16 de abril de 2017

Fallos en los firmwares de placas Gigabyte permiten instalar virus UEFI

Expertos en seguridad han descubierto dos vulnerabilidades que afectan a algunos firmwares de placas Gigabyte, permitiendo la instalación de malware UEFI. El problema de estos fallos de seguridad es que permiten instalar virus informáticos persistentes en el equipo del usuario. Gigabyte ya está trabajando en una solución.
Ha sido la firma de seguridad Cylance la encargada de descubrir estos problemas. Han confirmado que están trabajando de la mano con Gigabyte, American Megatrends Inc. (AMI) y CERT/CC para encontrar una solución.
Desde Gigabyte también han querido aportar cierta información indicando que es cierto que existen estos problemas de seguridad. Han añadido que están buscando una solución y que es factible que en los próximos días se publique una actualización.
Recursos afectados
·    El problema afecta a los modelos de barebones GB-BSi7H-6500 y GB-BXi7-5775. Las versiones de firmware afectadas son las vF6 y vF2, respectivamente. Desde el fabricante han confirmado que publicarán una nueva versión para el primer modelo. Sin embargo, el segundo ya no se encuentra en producción. Esto quiere decir que el soporte ya ha finalizado, lo que provocará que los usuarios de estos equipos queden expuestos a estas vulnerabilidades.
Detalle de la  vulnerabilidad
·      Catalogados ya como CVE-2017-3197 y CVE-2017-3198 están cerca de ser resueltos por el fabricante. Hasta que llegue este momento aún habrá que esperar unos días. Vamos a detallar brevemente en qué consiste cada uno y las consecuencias que pueden aparecer de cara a la seguridad del usuario.
·    El primero de ellos afecta directamente al sistema de protección contra la escritura del firmware UEFI.
·   El segundo fallo está bastante relacionado con el primero. Desde el fabricante no se percataron de la ausencia de un sistema de firmado de software. Esto permite realizar la carga de cualquier versión modificada, aunque no esté firmada. Relacionado con esta parte, encontramos también la ausencia de un simple checksum que permita comprobar la validez del archivo descargado. Teniendo en cuenta que los archivos se descargan utilizando HTTP en lugar de HTTPS, sería recomendable disponer de un sistema de verificación como este.
Recomendación
·      Estos fallos permitirían a los ciberdelincuentes ejecutar código en el modo SMM e instalar una versión maliciosa del firmware sin ningún tipo de oposición.
Fuente :  Bleeping Computer

Utilizan Skype para distribuir una versión falsa de Adobe Flash

Los usuarios del servicio de mensajería Skype han sido las últimas víctimas. En los últimos días, han sido muchos los que han visualizado anuncios relacionados con actualizaciones de Adobe Flash. Fue uno de los softwares más utilizados en todos los sistemas operativos. Sin embargo, la ingeniería software avanza y poco a poco ha quedado traslado a un segundo plano. Pero esto no ha evitado que los ciberdelincuentes se aprovechen de su popularidad y lo conviertan en la imagen de estafas.
Los anuncios mostrados contienen un archivo HTA. La ejecución de este último es el que marca la diferencia.
Skype utilizado para distribuir adware
La ejecución del archivo mencionado anteriormente realiza a su vez la descarga de un JavaScript cifrado que se ejecutará a través de una Powershell. Si todo se ha realizado de forma correcta (es decir, que ninguna herramienta de seguridad haya bloqueado su ejecución) el usuario se topará con un ejecutable. Su instalación permitirá la instalación de un adware que, aunque no resulte del todo peligroso, si será molesto.
Su llegada al sistema implica la instalación de algunas aplicaciones adicionales. Aunque se nos ha olvidado comentarlo, indicar que solo los usuarios de equipos con sistema operativo Windows podrían verse afectados.
La actividad de este software se limita sobre todo a “alterar” el funcionamiento del navegador web o, mejor dicho, la apariencia del contenido mostrado al usuario. Edita el código fuente para crear enlaces a tiendas que forman parte del patrocinio. Desde VirusTotal han analizado algunos aspectos, indicando que la distribución del adware se realiza a través de más de 35 dominios.
Un problema existente que no solucionan
No es la primera vez que se reporta una situación similar en el servicio de mensajería. Durante 2015 y 2016 fueron varias las ocasiones en las que se reportaron problemas con el contenido de los anuncios. Desde el servicio ignoran las protestas de los usuarios y sostienen que no existe ningún problema, algo extrapolable a otros servicios.
Sin embargo, se trata de un aspecto molesto cuya única solución es utilizar bloqueadores de anuncios. De esta forma se evita que se muestre este contenido y la posibilidad de acceder a él tanto de forma intencionada como accidental.
Fuente: Bleeping Computer

