Noticias

Implementación incorrecta de protocolo NAT-PMP en múltiples dispositivos

Hispasec - hace 4 horas 41 mins
Se ha descubierto que un gran número de dispositivos (de diferentes fabricantes) tienen una configuración incorrecta del protocolo NAT-PMP, que podrían permitir a un atacante interceptar tráfico privado y sensible de redes internas o externas.
Clientes como  µTorrent soportan NAT-PMPNAT-PMP (Port Mapping Protocol) es un protocolo implementado en múltiples routers domésticos y otros dispositivos de red que permite a una computadora que está en una red privada (detrás de un router NAT) configurar automáticamente el router para permitir que sistemas externos puedan acceder a servicios TCP y UDP internos. Es empleado por servicios como "Volver a mi Mac" de Apple o sistemas de intercambio de archivos (Torrent).
Los investigadores de Rapid7 (conocidos por el producto Metasploit) han identificado aproximadamente 1,2 millones de dispositivos en Internet con una configuración NAT-PMP incorrectapor lo que quedan vulnerables a distintos ataques. Según Rapid7 han encontrado:
  • Aproximadamente 30.000 dispositivos que permiten interceptar el tráfico NAT interno (aproximadamente el 2,5% de los dispositivos afectados).
  • Aproximadamente 1,03 millones de dispositivos que permiten interceptar el tráfico NAT externo (aproximadamente el 86% de los dispositivos afectados).
  • Aproximadamente 1,06 millones de dispositivos que permiten el acceso a los servicios de los clientes NAT internos (aproximadamente el 88% de los dispositivos afectados).
  • Aproximadamente 1,06 millones de dispositivos que pueden verse afectados por denegaciones de servicio contra los servicios del host (aproximadamente el 88% de los dispositivos afectados).
  • Aproximadamente 1,2 millones de dispositivos de los que el atacante puede obtener información sobre el propio dispositivo (el 100% de los dispositivos afectados).


Según el análisis de países realizado por Rapid7 las IPs de los routers afectados pertenecen a los siguientes: Argentina, Rusia, China, Brasil, India, Malasia, Estados Unidos, México, Singapur y Portugal.
Rapid7 también indica que la causa más probable de las vulnerabilidades resida en configuraciones incorrectas de miniupnpd. Miniupnpd es un demonio UPnP ligero que también soporta NAT-PMP y está ampliamente disponible para todas las plataformas. Es posible que las interfaces de red interna y externa en miniupnpd estén configurados por los implementadores para que puedan intercambiarse, lo que puede explicar que algunos dispositivos sean vulnerables.
Desde la versión 1.8.20141022, miniupnpd descarta los paquetes NAT-PMP recibidos en la interfaz WAN. El archivo de configuración por defecto, "miniupnpd.conf", ahora contiene comentarios adicionales para permitir configuraciones más seguras.
Para el anuncio responsable a los fabricantes Rapid7 confirma que optó por que fuera el CERT/CC el responsable de esta tarea. Este organismo ha confirmado los siguientes fabricantes afectados: Grandstream, MikroTik, Netgear, Radinet, Speedifi, Technicolor, Tenda, Ubiquiti Networks, ZTE Corporation y ZyXEL. Aunque Apple también hace uso de este protocolo no se ve afectado. Los fabricantes que hacen uso de miniupnpd han publicado actualizaciones para incorporar una versión actualizada no vulnerable.
Los administradores que implementen NAT-PMP deberán asegurarse de que sus dispositivos estén configurados adecuadamente. Se recomienda implementar reglas en el firewall para bloquear que sistemas no confiables tengan acceso al puerto 5351/udp o bien desactivar NAT-PMP en caso de que no sea necesario.
Más información:
Incorrect implementation of NAT-PMP in multiple deviceshttp://www.kb.cert.org/vuls/id/184540
R7-2014-17: NAT-PMP Implementation and Configuration Vulnerabilitieshttps://community.rapid7.com/community/metasploit/blog/2014/10/21/r7-2014-17-nat-pmp-implementation-and-configuration-vulnerabilities
NAT Port Mapping Protocol (NAT-PMP)http://files.dns-sd.org/draft-cheshire-nat-pmp.txt

