Noticias

Nuevas vulnerabilidades en OpenSSL

Hispasec - Jue, 07/08/2014 - 23:00
Desde que salió a la luz la vulnerabilidad conocida como Heartbleed, OpenSSL parece que está bajo la lupa y nuevamente se dan a conocer más problemas que afectan a la popular librería de cifrado. En esta ocasión el proyecto OpenSSL acaba depublicar un boletín advirtiendo de la corrección de nueve nuevas vulnerabilidades, que afectan a las tres principales ramas del proyecto, aunque no son tan graves como las últimas anunciadas. 
El primero de los problemas (CVE-2014-3508) reside en OBJ_obj2txt que puede provocar una fuga de información con determinadas funciones de impresión. Un segundo problema (CVE-2014-5139)  afecta a clientes OpenSSL 1.0.1 SSL/TLS y podría permitir a un servidor malicioso provocar denegaciones de servicio por una dereferencia de puntero nulo. También se presenta una condición de carrera en ssl_parse_serverhello_tlsext (CVE-2014-3509).
Otras vulnerabilidades de denegación de servicio se deben a una doble liberación de memoria al procesar paquetes DTLS (CVE-2014-3505), por un consumo de grandes cantidades de memoria mientras se procesan mensajes de negociación DTLS(CVE-2014-3506), por una fuga de memoria por el tratamiento de paquetes DTLS con fragmentos de tamaño 0 (CVE-2014-3507) y por una dereferencia de puntero nulo en clientes OpenSSL DTLS con suites de cifrado EC(DH) anónimo (CVE-2014-3510).
Otro problema, se da cuando el mensaje ClientHello está muy fragmentado, lo que puede obligar a servidores OpenSSL 1.0.1 SSL/TLS a negociar TLS 1.0 en vez de versiones del protocolo más modernas (CVE-2014-3511).
Por último, un cliente o servidor malicioso podría enviar parámetros SRP no válidos y sobreescribir un búfer interno. Solo se ven afectadas las aplicaciones configuradas explícitamente para SRP.
Los problemas afectan a las versiones OpenSSL 0.9.8, 1.0.0 y 1.0.1. Se han publicado las versiones OpenSLL 0.9.8zb, 1.0.0n y 1.0.1i que solucionan los problemas descritos y pueden descargarse desde http://www.openssl.org/source/
Más información:
OpenSSL Security Advisory [6 Aug 2014]http://www.openssl.org/news/secadv_20140806.txt
una-al-dia (05/06/2014) OpenSSL corrige nuevas vulnerabilidades graveshttp://unaaldia.hispasec.com/2014/06/openssl-corrige-nuevas-vulnerabilidades.html
una-al-dia (08/04/2014) OpenSSL afectada por una vulnerabilidad apodada Heartbleedhttp://unaaldia.hispasec.com/2014/04/openssl-afectada-por-una-vulnerabilidad.html



Antonio Roperoantonior@hispasec.com
Twitter: @aropero
Categorías: Seguridad

En vacaciones, toma medidas

Sinologic - Jue, 07/08/2014 - 12:32

Como todos los meses de Agosto, vuelven las vacaciones para muchos de nosotros. Las empresas cierran una semana, quince días, hay quien cierra incluso todo el mes. Para muchas otras empresas, Agosto sirve para (como se suele decir) hacer el agosto y no cierran, prefieren dejarlo para otro mes con menos actividad, pero sea como fuere, estos meses suelen ser días para pasarlos en la playa, en la piscina, tomar refrescos, un poco el sol y descansar. No obstante, al otro lado del mundo, existen personas que no descansan y que se pasan días enteros probando usuarios y contraseñas para acceder a tu centralita y poder hacer llamadas durante ese tiempo que no estés disponible.

No nos vamos a poner paranoicos, son fechas para relajarse y descansar, no para volver patas arriba toda la oficina buscando problemas imaginarios, pero sí es importante tomar medidas básicas antes de irnos de vacaciones para poder volver con las pilas puestas y con tranquilidad, en lugar de volver con un susto por lo que ha ocurrido tras las vacaciones.

Por esta razón, te damos los siguientes consejos.

Haga copia de seguridad de todo lo realmente importante.

