22 de abril de 2018

FACEBOOK. Evitará que 1.500 millones de usuarios de fuera de la UE sean protegidos por ley de privacidad de UE

Facebook está realizando cambios para reducir la cantidad de personas que estarían protegidas por una nueva ley europea que limitará lo que la empresas pueden hacer con sus datos en línea, con el objetivo de que sea una cifra mucho menor que sus 1.900 millones de usuarios en todo el mundo.
Lo sepan o no, lo miembros de Facebook fuera de Estados Unidos y Canadá actualmente están cubiertos por los términos de servicio acordados con la oficina central internacional de la empresa en Irlanda.
El próximo mes, Facebook planea que eso sea así sólo para los usuarios europeos, lo que significa que 1.500 millones de usuarios en África, Asia, Australia y América Latina no serán protegidos por el Reglamento General de Protección de Datos (RGPD) de la Unión Europea, que entra en vigor el 25 de mayo.
La decisión previamente no informada, que Facebook confirmó a Reuters el martes, muestra que la mayor red social del mundo busca reducir su exposición a la RGPD, que permite a los reguladores europeos multar a las empresas que reúnan datos o utilicen información personal sin la autorización de los usuarios.
Eso elimina un enorme problema para Facebook, ya que la nueva ley europea permite multas de hasta un 4 por ciento de los ingresos globales anuales de los infractores, que en el caso de la mayor red social del mundo podría significar miles de millones de dólares.
El cambio ocurre en momentos en que Facebook está bajo la lupa de reguladores y legisladores de todo mundo, luego de que reveló el mes pasado que la información personal de millones de usuarios terminó erróneamente en las manos de la consultora política Cambridge Analytica, lo que generó preocupaciones sobre cómo protege los datos de las personas.
El cambio afecta a sobre un 70 por ciento de los más de 2.000 millones de usuarios de Facebook. Hasta diciembre, Facebook tenía 239 millones de usuarios en Estados Unidos y Canadá, 370 millones en Europa y 1.520 millones en otras zonas del mundo.
Al igual que muchas otras empresas tecnológicas estadounidenses, Facebook creó una filial en Irlanda en 2008 y sacó provecho de sus bajas tasas de impuestos corporativos, redirigiendo al país sus ingresos por ventas de publicidad fuera de Norteamérica. La unidad está sujeta a las normas aplicadas por la Unión Europea.
Facebook dice que el más reciente cambio no tiene efectos tributarios.
En un comunicado entregado a Reuters, Facebook restó importancia a los cambios de los términos de servicio, afirmando que planea hacer disponibles en todo el mundo los controles de privacidad y ajustes que obtendrá Europa bajo la RGPD.
“Nosotros aplicamos las mismas protecciones de privacidad en todas partes, sin importar si tu acuerdo es con Facebook Inc o Facebook Irlanda”, sostuvo la empresa.
Previamente este mes, el presidente ejecutivo de Facebook, Mark Zuckerberg, dijo a Reuters en una entrevista que su empresa aplicará globalmente la ley de la UE “en espíritu”, pero no se comprometió a convertirla en la norma de la red social en todo el mundo.
En la práctica, el cambio significa que 1.500 millones de usuarios afectados no podrán presentar demandas ante el Comisario de Protección de Datos de Irlanda o los tribunales irlandeses. En su lugar, estarán regidos por las notas de privacidad más laxas de Estados Unidos, dijo Michael Veale, investigador de políticas tecnológicas de University College London.
Facebook tendrá mayor libertad para manejas los datos de sus usuarios, dijo Veale. Ciertos tipos de datos, como el historial de navegación, por ejemplo, son considerados personales bajo la ley de la UE, pero no están protegidos en Estados Unidos, sostuvo.
Fuente: Reuters

