto de 2015

Nuevos contenidos en la Red Temática CriptoRed (julio de 2015)

Breve resumen de las novedades producidas durante el mes de julio de 2015 en CriptoRed, la Red Temática Iberoamericana de Criptografía y Seguridad de la Información.

APARTADO 1. DOCUMENTOS PUBLICADOS EN LA RED TEMÁTICA EN EL MES DE JULIO DE 2015
1.1. Ciberseguridad: un nuevo paradigma de la seguridad y nuevos retos en la formación especializada (Jorge Ramió, Universidad Politécnica de Madrid, España)
http://www.criptored.upm.es/guiateoria/gt_m001o1.htm
1.2. MESI 2.0, un paso más en la generación del mapa definitivo de enseñanza de seguridad (Revista SIC, Jorge Ramió, Universidad Politécnica de Madrid, España)
http://www.criptored.upm.es/guiateoria/gt_m001n1.htm

APARTADO 2. PÍLDORAS FORMATIVAS THOTH PUBLICADAS EN EL MES DE JULIO DE 2015
2.1. Vídeo píldora 27: ¿Qué es mejor, la criptografía simétrica o la asimétrica?
2.2. Guion píldora 27: ¿Qué es mejor, la criptografía simétrica o la asimétrica? (Autor: Jorge Ramió, UPM, España)
2.3. Podcast píldora 27: ¿Qué es mejor, la criptografía simétrica o la asimétrica? (Locución: Sandra Benito)
Acceso a todas las píldoras publicadas y documentación del proyecto Thoth

APARTADO 3. DOCUMENTOS RECOMENDADOS DE OTROS SERVIDORES EN EL MES DE JULIO DE 2015
3.1. Gobierno y gestión de la seguridad de la información. Venciendo la zona cómoda del CISO (Blog IT-Insecurity, Jeimy Cano, UNIANDES, Colombia)
3.2. La auditoría de TI en un entorno VICA. El reto de la razonabilidad en un ecosistema digital (Blog IT-Insecurity, Jeimy Cano, UNIANDES, Colombia)
3.3. Preocupaciones acerca del mundo digital (Hugo Scolnik, Universidad de Buenos Aires, Argentina)
3.4. Número 135 de la revista Sistemas de la Asociación Colombiana de Ingenieros en Sistemas dedicada a la seguridad (varios autores, Colombia)
3.5. Seguridad y Privacidad de la Información. Retos en un entorno VICA (Jeimy Cano, LinkedIn, UNIANDES, Colombia)
3.6. La investigación forense informática. Tensiones emergentes entre los estándares vigentes y el  ecosistema digital  (Blog IT-Insecurity, Jeimy Cano, UNIANDES, Colombia)
3.7. Incidentes: Exposición a la pérdida + que probabilidad por impacto (Jeimy Cano, LinkedIn, UNIANDES, Colombia)
3.8. Newsletter de la revista Red Seguridad del mes de julio de 2015 (Red Seguridad, España)

APARTADO 4. CITAS PARA EL MES DE AGOSTO DE 2015
4.1. Del 22 al 26: Cuarta conferencia internacional en criptologia y seguridad informatica en Latinoamerica LatinCrypy 2015 (Guadalajara - México)

APARTADO 5. VIII CONGRESO CIBSI Y III TALLER TIBETS (Quito, Ecuador, 10 al 12 de noviembre de 2015)
5.1. Web del congreso
48 trabajos recibidos, Comité de Programa en fase de evaluación

APARTADO 6. RELACION CRONOLOGICA DE CONGRESOS, SEMINARIOS Y CONFERENCIAS DESTACADAS
6.1. Agosto 22 al 26 de 2015: Latincrypt 2015 (Guadalajara - México)
6.2. Septiembre 14 al 16: Primeras Jornadas Nacionales de Investigación en Ciberseguridad (León - España)
6.3. Septiembre 15 de 2015: Congreso y Feria Iberoamericana de Seguridad de la Información Segurinfo (Barcelona - España)
6.4. Octubre 5 al 7 de 2015: 10th International Conference on Critical Information Infrastructures Security CRITIS 2015 (Berlín - Alemania)
6.5. Noviembre 10 al 12 de 2015: VIII Congreso CIBSI y III Taller TIBETS (Quito - Ecuador)
6.6. Diciembre 1 al 4 de 2015: Workshop on Ambient Intelligence for Transport (Puerto Varas - Chile)
6.7. Marzo 14 al 18 de 2016: XII Seminario Iberoamericano de Seguridad en las Tecnologías de la Información (La Habana - Cuba)
Más información en:

APARTADO 7. FUE NOTICIA EN LA RED TEMATICA EN EL MES DE JULIO DE 2015
7.1. Oferta de tres cursos de seguridad avanzada en Criptored Formación para los meses de octubre y noviembre de 2015 (España)
7.2. Inicia en agosto el MOCC Descodificando Álgebra de la UPF, matemáticas para la criptografía (España)
7.3. Curso de formación continua y título propio de Hacking Ético impartido por la UPM y Deloitte (España)
7.4. Comienza el miércoles 1 de julio el curso Especialización en seguridad informática para la intrusión de sistemas. Metasploit en profundidad  (España)
7.5. Segurinfo España 2015 se celebra 15 de septiembre de 2015 en Cornellà de Llobregat Barcelona (España)
7.6. Nace la Asociación Venezolana de la Seguridad de la Información ASOVESINFO (Venezuela)

APARTADO 8. OTROS DATOS DE INTERES Y ESTADISTICAS DE LA RED TEMATICA EN EL MES DE JULIO DE 2015
8.1. Número actual de miembros en la red:

8.2. Estadísticas Criptored (al 29/07/15):
  • 35.445 visitas, con 101.013 páginas solicitadas y 78,12 Gigabytes servidos en julio de 2015
  • Documentos zip, pdf y mp3 descargados en el mes de julio: 29.845
  • Visitas al web acumuladas en el año 2015: 281.571 con 687,14 Gigabytes servidos
  • Redes sociales Criptored: 528 seguidores en facebook y 2.245 seguidores en twitter
    http://www.criptored.upm.es/estadisticas/awstats.www.criptored.upm.es.html

8.3. Estadísticas Intypedia (al 29/07/15):

8.4. Estadísticas Thoth (al 29/07/15):

8.5. Estadísticas Crypt4you (al 29/07/15):




Jorge Ramió Aguirre
Director de Criptored