Noticias

Oracle corrige 154 vulnerabilidades en su actualización de seguridad de octubre

Hispasec - Sáb, 18/10/2014 - 23:30
Siguiendo su ritmo de publicación trimestral de actualizaciones, Oracle publica suboletín de seguridad de octubre. Contiene parches para 154 vulnerabilidades diferentes en cientos de productos pertenecientes a diferentes familias, que van desde el popular gestor de base de datos Oracle Database hasta Solaris, Java o MySQL.
Los fallos se dan en varios componentes de los productos:

  • Oracle Database 11g Release 1, versión 11.1.0.7
  • Oracle Database 11g Release 2, versiones 11.2.0.3, 11.2.0.4
  • Oracle Database 12c Release 1, versiones 12.1.0.1, 12.1.0.2
  • Oracle Application Express, versiones anteriores a 4.2.6
  • Oracle Fusion Middleware 11g Release 1, versiones 11.1.1.5, 11.1.1.7
  • Oracle Fusion Middleware 11g Release 2, versiones 11.1.2.1, 11.1.2.2, 11.1.2.4
  • Oracle Fusion Middleware 12c, versiones 12.1.1.0, 12.1.2.0, 12.1.3.0
  • Oracle Fusion Applications, versiones 11.1.2 hasta 11.1.8
  • Oracle Access Manager, versiones 11.1.1.5, 11.1.1.7, 11.1.2.1, 11.1.2.2
  • Oracle Adaptive Access Manager, versiones 11.1.1.5, 11.1.1.7, 11.1.2.1, 11.1.2.2
  • Oracle Endeca Information Discovery Studio versiones 2.2.2, 2.3, 2.4, 3.0, 3.1
  • Oracle Enterprise Data Quality versiones 8.1.2, 9.0.11
  • Oracle Identity Manager, versiones 11.1.1.5, 11.1.1.7, 11.1.2.1, 11.1.2.2
  • Oracle JDeveloper, versiones 10.1.3.5, 11.1.1.7, 11.1.2.4, 12.1.2.0, 12.1.3.0
  • Oracle OpenSSO version 3.0-04
  • Oracle WebLogic Server, versiones 10.0.2, 10.3.6, 12.1.1, 12.1.2, 12.1.3
  • Application Performance Management, versiones anteriores a 12.1.0.6.2
  • Enterprise Manager for  Oracle Database Releases 10g, 11g, 12c
  • Oracle E-Business Suite Release 11i version 11.5.10.2
  • Oracle E-Business Suite Release 12 versiones 12.0.4, 12.0.6, 12.1.1, 12.1.2, 12.1.3, 12.2.2, 12.2.3, 12.2.4
  • Oracle Agile PLM, versiones 9.3.1.2, 9.3.3
  • Oracle Transportation Management, versiones 6.1, 6.2, 6.3.0 hasta 6.3.5
  • Oracle PeopleSoft Enterprise HRMS, version 9.2
  • Oracle PeopleSoft Enterprise PeopleTools, versiones 8.52, 8.53, 8.54
  • Oracle JD Edwards EnterpriseOne Tools, version 8.98
  • Oracle Communications MetaSolv Solution, versiones MetaSolv Solution: 6.2.1.0.0, LSR: 9.4.0, 10.1.0, ASR: 49.0.0
  • Oracle Communications Session Border Controller, version SCX640m5
  • Oracle Retail Allocation, versiones 10.0, 11.0, 12.0, 13.0, 13.1, 13.2
  • Oracle Retail Clearance Optimization Engine, versiones 13.3, 13.4, 14.0
  • Oracle Retail Invoice Matching, versiones 11.0, 12.0, 12.0 IN, 12.1, 13.0, 13.1, 13.2, 14.0
  • Oracle Retail Markdown Optimization, versiones 12.0, 13.0, 13.1, 13.2, 13.4
  • Oracle Health Sciences Empirica Inspections, versiones 1.0.1.0 y anteriores
  • Oracle Health Sciences Empirica Signal, versiones 7.3.3.3 y anteriores
  • Oracle Health Sciences Empirica Study, versiones 3.1.2.0 y anteriores
  • Oracle Primavera Contract Management, versiones 13.1, 14.0
  • Oracle Primavera P6 Enterprise Project Portfolio Management, versiones 7.0, 8.1, 8.2, 8.3
  • Oracle JavaFX, versión 2.2.65
  • Oracle Java SE, versiones 5.0u71, 6u81, 7u67, 8u20
  • Oracle Java SE Embedded, versión 7u60
  • Oracle JRockit, versiones R27.8.3, R28.3.3
  • Oracle Fujitsu server, versiones M10-1, M10-4, M10-4S
  • Oracle Solaris, versiones 10, 11
  • Oracle Secure Global Desktop, versiones 4.63, 4.71, 5.0, 5.1
  • Oracle VM VirtualBox, versiones anteriores a 4.1.34, 4.2.26, 4.3.14
  • Oracle MySQL Server, versiones 5.5.39 y anteriores, 5.6.20 y anteriores