Imagínate que vinieran a robar y se llevaran tu disco duro (o tu ordenador entero) ¿qué no te gustaría perder? ¿qué sería realmente terrorífico que desapareciera? Pues de eso mismo hay que hacer copia en algún medio extraible (un disco duro USB, discos DVD) y llevártelo fuera de la oficina o en algún lugar lejos de las manos de algún ladrón. Estos años se ha incrementado el número de robos en oficinas y empresas, tanto los fines de semana como en vacaciones, por lo que hay que prepararse por si acaso.

Apaga los equipos que no utilices

Si nadie lo va a utilizar, ¿para qué sirve tener encendido un servidor? Salvo si trabajas en la compañía eléctrica, no es para nada interesante dejar encendido 15 días un ordenador si no lo vas a utilizar y el “por si acaso” no tiene sentido si te imaginas que dentro de poco estarás tumbado tomando el sol con un refresco en la mano, así que ¿para qué vas a dejar encendido algún equipo? Apaga todo lo que no sea estrictamente necesario. El ventilador no se ensuciará y todo estará listo para arrancar cuando vuelvas.

Deshabilita las llamadas salientes de la centralita

El sistema de comunicaciones que estemos utilizando seguramente tenga que quedarse encendido, para dar una locución indicando que estamos de vacaciones, pero eso no significa que no tengamos que hacer nada. Lo ideal sería deshabilitar las llamadas salientes excepto las de emergencias. En el tiempo que vamos a estar fuera y la empresa va a estar cerrada, a un bot le da tiempo a probar todas las combinaciones del mundo para poder registrarse en tu centralita y hacer llamadas como si no hubiera mañana. Por lo tanto, si no puedes apagar la centralita, al menos, deshabilita las llamadas salientes. Deshabilita los usuarios SIP, IAX, Manager, etc… instala algún tipo de aplicación de protección como SIPCheck2 o Fail2ban y quédate tranquilo.

No tomes riesgos innecesarios

Actualizar las versiones y el sistema operativo es algo que hay que hacer cada cierto tiempo, pero NO el día antes de irte de vacaciones. Si ha podido esperar varios meses, puede esperar unos días más. Cualquier BOFH sabe que los viernes y el día antes de vacaciones está prohibido hacer ciertas cosas: instalar, actualizar, modificar la configuración de un cliente, y cosas así. ¿qué ocurre si la instalación tiene algún problema importante? ¿y si el cliente se queda sin servicio por la última configuración que le has hecho? Exacto… adiós al relax. Por ese motivo, hay que evitar tomar ciertos riesgos innecesarios y es mejor posponerlo para la vuelta, con la mente mucho más lúcida y relajada

No mires el correo del trabajo

El cerebro funciona diferente cuando estamos en el trabajo y cuando salimos de él ¿el motivo? el contexto. Por esta razón, si realmente quieres descansar, evita lo posible acercarte al correo de la empresa cuando no estés trabajando. Si hubiera algo realmente importante y urgente, ¿acaso no te llamarán directamente al teléfono en lugar de enviarte un email? Seguramente todo pueda esperar a que regreses, incluso, más tiempo. Hay quién, no responde a los correos hasta una semana después de regresar de vacaciones, esto alivia tensiones, te da tiempo a analizar lo que realmente es importante y lo que no.

En definitiva, preocúpate de lo que realmente importa, que es descansar para recargar pilas para la vuelta.

Y si eres de los que no tienen vacaciones, no te desanimes. Estos consejos son igualmente válidos cualquier mes.

