14 de diciembre de 2014

GOOGLE CHROME y MAC OS X. Del software con más vulnerabilidades

Dos de los productos con más vulnerabilidades a lo largo del año son Google Chrome y Mac OS X.
Secunia es una compañía encargada de realizar auditorías de productos y realizar análisis de seguridad de distintos software. Después de observar a lo largo del año y a falta de un trimestre aún por completar, los programas con más fallos de seguridad reportados se puede comenzar a confeccionar casi sin ningún tipo de dudas. Aunque en el caso de Google Chrome puede estar justificado por la existencia del Bug Bounty en la segunda mitad del año, la verdad es que el número de fallos reportados para el navegado del Gigante de Internet es bastante alto. Algo que sorprende de igual forma es el número de fallos reportados en Mac OS X, teniendo muchos de nosotros la idea de un sistema operativo muy seguro.
Los productos de Microsoft no aparecen entre los primeros puestos excepto IE
  • Aunque suene paradógico, ningún producto de los de Redmond se encuentra entre los más reportados en el listado, algo que se ha consolidado mes a mes. Y es que el problema de los productos de Microsoft no es tanto por fallos de programación sino problemas derivados del uso de los usuarios, bien sea por descargas de arhivos o la utilización de software de terceros que no están programados de forma correcta.
  • Sin embargo, Internet Explorer sí que ha cumplido con lo esperado y se encuentra siempre entre los software con más vulnerabilidades reportadas.
iOS se encuentra también entre los software más vulnerables
  • Se vuelve a repetir la misma situación descrita en anterioridad con los sistemas operativos de sobremesa de los de Cupertino. Un sistema operativo móvil que muchos catalogan como muy seguro, pero que sin embargo los números demuestran que las vulnerabilidades están ahí, y que en realidad lo que no están siendo es explotadas por los ciberdelincuentes.
  • Podría decirse que tras este resumen y a falta de ver lo que pasa en Octubre, Noviembre y Diciembre, los software de los que más veces se han reportado fallos de seguridad son Mac OS X, iOS, Google Chrome y podíamos incluir también Internet Explorer y Flash Player.
Fuente: Softpedia





GOOGLE. Cierra sus oficinas de ingeniería en Rusia

Las recientes leyes abusivas de Rusia hacia blogueros y empresas de Internet, para controlar los datos, han provocado que finalmente Google decida “huir” de Rusia y planee cerrar sus oficinas de ingeniería.
Duros momentos para la libertad en Internet. Mientras que en España tenemos las leyes aprobadas por el PP para perseguir a todo aquel que comparta archivos, tasas absurdas y totalmente injustas como la tasa Google, y numerosos ejemplos de persecución a los ciudadanos por expresar sus opiniones en redes sociales, supuestamente amparadas por la libertad de expresión, Rusia sigue su otro particular camino totalitario para destruir la libertad en Internet y controlar a sus ciudadanos.
Por un lado Rusia “pide” a las empresas multinacionales que guarden datos de todos sus ciudadanos en infraestructuras rusas y que no puedan usarse sin autorización del gobierno, pero no se queda ahí, ya hay una ley por la que todos los blogueros con blogs que cuenten con más de 3.000 visitantes al día, deben estar también registrados con sus datos personales reales y seguir las mismas restricciones que los medios de prensa en el país.
La redada a la empresa rusa Lamoda, con financiación occidental, ha provocado la última puntilla para que empiece a surgir el pánico entre las grandes empresas de Internet. Google ante esto ha decidido cerrar sus oficinas de ingeniería en Rusia. Recordemos también que la tasa Google ha provocado que Google News deje España a partir del próximo 16 de diciembre, algo que junto a otras leyes abusivas impuestas ahora en España no habrían tenido ninguna oportunidad antes de la crisis, pero está claro que ahora parece que “todo vale”.
Fuente: ITespresso.es

INTERNET. El creador de la red global le dice a Putin que fue un "proyecto de la CIA"