A continuación ofrecemos una relación de productos y el número de vulnerabilidades corregidas: 
  • 31 nuevas vulnerabilidades corregidas en Oracle Database Server, dos de ellas explotables de forma remota sin autenticación. Afecta a los componentes JPublisher, Java VM, SQLJ, Application Express, JDBC y Core RDBMS.
         
  • Otras 18 vulnerabilidades afectan a Oracle Fusion Middleware. 14 de ellas podrían ser explotadas por un atacante remoto sin autenticar. Los componentes afectados son: Oracle Adaptive Access Manager, Oracle Enterprise Data Quality, Oracle Identity Manager, Oracle OpenSSO, Oracle Endeca, Information Discovery Studio, Oracle WebLogic Server, Oracle Access Manager y Oracle JDeveloper..
        
  • Esta actualización contiene dos nuevas actualizaciones de seguridad para Oracle Enterprise Manager Grid Control por vulnerabilidades no explotables de forma remota sin autenticación.
         
  • Dentro de Oracle Applications, 10 parches son para Oracle E-Business Suite, cinco parches son para Oracle Supply Chain Products Suite, cinco para productos Oracle PeopleSoft y uno para productos Oracle JD Edwards.
         
  • Igualmente dentro de Oracle Industry Applications se incluyen dos nuevos parches para Oracle Communications Applications, cuatro nuevos parches para Oracle Retail Applications y tres para Oracle Health Sciences Applications.
         
  • Dos nuevas actualizaciones de seguridad para Oracle Primavera Products Suite.
         
  • En lo referente a Oracle Java SE se incluyen 25 nuevos parches de seguridad. 22 de ellas podrían ser explotadas por un atacante remoto sin autenticar.
         
  • 15 de las vulnerabilidades afectan a a la Suite de Productos Sun, 14 de ellas a Solaris (todas afectan a la versión 11 y dos de ellas también afectan a la 10).
        
  • Siete nuevas actualizaciones afectan a Oracle Virtualization.
        
  • 24 nuevas vulnerabilidades afectan a MySQL Server, Nueve de ellas explotables de forma remota sin autenticación.


Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial en: Oracle Critical Patch Update Advisory - October 2014http://www.oracle.com/technetwork/topics/security/cpuoct2014-1972960.html
Más información:
Oracle Critical Patch Update Advisory - October 2014http://www.oracle.com/technetwork/topics/security/cpuoct2014-1972960.html

Antonio Roperoantonior@hispasec.comTwitter: @aropero
Categorías: Seguridad

Android y su malware

Hispasec - Vie, 17/10/2014 - 18:00
Recientemente la empresa de seguridad AdaptiveMobile ha descubierto un nuevo malware que afecta a dispositivos Android (identificado como Selfmite.b por los antivirus). Este malware usa los SMS para propagarse e infectar otros dispositivos. 
En general malware es el término para englobar a todo el software diseñado para hacer algún tipo de daño en un sistema o dispositivo, pueden ser gusanos, troyanos, virus, bombas lógicas… o englobar características de varios de ellos. Puede usar vulnerabilidades del dispositivo de la víctima o simplemente ingeniería social para ejecutarse. En esta entrada, presentamos una selección de varios tipos de malware que afectan a Android en la actualidad y que emplean técnicas de propagación poco habituales.
Malware que se propaga por SMS
El Samsapo.afue descubierto en abril 2014 por ESET. Para propagarse e infectar otros dispositivos, envía un SMS a los contactos con el mensaje "Это твои фото?" ("Es ésta tu foto?") y un enlace a un APK malicioso. Cuando el usuario hace un clic sobre el enlace, el dispositivo descarga el APK y ofrece al usuario instalarlo. Si el usuario acepta, el malware se instala en su dispositivo. Este malware puede robar datos personales como números de teléfonos de los contactos, SMS, bloquear llamadas, etc.
El Android/XShenqi.Afue descubierto en agosto de 2014 y llegó a afectar a más de 500. 000 móviles. Fue diseminado durante el día de Santa Valentina en China. Cuando se ejecuta, recoge la lista de contactos y envía un SMS con el mensage "看这个" ("Mira eso" en chino) y un enlace a un APK malicioso (http://.../down/4279193/XXshenqi.apk). Además de eso, el malware graba todos los SMS recibidos por el dispositivo y los reenvía al atacante.
El Selfmite.bes el malware que se propaga a través de SMS descubierto más recientemente. Se trata de una actualización de otro malware similar detectado en junio (Selfmite.a). Este tipo de malware usa los SMS para propagarse, con el mensaje "Look The Self-time" en la primera versión y "Hi buddy, try this, its amazing u know" ("Hola amigo, prueba esto, es increíble") para la segunda versión y acompañado de un enlace a un APK malicioso. Este malware anuncia aplicaciones Android para instalar. Cada vez que el usuario infectado instala alguna de esas aplicaciones el atacante es remunerado (pago por instalación). El atacante puede cambiar las aplicaciones a anunciar cambiando la configuración que se descarga el malware.

