martes, 31 de enero de 2017

Actualización para productos VMware Airwatch

VMware ha publicado actualizaciones para corregir dos vulnerabilidades en productos VMware Airwatch, que podrían permitir evitar la detección de root o conseguir información sensible. 

VMware AirWatch es una plataforma de movilidad empresarial que permite acceder con facilidad a las aplicaciones empresariales, proteger los datos corporativos y aumentar la productividad móvil.

VMware publica el primer boletín de seguridad del año (VMSA-2017-0001) que se refiere a dos vulnerabilidades. Una primera, con CVE-2017-4895, en VMware Airwatch Agent para Android que puede permitir que un dispositivo omita la detección de root durante la inscripción. Un atacante podría aprovechar este problema para tener acceso sin restricciones sobre los controles y datos de seguridad locales de Airwatch a través de un dispositivo registrado.

Por otra parte, con CVE-2017-4896, otra vulnerabilidad en Airwatch Inbox para Android podría permitir a un dispositivo rooteado descifrar los datos locales empleados por la aplicación. Un atacante podría aprovechar esto para conseguir acceso no autorizado a datos confidenciales. Afectan a Airwatch Console y Airwatch Inbox.

VMware ha publicado versiones actualizadas para evitar el segundo problema, disponibles desde:
Airwatch Console 9.0 FP1 y Airwatch Inbox 2.12:

Más información:

VMSA-2017-0001
AirWatch updates address bypass of root detection and local data encryption



Antonio Ropero
Twitter: @aropero



lunes, 30 de enero de 2017

Publicada la píldora formativa Thoth 42 "¿Cómo funciona el algoritmo de Elgamal?"

Se ha publicado en el canal YouTube de la UPM la píldora formativa 42 del proyecto Thoth que lleva por título "¿Cómo funciona el algoritmo de Elgamal?"

En 1985, el investigador egipcio Taher Elgamal, popularmente conocido como el padre de SSL y actualmente residente en los Estados Unidos, propone sendos algoritmos de cifra y firma digital que llevan su nombre. Aunque el algoritmo es seguro, no logra desbancar a RSA como estándar de cifra, si bien una variación de su algoritmo de firma, conocido como DSS, se establece como estándar de firma digital por el NIST en 1994. Al igual que en el sistema de Diffie y Hellman, la seguridad del algoritmo reside en que para descubrir la clave privada, conocidos los valores públicos, atacante deberá enfrentarse al problema del logaritmo discreto en un primo grande, un problema intratable con la capacidad de cómputo actual para valores cercanos a los mil bits.

Píldora Thoth 42 "¿Cómo funciona el algoritmo de Elgamal?"

El proyecto Thoth publica de manera periódica píldoras formativas en seguridad de la información. Pueden ser tratados como complementos formativos basados en el concepto de vídeos cortos (con una duración en torno a los cinco minutos), muy didácticos y sobre temas muy específicos.

Todos los vídeos del proyecto Thoth cuentan con un archivo srt original de subtítulos incluido en YouTube, importante para personas con limitaciones auditivas, así como un archivo podcast mp3 que puede descargarse desde el sitio web, válido en este caso tanto para personas con limitaciones visuales como para quienes deseen realizar solamente la audición de estas lecciones.

Puedes acceder a la documentación en pdf, el podcast en mp3 y también al vídeo de esta nueva píldora y de las 40 píldoras anteriores, desde la página web del Proyecto Thoth, que te permite además una búsqueda mediante los siguientes cinco filtros:
1) Fundamentos de seguridad
2) Criptografía clásica
3) Historia de la criptografía
4) Matemáticas en criptografía
5) Criptografía moderna

Como siempre, quedamos a la espera de tus comentarios en YouTube, muy importantes y necesarios para la supervivencia de este proyecto de formación y difusión masiva y gratuita.

La próxima entrega del proyecto Thoth será en febrero de 2017, con la píldora número 43 de título "¿Qué son y para qué sirven las funciones hash?"


Jorge Ramió, Alfonso Muñoz
Directores Proyecto Thoth

domingo, 29 de enero de 2017

Nueva actualización de seguridad para WordPress

Se ha publicado la versión 4.7.2 de WordPress destinada a solucionar tres vulnerabilidades, que podrían permitir realizar ataques de cross-site scripting, exponer información o posibilitar la realización de inyección SQL.

Wordpress es un sistema de gestión de contenidos enfocado a la creación de blogs desarrollado en PHP y MySQL, ampliamente usado en la comunidad de bloggers debido a su facilidad de uso y sus características como gestor de contenidos.

Hace menos de dos semanas que se publicó la versión 4.7.1, sin embargo se publica una nueva actualización para corregir nuevos problemas detectados. El primero reside en que la interfaz de usuario para asignar los términos de una taxonomía en Press This se muestra a usuarios que no tienen permisos para ello. Por otra parte, WP_Query es vulnerable a una inyección SQL al tratar datos inseguros. El aviso señala que el núcleo de WordPress no se ve afectado directamente por este problema, pero se han añadido medidas de seguridad para evitar que plugins y temas puedan verse afectados. Por último, un cross-site scripting (XSS) en la tabla de lista de posts.

Se recomienda la actualización de los sistemas a la versión 4.7.2 disponible desde:
O bien desde el dashboard, Actualizaciones (Updates), Actualizar Ahora (Update Now). Los sitios que soporten actualizaciones automáticas ya han iniciado la actualización a WordPress 4.5.2.

