jueves, 22 de junio de 2017

Actualización crítica por vulnerabilidades en Drupal

El equipo de seguridad de Drupal ha publicado un boletín de seguridad en el que se solucionan tres vulnerabilidades que podrían permitir a un atacante obtener o registrar una cuenta de usuario, ejecutar código arbirtrario o acceder a archivos sin autorización.

Drupal es un CMF (Content Management Framework) modular multipropósito y muy configurable, desarrollado bajo licencia GNU/GPL en PHP. Permite la publicación de artículos, imágenes, y otro tipo de archivos con servicios añadidos como foros, encuestas, votaciones, blogs y administración de usuarios y permisos.

El problema más grave, con CVE-2017-6920 y considerado crítico, consiste en un tratamiento inadecuado de objetos PHP por el analizador PECL YAML, que podría permitir la ejecución remota de código. Con CVE-2017-6921, considerada menos crítica una vulnerabilidad debida a que el archivo de recursos REST no valida adecuadamente algunos cambios al manipular archivos. Solo afecta a sitios con el módulo RESTful Web Services (rest) activo, el archivo de recursos REST esté habilitado y permita peticiones PATCH. Un atacante podrá conseguir o registrar una cuenta de usuario con permisos para subir archivos y modificar el archivo de recursos. Estas dos vulnerabilidades solo afectan a Drupal 8.

Por último, con CVE-2017-6922 y considerada moderadamente crítica, un problema que podría permitir a usuarios anónimos acceder a archivos subidos por otros usuarios anónimos a un sistema de archivos privado. Afecta a Drupal 7 y Drupal 8.

Se recomienda la actualización a las versiones Drupal core 7.56 o Drupal core 8.3.4

Más información:

Drupal Core - Multiple Vulnerabilities - SA-CORE-2017-003

drupal 7.56

drupal 8.3.4



Antonio Ropero
Twitter: @aropero


miércoles, 21 de junio de 2017

Nuevas versiones de Apache HTTP Server corrigen diversas vulnerabilidades

Apache Software Foundation ha publicado nuevas versiones del servidor web Apache destinadas a solucionar cinco vulnerabilidades importantes que podrían permitir a un atacante evitar restricciones de seguridad o provocar condiciones de denegación de servicio.

Apache es el servidor web más popular del mundo, usado por cerca de la mitad de los sitios web, disponible en código fuente y para infinidad de plataformas, incluyendo diversas implementaciones de UNIX, Microsoft Windows , OS/2 y Novell NetWare.

El primer problema reside en el uso de ap_get_basic_auth_pw() por módulos de terceras partes fuera de la fase de autenticación uqe podría dar lugar a que un atacante pueda evitar los requisitos de autenticación (CVE-2017-3167).

También se corrigen vulnerabilidades de denegación de servicio por desreferencia de puntero nulo en mod_ssl cuando otros módulos llaman ap_hook_process_connection() durante una petición HTTP a un puerto HTTPS (CVE-2017-3169). Y por otras dos sobrelecturas  de búfer en ap_find_token() (con CVE-2017-7668) y mod_mime (CVE-2017-7679).

Por último, una denegación de servicio por desreferencia de puntero nulo (CVE-2017-7659) en mod_http2 a través de peticiones http/2 maliciosas, que solo afecta a Apache 2.4.25.

El equipo de Apache recomienda a los usuarios de la rama 2.2 actualizar a la rama 2.4, a la versión 2.4.26 que además incluye nuevas funcionalidades y mejoras. Esta versión 2.2.33 se considera como versión de mantenimiento y se ofrece para aquellos usuarios que no puedan actualizar a la rama 2.4 en este momento.

Se han publicado parches individuales para la versión 2.2.33 para cada una de las vulnerabilidades:

Las nuevas versiones Apache 2.4.26 como 2.2.33 están disponibles desde:

Más información:

Apache httpd 2.4.26 Released 2017-06-19¶

Fixed in Apache httpd 2.2.33-dev

Fixed in Apache httpd 2.4.26

Changes with Apache 2.4.26

CVE-2017-3167: Apache httpd 2.x ap_get_basic_auth_pw authentication bypass

CVE-2017-3169: Apache httpd 2.x mod_ssl null pointer dereference

CVE-2017-7668: Apache httpd 2.x ap_find_token buffer overread

CVE-2017-7679: Apache httpd 2.x mod_mime buffer overread

CVE-2017-7659: mod_http2 null pointer dereference

Antonio Ropero
Twitter: @aropero


martes, 20 de junio de 2017

Importante vulnerabilidad en sistemas Linux y *NIX

Bajo el nombre de "Stack Clash" se ha anunciado una vulnerabilidad que afecta a sistemas Linux, OpenBSD, NetBSD, FreeBSD y Solaris que puede permitir a un atacante local conseguir privilegios de root en los sistemas afectados.