PDVSA. Clonan sistema informático para robar 5.200 millones de dólares

La pugna por el expolio de la petrolera estatal venezolana incluyó la creación de un servidor paralelo que permitía modificar en tiempo real las ofertas de licitaciones
La última gran trama denunciada, en la que hubo clonación del sistema informático de la entidad estatal para amañar operaciones y saquear la empresa, acaba de llegar a los tribunales de Estados Unidos.
En la trama, en marcha desde 2004, participaron directivos de la propia Pdvsa e importantes compañías de comercio energético, con un daño a la estatal petrolera estimado en más de 5.200 millones de dólares. Nicolás Maduro ha aprovechado la ocasión para arremeter contra la gestión de Pdvsa durante el largo tiempo que la presidió Rafael Ramírez (uno de las máximas figuras políticas en la era de Hugo Chávez, hoy depurado por Maduro).
Ya ha habido otras denuncias sobre sobornos a directivos de Pdvsa (singularmente la investigación abierta en Houston y que puede acabar inculpando a Ramírez), pero lo especial de este último caso es que la denuncia la ha presentado la propia Pdvsa (a través de un oscuro fideicomiso).
En realidad, no se trata de una cruzada por la limpieza y la honestidad, sino que obedece a una lucha de facciones, en un capítulo más de la pugna por el expolio de la empresa, en medio de un pulso entre empresarios vinculados a diferentes sectores chavistas.
A principios de marzo de 2018, el fideicomiso PDVSA US Litigation denunció ante la Corte de Distrito del Sur de Florida que dos consultores venezolanos, mediante el soborno a varios directivos de la petrolera, actuaron conjuntamente con varios corredores internacionales de petróleo para beneficiarse de los contratos de venta y suministro de Pdvsa. La lista incluye a algunos de los principales corredores mundiales, como Glencore, Vitol y Trafigura, y a destacadas compañías energéticas, como Lukoil y Colonial Oil Industries.
La demanda señala que Francisco Morillo y Leonardo Baquero, que crearon la firma Helsinge y se relacionaron comercialmente con Pdvsa, contaron con la ayuda desde dentro de la petrolera de cuatro de sus principales directivos: Marco Malave, jefe del departamento Comercial y de Suministros de 2012 a 2017, y su sucesor, Ysmel Serano (hoy vicepresidente de la estatal); René Hecker, gerente de ese mismo departamento hasta 2013, y Edgar García, gerente del departamento de Flete y Transporte hasta 2008.
Las acciones fraudulentas se desarrollaron desde al menos 2004 hasta muy recientemente, según consta en la demanda, en una trama de «millones de dólares» en sobornos, pagados muchos de ellos a través de Panamá, y de «miles de millones de dólares» en beneficio para Helsinge y las compañías corredoras internacionales, enriquecidas por los menores pagos realizados a Pdvsa y el sobreprecio de los productos vendidos a esta. El abogado del fideicomiso, David Boies, aseguró estimar en 5.200 millones de dólares lo que Pdvsa dejó de ingresar por la acción de los confabulados.
La trama tuvo acceso directo en tiempo real al sistema informático de la compañía estatal mediante la clonación del servidor del departamento Comercial y de Suministros. El servidor clonado se instaló en las oficinas de Morillo y Baquero en Miami. De esta manera pudieron conocer con antelación las ofertas de otras compañías en procesos de licitación y modificar en su ventaja datos del sistema (la documentación que oficialmente debía guardarse era destruida para evitar la detección de esos cambios).
Imágenes de pantallas de ordenador, obtenidas por ABC, parecen recoger los rastros de esos movimientos de «hackeo». En una de ellas se aprecia el uso de cuentas de correo electrónico que simulan ser de Pdvsa, pero en las que figura ese nombre sin la ese (pdva.com), llevando al equívoco.
Todo esto obedece a una lucha entre facciones. Detrás de la presentación de la demanda se encuentra Wilmer Ruperti, empresario que en el arranque del chavismo se vio favorecido por Hugo Chávez por haber puesto sus barcos a disposición del Gobierno durante el paro petrolero de 2002-2003.
Fuente: ABC.es

CHINA. Presidente dice que control de internet es clave para la estabilidad

China debe fortalecer su control sobre internet para asegurar el cumplimiento de sus objetivos sociales y económicos más amplios, informó la agencia de noticias estatal Xinhua el sábado, citando comentarios del presidente Xi Jinping, subrayando una actitud de endurecimiento frente al contenido en la red.
Bajo el gobierno de Xi, China ha reforzado cada vez más su control sobre internet, preocupado por la posibilidad de perder influencia y control sobre una generación más joven que está impulsando una cultura en línea diversa y vibrante desde la transmisión en vivo hasta los blogs.
“Sin seguridad en la red no hay seguridad nacional, no hay estabilidad económica y social, y es difícil garantizar los intereses de las masas en general”, dijo Xi.
“No podemos permitir que internet se convierta en una plataforma para diseminar información dañina y provocar problemas con los rumores”, agregó en comentarios hechos en una conferencia de ciberseguridad en Pekín, dijo Xinhua.
Los reguladores chinos han estado impulsando una dura ofensiva contra el contenido en los medios, que ha estado ganando fuerza desde el año pasado, extendiendo la preocupación entre los creadores de contenido y los distribuidores.
China también busca asumir un papel de liderazgo a nivel mundial en la regulación de internet y de la tecnología en general, algo que ha empezado a captar más la atención en medio de una pugna comercial con los Estados Unidos.
Estados Unidos prohibió esta semana las ventas de partes y software al fabricante chino de equipos de telecomunicaciones ZTE, algo que según la firma china amenaza su sobrevivencia. ZTE usa chips estadounidenses en muchos de sus móviles.
El caso de ZTE “provocó un acalorado debate” en China sobre tecnología avanzada, dijo Xinhua en un informe separado el sábado, añadiendo que dominar las tecnologías de punta como los chips es “clave” para convertirse en una nación fuerte.
Fuente: Reuters

APPLE. Ofrece reemplazo de baterías para los MacBooks fallidos

Apple dijo el viernes que la falla de componentes en un número limitado de MacBook Pro ha causado que la batería incorporada se expanda, y agregó que ofrecerá un reemplazo gratuito en todo el mundo para esas fuentes de energía.
Apple sostuvo que la falla, informada en algunos MacBook Pro de 13 pulgadas sin barras táctiles, no es un problema de seguridad.
Las unidades afectadas fueron fabricadas entre octubre de 2016 y octubre de 2017, dijo Apple en su página de soporte, aunque no especificó la cantidad real de MacBooks afectadas.
El fabricante de iPhone había sido objeto de escrutinio luego de que confirmara en diciembre que el software para lidiar con baterías viejas en los modelos iPhone 6, iPhone 6s y iPhone SE podría ralentizar el rendimiento.
La compañía luego se disculpó y bajó el precio de los reemplazos de batería para los modelos afectados a 29 dólares desde 79 dólares.
Fuente: Reuters

AMAZON. Garantiza derechos de transmisión partidos en EEUU, Reino Unido e Irlanda

