Portalhispano’s Weblog

Se han encontrado múltiples vulnerabilidades en python causadas por desbordamientos de búfer que podrían ser explotadas por un atacante remoto para causar una denegación de servicio o ejecutar código arbitrario.

Python es un lenguaje de programación sencillo pero extremadamente potente y versátil, cuya popularidad crece día a día.

Las vulnerabilidades están causadas por diversos desbordamientos de búfer que pueden ser aprovechados exitosamente para ejecutar código arbitrario en el contexto de las aplicaciones que hagan uso de ls librerías vulnerables. Si se explotan exitosamente puede dar lugar al compromiso del sistema, los intentos fallidos pueden provocar condiciones de denegación de servicio.

La vulnerabilidades están confirmadas para las versiones anteriores a la 2.5.2-r6.
Se recomienda actualizar a la versión 2.5.2-r6 o superior de python, disponible desde la web del fabricante:
 http://www.python.org/

Fuente hispasec.com

Python Multiple Buffer Overflow Vulnerabilities
http://www.securityfocus.com/bid/30491/discuss

Beijingticketing.com web que simula venta de entradas para las olimpiadas 2008.

PHISHING CON LAS ENTRADAS DE LAS OLIMPIADAS 2008

Como era de esperar los ciber-delincuentes aprovechán el tirón de las Olimpiadas de Pekín 2008 para hacer su “agosto”, tras el reporte recibido de la web fraudulenta, la Comisión de Seguridad de la Asociación de Internautas analizó el sitio web, con la sorpresa que el intento de fraude roza casi la perfección hasta que vimos que en los formularios donde solicitan nuestro correo electrónico o el numero de nuestra tarjeta de crédito donde no verifican su autenticidad.

04-08-2008 - Beijingticketing.com se une a la web cerrada el pasado 23 de julio por el FBI www.beijing-tickets2008.com, las siguientes imágenes muestras la falsificación de la web trampa y el análisis realizado donde usamos datos falsos y como nos da una compra valida:

Detalle de los datos falsos facilitados y validados como correctos, como se puede comprobar las fechas de la tarjeta de crédito son inválidos, pero también los acepta:

Si usamos una cuenta de correo electrónico valida al rellenar el formulario nos enviara dos correos electrónicos para hacer el engaño más real…sigue

Articulo completo en internautas.org

Dirección electrónica si quiere denunciar web trampa o sospechosas de malware, robo de identidad, etc; phishing@internautas.org

Comisión de Seguridad en la Red.
José María Luque Guerrero
http://seguridad.internautas.org - www.seguridadenlared.org - www.seguridadpymes.es
Asociación de Internautas. www.internautas.org

Por otro lado internautas.org informa.-

El sitio web oficial de las Olimpiadas 2008 muestra datos que comprometen su seguridad.

Faltan 6 días para el comienzo de el acontecimiento deportivo mas importante: las deseadas olimpiadas 2008 que se celebran en China, concretamente en Pekín. No falta la polémica por los filtros de contenido de la información que el gobierno chino impone, derechos humanos, contaminación, Tibet… Lo ultimo que le faltaba es que la inauguración de la ceremonia de apertura fuera colgada en Internet.

02-08-2008 - Pero en realidad lo ultimo es un fallo de seguridad informática. Este grave fallo de seguridad se hace publico,(omitiendo datos muy sensibles), para que se subsane el problema los antes posible. El fallo ha sido notificado por correo electrónico a los responsables del sitio web oficial de las Olimpiadas 2008. Pero ya sea por los filtros o por el volumen de correos electrónicos recibidos por parte de la organización sea bastante elevado. No hemos obtenido respuesta alguna a nuestro aviso:

La web oficial de los juegos olímpicos de Pekín 2008 es:

http://www.beijing2008.cn

Es evidente que es una de los sitios web mas seguros en estos momentos. Muy posiblemente China es unos de los países donde trabajan mas expertos en seguridad (aunque muchos lo discutan), pero siempre se pueden olvidar algunos detalles que son importantes.