- El inventor de Internet dijo el jueves que el presidente de Rusia, Vladimir Putin, está equivocado al afirmar que la web fue un proyecto creado por espías estadounidenses en la Agencia Central de Inteligencia (CIA).
Putin, un ex espía de la KGB que no usa correo electrónico, ha dicho que no restringirá el acceso a Internet a los rusos, pero en abril generó preocupaciones de que el Kremlin busque controlar su uso al decir que Internet nació de "un proyecto de la CIA".
"Internet no es una creación de la CIA", dijo a Reuters Tim Berners-Lee, un ingeniero en computación nacido en Londres que inventó la Web en 1989, al ser consultado sobre el comentario de Putin y la CIA.
Berners-Lee afirmó que Internet fue inventada con la ayuda de financiamiento estatal de Estados Unidos, pero que fue ampliada por académicos.
"Fue la comunidad académica la que conectó sus universidades, de modo que (Internet) fue establecida por personas inteligentes y bien intencionadas que pensaron que era una buena idea", declaró.
Berners-Lee ha criticado previamente a Estados Unidos y a Gran Bretaña por minar los cimientos de Internet con sus programas de vigilancia. También ha llamado a China a derribar su "gran cortafuegos", que limita el acceso de sus ciudadanos a Internet.
Al ser consultado sobre el ranking de su World Wide Web Foundation sobre la forma en que 86 países abordan Internet, Berners-Lee dijo que la Red debería ser reconocida como un derecho humano y que debería ser protegida de la interferencia comercial y política.
Etiopía y Myanmar ocupan los últimos lugares de la lista, mientras que Dinamarca y Finlandia encabezaron el ranking, que mide el acceso, libertad y apertura, contenido relevante y social y empoderamiento económico y político.

Fuente: Reuters

REINO UNIDO. Un fallo informático sume en el caos el tráfico aéreo del país

Se desconoce la causa del problema, pero se descarta el ataque informático. Las operaciones se han suspendido durante una hora y hay vuelos cancelados. Los grandes aeropuertos británicos sufrieron retrasos que continuaron el sábado
El organismo ha descartado un ataque informático y un fallo en el suministro de corriente eléctrica como las causas de un problema que ha hecho que los controlares aéreos no pudieran visualizar en sus pantallas los datos necesarios para vigilar el tráfico.
Segundo incidente del mismo centro
  • El problema se localizó en el servidor de datos de vuelo del Centro de Control del Área de Londres (LACC), ubicado en la localidad de Swanwick, al sur de Inglaterra, un centro que ya sufrió un contratiempo similar en diciembre de 2013.
  • Los cinco aeropuertos de Londres y otros aeródromos del sur de Inglaterra se vieron obligados a cancelar sus salidas y parte de las llegadas, lo que desencadenó retrasos en vuelos en todo el Reino Unido.
  • Las compañías aéreas y los aeropuertos trataron durante la tarde de reorganizar sus planes de vuelo, si bien prevén que el parón continuará afectando a la navegación este sábado, cuando se programarán algunos de los vuelos cancelados.
  • El aeropuerto londinense de Heathrow, el de mayor tráfico de Europa, ha anunciado que al menos medio centenar de los vuelos previstos para este viernes no podrán despegar y recomendó a los viajeros que contacten con sus aerolíneas antes de salir de casa.
Colas en los aeropuertos
  • En un aeródromo en el que cada jornada aterrizan o despegan cerca de 200.000 pasajeros, desde primera hora de la tarde se formaron largas colas ante los mostradores de las compañías, un escenario que se repetía en otros aeropuertos británicos.
  • El ministro de Transporte, Patrick McLoughlin, ha exigido explicaciones. "Cualquier suspensión de nuestro sistema de aviación es simplemente inaceptable. He pedido al NATS una explicación completa sobre este incidente y quiero conocer qué pasos se darán para que no vuelva a ocurrir", ha dicho el ministro conservador.
  • El centro de control de Swanwick, que se inauguró en 2002 tras, una inversión de 700 millones de libras (882 millones de euros) alberga una sala de operaciones con tres centros de mando.
  • El LACC, donde sucedió el fallo, controla el tráfico aéreo en un área que abarca Inglaterra y Gales, mientras que el Centro de Control de Terminales de Londres (LTCC) vigila los aviones que transitan a menos de 7.300 metros con origen o destino en Londres, una de las zonas aéreas con más tráfico de Europa.
  • El centro cuenta además con un departamento de Control del Tráfico Aéreo Militar que funciona por separado, si bien trabaja en colaboración con los controladores civiles, y no se ha visto afectado.
Fuente: Rtve.es