Amazon.com confirmó el jueves que aseguró los derechos en Reino Unido e Irlanda para transmitir el Abierto de Tenis de Estados Unidos, agregando su primer Grand Slam a una oferta deportiva que ya incluye partidos del ATP World Tour.
En la imagen de archivo el logo de Amazon se puede ver en la feria Young Entrepreneurs en París, Francia, el 7 de febrero de 2018. REUTERS / Charles Platiau
El acuerdo de cinco años comenzará con la edición 2018 del Abierto de Estados Unidos, dijo la Asociación de Tenis de ese país (USTA) y estará disponible para ver en vivo y bajo demanda a suscriptores de Amazon Prime Video, el servicio de video en internet de la compañía estadounidense.
“Nos enorgullece asociarnos con la Asociación de Tenis de Estados Unidos para agregar el Abierto (...) a la creciente cartera de deportes disponible en Prime Video”, dijo Alex Green, director general de los canales deportivos europeos de Prime Video.
“Este prestigioso evento, junto con otros emocionantes eventos de tenis este año y el próximo, convierte a Prime Video en un destino para los amantes del tenis en el Reino Unido e Irlanda”.
Amazon adquirió los derechos, que previamente tenía Eurosport, por alrededor de 40 millones de dólares (30 millones de libras esterlinas), dijo The Guardian en noviembre.
Eurosport, propiedad de Discovery, alcanzó en noviembre un acuerdo para transmitir el torneo en el resto de Europa por otros cinco años.
El Abierto de Estados Unidos de este año tendrá lugar del 27 de agosto al 9 de septiembre en Nueva York.
Fuente: Reuters

LINKEDIN. Vulnerabilidad descubierta en la funcionalidad autocompletar permite robo datos

Una nueva vulnerabilidad descubierta en la popular funcionalidad de 'Autocompletar' o 'Auto fill' que puede permitir el robo de datos por parte de terceros.
Esta funcionalidad proporciona que otros sitios web puedan permitir que los usuarios de LinkedIn puedan completar rápidamente los datos del perfil, incluyendo información sensible como nombre completo, número de teléfono. dirección de correo electrónico, código postal, empresa...etc en un solo clic.
Recientemente el investigador de seguridad Jack Cable de 'Lightning Security' descubrió que podía no ser así.
Descubrió que esta funcionalidad estaba plagadas de vulnerabilidades que permitiría a cualquier sitio web obtener los datos del perfil del usuario sin que el usuario se diera cuenta.
Un atacante puede hacer que la funcionalidad autocompletar en su sitio web cambiando algunas propiedades como la de extender esta funcionalidad a través de todo el sitio web para posteriormente hacerlo invisible, en el momento en el que el usuario haga click en cualquier parte de la web desencadenaría la ejecución de esta función y el envío de los datos albergados en la funcionalidad. Por pasos sería de la siguiente manera:
1.    El usuario visita el sitio web malicioso, que carga el 'iframe' del autocompletar de LinkedIn.
2.    El 'iframe' ocupa toda la página web y es invisible al usuario.
3.    El usuario hace clic en cualquier parte de la web.
4.    Los datos son enviados un sitio web malicioso.
Esta vulnerabilidad fue reportada e inmediatamente la compañía emitió una solución temporal a este posible ataque. La corrección restringe el uso de la función autocompletar a los sitios incluidos en la 'white list' o lista blanca.
El mismo investigador ha subrayado que el parche está incompleto y que aún permitiría usar esta características por los dominios incluidos en la lista blanca. Por lo tanto si cualquiera de estos sitios se viera comprometido, podría hacerse uso de este ataque.
Por parte de LinkedIn ya han lanzado el parche completo, en un comunicado por parte de la entidad aclaran lo sucedido:
"We immediately prevented unauthorized use of this feature, once we were made aware of the issue. We are now pushing another fix that will address potential additional abuse cases, and it will be in place shortly," the company said in a statement.
"While we've seen no signs of abuse, we're constantly working to ensure our members' data stays protected. We appreciate the researcher responsible reporting this, and our security team will continue to stay in touch with them."
Más información:
Fuente: Hispasec