Un grupo de investigadores de Qualys han descubierto el problema y han desarrollado siete exploits y otras tantas pruebas de concepto para demostrarlo, además han trabajado con los fabricantes para desarrollar los parches necesarios.

La base del problema no es nueva, los investigadores de Qualys se remontan a una antigua cuestión: 

"Si el montón crece hacia arriba y la pila
crece hacia abajo, ¿qué sucede cuando
chocan? ¿Es explotable? ¿Cómo?.
"

De esta forma la vulnerabilidad reside en el uso de la pila, y el crecimiento de este espacio de memoria por necesidades del programa. Si crece demasiado y se acerca demasiado a otra región de memoria, el programa puede confundir regiones de memoria y un atacante puede explotar esta confusión para sobrescribir la pila con la otra región de memoria, o al revés.

La vulnerabilidad afecta a todos los sistemas Linux, OpenBSD, NetBSD, FreeBSD o Solaris, en i386 o amd64. Aunque otros sistemas operativos y arquitecturas también pueden ser vulnerables. Los exploits y pruebas de concepto desarrolladas por Qualys permiten la elevación local de privilegios, un atacante con acceso local a un sistema podrá aprovechar esta vulnerabilidad para conseguir acceso de root. Aunque los investigadores de Qualys tampoco descartan la posibilidad de ataques remotos en aplicaciones específicas. Hay que destacar el extenso análisis técnico en el aviso de Qualys.

Según Qualys, la vulnerabilidad en Sudo comentada recientemente también se cataloga dentro de "Stack Clash".

Gracias al aviso responsable de los investigadores y el trabajo con los fabricantes afectados ha permitido que todos los afectados dispongan rápidamente de los parches necesarios para evitar la vulnerabilidad.

Oracle ha publicado un aviso en el que alerta del problema e informa de los parches publicados en:
De forma similar Red Hat también ha publicado una página especial dedicada al problema, por el que se ven afectadas múltiples versiones de sus sistemas:
  • Red Hat Enterprise Linux 5, 6 y 7
  • Red Hat Enterprise MRG 2.5
  • Red Hat Virtualization
  • RHEL Atomic Host 
https://access.redhat.com/security/vulnerabilities/stackguard

Otras distribuciones Linux también han publicado actualizaciones:
SUSE:

Debian:

Ubuntu:

OpenBSD


La lista de exploits y pruebas de concepto desarrolladas:

  • Exploit local para root contra Exim (CVE-2017-1000369, CVE-2017-1000376) en i386 Debian.
  • Exploit local para root contra Sudo (CVE-2017-1000367, CVE-2017-1000366) en i386 Debian, Ubuntu, CentOS.
  • Un exploit independiente Sudoer a root contra CVE-2017-1000367 en distribuciones SELinux.
  • Exploit local para root contra ld.so y la mayoría de binarios SUID-root en i386 Debian, Fedora, CentOS (CVE-2017-1000366, CVE-2017-1000370).
  • Exploit local para root contra ld.so y la mayoría de binarios SUID-root en amd64 Debian, Ubuntu, Fedora, CentOS (CVE-2017-1000366, CVE-2017-1000379).
  • Exploit local para root contra ld.so y muchos SUID-root PIEs en i386 Debian, Ubuntu, Fedora (CVE-2017-1000366, CVE-2017-1000371).
  • Exploit local para root contra /bin/su (CVE-2017-1000366, CVE-2017-1000365) en i386 Debian
  • Prueba de concepto contra Sudo en i386 grsecurity/PaX que consigue control EIP (CVE-2017-1000367, CVE-2017-1000366, CVE-2017-1000377);
  • Prueba de concepto local contra Exim que consigue control RIP (CVE-2017-1000369) en amd64 Debian.
  • Prueba de concepto contra /usr/bin/at en i386 OpenBSD (CVE-2017-1000372, CVE-2017-1000373).
  • Prueba de concepto para CVE-2017-1000374 y CVE-2017-1000375 en NetBSD
  • Prueba de concepto para CVE-2017-1085 en FreeBSD 
  • Dos pruebas de concepto para CVE-2017-1083 y CVE-2017-1084 en FreeBSD 
  • Exploit local para root contra /usr/bin/rsh (CVE-2017-3630, CVE-2017-3629 y CVE-2017-3631) en Solaris 11.

