Jump to content

Search the Community

Showing results for tags '0-day'.

  • Search By Tags

    Type tags separated by commas.
  • Search By Author

Content Type


Forums

  • Contacto con el staff
    • Novedades / Anuncios del foro
    • Sugerencias
    • Problemas relacionados con el foro
  • Zona general de charla
    • Presentaciones
    • Charla
    • Zona de Humor, Curiosidades y Otros
    • Mascotas Vagos
    • Noticias del Mundo
    • Tecnología
    • Ayuda y consultas de carácter general
  • Zona GNU/Linux
    • Ayuda, consultas y soporte GNU/Linux
    • Distribuciones GNU/Linux
    • Repositorios. Software GNU/Linux
    • Personalización
    • Raspberry Pi
    • Arduino
    • Manuales / Tutoriales / Guías GNU/Linux
    • Programación
    • Noticias GNU/Linux
    • Hablando de GNU/Linux
  • Zona Gaming
    • Juegos GNU/Linux
    • Noticias Gamer
    • Charla Gamer
  • Zona Móvil
    • Ayuda y soporte para dispositivos móviles
    • Apps Móviles
    • Manuales / Tutoriales / Guías Móviles
    • Roms para dispositivos Móviles
    • Noticias sobre dispositivos Móviles
    • Hablando sobre dispositivos Móviles
  • Zona Android
    • Ayuda, consultas y Soporte Android
    • Apps Android
    • Roms Android
    • Manuales / Tutoriales / Guías Android
    • Noticias Android
    • Hablando de Android
  • Zona Mozilla
    • Ayuda, consultas y soporte Mozilla
    • Aplicaciones Mozilla
    • Roms Firefox OS
    • Manuales / Tutoriales / Guías Mozilla
    • Noticias Mozilla
    • Hablando de Mozilla
  • Microsoft
    • Papelera del Foro

Find results in...

Find results that contain...


Date Created

  • Start

    End


Last Updated

  • Start

    End


Filter by number of...