FOXIT READER. Carga insegura de librerías

Foxit Reader, presentado como una alternativa al lector de PDF Adobe Reader con algunas mejoras, sufre de una de las vulnerabilidades menos conocidas: la carga insegura de DLL's.
Foxit Reader es una herramienta dedicada al formato de archivos PDF, que puede ver, crear, editar, imprimir y firmar digitalmente. Bajo el modelo de características base gratuitas y servicios adicionales de pago conocido como 'freemium', esta aplicación está desarrollada por Foxit Software, una compañía localizada en Fremont, California. Las primeras versiones de Foxit Reader se hicieron famosas por ser rápidas y livianas.
Esta vez, Foxit Reader es noticia por presentar una vulnerabilidad poco común, que tiene su origen en un fallo de programación a la hora de especificar las DLL's a cargar por el programa. La vulnerabilidad concreta es conocida como 'Unsafe DLL loading', y consiste en que es posible engañar al programa para que cargue una DLL diferente a la original. Debido a que por defecto las DLL's al ser cargadas ejecutan un método encargado de inicializar recursos que necesite la DLL (llamado 'DllMain'), esto es equivalente a ejecución de código arbitrario, si bien las condiciones están ciertamente restringidas.
Generalmente, en Windows la carga de DLL's funciona buscando la librería en distintas rutas, siguiendo el siguiente orden (en Windows XP, en versiones modernas varía ligeramente):
1.    Donde reside el ejecutable
2.    El directorio actual (no es lo mismo que el primer punto)
3.    El de sistema (típicamente 'C:\Windows\System32\')
4.    Otro de sistema, pero el de 16 bits ('C:\Windows\System\')
5.    El directorio de Windows ('C:\Windows\')
6.    Los directorios especificados en la variable de entorno 'PATH'
Windows no usa esa lista de búsqueda si se especifica una librería con una ruta absoluta (por ejemplo, 'C:\Windows\System32\rtutils.dll') en lugar de relativa ('rtutils.dll'), y va directamente a por la librería en esa ruta. Pero si efectivamente usa una ruta relativa, entonces usará esa lista de búsqueda. A partir de Windows XP SP2, al estar activado por defecto el valor del registro 'SafeDllSearchMode', el orden cambia y el directorio actual pasa al quinto lugar de esa lista, haciendo un poco más segura la carga de DLL's.
Sin embargo, a pesar de ésto, la carga de DLL's sigue siendo vulnerable al buscar donde reside el ejecutable, o incluso si no existe la DLL, terminaría por usar rutas como el directorio actual o sacadas de la variable de entorno 'PATH'. Lo cierto es que las condiciones son un poco especiales, y en las posibilidades de explotación se habla de una víctima ejecutando programas en un servidor de archivos remoto (un escenario no muy común y peligroso ya de por sí por otras razones).
Al final, nos quedamos con que si podemos escribir en la carpeta de una aplicación con esta vulnerabilidad, aunque no tengamos permisos de ejecución, cuando esa aplicación se ejecute tirará de la librería maliciosa plantada por el atacante en lugar de la librería del sistema. Si bien no es una técnica muy usada en explotación, sí lo es en malware, donde los autores plantan una DLL maliciosa como una forma poco usual y enrevesada de conseguir persistencia del malware en el sistema.
Foxit Software ya ha corregido esta vulnerabilidad en la última versión de Foxit Reader disponible en su página web.
Más información:
·        Foxit Reader 8.3.1.21155 (Unsafe DLL Loading Vulnerability) http://seclists.org/fulldisclosure/2018/Apr/41
·        More information about the DLL Preloading remote attack vector https://blogs.technet.microsoft.com/srd/2010/08/23/more-information-about-the-dll-preloading-remote-attack-vector/
·        Dynamic-Link Library Search Order https://msdn.microsoft.com/en-us/library/windows/desktop/ms682586(v=vs.85).aspx
Fuemte: Hispasec

LG. Fallo de seguridad CRÍTICO sin parchear en dispositivos de almacenamiento de la compañía

Un investigador de seguridad de la empresa VPN Mentor ha descubierto una vulnerabilidad de ejecución de código remoto en varios modelos de dispositivos LG NAS. Este fallo podría permitir a un atacante comprometer los dispositivos vulnerables y robar datos almacenados en ellos.
Los dispositivos NAS son unidades de almacenamiento de archivos conectadas a una red que permite a los usuarios almacenar y compartir datos con varios equipos.
El fallo en cuestión, reside en la validación incorrecta del parámetro "contraseña" de la página de inicio de sesión para la administración remota del dispositivo. Explotando este campo, los atacantes pueden pasar comandos arbitrarios del sistema.
El modo de actuar más simple para la explotación del fallo es inyectando una shell simple con la que poder ejecutar los comandos con mayor comodidad.
Con el uso de la shell, los atacantes pueden incluso descargar la base de datos completa del dispositivo NAS, incluidos los correos electrónicos, los nombres de usuario y las contraseñas hasheadas en MD5.
Dado que el cifrado MD5 es muy débil y se puede romper con facilidad, un atacante remoto podría obtener acceso autorizado y robar datos sensibles almacenados en los dispositivos vulnerables.
Otra manera de actuar sería agregar un nuevo usuario al dispositivo mediante los comandos ejecutados en la shell, e iniciar sesión con esas credenciales.
Dado que LG aún no ha lanzado una actualización que solucione el problema, se recomienda a los usuarios que posean alguno de estos dispositivos, que lo desconecte hasta que el fallo sea parcheado.
Para los usuarios que no quieran prescindir del uso de su dispositivo NAS, se recomienda asegurarse de que su dispositivo no es accesible desde Internet, que estén protegidos por un firewall que solo permita el acceso a ellos por un grupo confiable de IPs y que observen periódicamente cualquier actividad sospechosa en la verificación de usuarios y contraseñas.
Más información:
Fuente: Hispasec

PERL. Actualización de seguridad del lenguaje

Perl es un popular lenguaje de programación creado en 1987 por Larry Wall. Es un lenguaje polifacético y usado en multitud de entornos y plataformas.
La distribución del lenguaje ha recibido una actualización de seguridad que corrige tres vulnerabilidades importantes que podrían causar revelación de información, denegación de servicio y potencialmente ejecución de código arbitrario.
El primer fallo ha sido descubierto por Brian Carpenter. Se trata de un error en el procesamiento de expresiones regulares que podría causar un desbordamiento de memoria pasada en montículo a través de una expresión regular maliciosa.
El segundo fallo, descubierto por Nguyen Duc Manh, también afecta al mismo componente al hacer referencia a un elemento ya definido. Esto podría desencadenar la revelación de partes de la memoria y potencialmente un desbordamiento de memoria basada en montículo.
El último fallo ha sido descubierto por GwanYeong Kim y afecta a la función 'pack()'. Se trata, del mismo modo, de un desbordamiento de memoria basada en montículo cuando se está procesando un gran número de objetos. 
Los fallos afectan desde la versión de Perl 2.18 a la 2.26.1 inclusives.
Más información
Fuente: Hispasec