Antonio Roperoantonior@hispasec.com
Twitter: @aropero
Categorías: Seguridad

Neix Parlem, l’operadora de telefonia de Catalunya

Canal PDA - hace 5 horas 28 mins
Avui s’ha presentat Parlem, empresa que neix amb la voluntat d’esdevenir l’operadora de telefonia de Catalunya. Constituïda al juliol de 2014, Parlem començarà a operar a partir de mitjans de novembre un servei integral de veu i dades que es podrà contractar a través de www.parlem.com i www.parlemtelecom.cat, o a través de l’app de l’operadora […]
Categorías: PDA / PPC

Yoigo presenta un sistema de acceso a servicios premium para proteger a sus clientes

Canal PDA - hace 8 horas 49 mins
Yoigo ha diseñado para sus clientes un nuevo proceso de acceso a los servicios Premium que ofrecen otras empresas, con el objetivo de mejorar la protección de sus usuarios frente a potenciales abusos que se dan con algunos de estos servicios, principalmente los servicios Premium de suscripción, y así evitar sustos en las facturas. El […]
Categorías: PDA / PPC

La CNMC informa sobre el proyecto de Real decreto que define la normativa técnica para el despliegue de redes

Canal PDA - hace 9 horas 8 mins
La Comisión Nacional de los Mercados y la Competencia (CNMC) acaba de publicar su informe al proyecto de Real decreto por el que se fijan los parámetros y requerimientos técnicos esenciales para garantizar el funcionamiento de las redes y servicios de comunicaciones electrónicas.En su informe, la CNMC apunta, entre otras, las siguientes consideraciones y propuestas: […]
Categorías: PDA / PPC

INTECO publica el "Estudio sobre la Ciberseguridad y Confianza en los hogares españoles"

Hispasec - Jue, 23/10/2014 - 23:30
El Observatorio Nacional de las Telecomunicaciones y de la Sociedad de la Información (ONTSI) de Red.es, junto con el Instituto Nacional de Tecnologías de la Comunicación, S.A. (INTECO), presentan la oleada del panel de hogares del "Estudio sobre la Ciberseguridad y Confianza en los hogares españoles".
Desde Hispasec hemos colaborado de forma activa en realización de este estudio, que presenta dos tipos de datos, obtenidos siguiendo diferentes metodologías:
  • Dato declarado: Obtenido de las encuestas online realizadas a los 3.074 hogares que han conformado la muestra del estudio.
  • Dato real: Para ello se utiliza el software iScan que analiza los sistemas y la presencia de malware en los equipos, recogiendo datos del sistema operativo, su estado de actualización y las herramientas de seguridad instaladas.


Algunos datos que se pueden encontrar en el informe son:
  • Las medidas activas más utilizadas son las contraseñas (57,5 %) y el borrado de archivos temporales y cookies (53,4 %) generados durante la navegación a través de la red Internet.
        
  • El 69,4 % de los usuarios declara que la frecuencia de actualización de las herramientas de seguridad se determina de manera automática por las propias herramientas.
         
  • La mayoría de usuarios –superior al 73 %– mantiene buenos hábitos de comportamiento referentes a los servicios de banca y comercio a través de Internet. Únicamente el uso de tarjetas prepago o monedero es secundado por un porcentaje menor de usuarios (41 %).
         
  • El troyano sigue siendo el tipo de malware más detectado en los ordenadores españoles, llegando a presentarse en el 35,8 % de los ordenadores escaneados durante marzo de 2014.


El estudio completo se puede descargar desde la página del ONTSI en el siguiente enlace: http://www.ontsi.red.es/ontsi/sites/default/files/estudio_sobre_la_ciberseguridad_y_confianza_en_los_hogares_espanoles_octubre_14.pdf
Más información:
Estudio sobre la Ciberseguridad yConfianza en los hogares españoleshttp://www.ontsi.red.es/ontsi/sites/default/files/estudio_sobre_la_ciberseguridad_y_confianza_en_los_hogares_espanoles_octubre_14.pdf

