sábado, 28 de mayo de 2016

Cross-site scripting en VMware vCenter Server

VMware ha publicado una actualización de seguridad para corregir una vulnerabilidad en vCenter Server que podrían permitir a un atacante construir ataques de cross-site scripting.

VMware es un software que permite ejecutar diferentes sistemas operativos en un mismo PC de forma virtual. Entre otras aplicaciones, VMware es muy utilizado en seguridad informática por la versatilidad que ofrece. Por ejemplo, se suele utilizar de forma habitual en la investigación del malware, ya que permite ejecutar y analizar los especímenes en entornos virtuales controlados.

Apenas una semana después de haber publicado actualizaciones para un gran número de productos por dos vulnerabilidades, VMware publica un nuevo aviso de seguridad para solucionar una vulnerabilidad considerada como importante por la propia firma.

El problema, con CVE-2016-2078, reside en el cliente web vSphere por un filtrado inadecuado de los datos introducidos por el usuario en el parámetro flash que podría permitir la construcción de ataques de cross-site scripting.

Afecta a versiones vCenter Server 6.0, 5.5 y 5.1 para Windows.
VMware ha publicado las siguientes actualizaciones:
vCenter Server 6.0 update 2
vCenter Server 5.5 update 3d
vCenter Server 5.1 update 3d
Disponibles desde vCenter Server:

Más información:

VMSA-2016-0006
VMware vCenter Server updates address an important cross-site scripting issue

una-al-dia (21/05/2016) Actualización para múltiples productos VMware



Antonio Ropero

Twitter: @aropero

viernes, 27 de mayo de 2016

Nuevas versiones de PHP corrigen diversas vulnerabilidades

El equipo de desarrollo de PHP ha publicado actualizaciones para las ramas 7.0, 5.6 y 5.5 de PHP para solucionar múltiples vulnerabilidades que pueden ser aprovechadas para provocar denegaciones de servicio e incluso comprometer los sistemas afectados. 

Las vulnerabilidades corregidas consisten en lecturas fuera de límites en imagescale (con CVE-2013-7456) y en get_icu_value_internal (con CVE-2016-5093) que afectan a todas las versiones soportadas (5.5.x, 5.6.x y 7.0.x). Por otra parte un subdesbordamiento de entero en fread/gzread (con CVE-2016-5096) y un desbordamiento de entero en php_html_entities (con CVE-2016-5094) que afecta a versiones 5.5.x y 5.6.x. Por último, el uso de un puntero sin inicializar en phar_make_dirstream() (con CVE-2016-4343), que solo afecta a las versiones 5.5.x.

Además, las nuevas versiones publicadas también incluyen la corrección de otros problemas no relacionados directamente con la seguridad.

Se recomienda actualizar a las nuevas versiones 7.0.7, 5.6.22 y 5.5.36 desde http://www.php.net/downloads.php

Más información:

PHP 7 ChangeLog

Version 5.5.31

Version 5.6.17



Antonio Ropero

Twitter: @aropero