Una Al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Archivo de 2009

Cross Site Scripting a través de Atom y RSS en Opera y Chrome

Por Deja un comentario

Existe un error en el sistema de análisis de contenido de los navegadores Opera y Google Chrome. Un atacante remoto podría explotar esto para ejecutar código JavaScript arbitrario a través de un enlace que devuelva un "mime type" del tipo "text/xml", "text/atom-xml" o "text/rss-xml" con JavaScript incrustado. Estos navegadores lo procesarían sin motivo.El sistema de análisis de … [Leer más...] acerca de Cross Site Scripting a través de Atom y RSS en Opera y Chrome

Ejecución de código en nginx

Por Deja un comentario

Existe un error de buffer underflow en nginx cuando trabaja sobre HTTP seguro (https). Esto podría ser aprovechado por un atacante remoto sin autenticar para ejecutar código arbitrario con los privilegios del usuario que corra la aplicación.Nginx es un programa que puede ser utilizado como servidor http independiente y como servidor proxy. Puesto que es bastante ligero, se … [Leer más...] acerca de Ejecución de código en nginx

Actualización del kernel para Red Hat Enterprise Linux 4

Por Deja un comentario

Red Hat ha publicado una actualización del kernel de Red Hat Enterprise Linux 4 que solventa cuatro vulnerabilidades que podrían ser aprovechadas por un atacante para provocar denegaciones de servicio, acceder a información sensible o saltarse determinadas protecciones de seguridad.Los problemas corregidos son: * Un fallo en la máscara PER_CLEAR_ON_SETID que no incluye … [Leer más...] acerca de Actualización del kernel para Red Hat Enterprise Linux 4

Inyección SQL y obtención de información sensible en Bugzilla 3.x

Por Deja un comentario

Se han publicado varios parches que solucionan dos errores de inyección SQL y otra que permite obtener información sensible. Salvo uno de los errores que afecta a todas las ramas, los otros dos solo afectan a la versión 3.4.x.Bugzilla es una aplicación web diseñada para crear un sistema de seguimiento de errores y se distribuye bajo la licencia de Mozilla (Mozilla Public … [Leer más...] acerca de Inyección SQL y obtención de información sensible en Bugzilla 3.x

Actualización de Check Point para denegación de servicio "Sockstress"

Por Deja un comentario

Check Point ha publicado actualizaciones necesarias para diversos productos para corregir los ataques de denegación de servicio descubiertos por la compañía Outpost24 en octubre de 2008.Los productos afectados son: Check Point VPN-1 Power/UTM, Connectra, IPSO, VPN-1 Power VSX, Integrity, UTM-1 Edge, IPS-1, Security Management y SmartCenter. El problema englobado dentro del … [Leer más...] acerca de Actualización de Check Point para denegación de servicio "Sockstress"