Categorías: Seguridad

Fintonic.com lanza nueva App

Canal PDA - Jue, 23/10/2014 - 17:11
Tras el éxito de fintonic.com en sus dos primeros años de vida con más de 240.000 usuarios registrados, ya puede descargarse en el App Store y en Google Play Fintonic, una de las app de gestión financiera más avanzadas del mundo, diseñada junto a sus usuarios para hacerles la vida más fácil.Gracias a esta nueva […]
Categorías: PDA / PPC

Los usuarios españoles realizaron compras transfronterizos a 237 países en 2013

Canal PDA - Jue, 23/10/2014 - 15:45
eBay, la plataforma global de compraventa, ha realizado un análisis sobre los hábitos de consumo de los compradores españoles, quienes cada vez más apuestan por el comercio transfronterizo a la hora de adquirir aquellos artículos que necesitan o desean. Uno de los datos más significativos extraídos del análisis es que en 2013 los consumidores españoles […]
Categorías: PDA / PPC

12 motivos para comprarle un Chromecast a tu televisor

Canal PDA - Jue, 23/10/2014 - 08:50
Cuando Google sacó al mercado hace unos meses el Chromecast, un adaptador de 35 euros que transforma cualquier televisor con entrada HDMI en televisor conectado, permitiendo enviar a la pantalla grande lo que estamos viendo en el teléfono o en la tableta, su utilidad estaba prácticamente limitada a los servicios propios de Google, como los […]
Categorías: PDA / PPC

12 motivos para comprarle un Chromecast a tu televisor

Canal PDA - Jue, 23/10/2014 - 08:38
Cuando Google sacó al mercado hace unos meses el Chromecast, un adaptador de 35 euros que transforma cualquier televisor con entrada HDMI en televisor conectado, permitiendo enviar a la pantalla grande lo que estamos viendo en el teléfono o en la tableta, su utilidad estaba prácticamente limitada a los servicios propios de Google, como los […]
Categorías: PDA / PPC

Diversas vulnerabilidades en PHP

Hispasec - Mié, 22/10/2014 - 14:15
Recientemente el equipo de desarrollo de PHP ha publicado actualizaciones para las ramas 5.6, 5.5 y 5.4 de PHP para solucionar tres vulnerabilidades que pueden ser aprovechadas para provocar denegaciones de servicio e incluso comprometer los sistemas afectados.
Se ha solucionado una vulnerabilidad, con CVE-2014-3669, de desbordamiento de enteros en la función "unserialize()"que podría dar lugar a una denegación de servicio. Este problema solo afecta a instalaciones sobre 32 bits. Otra vulnerabilidad de corrupción de memoria, con CVE-2014-3670, en "exif_thumbnail()" que podría permitir la ejecución de código arbitrario si un usuario abre una imagen jpeg específicamente creada. Por último, un desbordamiento de búfer en la función "mkgmtime()" (CVE-2014-3668).
Se recomienda actualizar cuanto antes a las nuevas versiones 5.6.2, 5.5.18 y 5.4.34 desde http://www.php.net/downloads.php
Más información:
PHP 5 ChangeLoghttp://php.net/ChangeLog-5.php


