domingo, 31 de agosto de 2014

Nuevos contenidos en la Red Temática CriptoRed (agosto de 2014)

Breve resumen de las novedades producidas durante el mes de agosto de 2014 en CriptoRed, la Red Temática Iberoamericana de Criptografía y Seguridad de la Información.

APARTADO 1. ESPECIALIZACIÓN CRIPTORED
Tercera edición del curso online de Especialización en Seguridad Informática y Ciberdefensa
Del 20 de octubre al 20 de noviembre de 2014
Módulo 1: Incidentes de ciberguerra, ciberespionaje y operaciones militares (2 horas)
Módulo 2: Ciberarmas: Malware dirigido, 0 days y RATs  (2 horas)
Módulo 3: OSINT y ataques dirigidos APTS (14 horas)
Módulo 4. Gestión de claves. Ataques y recomendaciones (4 horas)
Módulo 5. Detección y fuga de información (6 horas)
Módulo 6: Protección de comunicaciones en redes móviles. WIFI, Bluetooth, GSM, GPRS, 3G (8 horas)
Módulo 7: Riesgos de seguridad con dispositivos móviles. IOS, Android y BlackBerry (4 horas)

APARTADO 2. RELACION CRONOLOGICA DE CONGRESOS, SEMINARIOS Y CONFERENCIAS DESTACADAS
2.1. Septiembre 2 al 5 de 2014: XIII Reunión Española sobre Criptología y Seguridad de la Información RECSI 2014 (Alicante - España)
2.2. Septiembre 15 al 20 de 2014: Primeras Jornadas de Ciberseguridad Clickaseguro (Valdepeñas - España)
2.3. Octubre 2 al 4 de 2014: IV Congreso de Seguridad Navaja Negra (Albacete - España)
2.4. Octubre 13 al 15 de 2014: 9th International Conference on Critical Information Infrastructures Security CRITIS 2014 (Limassol - Chipre)
2.5. Octubre 31 a noviembre 1 de 2014: 11a edición congreso NoConName (Barcelona - España)
2.6. Noviembre 8 al 9 de 2014: Congreso Seguridad Sin Importancia SSI 2014 (Santiago de Compostela - España)
2.7. Febrero 9 al 11 de 2015: 1st International Conference on Information Systems Security and Privacy ICISSP 2015 (Angers - Francia)
Más información en:

APARTADO 3. TAMBIEN FUE NOTICIA EN LA RED TEMATICA EN EL MES DE AGOSTO DE 2014
3.1. La Agencia Española de Protección de Datos convoca los premios Protección de Datos 2014 (España)
3.2. Décima primera edición del congreso NoConName en Barcelona (España)
3.3. Novedades en los ponentes invitados al congreso Seguridad Sin Importancia SSI 2014 (España)
3.4. Convocatoria de los Trofeos de la Seguridad TIC de la revista Red Seguridad en su novena edición (España)
3.5. APTs: durmiendo con el enemigo, en nuevo seminario Respuestas SIC (España)
3.6. Tercer curso online de Especialización en Seguridad Informática y Ciberdefensa en Criptored (España)
Acceso al contenido de estas noticias:

APARTADO 4. OTROS DATOS DE INTERES Y ESTADISTICAS DE LA RED TEMATICA EN EL MES DE AGOSTO DE 2014
4.1. Número actual de miembros en la red: 977
4.2. Universidades y centros de investigación representados: 252 (23 países)
4.3. Estadísticas Criptored:
35.409 visitas, con 98.653 páginas solicitadas, 82,09 Gigabytes servidos en agosto de 2014
Documentos zip y pdf descargados en el mes de julio: 27.000
Visitas al web acumuladas en el año 2014: 331.451
Redes sociales Criptored: 281 seguidores en facebook y 1.951 seguidores en twitter
4.4. Estadísticas Intypedia:
6.770 reproducciones de sus lecciones en agosto de 2014
Reproducciones acumuladas: 426.945
4.5. Estadísticas Thoth:
503 reproducciones en agosto de 2014
Reproducciones acumuladas: 6.188
Redes sociales Intypedia Thoth: 1.665 seguidores en facebook y 969 seguidores en twitter
4.6. Estadísticas Crypt4you:
12.895 accesos en agosto de 2014
Accesos acumulados: 385.322
Redes sociales Crypt4you: 1.112 seguidores en facebook y 659 seguidores en twitter



Jorge Ramió Aguirre
Director de Criptored

sábado, 30 de agosto de 2014

Cross-site scripting en múltiples productos F5

La firma SEC Consult ha anunciado una vulnerabilidad de cross-site scripting en múltiples productos F5.

F5 Networks es una compañía americana, con sede en en Seattle (Washington, EE.UU.), conocida por soluciones de alto nivel, con múltiples productos y soluciones de red que incluyen desde Application Delivery Controllers, hasta soluciones de seguridad y protección de centros de datos y de las aplicaciones de esos CPD.

El problema, con CVE-2014-4023, reside en que las entradas pasadas a tmui/dashboard/echo.jsp de la utilidad de configuración ("Configuration Utility") no son debidamente limpiadas antes de ser mostradas. Esto permite a usuarios remotos la ejecución arbitraria de código script en el navegador del usuario. Con ello el atacante podría acceder a las cookies (incluyendo las de autenticación) y a información recientemente enviada, además de poder realizar acciones en el sitio haciéndose pasar por la víctima.

Los productos afectados pertenecen principalmente a la gama de productos BIG-IP, junto con el Enterprise Manager. Concretamente se han confirmado como vulnerables los productos y versiones siguientes:
BIG-IP LTM 11.0.0 a 11.5.1 y 10.1.0 a 10.2.4
BIG-IP AAM 11.4.0 a 11.5.1 
BIG-IP AFM 11.3.0 a 11.5.1
BIG-IP Analytics 11.0.0 a 11.5.1
BIG-IP APM 11.0.0 a 11.5.1 y 10.1.0 a 10.2.4
BIG-IP ASM 11.0.0 a 11.5.1 y 10.1.0 a 10.2.4
BIG-IP Edge Gateway 11.0.0 a 11.3.0 y 10.1.0 a 10.2.4
BIG-IP GTM 11.0.0 a 11.5.1 y 10.1.0 a 10.2.4
BIG-IP Link Controller 11.0.0 a 11.5.1 y 10.1.0 a 10.2.4
BIG-IP PEM 11.3.0 a 11.5.1
BIG-IP PSM 11.0.0 a 11.4.1 y 10.1.0 a 10.2.4
BIG-IP WebAccelerator 11.0.0 a 11.3.0 y 10.1.0 a 10.2.4
BIG-IP WOM 11.0.0 a 11.3.0 y 10.1.0 a 10.2.4
Enterprise Manager 3.0.0 a 3.1.1 y 2.1.0 a 2.3.0

F5 Networks ha publicado versiones actualizadas para la mayoría de los productos afectados.

Más información:

sol15532: XSS vulnerability in echo.jsp CVE-2014-4023

Reflected Cross-Site Scripting


Antonio Ropero
Twitter: @aropero