SERVIDORES NAS. Los 5 aspectos a tener en cuenta antes de su adquisición

Hoy en día debido a las altas velocidades de Internet, muchos usuarios compran un NAS para acceder a todos sus archivos de forma remota fácilmente. Con todos los modelos y posibilidades de servidores NAS que hay, ¿qué debemos tener en cuenta a la hora de comprar uno? En este artículo les damos cinco claves para elegir el mejor NAS que se adapte austed.
1.    Montado por ti o uno ya hecho, la elección es tuya.- Esto es lo primero que tienes que decidir, si quieres un servidor montado por ti desde cero, comprar un servidor ya montado pero en el que tú deberás instalar el sistema operativo, o comprar un NAS con el hardware y el software ya listo para ser utilizado. Dependiendo de tu elección, las siguientes recomendaciones serán cruciales para elegir bien los componentes, el servidor o el NAS completo. En el siguiente artículo podéis ver en detalle todos los puntos fuertes y débiles de cada una de las elecciones:
2.    Que el procesador soporte AES-NI.- Que el procesador incorpore el juego de instrucciones AES-NI es fundamental, solo las CPU con AES-NI serán capaces de proporcionarnos un gran rendimiento cuando estamos cifrando los discos duros, o estamos transfiriendo archivos a través de FTPES, FTPS o SFTP que utilizan el algoritmo de cifrado AES para evitar que los usuarios que intercepten la comunicación sean capaces de leer su interior. En el siguiente artículo podéis ver en detalle qué es AES-NI, y también la diferencia de rendimiento de tener un NAS con este juego de instrucciones y no tenerlo.
3.    Con 2 bahías como mínimo para hacer RAID.- Con el fin de proteger al máximo los datos que guardamos en un servidor, es fundamental utilizar RAID o usar sistemas de archivos como ZFS y configurar mirrors. De esta forma, si un disco duro deja de funcionar de repente, no perderás datos ya que están en el otro disco duro que aún vive. Nuestra recomendación es que como mínimo tu futuro servidor tenga 2 bahías para alojar discos duros, de esta forma, podrás hacer un RAID1 (espejo) y no perder tus datos más valiosos.
4.    El sistema operativo es el corazón del NAS, no lo olvides.- Si decides montarte tu propio NAS, existen sistemas operativos dedicados a esta tarea como FreeNAS, NAS4Free y OpenMediaVault. También podrás usar el típico Windows Server e instalar todo manualmente. Sin embargo, si compras un QNAP, Synology o ASUSTOR, deberás tener muy en cuenta las opciones de sus sistemas operativos. Personalmente el sistema operativo de QNAP y ASUSTOR son los que más nos gustan, tienen una gran cantidad de aplicaciones adicionales y servicios que nos permitirán exprimir al máximo el NAS. En el caso de QNAP, tenemos el QNAP Virtualization Station que es un software que nos va a permitir virtualizar sistemas operativos dentro del propio equipo, ideal si por ejemplo queremos meter un Windows al propio servidor. El sistema operativo QTS del fabricante QNAP es muy completo, los usuarios avanzados se sentirán muy agustos porque podrán modificar y desplegar muchos servicios sin complicarse mucho la vida, y los usuarios más básicos podrán usarlo gracias a que su interfaz gráfica de usuario es muy intuitiva. En nuestro caso, usamos un servidor con NAS4Free, a continuación puedes ver un resumen de la configuración que utilizo en mi hogar:
5.  Lo podrás usar como reproductor multimedia si tiene salida HDMI.- Los servidores de fabricantes como QNAP, ASUSTOR o Synology suelen incorporar una salida HDMI para conectarlo a la TV o a un monitor. Gracias a sus sistema operativo, podremos usar esta salida HDMI y usar el servidor como si fuera un reproductor multimedia, ideal para aprovechar aún más las características del NAS.
Fuente: Redes Zone.net