El fallo detectado es debido a la configuración del servidor apache de las maquinas que hospedan todo la estructura de la web oficial de los juegos olímpicos, por cierto, felicito a los organizadores ya que es accesible en varios idiomas y la actualización es constante. El problema de seguridad informática detectado, facilita y muestra a un posible atacante datos de las maquinas internas como de los proxys por las que circulan los datos, también muestran los días que lleva encendida, cuando fue encendida, el trafico, el consumo de CPU, los accesos y muchos más datos que pueden ser valiosos para un posible atacante .

En las siguientes imágenes se muestran algunos de ellos, por supuesto se omiten los más sensibles- por motivos de seguridad. Y que han sido reportados, por segunda vez, a los responsables del sitio web.

Como se puede comprobar estos datos son considerados críticos y muy golosos para la profesionales que nos dedicamos a la seguridad informática, es conveniente por ello no analizarlos en profundidad en este articulo.

Por ultimo quiero destacar unos ficheros y test olvidados que no son un peligro para la seguridad de la web, pero es curioso como una web tan deseada por posibles atacantes y que tuvo varias auditorias no fueron capaces de detectar estos “olvidos”;

Articulo completo en internautas.org

Internautas.org Television

Se han encontrado dos vulnerabilidades en Apache Tomcat que podrían ser explotadas por un atacante remoto para perpetrar ataques de cross-site scripting o revelar información sensible.
Apache Tomcat es un servidor web que funciona como contenedor de servlets, desarrollado en código abierto por la Apache Software Foundation. Tomcat implementa las especificaciones de las tecnologías servlets Java y de páginas JSP…sigue

 LEER mas en Hispasec.com

Se recomienda actualizar a las últimas versiones no vulnerables, disponibles desde la web de Apache Tomcat:
http://tomcat.apache.org/

CVE-2008-1232: Apache Tomcat XSS vulnerability
http://www.securityfocus.com/archive/1/495021

CVE-2008-2370: Apache Tomcat information disclosure vulnerability
http://www.securityfocus.com/archive/1/495022

Actualización crítica para RealPlayer corrige hasta cuatro fallos de seguridad

RealNetworks ha publicado recientemente una actualización de seguridad para su producto más conocido, RealPlayer, que corrige un total de cuatro fallos que podrían ser aprovechados por un atacante remoto para acceder a información sensible, causar una denegación de servicio o ejecutar código arbitrario en un sistema vulnerable.

RealPlayer es un reproductor multimedia disponible para distintas plataformas y que acepta archivos de audio y vídeo en un gran número de formatos. Actualmente es empleado por millones de usuarios de Internet, aunque en los últimos tiempos, y por diversas razones, está perdiendo adeptos en favor de otros reproductores.

Las vulnerabilidades corregidas, tres de ellas calificadas como críticas, son las siguientes:

El primer problema está causado por un error en el componente ActiveX RealAudioObjects.RealAudio, usado por el módulo rmoc3260.dll, al manejar las propiedades “Controls” o “WindowName”. Esto podría permitir a un atacante sobrescribir en bloques de memoria del búfer basado en heap después de que éstos hayan sido liberados y modificar así ciertos registros. La vulnerabilidad podría ser usada para hacer que el navegador web deje de responder o para ejecutar código arbitrario si un usuario visita con Internet Explorer una página web especialmente manipulada.

Según los registros de S.A.N.A., nuestro sistema de alertas de seguridad, este fallo es el mismo que fue descubierto y reportado por el investigador Elazar Broad el pasado día 10 de marzo, y que estaba supuestamente solventado en la revisión 11.0.2 (build 6.0.14.802) de RealPlayer disponible desde el 24 de dicho mes. El problema es básicamente el mismo, con la salvedad de que antes se creía que sólo afectaba a la propiedad “Console” y ahora se ha dado a conocer que las propiedades “Controls” y “WindowName” también se verían afectadas por la vulnerabilidad. Así lo confirma el propio Broad en uno de sus correos enviados a la lista de seguridad Full Disclosure.