Malware que se propaga por Bluetooth
El Backdoor.AndroidOS.Obad.aes un malware que usa el Bluetooth para propagarse. Va a escanear todos los dispositivos en su entorno que tengan el Bluetooth activado y se envía. Si el usuario acepta recibir el archivo (el malware) e instalarlo, quedará infectado. El malware tiene la posibilidad de enviar SMS premium, recibir comandos del servidor del atacante para descargar archivos, enviar la lista de aplicaciones instaladas, enviar los contactos de la víctima, etc.
Malware que se propaga por Whatsapp
El priyankafue descubierto en julio de 2013. Recoge la lista de contactos de Whatsapp y envía una aplicación (el propio malware) a los contactos. Si el contacto lo acepta y lo instala, vera que el nombre de sus contactos ha cambiado por la cadena "Priyanka".
Todavía, no hemos visto ningún malware que haga uso del Near Field Communication (NFC) para propagarse e infectar otros dispositivos. Aunque el correo electrónico se usa habitualmente para diseminar malware Android directamente por un atacante, en la actualidad no hemos visto ningún malware que haga uso del correo electrónico para infectar otros dispositivos Android.
El usuario puede protegerse desactivando la instalación de los APK que provengan de fuentes no oficiales. En efecto, la mayoría de las infecciones usan la ingeniería social para instalarse en un dispositivo. Por ejemplo, el atacante envía un SMS con un enlace que redireccione a un APK. Cuando el usuario hace un clic sobre el enlace, el dispositivo descarga el APK y propone al usuario de instalar ese mismo APK (es decir la aplicación maliciosa).
Más información:
Android malware worm catches unwary users http://www.welivesecurity.com/2014/04/30/android-sms-malware-catches-unwary-users/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+eset%2Fblog+%28ESET+Blog%3A+We+Live+Security%29
Selfmite.aSelfmite: Attack using SMS worm to increase pay-per-install incomehttp://www.adaptivemobile.com/blog/selfmite-worm
Selfmite.bTake Two: Selfmite.b Hits the Roadhttp://www.adaptivemobile.com/blog/take-two-selfmite-b-hits-the-road
Chinese Worm Infects Thousands of Android Phoneshttp://blogs.mcafee.com/mcafee-labs/chinese-worm-infects-thousands-android-phones
Bluetooth (Backdoor.AndroidOS.Obad.a)The most sophisticated Android Trojanhttps://securelist.com/blog/research/35929/the-most-sophisticated-android-trojan/
Internet via Whatsapp. Priyanka.WhatsApp users, ignore messages from 'Priyanka' - it's a wormhttp://nakedsecurity.sophos.com/2013/07/11/whatsapp-users-ignore-messages-from-priyanka-its-a-worm/
2014-03-06 - MALICIOUS ANDROID APPhttp://malware-traffic-analysis.net/2014/03/06/index.html


Laurent Delosièresldelosieres@hispasec.com
Categorías: Seguridad

Vodafone te trae lo último de Sony

Canal PDA - Vie, 17/10/2014 - 14:55
Detalles que marcan la diferencia entre lo bueno y lo excelenteEl Xperia Z3 resiste caídas accidentales tanto en el lavabo como en la piscina. Incluso podrás hacer fotos bajo el agua con el botón específico de la cámara. Combinando con una batería de dos días de duración y modos de ahorro de energías únicos, el […]
Categorías: PDA / PPC

Kamailio publica la versión 4.2

Sinologic - Vie, 17/10/2014 - 12:03

Kamailio (saber más de Kamailio) acaba de anunciar la nueva versión de Kamailio 4.2 que, tras ocho meses de desarrollo y más de un mes y medio de pruebas, acaba de salir a la luz y trae muchos añadidos y mejoras.