Joined

  • Start

    End


Group


Página Web


Diaspora


Pump


GNU Social


Google +


Twitter


Facebook


Xmpp


Skype


Steam


Desura


MediaGoblin


Youtube


Vimeo


Picasa


Flickr


Email


Lugar


Intereses

Found 3 results

  1. Al igual que todos los días sale el sol (A los pingüinos que ahora me miran mal, diré que sí, sé perfectamente que en los polos los "días" duran unos 6 meses ) se ha encontrado una nueva vulnerabilidad en Java que afecta a todas las versiones, incluidas las últimas java 6u41 y java 7u15. Esta vulnerabilidad no sería nada nuevo si no fuera porque algunas grandes empresas como Facebook, twitter o Apple han anunciado recientemente que han sufrido ataques que han llegado a exponer datos privados de usuarios (unos 250000 en el caso de Twitter) y que tendrían relación con este agujero de java. Las recomendaciones son las de siempre (tendré que crear un post fijo con el plan de actuación como esto siga así), deshabilitar el plugin de java de todos los navegadores que utilicemos y evitar en lo posible el uso de java. NOTA: Aunque no se ha confirmado ni desmentido que esta vulnerabilidad afecte a OpenJDK, al basarse en el mismo código fuente que java, podemos asumir que está afectado, así que por precaución y hasta que Oracle de solución al problema, mejor no utilizar tampoco Icedtea u OpenJDK http://www.fireeye.c...zero-day-2.html EDITO: Ya existe una versión U17 de java, aunque no es seguro que corrija esta vulnerabilidad. De todas todos aquellos que usen Oracle java les convendría actualizar
  2. Aunque Oracle aún no ha confirmado ni desmentido nada, son varios los medios que se hacen eco de una nueva vulnerabilidad 0-day en Java. La vulnerabilidad fue descubierta en la nueva versión 1.7 u10 (Java 7 update 10) de Oracle Java y afecta a todas las versiones anteriores. Como viene siendo habitual, se recomienda encarecidamente deshabilitar el plugin de java de todos los navegadores web que utilicen, así como evitar el uso de java para otras aplicaciones (como Jdownloader, Minecraft, etc) hasta que las correcciones para dicha vulnerabilidad estén a disposición del público. Por ahora se desconoce hasta qué punto pueden estar afectados por este problema OpenJDK e Icedtea, pero lo más probable es que se vean afectados en el mismo grado que Oracle Java, así que conviene desactivarlos por si acaso. http://cert.inteco.e...y_java_20130111 EDITO Al parecer Mozilla ha habilitado ClickToPlay Por defecto a todos los usuarios que tengan instalado el plugin de java, especialmente las versiones 7u9, 7u10, 6u37 y 6u38. Para aquellos que no lo tengan, pueden habilitarlo desde about:configbuscando plugins.click_to_play y poniéndolo como true. https://blog.mozilla...-vulnerability/ EDITO2 Ya ha hecho su aparición una nueva versión de Oracle java, la 1.7u11 que debería corregir el problema. http://www.oracle.co...es-1896856.html Lo extraño es que no he viso ningún movimiento por parte de la gente de OpenJDK y/o icedtea en estos días, ni siquiera una mención al problema, no tengo idea de si está trabajando en ello, si no está afectado o qué es lo que está pasando EDITO3 Volvemos a la carga con el tema de Java. Según se rumorea, el update 7u11 es un placebo, no parchea la vulnerabilidad, sólo la "enmascara" pero sigue estando ahí, la nueva actualización no sería la solución al problema, tan sólo un paso intermedio, por lo que aún con la update 11 no conviene tener habilitado Oracle Java. También se comenta que OpenJDK no debería estar afectado, pero sigo sin tener garantías de nada. EDITO4 Creo que la última actualización de OpenJDK ya ha respondido a mi pregunta http://packages.qa.d...16T103316Z.html Usuarios de Debian, ya saben lo que hacer, a actualizar openjdk7 desde experimental si quieren usar aplicaciones java con seguridad: sudo aptitude install -t experimental openjdk-7-jre Mismo caso para usuarios de Arch, simplemente actualizar jdk7-OpenJDK desde repositorios "Extra" https://www.archlinu...lagged=&limit=2 Y también para usuarios de Red Hat y derivadas https://bugzilla.red...g.cgi?id=894172 Ningún movimiento por parte de Canonical, Usuarios de Ubuntu o derivadas NI SE LES OCURRA habilitar java u OpenJDK hasta que les aparezca la actualización a la versión OpenJDK 7u9-2.3.4-1 También ha sido parcheado icedtea, debería actualizarse durante las próximas horas a la versión 3.4 (puede aparecer como 2.3.4) una vez se actualice icedtea ya podrán habilitar el plugin de java en los navegadores, mientras tanto es preferible no hacerlo. http://blog.fuseyism.com/index.php/2013/01/15/security-icedtea-2-1-4-2-2-4-2-3-4-released/
  3. Desde hace varios días de viene hablando de una vulnerabilidad 0-day catalogada como más que crítica en Java-7. Todas las versiones de Java son vulnerables y ya están empezando a explotar con éxito dicha vulnerabilidad (sistemas Windows más que nada). Oracle no se ha pronunciado hasta ahora y no se sabe si habrá pronto una actualización que corrija este problema o habrá que esperar a la fecha de actualización prefijada en el calendario de actualizaciones de java que viene a ser a mediados de Octubre (Esperemos que no) Hay opiniones divididas en cuanto a si OpenJDK e Icedtea se ven o no afectados por esta vulnerabilidad y aunque en algunos casos se ha dicho que no, la propia Red Hat ha puesto a la gente sobre aviso y recomiendo deshabilitar cualquier plugin de java que usemos en el navegador, así como evitar el uso de herramientas que hagan uso de Oracle Java, IBM Java u OpenJDK hasta que los parches hallan sido creados. https://bugzilla.red...g.cgi?id=852051 http://security-trac...r/CVE-2012-4681 Para casos en los que sea necesario visitar algún sitio que haga uso de java, está la opción de utilizar la extensión de Firefox NoScript. IMPORTANTE Algunos medios están recomendando desactualizar Java y empezar a utilizar versiones previas no afectadas por esta vulnerabilidad. Esta opción no es para nada recomendable, ya que aunque dichas versiones no se vean afectadas por esta última vulnerabilidad, sí que sufren de otras que ya habían sido corregidas con la versión 7. Instalar versiones antiguas de java lo único que haría es evitarnos una vulnerabilidad para exponernos a otras. Test para comprobar si sufrimos esta vulnerabilidad: http://zulu.zscaler....va_version.html EDITO Anoche salió una nueva versión de Icedtea con el problema corregido: DESCARGA Por ahora, sólo en tar.gz http://icedtea.class...ea-2.3.1.tar.gz INSTALACIÓN Dependencias Las dependencias necesarias para compilar icedtea son: Los usuarios de distribuciones basadas en Debian pueden resolver las dependencias ejecutando aptitude build-dep icedtea-7-plugin aptitude install gawk xsltproc librhino-java libgif-dev libcups2-dev liblcms2-dev libattr1-dev Compilado tar xzf icedtea6-2.3.1.tar.gz cd icedtea6-2.3.1 ./autogen.sh ./configure make Los archivos resultantes se almacenarán en la carpeta openjdk.build y habrá que moverlos manualmente a sus destinos correspondientes EDITO2 Oracle mueve ficha y saca una nueva versión de Oracle Java (1.7.u7) Enlace eliminado (Ver EDITO 5) EDITO3 publicados los parches para OpenJDK 7 e Icedtea http://hg.openjdk.ja...ev/2c58f14f60c7 http://icedtea.class...ev/8a226f6a768a EDITO 4 Nueva versión de OpenJDK (7 u7) con numerosas correcciones, incluida la vulnerabilidad 0-day http://packages.qa.d...01T180255Z.html aptitude install -t experimental openjdk-7-jre Quien no tenga los repositorios experimentales habilitados echo 'deb http://ftp.fr.debian.org/debian/ experimental main contrib non-free' >> /etc/apt/sources.list aptitude update aptitude install -t experimental openjdk-7-jre Los archers también deberían tener ya la nueva versión en repos "Extra" EDITO 5 Se está comentando que Oracle la ha vuelto a cagar y bien. Al parecer, la nueva versión de Oracle Java 7 u7, parchea la vulnerabilidad 0-day pero abre algunas nuevas peores que la 1ª. OpenJDK 7u7 no sufre de este problema, pero es porobable que aún tengamos que esperar un poco más hasta tener al día Icedtea. EDITO6 Ya hay una nueva versión de Icedtea-web plugin (1.3), lo que aún no la han incluido en ningún repositorio que yo sepa: http://dbhole.wordpr...b-1-3-released/
×
×
  • Create New...