INTEL. Fallo en el componente SPI de sus procesadores permite borrar la BIOS

El pasado 3 de abril, Intel corrigió una vulnerabilidad clasificada como grave en el bus SPI de algunos de sus procesadores que permitía a un atacante provocar una denegación de servicio.
El bus SPI o bus de interfaz de periféricos serie, es un estándar utilizado para transferir información entre dispositivos electrónicos en modo full-duplex. La configuración del controlador 'SPI Flash' de algunos procesadores Intel exponía de forma insegura algunos códigos de operación que permitirían a un atacante alterar o borrar partes del firmware BIOS/UEFI, pudiendo provocar una denegación de servicio y en raros casos ejecutar código arbitrario en el sistema afectado.
Intel ha publicado la lista de los procesadores afectados:
  1. 8th generation Intel® Core™ Processors
  2. 7th generation Intel® Core™ Processors
  3. 6th generation Intel® Core™ Processors
  4. 5th generation Intel® Core™ Processors
  5. Intel® Pentium® and Celeron® Processor N3520, N2920, and N28XX
  6. Intel® Atom™ Processor x7-Z8XXX, x5-8XXX Processor Family
  7. Intel® Pentium™ Processor J3710 and N37XX
  8. Intel® Celeron™ Processor J3XXX
  9. Intel® Atom™ x5-E8000 Processor
  10. Intel® Pentium® Processor J4205 and N4200
  11. Intel® Celeron® Processor J3455, J3355, N3350, and N3450
  12. Intel® Atom™ Processor x7-E39XX Processor
  13. Intel® Xeon® Scalable Processors
  14. Intel® Xeon® Processor E3 v6 Family
  15. Intel® Xeon® Processor E3 v5 Family
  16. Intel® Xeon® Processor E7 v4 Family
  17. Intel® Xeon® Processor E7 v3 Family
  18. Intel® Xeon® Processor E7 v2 Family
  19. Intel® Xeon® Phi™ Processor x200
  20. Intel® Xeon® Processor D Family
  21. Intel® Atom™ Processor C Series
La vulnerabilidad, etiquetada con CVE-2017-5703 ha recibido la calificación de 7.9 de 10 en base al CVSS v3.0. El fallo ya se encuentra solucionado y los fabricantes han publicado las respectivas actualizaciones en forma de parches o actualizaciones de la BIOS. Se recomienda actualizar cuanto antes los sistemas Intel basados en SPI.
Más información:
Fuente: Hispasec

