30 de julio de 2013

WIRESHARK Boletines de seguridad

Publicadas las versiones 1.8.9 y 1.10.1 de Wireshark que solucionan 18 vulnerabilidades que pueden provocar denegación de servicio a través de múltiples opciones.
Wireshark es una aplicación de auditoría orientada al análisis de tráfico en redes. Soporta una gran cantidad de protocolos y es de fácil manejo. Además Wireshark es software libre (sujeto a licencia GPL) y se ejecuta sobre la mayoría de sistemas operativos Unix y compatibles y en Windows.

Impacto de las vulberabilidades:
Todas las vulnerabilidades podrían ser explotadas a través de la inyección de paquetes en la red, o convenciendo a un usuario para que abriese un fichero de captura de tráfico especialmente manipulado.
Versiones afectadas:
Las versiones afectadas son la rama 1.8 (1.8.0 a 1.8.8) y la versión 1.10.0.
Recomendación
Actualizar a las nuevas versiones dispinibles en  http://www.wireshark.org/download.html
Más información:
Wireshark 1.10.1 and 1.8.9 Released http://www.wireshark.org/news/20130726.html
Fuente: Hispasec

LINKEDIN Corregido Fallo que permitía extraer el token de OAuth del usuario autenticado

LinkedIn ha corregido un fallo en su web que permitía extraer el token del protocolo OAuth del usuario autenticado.
LinkedIn es un sitio web orientado a negocios, fue fundado en diciembre de 2002 y lanzado en mayo de 2003 (comparable a un servicio de red social), principalmente para red profesional
El fallo fue reportado por el británico Richard Mitchell y según comenta en su blog se dio cuenta como al acceder al sitio de ayuda de LinkedIn (http://help.linkedin.com) este procedía a autenticar al usuario con su ID de LinkedIn sobre HTTP.

Más información: 
Stealing OAuth tokens from the LinkedIn API using meta referrer http://awesomeco.de/blog/tricking-weak-authentication-on-linkedin-using-meta-referrer/
Fuente: Hispasec