Categorías: Asterisk

Diversas vulnerabilidades en IBM WebSphere Portal

Hispasec - Mié, 06/08/2014 - 23:30
Se han anunciado cuatro vulnerabilidades en IBM WebSphere Portal que podrían permitir a un atacante remoto construir ataques de cross-site scripting, URLs de redirección y obtener información sensible de los sistemas afectados. 
IBM WebSphere Portal ofrece una aplicación compuesta o infraestructura de "mashup" empresarial y las herramientas para crear soluciones basadas en SOA (Arquitectura Orientada a Servicios). WebSphere Portal contiene una amplia variedad de tecnologías destinadas a desarrollar y mantener portales B2C, B2B y B2E.
Dos vulnerabilidades (con CVE-2014-0953 y CVE-2014-3102) de cross-site scripting debidas a que no se tratan adecuadamente las entradas antes de ofrecer los resultados al usuario. Esto podría permitir a un atacante lograr la ejecución de código script arbitrario en el navegador del usuario, en el contexto del sitio afectado.
Un tercer problema (con CVE-2014-4746) reside en que WebSphere Portal usa diferentes códigos de error que podrían permitir a un atacante remoto identificar los sistemas detrás del firewall.
Por ultimo, WebSphere Portal podría facilitar la construcción de ataques de phishing al permitir redirecciones abiertas. Un atacante podría explotar esta vulnerabilidad mediante una URL específicamente creada para redireccionar a la víctima a sitios web arbitrarios.
Cada problema afecta a diferentes versiones, aunque en general se ven afectadas las versiones 8.5, 8, 7 y 6. IBM ha publicado diferentes correcciones para evitar estos problemas. Dada la diversidad de versiones afectadas y parches se recomienda consultar el aviso http://www-304.ibm.com/support/docview.wss?uid=swg21680230
Más información:
Security Bulletin: Fixes available for Security Vulnerabilities in IBM WebSphere Portal (Multiple CVEs)http://www-304.ibm.com/support/docview.wss?uid=swg21680230



Antonio Roperoantonior@hispasec.comTwitter: @aropero

Categorías: Seguridad

Robo masivo de datos de usuarios por parte de un grupo de hackers.

Todo Pocket PC - Mié, 06/08/2014 - 11:55
1.200 millones de nombres de usuario y contraseñas han sido sustraidas ilícitamente según publica New York Times. Poco se sabe de los sitios web afectados, que según la fuente superan los 420.000, y que no han sido revelados respetando un acuerdo de confidencialidad con una empresa de seguridad que es la que ha dado con el robo masivo de datos.

Se sabe que este ataque ha sido llevado a cabo por un grupo de hackers ruso y se han robado cuentas de usuario y contraseñas,
Categorías: PDA / PPC

China prohíbe a sus agencias del gobierno comprar productos Apple

Todo Pocket PC - Mié, 06/08/2014 - 11:34
China ha prohibido a sus agencias gubernamentales adquirir productos de hardware de Apple alegando problemas de seguridad, según informa Bloomber News citando a funcionarios chinos.

Entre el listado de dispositivos encontramos tabletas iPad, MacBook e iPhones, dispositivos que según las autoridades chinas excluyen buscando limitar tecnologías estadounidenses, probablemente después de conocer las revelaciones de Snowden y la trama de espionaje masivo.
Categorías: PDA / PPC

El Road Trip, una forma vintage de viajar que se vuelve “Tech”

Canal PDA - Mié, 06/08/2014 - 11:11
Evidentemente es imposible acceder a muchos lugares del mundo sin transporte aéreo o marítimo, pero no es imprescindible ir al otro lado del globo para deleitarse con el viaje de tus sueños. El transporte por carretera, es el gran olvidado pero a la vez el preferido por los españoles. Según los datos del Instituto de […]
Categorías: PDA / PPC

Surface Pro 3 llegará al mercado español el próximo 28 de agosto

Canal PDA - Mié, 06/08/2014 - 10:14
Microsoft ha anunciado hoy la fecha de disponibilidad de la última generación de Surface en 25 nuevos mercados. El próximo 28 de agosto Surface Pro 3 llegará a los puntos de venta y distribuidores españoles. Además, los usuarios ya pueden realizar su reserva de Surface Pro 3 en cualquiera de sus versiones, con procesadores Intel […]
Categorías: PDA / PPC

Libon lanza un pack de minutos recargables para llamar a fijos y móviles en España y en el mundo entero con Libon Out

Canal PDA - Mié, 06/08/2014 - 10:07
¿Te has ido de vacaciones a un lugar paradisíaco y te mueres de ganas por contar todas tus aventuras a tus amigos? ¿Estás viviendo lejos de tus familiares y te gustaría poder hablar con ellos a menudo? Libon te lo pone muy fácil, porque a partir de hoy ya es posible comprar el pack de […]
Categorías: PDA / PPC