ESPAÑA. Asociación de editores lamenta cierre sitio de Google News

- La Asociación de Editores de Diarios Españoles (AEDE) teme un impacto negativo para sus empresas por el cierre del servicio de noticias de Google en España y ha solicitado la intervención del Gobierno y de los reguladores para que el sitio se mantenga abierto.
"El cierre de Google News, por lo tanto, no equivale al cierre de un servicio más, dada su posición dominante en el mercado y tendrá sin duda un impacto negativo en los ciudadanos y las empresas españolas", dijo la asociación de los principales editores en España en un comunicado.
La víspera, Google anunció que iba a cerrar el próximo martes su sitio de noticias en España por la próxima entrada en vigor de la nueva ley de propiedad intelectual, que le obligará a pagar a los editores por los contenidos españoles que publica en Google News.
La nueva tasa, que aún tendrá que fijarse, se conoce también como canon AEDE, ya que la asociación de los principales editores fue uno de los promotores de la nueva ley que pondrá un freno a la piratería en Internet y obligará a los agregadores de noticias a pagar por los contenidos que usen.
La AEDE, que comercializa una parte significativa de su publicidad en Internet a través de una plataforma de Google, dijo el viernes que está interesada en negociar con Google un acuerdo que sea beneficioso para ambas partes.
"Google controla en España casi la totalidad de las búsquedas en el mercado y constituye la auténtica puerta de acceso a Internet", destacó la asociación de los editores en el comunicado.
Fuente: Reuters

BRASIL Y RUSIA. Encabezan el ranking de malware bancario

Los últimos datos de Kaspersky Lab sobre el malware bancario sitúan a Brasil, Rusia y Alemania como los países cuyos usuarios se han visto más afectados por esa amenaza.
Un nuevo estudio de la empresa rusa de seguridad informática Kaspersky Lab ha estudiado la situación del malware bancario entre noviembre de 2013 y octubre de 2014.
Las investigaciones de Kaspersky Lab han concluido que con 299.839 usuarios afectados por malware bancario, Brasil es el primer país en el ranking de esa amenaza a nivel mundial, un resultado que ha estado muy condicionado por los elevados intentos de robar dinero durante la celebración del mundial de fútbol el pasado verano.
El segundo país en la lista es Rusia, que queda ligeramente por debajo con 251.917 usuarios víctimas de ese malware, mientras que en tercer lugar se ubica Alemania, que ha recibido 155.773 ataques.
El informe también ha desvelado que el número de ataques de malware bancario en el mundo se ha situado en la mayoría de los meses por debajo de las 250.00 incidencias, apuntan en ZDNet.
En lo referente a los troyanos bancarios más populares, a la cabeza se mantuvo ZeuS, la amenaza más expandida en el mundo, seguida de ChePro y Lohmys, ambos procedentes de Brasil.
Fuente: Silicon News.es

MAX SOUND. Demanda a Google y YouTube por infringir una de sus patentes

La empresa alemana Max Sound Corp ha emprendido acciones legales contra Google y YouTube por la supuesta infracción de una patente de streaming de vídeo.
La compañía tecnológica germana Max Sound Corp ha revelado que a principios de diciembre interpuso una demanda contra Google y YouTube, al considerar que no habían respetado una de sus patentes.
En concreto desde Max Sound consideran que todos los productos que emplean el formato de codificación de vídeo H.264 han infringido una patente de su propiedad, informan en Reuters.
Los productos a los que se refieren en la empresa alemana son las últimas versiones de Android instaladas en móviles y tabletas, y de forma específica se citan en la demana los dispositivos Nexus 5, Nexus 6, así como el portátil Nexus 9 Chromebook y el adaptador multimedia Chromecast.
Asimismo, también se ha producido la violación de la patente en YouTube, ya que la plataforma ahora utiliza un nuevo formato VP8 junto a H.264.
Max Sound destaca por haber creado la tecnología Max-D HD Audio, que mejora la calidad de sonido sin aumentar el tamaño de los archivos.
Ahora, las empresas implicadas en la demanda deberán esperar un período no superior a 12 meses para que se produzca la resolución final de la justicia germana.
Fuente: Silicon News.es

MALWARE LINUX. Descubierto potente y sigiloso troyano destinado al espionaje gubernamental