ORACLE. Actualizaciones críticas de Abril de 2018

Oracle ha publicado una actualización crítica con parches para corregir vulnerabilidades que afectan a múltiples productos, catalogada de  Importancia: 5 - Crítica
Recursos afectados:
  1. Enterprise Manager Base Platform, versiones 12.1.0.5, 13.2.0.0
  2. Enterprise Manager for MySQL Database, versión 12.1.0.4
  3. Enterprise Manager for Virtualization, versión 13.2
  4. Enterprise Manager Ops Center, versiones 12.2.2, 12.3.3
  5. Hardware Management Pack, versiones anterior a 2.4.3
  6. Instantis EnterpriseTrack, versiones 17.1, 17.2
  7. Integrated Lights Out Manager (ILOM), versiones 3.x, 4.x
  8. JD Edwards EnterpriseOne Tools, versión 9.2.2
  9. JD Edwards World Security, versiones A9.2, A9.3, A9.4
  10. Management Pack for Oracle GoldenGate, versión 11.2.1.0.13
  11. MICROS Handheld Terminal, versiones anterior a Fusion 2.03.0.0.021R
  12. MICROS Lucas, versión 2.9.5
  13. MySQL Cluster, versiones 7.2.27 y anteriores, 7.3.16 y anteriores, 7.4.14 y anteriores, 7.5.5 y anteriores
  14. MySQL Enterprise Monitor, versiones 3.3.7.3306 y anteriores, 3.4.5.4248 y anteriores, 4.0.2.5168 y anteriores
  15. MySQL Server, versiones 5.5.59 y anteriores, 5.6.39 y anteriores, 5.7.21 y anteriores
  16. Oracle Access Manager, versiones 10.1.4.3.0, 11.1.2.3.0, 12.2.1.3.0
  17. Oracle Adaptive Access Manager, versión 11.1.2.3.0
  18. Oracle Agile Engineering Data Management, versiones 6.1.3, 6.2.0, 6.2.1
  19. Oracle Agile PLM Framework, versión 9.3.6
  20. Oracle Agile Product Lifecycle Management for Process, versiones 6.1.1.6, 6.2.0.0, 6.2.1.0
  21. Oracle Application Testing Suite, versiones 12.5.0.3, 13.1.0.1, 13.2.0.1
  22. Oracle Banking Corporate Lending, versiones 12.3.0, 12.4.0, 12.5.0, 14.0.0
  23. Oracle Banking Enterprise Collections, versión 2.6
  24. Oracle Banking Enterprise Originations, versión 2.6
  25. Oracle Banking Enterprise Product Manufacturing, versión 2.6
  26. Oracle Banking Payments, versiones 12.3.0, 12.4.0, 12.5.0, 14.0.0
  27. Oracle Banking Platform, versiones 2.4, 2.5, 2.6
  28. Oracle Big Data Discovery, versión 1.6.0
  29. Oracle Business Intelligence Data Warehouse Administration Console, versión 11.1.1.6.4
  30. Oracle Business Intelligence Enterprise Edition, versiones 11.1.1.7.0, 11.1.1.9.0, 12.2.1.2.0, 12.2.1.3.0
  31. Oracle Communications Calendar Server, versión 8.x
  32. Oracle Communications Contacts Server, versión 8.x
  33. Oracle Communications EAGLE LNP Application Processor, versiones 10.1.0.0.0 y anteriores
  34. Oracle Communications Messaging Server, versión 8.x
  35. Oracle Communications MetaSolv Solution, versión 6.3.0
  36. Oracle Communications Network Charging and Control, versiones 4.4.1.5.0, 5.0.0.1.0, 5.0.0.2.0, 5.0.1.0.0, 5.0.2.0.0
  37. Oracle Communications Network Intelligence, versión 7.3.x
  38. Oracle Communications Order and Service Management, versiones 7.2.4.3.0, 7.3.0.1.x, 7.3.1.0.7, 7.3.5.0.x
  39. Oracle Communications Unified Inventory Management, versión 7.x
  40. Oracle Data Visualization Desktop, versión 12.2.4.1.1
  41. Oracle Database Server, versiones 11.2.0.4, 12.1.0.2, 12.2.0.1, 18.1.0.0
  42. Oracle E-Business Suite, versiones 12.1.1, 12.1.2, 12.1.3, 12.2.3, 12.2.4, 12.2.5, 12.2.6, 12.2.7
  43. Oracle Endeca Information Discovery Integrator, versiones 3.1, 3.2
  44. Oracle Endeca Information Discovery Studio, versiones 7.6.1.0.0, 7.7.0.0.0
  45. Oracle Endeca Server, versión 7.7
  46. Oracle Enterprise Repository, versiones 11.1.1.7.0, 12.1.3.0.0
  47. Oracle Financial Services Analytical Applications Infrastructure, versiones 7.3.x, 8.0.x
  48. Oracle Financial Services Basel Regulatory Capital Basic, versión 8.0.x
  49. Oracle Financial Services Basel Regulatory Capital Internal Ratings Based Approach, versión 8.0.x
  50. Oracle Financial Services Hedge Management and IFRS Valuations, versiones 8.0.4, 8.0.5
  51. Oracle Financial Services Market Risk Measurement and Management, versión 8.0.5
  52. Oracle FLEXCUBE Core Banking, versiones 11.5.0, 11.6.0, 11.7.0
  53. Oracle FLEXCUBE Enterprise Limits and Collateral Management, versiones 12.3.0, 14.0.0
  54. Oracle FLEXCUBE Investor Servicing, versiones 12.0.4, 12.1.0, 12.3.0, 12.4.0
  55. Oracle FLEXCUBE Private Banking, versiones 12.0.0, 12.1.0
  56. Oracle FLEXCUBE Universal Banking, versiones 11.3.0, 11.4.0, 12.0.1, 12.0.2, 12.0.3, 12.1.0, 12.2.0, 12.3.0, 12.4.0, 14.0.0