A pesar de que Real Networks asegura que la última actualización solventaría esta vulnerabilidad, fuentes fiables afirman que no la parchea de forma completa y por lo tanto sería recomendable activar el kill-bit para el control ActiveX afectado. Se puede leer más información sobre esta vulnerabilidad y como activar el kill-bit en la Una-Al-Día publicada por Hispasec el pasado 11 de marzo (sección Más información)…sigue

LEER mas en hispasec.com

informacion suplementaria:

RealNetworks, Inc. Releases Update to Address Security Vulnerabilities.
http://www.service.real.com/realplayer/security/07252008_player/en/

RealNetworks RealPlayer rmoc3260 ActiveX Control Memory Corruption Vulnerability
http://www.zerodayinitiative.com/advisories/ZDI-08-047/

Elazar Broad: Real Networks RealPlayer ActiveX Heap Use After Free Vulnerability
http://lists.grok.org.uk/pipermail/full-disclosure/2008-July/063476.html

Vulnerability Note VU#298651: RealNetworks RealPlayer Shockwave Flash (SWF) file vulnerability
http://www.kb.cert.org/vuls/id/298651

RealNetworks RealPlayer Library File Deletion Stack Overflow Vulnerability
http://www.zerodayinitiative.com/advisories/ZDI-08-046/

La plataforma entrará en funcionamiento a finales de este año y se podrán utilizar desde cualquier parte del mundo

Las empresas de servicios informáticos HP, Intel Corporation y Yahoo anunciaron hoy la creación de un campo de pruebas abierto a los investigadores de todo el mundo para desarrollar las tecnologías de la información.

Las tres compañías unirán sus fuerzas para ofrecer una base de datos que permita evaluar en internet software a gran escala.

El objetivo es potenciar el pujante campo de contenidos y aplicaciones destinados a interactuar con diferentes dispositivos conectados a internet, un fenómeno conocido como “cloud computing”.

Aplicaciones en red

El proyecto cuenta con la colaboración de gobiernos y instituciones educativas, al eliminar las barreras logísticas y financieras que normalmente impiden la programación global en internet…sigue

LEER mas en ADN.ES

Los consejos obsoletos ofrecen una falsa sensación de seguridad de la que se están aprovechando los atacantes. Muchas de las informaciones publicadas sobre seguridad en general y sobre malware en particular no han sabido renovarse, y se perpetúan coletillas y axiomas que (aunque útiles y necesarios) no se han matizado ni completado correctamente con el tiempo. Son consejos de hace años, que no se han adaptado a una industria (la del malware) que avanza mucho más rápido de lo que podamos imaginar. Vamos a ofrecer algunos consejos útiles contra el malware… de hoy.

Administrador no, gracias

El principal consejo para los usuarios de sistemas operativos en general y los de Windows en particular es no usar la cuenta de administrador. Se debe utilizar la cuenta de un usuario sin privilegios, sin excusas. Esto es lo que puede llevar a una mayor protección no solo contra el malware, sino contra posibles despistes del propio usuario. Un “administrador” está precisamente para “administrar”, y son muy pocas veces las que un usuario utiliza su sistema para realizar modificaciones importantes. La mayor parte del tiempo lee correo o navega, actividad esta última que conlleva un importante riesgo, sea con el navegador que sea. Esta irresponsable actitud de usuario administrador perpetuo está heredada de los tiempos de Windows 9x. No tenía sistema de usuarios local real, ni soportaba NTFS, con lo que no se podían establecer permisos por usuarios. Cuando apareció XP, tras su instalación Microsoft permitía por fin la creación de un usuario distinto al administrador para el uso del sistema. Un gesto que hubiera servido de algo si este mismo usuario no perteneciese por defecto al grupo administradores, y por tanto fuese tan poderoso como él.