Más información:

The Stack Clash

Oracle Security Alert for CVE-2017-3629

una-al-dia (02/06/2017) Elevación de privilegios por vulnerabilidad en Sudo

Stack Guard Page Circumvention Affecting Multiple Packages




Antonio Ropero
Twitter: @aropero

lunes, 19 de junio de 2017

Vulnerabilidades de Cross-Site Scripting en FortiOS

Fortinet ha confirmado dos vulnerabilidades en FortiOS, el sistema operativo empleado en sus sistemas, que podrían permitir a un atacante remoto sin autenticar construir ataques de cross-site scripting. 

Como es habitual en este tipo de ataques los problemas (con CVE-2017-7734 y CVE-2017-7735) residen en un filtrado inadecuado de los datos antes de ser devueltos al usuario. Concretamente, a través del parámetro "Comments" mientras se graban revisions de configuración y en el parámetro "Groups" mientras se crean o editan grupos de usuarios. Esto podría facilitar a un atacante remoto crear una URL, que al ser cargada por el usuario permita la ejecución de código script en el contexto de seguridad del navegador de la víctima autenticada.

Al igual que todo este tipo de ataques podría permitir acceder a las cookies (incluyendo las de autenticación) y a información recientemente enviada, además de poder realizar acciones en el sitio haciéndose pasar por la víctima.

Se ven afectadas las versiones FortiOS 5.2.0 a 5.4.4. Fortinet recomienda la actualización a la versión FortiOS 5.4.5 o 5.6.0.
.

Más información:

FortiOS XSS vulnerabilities via User Groups & Config Revision Comments





Antonio Ropero
Twitter: @aropero

domingo, 18 de junio de 2017

Actualización de seguridad para cURL y libcurl

Se ha publicado un boletín de seguridad del proyecto cURL para alertar de una vulnerabilidad en la librería libcurl y en la propia herramienta curl, que podría permitir a un atacante ejecutar código arbitrario en los sistemas afectados.

cURL y libcurl son una herramienta y librería para descargar ficheros mediante la sintaxis URL a través de diferentes protocolos: DICT, FILE, FTP, FTPS, Gopher, HTTP, HTTPS, IMAP, IMAPS, LDAP, LDAPS, POP3, POP3S, RTMP, RTSP, SCP, SFTP, SMTP, SMTPS, Telnet y TFTP, y utilizada por millones de usuarios en diversos sistemas operativos, utilidades y aplicaciones webs.

El problema, con CVE-2017-9502, reside en un desbordamiento de búfer en el tratamiento de URLs 'file:' específicamente creadas y que podría permitir la ejecución de código arbitrario. El vulnerabilidad se da cuando una URL 'file:' sin el '//' que sigue a los dos puntos, o bien los sistemas configurados para usar 'file' como protocolo por defecto para las URLs que no especifican el protocolo y la ruta dada comienza con una letra de unidad (por ejemplo, 'C'). Dada la naturaleza de la vulnerabilidad se ven afectados los sistemas basados en DOS y Windows.

Se ven afectadas las versiones libcurl 7.53.0 hasta la 7.54.0 (incluidas).

Se ha publicado la versión 7.54.1 que soluciona esta vulnerabilidad y otros problemas no relacionados con la seguridad.
Disponible desde:
También se ha publicado un parche para evitar la vulnerabilidad:

Más Información:

cURL and libcurl

URL file scheme drive letter buffer overflow


Antonio Ropero

Twitter: @aropero

sábado, 17 de junio de 2017

Actualización de seguridad para Google Chrome

Google ha publicado una actualización de seguridad para su navegador Google Chrome para todas las plataformas para corregir cinco nuevas vulnerabilidades.

El navegador se actualiza a la versión 59.0.3071.104 para Windows, Mac y Linux. Como es habitual Google no facilita información de todos los problemas corregidos. En esta ocasión confirma la corrección de cinco nuevas vulnerabilidades aunque únicamente facilita información de tres de ellas (dos de ellas de gravedad alta).

De gravedad alta se ha solucionado una fuga de la sandbox en IndexedDB (CVE-2017-5087) y una lectura de memoria fuera de límites en V8 (CVE-2017-5088). Y de gravedad media una falsificación del dominio en Omnibox (CVE-2017-5089). Y como es habitual del trabajo de seguridad interno, varias correcciones procedentes de auditoría interna, pruebas automáticas y otras iniciativas.

Según la política de la compañía una de las vulnerabilidades corregidas ha supuesto 16.500 dólares en recompensas a los descubridores de los problemas.


Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados o a través de "Información sobre Google Chrome" (chrome://chrome/).

Más información:

Stable Channel Update for Desktop


Antonio Ropero
Twitter: @aropero

viernes, 16 de junio de 2017

Nuevas versiones de BIND 9

ISC ha publicado nuevas versiones del servidor DNS BIND 9, destinadas a solucionar dos vulnerabilidades (una considerada de gravedad crítica y otra de importancia media).