  57. Oracle Fusion Applications , versiones 11.1.2 through 11.1.9
  58. Oracle Fusion Middleware, versiones 11.1.1.7, 11.1.1.9, 11.1.2.3, 12.1.3.0, 12.2.1.2, 12.2.1.3
  59. Oracle Fusion Middleware MapViewer, versiones 11.1.1.7.0, 11.1.1.9.0
  60. Oracle GoldenGate, versión 12.2.0.1
  61. Oracle GoldenGate Veridata, versiones 11.2.0.1.2, 12.1.3.0.0
  62. Oracle Hospitality Cruise Fleet Management System, versión 9.x
  63. Oracle Hospitality Guest Access, versiones 4.2.0, 4.2.1
  64. Oracle Hospitality Reporting and Analytics, versión 9.0
  65. Oracle Hospitality Simphony, versiones 2.7, 2.8, 2.9, 2.10
  66. Oracle Hospitality Simphony First Edition, versiones 1.6, 1.7
  67. Oracle Hospitality Suite8, versión 8.x
  68. Oracle HTTP Server, versiones 12.1.3, 12.2.1.2
  69. Oracle Java SE, versiones 6u181, 7u161, 7u171, 8u152, 8u162, 10
  70. Oracle Java SE Embedded, versiones 8u152, 8u161
  71. Oracle JRockit, versión R28.3.17
  72. Oracle Managed File Transfer, versiones 12.1.3.0.0, 12.2.1.2.0, 12.2.1.3.0
  73. Oracle Mobile Security Suite, versión 3.0.1
  74. Oracle Outside In Technology, versión 8.5.3
  75. Oracle Retail Advanced Inventory Planning, versiones 13.2, 13.4, 14.1, 15.0
  76. Oracle Retail Back Office, versiones 13.4.9, 14.0.4, 14.1.3
  77. Oracle Retail Central Office, versiones 13.4.9, 14.0.4, 14.1.3
  78. Oracle Retail Customer Engagement, versión 16.0
  79. Oracle Retail EFTLink, versiones 1.1.125, 15.0.2, 16.0.3
  80. Oracle Retail Insights, versiones 14.0, 14.1, 15.0, 16.0
  81. Oracle Retail Integration Bus, versión 13.2
  82. Oracle Retail Invoice Matching, versiones 12.0, 13.0, 13.1, 13.2, 14.0, 14.1, 15.0, 16.0
  83. Oracle Retail Merchandising System, versión 16.0
  84. Oracle Retail Order Broker, versiones 5.0, 5.1, 5.2, 15.0, 16.0
  85. Oracle Retail Order Management System, versiones 4.0, 4.5, 4.7, 5.0
  86. Oracle Retail Point-of-Service, versiones 13.3.8, 13.4.9, 14.0.4, 14.1.3
  87. Oracle Retail Predictive Application Server, versiones 13.4.3, 14.0.3, 14.1.3
  88. Oracle Retail Price Management, versiones 12.0, 13.0, 13.1, 13.2, 14.0, 14.1, 15.0, 16.0
  89. Oracle Retail Returns Management, versiones 2.3.8, 2.4.9, 14.0.4, 14.1.3
  90. Oracle Retail Store Inventory Management, versiones 12.0.12, 13.0.7, 13.1.9, 13.2.9, 14.0.4, 14.1.3, 15.0.2, 16.0.1
  91. Oracle Retail Xstore Point of Service, versiones 6.0, 6.0.12, 6.5, 6.5.12, 7.0, 7.0.7, 7.1, 7.1.7, 15.0, 15.0.2, 16.0, 16.0.3
  92. Oracle Secure Global Desktop (SGD), versión 5.3
  93. Oracle Security Service, versiones 12.1.3.0.0, 12.2.1.2.0
  94. Oracle Transportation Management, versiones 6.2, 6.4.3
  95. Oracle Tuxedo, versión 12.1.1.0.0
  96. Oracle Utilities Framework, versiones 2.2.0, 4.2.0, 4.3.0
  97. Oracle VM VirtualBox, versiones anterior a 5.1.36, anterior a 5.2.10
  98. Oracle WebCenter Content, versiones 11.1.1.9.0, 12.2.1.2.0, 12.2.1.3.0
  99. Oracle WebCenter Portal, versiones 12.2.1.2.0, 12.2.1.3.0
  100. Oracle WebCenter Sites, versiones 11.1.1.8.0, 12.2.1.2.0, 12.2.1.3.0
  101. Oracle WebLogic Portal, versión 10.3.6.0.0
  102. Oracle WebLogic Server, versiones 10.3.6.0, 12.1.3.0, 12.2.1.2, 12.2.1.3
  103. OSS Support Tools, versiones anterior a 18.2
  104. PeopleSoft Enterprise HCM, versión 9.2
  105. PeopleSoft Enterprise HCM Shared Components, versión 9.2
  106. PeopleSoft Enterprise PeopleTools, versiones 8.54, 8.55, 8.56
  107. PeopleSoft Enterprise PRTL Interaction Hub, versión 9.1
  108. PeopleSoft Enterprise PT PeopleTools, versiones 8.54, 8.55, 8.56
  109. Primavera P6 Enterprise Project Portfolio Management, versiones 16.2, 17.1 – 17.12
  110. Primavera Unifier, versiones 16.x, 17.x
  111. Real-Time Decisions (RTD) Solutions, versión 3.2.0.0.0
  112. Siebel Applications, versión 17.0
  113. Solaris, versiones 10, 11.3
  114. Solaris Cluster, versión 4.3
  115. Sun ZFS Storage Appliance Kit (AK), versiones anterior a 8.7.17
Detalle de vulnrabilidades
Esta actualización resuelve un total de 254 vulnerabilidades, algunas de las cuales son críticas. El detalle de las vulnerabilidades resueltas se puede consultar en el enlace de Oracle de la sección de Referencias.
Recomendación
Aplicar los parches correspondientes según el/los productos afectados. La información para descargar las actualizaciones puede obtenerse del boletín de seguridad publicado por Oracle desde http://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.html  
Fuente: INCIBE