Samsung presenta sus nuevos discos ópticos para usuarios móviles

Canal PDA - Mié, 06/08/2014 - 09:59
Samsung Electronics Co. Ltd., líder en tecnologías de convergencia digital, ha presentado sus nuevas unidades de discos ópticos (ODDs) SE-218GN y SE -208GB que destacan por un diseño elegante y ultra delgado, pensado principalmente para usuarios móviles. Los nuevos discos también incorporan la tecnología más avanzada en almacenamiento y reproducción de contenido, como Smart Power […]
Categorías: PDA / PPC

La nueva aplicación de Yahoo Mail, ahora en iPhone, iPad y, muy pronto, teléfonos Android

Canal PDA - Mié, 06/08/2014 - 09:49
A lo largo del día utilizamos los móviles para muchas cosas: consultar el correo electrónico, buscar y leer noticias, ponernos al día de los resultados deportivos o consultar el pronóstico del tiempo, entre otros. Hoy presentamos la última aplicación de Yahoo Mail para iPhone, iPad y teléfonos Android, gracias a la cual tendrás la información […]
Categorías: PDA / PPC

Vulnerabilidad de ejecución de código arbitrario en Samba

Hispasec - Mar, 05/08/2014 - 23:30
Se ha anunciado una vulnerabilidad en todas las versiones de Samba 4 que podría permitir a un atacante remoto ejecutar código malicioso.
Samba es un software gratuito que permite acceder y utilizar archivos, impresoras y otros recursos compartidos en una intranet o en Internet. Está soportado por una gran variedad de sistemas operativos, como Linux, openVMS y OS/2. Esta basado en los protocolos SMB (Server Message Block) y CIFS (Common Internet File System).
La vulnerabilidad con CVE-2014-3560 reside en un desbordamiento de búfer en el demonio del servicio de nombres NetBIOS nmbd. A través del envío de paquetes especialmente manipulados un atacante remoto podría aprovecharlo para lograr la ejecución de código arbitrario.
Esta vulnerabilidad afecta a todas las versiones de Samba 4.x.x. Se recomienda actualizar a las versiones 4.0.21 o 4.1.11 que solucionan este problema. La actualización está disponible desde:http://www.samba.org/samba/security/Como contramedida también pude evitarse la ejecución de nmbd.
Más información:
Remote code execution in nmbdhttp://www.samba.org/samba/security/CVE-2014-3560



Antonio Roperoantonior@hispasec.comTwitter: @aropero


Categorías: Seguridad

Nuevo iPhone 6: ¿el 9, el 10 o el 12 de septiembre?

Canal PDA - Mar, 05/08/2014 - 21:26
Como cada año, han comenzado las especulaciones sobre la fecha en que Apple presentará el nuevo modelo de iPhone. Una ‘fuente generalmente bien informada’ asegura que será el martes 9 de septiembre, pero el historial indica que podría ser tres días después. Hagamos un poco de vaticanología de la manzana. John Paczkowski asegura en Re/code […]
Categorías: PDA / PPC

Macs con Intel: esto se acaba

Canal PDA - Mar, 05/08/2014 - 14:23
“No sé exactamente cuándo, pero antes o después, los Macs funcionarán con chips ARM diseñados por Apple”. Es una afirmación de Matt Richman en un artículo de 2011 en su blog titulado “Apple and ARM, Sitting in a Tree”. Richman explicaba por qué, tras el complicado -si bien finalmente exitoso- cambio de los chips PowerPC […]
Categorías: PDA / PPC

Tapit: G&D suministra una plataforma de alta seguridad de tarjetas SIM para la cartera digital en Suiza

Canal PDA - Mar, 05/08/2014 - 11:18
El operador de telefonía móvil suizo Swisscom apuesta por las tarjetas SIM de alta seguridad compatibles con NFC de Giesecke & Devrient (G&D) para ofrecer a sus clientes la posibilidad de pago con “Tapit”. Tapit es la cartera digital para smartphones utilizado en Suiza y la plataforma común para todos los operadores de telefonía móvil […]
Categorías: PDA / PPC

Telefónica presenta una oferta de compra por el operador brasileño GVT

Canal PDA - Mar, 05/08/2014 - 09:23
Telefónica S.A. y Telefónica Brasil han presentado a Vivendi una oferta para la integración entre Telefónica Brasil y Global Village Telecom, GVT, que incluye una contraprestación para Vivendi consistente en un importe en efectivo de 11.962 millones de reales brasileños, así como la entrega de acciones de nueva emisión representativas de un 12% del capital […]
Categorías: PDA / PPC

