Noticias

Denegación de servicio en Asterisk

Hispasec - Dom, 14/12/2014 - 00:30
Asterisk ha publicado un boletín de seguridad (AST-2014-019) para solucionar una vulnerabilidad que podría permitir a atacantes remotos provocar condiciones de denegación de servicio.
Asterisk es una implementación de una central telefónica (PBX) de código abierto. Como cualquier PBX, se pueden conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el exterior. Asterisk es ampliamente usado e incluye un gran número de interesantes características: buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. Además el software creado por Digium está disponible para plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows.
El problema reside en el tratamiento de datos WebSocket creados de específicamente con una longitud de carga útil igual a 0, que provoca un fallo en el módulo res_http_websocket y provoca cla caída del servicio. Este problema afecta a las ramas 11.x, 12.x y 13.x de Asterisk Open Source; así como a Certified Asterisk 11.6.
Como contramedida se recomienda desactivar el servidor http en caso de que no sea necesario. Se han publicado las versiones Asterisk Open Source 11.14.2, 12.7.2 y 13.0.2; y Certified Asterisk 11.6-cert9 que solucionan los problemas descritos. También existen parches individuales para solucionar cada una de las vulnerabilidades, disponibles a través del boletín publicado.
Más información:
Remote Crash Vulnerability in WebSocket Server http://downloads.asterisk.org/pub/security/AST-2014-019.html

Antonio Roperoantonior@hispasec.comTwitter: @aropero


Categorías: Seguridad

Microsoft retira actualización para Exchange 2010

Hispasec - Vie, 12/12/2014 - 23:00
Otra vez, y es la tercera en pocos meses. Microsoft ha eliminado uno de los últimos parches publicados dentro del conjunto de boletines de seguridad de diciembre publicado el pasado martes (del que ya efectuamos un resumen). En esta ocasión en concreto, los problemas son para los usuarios de Exchange 2010 tras la instalación de la actualización MS14-075. 
Microsoft ha retirado la actualización 2986475 para Exchange Server 2010 SP3 perteneciente al boletín MS14-075 del "Download Center". También se ha retirado Exchange Server 2010 SP3 Update Rollup 8 que además de otras correcciones y mejoras incluía la solución de las vulnerabilidades indicadas en el boletín MS14-075.
Según ha confirmado la propia Microsoft un problema en la actualización impide a Outlook conectar con Exchange. Además recomienda a todos los usuarios que hayan implementado la actualización volver a la versión anterior. Esta acción será necesaria con el fin de restaurar cualquier pérdida de conectividad de Outlook.
Este boletín estaba calificado como "importante" y solucionaba soluciona cuatro vulnerabilidades de elevación de privilegios en Microsoft Exchange Server. (CVE-2014-6319, CVE-2014-6325, CVE-2014-6326 y CVE-2014-6336). Las actualizaciones para Microsoft Exchange Server 2007 y 2013 no se ven afectadas por esta incidencia.
Curiosamente esta actualización fue una de las que dentro del conjunto de actualizaciones de noviembre sufrieron un retraso. Parece que el "tiempo extra" no fue suficiente.
Esta es la tercera ocasión en los últimos cinco meses que Microsoft se ve obligada a retirar alguno de sus parches por algún problema. En agosto fue una "pantalla azul de la muerte" tras la instalación del MS-045 en casos concretos con fuentes OTF (OpenType Font) instaladas en directorios no estándar. En septiembre los afectados fueron los usuarios de Lync 2010. En esta ocasión el problema parece mucho más obvio y que puede afectar a un mayor número de usuarios.
Dentro de unos días, tal y como ha ocurrido en las anteriores ocasiones Microsoft volverá a publicar la actualización con todos los problemas ya solucionados. Microsoft establece grandes controles antes de publicar un parche, resulta complejo evaluar una actualización en todas las posibles configuraciones, idiomas, versiones, etc. Pero parece ser que estos problemas se están haciendo más comunes de lo que cabría esperar. Esperamos, por la tranquilidad de todos, que no se vuelvan a repetir.
Más información:
una-al-dia (17/08/2014) Microsoft recomienda desinstalar la actualización MS14-045http://unaaldia.hispasec.com/2014/08/microsoft-recomienda-desinstalar-la.html
una-al-dia (15/09/2014) Nuevo problema en las actualizaciones de Microsofthttp://unaaldia.hispasec.com/2014/09/nuevo-problema-en-las-actualizaciones.html
una-al-dia (09/12/2014) Boletines de seguridad de Microsoft de diciembrehttp://unaaldia.hispasec.com/2014/12/boletines-de-seguridad-de-microsoft-de.html
Microsoft Security Bulletin MS14-075 - Important Vulnerabilities in Microsoft Exchange Server Could Allow Elevation of Privilege (3009712)https://technet.microsoft.com/library/security/MS14-075
Exchange releases: December 2014http://blogs.technet.com/b/exchange/archive/2014/12/09/exchange-releases-december-2014.aspx

