jueves, 31 de mayo de 2007

Múltiples errores en Mozilla Firefox, Thunderbird y Seamonkey

Se han descubierto seis vulnerabilidades en Mozilla Firefox, Thunderbird y Seamonkey que podrían ser aprovechadas por un atacante para eludir restricciones de seguridad, causar denegaciones de servicio o tomar control total de la máquina afectada.

* Un error de corrupción de memoria en JavaScript a la hora de comprobar datos malformados. Un atacante podría aprovechar esto para ejecutar código arbitrario o causar una denegación de servicio.

* Un error en la característica de autocompletado a la hora de procesar datos malformados. Un atacante podría aprovechar esto para consumir toda la memoria del sistema y causar una denegación de servicio.

* Un error en la comprobación de los datos de entrada a la hora de procesar nombres y rutas de cookies. Un atacante podría aprovechar esto para provocar una denegación de servicio a través de una web especialmente manipulada.

* Un error en la autenticación APOP a la hora de procesar las respuestas a las solicitudes de autenticación. Un atacante podría aprovechar esto para revelar ciertas credenciales de usuario a través de dar ciertas respuestas a las peticiones de autenticación del servidor APOP.

* Un error en la función nsEventReceiverSH::AddEventListenerHelper. Un atacante podría aprovechar esto para modificar y acceder a datos locales del sistema afectado desde una página remota engañando al usuario para que visitase un sitio especialmente manipulado.

* Un error en el manejo de popups XUL. Un atacante podría aprovechar esto para modificar o esconder partes del navegador tales como la barra de navegación, etc.

Los productos afectados por estas vulnerabilidades son:
Mozilla Firefox anterior a 2.0.0.4.
Mozilla Firefox anterior a 1.5.0.12.
Mozilla SeaMonkey anterior a 1.0.9.
Mozilla SeaMonkey anterior a 1.1.2.
Mozilla Thunderbird anterior a 2.0.0.4.
Mozilla Thunderbird anterior a 1.5.0.12.

Se recomienda actualizar a las siguientes versiones.
Mozilla Firefox versión 2.0.0.4 o 1.5.0.12 :
http://www.mozilla.com/firefox/
Mozilla SeaMonkey versión 1.0.9 o 1.1.2 :
http://www.mozilla.org/projects/seamonkey/
Mozilla Thunderbird versión 2.0.0.4 o 1.5.0.12 :
http://www.mozilla.com/thunderbird/


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Mozilla Foundation Security Advisory 2007-12
Crashes with evidence of memory corruption (rv:1.8.0.12/1.8.1.4)
http://www.mozilla.org/security/announce/2007/mfsa2007-12.html

Mozilla Foundation Security Advisory 2007-13
Persistent Autocomplete Denial of Service
http://www.mozilla.org/security/announce/2007/mfsa2007-13.html

Mozilla Foundation Security Advisory 2007-14
Path Abuse in Cookies
http://www.mozilla.org/security/announce/2007/mfsa2007-14.html

Mozilla Foundation Security Advisory 2007-15
Security Vulnerability in APOP Authentication
http://www.mozilla.org/security/announce/2007/mfsa2007-15.html

Mozilla Foundation Security Advisory 2007-16
XSS using addEventListener
http://www.mozilla.org/security/announce/2007/mfsa2007-16.html

Mozilla Foundation Security Advisory 2007-17
XUL Popup Spoofing
http://www.mozilla.org/security/announce/2007/mfsa2007-17.html

miércoles, 30 de mayo de 2007

14 vulnerabilidades al día

Durante los últimos 12 meses Hispasec Sistemas ha distribuido cerca de 5.000 alertas de seguridad entre los suscriptores del Servicio de Análisis, Notificación y Alertas (SANA), una media de casi 14 vulnerabilidades diarias.

El Servicio SANA de Hispasec Sistemas nació como una versión profesional de una-al-día, al ofrecer un servicio de información sobre seguridad informática personalizado según el perfil de cada cliente. Sin ningún tipo de limitaciones de horario o cantidad de información, es el primer servicio de estas características que se presta en español. Los suscriptores de SANA reciben puntualmente, en tiempo real, la información sobre nuevas vulnerabilidades que realmente puedan afectar a los sistemas de su empresa, junto con las medidas preventivas y/o parches para subsanarlas. A través de este servicio, durante los últimos doce meses se han notificado 4.960 alertas de seguridad. Además, se ofrece la posibilidad de recibir la información en español y/o inglés.

Son muchas las empresas y organismos pertenecientes a los más diversos sectores (banca, comunicaciones, construcción, universidades, etc.) los que confían en SANA para recibir información sobre seguridad. También confían en SANA centros de supercomputación como por ejemplo, el Barcelona Supercomputer Center (Centro Nacional de Supercomputación). El BSC alberga el MareNostrum, el superordenador más poderoso de Europa y quinto del mundo, que pertenece a la Red Española de Supercomputación creada por el Ministerio de Educación y Ciencia español.

Los fabricantes que han destacado por el número de actualizaciones y parches publicados han sido Microsoft del que se han notificado 262 alertas (un 5,3 por ciento) y las distribuciones Linux con 189 alertas para Red Hat, 194 para Ubuntu, 295 de Gentoo y 294 de Debian. Otros fabricantes como IBM han registrado 91 alertas, HP hasta 82 notificaciones o Cisco del que se han enviado 69 alertas.

Según la clasificación de SANA, 615 de las alertas se han considerado de riesgo alto, 975 de riesgo medio-alto y 1.950 de las notificaciones como de nivel medio (un 39,3%), mientras que el resto recibió una calificación de riesgo medio-bajo o bajo.

Una gran mayoría de las alertas, 3.242 en concreto (un 65,4%), trataban de parches propiamente dichos o de vulnerabilidades que contaban con actualizaciones para corregirlas. Para el resto, Hispasec documentó contramedidas y acciones preventivas adicionales a la espera de una solución oficial.

Un servicio como SANA puede ayudar a todos los administradores a tener actualizados al día todos sus sistemas, y evitar perder tiempo en diferentes fuentes de información, fabricantes, etc. buscando las actualizaciones necesarias. Los interesados pueden obtener más información en: http://www.hispasec.com/corporate/sana.html

Quien lo desee puede realizar, desde la portada de la web de Hispasec (http://www.hispasec.com), un seguimiento en tiempo real del número de alertas publicadas por SANA.


Antonio Ropero
antonior@hispasec.com


Más información:

SANA
http://www.hispasec.com/corporate/sana.html

BSC (Barcelona Supercomputing Center)
http://www.bsc.es/

TOP500 Supercomputing Sites
http://www.top500.org/lists/2006/11

martes, 29 de mayo de 2007

El grupo Rock Phish dispara el número de ataques phishing en el mundo

Las técnicas phishing evolucionan a medida que los usuarios toman conciencia del perjuicio que les puede provocar y aprenden a evitarlo. Rock Phish, grupo pionero en ataques phishing en el mundo y responsable de la mayoría de ellos, dispara el número de ataques eludiendo leyes y contramedidas técnicas.

Según algunas fuentes Rock Phish no es más que un kit de desarrollo de phishing rápido para inexpertos. Sin embargo Rock Phish, para los que lidiamos con este tipo de asuntos antiphishing, es también una de las bandas más peligrosas y efectivas a la hora de crear ataques fraudulentos de robo de credenciales. Han desarrollado metodologías muy avanzadas para evitar que los medios técnicos disponibles impidan su difusión. Por ejemplo, tienen la capacidad de crear múltiples y únicas URL para cada ataque, muy complejas (es una de sus señas de identidad) que limitan de forma muy eficaz la labor de las barras antiphishing basadas en listas negras. Además, actúan a lo grande, pues son responsables de aproximadamente, más de la mitad de todo el phishing creado en el mundo en estos momentos. Buscan países exóticos con leyes difusas para alojar sus páginas o lo hacen dinámicamente para complicar la labor de rastreo y cancelación del sitio fraudulento.

Nadie sabe quién integra o de dónde viene esta banda, sólo que se mueven entre la élite del crimen organizado y que su actividad debe ser tremendamente rentable a juzgar por la virulencia, constancia y alto nivel técnico de sus ataques.

APWG (Anti-Phishing Working Group) ha declarado en uno de sus informes que el número de sitios phishing detectados en abril se ha disparado hasta 55.000. En su anterior medición, en octubre de 2006, se contabilizaron poco más de 35.000 sitios documentados por ellos ese mes. Phishtank.com, un repositorio público de sitios phishing, también registró pico histórico en abril con 77.700 páginas sospechosas. Según Brian Krebs, Rock Phish es el gran responsable de estas cifras.

No contentos con esta abrumadora posición dominante, el grupo busca el beneficio todavía en mayores cantidades. Se ha detectado un considerable aumento de ataques a bancos comerciales. Estos suelen ser bancos (o divisiones de los bancos tradicionales) destinadas a dar servicios de préstamos y depósitos a grandes empresas (no tanto a usuarios de a pie) que mueven importantes capitales. Sus "umbrales de detección de fraude" son mucho más altos y por tanto los robos pueden ser más abultados y pasar en cierta manera, más desapercibidos.

Si hasta el "simple" phishing tradicional sigue siendo efectivo para ciertos grupos más "modestos", imaginamos que el nivel de sofisticación alcanzado en Rock Phish debe proporcionar beneficios tan suculentos que seguro no están dispuestos a dejarlos escapar. Como toda organización, buscarán optimizar recursos y es más que probable que evolucionen para que su "cuenta de resultados" aumente. Solo nos queda estar preparados.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Phishing Attacks Soar as Scammer Nets Widen
http://blog.washingtonpost.com/securityfix/2007/05/phishing_attacks_soar_nets_wid_1.html

Who or What Is 'Rock Phish' and Why Should You Care?
http://www.pcworld.com/article/id,128175-pg,1/article.html

'Rock Phish' blamed for surge in attacks
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9005958

Anti-Phishing Working Group
http://www.antiphishing.org/reports/apwg_report_april_2007.pdf

Phishtank Stats April 2007
http://www.phishtank.com/stats/2007/04/

lunes, 28 de mayo de 2007

Actualización de diversos paquetes para productos SuSE Linux

SuSE ha publicado varias actualizaciones que solventan cuatro vulnerabilidades.

Los productos afectados son Novell Linux Desktop 9, OpenSUSE Linux 10.x, SuSE. Linux 10.x y 9.3, SuSE. Linux Desktop 1.0, SuSE. Linux Enterprise (SDK) 10, SuSE. Linux Enterprise Server (SLES) 8 y 9.

Las vulnerabilidades corregidas son:

* Un error que podría provocar una denegación de servicio en net-snmp.

* Ejecución de código a través de vim modeline. Algunos archivos con VIM modelines podrían llamar a ciertas funciones no seguras de VIM.

* Un problema en la interacción entre el reproductor de flash kdebase3 y el navegador Konqueror que podría provocar una redirección de pulsaciones hacia el applet en lugar de hacia el navegador.

* Una reserva insuficiente de caracteres especiales de mod_perl en la variable PATH_INFO que podría ser aprovechado por un atacante para causar un consumo excesivo de recursos y provocar una denegación de servicio a través de una URL especialmente manipulada.

Se recomienda actualizar a través de las herramientas automáticas YoU (Yast Online Update).


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

SUSE Security Summary Report SUSE-SR:2007:012
http://lists.suse.com/archive/suse-security-announce/2007-May/0008.html

domingo, 27 de mayo de 2007

Denegación de servicio a través de cliente NFS en Sun Solaris 8, 9 y 10

Sun ha anunciado una vulnerabilidad en Sun Solaris (versiones 8, 9 y 10), que podría ser empleada por atacantes remotos para provocar denegaciones de servicio.

El problema reside en un error el módulo cliente de NFS a la hora de manejar paquetes ACL específicamente creados, lo que podría permitir a atacantes remotos provocar que el servidor NFS vulnerable entre en "panic", con la consiguiente condición de denegación de servicio.

Si no es necesario, se recomienda detener el servicio NFS:
En Solaris 8 y 9:
# /etc/init.d/nfs.server stop
En Solaris 10:
# svcadm disable svc:/network/nfs/server:default


Sun ha publicado parches oficiales. Según versión y plataforma las actualizaciones están disponibles desde:
Para SPARC:
Para Solaris 8 instalar 116959-16 o posterior desde:
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-116959-16-1
Para Solaris 9 instalar 113318-29 o posterior: desde:
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-113318-29-1
Para Solaris 10 instalar 124258-04 o poserior desde:
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-124258-04-1

Para x86:
Para Solaris 8 instalar 116960-16 o posterior desde:
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-116960-16-1
Para Solaris 9 instalar 117468-15 o posterior desde:
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-117468-15-1
Para Solaris 10 instalar 124259-04 o posterior desde:
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-124259-04-1


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Security Vulnerability in NFS Client Module May Lead to a Denial of Service Condition
http://sunsolve.sun.com/search/document.do?assetkey=1-26-102911-1

sábado, 26 de mayo de 2007

Actualización para múltiples vulnerabilidades en Mac OS X

Apple ha publicado una actualización para Mac OS X que solventa múltiples vulnerabilidades.

Los problemas corregidos son:

* Alias manager no muestra archivos con nombres idénticos contenidos en imágenes de disco montadas con nombres idénticos. Esto podría ser aprovechado por un atacante para ejecutar aplicaciones manipuladas a través de engañar al usuario para que montase dos imágenes de disco con el mismo nombre.

* Varios errores en BIND podrían ser aprovechados para causar una denegación de servicio.

* Un error de desbordamiento de entero en CoreGraphics a la hora de procesar archivos pdf podría ser aprovechado por un atacante para ejecutar código arbitrario. Esto solo afecta a Mac OS X 10.4

* Un error en crontabs podría causar una denegación de servicio al eliminar sistemas de ficheros montados en /tmp cuando se ejecuta el script de limpieza diario.

* Un error en la implementación APOP de fetchmail podría ser aprovechado por un atacante para revelar la contraseña de un usuario.

* Un error de desbordamiento de enteros en la función file_printf de File podría ser aprovechado por un atacante para causar un desbordamiento de heap.

* Un error en el modulo UPnP IGD de iChat podría ser aprovechado por un atacante para causar un desbordamiento de buffer a través de enviar paquetes especialmente manipulados a la aplicación.

*Un error en el modulo UPmP IGD de mDNSResponder podría ser aprovechado por un atacante para causar un desbordamiento de búfer mediante el envío de paquetes especialmente manipulados a la aplicación. Esto solo afecta a Mac OS X 10.4.

* Un error de validación de acceso en pppd a la hora de procesar la carga de plugins a través de línea de comandos, podría ser aprovechado por un atacante local para obtener una escalada de privilegios. Esto solo afecta a Mac OS X 10.4.

* Dos vulnerabilidades en ruby que podrían ser aprovechadas por un atacante para causar una denegación de servicios.

* Varios errors en screen que podrían ser aprovechados por un atacante para causar una denegación de servicio.

*Un error en textinfo que podría ser aprovechado por un atacante local para obtener una escalada de privilegios.

*Un error de formato de cadena en vpnd podría ser aprovechado por un atacante local para obtener una escalada de privilegios ejecutando argumentos vpnd especialmente manipulados.

Se recomienda instalar la actualización de seguridad 2007-005 disponible desde:
http://www.apple.com/support/downloads/


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

About Security Update 2007-005
http://docs.info.apple.com/article.html?artnum=305530

viernes, 25 de mayo de 2007

El botnet tradicional ha muerto... ¡viva el botnet P2P!

Según Prolexic (compañía dedicada a mitigar ataques de denegación de servicio), se está observando un nuevo fenómeno a la hora de realizar ataques DDoS contra servidores. Cada vez con mayor frecuencia, se están utilizando las redes P2P para realizar este tipo de fechorías, en vez del típico botnet basado en un C&C (Command and control) y esclavos "zombies".

Estos ataques ya fueron descritos por investigadores de la Polytechnic University en Brooklyn el año pasado, pero no ha sido hasta principios de 2007 que se han visto casos reales que han conseguido implementarlo. En las últimas semanas, según Prolexic, está siendo cada vez más utilizado.

Según el problema descrito por la universidad de Brooklyn, existe un fallo asociado a las redes P2P y el protocolo que utilizan. En su estudio en concreto, se centraban en Overnet (red anteriormente usada por eDonkey y cerrada por la RIAA, Recording Industry Association of America).

El problema se basa en el envenenamiento de rutas o de índices en P2P. Un atacante podría manipular estos registros para hacer creer a los clientes que los ficheros "populares" se encuentran en una dirección IP y puerto concretos, que pueden ser designados por el atacante. Esta dirección IP no tiene por qué ser participante de la red P2P ni, por supuesto, contener el fichero que le está siendo requerido, de forma que una petición masiva puede llegar a agotar los recursos de red de la víctima. En la universidad de Brooklyn, creando un software cliente a medida y redirigiendo el tráfico a uno de sus propios servidores, pudieron comprobar lo sencillo que resultaba abrumar de tráfico un ancho de banda gracias a peticiones de los miles de usuarios de la red.

Según Prolexic, que ha visto en las últimas semanas cómo estos estudios teóricos se llevaban a la vida real, se han llegado a utilizar hasta 100.000 máquinas para realizar estos ataques. La ventaja frente al botnet "tradicional" es que el atacante no tiene que comunicarse directamente con las máquinas que controla. Si consigue modificar estos registros en el tráfico P2P y modificar los índices, todo el tráfico de los potenciales clientes que soliciten un fichero popular irá a parar a un mismo sitio definido por el atacante. Se podría hablar de un "secuestro" de la red P2P.

La implementación del protocolo en DC++ (un cliente de redes P2P de código abierto) era vulnerable a este tipo de modificaciones. Sus creadores han publicado una nueva versión que corrige estas deficiencias y protege a los usuarios de este tipo de modificaciones no deseadas. Han reconocido también que su software estaba siendo "engañado" para llevar a cabo este tipo de ataques. Los descubridores no descartan que otras redes P2P hereden estos problemas.

Quizás con estas nuevas técnicas de "reclutamiento de zombies" más "cómodas" para los atacantes, la extorsión por denegación de servicio distribuida (obligar al pago de grandes sumas para que una web "no sea atacada") vuelva a ser "rentable". No hace mucho, Symantec hablaba de un cierto abandono de estos métodos, pues ya no resultaba tan lucrativo para los que controlaban las botnets como el envío de spam y la distribución de malware.


Sergio de los Santos
ssantos@hispasec.com


Más información:

P2P DDoS Attacks
http://www.prolexic.com/news/20070514-alert.php

P2P Networks Hijacked for DDoS Attacks
http://news.netcraft.com/archives/2007/05/23/p2p_networks_hijacked_for_ddos_attacks.html

Exploiting P2P Systems for DDoS Attacks
http://cis.poly.edu/~ross/papers/p2pddos.pdf

DoS extortion is no longer profitable
http://www.symantec.com/enterprise/security_response/weblog/2007/04/dos_extortion_is_no_longer_pro.html

jueves, 24 de mayo de 2007

Elusión de restricciones de seguridad en varios productos Citrix

Se ha descubierto una vulnerabilidad en Citrix Metaframe Presentation Server, Citrix Presentation Server y Citrix Access Essentials que podría ser aprovechada por un atacante remoto para obtener acceso no autorizado a puertos arbitrarios.

Esta vulnerabilidad se debe a un error en el servicio Session Reliability a la hora de procesar peticiones especialmente manipuladas. Un atacante podría aprovechar esto para eludir ciertas políticas de seguridad y establecer una conexión TCP a cualquier puerto.

Esta vulnerabilidad afecta a los siguientes productos:
Citrix MetaFrame Presentation Server versión 3.0.
Citrix Presentation Server versión 4.0.
Citrix Access Essentials versión 1.0.
Citrix Access Essentials versión 1.5.

Citrix ha publicado una solución oficial a estas vulnerabilidades disponible para su descarga desde:
http://support.citrix.com/article/CTX112964


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Vulnerability in Citrix Presentation Server's Session Reliability service could result in network security policy bypass
http://support.citrix.com/article/CTX112964

miércoles, 23 de mayo de 2007

Badbunny, una prueba de concepto que aprovecha las macros de OpenOffice

Se ha enviado directamente a los laboratorios de Sophos, una muestra de un malware cuando menos peculiar. Se trata de una macro creada para OpenOffice que descarga y ejecuta scripts "personalizados" según el sistema operativo en la que se encuentre. El malware trata de descargar una imagen JPG que representa a un señor vestido de conejo realizando un acto sexual.
Lo curioso de este malware es que se distribuye a través de un documento OpenOffice Draw (badbunny.ODG) que, según el sistema operativo donde se ejecute, intenta infectar de diferentes formas. Si se ejecuta con OpenOffice desde Windows, intenta descargar un fichero llamado drop.bad y borra system.ini de la carpeta del programa mIRC. También descarga y ejecuta badbunny.js, un virus en JavaScript que se replica en el sistema

Si se ejecuta desde Linux, descarga badbunny.py (python) como script para XChat y badbunny.pl (Perl). Este es un pequeño virus que infecta a otros ficheros Perl.

Si se ejecuta desde MacOS, descarga badbunny.rb o badbunnya.rb, dos scripts creados en Ruby.

Los scripts de clientes de IRC se utilizan para redistribuir el virus a través del envío del fichero badbunny.odg vía DCC a otros usuarios.

Desde VirusTotal.com hemos tenido acceso a una muestra de esta prueba de
concepto enviada el día 22 de mayo. A fecha de 23 de mayo a las 13:00
hora española, es detectado como:

JS.Badbun.A (BitDefender), StarBasic/Bunbad.A (eTrust-Vet), IRC-Worm.StarOffice.Badbunny.a (F-Secure), IRC-Worm.StarOffice.Badbunny.a (Ikarus), StarOffice/Badbun.A (Kaspersky), StarOffice/Badbun.A (NOD32v2), SB/BadBunny-A (Sophos), SB.Badbunny (Symantec), Virus.JS.Prompt#1 (VBA32).

Este malware no representa un intento serio de infección. Sus creadores han enviado la muestra directamente a Sophos y su distribución resultará cuando menos discreta. Sus autores ya han escrito en el pasado malware de este tipo, pero esta muestra en concreto ha sido programada sin duda como prueba de concepto que demuestra la posibilidad de crear malware multiplaforma a través de OpenOffice, sin más pretensiones.

Los virus de macro que se ejecutaban a través de MSOffice pertenecen ya al pasado, si bien a finales de los 90 y principios de esta década representaban el método más popular de infección. Este malware no supondrá amenaza alguna, y es muy poco probable que futuros intentos en esta línea tengan éxito. En cualquier caso debería servir para que OpenOffice vigilara de cerca la ejecución indiscriminada de macros en su suite y no cometa los mismos errores que Microsoft en su día.


Sergio de los Santos
ssantos@hispasec.com


Más información:

BadBunny seen in "the wild"? OpenOffice multi-platform macro worm discovered
http://www.sophos.com/pressoffice/news/articles/2007/05/badbunny.html

martes, 22 de mayo de 2007

La edición americana de PC World premia a VirusTotal

Dentro de los premios a los 100 Mejores Productos del Año 2007, la edición americana de PC World ha reconocido a VirusTotal como el mejor sitio web de seguridad.

El servicio VirusTotal (www.virustotal.com) desarrollado íntegramente por Hispasec ha alcanzado un puesto reconocido entre los profesionales de la seguridad, son muchos los CERTs y laboratorios que hacen uso diario de VirusTotal para el análisis de muestras sospechosas. Son ya 32 motores los que integran la lista de antivirus integrados en VirusTotal, cada archivo enviado se analiza por todos ellos, y el usuario obtiene el resultado del análisis de cada uno de ellos.

La lista actual de fabricantes y antivirus integrados en VirusTotal es la siguiente (por orden alfabético): AhnLab (V3), Aladdin (eSafe), ALWIL (Avast! Antivirus), Authentium (Command Antivirus), Avira (AntiVir), Bit9 (FileAdvisor), CA Inc. (Vet), Cat Computer Services (Quick Heal), ClamAV (ClamAV), Doctor Web, Ltd. (DrWeb), Eset Software (NOD32), ewido networks (ewido anti-malware), Fortinet (Fortinet), FRISK Software (F-Prot), F-Secure (F-Secure), Grisoft (AVG), Hacksoft (The Hacker), Ikarus Software (Ikarus), Kaspersky Lab (AVP), McAfee (VirusScan), Microsoft (Malware Protection), Norman (Norman Antivirus), Panda Software (Panda Platinum), Prevx (Prevx1), Secure Computing (Webwasher), Softwin (BitDefender), Sophos (SAV), Sunbelt Software (Antivirus), Symantec (Norton Antivirus), UNA Corp (UNA), VirusBlokAda (VBA32) y VirusBuster (VirusBuster).

Para enviar una muestra sospechosa bastará con enviarla adjunta en un mensaje de correo electrónico a la dirección analiza@virustotal.com con el asunto ANALIZA. En breves instantes, dependiendo de la carga puntual del servicio, recibirá en su buzón el reporte del análisis.

También es posible realizar el envío de muestras desde un formulario web, recibir información puntual sobre las últimas amenazas, o acceder a estadísticas en tiempo real, todo desde la dirección http://www.virustotal.com.

VirusTotal" en el menú contextual de Windows al pulsar con el botón derecho del ratón en un archivo. Una vez finalizado el envío del archivo se obtiene la respuesta del análisis a través de la interfaz web.">Recientemente hemos publicado una pequeña utilidad que facilita el envío de muestras a VirusTotal (disponible para descarga desde http://www.virustotal.com/vtsetup.exe). Una vez instalada se integra la opción "Enviar a -> VirusTotal" en el menú contextual de Windows al pulsar con el botón derecho del ratón en un archivo. Una vez finalizado el envío del archivo se obtiene la respuesta del análisis a través de la interfaz web.

Para todo el equipo de Hispasec representa un gran orgullo recibir un premio como este de una publicación con tanto renombre internacional. Aprovechamos estas líneas para agradecer a PC World este reconocimiento, que extendemos a todas las firmas participantes en este proyecto, sin las cuales, sin duda alguna, no sería posible. Este galardón nos anima y estimula a seguir trabajando y mejorando este servicio.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

The 100 Best Products of 2007
http://www.pcworld.com/article/id,131935-page,13/article.html

The Top 100 Products, in Alphabetical Order
http://www.pcworld.com/article/id,131935-page,14/article.html

VirusTotal Review in PC World
Free Sites Double-check Your Antivirus Program
http://blogs.pcworld.com/tipsandtweaks/archives/003589.html

Blog Laboratorio Hispasec
VirusTotal.com premiado por PC World
http://blog.hispasec.com/laboratorio/217

lunes, 21 de mayo de 2007

Dos vulnerabilidades en tratamiento de imágenes en Sun JDK 1.5.x

Se han descubierto varias vulnerabilidades en Sun JDK (Java Development Kit) que podrían ser aprovechadas por un atacante para provocar una denegación de servicio o para comprometer un sistema afectado.

* Un desbordamiento de enteros en el analizador de los perfiles icc de imágenes jpg y bmp. Un atacante podría aprovechar esto para ejecutar código arbitrario, manipulando una aplicación para que utilice una imagen especialmente manipulada.

* El analizador de ficheros bmp intenta acceder a /dev/tty mientras analiza los ficheros. Un atacante podría aprovechar esto para causar una denegación de servicio haciendo que una aplicación procese un archivo bmp especialmente manipulado.

Estas vulnerabilidades solo afectan a JVM sobre Linux o sistemas operativos Unix y confirmadas en la versión 1.5.01.5.0_07-b03, aunque otras versiones también podrían verse afectadas.

Los problemas han sido solucionados en las versiones JDK 1.5.0_11-b03 y JDK 1.6.0_01-b06 disponibles en:
http://java.sun.com/javase/downloads/index_jdk5.jsp


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

JDK image parsing library vulnerabilities (ICC parsing, BMP parsing)
http://scary.beasts.org/security/CESA-2006-004.html

domingo, 20 de mayo de 2007

De nuevo un falso positivo de una casa antivirus, inutiliza miles de sistemas Windows

Vuelve a ocurrir. Un error en las firmas de un antivirus (en este caso Symantec) provoca "anomalías" en los ordenadores de sus usuarios. Symantec ha detectado dos ficheros de sistema de la versión china de Windows XP como malware durante un breve periodo de tiempo. Los archivos, vitales para Windows, impiden que el sistema arranque al ser puestos en cuarentena o borrados. Un falso positivo que costará caro a la compañía.

Durante el día 17 de mayo varios productos Norton Antivirus (de Symantec) actualizaron normalmente sus bases de datos. Estas contenían un patrón de firmas por el que, por error, se calificaba como troyano (Backdoor.Haxdoor) a los ficheros netapi32.dll y lsasrv.dll de la versión en chino simplificado de Windows XP SP2. Si estos archivos eran puestos en cuarentena o directamente borrados, el sistema no volvería a arrancar, abortando en adelante el proceso de inicio con un pantallazo azul de la muerte (BSOD).

Chinese Internet Security Response Team (CISRT) alertó inmediatamente de una situación crítica y de miles de usuarios afectados. Symantec ha reconocido el desafortunado error y liberó al poco tiempo una nueva actualización de firmas que ya no confundía estos ficheros con peligrosas puertas traseras. Al parecer sólo se veían afectadas las versiones de estos archivos actualizadas con el parche MS06-070 de noviembre de 2006 y sobre ese idioma en concreto.

Para quien mantuviese su sistema sin reiniciar durante todo el proceso y volviese a actualizar las firmas para solventar el error, el problema no resultaba tan grave. Quien hubiese reiniciado su sistema después de la "fallida detección" tendría que utilizar una herramientas de restauración (por ejemplo la consola de Windows) para poder arrancar su sistema y volver a operar con él.

Desgraciadamente esta situación se repite con cierta frecuencia desde hace años. Las casas antivirus liberan temporalmente y por error firmas defectuosas que causan más daño que beneficio. A finales de 2005 Kaspersky confundió el bloc de notas (notepad.exe) con Trojan.Win32.StartPage.adh. En julio de ese mismo año Panda tomó al mismo programa (bloc de notas tradicional de Windows) por un adware y lo borró por accidente en sus clientes.

Mucho peor es perder información personal, pero también se han dado casos. Hace muy poco, en marzo de 2007, Microsoft OneCare fue acusado de borrar accidentalmente correos y carpetas de Outlook completas. Admitió el error y publicó una actualización aunque hubo dudas sobre las responsabilidades del problema.

Trend Micro protagonizó también en abril de 2005 un grave error por el que una actualización del patrón de firmas causó que sistemas que utilizaban su antivirus se bloquearan por completo. En un primer momento muchos administradores creyeron que se trataba de algún tipo de virus que estaba afectando a sus redes. Los sistemas bloqueados sufrían tal consumo de recursos que impedían el propio proceso de actualización de Trend Micro para descargar e instalar el nuevo patrón de firmas que corregía el problema. Se hizo necesaria una actuación manual iniciando Windows en modo seguro, borrando el archivo de actualización y reiniciando el sistema.

Por si fuese poco, todas las casas antivirus, prácticamente sin excepción y con cierta regularidad, confunden temporalmente programas de instalación creados con NSIS (estándar de facto para la instalación en Windows) con algún virus que deben eliminar... el último caso conocido ocurrió en septiembre de 2006 y fue protagonizado por F-Prot.

Y es que con la avalancha actual de malware que deben soportar las casas antivirus, y la respuesta en forma de heurísticas más agresivas, no es de extrañar que cometan deslices de este tipo.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Mass detection of Trojan.Win32.StartPage.adh
http://forum.kaspersky.com/lofiversion/index.php/t7320.html

Microsoft: Don't blame OneCare for lost Outlook e-mail
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9013410

Microsoft: Sorry for OneCare fiasco
http://www.zdnet.com.au/news/security/soa/Microsoft-Sorry-for-OneCare-fiasco/0,130061744,339274218,00.htm

Actualización de TrendMicro bloquea los sistemas de sus clientes
http://www.hispasec.com/unaaldia/2375

Actualización de Panda borra el bloc de notas de Windows
http://www.diarioti.com/gate/n.php?id=9081

NSIS False Positives
http://nsis.sourceforge.net/NSIS_False_Positives

sábado, 19 de mayo de 2007

Actualización del Kernel para Red Hat Enterprise Linux v5

Red Hat ha publicado una actualización del kernel para la versión Enterprise Linux 5. Esta actualización solventa varias vulnerabilidades.

* Un error en el manejo de las cabeceras de enrutamiento IPv6 de tipo 0 que podría ser aprovechada por un atacante para causar una denegación de servicio.

* Un error en el módulo nfnetlink_log de netfilter que podría ser aprovechado por un atacante para causar una denegación de servicio.

* Un error en el flujo de la lista de puertos IPv6 a la escucha que podría ser aprovechado por un atacante local para causar una denegación de servicio.

* Un error en el manejo de los mensajes netlink que permitiría a un atacante local provocar una denegación de servicio.

* Un error en el reenvio IPv4 que permitiría a un atacante local tener acceso fuera de los límites establecidos.

* Un error en el módulo nf_conntrack_netfilter para IPv6 que permitiría a un atacante remoto eludir ciertas reglas de netfilter utilizando fragmentos IPv6 especialmente manipulados.

Las actualizaciones se encuentran disponibles en Red Hat Network. Se recomienda actualizar a través de las herramientas automáticas up2date.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Important: kernel security and bug fix update
http://rhn.redhat.com/errata/RHSA-2007-0347.html

viernes, 18 de mayo de 2007

Escalada de privilegios a través de fallos en MySQL 5 y 4

Se han descubierto dos vulnerabilidades en MySQL que podrían ser aprovechadas por un atacante para obtener una escalada de privilegios.

La primera vulnerabilidad se trata de un fallo que permitiría a un usuario sin privilegios DROP renombrar una tabla.

La segunda vulnerabilidad se debe a que las rutinas almacenadas definidas con SQL SECURITY INVOKER no vuelven a establecer los privilegios originales, lo que permitiría a un atacante obtener una escalada de privilegios.

Estas vulnerabilidades han sido resueltas en la versión 5.1.18-beta y será solventada en las versiones 5.0.42 y 4.1.23.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Bug #27515 DROP previlege is not required anymore for RENAME TABLE
http://bugs.mysql.com/bug.php?id=27515

Bug #27337 Privileges are not properly restored
http://bugs.mysql.com/bug.php?id=27337

jueves, 17 de mayo de 2007

Microsoft celebrará un nuevo "Security Day"

Los próximos días 22 y 24 de mayo, en Barcelona y Madrid respectivamente, Microsoft celebrará un nuevo Security Day. Un evento en el que se proponen diversas demostraciones y conferencias, que mostrarán aspectos prácticos de la seguridad informática así como las últimas tecnologías de Microsoft para mantener la seguridad de una red corporativa.

A primera hora de la mañana se hará una demostración de cómo se realiza un Análisis Forense en entornos Microsoft. Acto seguido, tras una merecida pausa para desayunar, se verán algunos ejemplos de las últimas tecnologías empleadas en el malware. Para finalizar la mañana, se verá en funcionamiento una infraestructura con los productos Forefront.

Dicha infraestructura está formada por Forefront ISA Sever 2006, como cortafuegos, servidor VPN (PPTP y L2TP/IPSec), Proxy y Caché; Forefront Intelligent Application Gateway, como servidor VPN SSL; Forefront Security Server, como framework para escaneo de virus, spam y cumplimiento de regulación en los servidores Exchange, SharePoint y Office Comunicator; y por último Forefront Client Security, como antivirus empresarial.

Por la tarde, y tras, por supuesto, haber recuperado fuerzas con la comida, se tocará la sesión desde otro punto de vista: La gestión de sistemas. En esa sesión se verá como gestionar infraestructuras de sistemas con System Center 2007.

Los ponentes del evento están encabezados por Juan Tonda, Director del área de Servidores en Microsoft Ibérica; José Parada Gimeno y David Cervigón, Microsoft IT Pro Evangelist; los MVPs en Windows Security Chema Alonso y Juan Luís Rambla de Informática 64; Daniel Matey, MVP en Management y Sergio de los Santos de Hispasec Sistemas.

La asistencia a estos dos eventos es totalmente gratuita, pero es necesario registrarse en la siguiente URL, dónde además, se encontrará toda la información sobre la agenda y cómo llegar:
http://www.microsoft.com/spain/technet/jornadas/security/default.aspx





miércoles, 16 de mayo de 2007

Múltiples vulnerabilidades en productos BEA WebLogic

Se han anunciado hasta un total de trece vulnerabilidades en productos de la familia BEA WebLogic que pueden permitir a los atacantes evitar comprobaciones de seguridad, descubrir información sensible o provocar denegaciones de servicio.

Entre otros, los problemas se deben a varios errores de validación de entradas, errores en el puerto SSL del servidor WebLogic, un uso incorrecto del nombre de usuario y contraseña definidos en la configuración Bridge-destination o diversos errores en la consola de administración.

Otras vulnerabilidades residen en el comando "configToScript", en el módulo LDAP, en JMS o en "HttpClusterServlet" y "HttpProxyServlet".

Se ven afectados los BEA WebLogic Server versiones 9, 8, 7 y 6; BEA WebLogic Portal 9, BEA WebLogic Integration 9 y BEA WebLogic Workshop/Integration 8.

Se recomienda consultar los avisos de seguridad publicados por BEA para obtener más información sobre cada uno de los problemas, así como aplicar las actualizaciones publicadas por BEA y disponibles en
BEA WebLogic Server patches :
http://commerce.bea.com/showallversions.jsp?family=WLS
BEA WebLogic Platform patches :
http://commerce.bea.com/showallversions.jsp?family=WLP


Antonio Ropero
antonior@hispasec.com


Más información:

Security Advisory BEA07-170.00
Exposure of filenames in development mode
http://dev2dev.bea.com/pub/advisory/239

Security Advisory BEA07-169.00
WebLogic SSL may verify RSA Signatures incorrectly if the RSA key exponent is 3
http://dev2dev.bea.com/pub/advisory/238

Security Advisory BEA07-168.00
An SSL port may be susceptible to a Denial of Service attack
http://dev2dev.bea.com/pub/advisory/237

Security Advisory BEA07-167.00
Inadvertent corruption of entitlements could result in unauthorized access to protected resources
http://dev2dev.bea.com/pub/advisory/236

Security Advisory BEA07-166.00
Cross-site scripting attacks in the WebLogic Portal Groupspace application
http://dev2dev.bea.com/pub/advisory/235

Security Advisory BEA07-165.00
WebLogic JMS Message Bridge not enforcing proper credentials to access a protected queue
http://dev2dev.bea.com/pub/advisory/234

Security Advisory BEA07-163.00
The WLST script generated by configToScript may not encrypt sensitive attributes when creating a new domain.
http://dev2dev.bea.com/pub/advisory/233

Security Advisory BEA07-164.00
Security policy may not be applied to WebLogic administration deployers when uploading archives
http://dev2dev.bea.com/pub/advisory/231

Security Advisory BEA07-80.03
Patches available to prevent multiple cross-site scripting (XSS) vulnerabilities.
http://dev2dev.bea.com/pub/advisory/232

Security Advisory BEA07-162.00
The WebLogic console may display certain Web Service sensitive attributes in clear text
http://dev2dev.bea.com/pub/advisory/230

Security Advisory BEA07-161.00
WebLogic Server Embedded LDAP may be susceptible to a brute force attack
http://dev2dev.bea.com/pub/advisory/229

Security Advisory BEA07-160.00
Security policies may not be enforced on WebLogic JMS servers
http://dev2dev.bea.com/pub/advisory/228

Security Advisory BEA07-159.00
Requests served through WebLogic proxy servlets may acquire elevated privileges
http://dev2dev.bea.com/pub/advisory/227

martes, 15 de mayo de 2007

Varias vulnerabilidades en Samba 3.x

Se han descubierto varias vulnerabilidades en Samba. Que podrían ser aprovechadas por un atacante para obtener una escalada de privilegios, o para comprometer un sistema vulnerable.

Samba es una implementación Unix "Open Source" del protocolo SMB/NetBIOS, utilizada para la compartición de archivos e impresora en entornos Windows. Gracias a este programa, se puede lograr que máquinas Unix y Windows convivan amigablemente en una red local, compartiendo recursos comunes. Incluso es factible utilizar un servidor Samba para, por ejemplo, actuar como controlador de un dominio Microsoft Windows.

* Un error en smbd a la hora de traducir los SID podría permitir a un atacante realizar operaciones en el protocolo SMB/CIFS con privilegios de root. Para ello el atacante debería tener las credenciales de un usuario.

* Varios errores en el análisis ndr. Un atacante podría aprovechar esto para causar un desbordamiento de heap a través de peticiones ms-rpc especialmente manipuladas y conseguir ejecutar código arbitrario. Para que el ataque tuviese éxito, el atacante debería tener las credenciales de un usuario.

* Un error de entrada al actualizar la contraseña de un usuario. Un atacante podría aprovechar este error para ejecutar comandos shell arbitrarios a través de una llamada ms-rpc especialmente manipulada. Para que un atacante pudiera aprovechar esto la opción username map script debería estar habilitada en smb.conf, y para que pudiera aprovecharlo a través de un servidor de impresión y archivos, el atacante debería tener las credenciales de un usuario.

Estos errores se han solventado en la versión 3.0.25. Se recomienda
actualizar a esta versión disponible desde:
http://us1.samba.org/samba/download/


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Samba SAMR Change Password Remote Command Injection Vulnerability
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=534

CVE-2007-2444: Local SID/Name translation bug can result in user privilege elevation
http://us1.samba.org/samba/security/CVE-2007-2444.html

CVE-2007-2446: Multiple Heap Overflows Allow Remote Code Execution
http://us1.samba.org/samba/security/CVE-2007-2446.html

CVE-2007-2447: Remote Command Injection Vulnerability
http://us1.samba.org/samba/security/CVE-2007-2447.html

lunes, 14 de mayo de 2007

Revelación de información del sistema a través de srsexec en Sun Solaris 10

Se ha descubierto una vulnerabilidad en Sun SRS Proxy Core que podría ser aprovechada por un atacante para revelar información importante del sistema.

La vulnerabilidad se debe a un error de diseño en srsexec, que queda instalado con setuid root y no hace una comprobación correcta de los permisos de los archivos de destino. Un atacante podría aprovechar esta vulnerabilidad para revelar la primera línea de ciertos archivos (como /etc/shadow) con los parámetros –v y –d.

La vulnerabilidad afecta al paquete SUNWsrspx incluido en Sun Solaris 10 y podría ser empleada para obtener el hash de la contraseña de root o cualquier otro tipo de información sensible.

Sun ha publicado una solución oficial a esta vulnerabilidad. Se recomienda actualizar a:
http://sunsolve.sun.com/search/document.do?assetkey=1-26-102891-1


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Sun Microsystems Solaris SRS Proxy Core srsexec Arbitrary File Read Vulnerability
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=531

Security Vulnerability in Sun Remote Services (SRS) Net Connect Software
http://sunsolve.sun.com/search/document.do?assetkey=1-26-102891-1

domingo, 13 de mayo de 2007

Actualización acumulativa de seguridad para Microsoft Internet Explorer

Dentro del conjunto de boletines de mayo publicado esta semana por Microsoft y del que efectuamos un resumen el pasado martes, se cuenta el anuncio (en el boletín MS06-027) de una actualización acumulativa para Internet Explorer, que además solventa un total de cinco nuevas vulnerabilidades descubiertas en las versiones 5.01, 6 y 7 del navegador.

La primera se debe a un problema en la forma en la que Internet Explorer instancia objetos COM que no fueron diseñados para ser instanciados desde este. Un atacante puede aprovechar esto para ejecutar código arbitrario en la máquina de la víctima si esta visita una página web maliciosa especialmente construida a tal efecto.

La segunda se debe a la forma en la que Internet Explorer accede a objetos cuando no han sido aún inicializados o han sido borrados. Un atacante puede explotar esto construyendo una página web maliciosa que, una vez visitada por la víctima, provocará la ejecución de código arbitrario en el sistema de la misma.

La tercera se debe a la forma en la que Internet Explorer trata un método de propiedad. Un atacante puede crear una página maliciosa que, una vez visitada por la víctima, provocará la ejecución de código arbitrario en el sistema de la misma.

La cuarta se debe a una serie de problemas de Internet Explorer a la hora de acceder a memoria sin inicializar en ciertas situaciones. Un atacante puede crear una página maliciosa que, una vez visitada por la víctima, provocará la ejecución de código arbitrario en el sistema de la misma.

Por último, también se ha corregido un problema en un componente de servicio de medios que no era soportado por Internet Explorer. Un atacante puede crear una página maliciosa que, una vez visitada por la víctima, provocará la ejecución de código arbitrario en el sistema de la misma.

Se pueden descargar las actualizaciones desde las siguientes direcciones o desde Windows Update:
Microsoft Internet Explorer 5.01 SP4 para Windows 2000 SP4
http://www.microsoft.com/downloads/details.aspx?FamilyId=67AE3381-16B2-4B34-B95C-69EE7D58B357
Microsoft Internet Explorer 6 SP1 sobre Windows 2000 SP4
http://www.microsoft.com/downloads/details.aspx?FamilyId=03FC8E0C-DEC5-48D1-9A34-3B639F185F7D
Microsoft Internet Explorer 6 para Windows XP SP2
http://www.microsoft.com/downloads/details.aspx?FamilyId=EFC6BE04-0D6B-4639-8485-DA1525F6BC52
Microsoft Internet Explorer 6 para Windows XP Professional x64 Edition
y Windows XP Professional x64 Edition SP2
http://www.microsoft.com/downloads/details.aspx?FamilyId=A077BE20-C379-4386-B478-80197A4A4ABC
Microsoft Internet Explorer 6 para Windows Server 2003 SP1 y Windows
Server 2003 SP2
http://www.microsoft.com/downloads/details.aspx?FamilyId=D249089D-BB8E-4B86-AB8E-18C52844ACB2
Microsoft Internet Explorer 6 para Windows Server 2003 SP1 para
sistemas Itanium y Windows Server 2003 SP2 para sistemas Itanium
http://www.microsoft.com/downloads/details.aspx?FamilyId=D52C0AFD-CC3A-4A5C-B91B-E006D497BC26
Microsoft Internet Explorer 6 para Windows Server 2003 x64 Edition SP1
y Windows Server 2003 x64 Edition SP2
http://www.microsoft.com/downloads/details.aspx?FamilyId=94B83BDD-2BD1-43E4-BABF-68135D253293
Windows Internet Explorer 7 para Windows XP SP2
http://www.microsoft.com/downloads/details.aspx?FamilyId=7A778D93-9D85-4217-8CC0-5C494D954CA0
Windows Internet Explorer 7 para Windows XP Professional x64 Edition y
Windows XP Professional x64 Edition SP2
http://www.microsoft.com/downloads/details.aspx?FamilyId=29938ED4-F8BB-4793-897C-966BA7F4830C
Windows Internet Explorer 7 para Windows Server 2003 SP1 y Windows
Server 2003 SP2
http://www.microsoft.com/downloads/details.aspx?FamilyId=0F173D60-6FD0-4C92-BB2A-A7A78707E35F
Windows Internet Explorer 7 para Windows Server 2003 SP1 para sistemas
Itanium y Windows Server 2003 SP2 para sistemas Itanium
http://www.microsoft.com/downloads/details.aspx?FamilyId=1944BCFA-B0BC-4BD5-9089-A618EA43EA49
Windows Internet Explorer 7 para Windows Server 2003 x64 Edition SP1 y
Windows Server 2003 x64 Edition SP2
http://www.microsoft.com/downloads/details.aspx?FamilyId=404A48A2-5765-4AFA-94BF-E97212AA14EF
Windows Internet Explorer 7 en Windows Vista
http://www.microsoft.com/downloads/details.aspx?FamilyId=0C65FAD3-BAAE-46C4-B453-84CF28B15F50
Windows Internet Explorer 7 en Windows Vista x64 Edition
http://www.microsoft.com/downloads/details.aspx?FamilyId=74AFEA3D-79DF-4B64-BF30-B8E5C55CAB2B


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Boletín de seguridad de Microsoft MS07-027
Actualización de seguridad acumulativa para Internet Explorer
http://www.microsoft.com/spain/technet/security/Bulletin/MS07-027.mspx

sábado, 12 de mayo de 2007

Actualización de Linux Kernel para SuSE Linux 9.x

SuSE Linux ha publicado una actualización del Kernel que solventa varios problemas.

* El controlador ftdi_sio permitiría a un atacante local causar una denegación de servicios mediante la escritura por el puerto serie de más datos de los que el hardware puede soportar.

* Múltiples desbordamientos de búfer en la función cmtp_recv_interopmsg del controlador de Bluetooth net/bluetooth/cmtp/capi.c, lo que permitiría a un atacante remoto provocar una denegación de servicio o la ejecución de código arbitrario a través de mensajes CAPI con un valor excesivamente largo para los campos manu (fabricante) o serial (numero de serie).

* La función isdn_ppp_ccp_reset_alloc_state en drivers/isdn/isdn_ppp.c en el Kernel no hace la llamada a la función init_timer para poner a cero el temporizador lo cual podría desembocar en una denegación de servicio.

* Una vulnerabilidad no especificada en listxattr cuando un inodo malo está presente, lo que permitiría a un atacante causar una denegación de servicio y posiblemente una escalada de privilegios.

* Un problema en el protocolo AppleTalk podría permitir a un atacante local causar una denegación de servicio a una máquina de su mismo segmento de red.

* Un atacante local podría provocar una doble liberación de una estructura ipv6 y causar una denegación de servicio.

Se recomienda actualizar a través de las herramientas automáticas YoU (Yast Online Update).


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

SUSE-SA:2007:030
http://lists.suse.com/archive/suse-security-announce/2007-May/0003.html

viernes, 11 de mayo de 2007

Varias vulnerabilidades en Nokia Intellisync Mobile Suite

Se han descubierto varias vulnerabilidades en Nokia Intellisync Mobile Suite que podría ser aprovechado por un atacante para desvelar información, realizar ataques por cross-site scripting, manipular datos o causar denegaciones de servicio.

* Ciertos scripts ASP de autenticación no son debidamente comprobados. Un atacante podría aprovechar esta vulnerabilidad para revelar detalles del usuario o deshabilitar cuentas.

* Ciertas entradas de datos pasadas a de/pda/dev_logon.asp, usrmgr/registerAccount.asp, y de/create_account.asp no son debidamente comprobadas antes de ser devueltas al usuario. Un atacante podría aprovechar esto para ejecutar código HTML o scripts arbitrarios en el navegador del usuario atacado.

* Un error de límite en el servidor Apache Tomcat podría ser aprovechado por un atacante para listar directorios y leer el código fuente de ciertos scripts.

Estas vulnerabilidades han sido confirmadas para las versiones 6.4.31.2, 6.6.0.107 y 6.6.2.2 y afecta parcialmente a Nokia Intellisync Wireless Email Express.

Se recomienda actualizar a GSM2


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

SEC Consult Security Advisory < 20070509-0 >
http://www.sec-consult.com/289.html

jueves, 10 de mayo de 2007

Actualización para IBM WebSphere Aplication Server 6.x

IBM ha publicado una solución para un problema en IBM WebSphere Aplication 6.0.2.

La vulnerabilidad corregida se debe a un error de liberación insegura ("double-free") en Java Message Service (JMS) y podría ser aprovechada por un atacante para causar una denegación se servicio o para comprometer un sistema vulnerable.

Se recomienda actualizar al Fix Pack 19 (6.0.2.19) disponible desde:
http://www-1.ibm.com/support/docview.wss?uid=swg24014971


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Fix list for WebSphere Application Server Version 6.0.2
http://www-1.ibm.com/support/docview.wss?uid=swg27006876

miércoles, 9 de mayo de 2007

Vulnerabilidades en Trend Micro ServerProject 5.x

Se han descubierto dos vulnerabilidades en Trend Micro ServerProject 5.58 que podrían ser aprovechadas por un atacante para causar una denegación de servicios o para obtener control total sobre la máquina atacada.

* Un desbordamiento de pila en la función CAgRpcClient::CreateBinding cuando procesa paquetes especialmente manipulados enviados al puerto TCP 5168. Un atacante podría aprovechar esto para hacer que el proceso SpntSvc.exe dejase de funcionar o para ejecutar código arbitrario con privilegios de sistema.

* Un desbordamiento de pila en la función RPCFN_EVENTBACK_Online a la hora de manejar llamadas especialmente manipuladas al puerto TCP 3628. Un atacante remoto podría hacer que el proceso EarthAgent.exe dejase de funcionar o podría comprometer el sistema.

Estas vulnerabilidades afectan a Trend Micro ServerProtect for Windows 5.58 y anteriores.

Se ha publicado una solución oficial. Se recomienda instalar los siguientes parches:

Security Patch 2 Build 1174:
http://www.trendmicro.com/ftp/products/patches/spnt_558_win_en_securitypatch2.exe

Security Patch 3 Build 1176:
http://www.trendmicro.com/ftp/products/patches/spnt_558_win_en_securitypatch3.exe


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Trend Micro ServerProtect AgRpcCln.dll Stack Overflow Vulnerability
http://www.zerodayinitiative.com/advisories/ZDI-07-025.html

Trend Micro ServerProtect EarthAgent Stack Overflow Vulnerability
http://www.zerodayinitiative.com/advisories/ZDI-07-024.html

Security Patch 2- Build 1174
http://www.trendmicro.com/ftp/documentation/readme/spnt_558_win_en_securitypatch2_readme.txt

Security Patch 3 - Build 1176
http://www.trendmicro.com/ftp/documentation/readme/spnt_558_win_en_securitypatch3_readme.txt

martes, 8 de mayo de 2007

Siete boletines de seguridad de Microsoft en mayo

Tal y como adelantamos, este martes Microsoft ha publicado siete boletines de seguridad (MS07-023 al MS07-029) dentro de su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft todos los boletines presentan un nivel de gravedad "crítico".

* MS07-023: Evita tres vulnerabilidades en Microsoft Excel que pueden ser explotadas por atacantes remotos para comprometer los sistemas afectados.

* MS07-024: Se trata de una actualización para evitar tres vulnerabilidades en Microsoft Word que podrían permitir a un atacante remoto ejecutar código arbitrario.

* MS07-025: Esta actualización resuelve una vulnerabilidad en Microsoft Office que podría permitir la ejecución remota de código y obtener completo control del sistema.

* MS07-026: Esta actualización resuelve cuatro vulnerabilidades en Microsoft Exchange que pueden permitir a un atacante remoto obtener información sensible, provocar denegaciones de servicio o incluso la ejecución de código arbitrario.

* MS07-027: Actualización acumulativa para Microsoft Internet Explorer que además soluciona cinco nuevas vulnerabilidades que podrían permitir la ejecución remota de código arbitrario. Afecta a Internet Explorer 5.01, 6 y 7.

* MS07-028: En este boletín, de carácter crítico como todos los publicados, se ofrece la resolución para una vulnerabilidad de ejecución remota de código arbitrario en Cryptographic API Component Object Model, CAPICOM. Afecta a Microsoft CAPICOM 1.X y Microsoft BizTalk Server 2004.

* MS07-029: Se trata de la actualización para la vulnerabilidad en la implementación de la interfaz RPC del servidor DNS (Domain Name System) de Windows y que ya ha sido ampliamente analizada en "una-al-día".

Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible.


Antonio Ropero
antonior@hispasec.com


Más información:

Microsoft Security Bulletin Summary for May 2007
http://www.microsoft.com/technet/security/bulletin/ms07-may.mspx

Microsoft Security Bulletin MS07-023
Vulnerabilities in Microsoft Excel Could Allow Remote Code Execution (934233)
http://www.microsoft.com/technet/security/bulletin/ms07-023.mspx

Microsoft Security Bulletin MS07-024
Vulnerabilities in Microsoft Word Could Allow Remote Code Execution (934232)
http://www.microsoft.com/technet/security/bulletin/ms07-024.mspx

Microsoft Security Bulletin MS07-025
Vulnerability in Microsoft Office Could Allow Remote Code Execution (934873)
http://www.microsoft.com/technet/security/bulletin/ms07-025.mspx

Microsoft Security Bulletin MS07-026
Vulnerabilities in Microsoft Exchange Could Allow Remote Code Execution (931832)
http://www.microsoft.com/technet/security/bulletin/ms07-026.mspx

Microsoft Security Bulletin MS07-027
Cumulative Security Update for Internet Explorer (931768)
http://www.microsoft.com/technet/security/bulletin/ms07-027.mspx

Microsoft Security Bulletin MS07-028
Vulnerability in CAPICOM Could Allow Remote Code Execution (931906)
http://www.microsoft.com/technet/security/bulletin/ms07-028.mspx

Microsoft Security Bulletin MS07-029
Vulnerability in RPC on Windows DNS Server Could Allow Remote Code Execution (935966)
http://www.microsoft.com/technet/security/bulletin/ms07-029.mspx

lunes, 7 de mayo de 2007

Dos vulnerabilidades en Novell Secure Login 6.x


Se han descubierto dos vulnerabilidades en Novell Secure Login (solución single sign-on de Novell) de las cuales una tiene un impacto desconocido y la otra podría ser aprovechada por un atacante para obtener una escalada de privilegios.

* Se ha detectado un error no especificado cuando se cambia la contraseña de Active Directoy.

* Un error en la utilidad ADSCHEMA podría otorgar a los usuarios permisos excesivos.

Estas vulnerabilidades afectan a entornos con Active Directory.

Se ha publicado una solución oficial a estas vulnerabilidades. Se recomienda aplicar el parche 6.0.106. La descarga se encuentra disponible desde:

http://download.novell.com/Download?buildid=NCwwjAbsgQQ~


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

NSL 6.0.106 patch build 6.0.106 6.0.106
http://support.novell.com/docs/Readmes/InfoDocument/patchbuilder/readme_5003822.html

domingo, 6 de mayo de 2007

Múltiples vulnerabilidades en PHP 4.4.x y 5.2.x

Se han descubierto múltiples vulnerabilidades en PHP de las cuales algunas tienen un impacto desconocido y otras podrían ser aprovechadas por un atacante para obtener acceso a información importante, manipular datos, eludir restricciones de seguridad o causar denegaciones de servicios.

* Un error no especificado en ftp_putcmd podría ser aprovechado por un atacante para inyectar caracteres newline.

* Un error no especificado en import_request_variables podría ser aprovechado por un atacante para sobrescribir variables globales.

* Un error no especificado podría ser aprovechado para causar un desbordamiento de buffer en la función make_http_soap_request.

* Un error no especificado podría ser aprovechado para causar un desbordamiento de búfer en la función user_filter_factory_create.

* Un error no especificado en la librería libxmlrpc podría ser aprovechado por un atacante remoto para causar un desbordamiento de búfer.

* Un error de la validación de la entrada de datos en la función mail permitiría a un atacante inyectar cabeceras a través de los parámetros To y Subject.

* Un error en la función mail permitiría a un atacante truncar mensajes a través de bytes ASCIIZ

* Los mecanismos de protección safe_mode y open_basedir podrían ser eludidos por un atacante a través de los wrappers zip:// y bzip://

* Un desbordamiento de entero en substr_compare podría ser aprovechado por un atacante para leer la memoria más allá de la zona de memoria donde están localizadas las variables de PHP. Esto también afecta a la función substr_count.

* Un error en mb_parse_str podría ser aprovechado por un atacante para activar register_globals.

* Un error en el motor Zend referido a los arrays anidados de variables podría ser aprovechado por un atacante para hacer que una aplicación dejase de funcionar.

Se recomienda actualizar a la versión 5.2.2 o 4.4.7 desde
http://www.php.net.

Se recomienda otorgar permisos de ejecución de código PHP sólo a usuarios de confianza.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

PHP 5.2.2 Release Announcement
http://www.php.net/releases/5_2_2.php

PHP 4.4.7 Release Announcement
http://www.php.net/releases/4_4_7.php

sábado, 5 de mayo de 2007

Múltiples vulnerabilidades a través de VPN en dispositivos Cisco PIX y ASA

Se han encontrado varias vulnerabilidades en Cisco PIX y ASA por las que un atacante remoto podría eludir la autenticación LDAP o provocar una denegación de servicio.

* Un atacante remoto podría eludir la autenticación en dispositivos que usen servidores LDAP AAA para autenticar túneles IPSec basados en L2TP. Se ven afectados los dispositivos configurados para usar LDAP en conjunto con CHAP, MS-CHAPv1, o MS-CHAPv2 para autenticación.

* Un atacante remoto que tuviese conocimiento del nombre IPSec de un grupo VPN y de la contraseña de grupo, podría provocar una denegación de servicio en el túnel VPN si está configurado para que la contraseña expire. El dispositivo víctima se recargaría.

* Los Cisco ASA que usen VPNs basadas en SSL son vulnerables a una denegación de servicio a través del servidor SSL VPN HTTP. Un atacante tendría que provocar una condición de carrera para poder llevar a cabo el ataque.

Cisco ha puesto a disposición de sus clientes software para solucionar el problema, a través de los canales habituales.

Se aconseja consultar la tabla de versiones vulnerables y contramedidas en:
http://www.cisco.com/warp/public/707/cisco-sa-20070502-asa.shtml


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Cisco Security Advisory: LDAP and VPN Vulnerabilities in PIX and ASA Appliances
http://www.cisco.com/warp/public/707/cisco-sa-20070502-asa.shtml

viernes, 4 de mayo de 2007

Microsoft publicará siete boletines de seguridad el próximo martes

En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan siete boletines de seguridad, dos dedicados a su sistema operativo Windows, tres a Office, uno a Exchange y otro a Microsoft CAPICOM y BizTalk.

Si en abril fueron cinco boletines de seguridad que salieron a la luz, este mes Microsoft prevé publicar siete actualizaciones el día 8 de mayo. Alguno para Windows alcanza la categoría de crítico, así como para Office y el dedicado a Exchange y Microsoft CAPICOM y BizTalk.

Adicionalmente, y como viene siendo habitual, Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool. Además, se publicarán varias actualizaciones de alta prioridad no relacionadas con la seguridad.

Según las últimas informaciones oficiales de Microsoft, se publicará por fin el parche para la grave vulnerabilidad RPC/DNS que permitía la ejecución de código arbitrario con privilegios de SYSTEM en los sistemas vulnerables. Se programaron varios exploits que facilitaban la labor a atacantes que tuvieran acceso a los puertos 139, 445 o puertos dinámicos RPC (habitualmente accesibles en redes internas). Aunque la contramedida oficial fuese efectiva (un cambio en el registro) y no se perdiera por aplicarla la capacidad de administración remota del servidor DNS, cabe recordar que aplicar los parches en este caso sigue siendo imprescindible.

Exchange, sin actualizaciones de seguridad desde junio de 2006, solucionará un problema crítico en esta ocasión. No se tiene constancia de que el error sea público ni que esté siendo aprovechado. Es probable en cualquier caso, que tras la aparición del parche se deduzcan (o su descubridor publique abiertamente) detalles sobre la vulnerabilidad y aparezcan exploits del fallo, por lo que los administradores deberían aplicar la actualización en cuanto les sea posible.

También se espera que en esta tanda se solvente el grave problema en Office descubierto desde el 15 de febrero, y que permitía la ejecución de código a través de ficheros Word. Este no es el único problema en Office que queda por resolver, pero sí de los más graves junto con el de DNS/RPC, pues ambos están siendo aprovechados por atacantes activamente.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Microsoft Security Bulletin Advance Notification
http://www.microsoft.com/technet/security/bulletin/advance.mspx

jueves, 3 de mayo de 2007

Actualización del kernel para Red Hat Enterprise Linux 5.x

Red Hat ha publicado una actualización para el kernel que solucionan múltiples vulnerabilidades que podrían permitir a un atacante provocar una denegación de servicio:

* Un error en el manejo del sockets en IPv6 permitía a un usuario local leer memoria del kernel o causar una denegación de servicio.

* Un error en utrace permitía a un usuario local producir una denegación de servicio en el sistema.

* Fuga de memoria en el subsistema de auditoría.

* Corrupción de datos en los sistemas s390.

Se recomienda actualizar a través de las herramientas automáticas
up2date. Según versión y plataforma, las actualizaciones están disponibles
desde Red Hat Network.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Important: kernel security and bug fix update
http://rhn.redhat.com/errata/RHSA-2007-0169.html

miércoles, 2 de mayo de 2007

Múltiples vulnerabilidades en VMWare Workstation 5.x

Se han descubierto varias vulnerabilidades en VMware Workstation 5.x que podrían ser aprovechadas por un atacante para causar una denegación de servicios o eludir ciertas restricciones de seguridad.

VMware es un software que permite ejecutar diferentes sistemas operativos en un mismo PC de forma virtual. Entre otras aplicaciones, VMware es muy utilizado en seguridad informática por la versatilidad que ofrece. Por ejemplo, se suele utilizar de forma habitual en la investigación del malware, ya que permite ejecutar y analizar los especimenes en entornos virtuales controlados.

Las vulnerabilidades anunciadas son:

* Un error en la implementación de ACPI cuando recoge información sobre el estado de los procesos en ejecución de las máquinas virtuales podría ser aprovechado por un atacante para provocar que el proceso leyese partes de memoria inválidas.

* Un error no especificado en VMX al guardar ciertas configuraciones malformadas que podría ser aprovechado por un atacante para causar una denegación de servicio.

* Un error no especificado en el manejo de fallos de protección general (GPFs), en sistemas Windows virtualizados podría ser aprovechado por un atacante para hacer que deje de funcionar el sistema virtual.

* Errores no especificados a la hora de depurar aplicaciones en un sistema virtualizado Windows 64-bit podría ser aprovechado por un atacante para provocar punteros corruptos por ejemplo.

* Un error de diseño en las carpetas compartidas podría ser aprovechado en un sistema virtual para leer y escribir ficheros arbitrarios en el sistema huésped. Para que un atacante pudiera aprovechar esta vulnerabilidad sería necesario que hubiese al menso una carpeta compartida y que la opción de solo lectura estuviese deshabilitada.

Estas vulnerabilidades se han corregido en:
VMware Workstation 5.5.4 Build 44386, disponible desde:http://www.vmware.com/download/ws
VMware ACE 1.0.3 Build 44385, disponible desde:
http://www.vmware.com/download/ace
VMware Player 1.0.4 Build 44386, disponible desde:
http://www.vmware.com/download/player


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Workstation 5.5 Release Notes
http://www.vmware.com/support/ws55/doc/releasenotes_ws55.html

VMware ACE Release Notes
http://www.vmware.com/support/ace/doc/releasenotes_ace.html

VMware Player Release Notes
http://www.vmware.com/support/player/doc/releasenotes_player.html

VMware Workstation Shared Folders Directory Traversal Vulnerability
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=521

martes, 1 de mayo de 2007

Nuevos contenidos en CriptoRed (abril de 2007)

Breve resumen de las novedades producidas durante el mes de abril de 2007 en CriptoRed, la Red Temática Iberoamericana de Criptografía y Seguridad de la Información.

1. DOCUMENTOS NUEVOS PARA DESCARGA RECOMENDADOS DE OTROS SERVIDORES (por
orden alfabético)

* Detección de intrusos desde el interior y a vista de pájaro: HIDS + SEM
* Detección de intrusos en la red: más allá del NIDS
* Experiencias en deteccion de intrusiones en pequeñas organizaciones
* Gestión unificada de las amenazas
* Honeynets, conoce a tu enemigo
* Integración de los sistemas IPS en un entorno Wifi centralizado Presentaciones del V Foro de Seguridad RedIRIS Detección de Intrusiones Tenerife (España)
http://www.rediris.es/cert/doc/reuniones/fs2007/archivo.es.html

* Informe RESCATA de Alerta Virus (INTECO - España) de Marzo 2007
http://alerta-antivirus.red.es/documentos/rescata/Informe_Mensual_200703.pdf

2. CONGRESOS Y SEMINARIOS POR ORDEN CRONOLOGICO DE CELEBRACION

* Mayo 7 al 11 de 2007: First Symposium on Algebraic Geometry and its Applications en (Tahiti - Polinesia Francesa)
http://iml.univ-mrs.fr/ati/saga2007/welcome.html

* Mayo 8 al 10 de 2007: International Conference on Security of Information and Networks SIN 2007 (Gazimagusa TRNC - North Cyprus)
http://www.sinconf.org/

* Mayo 14 al 17 de 2007: Euro American Conference on Telematics and Information Systems (Faro - Portugal)
http://www.deei.fct.ualg.pt/eatis/

* Mayo 17 al 20 de 2007: Seminario Interamericano de Investigación de Delitos Financieros (Punta Cana - República Dominicana)
http://www.alifc.org//seminario_sididdf2007.html

* Mayo 20 al 24 de 2007: EUROCRYPT 2007 (Barcelona - España)
http://www.iacr.org/conferences/eurocrypt2007/

* Mayo 21 al 25 de 2007: Segundo Evento Seguridad de Redes para América Latina y el Caribe en LACNIC X (Isla Margarita - Venezuela)
http://lacnic.net/sp/eventos/lacnicx/seguridad_en_redes.html

* Mayo 25 al 29 de 2007: International Conference on Information Theoretic Security ICITS (Madrid - España)
http://www.escet.urjc.es/~matemati/maribel/ICITS/ITS07.htm

* Junio 12 al 13 de 2007: 5th International Workshop on Security in Information Systems WOSIS 07 (Funchal - Portugal)
http://www.iceis.org/workshops/wosis/wosis2007-cfp.html

* Junio 17 al 22 de 2007: 19th Annual FIRST Conference (Sevilla - España)
http://www.first.org/conference/2007/

* Junio 18 al 20 de 2007: 8th IBIMA Conference on Information Management in the Networked Economy (Dublin - Irlanda)
http://www.ibima.org/Dublin2007

* Junio 20 al 22 de 2007: VII Jornadas Nacionales de Seguridad Informática ACIS 2007 (Bogotá - Colombia)
http://www.acis.org.co/index.php?id=840

* Junio 21 al 22 de 2007: Workshop on the Arithmetic of Finite Fields WAIFI 2007 (Madrid - España)
http://www.waifi.org/

* Junio 28 al 30 de 2007: Fourth European PKI Workshop: Theory and Practice EuroPKI 07 (Palma de Mallorca - España)
http://dmi.uib.es/europki07

* Julio 11 al 13 de 2007: Conference on RFID Security 07 en Universidad de Málaga (Málaga - España)
http://rfidsec07.etsit.uma.es/

* Agosto 31 de 2007: 2007 International Workshop on Computational Forensics (Manchester - Gran Bretaña)
http://www.nislab.no/events/iwcf_2007

* Septiembre 11 al 14 de 2007: II Simposio sobre Seguridad Informática en CEDI 2007 (Zaragoza - España)
http://www.congresocedi.es/2007/si_descripcion.html

* Septiembre 17 al 19 de 2007: 2nd International Conference on Ambient Intelligence Developments AmI.d 2007 (Sophia-Antipolis - Francia)
http://www.amidconference.org/

* Septiembre 21 al 23 de 2007: 21st International Conference on Systems for Automation of Engineering and Research (Varna - Bulgaria)
http://www.criptored.upm.es/descarga/Call_for_Paper-IT-2007.zip

* Octubre 9 al 12 de 2007: 10th Information Security Conference ISC 2007 (Valparaíso - Chile)
http://www.isc07.cl/

* Octubre 24 al 26 de 2007: I Congreso Internacional de Informática y Telecomunicaciones CIIT '07 (San Juan de Pasto - Colombia)
http://www.umariana.edu.co/ciit07/

* Noviembre 5 al 9 de 2007: 18th International Workshop on Combinatorial Algorithms IWOCA2007 (Newcastle - Australia)
http://www.eng.newcastle.edu.au/~iwoca2007

* Noviembre 6 al 9 de 2007: V Collaborative Electronic Commerce Technology and Research CollECTeR 2007 (Córdoba - Argentina)
http://www.collecter.org.ar/

* Noviembre 26 al 28 de 2007: IV Congreso Iberoamericano de Seguridad Informática CIBSI 2007 (Mar del Plata - Argentina)
http://www.cibsi2007.org/

* Junio 25 al 27 de 2008: Sexto Congreso Collaborative Electronic Commerce Technology and Research (Madrid - España)
http://www.collecter.euitt.upm.es/

CONGRESOS ANUNCIADOS EN LA IACR:
International Association for Cryptologic Research IACR Calendar of Events in Cryptology:
http://www.iacr.org/events/

3. CURSOS DE POSTGRADO, ESPECIALIDAD Y FORMACIÓN

Puedes encontrar los enlaces en:
http://www.criptored.upm.es/paginas/eventos.htm#Cursos

4. NOTICIAS SELECCIONADAS DEL MES DE ABRIL DE 2007 (ordenado por fecha)

Ampliar la noticia:
http://www.criptored.upm.es/paginas/historico2007.htm#abr07

* V Foro de seguridad RedIRIS Detección de Intrusiones en Tenerife (España)
http://www.rediris.es/cert/doc/reuniones/fs2007/

* Curso de Hacking Ético en Barcelona (España)
http://www.kineticsl.com/curso_hoh/site/hacking_cursohoh.html

* Activada Página Web y CFP de CollECTeR Iberoamérica 2008 a Celebrarse en Madrid (España)
http://www.collecter.euitt.upm.es/

* Gira de Seguridad Protección de Infraestructuras en Abril y Mayo (España)
http://www.informatica64.com/

* Nuevo Portal de Hackhispano (España)
http://www.hackhispano.com/

* CFP I Congreso Internacional de Informática y Telecomunicaciones CIIT'07 (Colombia)
http://www.umariana.edu.co/ciit07/

* CFP 2nd International Conference on Ambient Intelligence Developments AmI.d 2007 (Francia)
http://www.amidconference.org/

* Edición Mayo 2007 de Conferencias de Seguridad FIST en Madrid en la EUITT - UPM (España)
http://www.fistconference.org/madrid.php

5. OTROS DATOS DE INTERES EN LA RED

* Número actual de miembros en la red: 641
(182 universidades; 231 empresas)
http://www.criptored.upm.es/paginas/particulares.htm

* Estadísticas: 50.000 visitas, 110.000 páginas solicitadas y 39,00 GigaBytes servidos en febrero de 2007 (estimados al 28/04/07).
Las estadísticas del mes (AWStats) se muestran en páginas estáticas actualizadas cada día a las 00:05 horas.
http://www.criptored.upm.es/estadisticas/awstats.www.criptored.upm.es.html

* CIBSI 2007: CriptoRed te invita a participar en el IV Congreso Iberoamericano de Seguridad Informática a celebrarse en Mar del Plata, Argentina, del 26 al 28 de noviembre de 2007, enviando trabajos técnicos o asistiendo al evento.
Visita su sitio Web: http://www.cibsi2007.org/


Jorge Ramió Aguirre
Coordinador de CriptoRed


Más información:

abril de 2007
http://www.criptored.upm.es/paginas/historico2007.htm#abr07