La lista completa de añadidos y mejoras de Kamailio 4.2 la puedes ver en su propio wiki que mantienen bastante bien actualizado: http://www.kamailio.org/wiki/features/new-in-4.2.x no obstante y a modo de resumen, os indicamos a continuación algunas de las más importantes.

Módulos nuevos como:

Y mejoras y añadidos de los módulos que ya existen:

  • TCP-based event API controlled from configuration file
  • database connector for MongoDB
  • embedded JSON-RPC server
  • middle layer connector for Kazoo VoIP platform
  • no-sql configuration file connector for Cassandra
  • no-sql configuration file connector for MongoDB
  • ability to handle no-SIP messages via configuration file event routes
  • control module for RTPEngine application used for NAT traversal or encryption/decryption between plain RTP and WebRTC-SRTP
  • ability to add new branches to active transactions on-the-fly (e.g., as soon as a new REGISTER from callee arrives)
  • unique identifiers generator for usage inside configuration file
  • pool of generic worker processes
    • acc module can do asynchronous insert of records to MySQL servers
    • sqlops module can do asynchronous queries to MySQL servers
    • async can trigger immediate asynchronous execution of routing blocks
  • significant improvements to internal memory manager
  • create traffic limiting ‘pipes’ on the fly with pipelimit module
  • active calls tracking (dialog) can replicate local data and work with remote profiles
  • monitoring (via SIP keepalives) and managing active calls can use dedicated timer processes pool to cope better with heavy traffic
  • enhancements to remote registrations to allow reloading records from database; add, enable or disable a record at runtime via rpc commands
  • topology hiding can use server IP everywhere
  • mechanism to detect retransmissions in early phase of configuration processing without creating the heavyweight transaction structure
  • manage muli-part bodies: set, remove or append parts
  • ability to increase and track the difference of CSeq when the server is performing proxy authentication to next hop for calls
  • plenty of new features for IMS extensions

Puedes descargar el código fuente de su web: http://www.kamailio.org/pub/kamailio/latest/src/

Tweets sobre “kamailio”
//

La entrada Kamailio publica la versión 4.2 aparece primero en Sinologic.

Categorías: Asterisk

Twitter es algo más que palabras, emociones en imágenes y ahora en audio

Canal PDA - Vie, 17/10/2014 - 11:09
2014 está siendo un año de grandes avances para Twitter, que no cesa en su empeño por mejorar la experiencia de sus más de 271 millones de usuarios. Si bien comenzamos el año con un nuevo Perfil de Usuario, el Panel de Control de la Actividad, mejoras en la inclusión de imágenes en un tuit […]
Categorías: PDA / PPC

Actualización para Adobe Flash Player

Hispasec - Jue, 16/10/2014 - 23:30
Adobe ha publicado una actualización para Adobe Flash Player para evitar tres nuevas vulnerabilidades que afectan al popular reproductor. Los problemas podrían permitir a un atacante tomar el control de los sistemas afectados.
Las vulnerabilidades afectan a las versiones de Adobe Flash Player 15.0.0.167 (y anteriores) para Windows y Macintosh, Adobe Flash Player 13.0.0.244 (y 13.x anteriores) para Windows y Macintosh y Adobe Flash Player 11.2.202.406 (y anteriores) para Linux.
Esta actualización, publicada bajo el boletín APSB14-22, soluciona dos vulnerabilidades de corrupción de memoria (CVE-2014-0564 y CVE-2014-0558), y otra de desbordamiento de entero (CVE-2014-0569). En todos los casos estos problemas podrían permitir la ejecución remota de código arbitrario.
Adobe ha publicado las siguientes versiones de Adobe Flash Player destinadas a solucionar las vulnerabilidades, y se encuentran disponibles para su descarga desde la página oficial: * Flash Player Desktop Runtime 15.0.0.189* Flash Player Extended Support Release 13.0.0.250* Flash Player para Linux 11.2.202.411Igualmente se ha publicado la versión 15.0.0.189 de Flash Player para Internet Explorer y Chrome.
Más información:
Security updates available for Adobe Flash Playerhttp://helpx.adobe.com/security/products/flash-player/apsb14-22.html



Antonio Roperoantonior@hispasec.comTwitter: @aropero


Categorías: Seguridad

Apple Pay empezará a transformar los pagos móviles el 20 de octubre

Canal PDA - Jue, 16/10/2014 - 21:17
Apple ha anunciado hoy que sus clientes podrán empezar a realizar pagos mediante su huella dactilar a partir del lunes 20 de octubre, fecha en la que Apple Pay estará disponible en Estados Unidos. Este nuevo servicio permite pagar de forma fácil, segura y privada mediante el sensor de identidad Touch ID del iPhone 6 […]
Categorías: PDA / PPC