El servidor de nombres BIND es uno de los más usados en Internet. Creado en 1988, en la universidad de Berkeley, actualmente es desarrollado por el ISC (Internet System Consortium). BIND se encuentra disponible para una amplia gama de sistemas tanto Unix como Microsoft Windows.

La vulnerabilidad de gravedad crítica, con CVE-2017-3141, reside en que el instalador de BIND en Windows usa una ruta sin comillas lo que podría permitir a un atacante local elevar sus privilegios en el sistema. Afecta a versiones 9.2.6-P2 a 9.2.9, 9.3.2-P1 a 9.3.6, 9.4.0 a 9.8.8, 9.9.0 a 9.9.10, 9.10.0 a 9.10.5, 9.11.0 a 9.11.1, 9.9.3-S1 a 9.9.10-S1 y 9.10.5-S1.

Por otra parte, con CVE-2017-3140, si named está configurado para emplear Response Policy Zones (RPZ) un error al procesar algunas reglas puede dar lugar a una condición en la que BIND cae en un bucle sin fin mientras trata una consulta. Afecta a versiones 9.9.10, 9.10.5, 9.11.0 a 9.11.1, 9.9.10-S1 y 9.10.5-S1.

Además, por problemas de integración con el uso de LMDB en BIND 9.11.0 and 9.11.1 el ISC recomienda desactivar LMDB, hasta la publicación de BIND 9.11.2 (en julio o agosto).

Se recomienda actualizar a las versiones más recientes BIND 9 versión 9.9.10-P1, 9.10.5-P1 y 9.11.1-P1, disponibles en:

Más información:

CVE-2017-3141: Windows service and uninstall paths are not quoted when BIND is installed

CVE-2017-3140: An error processing RPZ rules can cause named to loop endlessly after handling a query

Operational Notification: LMDB integration problems with BIND 9.11.0 and 9.11.1



Antonio Ropero

Twitter: @aropero

jueves, 15 de junio de 2017

Mozilla publica Firefox 54 y corrige 31 nuevas vulnerabilidades

Mozilla ha anunciado la publicación de la versión 54 de Firefox, que además de incluir mejoras y novedades soluciona 31 nuevas vulnerabilidades en el navegador. También se ha publicado Firefox ESR 52.2.

Mozilla acaba de publicar una nueva versión de su navegador que incorpora nuevas funcionalidades y mejoras. El boletín MSFA-2017-15 incluye las 31 vulnerabilidades corregidas. Según la propia clasificación de Mozilla tres están consideradas críticas, 19 son de gravedad alta y nueve de moderada.

Las vulnerabilidades críticas residen en un uso de memoria después de liberar al usar un nodo destruido cuando se regeneral árboles (CVE-2017-5472). Así como problemas (CVE-2017-5471 y CVE-2017-5472) de corrupción de memoria en el motor del navegador que podrían permitir la ejecución remota de código.

También se ha publicado Firefox ESR 52.2 (MSFA-2017-16) que soluciona 27 vulnerabilidades (dos de ellas críticas) en esta versión de soporte extendido especialmente destinadas a grupos que despliegan y mantienen un entorno de escritorio en grandes organizaciones como universidades, escuelas, gobiernos o empresas.

La nueva versión está disponible a través del sitio oficial de descargas de Firefox:
o desde la actualización del navegador en "Ayuda/Acerca de Firefox".

Firefox ESR está disponible desde:

Más información:

Firefox Notes
Version 54.0

Security vulnerabilities fixed in Firefox 54

Security vulnerabilities fixed in Firefox ESR 52.2




Antonio Ropero
Twitter: @aropero

miércoles, 14 de junio de 2017

Actualizaciones para productos Adobe

Adobe ha publicado actualizaciones para solucionar nueve vulnerabilidades en Flash Player, otras nueve en Adobe Digital Editions, una en Adobe Shockwave Player y otra en Adobe Captivate.

Adobe Flash Player

Como es habitual todos los meses el habitual aviso dedicado a Adobe Flash Player, para el que se ha publicado el boletín APSB17-17, destinado a solucionar nueve vulnerabilidades. Todos los problemas podrían permitir a un atacante tomar el control de los sistemas afectados.

Los problemas que se corrigen en este boletín podrían permitir la ejecución remota de código arbitrario aprovechando cuatro vulnerabilidades de uso de memoria después de liberarla y cinco de corrupción de memoria. Los CVE asignados son: CVE-2017-3075 al CVE-2017-3079 y CVE-2017-3081 al CVE-2017-3084.

