Varios sobre seguridad

  • Por
Varias notas sobre sistemas y seguridad ocurridas durante las vacaciones de Semana Santa.
Durante las vacaciones de Semana Santa, Hispasec ha continuado ofreciendo una noticia diaria sobre seguridad, que suele ser de mucho interés. Algunas de estas noticias las hemos destacado en DesarrolloWeb.com, pero otras, pro falta de tiempo y espacio las vamos a comentar en esta noticia en modo de mezcladillo, con un enlace para ampliar la información.

Vulnerabilidad en el verificador de bytecode de Java

Una vulnerabilidad en el Java Runtime Environment Bytecode Verifier (verificador de bytecode del entorno de ejecución Java) puede ser empleado por un applet no seguro para escalar privilegios. La vulnerabilidad podrá ser empleada por un atacante para lograr la ejecución de código fuera de la "sandbox".

El problema sólo afecta a los applets de Java, no afecta a las aplicaciones Java. Para construir el ataque un usuario malicioso deberá manipular el applet de Java a nivel binario para su posterior publicación.

http://www.hispasec.com/unaaldia.asp?id=1245

Problema de seguridad en Apache bajo Microsoft Windows

Las versiones de Apache previas a la 1.3.24 o a la 2.0.34 beta, permiten, bajo plataformas Microsoft Windows y ciertas circunstancias, la ejecución de comandos arbitrarios en el servidor.

La versión Windows de Apache contiene una vulnerabilidad que puede permitir, bajo ciertas circunstancias, que un atacante ejecute comandos arbitrarios en el servidor. La vulnerabilidad afecta a la instalación por defecto de las versiones 2.0 alpha y beta, ya que incluyen "scripts" de ejemplo problemáticos. La versión 1.3.* de Apache sólo es vulnerable si se definen los tipos "*.BAT" o "*.CMD" como "scripts" ejecutables.

http://www.hispasec.com/unaaldia.asp?id=1252

Cross Site Scripting en PHP-Nuke y PostNuke

PHP-Nuke y PostNuke son vulnerables a un ataque "cross site scripting", de forma que es posible inyectar código JavaScript arbitrario para que sea ejecutado en el navegador de la víctima y acceder a información sensible.

PHP-Nuke es un sistema de publicación basado en PHP muy popular entre los portales de Internet. La vulnerabilidad, detectada en las versiones 5.5 y anteriores, puede ser explotada a través de la función Private Messages en PHP-Nuke que permite a los usuarios registrados del sitio enviarse mensajes.

http://www.hispasec.com/unaaldia.asp?id=1249

Microsoft desarrolla passwords basados en imágenes

Los desarrolladores de Microsoft están trabajando en nuevos tipos de passwords que sean más sencillas de recordar para los usuarios y a la vez más complejas de romper.

http://www.hispasec.com/unaaldia.asp?id=1246

Autor

Miguel Angel Alvarez

Miguel es fundador de DesarrolloWeb.com y la plataforma de formación online EscuelaIT. Comenzó en el mundo del desarrollo web en el año 1997, transformando su hobby en su trabajo.

Compartir