Apple presenta el iPad Air 2: el iPad más fino y potente que existe

Canal PDA - Jue, 16/10/2014 - 20:55
Apple ha anunciado hoy el iPad Air 2, el iPad más fino y potente que existe. El iPad Air 2, con solo 6,1 mm de grosor y menos de 500 g de peso, incluye una nueva pantalla Retina, que ofrece contraste mejorado y colores más vivos y brillantes, y mejores cámaras para hacer fotos y […]
Categorías: PDA / PPC

OS X Yosemite, disponible desde hoy como actualización gratuitaOS X Yosemite, disponible desde hoy como actualización gratuita

Canal PDA - Jue, 16/10/2014 - 20:27
Apple ha anunciado hoy que OS X Yosemite, la última versión del sistema operativo de ordenador más potente del mundo, está disponible gratis para los usuarios de Mac en la Mac App Store. Yosemite llega con un aspecto moderno y fresco e introduce nuevas prestaciones de continuidad, que permiten empezar un trabajo en el Mac […]
Categorías: PDA / PPC

ZTE lanza innovadoras soluciones de pago

Canal PDA - Jue, 16/10/2014 - 19:35
ZTE Corporation (ZTE) (Códigos 0763.HK/000063.SZ), compañía que cotiza en bolsa y proveedor global de equipos de telecomunicaciones, soluciones red y telefonía, ha lanzado una innovadora gama de soluciones de pago incluyendo teléfono POS (punto de venta), soluciones fotónicas y soluciones DTV (TV digital), en la feria GITEX en Dubai.Con un smatphone con tecnología NFC (Near […]
Categorías: PDA / PPC

Enumerados presenta su última versión en la Madrid Games Week, con mejoras diseñadas por los jugadores y recuperación de los torneos

Canal PDA - Jue, 16/10/2014 - 19:25
Los fans de Enumerados, juego de inteligencia y agilidad mental para efectuar operaciones matemáticas, podrán probar desde hoy la última versión que se presenta en la segunda edición de la Madrid Games Week, una cita que este año se consolida como ineludible para los amantes de los juegos online.Enumerados presentará en esta edición importantes novedades […]
Categorías: PDA / PPC

Los alumnos catalanes utilizan la tecnología móvil en las asignaturas de humanidades para geolocalizar el patrimonio

Canal PDA - Jue, 16/10/2014 - 19:12
mSchools arranca su segundo curso en las aulas catalanas con el lanzamiento de Mobile History Map (MHM), un proyecto pionero mediante el cual los alumnos de 5o y 6o de primaria, de secundaria y de FP crean y geolocalizan contenidos relativos a puntos de interés cercanos a su centro educativo. El trabajo realizado por los […]
Categorías: PDA / PPC

Encuesta GfK: éstas son las aplicaciones que los consumidores usarían en un reloj inteligente

Canal PDA - Jue, 16/10/2014 - 16:36
La firma de investigación de mercados GfK ha analizado cuáles son los usos que los consumidores esperan dar a sus relojes inteligentes, y que van desde el pago de entradas y billetes y los documentos de identificación hasta la transmisión de datos sanitarios. Para ello, ha llevado a cabo un estudio internacional entre 1.000 poseedores […]
Categorías: PDA / PPC

MediaTek presenta su nueva plataforma de 64 bits para smartphones LTE

Canal PDA - Jue, 16/10/2014 - 16:13
MediaTek ha asegurado que los procesadores de 64 bits “deberían ser un elemento fundamental del segmento LTE”, al presentar su producto más reciente dirigido a ese mercado. El MT6735 es el nuevo SoC (sistema en un chip) de la empresa, e incluye funciones de módem “WorldMode” que ofrecen soporte a las tecnologías de la familia […]
Categorías: PDA / PPC

Samsung presume de nuevo récord de velocidad en 5G

Canal PDA - Jue, 16/10/2014 - 15:58
En lo que representa la apuesta más reciente de un suministrador para captar la atención de la ’5G’, Samsung Electronics asegura haber alcanzado las velocidades de 5G más altas obtenidas hasta la fecha: más de 30 veces más rápidas que las redes LTE actuales. Al mismo tiempo, la firma destaca la necesidad de una colaboración […]
Categorías: PDA / PPC