Antonio Roperoantonior@hispasec.comTwitter: @aropero
Categorías: Seguridad

Vulnerabilidad 0-day en Microsoft OLE

Hispasec - Mar, 21/10/2014 - 19:42
Microsoft ha alertado de la existencia de una vulnerabilidad 0-day en todas las versiones compatibles de Microsoft Windows (excepto Windows Server 2003). La vulnerabilidad podría permitir la ejecución remota de código si un usuario abre un archivo de Microsoft Office especialmente diseñado que contenga un objeto OLE.
Según el aviso de Microsoft la vulnerabilidad, con CVE-2014-6352, está siendo explotada en ataques dirigidos a través de archivos PowerPoint. Aunque en general el problema reside en el tratamiento de archivos Office específicamente creados con objetos OLE.
Por otra parte, todo indica que en los ataques observados se muestra la solicitud de consentimiento del UAC (User Account Control). En función de los privilegios del usuario, se le pedirá consentimiento para realizar la acción o la petición de contraseña para elevar privilegios. El UAC está active por defecto en Vista y todas las nuevas versiones de Windows.
Hasta la publicación de la solución definitiva, que se distribuirá a través de su ciclo habitual de boletines mensuales o en un boletín fuera de ciclo, Microsoft ha publicado una corrección temporal en forma de "Fix it" que bloquea el ataque, bautizada como "OLE packager Shim Workaround". Este "Fix it" está disponible para Microsoft PowerPoint en sistemas Windows 32-bit y x64, a excepción de ediciones de PowerPoint 64-bit es sistemas Windows 8 y Windows 8.1 basados en x64. Hay que señalar que este parche no corrige la vulnerabilidad sino que bloquea los posibles ataques que se han encontrado activos.
Como otras contramedidas se incluyen evitar la ejecución de archivos PowerPoint provenientes de fuentes desconocidas. Microsoft recomienda la instalación de EMET 5.0 (Enhanced Mitigation Experience Toolkit) y activar "Attack Surface Reduction". Esta herramienta combate las técnicas de evasión de DEP y ASLR y otros métodos de "exploiting" conocidos. EMET 5.0 tiene soporte oficial de Microsoft. EMET es un programa de Microsoft gratuito, (solo disponible en lenguaje ingles) sencillo de manejar y de gran utilidad. En el aviso de seguridad de Microsoft se explican detalladamente los pasos para su adecuada configuración. En el aviso de Microsoft se incluye un archivo de configuración adicional para EMET para la protección contra este ataque.
Más información:
Microsoft Security Advisory 3010060Vulnerability in Microsoft OLE Could Allow Remote Code Executionhttps://technet.microsoft.com/library/security/3010060
Microsoft security advisory: Vulnerability in Microsoft OLE could allow remote code executionhttps://support.microsoft.com/kb/3010060
una-al-dia (01/08/2014) Microsoft publica EMET 5.0http://unaaldia.hispasec.com/2014/08/microsoft-publica-emet-50.html

Antonio Roperoantonior@hispasec.comTwitter: @aropero


Categorías: Seguridad

Microsoft prepara el lanzamiento de un reloj inteligente

Canal PDA - Mar, 21/10/2014 - 13:31
Microsoft lanzará su esperado reloj inteligente a lo largo de las próximas semanas, según Forbes. El dispositivo tendrá muchas de las prestaciones habituales en los relojes inteligentes y no sólo sincronizará con los smartphones de la plataforma Windows Phone de Microsoft, sino también con los basados en Android e iOS. Pero una de sus características […]
Categorías: PDA / PPC

El aumento de la publicidad móvil perjudica los resultados trimestrales de Google

Canal PDA - Mar, 21/10/2014 - 13:06
Google afirma que el número de clics en anuncios durante el tercer trimestre aumentó un 17% respecto al mismo periodo de 2013, si bien el precio de dichos anuncios -el denominado CPC, coste medio por clic- disminuyó un 2%, reflejando el mayor peso de la publicidad en teléfonos móviles. En realidad, el número de clics […]
Categorías: PDA / PPC

En 2020 habrá 4,3 dispositivos conectados por persona

Canal PDA - Mar, 21/10/2014 - 12:49
A finales de año se estima que habrá en el mundo unos 12.000 millones de dispositivos conectados a Internet. Ello equivale a un promedio de 1,7 dispositivos por cada habitante del planeta. Strategy Analytics pronostica que la cifra se elevará hasta los 33.000 millones de dispositivos en 2020, cuando el número de conexiones por persona […]
Categorías: PDA / PPC