Antonio Roperoantonior@hispasec.comTwitter: @aropero
Categorías: Seguridad

La Universitat de Barcelona i Telefónica creen la Càtedra UB-Telefónica Smart Cities

Canal PDA - Vie, 12/12/2014 - 14:19
La vicerectora de Relacions Institucionals i Cultura de la Universitat de Barcelona (UB), Lourdes Cirlot, i el director d’Administracions Públiques i Empreses de Telefónica a Catalunya, Enrique Santiago, van signar ahir un conveni de col·laboració per crear la Càtedra UB-Telefònica sobre ‘smart cities’.La Càtedra tindrà com objectius essencials la promoció d’un conjunt d’activitats de docència, […]
Categorías: PDA / PPC

Los logroñeses pueden acceder a los autobuses urbanos desde hoy con su smartphone Vodafone

Canal PDA - Vie, 12/12/2014 - 13:54
Los logroñeses ya pueden acceder a los autobuses urbanos con su Smartphone Vodafone gracias a la aplicación Vodafone Wallet que sustituye la tarjeta de transportes por una virtual en el móvil. A partir de hoy está disponible este servicio, gracias al trabajo realizado conjuntamente entre el ayuntamiento de Logroño, Indra, Transermobile y Vodafone España.La tarjeta […]
Categorías: PDA / PPC

Agio, la comodidad en el punto de mira

Canal PDA - Vie, 12/12/2014 - 13:49
Agio, lo último del fabricante italiano, es una gama de propuestas multifuncionales que ponen el punto de vista en la comodidad para ofrecer, con el diseño y la calidad icónicos de la compañía, soluciones a medida para nuestra vida digital.En Agio de Tucano encontrarás siempre la propuesta más idónea para disfrutar de tu vida digital […]
Categorías: PDA / PPC

El comercio electrónico en España crece un 27% hasta los 3.579 millones de euros en el primer trimestre de 2014

Canal PDA - Vie, 12/12/2014 - 13:16
La facturación total del comercio electrónico ha alcanzado los 3.579 millones de euros en el primer trimestre de 2014, un 27% más en tasa interanual, según se desprende del “Informe sobre el comercio electrónico en España a través de entidades de medios de pago (1er Trimestre 2014)”. El número de compras se ha incrementado un […]
Categorías: PDA / PPC

Droiders, primera empresa española en poner a disposición una app en la store oficial de Epson Moverio

Canal PDA - Vie, 12/12/2014 - 13:02
La pionera Droiders vuelve a situarse entre los primeros en el mercado de la innovación,esta vez siendo la primera empresa española que sube una aplicación al App Market oficialde Moverio, la página de oficial de aplicaciones para las smart glass Epson Moverio, en laque actualmente solo hay 40 empresas más.El videojuego, llamado Space Shooter, consiste […]
Categorías: PDA / PPC

Cisco ayuda a las organizaciones a convertir los datos en una ventaja competitiva para su negocio

Canal PDA - Vie, 12/12/2014 - 11:44
En el marco de su evento anual Global Editors Conference celebrado enSan Francisco (California), Cisco ha desvelado los pilares de su estrategia de Big Data y ha anunciado un completo porfolio de soluciones analíticas de datos.Diseñado para ayudar a las organizaciones a extraer valor de los datos generados por el creciente número de conexiones entre […]
Categorías: PDA / PPC

Surface Pro 3, pieza clave en la creación del videoclip 360º “Chasing Illusion”, de Anni B Sweet e Inés de León

Canal PDA - Vie, 12/12/2014 - 10:40
La cantante Anni B Sweet y la realizadora Inés de León han presentado hoy en exclusiva, en un encuentro íntimo en la Fnac Callao de Madrid, el videoclip del tema “Chasing Illusion”, single de su tercer álbum, que verá la luz en marzo de 2015.En esta ocasión ambas artistas han apostado por la realización de […]
Categorías: PDA / PPC

