Se han reportado múltiples vulnerabilidades que pueden ser aprovechadas para insertar código script, realizar ataques de cross-site scripting (XSS) o saltear restricciones de seguridad. Impacto El impacto de esta Alerta se ha clasificado como CRÍTICO. Versiones Afectadas Se ven afectados por estas vulnerabilidades los siguientes productos y versiones: SquirrelMail 1.4.21 y versiones anteriores Recomendaciones Se recomienda aplicar los parches indicados por el proveedor. Mas información en estos enlaces: 1, 2 y 3 Fuente: ArCert
VTExplorer – Analizar enlaces en Internet Explorer
Después de presentar los plugins VTzilla (Firefox) y VTChromizer (Chrome), presentamos VTExplorer. Es una extensión para el navegador Internet Explorer (versión 6 en adelante) que permite analizar enlaces con tan sólo un click derecho de ratón y escanear ficheros si ya han sido previamente analizados. VTExplorer tiene tres funcionalidades muy sencillas.
Grave fallo de seguridad en OpenSSH de FreeBSD
Kingcope ha vuelto a hacer públicos todos los detalles de un grave fallo de seguridad en OpenSSH de FreeBSD 4, que permite ejecución remota de código. Ha creado un exploit capaz de aprovechar el fallo, y que devuelve una shell al equipo remoto sin necesidad de autenticación. El fallo se encuentra en auth2-pam-freebsd.c, un archivo de hace siete años. El problema es grave, puesto que permite a un atacante que pueda acceder al SSH de una máquina FreeBSD, ejecutar código como root sin necesidad de autenticarse. El fallo se da en, al menos en FreeBSD 4.9 y 4.11, puesto que…
phpMyAdmin: Múltiples vulnerabilidades
Se han reportado múltiples vulnerabilidades en phpMyAdmin que permitirían divulgar información no autorizada o comprometer un equipo afectado. Impacto El impacto de estas vulnerabilidades se ha clasificado como ALTAMENTE CRÍTICO Versiones Afectadas Se ven afectados por estas vulnerabilidades los siguientes productos y versiones: phpMyAdmin 3.3.10.2 y 3.4.3.1 Recomendaciones Se recomienda actualizar, según corresponda a: phpMyAdmin 3.3.10.2 o 3.4.3.1. Asimismo, se recuerda restringir el acceso a las herramientas de administración a los usuarios y ubicaciones autorizadas. Mas información en estos enlaces: 1, 2, 3 y 4 Fuente: ArCert
vsftpd: Puerta trasera en el código fuente
Se ha reportado que el código fuente de vsftpd ha sido comprometido con código malicioso. Impacto El impacto de esta vulnerabilidad se ha clasificado como ALTAMENTE CRÍTICO Versiones Afectadas Se ve afectado por esta vulnerabilidad el siguiente producto y versión: vsftpd 2.3.4 Recomendaciones Se recomienda validar la copia del producto utilizado o descargar nuevamente la última versión del código y verifique la firma PGP correspondiente. Mas información en este enlace. Fuente: ArCert
ISC BIND: Denegación de servicio
Se han reportado múltiples vulnerabilidades en ISC BIND que permitirían realizar un ataque de denegación de servicio en un equipo afectado. Impacto El impacto de esta vulnerabilidad se ha clasificado como ALTAMENTE CRÍTICO Versiones Afectadas Se ven afectados por estas vulnerabilidades los siguientes productos y versiones: ISC BIND 9.6.x, 9.7.x y 9.8.x Recomendaciones Se recomienda actualizar a la mayor brevedad posible y según corresponda, a BIND 9.6-ESV-R4-P3, 9.7.3-P3 o 9.8.0-P4. Nota: Distribuciones de sistemas operativos como: Debian, Ubuntu, RedHat, CentOS, Fedora entre otras, han publicado o publicarían a la brevedad actualizaciones de sus paquetes para atender este problema. Se recuerda…
Controla los permisos en Android con Android WhisperCore
La empresa Whisper Systems, que ofrece software para gestionar la seguridad de Android, ha anunciado la salida de una nueva herramienta que permite a los usuarios ser más selectivos con los permisos que otorgan a una aplicación. Hasta la fecha, al instalar una aplicación en Android el cliente tenía que aceptar las condiciones especificas que esta determinaba sobre el acceso a los datos de su teléfono, o en caso de que no estuviera de acuerdo con ello cancelar la instalación. Para terminar con esto, desde Whisper Systems han lanzado la aplicación WhisperCore 0.5, que permite a los usuarios controlar exactamente que autorizaciones se…
Diez consejos sobre privacidad en la Red para adultos y menores
La privacidad es una asignatura pendiente en Internet. En el especial caso de los menores y, además de los dispositivos que la tecnología pueda ofrecer, para evitar que sean víctimas de la Red, debe insistirse en la “precaución” como escudo por excelencia: evitar que se muestren sin límites en Internet, que tengan en cuenta el alcance que puede tener cualquier tipo de información que sea insertada en Internet. Como precauciones generales, debe insistirse en la “educación”
Wi-Fi (Wi-phishing): robo de información vía redes inalámbricas
Según un estudio publicado por Norton, el Wi-phishing (o Evil Twin), sustracción de datos personales a través de falsas redes públicas de acceso Wi-Fi, se convierte en una especial amenaza en verano, dado que aumentan las conexiones desde hoteles y establecimientos públicos. Las redes inalámbricas públicas, que nos encontramos en hoteles, aeropuertos, cafeterías, restaurantes e incluso aparcamientos nos permiten estar conectados mientras viajamos en verano, pero también trae consigo más riesgo de ser víctimas de un ataque de Wi-phishing, de acuerdo a un informe publicado por Norton.
Drupal: Salteo de restricciones de seguridad
Se ha reportado una vulnerabilidad en Drupal que permitiría realizar un salteo de restricciones de seguridad en un equipo afectado. Impacto El impacto de esta vulnerabilidad se ha clasificado como MODERADO Versiones Afectadas Se ven afectados por esta vulnerabilidad los siguientes productos y versiones: Drupal 7.0, 7.1 y 7.2. Recomendaciones Se recomienda actualizar a: Drupal 7.4. Mas información en este enlace y en este enlace. Fuente: ArCert