Más información:

WordPress 4.7.2 Security Release

una-al-dia (15/01/2017) Actualización de seguridad para WordPress


Antonio Ropero
Twitter: @aropero

sábado, 28 de enero de 2017

Google publica Chrome 56 y corrige 51 vulnerabilidades

Google anuncia una nueva versión de su navegador Google Chrome 56. Se publica la versión 56.0.2924.76 para las plataformas Windows, Mac y Linux, que junto con nuevas funcionalidades y mejoras, además viene a corregir 51 nuevas vulnerabilidades.

Como es habitual, Google solo proporciona información sobre los problemas reportados por investigadores externos o los considerados de particular interés. En esta ocasión, aunque se han solucionado 51 nuevas vulnerabilidades, solo se facilita información de 21 de ellas (siete de gravedad alta, ocho de importancia media y seis bajas).

Se corrigen vulnerabilidades por cross-site scriptings en Blink, en chrome://apps y en chrome://downloads. Desbordamientos de búfer en V8, Skia y en FFmpeg. Acceso no autorizado a archivos en Devotools, acceso a memoria fuera de límites en WebRTC, falsificaciones de direcciones en Omnibox, uso de memoria después de liberarla en Renderer y en Extensions, confusión de tipos en metrics y falsificaciones de la interfaz de usuario. Se han asignado los CVE-2017-5006 al CVE-2017-5026.

También del trabajo de seguridad interno, varias correcciones procedentes de auditoría interna, pruebas automáticas y otras iniciativas. Según la política de la compañía las vulnerabilidades anunciadas han supuesto un total de 54.337 dólares en recompensas a los descubridores de los problemas.

Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados o a través de "Información sobre Google Chrome" (chrome://chrome/). O descargar directamente desde: google.com/chrome.

Vídeo con las novedades de Chrome 56:

Más información:

Stable Channel Update




Antonio Ropero
Twitter: @aropero

viernes, 27 de enero de 2017

Nuevas versiones de OpenSSL solucionan cuatro vulnerabilidades

El proyecto OpenSSL ha anunciado la publicación de nuevas versiones de OpenSSL destinadas a corregir cuatro vulnerabilidades, tres calificadas de impacto medio y otra de importancia baja.

OpenSSL es un desarrollo "Open Source" que implementa los protocolos SSL y TLS, y que es utilizada por multitud de programas, tanto para implementar dichos protocolos (por ejemplo, HTTPS) como para emplear sus componentes criptográficos individuales (funciones de cifrado y "hash", generadores de claves, generadores pseudoaleatorios, etc).

El primer problema, con CVE-2017-3731, afecta a clientes o servidores SSL/TLS en sistemas 32bits cuando se usa un cifrado específico, entonces un paquete truncado puede provocar una lectura fuera de límites en ese servidor o cliente. Para OpenSSL 1.1.0 el fallo afecta cuando se usa CHACHA20/POLY1305; para OpenSSL 1.0.2 el problema se puede explotar con RC4-MD5.

Otra vulnerabilidad de gravedad media, con CVE-2017-3730, afecta a OpenSSL 1.1.0 si un servidor malicioso suministra parámetros incorrectos para un intercambio de claves DHE o ECDHE, puede provocar una desreferencia de puntero nulo en el cliente con la consiguiente caída. Un usuario malicioso podría provocar condiciones de denegación de servicio. 

Otra vulnerabilidad de gravedad media, con CVE-2017-3732, reside en un error de propagación de acarreo en BN_mod_exp() puede permitir obtener determinada información sobre claves privadas en determinadas circunstancias. Se ven afectados sistemas configurados con parámetros DH persistentes y que compartan claves privadas entre múltiples clientes.

Por último, de gravedad baja y con CVE-2016-7055, las multiplicaciones Montgomery pueden producir resultados incorrectos. El problema fue corregido anteriormente en la versión 1.1.0c, por lo que solo afecta a versiones OpenSSL 1.0.2.

OpenSSL ha publicado las versiones 1.1.0d y 1.0.2k disponibles desde

También se recuerda que las versiones OpenSSL 1.0.1 finalizaron su soporte a finales del año pasado.

Más información:

OpenSSL Security Advisory [26 Jan 2017]



Antonio Ropero
Twitter: @aropero

jueves, 26 de enero de 2017

Wireshark corrige dos nuevas vulnerabilidades

Wireshark Foundation ha publicado las versiones 2.0.10 y 2.2.4 que incluyen la corrección de dos vulnerabilidades que podrían provocar condiciones de denegación de servicio.

Wireshark es una popular aplicación de auditoría orientada al análisis de tráfico en redes, que soporta una gran cantidad de protocolos y es de fácil manejo. Además Wireshark se encuentra bajo licencia GPL y disponible para la mayoría de sistemas operativos Unix y compatibles, así como Microsoft Windows.

En esta ocasión la fundación Wireshark ha publicado dos boletines de seguridad (wnpa-sec-2017-01 y wnpa-sec-2017-02) ambos afectan a todas las versiones de las ramas 2.2 y 2.0.

Como es habitual, las vulnerabilidades corregidas residen en denegaciones de servicio por fallos en la implementación de disectores, que son los módulos responsables de analizar los paquetes de cada uno de los protocolos. En esta ocasión los disectores y protocolos afectados son ASTERIX y DHCPv6.

También se ha solucionado múltiples problemas no relacionados directamente con vulnerabilidades de seguridad y actualizado el soporte de diferentes protocolos.

Las vulnerabilidades mencionadas se han solucionado en las versiones 2.0.10 y 2.2.4 disponibles para descarga desde la página oficial del proyecto.