POODLE también afecta a algunas implementaciones de TLS

Hispasec - Jue, 11/12/2014 - 23:30
Hace apenas dos meses informábamos sobre POODLE la vulnerabilidad que parecía destinada a enterrar definitivamente al protocolo SSL. Ahora podemos comprobar como el mismo problema afecta también a diversas implementaciones de TLS.
En octubre se dio a conocer la vulnerabilidad POODLE ("Padding Oracle On Downgraded Legacy Encryption"), que basa su ataque sobre el modo CBC (Cifrado por bloques) lo que hace que este modo sea vulnerable a un ataque variante de Padding Oracle.
En aquel momento, se daba por enterrado SSL y se instaba a obligar al uso de TLS. Recomendábamos también el uso de la opción TLS_FALLBACK_SCSV (https://tools.ietf.org/html/draft-ietf-tls-downgrade-scsv-00), para evitar que se efectúe una renegociación hacia SSL.
POODLE contra TLS
Como un negro augurio, en aquel momento nos preguntábamos por la seguridad de TLS ("¿Y tú TLS, como andas de clavos?"). No se ha tardado mucho, tampoco ha hecho falta descubrir una nueva vulnerabilidad. Unos investigadores de Qualys han descubierto que Poodle también puede funcionar en algunas implementaciones de TLS, incluyendo la última (la 1.2).
El problema radica en que los bytes den relleno empleados en TLS, no dejan de ser un subconjunto del relleno empleado en SSLv3, por lo que técnicamente se podría emplear la misma función de decodificación en SSLv3 con TLS y seguiría funcionando correctamente. De esta forma no se comprobarían los bytes de relleno, pero no causaría ningún problema en el funcionamiento de TLS. Sin embargo, si se usa una función de decodificación SSLv3 con TLS el mismo ataque Poodle funciona incluso contra conexiones TLS. A esta vulnerabilidad se le ha asignado el CVE-2014-8730(http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8730)
Y esto es lo que se ha detectado, algunas implementaciones de TLS hacen uso de funciones decodificadoras SSLv3, por lo que Poodle sigue funcionando en estos sistemas. Ahora la diferencia está en que en vez de afectar a todas las implementaciones de SSLv3, solo afecta a un conjunto restringido de fabricantes. Qualys estima que un 10% de los servidores pueden estar afectados por un ataque Poodle contra TLS.
Por ahora, se ha confirmado que el problema se reproduce en los balanceadores de carga F5 (BIG-IP) y en dispositivos ADC de A10 Networks. El mayor problema reside que estos productos son empleados por un gran número de compañías y puede llegar a afectar a algunos de los sitios web más populares. Ambos fabricantes ya han publicado las actualizaciones necesarias para evitar este problema:Actualizaciones de F5 https://support.f5.com/kb/en-us/solutions/public/15000/800/sol15882.htmlActualizaciones de A10 networks https://www.a10networks.com/support-axseries/downloads/downloads.php
Más información:
Poodle Bites TLShttps://community.qualys.com/blogs/securitylabs/2014/12/08/poodle-bites-tls
The POODLE bites again (08 Dec 2014)https://www.imperialviolet.org/2014/12/08/poodleagain.html
una-al-dia (15/10/2014) SSL tocado y hundidohttp://unaaldia.hispasec.com/2014/10/ssl-tocado-y-hundido.html
#CVE-2014-8730published onDecember 8th,2014https://www.a10networks.com/support/advisories/A10-RapidResponse_CVE-2014-8730.pdf
Patches for the CVE-2014-3566 Poodle/SSL v3.0 vulnerabilityhttp://www.a10networks.com/support-axseries/downloads/downloads.php#CVE-2014-3566
sol15882: TLS1.x padding vulnerability CVE-2014-8730https://support.f5.com/kb/en-us/solutions/public/15000/800/sol15882.html
CVE-2014-8730 Padding issuehttps://devcentral.f5.com/articles/cve-2014-8730-padding-issue-8151

Antonio Roperoantonior@hispasec.com
Twitter: @aropero
Categorías: Seguridad

LG España refuerza su posición en la gama alta de todas sus categorías

Canal PDA - Jue, 11/12/2014 - 17:03
LG Electronics España despide 2014 con una posición más consolidada en el segmento premium del mercado de electrónica de consumo y acabará el año entre las tres primeras marcas en la mayoría de divisiones de negocio en las que compite.Dentro de los lanzamientos de modelos de alta gama que ha realizado la compañía en el […]
Categorías: PDA / PPC