Adobe ha publicado la versión 26.0.0.126 de Flash Player Desktop Runtime, Flash Player para Linux y para navegadores Internet Explorer, Edge y Chrome destinada a solucionar las vulnerabilidades.

Adobe recomienda a los usuarios de Adobe Flash Player Desktop Runtime para Windows, Linux y Macintosh actualizar a través del sistema de actualización del propio producto o desde

Adobe Shockwave Player

Por otra parte, Adobe ha publicado un nuevo boletín de seguridad (APSB17-18) para solucionar una vulnerabilidad crítica en Shockwave Player.

Shockwave es la tecnología desarrollada inicialmente por Macromedia y posteriormente comprada y ampliada por Adobe para la creación y reproducción de contenidos multimedia y juegos. Se trata de un plugin para navegadores que no debe confundirse con Flash.

En esta ocasión la vulnerabilidad (con CVE-2017-3086) consiste en una corrupción de memoria que podría permitir la ejecución remota de código. El problema afecta las versiones de Adobe Shockwave Player 12.2.8.198 y anteriores para plataformas Windows.

Adobe recomienda actualizar a la versión 12.2.9.199 de Shockwave Player, disponible desde:

Adobe Captivate

Adobe ha publicado (APSB17-19) actualizaciones de seguridad para Adobe Captivate para Windows y Macintosh. Estas actualizaciones resuelven una vulnerabilidad de divulgación de información (CVE-2017-3087) debido al abuso de la función de informes de cuestionarios en Captivate.

Se han publicado las siguientes actualizaciones:
Adobe Captivate 2017 (10.0.0.192)
Adobe Captivate 8 y 9

Adobe Digital Editions

También se han solucionado (APSB17-20) nueve vulnerabilidades en Adobe Digital Editions (ADE) para Windows, Macintosh, iOS y Android, un software gratuito que permite la descarga y lectura de eBooks en formato EPUB y PDF en el ordenador, así como transferirlos a lectores de eBooks.

Se han solucionado cuatro vulnerabilidades de corrupción de memoria que podrían permitir la ejecución remota de código, tres de carga insegura de librerías que podrían permitir la elevación de privilegios y dos de desbordamiento de búfer que permitirían la obtención de direcciones de memoria. Los CVE asignados son CVE-2017-3088 al CVE-2017-3090 y CVE-2017-3092 al CVE-2017-3097.

Adobe recomienda a los usuarios actualizar los productos afectados a la versión 4.5.5 desde:
Para Windows y Macintosh:
Para iOS:
Para Android:


Más información:

Security updates available for Flash Player | APSB17-17

Security update available for Shockwave Player | APSB17-18

Security updates available for Adobe Captivate | APSB17-19

Security updates available for Adobe Digital Editions | APSB17-20



Antonio Ropero

Twitter: @aropero

martes, 13 de junio de 2017

Microsoft soluciona 94 vulnerabilidades

Microsoft ha publicado sus habituales actualizaciones mensuales. En total este mes se han solucionado 94 vulnerabilidades, 17 de ellas críticas. Además se incluye la corrección de otras nueve vulnerabilidades en Adobe Flash Player y una actualización para Microsoft SharePoint Enterprise Server.

En esta ocasión la consulta a la Security Update Guide nos ofrece una larga lista con 1.693 entradas, que es el total de los diferentes parches publicados para cada uno de los productos afectados. Como ya comentamos la mejor forma de tratar de analizar las vulnerabilidades corregidas pasa por descargarse toda la información en un archivo Excel y analizarla y desglosarla desde la hoja de cálculo.

Con ello podemos establecer que se han corregido 94 vulnerabilidades junto con las nueve correspondientes al boletín APSB17-17 de Adobe. Además de una actualización para Microsoft SharePoint Enterprise Server 2013 Service Pack 1 y Microsoft SharePoint Enterprise Server 2016. Según la propia clasificación de Microsoft 17 de los problemas son críticos, 75 importantes, uno moderado y una última de gravedad baja.

La lista de productos afectadoses:
  • Internet Explorer
  • Microsoft Edge
  • Microsoft Windows
  • Microsoft Office, Microsoft Office Services y Web Apps
  • Silverlight
  • Skype for Business y Lync
  • Adobe Flash Player
Dos de las vulnerabilidades corregidas se están empleando en la actualidad de forma activa en ataques. Con CVE-2017-8464, una ejecución remota de código a través de archives lnk. Y con CVE-2017-8543 otra ejecución remota de código a través de la búsqueda de Windows.