La actualización 8.1 de Apple iOS soluciona 5 vulnerabilidades

Hispasec - Lun, 20/10/2014 - 19:22
Apple ha liberado la versión 8.1 de su sistema operativo para móviles iOS. Esta versión, además de incluir nuevas funcionalidades y mejoras, contiene cinco correcciones a vulnerabilidades de diversa índole.
Tras los problemas iniciales con iOS y la publicación de las versiones 8.0.1 y 8.0.2 de iOS, dos meses después de la publicación de iOS 8 llega la versión 8.1. Con múltiples funciones nuevas, mejoras y correcciones. Además se han solucionado cinco vulnerabilidades.
Una vulnerabilidad podría permitir a un dispositivo de entrada Bluetooth malicioso establecer una conexión suplantando a un dispositivo legítimo (CVE-2014-4428). Otro problema, con CVE-2014-4448, residía en que archivos transferidos al dispositivo podían grabarse con insuficiente protección criptográfica.
Por otra parte, una vulnerabilidad en la validación de certificados TLS un atacante en una posición privilegiada en la red podría acceder a información sensible en el acceso de datos de clientes iCloud (CVE-2014-4449). Otra vulnerabilidad, con CVE-2014-4450, podría permitir a QuickType aprender las credenciales del usuario. Por último, también se incluye la corrección para la vulnerabilidad en SSL, anunciada recientemente y conocida como Poodle (CVE-2014-3566).
Esta nueva versión está disponible para los dispositivos Apple iPhone 4s y posteriores, iPad 2 y posteriores e iPod a partir de 5ª generación. La actualización está disponible a través de iTunes o del propio dispositivo (en Ajustes/General/Actualización de software).
Más información:
About the security content of iOS 8.1http://support.apple.com/kb/HT6541
iOS 8.1http://support.apple.com/kb/DL1758?
una-al-dia (28/09/2014) Apple publica iOS 8.0.2 para solucionar diversos problemashttp://unaaldia.hispasec.com/2014/09/apple-publica-ios-802-para-solucionar.html
una-al-dia (15/10/2014) SSL tocado y hundidohttp://unaaldia.hispasec.com/2014/10/ssl-tocado-y-hundido.html

Antonio Roperoantonior@hispasec.com
Twitter: @aropero
Categorías: Seguridad

La telefonía móvil sumó 65.936 nuevas líneas en agosto


Canal PDA - Lun, 20/10/2014 - 11:59
La telefonía móvil ha sumado en España en agosto 65.936 nuevas líneas, según se refleja en la última Nota Mensual publicada por la CNMC. El aumento en las líneas de pospago (110.062) ha logrado compensar la caída en las líneas de prepago (-44.126).El parque de líneas móviles superó los 50,8 millones de líneas, un 1,4% […]
Categorías: PDA / PPC

La Generalitat de Catalunya utiliza la cartografía de TomTom para mejorar la movilidad del Cuerpo de Bomberos

Canal PDA - Lun, 20/10/2014 - 10:34
El Cuerpo de Bomberos de la Generalitat de Catalunya está utilizando la cartografía de TomTom para el cálculo del tiempo de llegada de los vehículos asignados al lugar de un siniestro.Los datos de TomTom, junto con la aplicación TomTom Logistics, permiten calcular tiempos de viaje y tiempos estimados de llegada. El sistema, además, es capaz […]
Categorías: PDA / PPC

Descubiertas vulnerabilidades en Panasonic Network Camera

Hispasec - Dom, 19/10/2014 - 18:52
Se han descubierto dos vulnerabilidades en Panasonic Network Camera View y Recorder, reportadas por Ariele Caltabiano (kimiya) y Andrea Micalizzi (rgod) respectivamente. Estas vulnerabilidades permitirían a atacantes remotos ejecutar código arbitrario en el sistema vulnerable.
Panasonic Network Camera View y Recorder permiten al usuario grabar y reproducir en su PC cualquier imagen con sonido a través de su cámara de red conectada con LAN o internet. Soporta formatos MPEG-4 y Motion JPEG, además de la norma H.264 que proporciona compresiones de vídeo de alta calidad.
La primera vulnerabilidad, con identificador CVE-2014-8755, se debe a un problema en la capacidad para anular una dirección arbitraria en la memoria en el método 'GetImageDataPrint' del control ActiveX WebVideoCam. Dicho error podría ser aprovechado por un atacante remoto para ejecutar código arbitrario a través de una página web o un archivo, especialmente manipulados.
La segunda vulnerabilidad, con identificador CVE-2014-8756, se debe a que el método 'GetVOLHeader' puede ser usado para escribir bytes nulos en direcciones arbitrarias de memoria. Esto permite que un atacante remoto pueda ejecutar código arbitrario a través de una página web o bien un archivo, especialmente manipulados.
Las vulnerabilidades se han reportado en versiones Panasonic Network Camera View 3, 4 y Panasonic Network Camera Recorder anteriores a 4.04R03. Se recomienda actualizar a versiones superiores.http://security.panasonic.com/pss/security/library/howto_update_NCV.htmlhttp://panasonic.net/pcc/cgi-bin/products/netwkcam/download_us/tbookmarka_m.cgi?m=%20&mm=2010073014092324
Más información:
Panasonic Network Camerahttp://panasonic.net/pcc/support/netwkcam/