Investigadores de Kaspersky Lab han descubierto un nuevo troyano para sistemas Linux tan potente y sigiloso que puede permanecer oculto durante meses en cualquier equipo. El código de este software presenta fragmentos que lo relacionan directamente con Turla, un APT (advanced persistent threat) descubierto el pasado mes de agosto por Kaspersky Lab y Symantec.
Según las investigaciones de estas dos empresas, las herramientas Turla han estado siendo utilizadas durante por lo menos cuatro años para espiar tanto a gobiernos, instituciones y embajadas como a empresas, investigadores y centros educativos en más de 45 países. Hasta ahora se creía que este malware había estado infectando exclusivamente a equipos con Windows, pero ahora parece que sus desconocidos creadores también han estado haciendo de las suyas en Linux.
Según los investigadores, el troyano pasaba desapercibido manteniéndose inactivo hasta que los atacantes lo despertaban mandándole al equipo una serie de paquetes con una secuencia especial de números. Una vez activado, el troyano era capaz de interceptar el tráfico de datos y ejecutar comandos sin necesidad de privilegios de administrador del sistema.
Pese a haber sido identificado, el código de este malware es tan sofisticado que muchos de sus componentes y utilidades aun siguen siendo un misterio, como también lo es la identidad de las personas que lo han estado utilizando, aunque desde Symantec se especula con la posibilidad de que estén siendo apoyadas por alguna nación o estado.
De momento sólo se han encontrado un par de ejemplares de Turla adaptados a Linux, por lo que no es necesario que cunda el pánico entre sus usuarios. Aun así todo apunta a un nuevo tipo de espionaje industrial y gubernamental
Más información
Fuente: genbeta.com

MICROSOFT. Retirada de la actualización para Exchange 2010

Microsoft ha eliminado uno de los últimos parches publicados dentro del conjunto de boletines de seguridad de diciembre publicado el pasado martes . En esta ocasión en concreto, los problemas son para los usuarios de Exchange 2010 tras la instalación de la actualización MS14-075.
 Microsoft ha retirado la actualización 2986475 para Exchange Server 2010 SP3 perteneciente al boletín MS14-075 del "Download Center". También se ha retirado Exchange Server 2010 SP3 Update Rollup 8 que además de otras correcciones y mejoras incluía la solución de las vulnerabilidades indicadas en el boletín MS14-075.
 Según ha confirmado la propia Microsoft un problema en la actualización impide a Outlook conectar con Exchange. Además recomienda a todos los usuarios que hayan implementado la actualización volver a la versión anterior. Esta acción será necesaria con el fin de restaurar cualquier pérdida de conectividad de Outlook.
 Este boletín estaba calificado como "importante" y solucionaba soluciona cuatro vulnerabilidades de elevación de privilegios en Microsoft Exchange Server. (CVE-2014-6319, CVE-2014-6325, CVE-2014-6326 y CVE-2014-6336). Las actualizaciones para Microsoft Exchange Server 2007 y 2013 no se ven afectadas por esta incidencia.
 Curiosamente esta actualización fue una de las que dentro del conjunto de actualizaciones de noviembre sufrieron un retraso. Parece que el "tiempo extra" no fue suficiente.
 Esta es la tercera ocasión en los últimos cinco meses que Microsoft se ve obligada a retirar alguno de sus parches por algún problema. En agosto fue una "pantalla azul de la muerte" tras la instalación del MS-045 en casos concretos con fuentes OTF (OpenType Font) instaladas en directorios no estándar. En septiembre los afectados fueron los usuarios de Lync 2010. En esta ocasión el problema parece mucho más obvio y que puede afectar a un mayor número de usuarios.
Más información:
Fuente: Hispasec