Otras actualizaciones se desglosan en:
  • Actualizaciones acumulativas para Internet Microsoft Explorer y Edge, consideradas críticas y que evitan 6 y 16 vulnerabilidades respectivamente.
  • Actualización acumulativa para Microsoft Office, que soluciona 28 vulnerabilidades tres de ellas críticas.
  • Actualización para solucionar dos vulnerabilidades en Microsoft Silverlight 5.
  • La también habitual actualización para resolver las vulnerabilidades solucionadas por Adobe en Flash Player en su también boletín periódico. En esta ocasión soluciona nueve vulnerabilidades en Adobe Flash Player instalado en Windows Server 2012, Windows Server 2016, Windows 8.1 y Windows 10; correspondientes al boletín APSB17-17 de Adobe (y que comentaremos con más detalle en una próxima una-al-día).

Más información:

Security Update Guide

June 2017 Security Updates



Antonio Ropero
Twitter: @aropero

lunes, 12 de junio de 2017

Publicada la píldora formativa Thoth 45 "¿Cómo funciona el hash SHA-1?"

Se ha publicado en el canal YouTube de la UPM la píldora formativa 45 del proyecto Thoth que lleva por título "¿Cómo funciona el hash SHA-1?".

Las siglas SHA corresponden a Algoritmo de Hash Seguro, un algoritmo de resumen propuesto por la NSA y adoptado como estándar federal por el NIST en 1993. Antes de los dos años se detectan vulnerabilidades, por lo que en 1995 proponen un nuevo algoritmo conocido como SHA-1, pasando el anterior a denominarse SHA-0 y no recomendarse su uso. Aunque el diseño de SHA-1 es muy similar al de MD5, entregará un resumen de 160 bits en vez de los 128 de MD5 y su fortaleza es también mayor.

Píldora Thoth 45 "¿Cómo funciona el hash SHA-1?"


El proyecto Thoth publica de manera periódica píldoras formativas en seguridad de la información. Pueden ser tratados como complementos formativos basados en el concepto de vídeos cortos (con una duración en torno a los cinco minutos), muy didácticos y sobre temas muy específicos.

Todos los vídeos del proyecto Thoth cuentan con un archivo srt original de subtítulos incluido en YouTube, importante para personas con limitaciones auditivas, así como un archivo podcast mp3 que puede descargarse desde el sitio web, válido en este caso tanto para personas con limitaciones visuales como para quienes deseen realizar solamente la audición de estas lecciones.

Puedes acceder a la documentación en pdf, el podcast en mp3 y también al vídeo de esta nueva píldora y de las 40 píldoras anteriores, desde la página web del Proyecto Thoth, que te permite además una búsqueda mediante los siguientes cinco filtros:
1) Fundamentos de seguridad
2) Criptografía clásica
3) Historia de la criptografía
4) Matemáticas en criptografía
5) Criptografía moderna

Como siempre, quedamos a la espera de tus comentarios en YouTube, muy importantes y necesarios para la supervivencia de este proyecto de formación y difusión masiva y gratuita.

La próxima entrega del proyecto Thoth será la píldora número 46 y última de las dedicadas a funciones hash, de título "¿Qué son SHA-2 y SHA-3?"


Jorge Ramió, Alfonso Muñoz
Directores Proyecto Thoth

domingo, 11 de junio de 2017

Estudio sobre el estado de la ciberseguridad industrial en Argentina

El Centro de Ciberseguridad Industrial (CCI) ha presentado un estudio preliminar sobre el estado de la ciberseguridad industrial en Argentina. Entre los resultados más reseñables destaca la falta de concienciación real por parte de las organizaciones industriales.

En el marco del XVIII Encuentro "La Voz de la Industria", celebrado el pasado 1 de junio en Buenos Aires, el Centro de Ciberseguridad Industrial presentó los resultados preliminares del estudio sobre el estado de la ciberseguridad en la industria Argentina. Se evidencia que casi un 50% de las organizaciones no han realizado en ningún momento ningún tipo de evaluación del nivel de riesgo de los sistemas industriales.

El encuentro contó con la participación de importantes ponentes como Nora Alzua (coordinadora de CCI para Argentina), Claudio Caracciolo (coordinador general del CCI para Latinoamérica), Pablo Romanos (responsable de planificación del Centro de Ciberseguridad BA-CERT), el Capitán Gastón Gutiérrez del Comando de Ciberdefensa, Andrew Oteiza (System Engineer de F5 Networks), Luciano Meléndez de Logicalis Argentina, Eric Roscher de Imperva, José Valiente director del CCI y Miguel García-Menéndez, presidente de iTTi y vicepresidente de CCI.