CISCO. Múltiples vulnerabilidades en productos de la firma

Se han publicado 11 boletines de seguridad que afectan a múltiples productos Cisco siendo 2 de severidad crítica y 9 de severidad alta, catalogados de  Importancia: 5 - Crítica
Recursos afectados:
  1. Cisco WebEx Business Suite (WBS31) client builds versiones anteriores a la T31.23.2
  2. Cisco WebEx Business Suite (WBS32) client builds versiones anteriores a la T32.10
  3. Cisco WebEx Meetings con client builds versiones anteriores a la T32.10
  4. Cisco WebEx Meetings Server builds versiones anteriores a la 2.8 MR2
  5. Cisco Unified Computing System (UCS) Director versiones 6.0 y 6.5 anteriores al patch 3 presente en la configuración por defecto.
  6. Aggregation Services Router (ASR) 5700 Series
  7. Virtualized Packet Core—Distributed Instance (VPC—DI) System Software
  8. Virtualized Packet Core—Single Instance (VPC—SI) System Software
  9. Todas las plataformas Cisco IOS XR 6.3.1, 6.2.3 o anteriores, con al menos una dirección de ayuda IPv4 configurada en el interfaz del dispositivo.
  10. Adaptive Security Appliance (ASA) 5500-X Series Firewalls con FirePOWER Services
  11. Adaptive Security Appliance (ASA) 5500-X Series Next-Generation Firewalls
  12. Advanced Malware Protection (AMP) for Networks, 7000 Series Appliances
  13. Advanced Malware Protection (AMP) for Networks, 8000 Series Appliances
  14. Firepower 4100, 7000 y 8000 Series Appliances
  15. Firepower 2100, 4100 y 9300 Series Security Appliances
  16. Firepower Threat Defense for Integrated Services Routers (ISRs)
  17. Firepower Threat Defense Virtual for VMware
  18. Industrial Security Appliance 3000
  19. Sourcefire 3D System Appliances
  20. Cisco Firepower Threat Defense (FTD) Software versiones 6.2.1 y 6.2.2.
  21. 3000 Series Industrial Security Appliances (ISA)
  22. ASA 5500 Series Adaptive Security Appliances
  23. ASA 5500-X Series Next-Generation Firewalls
  24. ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers
  25. Adaptive Security Virtual Appliance (ASAv)
  26. Firepower 9300 ASA Security Module
  27. Firepower Threat Defense Virtual (FTDv)
Detalle de vulnerabilidades
Las vulnerabilidades de severidad crítica son:
  • Vulnerabilidad de ejecución remota de código en Cisco WebEx Clients: Un atacante puede enviar un archivo ".swf" malicioso a través del sistema de intercambio de archivos del cliente, cuando un asistente a la reunión abra dicho archivo flash malicioso el atacante podrá conseguir la ejecución remota de código. Se ha reservado el identificador CVE-2018-0112 para esta vulnerabilidad.
  • Vulnerabilidad de divulgación de información en Cisco UCS Director Virtual Machine: Una incorrecta verificación de recursos basada en roles, podría permitir que un usuario autenticado que inicie sesión en el sistema tenga visibilidad en todas las máquinas virtuales que se muestran en el menú de "Recursos virtuales" y realizar cualquier operación permitida en cualquier máquina virtual. Se ha reservado el código CVE-2018-0238 para esta vulnerabilidad.
  • Para el resto de vulnerabilidades se han reservado los siguientes identificadores: CVE-2018-0239, CVE-2018-0241, CVE-2018-0233, CVE-2018-0230, CVE-2018-0229, CVE-2018-0240, CVE-2018-0231, CVE-2018-0228 y CVE-2018-0227.
Recomendación
Fuente: INCIBE

DRUPAL CORE. Vulnerabilidad de Cross Site Scripting

El equipo de desarrollo de CKEditor ha detectado una vulnerabilidad de tipo cross site scripting de criticidad media en su editor de texto, catalogada de  Importancia: 3 - Media
Recursos afectados:
  • Drupal 8 versiones anteriores a 8.5.2 o 8.4.7.
  • Drupal 7 si se instaló CKEditor empleando un método distinto a CDN y si este utiliza una versión de CKEditor desde la 4.5.11 hasta la 4.9.1.
Detalle de vulnerabilidades
Una vulnerabilidad en una librería JavaScript de terceros incluida en Drupal podría permitir a un atacante con privilegios de usuario realizar un ataque de tipo cross site scripting en CKEditor.
Recomendación
Drupal 8:
Drupal 7 que emplee CKEditor instalado por un método alternativo a CDN y si este utiliza una versión de CKEditor desde la 4.5.11 hasta la 4.9.1:
Fuente: INCIBE

Vulnerabilidad en proxy inverso Squid

Michael Marshall de Trend Micro ha reportado una vulnerabilidad en varias versiones de Squid cuando se usa la funcionalidad de proxy inverso y que podría permitir a un atacante causar una condición de denegación del servicio debido a un manejo incorrecto de puntero cuando se procesan respuestas ESI, catalogada de  Importancia: 4 - Alta
Recursos afectados:
Los siguientes productos son vulnerables cuando son utilizados como proxy inverso:
  1. Versiones desde Squid-3.1.12.2 hasta Squid-3.1.23, ambas incluidas, con las opciones "--enable-esi" y "--enable-ssl" activadas.
  2. Versiones desde Squid-3.2.0.8 hasta Squid-3.2.14, ambas incluidas, con las opciones "--enable-esi" y "--enable-ssl" activadas.
  3. Versiones desde Squid-3.3 hasta Squid-3.3.14, ambas incluidas, con las opciones "--enable-esi" y "--enable-ssl" activadas.
  4. Versiones desde Squid-3.4 hasta Squid-3.4.14, ambas incluidas, con las opciones "--enable-esi" y "--enable-ssl" activadas.
  5. Versiones desde Squid-3.5 hasta Squid-3.5.27, ambas incluidas, con las opciones "--enable-esi" y "--enable-ssl" activadas.
  6. Versiones desde Squid-4 hasta Squid-4.0.12, ambas incluidas, con la opción "--with-openssl" activada.
Detalle de vulnerabilidades
Existe una vulnerabilidad dentro de ClientRequestContext::sslBumpAccessCheck() que podría permitir que una solicitud especialmente diseñada podría desencadenar la desreferencia de un puntero nulo. Esto permitiría que un atacante remoto no autentificado denegara el servicio en instalaciones vulnerables de Squid. Se ha reservado el código CVE-2018-1172 para esta vulnerabilidad.
Recomendación
Esta vulnerabilidad es corregida en la versión Squid 4.0.13.
Además, las actualizaciones que solucionan este problema en las versiones estables se encuentra disponible en el repositorio de parches:
Para versiones preempaquetadas de Squid, consulte con su proveedor para obtener más información sobre la disponibilidad de actualizaciones.
Fuente: INCIBE