domingo, 5 de julio de 2015

Diversas vulnerabilidades en Cisco WebEx Meetings Server

Cisco ha publicado cinco boletines de seguridad para alertar de otras tantas vulnerabilidades en Cisco WebEx Meetings Server que podrían permitir a un atacante remoto obtener información sensible, realizar ataques de cross-site scripting o de inyección SQL. 

Cisco WebEx es un sistema para la realización de reuniones online como si se llevaran a cabo de forma presencial, con la posibilidad de compartir documentos, ofrecer presentaciones, mostrar productos y servicios, etc. así como realizar grabaciones de las mismas.

El primer problema, con CVE-2015-4210, reside en una validación insuficiente de las entradas del usuario, lo que podría facilitar a un atacante remoto la construcción de ataques de cross-site scripting (XSS).

Con CVE-2015-4209, unavulnerabilidad debida a una inconsistencia en las comprobaciones de autorización podrá permitir a un atacante enumerar las reuniones programadas y descargar el calendario para cada reunión. Con CVE-2015-4207, un problema de inclusión de información sensible en las URLs, podrá permitir a un atacante conectar a una reunión WebEx sin necesidad de registro.

Por otra parte, con CVE-2015-4208, una vulnerabilidad causada por la inclusión de información sensible en las URLs como parámetros GET, que además podrá ser empleada para inyectar comandos SQL directamente a través de la URL.

Por último, con CVE-2015-4212, una vulnerabilidad de exposición de información sensible que podrá permitir a un atacante remoto sin autenticar obtener acceso a datos y credenciales.

Los clientes de Cisco con contratos activos podrán obtener actualizaciones a través del Software Center en

Más información:

Cisco WebEx Meetings Meeting Access Number Vulnerability

Cisco WebEx Meeting Center GET Parameter Vulnerability

Cisco WebEx Meetings Host Calendar Download Vulnerability

Cisco WebEx Meetings Reflected Cross-Site Scripting Vulnerability

Cisco WebEx Meeting Center Data and Credential Exposure Vulnerability


Antonio Ropero

Twitter: @aropero

sábado, 4 de julio de 2015

Nuevos contenidos en la Red Temática CriptoRed (junio de 2015)

Breve resumen de las novedades producidas durante el mes de junio de 2015 en CriptoRed, la Red Temática Iberoamericana de Criptografía y Seguridad de la Información.

APARTADO 1. DOCUMENTOS PUBLICADOS EN LA RED TEMÁTICA EN EL MES DE JUNIO DE 2015
1.1. Introducción a las Métricas de Seguridad de la Información y su Aplicación en Nuevos Escenarios (Carlos Ormella Meyer, Universidad del Museo Social Argentino, Argentina)

APARTADO 2. PÍLDORAS FORMATIVAS THOTH PUBLICADAS EN EL MES DE JUNIO DE 2015
2.1. Vídeo píldora 26: ¿Cómo se clasifican los sistemas de cifra moderna?
2.2. Guion píldora 26: ¿Cómo se clasifican los sistemas de cifra moderna? (Jorge Ramió, UPM, España)
2.3. Podcast píldora 26: ¿Cómo se clasifican los sistemas de cifra moderna? (Locución Sandra Benito)
Acceso a todas las píldoras publicadas y documentación del proyecto Thoth

APARTADO 3. DOCUMENTOS RECOMENDADOS DE OTROS SERVIDORES EN EL MES DE JUNIO DE 2015
3.1. Newsletter de la revista Red Seguridad del mes de junio de 2015 (Red Seguridad, España)
3.2. Incidentes: ¿Fallas del sistema de gestión o incapacidad de aprendizaje? (Jeimy Cano, LinkedIn, UNIANDES, Colombia)

APARTADO 4. CITAS PARA EL MES DE JULIO DE 2015
4.1. Especialización en Seguridad informática para la intrusión de sistemas. Metasploit en profundidad,  1 al 14 de julio, Criptored Formación (Pablo González)
4.2. No hay convocatorias destacadas de congresos en la red temática para el mes de Julio

APARTADO 5. VIII CONGRESO CIBSI Y III TALLER TIBETS (Quito, Ecuador, 10 al 12 de noviembre de 2015)
5.1. Web del congreso
37 trabajos recibidos para CIBSI y 9 trabajos recibidos para TIBETS

APARTADO 6. RELACION CRONOLOGICA DE CONGRESOS, SEMINARIOS Y CONFERENCIAS DESTACADAS
6.1. Septiembre 14 al 16: Primeras Jornadas Nacionales de Investigación en Ciberseguridad (León - España)
6.2. Agosto 22 al 26 de 2015: Latincrypt 2015 (Guadalajara - México)
6.3. Octubre 5 al 7 de 2015: 10th International Conference on Critical Information Infrastructures Security CRITIS 2015 (Berlín - Alemania)
6.4. Noviembre 10 al 12 de 2015: VIII Congreso CIBSI y III Taller TIBETS (Quito - Ecuador)
6.5. Diciembre 1 al 4 de 2015: Workshop on Ambient Intelligence for Transport (Puerto Varas - Chile)
6.6. Marzo 14 al 18 de 2016: XII Seminario Iberoamericano de Seguridad en las Tecnologías de la Información (La Habana - Cuba)
Más información en:

APARTADO 7. FUE NOTICIA EN LA RED TEMATICA EN EL MES DE JUNIO DE 2015
7.1. Superado el medio millón de visitas en MOOC Crypt4you y 500 GigaBytes servidos en 5 meses en la red temática (España)
7.2. VII Encuentro de Seguridad Integral Seg2 de Red Seguridad en Madrid (España)
7.3. Publicada la píldora formativa Thoth 26 ¿Cómo se clasifican los sistemas de cifra moderna? (España)
7.4. Llamada para el envío de trabajos a las Jornadas Nacionales de Investigación en Ciberseguridad en León (España)
7.5. Ultimos días para matricularse en el curso práctico online de intrusión en sistemas y metasploit de Pablo González (España)
7.6. Beca para la realización del Doctorado en Criptografía en la Universidad Pompeu Fabra (España)
7.7. Ultima llamada para el envío de trabajos al Workshop on Ambient Intelligence for Transport (Chile)
Acceso al contenido de estas noticias:

APARTADO 8. OTROS DATOS DE INTERES Y ESTADISTICAS DE LA RED TEMATICA EN EL MES DE JUNIO DE 2015
8.1. Número actual de miembros en la red:

8.2. Estadísticas Criptored:
  • 42.705 visitas, con 117.544 páginas solicitadas y 106,86 Gigabytes servidos en junio de 2015
  • Documentos zip, pdf y mp3 descargados en el mes de junio: 38.089
  • Visitas al web acumuladas en el año 2015: 246.134 con 609,03 Gigabytes servidos
  • Redes sociales Criptored: 514 seguidores en facebook y 2.235 seguidores en twitter
    http://www.criptored.upm.es/estadisticas/awstats.www.criptored.upm.es.html

8.3. Estadísticas Intypedia:

8.4. Estadísticas Thoth:

8.5. Estadísticas Crypt4you:




Jorge Ramió Aguirre
Director de Criptored