Más información:

Wireshark 2.0.10 is now available

Wireshark 2.2.4 Release Notes

wnpa-sec-2017-01 · ASTERIX infinite loop

wnpa-sec-2017-02 · DHCPv6 large loop




Antonio Ropero
Twitter: @aropero



miércoles, 25 de enero de 2017

Mozilla publica Firefox 51 y corrige 24 nuevas vulnerabilidades

Mozilla ha anunciado la publicación de la versión 51 de Firefox, que además de incluir mejoras y novedades soluciona 24 nuevas vulnerabilidades en el navegador. También se ha publicado Firefox ESR 45.7.

Mejora en la información de sitios
web sin https
Mozilla acaba de publicar una nueva versión de su navegador que incorpora nuevas funcionalidades y mejoras. Cabe destacar el soporte del estándar WebGL 2 que ofrece a los desarrolladores la posibilidad de crear mejores gráficos 3D en la web. Pero la novedad más destacable en el ámbito de la seguridad, reside en que se ha mejorado la forma en que el navegador informa a los usuarios de que se encuentran en un sitio web con conexión no cifrada.

El boletín MSFA-2016-089 incluye las 24 vulnerabilidades corregidas. Según la propia clasificación de Mozilla cinco están consideradas críticas, seis son de gravedad alta, 10 de moderada y las tres restantes de nivel bajo.

Las vulnerabilidades críticas residen en errores en que la asignación de código JIT puede permitir un salto de las protecciones ASLR y DEP que conllevan a posibles ataques de corrupción de memoria (CVE-2017-5375), un uso de memoria después de liberarla al manipular XSL en documentos XSLT (CVE-2017-5376), una corrupción de memoria en Skia cuando se usan transformaciones para crear degradados (CVE-2017-5377), así como problemas (CVE-2017-5373 y CVE-2017-5374) de corrupción de memoria en el motor del navegador que podrían permitir la ejecución remota de código.

También se ha publicado Firefox ESR 45.7 (MSFA-2017-02) que soluciona nueve vulnerabilidades en esta versión de soporte extendido especialmente destinada a grupos que despliegan y mantienen un entorno de escritorio en grandes organizaciones como universidades, escuelas, gobiernos o empresas.

La nueva versión está disponible a través del sitio oficial de descargas de Firefox:
o desde la actualización del navegador en "Ayuda/Acerca de Firefox".

Firefox ESR está disponible desde:

Más información:

Firefox Notes
Version 51.0

Security vulnerabilities fixed in Firefox 50

Security vulnerabilities fixed in Firefox ESR 45.7

Firefox Gets Better Video Gaming and Warns of Non-Secure Websites

Communicating the Dangers of Non-Secure HTTP



Antonio Ropero
Twitter: @aropero


martes, 24 de enero de 2017

Apple publica actualizaciones para iOS, macOS, Safari, watchOS, tvOS, iTunes e iCloud

Apple ha anunciado la actualización de productos sus productos más destacados, incluyendo la publicación de macOS Sierra 10.12.3, iOS 10.2.1, Safari 10.0.3, watchOS 3.13, tvOS 10.1.1, iTunes para Windows 12.5.5 e iCloud para Windows 6.1.1. Estas nuevas versiones solucionan un total de 55 vulnerabilidades.

Dada la gran cantidad de novedades y productos actualizados, vamos a realizar un breve repaso de las actualizaciones publicadas y problemas solucionados.

Se ha publicado macOS (anteriormente OS X) Sierra 10.12.3, destinada a corregir 55 nuevas vulnerabilidades en macOS Sierra. Las vulnerabilidades corregidas afectan a múltiples componentes que incluyen apache_mod_php, Bluetooth, Graphics Drivers, Help Viewer, IOAudioFamily, Kernel, libarchive y Vim.

Las actualizaciones también han llegado a Safari, el popular navegador web de Apple, que se actualiza a la versión 10.0.3 para OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 y macOS Sierra 10.12.3. Se solucionan 12 vulnerabilidades, 11 de ellas relacionadas con problemas en WebKit, el motor de navegador de código abierto que es la base de Safari. Y podrían ser aprovechadas por un atacante remoto para obtener información sensible o ejecutar código arbitrario al visitar una página web específicamente creada.

El contenido de seguridad de Safari 10.0.3 se encuentra incluido en macOS Sierra 10.12.3.

iOS 10.2.1 presenta una actualización del sistema operativo de Apple para sus productos móviles (iPad, iPhone, iPod…) que está destinada a solucionar 17 nuevas vulnerabilidades. Los problemas corregidos están relacionados con diferentes componentes, como Auto Unlock, Contacts, Kernel, libarchive, WebKit y WiFi. Varios de los problemas podrían permitir la ejecución remota de código arbitrario.

De forma similar, Apple publica WatchOS 3.1.3, destinada a todos los modelos de su reloj inteligente (smartwatch) conocido como Apple Watch, con la que se solucionan 33 vulnerabilidades, curiosamente representa el producto para el que más vulnerabilidades se corrigen. Los problemas corregidos afectan a los componentes Accounts, Audio, Auto Unlock, CoreFoundation, CoreGraphics, CoreMedia Playback, CoreText, Disk Images, FontParser, ICU, ImageIO, IOHIDFamily, IOKit, Kernel, libarchive, Profiles, Security, syslog y WebKit.

También ha publicado tvOS 10.1.1, el sistema operativo para Apple TV (de cuarta generación), que soluciona 12 vulnerabilidades en componentes como el Kernel, libarchive y WebKit.

También se ha publicado iCloud para Windows 6.1.1 destinado a corregir cuatro vulnerabilidades en WebKit.

Por último, iTunes para Windows también se ve afectado por cuatro de esas mismas vulnerabilidades en WebKit por lo que se actualiza a la versión 12.5.5.