TOR BROWSER. Será más seguro gracias al lenguaje Rust

Tor Browser es un navegador web basado en Firefox utilizado especialmente para conectarnos a la red Tor y poder navegar de forma totalmente segura y anónima por esta red. Debido a la naturaleza de este navegador (navegar seguros y mantener el anonimato en esta red distribuida), es de vital importancia mantenerlo libre de todo tipo de fallos, algo que, en ocasiones, puede llegar a resultar complicado debido a que la mayoría de este navegador está escrito en C++.
En 2014 se propuso cambiar todo el núcleo del navegador dejando de lado C++ a favor de otro lenguaje de programación más seguro y robusto. Aunque entonces esta propuesta pasó a segundo plano y ha sido ignorada durante varios años, ahora parece que los responsables de Tor Browser quieren reforzar por completo el núcleo del navegador para acabar con posibles errores de corrupción de memoria que puedan aparecer y, para ello, deben cambiar el lenguaje de programación del núcleo por otro, siendo los dos principales candidatos Go, el lenguaje de programación de Google y Rust.
Finalmente, parece que el lenguaje favorito será Rust. Este es un lenguaje de programación creado por Mozilla para ofrecer a los desarrolladores una alternativa a C++ mucho más segura que ayude a los desarrolladores a evitar cometer fallos de corrupción de memoria en el código.
Tor Browser 6.0.6
      Firefox cada vez está más escrito en Rust, y Tor Browser es Firefox. Y aunque Go también era una excelente alternativa, finalmente los responsables del proyecto Tor han decidido dar el salto a Rust, principalmente, porque Firefox cada vez tiene más partes de código escritas en Rust y, al estar basado principalmente en Firefox, es mucho más cómodo adaptar el navegador a este navegador en vez de a otro.
      En verano del año pasado, Mozilla empezó a enviar a los usuarios los primeros componentes del navegador escritos ya en este lenguaje de programación, y los resultados fueron más que satisfactorios. Por ello, poco a poco se han ido convirtiendo más componentes de manera que, a medida que pase el tiempo, cada vez mayor porcentaje de Firefox pase a este nuevo lenguaje de programación.
      Aunque el proceso de cambio de lenguaje es largo (los desarrolladores de Tor Browser deben familiarizarse con este lenguaje), poco a poco se van a ir migrando más partes del código de este navegador al nuevo lenguaje de programación, siguiendo un proceso como el siguiente:
1.    Definir los elementos que se van a convertir de C++ a Rust en orden de prioridad.
2.    Habilitar el uso opcional de la API escrita en Rust para los usuarios que quieran.
3.    Aprender de proyectos similares.
4.    Añadir herramientas de conversión y depuración para Rust.
Desde luego era necesario dar el salto a un lenguaje de programación más moderno y seguro que C, donde el más mínimo fallo al programar podía tener repercusiones reales en los usuarios, especialmente cuando hablamos de un software tan crítico y, sobre todo, atacado por piratas informáticos y organizaciones gubernamentales como este navegador.
Por el momento aún tendremos que esperar para poder probar este navegador web, aunque todo va por el buen camino y, sin duda, dará lugar a un navegador más seguro y robusto, tal como debería ser.
Fuente: Tor