POODLE. Afecta también a implementaciones TLS

Hace dos meses apareció POODLE la vulnerabilidad que parecía destinada a enterrar definitivamente al protocolo SSL. Ahora sabemos que el mismo problema afecta también a diversas implementaciones  TLS.
POODLE contra TLS
·   Como un negro augurio, en aquel momento nos preguntábamos por la seguridad de TLS ("¿Y tú TLS, como andas de clavos?"). No se ha tardado mucho, tampoco ha hecho falta descubrir una nueva vulnerabilidad. Unos investigadores de Qualys han descubierto que Poodle también puede funcionar en algunas implementaciones de TLS, incluyendo la última (la 1.2).
·         El problema radica en que los bytes den relleno empleados en TLS, no dejan de ser un subconjunto del relleno empleado en SSLv3, por lo que técnicamente se podría emplear la misma función de decodificación en SSLv3 con TLS y seguiría funcionando correctamente. De esta forma no se comprobarían los bytes de relleno, pero no causaría ningún problema en el funcionamiento de TLS. Sin embargo, si se usa una función de decodificación SSLv3 con TLS el mismo ataque Poodle funciona incluso contra conexiones TLS. A esta vulnerabilidad se le ha asignado el CVE-2014-8730 (http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8730)
·         Y esto es lo que se ha detectado, algunas implementaciones de TLS hacen uso de funciones decodificadoras SSLv3, por lo que Poodle sigue funcionando en estos sistemas. Ahora la diferencia está en que en vez de afectar a todas las implementaciones de SSLv3, solo afecta a un conjunto restringido de fabricantes. Qualys estima que un 10% de los servidores pueden estar afectados por un ataque Poodle contra TLS.
·  Por ahora, se ha confirmado que el problema se reproduce en los balanceadores de carga F5 (BIG-IP) y en dispositivos ADC de A10 Networks. El mayor problema reside que estos productos son empleados por un gran número de compañías y puede llegar a afectar a algunos de los sitios web más populares.
Recomendaciones
Ambos fabricantes ya han publicado las actualizaciones necesarias para evitar este problema:
Más información:
·         The POODLE bites again (08 Dec 2014) https://www.imperialviolet.org/2014/12/08/poodleagain.html
·         #CVE-2014-8730published onDecember 8th,2014 https://www.a10networks.com/support/advisories/A10-RapidResponse_CVE-2014-8730.pdf
·         Patches for the CVE-2014-3566 Poodle/SSL v3.0 vulnerability http://www.a10networks.com/support-axseries/downloads/downloads.php#CVE-2014-3566
·         sol15882: TLS1.x padding vulnerability CVE-2014-8730 https://support.f5.com/kb/en-us/solutions/public/15000/800/sol15882.html
·         CVE-2014-8730 Padding issue  https://devcentral.f5.com/articles/cve-2014-8730-padding-issue-8151

Fuente: Hispasec

ADOBE. Actualizaciones para Adobe Reader, Acrobat, Flash Player y ColdFusion

Adobe ha publicado tres boletines de seguridad para anunciar las actualizaciones necesarias para solucionar un total de 27 vulnerabilidades en Flash Player, Adobe Reader, Acrobat y ColdFusión.
Flash Player
· Para Adobe Flash Player (boletín APSB14-27) que soluciona dos vulnerabilidades de corrupción de memoria (CVE-2014-0587, CVE-2014-9164), una vulnerabilidad por uso después de liberar (CVE-2014-8443) y un desbordamiento de búfer (CVE-2014-9163) que podrían permitir la ejecución de código. Una vulnerabilidad de divulgación de información (CVE-2014-9162) y otro problema que podría permitir evadir la política de mismo origen (CVE-2014-0580).
·        Adobe ha publicado las siguientes versiones de Adobe Flash Player destinadas a solucionar las vulnerabilidades, y se encuentran disponibles para su descarga desde la página oficial:
1)   Flash Player Desktop Runtime 16.0.0.235
2)   Flash Player Extended Support Release 13.0.0.259
3)   Flash Player para Linux 11.2.202.425
4)   Igualmente se ha publicado la versión 16.0.0.235 de Flash Player para Internet Explorer y Google Chrome.
Adobe Reader y Acrobat
·         Por otra parte, para Adobe Reader y Acrobat (boletín APSB14-28) se han solucionado 20 vulnerabilidades que afectan a las versiones X (10.1.12 y anteriores) y XI (11.0.09 y anteriores) para Windows y Macintosh.
·         Esta actualización soluciona tres vulnerabilidades de uso después de liberar memoria, tres desbordamientos de búfer, un desbordamiento de entero y ocho problemas de corrupción de memoria que podrían permitir la ejecución de código.
·         Por otra parte una condición de carrera TOCTOY (time-of-check time-of-use) podría permitir acceso de escritura en el sistema de archivos; así como dos fallos por la implementación inadecuada de una API Javascript y una vulnerabilidad en el tratamiento de entidades externas XML que podrían facilitar la obtención de información sensible. Por último, una vulnerabilidad que podría permitir evadir la política de mismo origen.
·         Adobe ha publicado las versiones 11.0.10 y 10.1.13 de ambos productos, las cuales solucionan los fallos vulnerabilidad descritos. Se encuentran disponibles para su descarga desde la página oficial, y a través del sistema de actualizaciones cuya configuración por defecto es la realización de actualizaciones automáticas periódicas.
ColdFusion
  • También se han publicado actualizaciones para ColdFusion versiones 11 y 10. Estos parches están destinados a corregir un problema de consumo de recursos que podría llegar a provocar una denegación de servicio (CVE-2014-9166). ColdFusion 9.x no se ve afectado por esta incidencia.
  • Se recomienda a los usuarios actualicen sus productos según las instrucciones proporcionadas por Adobe:

Mas información:
·         Security Updates available for Adobe Reader and Acrobat  http://helpx.adobe.com/security/products/reader/apsb14-28.html
·         Security updates available for Adobe Flash Player  http://helpx.adobe.com/security/products/flash-player/apsb14-27.html
·         Security Update: Hotfixes available for ColdFusion  http://helpx.adobe.com/security/products/coldfusion/apsb14-29.html

Fuente: Hispasec

MICROSOFT. Publicados los boletines de seguridad de de diciembre

Microsoft ha publicado siete boletines de seguridad correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft tres de los boletines presentan un nivel de gravedad "crítico", mientras que los cuatro restantes se clasifican como "importantes". En total se han resuelto 25 vulnerabilidades.
Detalle de la actualización
  • MS14-075: Este boletín, calificado como importante, soluciona cuatro vulnerabilidades de elevación de privilegios en Microsoft Exchange Server. (CVE-2014-6319,  CVE-2014-6325, CVE-2014-6326 y CVE-2014-6336).
  • MS14-080: La ya habitual actualización acumulativa para Microsoft Internet Explorer que además soluciona 14 nuevas vulnerabilidades. La más grave de ellas podría permitir la ejecución remota de código si un usuario visita con Internet Explorer una página web especialmente creada.
  • MS14-081: Boletín crítico que resuelve dos vulnerabilidades en Microsoft Word y Microsoft Office Web Apps, que podrían permitir la ejecución remota de código si se abre (o previsualiza) un archivo Word específicamente creado (CVE-2014-6356 y CVE-2014-6357).
  • MS14-082: Boletín importante que resuelve una vulnerabilidad en Microsoft Office que podría permitir la ejecución remota de código si se abre un archivo especialmente construido con una versión de Office afectada (CVE-2014-6364).
  • MS14-083: Boletín importante que resuelve dos vulnerabilidades en Microsoft Excel, que podrían permitir la ejecución remota de código si se abre (o previsualiza) un archivo Excel específicamente creado (CVE-2014-6360 y CVE-2014-6361).
  • MS14-084: Este boletín crítico soluciona una vulnerabilidad en el motor de scripting de VBScript (CVE-2014-6363). Afecta a Windows Server 2003, Windows Vista, Windows Server 2008 y Windows 7.    
  • MS14-085: Destinado a corregir una vulnerabilidad importante (CVE-2014-6355) en Microsoft Graphics Component que podría peritir la obtención de información sensible si un usuario visita una página web con un archivo jpeg específicamente creado. Afecta a Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows 8 (y 8.1) y Windows Server 2012.
  • Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Se recomienda la actualización de los sistemas con la mayor brevedad posible.
Más información:
Fuente: Hispasec

IBM. Ejecución remota de código en IBM Tivoli Endpoint Manager Mobile Device Management

IBM ha publicado una actualización para solucionar una vulnerabilidad en IBM Endpoint Manager Mobile Device Management (MDM) que podría permitir la ejecución remota de código.
 IBM Endpoint Manager Mobile Device Management forma parte de la familia de productos IBM Endpoint Manager (antiguamente conocido como Tivoli Endpoint Manager). Proporciona herramientas para la administración, protección y presentación de informes de ordenadores portátiles, de escritorio, servidores, teléfonos inteligentes, tabletas y otros dispositivos como terminales de punto de venta. Esto proporciona información y control en tiempo real sobre todos los dispositivos utilizados por los usuarios.
Detalle e Impacto de la vulnerabilidad
·         El problema (con CVE-2014-6140) reside en que los componentes de IBM Endpoint Manager están basados en Ruby on Rails y usan valores estáticos de secret_token. Con estos valores, un atacante puede crear cookies de sesión válidas que contengan objetos serializados de su elección. Esto podría ser empleado para ejecutar código arbitrario cuando Ruby on Rails deserialice la cookie.
Recursos afectados
·         Se ven afectadas las versiones 8.1, 8.2, 9.0. IBM ha publicado la versión 9.0.60100 que soluciona el problema.
Más información:
Fuente: Hispasec