Google presenta Android Lollipop y nuevos dispositivos Nexus

Canal PDA - Jue, 16/10/2014 - 01:40
Google ha anunciado este miércoles nuevas incorporaciones a su gama de dispositivos Nexus, junto al lanzamiento de la versión más reciente del sistema operativo Android: 5.0 Lollipop (piruleta). Si bien la ocasión encaja bastante con el historial de Google (el Nexus 5 y Android KitKat fueron presentados en noviembre de 2013), también hay quien interpreta […]
Categorías: PDA / PPC

Google presenta Android Lollipop y nuevos dispositivos Nexus

Canal PDA - Jue, 16/10/2014 - 01:38
Google ha anunciado este miércoles nuevas incorporaciones a su gama de dispositivos Nexus, junto al lanzamiento de la versión más reciente del sistema operativo Android: 5.0 Lollipop (piruleta). Si bien la ocasión encaja bastante con el historial de Google (el Nexus 5 y Android KitKat fueron presentados en noviembre de 2013), también hay quien interpreta […]
Categorías: PDA / PPC

Cifrado SSL 3.0 ya no es seguro. Cómo mejorar la seguridad de tu web

Sinologic - Jue, 16/10/2014 - 01:01

Prácticamente cualquier lector de Sinologic sabe (o debe saber) lo que es SSL y TLS, al menos sabrá que son algoritmos de cifrado que mantienen “segura” la comunicación entre dos sistemas: un cliente y un servidor, un navegador y una web, un datáfono y un banco, …  Pero acaba de darse a conocer algo que ha movido los cimientos de la seguridad, y es que el algoritmo SSL v.3.0 (el algoritmo utilizado por el 90% de las páginas) ha sido roto y por lo tanto, existen mecanismos para descifrar en tiempo real una comunicación cifrada con este sistema.

Google acaba de anunciar que el sistema de cifrado SSL v.3.0 tiene más agujeros que un queso suizo y que no debería ser utilizado nunca más. Esto implica a las páginas webs “seguras” https que incluyen en la URL su candado de colores.  Si quieres saber en qué consiste el bug, se explica en muchas páginas:

 

¿Qué significa esto?

Que si te conectas a la página web de tu banco, compruebas que tiene el famoso “candado” en el navegador, e introduces tus datos de acceso, si te logueas en Paypal para realizar un pago, alguien podría tener algún sniffer que guarde esta información y la utilice cuando menos lo esperes.

¿Cómo funciona?

Dicho de un modo comprensible… los servidores web y los navegadores incorporan diversos algoritmos de cifrado, SSL v.3, SSL v.2, TLS 1.0, TLS 1.1, TLS, 1.2… y cuando un navegador se conecta a un servidor web “seguro” se negocia el algoritmo de cifrado que se va a utilizar. Generalmente, empiezan por el más nuevo y si ambos no soportan el mismo sistema de cifrado, van bajando la versión hasta dar con algún algoritmo que tengan en común.
Hoy día, los servidores web seguros ya no incluyen algoritmos antiguos como SSL v.2 ni TLS 1.0, pero sí incluyen SSL v.3.0 y TLS 1.1 y TLS 1.2.
Hoy día, el algoritmo SSL v.3.0 ha sido roto y por lo tanto, cualquier comunicación navegador – servidor web que utilice dicho algoritmo es vulnerable y puede ser objeto de espionaje y robo de información.

¿Cómo se soluciona?

Por un lado, hay que entender que para que no nos “espíen” tenemos que configurar nuestro navegador para indicar que no queremos utilizar el cifrado SSL v.3.0, de esa manera, en la negociación de algoritmos, nuestro navegador buscará otro sistema común que nos permita mantener una comunicación cifrada y que funcione. Por otro lado, también debemos configurar nuestros servidores Web o servicios para que no utilicen el algoritmo SSL v.3.0 y de esa manera, evitar que espíen a usuarios cuyos navegadores permitan utilizarlo.

Vamos a ver algunas maneras sencillas de solucionarlo.

Esto se configura diferente según el navegador:

Firefox: Entramos en la dirección: about:config y buscamos la cadena: security.tls.version.min que cambiaremos de valor de 1 para activar el soporte de TLS.
Chrome: Es un poco más complicado, ya que hay que arrancar la aplicación con la opción:–ssl-version-min=tls1
Internet Explorer:
Más complicado aún, ya que hay que acceder a “Configuración, Opciones de Internet, Avanzado”, buscar  Usar SSL 3.0 y deseleccionarlo.