GOOGLE CHROME. Actualización de seguridad

Google ha publicado una actualización de seguridad para su navegador Google Chrome para todas las plataformas para corregir cinco nuevas vulnerabilidades.
El navegador se actualiza a la versión 57.0.2987.133 para Windows, Mac y Linux. En esta ocasión Google confirma la corrección de cinco nuevas vulnerabilidades, una de ellas consideras crítica y cuatro de gravedad alta.
Detalle de la actualización
   Considerada como crítica, con CVE-2017-5055, una vulnerabilidad por uso de memoria después de liberarla en printing. Mientras que de gravedad alta un desbordamiento de búfer en V8 (CVE-2017-5054), un casting incorrecto en Blink (CVE-2017-5052), un uso de memoria después de liberarla en Blink (CVE-2017-5056) y un acceso a memoria fuera de límites en V8 (CVE-2017-5053). Esta última, fue reportada en el concurso Pwn2Own si bien esta participación quedó eliminada por no poderla reproducir en el tiempo requerido.
      Según la política de la compañía las vulnerabilidades corregidas han supuesto 13.337 dólares en recompensas a los descubridores de los problemas.
Stable Channel Update for Desktop: The stable channel has been updated to 57.0.2987.133 for Windows,… https://t.co/OKVFyF3csq #googlechrome
— Google Chrome Dev (@GoogleChromeDev) 29 de marzo de 2017
Recomendación
      Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados o a través de "Información sobre Google Chrome" (chrome://chrome/).
Más información:
Fuente: Hispasec

ACTUALIZACION. Microsoft actualiza IIS 6.0.

Microsoft Internet Information Services (IIS) 6.0 se ve afectado por una vulnerabilidad de desbordamiento de búfer que está siendo explotada de forma activa y que no será corregida por estar fuera de soporte. Una vez más la importancia de mantener el software actualizado.
El 15 de junio de 2015, hace ya más de año y medio, Microsoft finalizó el soporte para el sistema operativo Windows Server 2003, que incluía el servidor web Information Services (IIS) 6.0. Como ya sabemos el fin de soporte significa que aunque el software sigue funcionando ya no recibe actualizaciones, por lo que en caso de aparecer una vulnerabilidad grave, como es el caso, los usuarios se quedan desprotegidos.
Detalle de la vulnerabilidad
      El fallo concretamente reside en la función ScStoragePathFromUrl del servicio WebDAV (Web Distributed Authoring and Versioning). Con CVE-2017-7269 consiste en una validación incorrecta de una cabecera 'IF' de gran tamaño (que provoca el desbordamiento de búfer) en una petición PROPFIND y podría permitir a un atacante remoto la ejecución de código arbitrario.
      Según los investigadores que han encontrado el fallo la vulnerabilidad puede estar explotándose de forma activa desde julio o agosto del año pasado. Todo indica que en la actualidad otros atacantes están creando código malicioso basado en la prueba de concepto original.
      Los fallos en WebDAV no son nuevos, desde el principio fue una tecnología que causo múltiples problemas y riesgos. Web Distributed Authoring and Versioning (WebDAV) es una extensión del protocolo http que permite la colaboración remota y la administración de contenidos web. WebDAV permite editar y manejar ficheros y atributos a través de web (lo que ya de por sí lo convierte en un potencial problema de seguridad). WebDAV extiende el conjunto de cabeceras y métodos del estándar http para incluir métodos como COPY, LOCK, MKCOL, PROPFIND, UNLOCK, etc.
      Aunque en la actualidad no son muchos los sitios con IIS 6.0, "haberlos haylos". Según W3Tech representan el 1,3% de todos los servidores web. Aunque otras fuentes, como BuitWith eleva ese porcentaje al 2,3%, que se cifra en más de 8 millones de sitios web.
Recomendación
  Como contramedida, la única solución posible pasa por desactivar WebDAV en los servidores IIS 6.0. Este problema no afecta a las versiones actuales de IIS. En cualquier caso, la recomendación pasa por actualizar a un sistema más moderno y soportado por el fabricante, que siempre podrá proporcionar actualizaciones para solventar las vulnerabilidades.
Más información:
 Usage statistics and market share of Microsoft-IIS version 6 for websites https://w3techs.com/technologies/details/ws-microsoftiis/6/all
      Websites using IIS 6 https://trends.builtwith.com/Web-Server/IIS-6
      Millions of Websites Affected by IIS 6.0 Zero-Day http://www.securityweek.com/millions-websites-affected-iis-60-zero-day
Fuente: Hispasec