Ford Anuncia la primera conferencia del sector de la automoción para desarrolladores de aplicaciones

Canal PDA - Mar, 05/08/2014 - 09:12
Ford ha anunciado que organizará la primera conferencia del sector de la automoción para desarrolladores de aplicaciones el 8 de septiembre, dentro del programa de la Connected Car Expo que se celebrará en la Semana de la Super Movilidad (8 a 11 de septiembre), en el Centro Sands de Exposiciones y Convenciones de Las Vegas. […]
Categorías: PDA / PPC

holaMOBI crea una completa gama de seguros para móviles y tablets de la mano de la aseguradora alemana EWP

Canal PDA - Mar, 05/08/2014 - 09:00
Según datos de la compañía de telecomunicaciones holaMOBI, durante el último año y el primer semestre de 2014, la media del presupuesto para terminales vendidos en España superaba los 400 €. Más del 34% de los usuarios tienen un teléfono móvil de más de 600€ y el 58% de los usuarios entre Tablet y Teléfono […]
Categorías: PDA / PPC

Fintonic App:365 días, 200.000 descargas y la promesa de una esperada nueva versión

Canal PDA - Mar, 05/08/2014 - 08:51
Fintonic.com, la herramienta digital líder en gestión de finanzas personales, celebra el primer aniversario de su App móvil en iOS y medio año en Android, con más de 200.000 descargas en total y con el anuncio de estar terminando una nueva versión de su App desde su centro de operaciones de la calle Velázquez de […]
Categorías: PDA / PPC

Boletines de seguridad para Wireshark

Hispasec - Lun, 04/08/2014 - 23:30
Wireshark Foundation ha publicado boletines de seguridad que solucionan cinco vulnerabilidades en Wireshark. Afectan a la rama 1.10 (vesiones 1.10.0 a 1.10.8).
Wireshark es una aplicación de auditoría orientada al análisis de tráfico en redes muy popular que soporta una gran cantidad de protocolos y es de fácil manejo. Además Wireshark es software libre (sujeto a licencia GPL) y se encuentra disponible para la mayoría de sistemas operativos Unix y compatibles, así como Microsoft Windows.
Los boletines publicados corrigen errores relacionados con diversos disectores, que podrían ser aprovechados para provocar una denegación de servicio, bien por un excesivo consumo de recursos del sistema o causando que la aplicación deje de funcionar.
Se presentan a continuación los boletines, los disectores afectados y el identificador CVE asignado a cada uno de los fallos de seguridad:


Todas estas vulnerabilidades podrían ser explotadas a través de la inyección de paquetes manipulados en la red, o convenciendo a un usuario para que abra un fichero de captura de tráfico especialmente manipulado.
Se encuentran afectadas las versiones de la ramas 1.10 (versiones 1.10.0 a 1.10.8). La versión 1.10.9 corrige todas las vulnerabilidades expuestas y se encuentra disponible para su descarga desde la página oficial. https://www.wireshark.org/download.html
Más información:
wnpa-sec-2014-08 · Catapult DCT2000 and IrDA dissector crashhttp://www.wireshark.org/security/wnpa-sec-2014-08.html
wnpa-sec-2014-09 · GTP and GSM Management dissector crashhttp://www.wireshark.org/security/wnpa-sec-2014-09.html
wnpa-sec-2014-10 · RLC dissector crashhttp://www.wireshark.org/security/wnpa-sec-2014-10.html
wnpa-sec-2014-11 · ASN.1 BER dissector crashhttp://www.wireshark.org/security/wnpa-sec-2014-11.html



Antonio Roperoantonior@hispasec.comTwitter: @aropero

Categorías: Seguridad

Xiaomi ya vende más smartphones que nadie en China

Canal PDA - Lun, 04/08/2014 - 19:31
Ben Evans recordaba en su reciente artículo sobre la verdadera importancia de los smartphones que los 1.000 millones de dispositivos Android activos en el mundo de los que presumía Google hace unas semanas no incluyen al menos 400 millones más de terminales de marcas chinas que no utilizan el sistema operativo estándar -vinculado a los […]
Categorías: PDA / PPC
Distribuir contenido