El responsable de planificación del Centro de Ciberseguridad BA-CERT, Pablo Romanos, presentó las infraestructuras tecnológicas de la ciudad de Buenos Aires y como se realiza su gestión desde ASI (Agencia de Sistemas). Igualmente mostró como se actúa desde el Centro de Operaciones de Seguridad y la forma en que se reciben y gestionan las estadísticas de incidentes recibidos. Reveló un dato preocupante, y que debe ser tenido en cuenta por todas las organizaciones, el secuestro de información supera el 50% del total de ataques.

La intervención de José Valiente, director del CCI, fue muy impactante al mostrar, a través de un caso ficticio (aunque basado en hechos reales), tres incidentes de alto impacto que dañaron seriamente el negocio de una planta de fabricación. El presidente de iTTi y vicepresidente de CCI, Miguel García-Menéndez, presentó el documento "Beneficios de la ciberseguridad para las empresas industriales". En el que se recogen los testimonios de directivos sobre la ciberseguridad.

En general la necesidad de concienciar a los consejos de administración y otros dirigentes empresariales estuvo muy presente en las charlas, demostraciones y debates del encuentro.

Más información:

Falta de concienciación y regulación en Argentina, conclusión del XVIII Encuentro de "La Voz de la industria" celebrado en Buenos Aires el 1 junio



Antonio Ropero
Twitter: @aropero

sábado, 10 de junio de 2017

Actualización para el cliente Mac de VMware Horizon View

VMware ha publicado actualizaciones de seguridad para corregir una vulnerabilidad en el cliente para Mac de VMware Horizon View que podría permitir a un atacante elevar sus privilegios a root en el sistema afectado.

VMware Horizon View es una solución de virtualización de escritorio comercializada por VMware, proporciona capacidades de escritorio remoto a los usuarios que utilizan la tecnología de virtualización de VMware.

El problema, con CVE-2016-4918, reside en una vulnerabilidad de inyección de comandos en el script de arranque del servicio. Un atacante sin privilegios podría aprovechar este problema para elevar sus permisos a root en el sistema Mac OSX donde esté instalado el cliente.


Se ven afectadas las versiones del cliente para OS X 2.x, 3.x y 4.x. VMware ha publicado la versión 4.5 para corregir este problema.

Más información:

VMSA-2017-0011
Horizon View Client update addresses a command injection vulnerability

New VMware Security Advisory VMSA-2017-001



Antonio Ropero

Twitter: @aropero

viernes, 9 de junio de 2017

Cisco soluciona 33 vulnerabilidades en múltiples dispositivos

Cisco ha publicado 33 boletines de seguridad para solucionar otras tantas vulnerabilidades (dos críticas, dos de gravedad alta y el resto de importancia media) en múltiples productos que podrían permitir provocar denegaciones de servicio, cross-site scripting, inyección SQL, ejecutar código arbitrario, acceder al dispositivo sin autorización entre otros ataques.

Los productos afectados son
  • Cisco TelePresence Endpoint
  • Cisco AnyConnect
  • Cisco Ultra Services
  • Cisco StarOS
  • Cisco IP Phone 8800
  • Cisco Prime Collaboration Assurance
  • Cisco Network Convergence System 5500
  • Cisco Industrial Network Director
  • Cisco Firepower Management Center
  • Cisco Elastic Services Controller
  • Cisco Email Security
  • Cisco Context Service SDK
  • Cisco NX-OS Software
  • Cisco Unified Communications Domain Manager
  • Cisco Prime Data Center Network Manager 

Las dos vulnerabilidades consideradas críticas afectan a Cisco Prime Data Center Network Manager (DCNM). Con CVE-2017-6639 una vez más el recurrente problema de las credenciales estáticas por defecto que podría permitir a un atacante remoto sin autenticar acceder a la consola de administración y conseguir permisos administrativos. Con CVE-2017-6640 una vulnerabilidad debida a la falta de autenticación y autorización en la herramienta de depuración que estaba habilitada en el software afectado. Este problema podría permitir a un atacante remoto sin autenticar acceder a información sensible o ejecutar código arbitrario con privilegios de root.

De gravedad alta una vulnerabilidad, con CVE-2017-6648, de denegación de servicio en Cisco TelePresence Endpoint debido al protocolo SIP (Session Initiation Protocol). También considerada de impacto alto una vulnerabilidad en la forma en que las dll se cargan con el cliente para Windows de Cisco AnyConnect Secure Mobility y que podría permitir a un atacante local sin autenticar instalar y ejecutar un archivo con privilegios del sistema (CVE-2017-6638).

Ocho de las vulnerabilidades afectan a Cisco Ultra Services (Platform y Framework) y podrían permitir la obtención de información sensible o acceder al dispositivo con credenciales por defecto.