MOODLE. Corregidas varias vulnerabilidades

Moodle ha publicado cuatro alertas de seguridad en las que se corrigen otras tantas vulnerabilidades que podrían permitir el acceso a información sensible, construir ataques de cross-site scripting o la ejecución de código remoto.
Moodle es una popular plataforma educativa de código abierto que permite a los educadores crear y gestionar tanto usuarios como cursos de modalidad e-learning. Además proporciona herramientas para la comunicación entre formadores y alumnos.
Detalle de la actualización
·      Se han publicado cuatro boletines de seguridad (MSA-17-0004 y MSA-17-0006 al MSA-17-0009), dos de ellos considerados como de gravedad seria y los otros dos como de importancia menor.
·        El problema que puede ser considerado de mayor gravedad reside en una inyección SQL a través de las preferencias de usuario en Moodle 3.2. El problema podría permitir la ejecución de código arbitrario en Moodle 3.2.1. Afecta a todas las versiones Moodle, aunque en versiones anteriores a la 3.2 solo puede explotarse por administradores a través de servicios web.
·       También de gravedad alta un cross-site scripting (CVE-2017-2645) en archivos adjuntados como evidencia de aprendizajes anteriores. Afecta a versiones 3.2 a 3.2.1 y 3.1 a 3.1.4.
·        De gravedad menor, una búsqueda global puede permitir a usuarios invitados obtener los nombres de todos los usuarios (CVE-2017-2643). Afecta a versiones 3.2 a 3.2.1. Por último, usuarios registrados pueden presentar una evidencia de aprendizaje previo que incluya un cross-site scripting que se ejecutará por otro usuario que intente editar la misma evidencia (CVE-2017-2644).
Recomendación
·        Las versiones 3.2.2, 3.1.5, 3.0.9 y 2.7.19 solucionan todas las vulnerabilidades. Se encuentran disponibles para su descarga desde la página oficial de Moodle. http://download.moodle.org/
Más información:
·        Security Announcements https://moodle.org/security/
·        MSA-17-0005: SQL injection via user preferences https://moodle.org/mod/forum/discuss.php?d=349419
·        MSA-17-0007: Global search displays user names for unauthenticated users  https://moodle.org/mod/forum/discuss.php?d=349420
·        MSA-17-0008: XSS in evidence of prior learning https://moodle.org/mod/forum/discuss.php?d=349421
·        MSA-17-0009: XSS in attachments to evidence of prior learning https://moodle.org/mod/forum/discuss.php?d=349422
Fuente: Hispasec