A nadie que utilice un sistema operativo que no sea Windows se le ocurre realizar sus actividades cotidianas como “root” o súperusuario. En Windows, lo extraño es precisamente lo contrario, trabajar con cuentas limitadas. Este es el verdadero origen de la mayor parte de los males, y de que el malware pueda campar a sus anchas en un ordenador donde puede escribir, leer, modificar… puesto que es ejecutado con los mismos permisos del usuario que está usando la máquina.

En Windows Vista, Microsoft ha establecido un importante sistema de seguridad para mitigar este problema heredado, rompiendo así una tendencia muy arraigada y limitando el poder del usuario habitual. Se ha relegando por fin el uso del administrador a un segundo plano. Sin embargo esto ha sido visto por muchos usuarios como un estorbo, en vez de como una importantísima mejora en su seguridad.

Aunque se presente aquí como panacea, no lo es. Todavía una parte del malware actual podría seguir actuando. Además, trabajar como usuario raso en XP o 2000 puede llegar a ser incómodo, incluso para usuarios experimentados. Es necesario tener conocimientos sobre permisos, privilegios, NTFS, derechos, herencias, grupos… Por si fuera poco, con ánimo de no complicar al usuario, Windows XP Home Edition escondía deliberadamente la pestaña de seguridad para poder cambiar los permisos, a no ser que se trabajara en modo a prueba de fallos…sigue

LEER mas y articulos complementarios en hispasec.com

Apple ha sido el último gran fabricante en publicar un parche para la grave vulnerabilidad en el protocolo DNS descubierta recientemente por Kaminsky. Todos los grandes (Microsoft, Cisco, BIND…) sacaron el 8 de julio una solución coordinada a un problema que se había mantenido en secreto desde principios de año. Pero Apple no. Dejó a los usuarios de Mac OS X sin solución hasta casi tres semanas después, en un incomprensible movimiento que sigue arrojando serias dudas sobre la capacidad de gestión de seguridad de Apple.

Apple ha publicado un parche acumulativo de seguridad que soluciona 17 fallos. Es el quinto de este año y por fin, contiene el parche (o más bien implementa la contramedida oficial) para sus DNS. El 8 de julio se publicó una actualización masiva para la mayoría de los dispositivos en Internet que utilizan DNS. Se ha descubierto una vulnerabilidad que permite falsificar las respuestas DNS, y por tanto redireccionar el tráfico. Casi todos los grandes y pequeños fabricantes y programadores actualizaron sus sistemas. Finalmente, dos semanas después, se conocerían los detalles. Varios exploits no han tardado en aparecer. Apple no parcheó, y ha necesitado tres semanas más que cualquier otro para hacerlo. No es la única, la mayoría de los grandes ISP que ofrecen conexión a Internet siguen sin solucionar el problema en sus servidores públicos.

Y no han tenido solo tres semanas. Apple está al tanto del problema desde hace meses, al igual que otros grandes fabricantes que sí han publicado puntualmente el parche a principios de julio. Son muchas las “pruebas” de seguridad a las que se ha sometido a la compañía. Cuando en enero de 2007 Apple sufrió la moda de “el mes de los fallos en” se descubrieron 31 errores que tardaron bastantes semanas en ser solucionados. En el CanSecWest de 2008, Mac OS X fue el primer sistema operativo en el concurso en que se evaluaba qué sistema podía ser comprometido más rápidamente… Cada dos meses aproximadamente, soluciona decenas de vulnerabilidades en un bloque… a principios de 2008 parcheó más de 90 en un solo paquete. En el caso de la vulnerabilidad compartida entre Safari y Microsoft de junio de este año, tardó en reconocer que el comportamiento de su navegador era peligroso. Estos no son ejemplos que certifiquen que Apple es inseguro, ni mucho menos. Sólo recuerdan que Apple no es ninguna excepción en el mundo de los sistemas operativos y que sufre de problemas de seguridad (como todo software) que deben ser corregidos a través de una política seria y acorde al nivel de la compañía.