WMWARE. Detectada fuga de información en su AirWatch

El producto AirWatch para administrar dispositivos móviles, tiene una vulnerabilidad que permite obtener información privada. La vulnerabilidad  se ha catalogado de Importancia: 3 - Media
Recursos afectados
·         Airwatch on-premise versiones 7.3.x.x anteriores a 7.3.3.0 (FP3)
Detalle e Impacto de la vulnerabilidad
·         AirWatch de VMware tiene vulnerabilidades de referencia direct a objetos. Estas vulnerabilidades permiten a un usuario que administra un despliegue AirWatch en un entorno multi-cliente ver la información organizativa y estadísticas de otro cliente.
·         Para más detalles acceder al sitio web  http://www.vmware.com/security/advisories/VMSA-2014-0014.html#sthash.bFO5MhfV.dpuf
Recomendación
·         WMware ha publicado la actualización AirWatch 7.3.3.0 (FP3) para solucionar el problema.
Más información
·         Vmware Security Advisory VMSA-2014-0014  http://www.vmware.com/security/advisories/VMSA-2014-0014.html
Fuente: INCIBE

JUNIPER WLC SERIES. Vulnerabilidad de denegación de servicio en alguno de sus productos

Juniper ha publicado una vulnerabilidad de denegación de servicio en dispositivos WLC Series con versiones 8.0, 9.0 y 9.1 de WLAN Software. La vulnerabilidad  se ha catalogado de Importancia: 3 - Media
Recursos afectados
·         Dispositivos WLC Series con versiones 8.0, 9.0 y 9.1 de WLAN Software
Detalle e Impacto de la vulnerabilidad
·         Los dispositivos con características "Proxy ARP" or "No Broadcast" habilitadas en una configuración WLC en cluster son susceptibles a que un atacante en una red adyacente con acceso a la red WiFi local puede provocar que un dispositivo WLC se desconecte del clúster causando una condición de denegación de servicio para el acceso inalámbrico.
·         Este problema no se puede explotar de forma remota a través de Internet, el acceso a la red WiFi local es esencial para desencadenar esta ataque.
·         Se ha reservado el identificador CVE-2014-6381 para esta vulnerabilidad.
Recomendación
Actualizar a las siguientes versiones de software:
1)   9.1.1 o superior.
2)   9.0.3.5 o superior.
3)   9.0.2.11 o superior.
4)   8.0.4 o superior.
La desactivación de la opciones "Proxy ARP" y"No Broadcast" mitigaría completamente el problema.
Más información
Fuente: INCIBE

SAP SQL ANYWHERE. Múltiples vulnerabilidades de ejecución de código

 Zero Day Initiative ha publicado cuatro vulnerabilidades de ejecución de código que afectan a SAP SQL Anywhere. La vulnerabilidad  se ha catalogado de Importancia: 4 - Alta
Recursos afectados
  • SAP SQL Anywhere.
Detalle e Impacto de las vulnerabilidades detectadas
 Las cuatro vulnerabilidades publicadas por Zero Day Initiative podrían permitir ejecución de código en el contexto de la aplicación que haga uso del producto afectado. Las vulnerabilidades, presentes aún en el caso de que los datos de entrada se filtren ante posibles ataques de SQL Injection, son las siguientes:
1)   Desbordamiento de pila debido a una gestión incorrecta de los alias de columas en el .NET Data Provider.
2)   Desbordamiento de memoria en la Función SPACE en el .NET Data Provider debido a un error de truncamiento aritmético.
3)   Desbordamiento de memoria en la Función REPLICATE en el .NET Data Provider debido a un error de truncamiento aritmético.
4)   Desbordamiento de pila debido a una gestión incorrecta de una constante entera malformada en el .NET Data Provider.
 Se ha reservado el identificador CVE-2014-9264 para estas vulnerabilidades.
Recomendación
Más información
Fuente: INCIBE

YOKOGAWA FAST/TOOLS. Vulnerabilidad del tipo XEE

 Investigadores de Positive Technologies Inc. han descubierto una vulnerabilidad de tipo XEE (XML External Entity) en Yokogawa FAST/TOOLS. La vulnerabilidad podría permitir revelación de información o sobrecarga del sistema y se ha catalogado de Importancia: 2 - Baja
Recursos afectados
·         Las versiones R9.01 a R9.05 SP1 de Yokogawa FAST/TOOLS.
Detalle e Impacto de las vulnerabilidad
·   Un atacante que consigua introducirse en el servidor WebHMI podría explotar esta vulnerabilidad para enviar información a una máquina externa, o utilizarla para aumentar la carga del sistema y de la red. Se ha reservado el identificador CVE-2014-7251 para esta vulnerabilidad.
Recomendación
·  La vulnerabilidad se ha resuelto en el Service Pack R9.05-SP2 de FAST/TOOLS. Los sistemas con un Service Pack anterior deben actualizar a dicho Service Pack.
Más información
·         Yokogawa FAST/TOOLS XML External Entity  https://ics-cert.us-cert.gov/advisories/ICSA-14-343-01
Fuente: INCIBE