Más información:

About the security content of macOS Sierra 10.12.3

About the security content of iOS 10.2.1

About the security content of Safari 10.0.3

About the security content of tvOS 10.1.1

About the security content of tvOS 10.1.1

About the security content of iCloud for Windows 6.1.1

About the security content of iTunes 12.5.5 for Windows


Antonio Ropero

Twitter: @aropero

lunes, 23 de enero de 2017

Newsletter Criptored del mes de diciembre de 2016

Newsletter con las noticias y actividad del mes de diciembre de 2016 en Criptored. Estas noticias las podrá encontrar en el histórico de Criptored del mes de diciembre de 2106 en este enlace.

Actividad en el web de Criptored durante el mes de diciembre de 2016.
22/12/16: Criptored se va de vacaciones hasta el 9 de enero, feliz Navidad y próspero año 2017 (España).
22/12/16: Disponible el Newsletter de la revista Red Seguridad del mes de diciembre de 2016 (España).
22/12/16: Vídeo de la conferencia Criptografía y autenticación con dispositivos BCI Brain Computer Interfaces (España).
12/12/16: Publicada la versión beta del freeware RingRSA para prácticas de laboratorio de ataque cíclico a RSA (España).
07/12/16: Publicada la píldora formativa Thoth 41 ¿Cómo podemos atacar al algoritmo RSA? (España).
05/12/16: Vídeo recordatorio de los 25 años de la RECSI (España).
05/12/16: 15.895 accesos a los cursos del MOOC Crypt4you en noviembre de 2016 (España).
05/12/16: 8.627 visualizaciones de las píldoras del proyecto Thoth durante el mes de noviembre de 2016 (España).
05/12/16: 9.197 visualizaciones de las lecciones de la enciclopedia Intypedia durante el mes de noviembre de 2016 (España).
05/12/16: 38.467 accesos a Criptored y 30.689 descargas de documentos pdf, zip y mp3 en el mes de noviembre de 2016 (España).
05/12/16: Newsletter de la actividad de Criptored en el mes de noviembre de 2016 (España).

También puede encontrar estas y otras noticias de la actividad de Criptored en la sección Debates del grupo en LinkedIn en el siguiente enlace:



Dr. Jorge Ramió, Dr. Alfonso Muñoz

domingo, 22 de enero de 2017

Nuevas versiones de PHP corrigen múltiples vulnerabilidades

El equipo de desarrollo de PHP ha publicado actualizaciones para las ramas 7.1, 7.0 y 5.6 de PHP para solucionar múltiples vulnerabilidades que pueden ser aprovechadas para provocar denegaciones de servicio e incluso comprometer los sistemas afectados.

Son múltiples las vulnerabilidades corregidas, aunque ninguna de ellas tiene asignado CVE. Afectan a un gran número de componentes, que además del propio core, incluyen COM, DOM, EXIF, GD, GMP, Mysqli, Mysqlnd, PCRE, PDO_Firebird, Phar, Phpdbg, Reflection, Streams, SQLite3, Standard y Zlib.

Entre los problemas corregidos cabe señalar múltiples desbordamientos de entero, acceso de lectura y escritura ilegal, desreferencias de puntero nulo o usos de memoria después de liberarla.

Se recomienda actualizar a las nuevas versiones 7.1.1, 7.0.15 y 5.6.30 desde

Más información:

PHP 7 ChangeLog
Version 7.0.15
Version 7.1.1

PHP 5 ChangeLog
Version 5.6.30



Antonio Ropero
Twitter: @aropero


sábado, 21 de enero de 2017

Vulnerabilidad de Cross-Site Scripting en IBM iNotes

IBM ha confirmado una vulnerabilidad en IBM iNotes que podría permitir a atacantes remotos la realización de ataques de cross-site scripting.

IBM iNotes (anteriormente conocido como IBM Lotus iNotes) es una versión completa basada en web del cliente de Notes, incluyendo todas sus funciones. iNotes proporciona acceso desde el navegador al correo electrónico, el calendario y los contactos de Notes, así como el acceso a las aplicaciones y herramientas empresariales.

El problema corregido (con CVE-2016-5881) reside en una validación inadecuada de las entradas del usuario. Un atacante remoto podría explotar la vulnerabilidad mediante URLs específicamente creadas, lo que le permitiría ejecutar scripts en el navegador de la víctima. Se podría utilizar esta vulnerabilidad para robar las cookies de las credenciales de autenticación de la víctima y los datos presentados recientemente.

Se ven afectadas las versions IBM iNotes 9.0 y 9.0.1 anterior a 9.0.1 Fix Pack 7 e IBM iNotes 8.5, 8.5.1, 8.5.2 y 8.5.3 anterior a 8.5.3 Fix Pack 6 Interim Fix 15

IBM ha publicado las actualizaciones necesarias en Domino e iNotes versiones 9.0.1 Fix Pack 7 y 8.5.3 Fix Pack 6 Interim Fix 15. Disponible desde:
Notes/Domino 9.0.1 Fix Packs
Interim Fixes para 8.5.3 Fix Pack 6 IBM Notes, IBM Domino e IBM iNotes
Notes/Domino 8.5.3 Fix Packs

Más información:

Security Bulletin: Fix Available for IBM iNotes Cross-site Scripting Vulnerability (CVE-2016-5881)




Antonio Ropero
Twitter: @aropero



viernes, 20 de enero de 2017

Ejecución remota de código en Apple GarageBand

Se ha anunciado una vulnerabilidad en GarageBand para OS X, el popular programa de composición musical de Apple, que podría permitir a un atacante remoto ejecutar código arbitrario en los sistemas afectados.

