23 de febrero de 2010

Actualización para SuSE Linux Enterprise Server 9

SuSE publicó el pasado jueves una actualización al kernel de su sistema operativo SuSE Linux Enterprise Server 9, la cual es aconsejable aplicar ya que soluciona un gran número de fallas de seguridad.

  • Esta nueva actualización para el núcleo de SuSE Linux Enterprise Server 9 repara multiples falencias de seguridad, tanto en funcionamiento del mismo kernel (fuga de memoria, etc), como en funciones de drivers y controladores.
  • La actualización se encuentra disponible y puede ser aplicada con la herramienta automática YaST.
Fuente: Hispasec

Vulnerabilidad afecta al plan de numeración de Asterisk

Se ha anunciado la existencia de una vulnerabilidad en Asterisk, que podría permitir a un atacante remoto inyectar datos en los dialplans de los sistemas vulnerables.

  • Asterisk es una aplicación de una central telefónica (PBX) de código abierto.
  • En Asterisk, el dialplan es el plan de numeración que seguirá la centralita para cada contexto y por tanto para cada usuario.
  • Se ha publicado una documentación con prácticas recomendadas para realizar este proceso. Disponible según versión desde:
  • http://svn.asterisk.org/svn/asterisk/branches/1.2/README-SERIOUSLY.bestpractices.txt
  • http://svn.asterisk.org/svn/asterisk/branches/1.4/README-SERIOUSLY.bestpractices.txt
  • http://svn.asterisk.org/svn/asterisk/branches/1.6.0/README-SERIOUSLY.bestpractices.txt
  • http://svn.asterisk.org/svn/asterisk/branches/1.6.1/README-SERIOUSLY.bestpractices.txt
  • http://svn.asterisk.org/svn/asterisk/branches/1.6.2/README-SERIOUSLY.bestpractices.txt
- También se ha publicado la versión Asterisk 1.2.40 con la inclusión de la función "FILTER()" (incluida desde la versión 1.4) para proporcionar las herramientas necesarias para resolver este problema en el dialplan.

Fuente: Hispasec

Posible ejecución de código (sin parche) en Firefox 3.6

La compañía de seguridad Intevydis, asegura conocer una vulnerabilidad del navegador Firefox que puede permitir la ejecución de código arbitrario con solo visitar una página web.

  • Intevydis es la desarrolladora de VulnDisco.
  • A pesar de que Firefox ha publicado recientemente una nueva versión que soluciona cinco fallos de seguridad, la 3.6 no ha recibido ninguna actualización, con lo que parece que sigue siendo vulnerable a ese error (si es que existe).
  • Evgeny Legerov, de Intevydis, dice que encontrar el fallo y crear un exploit no es nada trivial (desbordamiento de memoria intermedia basado en heap), pero que es muy fiable y funciona en la instalación por defecto del navegador sobre XP y Vista.
  • Mozilla Foundation parece que está al tanto del asunto, pero no ha podido confirmar la vulnerabilidad.

Fuente: Hispasec