iOS. Nueva versión evita grave vulnerabilidad en el chip WiFi

Hace una semana que Apple publicó un conjunto de actualizaciones para múltiples productos, incluyendo la nueva versión iOS 10.3 para sus dispositivos móviles (iPad, iPhone, iPod...). Ahora publica la versión 10.3.1 destinada a solucionar una grave vulnerabilidad en el chip WiFi.
La escasa diferencia de tiempo entre la publicación de ambas versiones da una idea de la importancia que supone este nuevo fallo. Una vez más este problema ha sido anunciado por los investigadores de Project Zero de Google.
Detalle de la actualización
·        El problema, con CVE-2017-6975, puede permitir la ejecución de código arbitrario en el chip WiFi. El problema reside en el firmware de los chips Broadcom Wi-Fi HardMAC SoC cuando se renegocia una conexión a la red WiFi.
·        Esta nueva versión está disponible para los dispositivos iPhone 5 (y posteriores), iPad de 4ª generación y posteriores e iPod touch de 6ª generación y posteriores. Como es habitual esta actualización está disponible desde Ajustes, en General/Actualización de software.
·        Pero como hemos dicho el problema reside en los chips Broadcom, por lo que no solo afecta a los dispositivos de Apple; también se extiende a otros fabricantes como Samsung o los Nexus de Google, que también se ven parcheados con la actualización de seguridad de abril para Android.
Más información:
·        una-al-dia (28/03/2017) Apple publica actualizaciones para múltiples productos http://unaaldia.hispasec.com/2017/03/apple-publica-actualizaciones-para.html
·        About the security content of iOS 10.3.1 https://support.apple.com/en-us/HT207688
·        Broadcom: Stack buffer overflow when handling 802.11r (FT) authentication response https://bugs.chromium.org/p/project-zero/issues/detail?id=1059
Fuente: Hispasec

GOOGLE. Corrige 102 vulnerabilidades en Android

Google ha publicado el boletín de seguridad Android correspondiente al mes de abril en el que corrige un total de 102 vulnerabilidades, 15 de ellas calificadas como críticas.
Resumen de la actualización
·       Como es habitual, Google divide las vulnerabilidades corregidas en dos bloques principales en función de los componentes afectados. En el nivel de parches de seguridad 2017-04-01 ("2017-04-01 security patch level") se encuentran los que afectan al núcleo de servicios Android, controladores y componentes que todos los fabricantes de smartphones Android deberían incluir con mayor prioridad.
·     En este bloque se solucionan 23 vulnerabilidades, seis de ellas se consideran críticas y podrían permitir la ejecución remota de código a través de Mediaserver. Otras nueve de ellas son de gravedad alta y ocho de importancia moderada.
·    Por otra parte en el nivel de parches de seguridad 2017-04-05 ("2017-04-05 security patch level") se incluyen vulnerabilidades en controladores y componentes incluidos solo por algunos fabricantes en sus versiones de Android. En este bloque se solucionan un total de 79 fallos en subsistemas del kernel, controladores y componentes OEM. 26 de las vulnerabilidades están consideradas críticas, 38 de gravedad alta y 15 de riesgo medio. Cabe destacar que los componentes Qualcomm son los más afectados.
·     Los problemas críticos podrían permitir la ejecución remota de código por vulnerabilidades en el firmware de WiFi de Broadcom (que también ha sido corregida por Apple para sus dispositivos iOS), en el controlador del motor criptográfico de Qualcomm y en el subsistema de red del kernel. También incluyen vulnerabilidades de elevación de privilegios en los controladores táctiles MediaTek y HTC y en el subsistema ION del kernel; así como diferentes vulnerabilidades en componentes Qualcomm.
·        A pesar de las actualizaciones de Google para Android, estas solo llegan puntualmente a los dispositivos Pixel y Nexus, los propios de Google. Es destacable el esfuerzo realizado por otros fabricantes, como Samsung o Blackberry, que también están aplicando las actualizaciones con periodicidad. En otros casos, la actualización también incluye a las operadoras de telefonía, lo cual alarga aun más el proceso de actualización. Lamentablemente esto no ocurre con todos los fabricantes. En la mayoría de los casos, que la actualización llegue al usuario, si llega, puede alargarse muchos meses desde su publicación por parte de Google. Por ello, como ya hemos comentado en múltiples ocasiones las actualizaciones siguen siendo uno de los puntos débiles de Android.
Más información:
·        Android Security Bulletin—April 2017 https://source.android.com/security/bulletin/2017-04-01.html
Fuente: Hispasec