GarageBand es un estudio de grabación que incluye una biblioteca de sonidos con instrumentos, baterías de estudio virtuales y preajustes para voz y guitarra. El diseño de la interfaz hace que tocar, aprender, grabar, componer y compartir música sea sencillo.

Como hemos mencionado en múltiples ocasiones, el vector de ataque, la vulnerabilidad empleada para atacar un sistema puede residir en el lugar más insospechado. Siempre se centra toda la importancia en el sistema operativo, e incluso en productos de uso habitual y sobre los que se centran y conocen múltiples vulnerabilidades, navegadores, visualizadores de pdfs, Flash, etc. Pero es fácil tender a descuidar otro tipo de software como, en este caso, un programa para componer música.

El problema, con CVE-2017-2372, reside en el tratamiento de archivos de proyecto específicamente creados. De forma que cuando el usuario atacado abre el archivo provoca una corrupción de memoria, que permite la ejecución de código arbitrario en el sistema. El código se ejecutará con los privilegios del usuario afectado.

La vulnerabilidad, reportada por Tyler Bohan del equipo Cisco Talos, afecta a GarageBand para OS X Yosemite v10.10 (y posteriores). Apple ha publicado GarageBand 10.1.5 para solucionar el problema descrito.

Más información:

About the security content of GarageBand 10.1.5



Antonio Ropero

Twitter: @aropero

jueves, 19 de enero de 2017

Ejecución remota de código en productos Symantec

Symantec ha confirmado una vulnerabilidad en productos Norton y Symantec Endpoint Protection Cloud que podría permitir a un atacante remoto ejecutar código arbitrario en los sistemas afectados.

La vulnerabilidad, con CVE-2016-6592, reside en el Norton Download Manager, un pequeño ejecutable descargado inicialmente cuando un usuario visita el portal de Nortonpara descargar una versión (de prueba o con licencia) de los productos de seguridad Norton o de la familia Norton. El problema se debe a un problema en la carga de librerías DLL, por un fallo en el Norton Download Manager al usar una ruta absoluta cuando carga las DLLs requeridas durante el proceso de inicio.

Esto podría permitir la ejecución sin autorización de una dll específicamente creada que sustituya una dll autorizada en la ruta de búsqueda del Norton Download Manager (habitualmente la carpeta de descargas del navegador del usuario).

Se ven afectados los productos:
  • Norton Family
  • Norton AntiVirus
  • Norton AntiVirus Basic
  • Norton Internet Security
  • Norton 360
  • Norton 360 Premier
  • Norton Security
  • Norton Security with Backup
  • Norton Security Standard
  • Norton Security Deluxe
  • Norton Security Premium
  • Symantec Endpoint Protection Cloud 


Norton Download Manager no se actualiza a través de Liveupdate. Los usuarios descargan Norton Download Manager durante la instalación inicial de algún producto Norton y habitualmente solo se ejecuta una vez para gestionar la descarga e instalación del producto seleccionado.
La solución para los usuarios afectados pasa por eliminar cualquier versión de Norton Download Manager 5.6 (o anterior) descargada. En caso necesario descargar la versión actualizada del software desde el portal Norton.

Más información:

Security Advisories Relating to Symantec Products - Norton Download Manager DLL Loading
  


Antonio Ropero

Twitter: @aropero

miércoles, 18 de enero de 2017

Oracle corrige 270 vulnerabilidades en su actualización de seguridad de enero

Siguiendo su ritmo de publicación trimestral de actualizaciones, Oracle publica el primer boletín de seguridad del año. Contiene parches para 270 nuevas vulnerabilidades diferentes en múltiples productos pertenecientes a diferentes familias, que van desde el popular gestor de base de datos Oracle Database hasta Solaris, Java o MySQL.