Otras nueve vulnerabilidades afectan a Cisco Elastic Services Controller y podrían permitir la obtención de credenciales de autenticación, acceso a directorios sin autorización, obtención de información sensible, ejecución de comandos arbitrarios o, una vez más, acceder al dispositivo con credenciales por defecto.

Dos vulnerabilidades afectan a Cisco Unified Communications Domain Manager, una de inyección SQL y otra de redirección abierta. También dos vulnerabilidades afectan a Cisco Email Security Appliance por un salto del filtrado de los adjuntos y por un Cross-Site Scripting.

También cabe señalar una vulnerabilidad de Cross-Site Scripting en Cisco Industrial Network Director y de Cross-Site Request Forgery en Cisco Prime Collaboration Assurance. Una ejecución de comandos arbitrarios en Cisco Context Service SDK y otra de modificación de archivos arbitrarios en Cisco StarOS.

Por último señalar vulnerabilidades de denegación de servicio en Cisco IP Phone 8800 Series, routers Cisco Network Convergence System 5500 y Cisco NX-OS Software.

Cisco ha publicado actualizaciones para las vulnerabilidades consideradas de gravedad crítica y alta. Se recomienda consultar las alertas publicadas para obtener información sobre disponibilidad de parches y actualizaciones.

Más información:

Cisco Security Advisories and Alerts


Antonio Ropero

Twitter: @aropero

jueves, 8 de junio de 2017

Corregidas vulnerabilidades en VMware vSphere Data Protection

VMware ha publicado actualizaciones de seguridad para corregir dos vulnerabilidades críticas en VMware vSphere Data Protection.

VMware es un software que permite ejecutar diferentes sistemas operativos en un mismo PC de forma virtual. vSphere Data Protection pertenece a la gama de productos de la compañía y proporciona copias de seguridad en disco de máquinas virtuales a nivel de imagen y sin agentes. También ofrece protección con reconocimiento de aplicaciones para aplicaciones Microsoft.

El boletín VMSA-2017-0010 se refiere a dos vulnerabilidades en VMware vSphere Data Protection (VDP) 6.1.x, 6.0.x, 5.8.x y 5.5.x. La primera con CVE-2017-4914 reside en un error de deserialización en Java que podría permitir a un atacante ejecutar comandos en el sistema.

Por otra parte, con CVE-2017-4917, reside en que vSphere Data Protection almacena localmente las credenciales vCenter Server con un cifrado reversible. Esto podría permitir a un atacante obtener las credenciales en texto plano.

VMware ha publicado versiones actualizadas para evitar los problemas disponibles desde:
vSphere Data Protection (VDP) 6.1.4

vSphere Data Protection (VDP) 6.0.5

Más información:

VMSA-2017-0010
vSphere Data Protection (VDP) updates address multiple security issues.

New VMware Security Advisory VMSA-2017-0010 and Updated Security Advisory VMSA-2016-0024.1



Antonio Ropero
Twitter: @aropero

miércoles, 7 de junio de 2017

Google soluciona 101 vulnerabilidades en Android

Google ha publicado el boletín de seguridad Android correspondiente al mes de junio en el que corrige un total de 101 vulnerabilidades, 28 de ellas calificadas como críticas.

Como es habitual, Google divide las vulnerabilidades corregidas en dos bloques principales en función de los componentes afectados. En el nivel de parches de seguridad 2017-06-01 ("2017-06-01 security patch level") se solucionan 21 vulnerabilidades, solo una de ellas se considera crítica y podrían permitir la ejecución remota de código al tratar archivos multimedia. Otras 14 de ellas son de gravedad alta y seis de importancia moderada.

Por otra parte en el nivel de parches de seguridad 2017-06-05 ("2017-06-05 security patch level") se solucionan un total de 80 fallos en subsistemas del kernel, controladores y componentes OEM. 27 de las vulnerabilidades están consideradas críticas, 30 de gravedad alta, 20 de riesgo medio y tres de importancia baja. Cabe destacar que los componentes Qualcomm son los más afectados, además de acaparar todas las vulnerabilidades críticas.

A pesar de las actualizaciones de Google para Android, estas solo llegan puntualmente a los dispositivos Pixel y Nexus, los propios de Google. Es destacable el esfuerzo realizado por otros fabricantes, como Samsung o Blackberry, que también están aplicando las actualizaciones con periodicidad. Pero esto no ocurre en todos los casos, lamentablemente el proceso de actualización de Android en muchos casos también incluye a las operadoras de telefonía, lo cual alarga aun más el proceso de actualización. Por ello, como ya hemos comentado en múltiples ocasiones que las actualizaciones lleguen a todos los usuarios sigue siendo uno de los principales puntos débiles de Android.

Más información:

Android Security Bulletin—June 2017




Antonio Ropero
Twitter: @aropero