Juan Sánchez
jasanchez@hispasec.com
Categorías: Seguridad

Oracle corrige 154 vulnerabilidades en su actualización de seguridad de octubre

Hispasec - Sáb, 18/10/2014 - 23:30
Siguiendo su ritmo de publicación trimestral de actualizaciones, Oracle publica suboletín de seguridad de octubre. Contiene parches para 154 vulnerabilidades diferentes en cientos de productos pertenecientes a diferentes familias, que van desde el popular gestor de base de datos Oracle Database hasta Solaris, Java o MySQL.
Los fallos se dan en varios componentes de los productos:

  • Oracle Database 11g Release 1, versión 11.1.0.7
  • Oracle Database 11g Release 2, versiones 11.2.0.3, 11.2.0.4
  • Oracle Database 12c Release 1, versiones 12.1.0.1, 12.1.0.2
  • Oracle Application Express, versiones anteriores a 4.2.6
  • Oracle Fusion Middleware 11g Release 1, versiones 11.1.1.5, 11.1.1.7
  • Oracle Fusion Middleware 11g Release 2, versiones 11.1.2.1, 11.1.2.2, 11.1.2.4
  • Oracle Fusion Middleware 12c, versiones 12.1.1.0, 12.1.2.0, 12.1.3.0
  • Oracle Fusion Applications, versiones 11.1.2 hasta 11.1.8
  • Oracle Access Manager, versiones 11.1.1.5, 11.1.1.7, 11.1.2.1, 11.1.2.2
  • Oracle Adaptive Access Manager, versiones 11.1.1.5, 11.1.1.7, 11.1.2.1, 11.1.2.2
  • Oracle Endeca Information Discovery Studio versiones 2.2.2, 2.3, 2.4, 3.0, 3.1
  • Oracle Enterprise Data Quality versiones 8.1.2, 9.0.11
  • Oracle Identity Manager, versiones 11.1.1.5, 11.1.1.7, 11.1.2.1, 11.1.2.2
  • Oracle JDeveloper, versiones 10.1.3.5, 11.1.1.7, 11.1.2.4, 12.1.2.0, 12.1.3.0
  • Oracle OpenSSO version 3.0-04
  • Oracle WebLogic Server, versiones 10.0.2, 10.3.6, 12.1.1, 12.1.2, 12.1.3
  • Application Performance Management, versiones anteriores a 12.1.0.6.2
  • Enterprise Manager for  Oracle Database Releases 10g, 11g, 12c
  • Oracle E-Business Suite Release 11i version 11.5.10.2
  • Oracle E-Business Suite Release 12 versiones 12.0.4, 12.0.6, 12.1.1, 12.1.2, 12.1.3, 12.2.2, 12.2.3, 12.2.4
  • Oracle Agile PLM, versiones 9.3.1.2, 9.3.3
  • Oracle Transportation Management, versiones 6.1, 6.2, 6.3.0 hasta 6.3.5
  • Oracle PeopleSoft Enterprise HRMS, version 9.2
  • Oracle PeopleSoft Enterprise PeopleTools, versiones 8.52, 8.53, 8.54
  • Oracle JD Edwards EnterpriseOne Tools, version 8.98
  • Oracle Communications MetaSolv Solution, versiones MetaSolv Solution: 6.2.1.0.0, LSR: 9.4.0, 10.1.0, ASR: 49.0.0
  • Oracle Communications Session Border Controller, version SCX640m5
  • Oracle Retail Allocation, versiones 10.0, 11.0, 12.0, 13.0, 13.1, 13.2
  • Oracle Retail Clearance Optimization Engine, versiones 13.3, 13.4, 14.0
  • Oracle Retail Invoice Matching, versiones 11.0, 12.0, 12.0 IN, 12.1, 13.0, 13.1, 13.2, 14.0
  • Oracle Retail Markdown Optimization, versiones 12.0, 13.0, 13.1, 13.2, 13.4
  • Oracle Health Sciences Empirica Inspections, versiones 1.0.1.0 y anteriores
  • Oracle Health Sciences Empirica Signal, versiones 7.3.3.3 y anteriores
  • Oracle Health Sciences Empirica Study, versiones 3.1.2.0 y anteriores
  • Oracle Primavera Contract Management, versiones 13.1, 14.0
  • Oracle Primavera P6 Enterprise Project Portfolio Management, versiones 7.0, 8.1, 8.2, 8.3
  • Oracle JavaFX, versión 2.2.65
  • Oracle Java SE, versiones 5.0u71, 6u81, 7u67, 8u20
  • Oracle Java SE Embedded, versión 7u60
  • Oracle JRockit, versiones R27.8.3, R28.3.3
  • Oracle Fujitsu server, versiones M10-1, M10-4, M10-4S
  • Oracle Solaris, versiones 10, 11
  • Oracle Secure Global Desktop, versiones 4.63, 4.71, 5.0, 5.1
  • Oracle VM VirtualBox, versiones anteriores a 4.1.34, 4.2.26, 4.3.14
  • Oracle MySQL Server, versiones 5.5.39 y anteriores, 5.6.20 y anteriores