ASTERISK. Actualización de seguridad

Asterisk ha publicado una actualización de seguridad para solucionar una vulnerabilidad que podría permitir a un atacante remoto autenticado ejecutar código arbitrario en los sistemas afectados.
Asterisk es una implementación de una central telefónica (PBX) de código abierto. Como cualquier PBX, se pueden conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el exterior. Asterisk es ampliamente usado e incluye un gran número de interesantes características: buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. Además el software creado por Digium está disponible para plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows.
Detalle de la actualización
·  El problema, descrito en el boletín AST-2017-001, reside en que no se realiza la comprobación de tamaño cuando se asigna el campo usuario en un CDR (Call Detail Record). Esto posibilita emplear una cadena demasiado larga y provocar un desbordamiento de búfer, posibilitando la inyección remota de código. Afecta a sistemas que hagan uso de CDR en determinadas configuraciones.
Recomendación
·        Afecta a Asterisk Open Source 14.x y 13.x y a Certified Asterisk 13.13. Se han publicado las versiones Asterisk Open Source 13.14.1 y 14.3.1 y Certified Asterisk 13.13-cert3 que solucionan este problema.
·        También se han publicado los siguientes parches:
Más información:
·        Asterisk Project Security Advisory - ASTERISK-2017-001 http://downloads.asterisk.org/pub/security/AST-2017-001.html
Fuente: Hispasec

DJANGO. Lanzan nuevas versiones de seguridad

La Django Software Foundation ha publicado nuevas versiones de seguridad de las ramas Django 1.10, 1.9 y 1.8, que solucionan dos vulnerabilidades de redirección abierta y un posible cross-site scripting.
Django es un framework de código abierto basado en Python para el desarrollo de sitios web siguiendo el patrón MVC (Modelo-Vista-Controlador). Fue publicado por primera vez en 2005, y desde entonces su uso ha experimentado un considerable crecimiento entre los desarrolladores. Se compone de una serie de herramientas para facilitar la creación depáginas Web, siguiendo las directrices 'DRY' (Do not repeat yourself – No se repita) evitando redundancias de código y consecuentemente reduciendo tiempo y esfuerzo.
Detalle de la actualización
·     La primera vulnerabilidad, identificada como CVE-2017-7233, debida a que en algunos casos Django confía en los datos introducidos por el usuario (p.ej django.contrib.auth.views.login () e i18n) para redireccionar al usuario a una URL "on success". Los controles de seguridad para estas redirecciones (django.utils.http.is_safe_url ()) consideran "seguras" algunas URLs numéricas (p.ej. http:999999999) cuando no deberían serlo.
·        También si un desarrollador confía en is_safe_url() para proporcionar una redirección segura y pone esta URL en un enlace, se puede sufrir un ataque cross-site scripting.
·        Por otra parte, con CVE-2017-7234, otra vulnerabilidad de redirección abierta en django.views.static.serve(). Un atacante podría explotar este tipo de vulnerabilidades  mediante una URL específicamente creada para redireccionar a la víctima a cualquier otro sitio web de forma tranparente y sin notificación.
Recomendación
·        Django Software Foundation ha publicado las versiones Django 1.10.7, 1.9.13 y 1.8.18 de Django que solucionan las vulnerabilidades. Las actualizaciones están disponibles a desde la página oficial de Django.
·        También se encuentran disponibles parches para cada problema, disponibles desde hithub o a través del aviso publicado: https://www.djangoproject.com/weblog/2017/apr/04/security-releases/
Más información:
·       Django security releases issued: 1.10.7, 1.9.13, and 1.8.18 https://www.djangoproject.com/weblog/2017/apr/04/security-releases/
Fuente: Hispasec