TRIHEDRAL VTSCADA. Desbordamiento de memoria

Un investigador anónimo, en colaboración con Zero Day Initiative de HP, ha identificado una vulnerabilidad de desbordamiento de enteros en aplicación Trihedral Engineering Ltd’s VTScada y se ha catalogado de Importancia: 4 - Alta. 
Además ya se ha liberado un parche que soluciona esta vulnerabilidad.
Recursos afectados
Las siguientes versiones de VTS y VTScada se ven afectadas:
1)   VTS Version 6.5 hasta 9.1.19
2)   VTS Version 10 hasta 10.2.21
3)   VTScada Version 11.0 hasta 11.1.07
Detalle e Impacto de las vulnerabilidad
·         Mediante el envío de paquetes especialmente mal formados, un atacante sin credenciales podría explotar esta vulnerabilidad de desbordamiento de entero que provocaría un intento de reservar un bloque de memoria excesivamente grande, generando un fallo en el servidor VTScada.
·         Se ha reservado el identificador CVE-2014-9192 para esta vulnerabilidad.
Recomendación
·         Triedro Engineering Ltd. ha liberado tres versiones actualizadas del software que corrigen dichas vulnerabilidades y se encuentran disponibles desde  ftp://ftp.trihedral.com/VTS
Más información
·         Trihedral VTScada Integer Overflow Vulnerability  https://ics-cert.us-cert.gov/advisories/ICSA-14-343-02
Fuente: INCIBE

VMWARE VCLOUD AUTOMATION CENTER. Escalado de privilegios remoto

 Se ha descubierto una vulnerabilidad que permite el escalado de privilegios remoto en los entornos que utilizan función "Connect (by) Using VMRC" y se ha catalogado de Importancia: 4 - Alta.  
Recursos afectados
·         vCloud Automation Center: 6.0.1 hasta 6.1.1
Detalle e Impacto de las vulnerabilidad
·         Esta vulnerabilidad permitiría a un usuario vCAC autenticado obtener acceso administrativo a vCenter Server.
·         Los entornos que utilizan vCloud Director (vCD) como proxy no se ven afectados.
Recomendación
·         Aplicar parche disponible en web del fabricante ( http://kb.vmware.com/kb/2097932 )
Más información
Fuente: INCIBE

APACHE STRUTS . Nueva versión resuelve vulnerabilidad CSRF

 Apache ha publicado una nueva versión del producto Struts. En ella, se resuelve una vulnerabilidad que podría afectar a la integridad de los servicios proporcionados a través de la plataforma. Dicha vulnerabilidad de ha catalogado de Importancia: 3 - Media
 Apache Struts es un framework para el desarrollo de aplicaciones web Java Enterprise Edition.
Recursos afectados
  • Las versiones 2.0.0 a 2.3.16.3 de Apache Struts.
Detalle e Impacto de las vulnerabilidad
  • En la versión 2.3.20 de la plataforma se resuelve una vulnerabilidad que podría permitir llevar a cabo ataques de tipo CSRF sobre usuarios autenticados, debido a que los tokens utilizados para proteger el envío de formularios son predecibles. Se ha reservado el identificador CVE-2014-7809 para esta vulnerabilidad.
Recomendación
  • Actualizar a la versión 2.3.20 de Apache Struts.
Más información
Fuente: INCIBE

ISC BIND. Actualizaciones de seguridad

ISC ha liberado dos actualizaciones de seguridad para el servidor de DNS Bind. Estas actualizaciones solucionan vulnerabilidades que pueden ser usadas para generar un ataque de denegación de servicio contra el servidor. Se ha catalogado de Importancia: 4 - Alta
Recursos afectados
·         Bind 9.
Detalle e Impacto de las vulnerabilidad
 Las vulnerabilidades corregidas son las siguientes:
  • Defecto en control de delegación puede provocar que BIND realice consultas ilimitadas en un intento de seguir la delegación, que puede conducir a un agotamiento de los recursos del sistema. Se ha reservado el identificador CVE-2014-8500 para esta vulnerabilidad.
  • Múltiples vulnerabilidades en la funcionalidad GeoIP hacen que Bind sea vulnerable a un ataque de denegación de servicio. Se ha reservado el identificador CVE-2014-8680 para esta vulnerabilidad.
Recomendación
Más información
Fuente: INCIBE