A continuación ofrecemos una relación de productos y el número de vulnerabilidades corregidas: 
  • 31 nuevas vulnerabilidades corregidas en Oracle Database Server, dos de ellas explotables de forma remota sin autenticación. Afecta a los componentes JPublisher, Java VM, SQLJ, Application Express, JDBC y Core RDBMS.
         
  • Otras 18 vulnerabilidades afectan a Oracle Fusion Middleware. 14 de ellas podrían ser explotadas por un atacante remoto sin autenticar. Los componentes afectados son: Oracle Adaptive Access Manager, Oracle Enterprise Data Quality, Oracle Identity Manager, Oracle OpenSSO, Oracle Endeca, Information Discovery Studio, Oracle WebLogic Server, Oracle Access Manager y Oracle JDeveloper..
        
  • Esta actualización contiene dos nuevas actualizaciones de seguridad para Oracle Enterprise Manager Grid Control por vulnerabilidades no explotables de forma remota sin autenticación.
         
  • Dentro de Oracle Applications, 10 parches son para Oracle E-Business Suite, cinco parches son para Oracle Supply Chain Products Suite, cinco para productos Oracle PeopleSoft y uno para productos Oracle JD Edwards.
         
  • Igualmente dentro de Oracle Industry Applications se incluyen dos nuevos parches para Oracle Communications Applications, cuatro nuevos parches para Oracle Retail Applications y tres para Oracle Health Sciences Applications.
         
  • Dos nuevas actualizaciones de seguridad para Oracle Primavera Products Suite.
         
  • En lo referente a Oracle Java SE se incluyen 25 nuevos parches de seguridad. 22 de ellas podrían ser explotadas por un atacante remoto sin autenticar.
         
  • 15 de las vulnerabilidades afectan a a la Suite de Productos Sun, 14 de ellas a Solaris (todas afectan a la versión 11 y dos de ellas también afectan a la 10).
        
  • Siete nuevas actualizaciones afectan a Oracle Virtualization.
        
  • 24 nuevas vulnerabilidades afectan a MySQL Server, Nueve de ellas explotables de forma remota sin autenticación.


Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial en: Oracle Critical Patch Update Advisory - October 2014http://www.oracle.com/technetwork/topics/security/cpuoct2014-1972960.html
Más información:
Oracle Critical Patch Update Advisory - October 2014http://www.oracle.com/technetwork/topics/security/cpuoct2014-1972960.html

Antonio Roperoantonior@hispasec.comTwitter: @aropero
Categorías: Seguridad

Apple renueva la gama iPad y introduce discretamente una tarjeta SIM propia

Canal PDA - Sáb, 18/10/2014 - 12:12
Apple ha hecho pública la esperada renovación de sus iPad, consistente en aplicar mejoras incrementales a la gama de tabletas de la firma y resituar los modelos existentes para disponer de opciones en una gama más amplia de precios, incluido un nuevo punto de entrada. Pero una característica que ni siquiera fue mencionada durante el […]
Categorías: PDA / PPC
Distribuir contenido