Puedes entrar aquí para comprobar si tu navegador es vulnerable o está solucionado: https://zmap.io/sslv3/

Con esto, ya tendríamos a nuestro navegador evitando conexiones SSLv3, no obstante, si somos el administrador de sistemas de un servidor web seguro (Elastix también funciona con https) u otros sistemas HTTPS, habría que desactivar el soporte de SSLv3 en el servidor web.

Si trabajamos con un servidor web Apache con su SSL v.3.0, la solución consiste en no permitir este tipo de cifrado. Para ello, tan solo tenemos que editar el archivo /etc/apache2/mods-enabled/ssl.conf y buscar la cadena:

SSLProtocol all -SSLv2

y añadir el trozo que ponemos en negrita:

SSLProtocol all -SSLv2 -SSLv3

De esta forma, el servidor https negociará con todos los algoritmos de cifrado excepto con SSLv2 y SSLv3.

Si no tienes esta línea, asegúrate que tienes lo siguiente:

SSLProtocol all -SSLv2 -SSLv3
SSLHonorCipherOrder on
SSLCipherSuite “EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS”

Con esto, seguramente nuestro servidor web esté más protegido, y podréis confirmarlo en esta página: https://www.tinfoilsecurity.com/poodle por lo que ya no tendréis que preocuparos más, ahora viene la parte más dura: buscar alternativas TLS a todo lo que tenéis configurado con SSL (servidores de correo, protocolo SIP, etc…)

 

La entrada Cifrado SSL 3.0 ya no es seguro. Cómo mejorar la seguridad de tu web aparece primero en Sinologic.

Categorías: Asterisk

SSL tocado y hundido

Hispasec - Mié, 15/10/2014 - 19:00
Hoy despedimos a SSL. El último clavo necesario para la tapa de su ataúd fue amartillado por tres investigadores a nómina de Google. No tuvo una existencia fácil. Ya desde su nacimiento demostró una debilidad que le auguraba un porvenir lleno de complicaciones.
La primera versión ni siquiera vio la luz, se quedó en la morgue de Netscape. Sus creadores, que al poco presentaron la versión 2.0 al público, vieron como el escrutinio de la comunidad dejó en evidencia al protocolo con una lista de errores de seguridad que desmoronaba la confianza en su criatura. En 1996 se publicaba la versión definitiva de SSL, la tercera. A la tercera va la vencida. Y vencida fue.
En realidad, SSL ha sobrevivido a nuestros días como un reducto del pasado. En 1999 se publicaba la versión 1.0 de TLS. No era un protocolo que se diferenciase técnicamente de SSL. Si leemos el RFC correspondiente, vemos que incluso se refleja en su justificación "Las diferencias entre TLS 1.0 y SSL 3.0 no son dramáticas, pero lo suficientemente razonables para que no interoperen entre ellos". El mensaje era que TLS no iba a ser un SSL 4.0.
SSL ha ido soportando los distintos golpes en forma de BEAST, CRIME, etc. Pero con este último golpe, POODLE (¿GOOGLE?), ya no hay remedio posible, contramedida o unguentum armarium sobre el que prolongar la vida de SSL. Se acabaron las excusas.
POODLE ("Padding Oracle On Downgraded Legacy Encryption") basa su ataque sobre el modo CBC (Cifrado por bloques) lo que hace que este modo sea vulnerable a un ataque variante de Padding Oracle. La alternativa a CBC es usar un cifrado por flujo, RC4, pero este último ya fue condenado al destierro. En marzo de 2013 se publicó un ataque que permitía recuperar componentes de un mensaje cifrado con RC4 si estos componentes se repetían con cierta frecuencia. Pensemos en una cookie de sesión dentro de un mensaje HTTP.
¿Entonces va a destruir Poodle a Internet?
No, al igual que Heartbleed, Shellshock u otros tampoco va suceder nada extraordinario. Simplemente se ha de deshabilitar, siempre que se pueda, SSL y si se usa TLS impedir que se efectúe una renegociación hacia SSL si ambas partes, cliente y servidor, soportan TLS.
A día de hoy, en realidad casi todas las conexiones a sitios "conocidos" o la gran mayoría de servidores y clientes se efectúan en TLS. Ahora depende de los actuales sistemas o software soportar una versión u otra de TLS. SSL, en porcentajes, no es un protocolo muy usado, pero está ahí, latente, soportado y preparado para actuar cuando ambas partes no se ponen de acuerdo con TLS. Y ese es el problema que los investigadores proponen como caso de uso de la vulnerabilidad.
En la práctica
Imaginemos una red local, una víctima, sus secretos más codiciados y un atacante. La víctima se conecta a su banco, el atacante efectúa un hombre en el medio, se mete en la conversación del cliente con el banco y decide "estorbar" lo suficiente como para que el navegador de la víctima y el servidor del banco se cansen de negociar que versión de TLS y con el lio terminen usando SSL.
Ahora que se está usando CBC como cifrado, debido entre otras cosas porque en una auditoría al banco le dijeron que se abstuviese de soportar RC4, el atacante solo tiene que capturar una buena cantidad de paquetes para que mediante un análisis comience a obtener "piezas" de esa conversación privada y haga trizas la privacidad.
¿Dejamos de soportar SSL ya?
Sin duda lo haremos. Pero va a ser una despedida agónica. No podemos cortar las amarras y dar la voz de avante a máquinas hoy mismo. Aun hay un número nada despreciable de servidores y clientes obsoletos que se arrastran por los oscuros callejones de Internet que no conocen otro protocolo que SSL.
Como medida, lo único que podemos hacer es evitar que TLS se manche las manos y permita verse degradado a un apestado SSL. Es decir, evitar el escenario que comentábamos anteriormente. Para ello disponemos de una opción que evita que innecesariamente, a clientes y servidores que soporten TLS, se use SSL en su lugar. De esta forma aunque un tercero esté interceptando las comunicaciones y metiendo ruido en el canal no se termine usando SSL.
La opción en cuestión se denomina TLS_FALLBACK_SCSV documentada aquí (https://tools.ietf.org/html/draft-ietf-tls-downgrade-scsv-00). En principio evitaría que en las negociaciones y renegociaciones de sesión segura se cambie de TLS a SSL.Eso para los servidores que tengamos funcionando, de los clientes ya se están encargando los fabricantes (se puede verificar en esta web si el navegador es vulnerable). Por ejemplo Chrome implementa esta opción desde febrero de este año. Al menos algo es algo.
¿Y tú TLS, como andas de clavos?
Más información:
This POODLE Bites: Exploiting The SSL3.0 Fallbackhttps://www.openssl.org/~bodo/ssl-poodle.pdf
This POODLE bites: exploiting the SSL 3.0 fallbackhttp://googleonlinesecurity.blogspot.com.es/2014/10/this-poodle-bites-exploiting-ssl-30.html
POODLE Testhttps://www.poodletest.com/

