20 de abril de 2011

ACTUALIZACION DE “IBM” PARA “Tivoli Directory Server”

IBM corrige un fallo descubierto por ZDI que permite a un atacante no autenticado ejecutar código arbitrario a través de un paquete LDAP especialmente manipulado.

Tivoli Directory Server es un software de gestión de identidad de IBM, basado en tecnología LDAP (Lightweight Directory Access Protocol) que proporciona servicios de autenticación centralizado. Soporta plataformas IBM AIX, i5, Solaris, Windows, HP-UX..

Detalles de la vulnerabilidad:

  • El error provoca un desbordamiento de memoria intermedia basado en pila, en la función 'ber_get_int'. Esto se produce cuando se procesan paquetes 'CRAM-MD5' especialmente diseñados. Este fallo permite a un atacante remoto poder ejecutar código arbitrario en el contexto de 'SYSTEM'.
  • El CVE asignado a esta vulnerabilidad ha sido 'CVE-2011-1206' y se ha publicado un prueba de concepto para esta vulnerabilidad.

Recomendaciones :

Se lanzado actualizaciones para corregir este problema para las versiones 5.2.x y 6.x. , que se recomienda implementar

Más información en el sitio web:

https://www-304.ibm.com/support/docview.wss?uid=swg21496117

http://www.zerodayinitiative.com/advisories/ZDI-11-136/

Fuente: Hispasec

FALLO DE SEGURIDAD EN “Skype” PARA “Android”

Los responsables de “VoIP Skype” han reconocido la vulnerabilidad descubierta en Android Police, en su aplicación para Android que podría poner en peligro los datos personales de los usuarios.

Detalles del fallo:

  • El error se origina en la forma en que la aplicación almacena los datos, porque parece ser que no están cifrados, lo cual permitiría a los ciberdelincuentes lanzar ataques por medio de aplicaciones de terceros, dándoles acceso a información guardada en el dispositivo.
  • Este acceso a los datos del dispositivos, permitiría a los delincuentes acceder a todo tipo de datos personales de sus víctimas como correos electrónicos, números de teléfono, contactos o información personal de las conversaciones mantenidas a través de Skype.

Fuente: The Inquirer