CISCO. Actualizaciones para múltiples dispositivos

Cisco ha publicado 23 boletines de seguridad para solucionar otras tantas vulnerabilidades (una crítica, tres de gravedad alta y el resto de importancia media)
Recursos afectados
1.    Cisco Aironet 1830 Series y 1850 Series
2.    Cisco Wireless LAN Controller
3.    Cisco UCS Manager,
4.    Cisco Firepower 4100 Series NGFW
5.    Cisco Firepower 9300
6.    Cisco UCS Director
7.    Cisco Unified Communications Manager
8.    Cisco Registered Envelope Service
9.    Cisco IOS XE
10. Cisco Prime Infrastructure, Cisco Evolved Programmable Network Manager
11. Cisco Mobility Express 2800 y 3800 Series Wireless LAN Controllers
12. Cisco Integrated Management Controller
13. Cisco Firepower Detection Engine
14. Cisco ASR 903 y ASR 920
15. Cisco Aironet 1800, 2800 y 3800
Detalle de la actualización
·      La vulnerabilidad considerada crítica, con CVE-2017-3834, afecta a puntos de acceso Cisco Aironet 1830 Series y Cisco Aironet 1850 Series Access Points con software Cisco Mobility Express que podrían permitir a un atacante remote sin autenticar el acceso y control total de los dispositivos afectados.
·     Una vez más el fallo que parece afectar de forma recurrente a una gran mayoría de dispositivos Cisco, el recurrente problema de las credenciales estáticas por defecto.
·    Cuatro vulnerabilidades, tres de ellas consideradas de gravedad alta, afectan a Cisco Wireless LAN Controller y podrían permitir a atacantes remotos sin autenticas provocar condiciones de denegación de servicio (CVE-2017-3832, CVE-2016-9219, CVE-2016-9194 y CVE-2016-9195).
·      Otras cuatro vulnerabilidades afectan a Cisco Unified Computing System (UCS) Manager, Cisco Firepower 4100 Series Next-Generation Firewall (NGFW) y Cisco Firepower 9300 y podrían permitir atacantes locales autenticados la inyección de comandos a través de la interfaz de línea de comandos (CVE-2017-6602, CVE-2017-6601, CVE-2017-6597 y CVE-2017-6600). Esos mismos dispositivos también sufren una vulnerabilidad de inyección de comandos que podría permitir a un atacante local elevar sus privilegios (CVE-2017-6598).
·     Por otra parte, una vulnerabilidad en la comprobación de recursos basada en roles en Cisco Unified Computing System (UCS) Director podría permitir a un atacante remoto autenticado obtener información sensible de una máquina virtual en un dominio UCS (CVE-2017-3817).
·    Dos vulnerabilidades en la interfaz web de Cisco Unified Communications Manager que podrían permitir la realización de ataques de cross-site scripting (CVE-2017-3888) o de inyección SQL (CVE-2017-3886).
·     Una vulnerabilidad en un script de inicio del software Cisco IOS XE podría permitir a un atacante sin autenticar con acceso físico al sistema la ejecución de comandos arbitrarios con privilegios del usuario root (CVE-2017-6606).
·      Una vulnerabilidad, con CVE-2016-9197, en el tratamiento de comandos de la interfaz de línea de comandos de los Cisco Mobility Express 2800 y 3800 Series Wireless LAN Controllers podría permitir a atacantes locales autenticados obtener acceso Shell con privilegios de root en el sistema operativo subyacente.
·   Una vulnerabilidad en la interfaz web de Cisco Prime Infrastructure y Cisco Evolved Programmable Network (EPN) Manager podría permitir a atacantes remotos autenticados accede a información sensible (CVE-2017-3884).
·     Una vulnerabilidad en la autenticación de Puntos de Acceso Cisco Aironet 1800, 2800 y 3800 podría permitir a aatacantes locales autenticados conseguir acceso root al sistema operative Linux subyacente (CVE-2016-9196).
·     Una vulnerabilidad de redirección abierta en Cisco Registered Envelope Service (CVE-2017-3889), y vulnerabilidades de denegación de servicio en Cisco IOS XR (CVE-2017-6599), en sistemas Cisco Firepower (CVE-2017-3887 y CVE-2017-3885) y en el tratamiento de paquetes IPv6 en dispositivos Cisco ASR 903 y ASR 920.
·   Cisco ha publicado actualizaciones para las vulnerabilidades consideradas de gravedad crítica y alta. Se recomienda consultar las alertas publicadas para obtener información sobre disponibilidad de parches y actualizaciones.
Más información:
Fuente: Hispasec