Apple no tiene un parque de servidores especialmente numeroso, pero eso no es excusa para no proporcionar soluciones a sus clientes. Mac OS X está sufriendo importantes problemas de seguridad últimamente, que son solucionados con mastodónticos parches que se publican de forma periódica, pero no siempre a tiempo…sigue

LEER mas y articulos relacionados en hispasec.com

Sitios web desde donde poder ver el eclipse total de sol hoy dia 1 de agosto del 08

• Shelios para la Universidad Politénica de Madrid - desde Novosibirsk, Siberia.
• NASA Sun-Earth Connection - Desde China.
• Exploratorium de San Francisco - Desde China.
• Universidad de Dakota del Norte - Desde Xian (China)
• NovosibirskGuide.com - Desde Novosibirsk, Rusia
• Taiwan Webcast Group Webcast - Desde China
• Live! Universe, Japón - Desde Novosibirsk, Rusia

La lluvia de meteoros Perseidas de 2008

Marque su calendario: La lluvia de meteoros Perseidas alcanza su máximo el 12 de agosto y debería ser un buen espectáculo.

“El momento para mirar será durante las horas de oscuridad, antes del amanecer del martes 12 de agosto”, dice Bill Cooke, de la Oficina de Medio Ambiente de Meteoroides, de la NASA, en el Centro Marshall para Vuelos Espaciales. “Debería haber bastantes meteoros —tal vez uno o dos por minuto”.

El origen de esta lluvia es el cometa Swift-Tuttle. Aunque el cometa se encuentra alejado de la Tierra, actualmente está ubicado más allá de la órbita de Urano, una cola de escombros del cometa se extiende a través de todo el camino de regreso a la Tierra. Al cruzar dicho camino en agosto, la Tierra interceptará partículas de polvo del cometa que chocarán con la atmósfera a 212.000 kph (132.000 mph). A esa velocidad, incluso el más pequeño fragmento de polvo produce una vívida estela luminosa cuando se desintegra —¡un meteoro! Debido a que los meteoros del cometa Swift-Tuttle aparentemente salen de la constelación de Perseo, se los llama “Perseidas”…sigue

LEER mas en ciencia.nasa.gob

Las Perseidas son una lluvia de meteoritos que se producen entre el 17 de julio y el 24 de agosto de cada año, pero que es más visible en la noche del 12 de agosto. Esta lluvia de meteoritos se asoció en la Edad Media con la noche del 10 de agosto, porque en esa fecha San Lorenzo fue quemado en la hoguera. En realidad su popularidad se debe a la intensidad de la lluvia, y la cantidad de meteoritos que pueden verse gracias a que por la época que es, en pleno verano, los cielos están despejados y claros.El cuerpo que origina esta lluvia es el cometa 109P/Swift-Tuttle descubierto el 19 de julio de 1.862. Esta cometa tiene una buena cantidad de polvo en suspensión que viajan con el cometa. Al unirse, forman una nube de polvo que la Tierra atraviesa cada año en las fechas mencionadas anteriormente. Estas “pequeñas” motas de polvo son las que generan ese colorido tan especial en el cielo nocturno, fácilmente visible, sobre todo, a partir de las 2 de la mañana y hasta poco antes de salir el Sol.

Más información

mapa celeste

Los desarrolladores de Windows Server 2008 avisan de un posible problema con Windows Server 2008 en aquellos entornos en los que se haga uso de NetBIOS para explorar otros equipos de la red de área local. El problema tiene algunas formas de ser solucionado, así que si sois administradores de red, estad atentos.

El problema aparece al migrar un servidor a Windows Server 2008, algo que hará que NetBIOS no funcione correctamente y deje de mostrar casi todos los ordenadores de nuestro dominio por ciertos conflictos del protocolo con la forma que WS2008 tiene de manejarlo. De hecho, las listas de subredes locales pueden ser inconsistentes debido al intento de los clientes de asumir otro rol continuamente…sigue

LEER mas en theinquirer.es

Blogs Technet