Ya están disponibles las MSN apps para iOS, Android y dispositivos Amazon

Canal PDA - Jue, 11/12/2014 - 16:57
Microsoft ha anunciado la disponibilidad de las MSN apps en iOS, Android y los dispositivos de Amazon (Kindle y Fire Phone) en 56 mercados incluido España. Las MSN apps- Deportes, Viajes, Dinero, Noticias, Salud y Bienestar, Recetas y El Tiempo- son una apuesta actual que ofrece de forma personalizada todo lo que le interesa al […]
Categorías: PDA / PPC

Skype y las felicitaciones navideñas 2.0

Canal PDA - Jue, 11/12/2014 - 15:12
Este año la creatividad a la hora de preparar las felicitaciones navideñas no será un problema, gracias a las aplicaciones y las funciones de Skype los usuarios podrán realizar toda una felicitación navideña 2.0.Mensajes de navidad en vídeo con Skype Qik Skype Qik permite enviar videos y Qik Fliks (vídeos cortos que se pueden guardar […]
Categorías: PDA / PPC

Samsung colabora con Orange para apoyar la lucha contra el cáncer de mama

Canal PDA - Jue, 11/12/2014 - 14:48
Por octavo año consecutivo, Samsung Electronics –en colaboración con Orange- apoyará a FECMA (Federación Española de Cáncer de Mama) con un proyecto solidario, que en esta ocasión tendrá al nuevo modelo rosa de la gama Samsung Galaxy Note como eje principal de la campaña. Durante un mes, Orange venderá en exclusiva en todas sus tiendas […]
Categorías: PDA / PPC

Xiaomi refuerza su apuesta por los hogares conectados con un purificador de aire de 120 euros

Canal PDA - Jue, 11/12/2014 - 14:25
El meteórico fabricante chino de smartphones Xiaomi continúa diversificando su gama de productos -e introduciéndose en el campo de la Internet de las Cosas- con el lanzamiento del purificador de aire Mi Air Purifier, de 150 dólares (120 euros). Mediante una aplicación de mando a distancia para smartphone, el equipo proporciona lecturas de polución a […]
Categorías: PDA / PPC

TCL Alcatel presume de su crecimiento en smartphones

Canal PDA - Jue, 11/12/2014 - 14:18
La firma china TCL, que comercializa terminales con la marca Alcatel OneTouch, afirma que en el mes de noviembre experimentó “un nuevo récord de volumen de ventas de dispositivos inteligentes”, con 5,1 millones de unidades despachadas, que representan un crecimiento interanual del 70%. En el conjunto de los 11 primeros meses del año, las ventas […]
Categorías: PDA / PPC

Experiencia cloudphone más completa en la app de Tuenti

Canal PDA - Jue, 11/12/2014 - 14:15
En nuestro objetivo por seguir desarrollando una experiencia cloudphone cada vez más completa, presentamos hoy la versión 5.6 de nuestra app para Android y iOS que incluye importantes novedades, de manera que ahora por ejemplo los clientes de Tuenti Móvil pueden enviar SMS a todos sus contactos desde el propio chat, sin perder el hilo […]
Categorías: PDA / PPC

Qualcomm confirma el despido de 600 empleados

Canal PDA - Jue, 11/12/2014 - 14:06
Qualcomm suprimirá 600 puestos de trabajo en todo el mundo, en el marco de una campaña para reorientar su negocio hacia nuevas áreas. Así lo ha confirmado a CNET un portavoz de la empresa. El fabricante de chips afronta varios retos, entre los que destacan las diversas investigaciones en curso sobre sus prácticas comerciales en […]
Categorías: PDA / PPC

Ligereza, elegancia y potencia, principales características de las baterías de recarga para móviles y tablets de APC by Schneider Electric

Canal PDA - Jue, 11/12/2014 - 13:58
¿Te imaginas un vuelo interoceánico pudiendo trabajar o viendo tus películas preferidas en tu tablet si preocuparte del suministro? ¿Afrontar una larga excursión sabiendo que el GPS de tu móvil estará siempre disponible? APC by Schneider Electric da respuesta a esta necesidad gracias a su nueva gama de baterías de recarga para móviles y tablets, […]
Categorías: PDA / PPC

Deezer renueva la interfaz de su app móvil

Canal PDA - Jue, 11/12/2014 - 13:53
Deezer, el servicio de música en streaming presente en más de 180 países, ha presentado una nueva imagen para la funcionalidad Flow y el reproductor de música en su aplicación para móvil y tablets. Con líneas más marcadas y limpias, y un aspecto elegante, el nuevo diseño incorpora una serie de características actualizadas incluyendo una […]
Categorías: PDA / PPC
Distribuir contenido