Los fallos se dan en varios componentes de múltiples productos y como es habitual la lista de productos afectados es extensa:
  • Oracle Database Server, versiones 11.2.0.4 y 12.1.0.2
  • Oracle Secure Backup, versiones anteriores a 12.1.0.3
  • Spatial, versiones anteriores a 1.2
  • Oracle Fusion Middleware, versiones 11.1.1.7, 11.1.1.9, 11.1.2.3, 11.1.2.4, 12.1.3.0, 12.2.1.0 y 12.2.1.1
  • Oracle GlassFish Server, versiones 2.1.1, 3.0.1 y 3.1.2
  • Oracle JDeveloper, versiones 11.1.1.7.0, 11.1.1.9.0, 11.1.2.4.0, 12.1.3.0.0, 12.2.1.0.0, 12.2.1.1.0, 12.2.1.2.0
  • Oracle Outside In Technology, versiones 8.5.2 y 8.5.3
  • Oracle Tuxedo, versión 12.1.1
  • Oracle WebLogic Server, versiones 10.3.6.0, 12.1.3.0, 12.2.1.0 y 12.2.1.1
  • Application Testing Suite, versiones 12.4.0.2, 12.5.0.2 y 12.5.0.3
  • Enterprise Manager Base Platform, versiones 12.1.0.5, 13.1 y 13.2
  • Enterprise Manager Ops Center, versiones 12.1.4, 12.2.2 y 12.3.2
  • Oracle E-Business Suite, versiones 12.1.1, 12.1.2, 12.1.3, 12.2.3, 12.2.4, 12.2.5 y 12.2.6
  • Oracle Transportation Management, versiones 6.1 y 6.2
  • PeopleSoft Enterprise HCM ePerformance, versión 9.2
  • PeopleSoft Enterprise PeopleTools, versiones 8.54 y 8.55
  • JD Edwards EnterpriseOne Tools, versión 9.2.1.1
  • Siebel Applications, versión 16.1
  • Oracle Commerce Platform, versiones 10.0.3.5, 10.2.0.5 y 11.2.0.2
  • Oracle Fusion Applications, versiones 11.1.2 hasta 11.1.9
  • Oracle Communications Indexing and Search Service, versiones anteriores a 1.0.5.28.0
  • Oracle Communications Network Charging and Control, versiones 4.4.1.5, 5.0.0.1, 5.0.0.2, 5.0.1.0 y 5.0.2.0
  • Oracle Communications Network Intelligence, versión 7.3.0.0
  • Oracle FLEXCUBE Core Banking, versiones 5.1.0, 5.2.0 y 11.5.0
  • Oracle FLEXCUBE Direct Banking, versiones 12.0.0, 12.0.1, 12.0.2 y 12.0.3
  • Oracle FLEXCUBE Enterprise Limits and Collateral Management, versiones 12.0.0 y 12.0.2
  • Oracle FLEXCUBE Investor Servicing, versiones 12.0.1, 12.0.2, 12.0.4, 12.1.0 y 12.3.0
  • Oracle FLEXCUBE Private Banking, versiones 2.0.1, 2.2.0 y 12.0.1
  • Oracle FLEXCUBE Universal Banking, versiones 11.3.0, 11.4.0, 12.0.0, 12.0.1, 12.0.2, 12.0.3, 12.1.0 y 12.2.0
  • MICROS Lucas, versiones 2.9.1, 2.9.2, 2.9.3, 2.9.4 y 2.9.5
  • Oracle Retail Allocation, versiones 12.0, 13.0, 13.1, 13.2, 13.3, 14.0 y 14.1
  • Oracle Retail Assortment Planning, versiones 14.1 y 15.0
  • Oracle Retail Order Broker, versiones 4.1, 5.1, 5.2, 15.0 y 16.0
  • Oracle Retail Predictive Application Server, versiones 13.1, 13.2, 13.3, 13.4, 14.0, 14.1 y 15.0
  • Oracle Retail Price Management, versiones 13.1, 13.2, 14.0 y 14.1
  • Primavera P6 Enterprise Project Portfolio Management, versiones 8.2, 8.3, 8.4, 15.1, 15.2, 16.1 y 16.2
  • Oracle Java SE, versiones 6u131, 7u121 y 8u112
  • Oracle Java SE Embedded, versión 8u111
  • Oracle JRockit, versión R28.3.12
  • Oracle VM Server for Sparc, versiones 3.2 y 3.4
  • Solaris, versión 11.3
  • Oracle VM VirtualBox, versiones anteriores a 5.0.32 y anteriores a 5.1.14
  • MySQL Cluster, versiones 7.2.26 y anteriores, 7.3.14 y anteriores y 7.4.12 y anteriores
  • MySQL Enterprise Monitor, versiones 3.1.3.7856 y anteriores, 3.1.4.7895 y anteriores, 3.1.5.7958 y anteriores, 3.2.1.1049 y anteriores, 3.2.4.1102 y anteriores y 3.3.0.1098 y anteriores
  • MySQL Server, versiones 5.5.53 y anteriores, 5.6.34 y anteriores y 5.7.16 y anteriores
 A continuación ofrecemos una relación de productos y el número de vulnerabilidades corregidas:

  • Cinco nuevas vulnerabilidades corregidas en Oracle Database Server (tres de ellas explotable remotamente sin autenticación), dos vulnerabilidades en Oracle Secure Backup (ambas explotables remotamente sin autenticación) y una nueva vulnerabilidad corregida en Oracle Big Data Graph.
       
  • Otras 18 vulnerabilidades afectan a Oracle Fusion Middleware. 16 de ellas podrían ser explotadas por un atacante remoto sin autenticar. Los componentes afectados son: Oracle Tuxedo, Oracle WebLogic Server, Oracle GlassFish Server, Oracle Fusion Middleware, Oracle Outside In Technology y Oracle JDeveloper.
         
  • Esta actualización contiene ocho nuevas actualizaciones de seguridad para Oracle Enterprise Manager Grid Control, seis de ellas explotables remotamente sin autenticación.
         
  • Dentro de Oracle Applications, 121 parches son para Oracle E-Business Suite, uno es para la suite de productos Oracle Supply Chain, siete para productos Oracle PeopleSoft, uno para productos Oracle JD Edwards, tres para Oracle Siebel CRM y uno para Oracle Commerce.
         
  • Se incluyen también cuatro nuevos parches para Oracle Communications Applications, dos de ellos tratan vulnerabilidades explotables remotamente sin autenticación. También soluciona 37 nuevas vulnerabilidades en Oracle Financial Services Applications (14 explotables remotamente).
         
  • Esta actualización contiene ocho nuevas actualizaciones de seguridad para Oracle Retail Applications, dos de ellas explotables remotamente sin autenticación.
          
  • También se incluyen cuatro nuevos parches de seguridad para software Oracle Primavera Products Suite, dos de ellas podrían explotarse de forma remota sin autenticación.
        
  • En lo referente a Oracle Java SE se incluyen 17 nuevos parches de seguridad, 16 de ellos referentes a vulnerabilidades que podrían ser explotadas por un atacante remoto sin autenticar.
        
  • Para la suite de productos Oracle Sun Systems se incluyen cuatro nuevas actualizaciones, tres de ellas afectan directamente a Solaris.
         
  • 27 nuevas vulnerabilidades afectan a MySQL Server (cinco de ellas podrían ser explotadas por un atacante remoto sin autenticar).
        