David Garcíadgarcia@hispasec.comTwitter: @dgn1729
Categorías: Seguridad

Palosanto Solutions muestra su nuevo firewall SIP

Sinologic - Mié, 15/10/2014 - 11:45

Palosanto, la empresa detrás de Elastix continúa publicando nuevos dispositivos que se unen a los ya existentes, entre ellos muestra el nuevo sistema de firewall orientado a VoIP basado en SIP, con lo que poder añadir una nueva capa de seguridad además de corregir y mejorar los paquetes SIP.

Soporta hasta 50 llamadas simultaneas. Analiza paquetes SIP usando el motor de inspección profunda de paquetes basado en SNORT. Detección de anomalías en el protocolo SIP, con parámetros de detección personalizados  y detección de las siguientes categorías de ataques basados en SIP:

  1. Reconocimiento de ataques
  2. Ataques DoS
  3. Ataques basados en Cross Site Scripting
  4. Ataques de desbordamiento de búfer
  5. Ataques basados en anomalías SIP
  6. Vulnerabilidades de proveedores terceros

Además, el sistema SIP Firewall permite otras ventajas.

  • Detección y prevención de fraude telefónico
  • Protección contra el Spam VOIP y War dialing
  • Respuesta a un ataque incluyendo la opción de disminución silenciosa de paquetes para prevenir ataques continuos
  • Servicio de actualización de lista negra dinámica para amenazas VoIP y de PBX/Gateways SIP
  • Capacidad de configuración de reglas de Blacklist/Whitelist/Firewall
  • Soporte para el bloqueo basado en la ubicación geográfica
  • Provee la opción de aseguramiento contra vulnerabilidades de aplicaciones de PBX
  • Opera en la Capa 2 y así ser transparente a la infraestructura IP existente; no es necesario hacer cambios a la red existente
  • Acceso administrativo basado en Web/SSL, lo que permite administrar el dispositivo en cualquier lugar de la nube
  • Capacidad de restringir el acceso a la administración del dispositivo a una IP/red específica
  • Provee la opción de registrar eventos de estatus/seguridad en el sistema para servidor syslog remoto
  • Provee el rendimiento de SIP hasta ~ 10Mbps

La entrada Palosanto Solutions muestra su nuevo firewall SIP aparece primero en Sinologic.

Categorías: Asterisk
Distribuir contenido