Idioma

Avanti21 en español Avanti21 en inglés

Extranet

Extranet de Avanti21

Avanti 21

Oracle Gold Partner

EL BLOG DE AVANTI21 • • •

Ararticulos de: enero, 2013

Inicio, Noticias, Seguridad

Oracle lanza una actualización de emergencia para Java

Escrito por

14/01/13


java_7_278x378Oracle ha emitido una actualización de emergencia para parchear una grave vulnerabilidad en Java que permite tomar el control de los equipos sin el conocimiento de los usuarios. Aunque el parche bloquea el exploit que afecta a Java desde los navegadores web, todavía quedan másagujeros de seguridad en el código.

El parche que acaba de publicar Oracle actualiza Java a Java 7 update 11, conocido como 7u11. Esta actualización configura por omisión la seguridad de Java en el nivel más alto, lo que significa que antes de que los usuarios puedanejecutar cualquier applet Java de fuente desconocida en sus sistemas tendrán que aprobarlo aceptándolo en una alerta de seguridad. Sin embargo, según los expertos esto no es suficiente para mantener seguros los equipos, ya que es habitual que los emisores de malware utilicen técnicas de ingeniería social para ganarse la confianza de los usuarios y que estos acepten la ejecución de su código.

El equipo de alertas informáticas (CERT) del Departamento de Seguridad Nacional estadounidense ha alertado igualmente de que esta actualización no resuelve el resto de fallos detectados en Java, recomendando a los usuarios no habilitar Java en sus navegadores a menos que sea estrictamente necesario incluso después de actualizar el software. El gestor de seguridad de Java puede ser «evitado» por algunos programas maliciosos, con lo que la ejecución de código malicioso en los equipos afectados sigue siendo posible.

El fallo de seguridad de Java puede ser explotado para instalar software malicioso en los equipos de los usuarios para, por ejemplo, robar información confidencial y obtener las credenciales de acceso a cuentas bancarias mediante el uso de keyloggers. La mayoría de los navegadores cuentan en sus opciones de configuración con la posibilidad de deshabilitar Java por completo.

Inicio, Noticias, Seguridad

Detectada Vulnerabilidad Critica en Ruby amenaza 240.000 sitios web

Escrito por

10/01/13


ruby-on-railsCientos de miles de sitios web están potencialmente en riesgo a raíz del descubrimiento de una vulnerabilidad muy crítica en el marco Ruby on Rails que da a los atacantes remotos la capacidad de ejecutar código malicioso en los servidores subyacentes.
El error está presente en las versiones de Rails que abarcan los últimos seis años y en las configuraciones por defecto da a los hackers una forma sencilla y fiable para robar el contenido de bases de datos, ejecutar comandos del sistema, y hacer que los sitios web del accidente, de acuerdo con Ben Murphy, uno de los desarrolladores que ha confirmado la vulnerabilidad. Hasta la semana pasada, el marco fue utilizado por más de 240.000 sitios , entre ellos Github, Hulu, y Basecamp, lo que subraya la gravedad de la amenaza.“Es una muy mala noticia”, dijo Murphy a Ars. “Un ataque puede enviar una solicitud a cualquier Ruby on Rails cortan y luego ejecutar comandos arbitrarios. Aunque es complejo, es fiable, por lo que trabajará al 100 por ciento de las veces.”Murphy dijo que el fallo deja abierta la posibilidad de ataques que causan un sitio que ejecuta rieles para buscar y contagiar a otros, creando un gusano que infecta a grandes franjas de la Internet. Los desarrolladores con el marco de Metasploit para los hackers y los probadores de penetración están en el proceso de creación de un módulo que puede escanear el Internet para los sitios vulnerables y explotar el fallo, dijo HD Moore, el CSO de Rapid7 y arquitecto jefe de Metasploit.

Mantenedores del marco de Rails están instando a los usuarios a actualizar sus sistemas lo antes posible a las versiones 3.2.11, 3.1.10, 3.0.19, o 2.3.15. La actualización es relativamente simple para muchos sitios, aunque a veces pueden dar retardos de servicio. Los que no pueden actualizar soluciones deben seguir, incluyendo XML deshabilitar o desactivar YAML y la conversión de símbolos tipo de analizador de Rails XML. Mantenedores Rails han hecho disponible el código que optimiza estas medidas.

El error se debe a la forma de Rails maneja parámetros de formato. La advertencia está aquí , y más detalles técnicos están disponibles aquí y aquí .





Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies