jueves, 30 de junio de 2016

Vulnerabilidades en mDNSResponder afectan a sistemas Apple

Se han anunciado múltiples vulnerabilidades en mDNSResponder, el software open source que proporciona servicios del protocolo mDNS, implementado por Bonjour en Apple y otros productos de terceras partes. Los problemas podrían permitir a un atacante ejecutar código arbitrario.

mDNSResponder proporciona servicios mDNS unicast y multicast en sistemas operativos tipo UNIX, como OS-X. El protocolo multicast Domain Name System (mDNS) resuelve sombres de hosts a direcciones IP dentro de redes pequeñas que no incluyen un servidor de nombres local, todo ello sin precisar configuración. El protocolo mDNS se encuentra publicado bajo el RFC 6762 y está implementado por Apple Bonjour y servicios Linux nss-mdns.

En primer lugar se han detectado fallos en la comprobación del tamaño del búfer (CVE-2015-7987) en las funciones "GetValueForIPv4Addr()", "GetValueForMACAddr()", "rfc3110_import()" y "CopyNSEC3ResourceRecord()". Por otra parte, una referencia a puntero nulo (CVE-2015-7988), por una validación inadecuada de entradas en "handle_regservice_request()" podría permitir a un atacante ejecutar código arbitrario o provocar una denegación de servicio. Ambos problemas afectan a las versiones de mDNSResponder 379.27 y superiores, pero inferiores a la 625.41.2.

Apple también ha publicado un aviso de seguridad en relación a estos problemas. Según indican las versiones actuales de los productos Apple usan una versión de Bonjour libre de problemas. Para versiones anteriores, Apple ha publicado actualizaciones de seguridad.

Se ven afectados los productos:
OS X:

  • Versiones anteriores a OS X El Capitan v10.11.1
  • Versiones anteriores a OS X Yosemite v10.10.5 con Security Update 2015-004 Yosemite
  • Versiones anteriores a OS X Mavericks v10.9.5 con Security Update 2015-007 Mavericks
iOS versiones anteriores a iOS 9.1
watchOS versiones anteriores a watchOS 2.1
AirPort Base Station Firmware versiones anteriores a 7.7.7 and 7.6.7

También se ha confirmado que la vulnerabilidad con CVE-2015-7988 afecta a Android, y quedará solucionada en la próxima versión del sistema operativo, Android N (Nougat).

Más información:

Vulnerability Note VU#143335
mDNSResponder contains multiple memory-based vulnerabilities

Security update for mDNSResponder

Android Open Source Project Information for VU#143335
mDNSResponder contains multiple memory-based vulnerabilities


Antonio Ropero
Twitter: @aropero


miércoles, 29 de junio de 2016

Múltiples vulnerabilidades críticas en productos Symantec y Norton

Se han anunciado un total de siete vulnerabilidades que afectan a múltiples productos de Symantec y Norton, muchas de ellas podrían permitir a un atacante tomar el control de los sistemas afectados. La firma ha confirmado otras 12 vulnerabilidades de diversa índole en Symantec Endpoint Protection Manager.

Una vez más salen a la luz vulnerabilidades reportadas por Project Zero de Google. En esta ocasión son los productos de Symantec y Norton los afectados por hasta siete problemas considerados críticos que podrían permitir la ejecución remota de código. Tavis Ormandy, el conocido investigador de Google, ha confirmado que no requieren ninguna interacción del usuario, afectan a la configuración por defecto, y el software se ejecuta en los niveles más altos posibles de privilegios. En ciertos casos en Windows, el código vulnerable incluso se carga en el núcleo.

Como Symantec utiliza el mismo motor en toda su gama de productos, prácticamente la totalidad de antivirus de Symantec y Norton se ven afectados por las vulnerabilidades, reportadas por Google.

Las vulnerabilidades residen en el tratamiento de archivos contenedores específicamente construidos por el motor Decomposer de Symantec, que podría dar lugar a fallos de corrupción de memoria, desbordamientos de entero o desbordamientos de búfer.


"¡Symantec ejecuta sus descompresores en el kernel!"
("Symantec runs their unpackers in the Kernel!")

Un atacante podría lograr la ejecución de código arbitrario mediante el envío de un archivo malicioso al usuario afectado.

Symantec ha confirmado las siguientes vulnerabilidades y CVEs:

  • CVE-2016-2207: Violación de acceso a memoria en la descompresión de RAR
  • CVE-2016-2209: Desbordamiento de buffer Dec2SS
  • CVE-2016-2210: Desbordamiento de buffer Dec2LHA
  • CVE-2016-2211: Corrupción de memoria al descomprimir archivos CAB
  • CVE-2016-3644: Corrupción de memoria por modificación de mensaje MIME
  • CVE-2016-3645: Desbordamiento de entero en archives TNEF
  • CVE-2016-3646: Violación de acceso a memoria en la descompresión de ZIP

No es la primera vez que Tavis Ormandy centra sus descubrimientos en productos de seguridad, incluyendo Kaspersky, FireEye, ESET o Sophos, incluso con problemas similares en descompresores.

El pasado septiembre, el investigador también avisó de fuertes evidencias de la existencia de un mercado negro muy activo en vulnerabilidades en productos de seguridad. Por esta razón consideraba que los fabricantes de productos de seguridad tienen la responsabilidad de mantener los más altos estándares de desarrollo seguro para minimizar el posible daño potencial causado por su software.

Los productos Symantec afectados por estos problemas son:

  • Advanced Threat Protection (ATP)
  • Symantec Data Center Server (SDCS:SA) 6.6 MP1 y 6.5 MP1
  • Symantec Critical System Protection (SCSP) 5.2.9 MP6
  • Symantec Embedded Systems Critical System Protection (SES:CSP) 1.0 MP5 y 6.5.0 MP1
  • Symantec Web Security .Cloud
  • Email Security Server .Cloud (ESS)
  • Symantec Web Gateway
  • Symantec Endpoint Protection (SEP) 12.1.6 MP4 y anteriores
  • Symantec Endpoint Protection para Mac (SEP for Mac) 12.1.6 MP4 y anteriores
  • Symantec Endpoint Protection para Linux (SEP for Linux) 12.1.6 MP4 y anteriores
  • Symantec Protection Engine (SPE) 7.0.5 y anteriores, 7.5.4 y anteriores y 7.8.0
  • Symantec Protection para SharePoint Servers (SPSS) 6.03 a 6.05 y 6.0.6 y anteriores
  • Symantec Mail Security para Microsoft Exchange (SMSMSE) 7.0.4 y anteriores y 7.5.4 y anteriores
  • Symantec Mail Security para Domino (SMSDOM) 8.0.9 y anteriores y 8.1.3 y anteriores
  • CSAPI 10.0.4 y anteriores
  • Symantec Message Gateway (SMG) 10.6.1-3 y anteriores
  • Symantec Message Gateway for Service Providers (SMG-SP) 10.6 y 10.5
Productos Norton afectados:

  • Norton Product Family (versiones anteriores a NGC 22.7)
  • Norton AntiVirus (versiones anteriores a NGC 22.7)
  • Norton Security (versiones anteriores a NGC 22.7)
  • Norton Security with Backup (versiones anteriores a NGC 22.7)
  • Norton Internet Security (versiones anteriores a NGC 22.7)
  • Norton 360 (versiones anteriores a NGC 22.7)
  • Norton Security for Mac (anteriores a 13.0.2)
  • Norton Power Eraser (NPE) (anteriores a 5.1)
  • Norton Bootable Removal Tool (NBRT) (anteriores a 2016.1)

Las actualizaciones de productos de la familia Norton se distribuyen a través de LiveUpdate (que se ejecuta de forma automática de forma regular o bien mediante la ejecución del propio usuario).
Dada la diversidad de productos Symantec afectados se recomienda consultar el propio aviso de la firma de seguridad para obtener la actualización publicada.

Más Vulnerabilidades en Symantec Endpoint Protection Manager

La firma de seguridad ha publicado un segundo aviso de seguridad en el que confirma un total de 12 vulnerabilidades, de muy diversa gravedad, que afectan a Symantec Endpoint Protection Manager y cliente versión 12.1.

Los problemas residen en la consola de administración de SEP y SEPM y podrían permitir a usuarios sin privilegios elevar sus permisos en el sistema o conseguir acceso a información sensible.

Los problemas residen en vulnerabilidades de Cross-site scripting y cross-site request forgery, posibilidad de realizar ataques de fuerza bruta contra la contraseña, redirecciones abiertas o escaladas de directorios. En este caso las vulnerabilidades incluyen los CVE-2016-3647 al CVE-2016-3653, CVE-2016-5304 al CVE-2016-5307 y CVE-2015-8801.

Se recomienda actualizar a Symantec Endpoint Protection Manager 12.1-RU6-MP5 disponible desde Symantec File Connect:


Más información:

Security Advisories Relating to Symantec Products - Symantec Decomposer Engine Multiple Parsing Vulnerabilities

Security Advisories Relating to Symantec Products - Symantec Endpoint Protection Manager Multiple Security Issues

How to Compromise the Enterprise Endpoint

una-al-dia (08/09/2015) Polémicos anuncios de vulnerabilidades en productos Kaspersky y FireEye

una-al-dia (29/09/2015) Múltiples vulnerabilidades en productos Kaspersky

Kaspersky: Mo Unpackers, Mo Problems.

Antonio Ropero
Twitter: @aropero



martes, 28 de junio de 2016

Elevación de privilegios en productos Panda 2016

Se ha anunciado una vulnerabilidad de elevación de privilegios en los productos de seguridad de Panda Security 2016.

El problema reside en que el proceso "PSEvents.exe" se ejecuta periódicamente con permisos elevados y tiene dependencias de librerías localizadas tanto en el directorio por defecto, como en otras librerías del sistema. Como el grupo "Usuarios" tiene permisos de escritura sobre la carpeta donde se ejecuta el proceso "PSEvents.exe" y dado que el sistema primero busca las librerías empleadas por ese proceso en la carpeta de ejecución, puede ser posible crear una librería maliciosa en la carpeta de ejecución que sustituya alguna de las bibliotecas instaladas en otras carpetas. Esto podría permitir la ejecutar código malicioso con los privilegios del sistema.

Concretamente los productos afectados son:
  • Panda Antivirus Pro 2016
  • Panda Global Protection 2016
  • Panda Gold Protection 2016
  • Panda Internet Security 2016
  • Small Business Protection


Panda Security ha publicado una actualización que soluciona este problema en los productos afectados. Disponible desde:
Tras la instalación, se debe verificar que la carpeta
"%ProgramData%\Panda Security\Panda Devices Agent\Downloads"
Tiene solo permisos de lectura para el grupo "Usuarios".

Más información:

Privilege escalation vulnerability in PSEvents.exe with Panda 2016 products

Panda Security – Privilege Escalation


Antonio Ropero
Twitter: @aropero

lunes, 27 de junio de 2016

Actualización del kernel para Red Hat Enterprise Linux 7

Red Hat ha publicado una actualización (considerada importante) del kernel para toda la familia Red Hat Enterprise Linux 7 que solventa dos nuevas vulnerabilidades que podrían ser aprovechadas por atacantes para provocar denegaciones de servicio o elevar privilegios.

El primer problema, con CVE-2016-4565, reside en la forma en que determinadas interfaces del subsistema Infiniband del kernel de Linux usan write() como sustituto de ioctl() bidireccional. Un usuario local sin privilegios podría usar este fallo para elevar sus privilegios en el sistema. Por otra parte, con CVE-2015-8767, una condición de carrera en la implementación SCTP del kernel de Linux al tratar determinadas llamadas sctp_accept() podría permitir a atacantes remotos provocar condiciones de denegación de servicio.

También se han corregido otros siete fallos no relacionados directamente con problemas de seguridad.

Detalles sobre la aplicación de ésta actualización se encuentran disponibles en:

Más información:

Important: kernel security and bug fix update



Antonio Ropero

Twitter: @aropero

domingo, 26 de junio de 2016

Cross-Site Request Forgery en IBM WebSphere Portal

IBM ha publicado un boletín de seguridad para alertar de una vulnerabilidad de cross-site request forgery (CSRF) en IBM WebSphere Portal 8.5.

IBM WebSphere Portal ofrece una aplicación compuesta o infraestructura de "mashup" empresarial y las herramientas para crear soluciones basadas en SOA (Arquitectura Orientada a Servicios). WebSphere Portal contiene una amplia variedad de tecnologías destinadas a desarrollar y mantener portales B2C, B2B y B2E.

El problema, con CVE CVE-2016-2901, reside en un error de validación de las entradas del usuario que podría permitir a un atacante remoto realizar ataques de cross-site request forgery. Este tipo de vulnerabilidades permiten a un atacante ejecutar funcionalidades de una web determinada a través de la sesión de otro usuario en esa web. De esta forma un atacante podría tener acceso al servidor con los mismos permisos que los del usuario atacado.

IBM ha publicado una corrección para evitar este problema, disponible con la identificación PI62594:

Más información:

Security Bulletin: Cross-Site Request Forgery Vulnerability in IBM WebSphere Portal (CVE-2016-2901)


Antonio Ropero
Twitter: @aropero

sábado, 25 de junio de 2016

Actualización de seguridad para Google Chrome

Google ha publicado una actualización de seguridad para su navegador Google Chrome (versión 51.0.2704.103) para todas las plataformas (Windows, Mac y Linux) para corregir tres nuevas vulnerabilidades.

Como es habitual, Google no facilita información de todos los problemas corregidos. En esta ocasión, confirma la corrección de tres nuevas vulnerabilidades aunque únicamente facilita información de uno de ellos, tampoco ofrece detalles sobre la gravedad de los problemas. Se solucionan problemas de seguridad encontrados a través del trabajo de seguridad interno, de auditoría interna, pruebas automáticas y otras iniciativas (CVE-2016-1704).

Como es habitual, esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados o a través de "Información sobre Google Chrome" (chrome://chrome/).

Más información:

Stable Channel Update



Antonio Ropero
Twitter: @aropero



viernes, 24 de junio de 2016

De nuevo Lenovo y su software preinstalado

Hace menos de un mes Lenovo instó a los usuarios de sus ordenadores a desinstalar una aplicación preinstalada. En esta ocasión ha publicado una nueva versión de su herramienta de soporte "Lenovo Solution Center", preinstalada y activa en millones de portátiles, equipos de escritorio y tabletas Lenovo. Dos vulnerabilidades en este software podrían permitir a un atacante local terminar procesos o ejecutar código arbitrario en los sistemas afectados.

El software "Lenovo Solution Center" (LSC) permite a los usuarios realizar funciones de diagnóstico e identificar rápidamente el estado del hardware y software del PC, las conexiones de red y la presencia de elementos de seguridad como firewalls o antivirus.

Hace menos de dos meses ésta misma aplicación ya se vio afectada por una vulnerabilidad de elevación de privilegios. Por no olvidar el conocido "caso Superfish" o la vulnerabilidad más reciente en "Lenovo Accelerator Application" que podía facilitar la realización de ataques de hombre en el medio.

En esta ocasión son dos las vulnerabilidades encontradas en el software de diagnóstico de Lenovo. Con CVE-2016-5248, una vulnerabilidad que podría permitir a usuarios sin privilegios terminar cualquier proceso; mientras que con CVE-2016-5249 una neuva vulnerabilidad de ejecución de código arbitrario con privilegios de la cuenta LocalSystem.

Lenovo ha publicado la versión 3.3.003 de Lenovo Solution Center para corregir esta vulnerabilidad. Basta con abrir la aplicación y se presentará la opción de actualización automática. También puede descargarse directamente desde:

Una vez más, se confirma el peligro del software preinstalado, mucho más cuando a veces hasta el propio usuario desconoce lo que el fabricante ha incluido en el equipo.

Más información:

LEN-7814 Lenovo Solution Center Arbitrary Process Termination or Code Execution by Unprivileged Local Users

Trustwave SpiderLabs Security Advisory TWSL2016-012:
Multiple Vulnerabilities in Lenovo Solution Center

una-al-dia (20/02/2015) Portátiles Lenovo con malware de regalo

una-al-dia (08/05/2016) El software preinstalado vuelve a causar problemas en equipos Lenovo

una-al-dia (03/06/2016) Otra vez Lenovo y las aplicaciones preinstaladas


Antonio Ropero
Twitter: @aropero

jueves, 23 de junio de 2016

Wget permite a atacantes remotos la escritura de archivos

Se ha anunciado una vulnerabilidad en Wget que podría permitir a un atacante remoto escribir archivos arbitrarios en el sistema afectado.

GNU Wget es una herramienta libre para la descarga de contenidos desde servidores web de una forma simple, soporta descargas mediante los protocolos http, https y ftp. Entre las características más destacadas está la posibilidad de fácil descarga de mirrors complejos de forma recursiva (cualidad que permite la vulnerabilidad descubierta), conversión de enlaces para la visualización de contenidos HTML localmente, soporte para proxies, etc.

El problema, con CVE-2016-4971, reside en que Wget trata de forma incorrecta los nombres de archivos cuando provienen de una redirección http a una url ftp y confía en el nombre indicado en la URL. Esto puede permitir a un servidor malicioso escribir o sobreescribir archivos en el sistema afectado.

Se ha publicado la versión 1.18 que soluciona el problema, disponible en:
Si tras la actualización se desea conservar el anterior comportamiento (por ejemplo en determinados scripts) se puede emplear el parámetro "--trust-server-names".
Adicionalmente se han solucionado otros problemas no relacionados con la seguridad.

Más información:

GNU wget 1.18 released

USN-3012-1: Wget vulnerability



Antonio Ropero
Twitter: @aropero


miércoles, 22 de junio de 2016

Actualización de seguridad para WordPress

Se ha publicado la versión 4.5.3 de WordPress destinada a solucionar múltiples vulnerabilidades, que podrían permitir la construcción de ataques cross-site scripting, obtener información sensible, cambiar contraseñas o provocar condiciones de denegación de servicio.

Wordpress es un sistema de gestión de contenidos enfocado a la creación de blogs desarrollado en PHP y MySQL, ampliamente usado en la comunidad de bloggers debido a su facilidad de uso y sus características como gestor de contenidos.

Esta actualización incluye la corrección de diferentes vulnerabilidades: un salto de redirecciones en el personalizador, dos problemas de cross-site scripting a través de los nombres de adjuntos, obtención del historial de revisiones, denegación de servicio en oEmbed, eliminación de la categoría de una entrada sin autorización, cambio de contraseña a través del robo de cookies y algunos casos relacionados con sanitize_file_name. Todos afectan a WordPress versiones 4.5.2 y anteriores.

Además está versión contiene la corrección de otros 17 fallos no relacionados directamente con problemas de seguridad, que afectan a versiones 4.5, 4.5.1 y 4.5.2.

Dada la importancia de los problemas corregidos se recomienda la actualización de los sistemas a la versión 4.5.3 disponible desde:
O bien desde el dashboard, Actualizaciones (Updates), Actualizar Ahora (Update Now). Los sitios que soporten actualizaciones automáticas ya han iniciado la actualización a WordPress 4.5.2.

Más información:

WordPress 4.5.3 Maintenance and Security Release


Antonio Ropero
Twitter: @aropero



martes, 21 de junio de 2016

Actualizaciones del firmware de las estaciones base Apple AirPort

Apple hapublicado actualizaciones del firmware de las estaciones base AirPort destinadas a solucionar una vulnerabilidad que podría permitir a un atacante remoto ejecutar código arbitrario.

AirPort Extreme
La familia de productos AirPort de Apple está formada por routers que combinan diferentes características. Permiten desde conformar una red inalámbrica de dispositivos e impresoras, compartir los ficheros de audio disponibles en iTunes con cualquier equipo de sonido (con el dispositivo AirPort Express), hasta funcionar como NAS gracias a un disco duro integrado en AirPort Time Capsule.

Esta actualización viene a corregir un problema reportado hace más de nueve meses, con CVE-2015-7029, que según la descripción se debe a un error de corrupción de memoria al tratar datos DNS. Un atacante remoto podría ejecutar código arbitrario, lo que permitiría tomar el control del router de forma remota y hasta llegar a comprometer la red entera.

Las nuevas versiones de firmware 7.6.7 y 7.7.7 están disponibles para AirPort Express y estaciones base AirPort Extreme y AirPort Time Capsule con 802.11n y 802.11ac.

Para la actualización se debe emplear AirPort Utility para Mac o iOS. Se puede emplear AirPort Utility 6.3.1 o posterior en OS X, o AirPort Utility 1.3.1 o posterior en iOS.
AirPort Utility para Mac está disponible para descarga desde
AirPort Utility para iOS está disponible desde la App Store.

Más información:

About the security content of AirPort Base Station Firmware Update 7.6.7 and 7.7.7


Antonio Ropero

Twitter: @aropero

lunes, 20 de junio de 2016

Séptima lección del MOOC Crypt4you "Introducción a la seguridad informática y criptografía clásica"

Se ha publicado la séptima lección del MOOC Introducción a la seguridad informática y criptografía clásica, de título "Algoritmos de cifra por transposición o permutación" correspondiente al Tema IV: "Algoritmos de Cifra Clásica".

Esta séptima lección está dedicada a la cifra por permutación o transposición, método de cifra que consiste en cambiar de lugar los elementos del texto en claro en el criptrograma, logrando de este modo que se difuminen o difundan las estadísticas del lenguaje en el texto cifrado. Con un recorrido muy corto en la criptografía clásica, no así en la cifra moderna, esta técnica tiene como algoritmos más conocidos a la escítala lacedemonia, los sistemas de cifra por permutación de filas, columnas, rail fence o vallas y, por último, a los cifradores por permutación de grupos y series. La cifra por permutación puede ser criptoanalizada mediante la técnica conocida como anagramación, un ataque que hace uso de las estadísticas de frecuencia de los digramas más comunes del lenguaje, debido a la redundancia del mismo. Cabe recordar que en este tipo de cifra el criptograma contará con los mismos elementos o letras que el texto en claro.

Especial reconocimiento corresponde hacer en este momento a D. Juan Contreras Rubio, Ingeniero en Informática de Sistemas, que renovó completamente el antiguo software Criptoclásicos que usaremos como plataforma de prácticas en las 4 lecciones finales de este curso. Indicar, además, que entre febrero y junio de 2016, meses dedicados a la revisión del software, se han llevado a cabo una gran cantidad de mejoras al mismo.

La lección tiene como elemento multimedia de apoyo la píldora formativa Thot número 15: "¿Qué es la cifra por transposición o permutación?"

Así mismo, se han publicado en las redes sociales de twitter y facebook del MOOC Crypt4you las soluciones al test de la lección anterior número 6; en el caso de Facebook las respuestas están además comentadas.


Las siguientes lecciones del MOOC a publicarse a partir de mediados de septiembre de 2016 son:

Lección 8: Algoritmos de cifra clásica por sustitución monoalfabética
Lección 9: Algoritmos de cifra clásica por sustitución polialfabética
Lección 10: Algoritmos de cifra clásica poligrámicos con matrices

Terminado el curso, se publicará un examen de tipo teórico y práctico que no se evaluará ni dará derecho, de momento, a ninguna certificación.

Más información:

Introducción a la seguridad informática y criptografía clásica
Tema IV: Algoritmos de cifra clásica
Lección 7: Algoritmos de cifra por transposición o permutación

Crypt4you

Estadísticas acumuladas de las lecciones del MOOC Crypt4you

una-al-dia (24/02/2016) Nuevo MOOC en Crypt4you sobre "seguridad informática y criptografía clásica"

una-al-dia (01/03/2016) Publicada la segunda lección del MOOC Crypt4you "Introducción a la seguridad informática y criptografía clásica"

una-al-dia (15/03/2016) Tercera lección del MOOC Crypt4you "Introducción a la seguridad informática y criptografía clásica"

una-al-dia (03/04/2016) Cuarta lección del MOOC Crypt4you "Introducción a la seguridad informática y criptografía clásica"

una-al-dia (17/04/2016) Quinta lección del MOOC Crypt4you "Introducción a la seguridad informática y criptografía clásica"

una-al-dia (11/01/2015) Publicadas las píldoras formativas Thoth 13, 14 y 15 dedicadas a los cifrados clásicos por sustitución y por permutación

una-al-dia (29/05/2016) Sexta lección del MOOC Crypt4you "Introducción a la seguridad informática y criptografía clásica"


Dr. Jorge Ramió; Dr. Alfonso Muñoz
Directores del MOOC Crypt4you 

domingo, 19 de junio de 2016

Dos vulnerabilidades en Drupal

El equipo de seguridad de Drupal ha publicado un boletín de seguridad calificado como moderadamente crítico, en el que se solucionan dos vulnerabilidades. 

Drupal es un CMF (Content Management Framework) modular multipropósito y muy configurable, desarrollado bajo licencia GNU/GPL en PHP. Permite la publicación de artículos, imágenes, y otro tipo de archivos con servicios añadidos como foros, encuestas, votaciones, blogs y administración de usuarios y permisos.

En primer lugar se ha solucionado una vulnerabilidad en el módulo de usuarios de Drupal 7 debido a que al guardar bajo determinadas condiciones se pueden asignar a un usuario todos los roles del sitio. Lo que podría permitir a un usuario conseguir permisos administrativos.

Por otra parte, un segundo problema en el modulo de Vistas de Drupal 7 y 8 que podría permitir a usuarios sin autorización visualizar información del módulo de estadísticas.

En Drupal 7 no afecta al Core, pero si se usa el modulo Vistas de Drupal 7.x, se debe actualizar este módulo a la versión Views 7.x-3.14.

Se ven afectadas las versiones 7.x anteriores a 7.44 y versiones 8.x anteriores a 8.1.3. Se recomienda la actualización a las versiones Drupal 7.44 y Drupal 8.1.3.

Más información:

Drupal Core - Moderately Critical - Multiple Vulnerabilities - SA-CORE-2016-002

Views - Less Critical - Access Bypass - SA-CONTRIB-2016-036

views 7.x-3.14

Antonio Ropero
Twitter: @aropero



sábado, 18 de junio de 2016

Actualización para VMware vCenter Server

VMware ha publicado actualizaciones de seguridad para corregir una vulnerabilidad en VMware vCenter Server, que podría permitir realizar ataques de cross-site scripting.

VMware es un software que permite ejecutar diferentes sistemas operativos en un mismo PC de forma virtual. Entre otras aplicaciones, VMware es muy utilizado en seguridad informática por la versatilidad que ofrece. Por ejemplo, se suele utilizar de forma habitual en la investigación del malware, ya que permite ejecutar y analizar los especímenes en entornos virtuales controlados.

El problema, con CVE-2016-6931, afecta a vCenter Server 5.x reside en una falta de filtrado en las entradas en el cliente web vSphere lo que permite la realización de ataques de cross-site scripting

VMware ha publicado las siguientes actualizaciones:
vCenter Server 5.5 U2d
vCenter Server 5.1 U3d
vCenter Server 5.0 U3g
Disponibles desde

No es necesaria la actualización del cliente web vSphere, con la actualización del servidor es suficiente para corregir la vulnerabilidad.

Más información:

VMSA-2016-0009
VMware vCenter Server updates address an important reflective cross-site scripting issue


Antonio Ropero
Twitter: @aropero


viernes, 17 de junio de 2016

Actualizaciones para routers inalámbricos Cisco

Cisco ha anunciado un total de cuatro vulnerabilidades en la interfaz web de administración de tres routers inalámbricos (modelos RV110W, RV130W y RV215W). Al menos uno de los problemas podría permitir tomar el control de los dispositivos afectados.

El problema más grave (con CVE-2016-1395) reside en un filtrado inadecuado de las entradas http del usuario, lo que podría permitir a un atacante remoto sin autenticar ejecutar código arbitrario con privilegios de root en el sistema afectado.

Un segundo problema, con CVE-2016-1396, reside en la validación inadecuada de determinados parámetros enviados a los dispositivos afectados a través de métodos HTTP GET o HTTP POST. Este error podría permitir a un atacante remoto sin autenticar construir ataques de cross-site scripting.

Por último, dos vulnerabilidades (CVE-2016-1397 y CVE-2016-1398) de desbordamiento de búfer por un filtrado inadecuado de las entradas del usuario de campos en peticiones http que se envían cuando un usuario configura un dispositivo afectado mediante la interfaz web de administración. Un atacante remoto sin autenticar podría provocar condiciones de denegación de servicio.

Todos los problemas afectan a los siguientes productos:
  • RV110W Wireless-N VPN Firewall
  • RV130W Wireless-N Multifunction VPN Router
  • RV215W Wireless-N VPN Router


Cisco publicará actualizaciones del firmware en el tercer trimestre de este año. Se espera que las actualizaciones sean:
Para Cisco RV110W Wireless-N VPN Firewall, version 1.2.1.7
Para Cisco RV130W Wireless-N Multifunction VPN Router, version 1.0.3.16
Para Cisco RV215W Wireless-N VPN Router, version 1.3.0.8
Estarán disponibles para descarga desde
En Products > Routers > Small Business Routers > Small Business RV Series Routers.

Más información:

Cisco RV110W, RV130W, and RV215W Routers Arbitrary Code Execution Vulnerability

Cisco RV110W, RV130W, and RV215W Routers Cross-Site Scripting Vulnerability

Cisco RV110W, RV130W, and RV215W Routers HTTP Request Buffer Overflow Vulnerability


Antonio Ropero
Twitter: @aropero


jueves, 16 de junio de 2016

Actualizaciones de seguridad para múltiples productos Adobe

Adobe ha publicado seis boletines de seguridad para anunciar las actualizaciones necesarias para solucionar 36 vulnerabilidades en Flash (incluido un 0day), una en DNG Software Development Kit (SDK), dos en Brackets, dos en Creative Cloud Desktop Application, una en Cold Fusion y una en Adobe AIR. En total 43 vulnerabilidades corregidas.

Flash Player

Sin duda la más importante de las actualizaciones publicadas es su ya habitual boletín mensual para Flash, en esta ocasión el boletín APSB16-18, destinado a solucionar hasta 36 vulnerabilidades. Entre las que se incluye un 0day que se está explotando en la actualidad de forma activa. Prácticamente la totalidad de los problemas podrían permitir a un atacante tomar el control de los sistemas afectados.

Todo parece indicar que con objeto de incluir la solución a la vulnerabilidad 0-day (CVE-2016-4171) debida a una corrupción de memoria, Adobe se vio obligada a retrasar la publicación del boletín destinado a Flash.

Excepto una vulnerabilidad, el resto de los problemas que se solucionan en este boletín podrían permitir la ejecución de código arbitrario aprovechando seis vulnerabilidades de uso de memoria después de liberarla, dos de confusión de tipos, tres desbordamientos de búfer, 23 de corrupción de memoria y una vulnerabilidad en la ruta de búsqueda de directorio empleada para encontrar recursos. Por último, otra vulnerabilidad que podría emplearse para saltar la política de mismo origen y obtener información sensible.

Los CVE asignados son: CVE-2016-4122 al CVE-2016-4125, CVE-2016-4127 al CVE-2016-4156, CVE-2016-4166 y CVE-2016-4171.

De igual forma, como viene siendo habitual en los últimos meses, Microsoft también ha publicado un boletín (el MS16-083), para reflejar estas actualizaciones de Adobe Flash (incluido el 0-day).

Adobe ha publicado las siguientes versiones de Adobe Flash Player destinadas a solucionar las vulnerabilidades, y se encuentran disponibles para su descarga desde la página oficial:
  • Flash Player Desktop Runtime 22.0.0.192
  • Flash Player Extended Support Release 18.0.0.360
  • Flash Player para Linux 11.2.202.626
Igualmente se ha publicado la versión 22.0.0.192 de Flash Player para navegadores Internet Explorer, Edge y Chrome.

Adobe recomienda a los usuarios de Adobe Flash Player Desktop Runtime para Windows y Macintosh actualizar a través del sistema de actualización del propio producto o desde
Los usuarios de Adobe Flash Player Extended Support Release deben actualizar desde:
Para actualizar Adobe Flash Player para Linux:

ColdFusion

En el boletín de seguridad APSB16-22 de Adobe, se recoge una actualización para ColdFusion versiones 2016, 11 y 10. Este parche está destinado a corregir una vulnerabilidad importante relacionada con un error en la validación de entradas (CVE-2016-4159) que podría emplearse para realizar ataques de cross-site scripting.

Se recomienda a los usuarios actualicen sus productos según las instrucciones proporcionadas por Adobe:
ColdFusion (2016):

Adobe DNG Software Development Kit (SDK)

En el boletín de seguridad APSB16-19 de Adobe, se recoge una actualización para Adobe DNG Software Development Kit (SDK) 1.4 (2012 release) y anteriores, para Windows y Macintosh. Este parche está destinado a corregir una vulnerabilidad de corrupción de memoria (CVE-2015-4167).

Se ha publicado la versión 1.4 (2016 release) disponible desde:

Adobe Brackets

En el boletín de seguridad APSB16-20 de Adobe, se recoge una actualización para Adobe Brackets 1.6 (y anteriores) para Windows, Macintosh y Linux. Este parche está destinado a corregir una vulnerabilidad de inyección JavaScript que podría emplearse para ataques de cross-site scripting (CVE-2016-4164) y otra vulnerabilidad de validación de entradas en el administrador de extensiones (CVE-2016-4165).

Adobe ha publicado Adobe Brackets 1.7 disponible desde:

Creative Cloud Desktop Application

En el boletín de seguridad APSB16-21 de Adobe, se informa de una actualización para Creative Cloud Desktop Application para Windows. Esta actualización soluciona una vulnerabilidad en la ruta de búsqueda de directorio empleada para encontrar recursos que podría permitir la ejecución de código (CVE-2016-4157) y otra de enumeración de servicios con rutas sin comillas (CVE-2016-4158).

Adobe ha publicado la version Creative Cloud 3.7.0.272 disponible desde

Adobe AIR

El último de los boletines de seguridad publicados se refiere a Adobe AIR (APSB16-23), en el que anuncia una vulnerabilidad (con CVE-2016-4116) en la búsqueda de ruta de directorio empleada por el instalador de Adobe AIR. Un atacante podría aprovechar este problema para lograr la ejecución de código arbitrario.

Se recomienda a los usuarios de Adobe AIR actualizar a la versión 22.0.0.153 disponible desde:
Adobe AIR SDK & Compiler:

Más información:

Security updates available for Adobe Flash Player

Security update available for the Adobe DNG Software Development Kit (SDK)

Security update available for Adobe Brackets

Security update available for the Creative Cloud Desktop Application

Security Update: Hotfixes available for ColdFusion

Security update available for Adobe AIR

Security Advisory for Adobe Flash Player

Microsoft Security Bulletin MS16-083 - Critical
Security Update for Adobe Flash Player (3167685)



Antonio Ropero
Twitter: @aropero