18 de marzo de 2011

INYECCIÓN SQL EN “JOOMLA 1.6”

Publicada una vulnerabilidad de inyección SQL que afecta a la rama 1.6.0 del popular gestor de contenidos Joomla. La vulnerabilidad ha sido descubierta por Aung Khant que forma parte de 'YGN Ethical Hacker Group'.

  • Joomla es un popular gestor de contenidos en código abierto, que cuenta con una gran cantidad de plantillas y componentes que un usuario puedo utilizar para implementar de manera rápida una aplicación web.
  • El fallo fue notificado a Joomla el pasado 24 de enero y a principios de marzo fue publicada la actualización que corrige el fallo de seguridad, ( la versión 1.6.1).

Recomendaciones a los usuarios de Joomla:

  • Actualización del gestor de contenidos.
  • Además deberán actualizar todos los componentes que tengan instalados junto a su gestor de contenidos siempre que corresponda o lo indiquen los fabricantes.

Fuente: Hispasec

ROBAN INFORMACIÓN A LA EMPRESA DE SEGURIDAD “RSA“

Art Coviello, director ejecutivo de RSA, explica en una carta abierta a los clientes de la compañía que sus sistemas de seguridad identificaron un "ciberataque extremadamente sofisticado en progreso" contra RSA.

Detalles del ciberataque:

  • Parte de la información robada está "específicamente relacionada" con los protocolos de autentificación SecurID de la empresa.
  • Por el momento, están "seguros" de que la información extraída no permite un ataque directo a ninguno de sus clientes".
  • No obstante, alertan de que podría ser utilizada para reducir la efectividad del sistema actual de autentificación en dos factores como parte de un ataque más amplio.

Comentarios al respecto:

  • Según explica Whitfield Diffie, especialista en seguridad informática, al New York Times, la ''llave maestra', un número utilizado en el algoritmo de encriptación, podría haber sido robado.
  • Si este hubiera sido el caso, explica Diffie, podría utilizarse el código para duplicar las tarjetas y llaves que proporciona RSA, de modo que se podría obtener acceso a las redes y los sistemas informáticos de las empresas.

Fuente: New York Times