  • Esta actualización también contiene cuatro parches para Oracle Virtualización.

Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial en:
Oracle Critical Patch Update Advisory – January 2017

Más información:

Oracle Critical Patch Update Advisory - January 2017



Antonio Ropero
Twitter: @aropero



martes, 17 de enero de 2017

Vulnerabilidades en BlackBerry Enterprise Service

BlackBerry ha solucionado dos vulnerabilidades en su software BlackBerry Enterprise Service 12 (BES), que podrían permitir obtener información sensible o realizar ataques de falsificación.

BlackBerry Enterprise Service es un producto enfocado al mundo empresarial, se utiliza para la gestión multiplataforma (PC, Mac, iOS , Android y Blackberry OS) de todos los dispositivos, móviles y tablets.

La primera vulnerabilidad, con CVE-2016-3128, reside en un error en el núcleo de  BlackBerry Enterprise Service que podría emplearse para falsificar un dispositivo registrado y posteriormente acceder a otros parámetros de configuración restringidos para el dispositivo y enviar información especialmente restringida y especialmente diseñada.

Por otra parte, con CVE-2016-3130, un error relacionado con el núcleo de BlackBerry Enterprise Service y la Consola de Administración que podría aprovecharse para obtener las credenciales de usuarios mediante la escucha del tráfico de red entre la consola de administración y BES Core en un intento de autenticación.

Ambos problemas afectan a BES12 versión 12.5.2 y anteriores. Se recomienda la instalación de BlackBerry Unified Endpoint Manager (UEM) versión 12.6, disponible desde:

Más información:

BSRT-2017-001 Vulnerability in BES Core impacts BES12

BSRT-2017-002 Information disclosure vulnerability affects BES12



Antonio Ropero
Twitter: @aropero



lunes, 16 de enero de 2017

Actualización del kernel para Red Hat Enterprise Linux 6

Red Hat ha publicado una actualización (considerada importante) del kernel para toda la familia Red Hat Enterprise Linux 6 que solventa tres nuevas vulnerabilidades que podrían ser aprovechadas por atacantes remotos para ejecutar código arbitrario, provocar denegaciones de servicio o reiniciar conexiones.

El primer problema, con CVE-2016-7117, reside en un uso de memoria después de liberarla en el subsistema de sockets recvmmsg del kernel, que podría permitir a un atacante remoto ejecutar código arbitrario. Un acceso a memoria fuera de límites en setsockopt() que podría permitir provocar condiciones de denegación de servicio o divulgación del contenido del heap (CVE-2016-4998). Por último, un uso de memoria después de liberarla en tcp_xmit_retransmit_queue y otras funciones tcp_*, que podría provocar el reinicio de una conexión (CVE-2016-6828).

También se han corregido otros siete fallos no relacionados directamente con problemas de seguridad.

Detalles sobre la aplicación de ésta actualización se encuentran disponibles en:

Más información:

Important: kernel security and bug fix update


Antonio Ropero
Twitter: @aropero

domingo, 15 de enero de 2017

Actualización de seguridad para WordPress

Se ha publicado la versión 4.7.1 de WordPress destinada a solucionar ocho vulnerabilidades, que podrían permitir la ejecución de código remoto en PHPMailer, exposición de datos de usuario, cross-site scripting o CSRF.

Wordpress es un sistema de gestión de contenidos enfocado a la creación de blogs desarrollado en PHP y MySQL, ampliamente usado en la comunidad de bloggers debido a su facilidad de uso y sus características como gestor de contenidos.

El primer problema corregido reside en la ejecución de código remoto en PHPMailer. Aunque no hay ningún problema específico que afecte a WordPress, o a los principales plugins, por precaución se ha actualizado PHPMailer en esta versión

La REST API expone datos de usuario de todos los usuarios autores de una entrada o un tipo de contenido público. Una vulnerabilidad de Cross-Site Scripting (XSS) a través del nombre del plugin o la cabecera de la versión en update-core.php, también mediante la retirada del nombre del tema. Otras dos vulnerabilidades de Cross-Site Request Forgery (CSRF) al subir un archivo flash y en el modo de accesibilidad de la edición de widgets.

Por último, la publicación por correo electrónico revisa mail.example.com si no han cambiado los ajustes por defecto y seguridad criptográfica débil en la clave de activación de multisitio.

Además está versión contiene la corrección de otros 62 fallos (desde la versión 4.7) no relacionados directamente con problemas de seguridad.

Se recomienda la actualización de los sistemas a la versión 4.7.1 disponible desde:

Más información:

WordPress 4.7.1 Security and Maintenance Release

WordPress 4.7.1 Actualización de mantenimiento y seguridad



Antonio Ropero

Twitter: @aropero

sábado, 14 de enero de 2017

ZDI pagó dos millones de dólares por vulnerabilidades en el 2016

Zero Day Initiative (ZDI) publicó 674 avisos de seguridad durante el 2016, de estos 54 fueron publicados como 0-day. En total, ZDI pagó cerca de dos millones de dólares el pasado año.

ZDI ha publicado un interesante resumen de sus actividades durante el pasado año, en el que cabe destacar los 674 avisos publicados, ocho más que el 2015. El programa ZDI, que durante 2016 pasó de HPE a Trend Micro con la venta de TippingPoint, agradece y reconoce el trabajo de los investigadores colaboradores.

Entre los que destaca a un investigador, conocido simplemente como 'kdot', tanto por la complejidad de los problemas encontrados, como por la amplitud de los productos sobre los que informó. Ese investigador es responsable de 30 de los avisos publicados para Google Chrome, Adobe Reader, Microsoft PDF Library y Foxit Reader.

También reconoce el trabajo de los Laboratorios CloverSec, con 18 avisos diferentes en productos de Microsoft, Adobe, Oracle y AVG, entre otros. Otro investigador habitual de los últimos años, conocido como rgod, ha publicado 15 avisos en productos como Microsoft, Novell, Dell y CA durante 2016.

También incide en la dificultad de publicar un aviso, ya que no todos los reportes de estos investigadores son automáticamente aceptados. De hecho, cerca de un 43 por ciento de todos los avisos recibidos durante el pasado año fueron rechazados.

Las vulnerabilidades más destacables

ZDI también hace un repaso a las vulnerabilidades que consideran más destacables, señalando:

CVE-2016-3382 – Enviada por un investigador anónimo y parcheada por Microsoft en el boletín MS16-118. Una confusión de tipos para las últimas versiones de IE y Edge.
CVE-2016-0158 – Vulnerabilidad para Microsoft Edge reportada por lokihardt y corregida en el MS16-038.
CVE-2016-7272 – Ejecución de código al abrir una nueva ventana en Windows Explorer para todas las versiones de Windows. Descubierto por Giwan Go de STEALIEN y corregido en el MS16-146.
CVE-2016-1806 – Empleado por JungHoon Lee (lokihardt) durante la competición Pwn2Own de este año y solucionado por Apple en el Security Update 2016-003.
CVE-2016-7857 – Fallo para Adobe Flash reportado por bee13oy de CloverSec Labs corregido en noviembre.
CVE-2016-5161 – Vulnerabilidad de confusión de tipos en Chrome reportada por un investigador conocido como 62600BCA031B9EB5CB4A74ADDDD6771E, corregido por Google en octubre.

Los más afectados


El programa ZDI también agradece a los proveedores y fabricantes que corrigen las vulnerabilidades que les informan.

Como en el 2015 la compañía para la que más avisos se publicaron fue Adobe, con 149 de las 674 totales. De hecho, tanto en 2015 como en 2016, los productos de Adobe representaron el 22% de los avisos publicados.

Es curioso el caso del fabricante que ocupa el segundo puesto, los sistemas industriales Advantech con 112 avisos publicados, lo que representa un 17 por ciento. Sin embargo trata este caso como algo especial, debido a que todos ellos provienen del mismo investigador anónimo, que tampoco ha reportado vulnerabilidades para ningún otro fabricante.

Microsoft finalizó como tercer fabricante afectado, destacando los navegadores como principal objetivo. Con 77 avisos, Microsoft tiene un 11% de los avisos publicados, frente al 17 por ciento del 2015.

Más información:

The ZDI 2016 Retrospective



Antonio Ropero

Twitter: @aropero

viernes, 13 de enero de 2017

Nuevas versiones de BIND 9

ISC ha publicado nuevas versiones del servidor DNS BIND 9, destinadas a solucionar cuatro vulnerabilidades consideradas de gravedad alta que podrían causar condiciones de denegación de servicio a través de consultas especialmente manipuladas.

El servidor de nombres BIND es uno de los más usados en Internet. Creado en 1988, en la universidad de Berkeley, actualmente es desarrollado por el ISC (Internet System Consortium). BIND se encuentra disponible para una amplia gama de sistemas tanto Unix como Microsoft Windows.

La primera vulnerabilidad, con CVE-2016-9131, consiste en que una respuesta a una consulta RTYPEANY específicamente construida recibida por un servidor recursivo puede provocar la caída de named por un fallo de aserción. Afecta a versiones 9.4.0 a 9.6-ESV-R11-W1, 9.8.5 a 9.8.8, 9.9.3 a 9.9.9-P4, 9.9.9-S1 a 9.9.9-S6, 9.10.0 a 9.10.4-P4 y 9.11.0 a 9.11.0-P1.

Con CVE-2016-9147, un error en el tratamiento de una respuesta que contenga DNSSEC inconsistente puede provocar un fallo de aserción. Afecta a versiones 9.9.9-P4, 9.9.9-S6, 9.10.4-P4 y 9.11.0-P1. Con CVE-2016-9444, una respuesta construida de forma inusual que contenga un registro de recurso DS puede provocar un fallo de aserción con la consiguiente caída del servicio. Afecta a versiones 9.6-ESV-R9 a 9.6-ESV-R11-W1, 9.8.5 a 9.8.8, 9.9.3 a 9.9.9-P4, 9.9.9-S1 a 9.9.9-S6, 9.10.0 a 9.10.4-P4, 9.11.0 a 9.11.0-P1.

Por último, con CVE-2016-9778, un error en el tratamiento de determinadas consultas usando la característica nxdomain-redirect puede causar un fallo de aserción REQUIRE en db.c. Afecta a versiones 9.9.8-S1 a 9.9.8-S3, 9.9.9-S1 a 9.9.9-S6 y 9.11.0 a 9.11.0-P1.

Se recomienda actualizar a las versiones más recientes BIND 9.9.9-P5, 9.10.4-P5, 9.11.0-P2 y 9.9.9-S7, disponibles en:

Más información:

CVE-2016-9778: An error handling certain queries using the nxdomain-redirect feature could cause a REQUIRE assertion failure in db.c

CVE-2016-9444: An unusually-formed DS record response could cause an assertion failure

CVE-2016-9147: An error handling a query response containing inconsistent DNSSEC information could cause an assertion failure

CVE-2016-9131: A malformed response to an ANY query can cause an assertion failure during recursion



Antonio Ropero
Twitter: @aropero