Jump to content

Search the Community

Showing results for tags 'vulnerabilidad'.

  • Search By Tags

    Type tags separated by commas.
  • Search By Author

Content Type


Forums

  • Contacto con el staff
    • Novedades / Anuncios del foro
    • Sugerencias
    • Problemas relacionados con el foro
  • Zona general de charla
    • Presentaciones
    • Charla
    • Zona de Humor, Curiosidades y Otros
    • Mascotas Vagos
    • Noticias del Mundo
    • Tecnología
    • Ayuda y consultas de carácter general
  • Zona GNU/Linux
    • Ayuda, consultas y soporte GNU/Linux
    • Distribuciones GNU/Linux
    • Repositorios. Software GNU/Linux
    • Personalización
    • Raspberry Pi
    • Arduino
    • Manuales / Tutoriales / Guías GNU/Linux
    • Programación
    • Noticias GNU/Linux
    • Hablando de GNU/Linux
  • Zona Gaming
    • Juegos GNU/Linux
    • Noticias Gamer
    • Charla Gamer
  • Zona Móvil
    • Ayuda y soporte para dispositivos móviles
    • Apps Móviles
    • Manuales / Tutoriales / Guías Móviles
    • Roms para dispositivos Móviles
    • Noticias sobre dispositivos Móviles
    • Hablando sobre dispositivos Móviles
  • Zona Android
    • Ayuda, consultas y Soporte Android
    • Apps Android
    • Roms Android
    • Manuales / Tutoriales / Guías Android
    • Noticias Android
    • Hablando de Android
  • Zona Mozilla
    • Ayuda, consultas y soporte Mozilla
    • Aplicaciones Mozilla
    • Roms Firefox OS
    • Manuales / Tutoriales / Guías Mozilla
    • Noticias Mozilla
    • Hablando de Mozilla
  • Microsoft
    • Papelera del Foro

Find results in...

Find results that contain...


Date Created

  • Start

    End


Last Updated

  • Start

    End


Filter by number of...

Joined

  • Start

    End


Group


Página Web


Diaspora


Pump


GNU Social


Google +


Twitter


Facebook


Xmpp


Skype


Steam


Desura


MediaGoblin


Youtube


Vimeo


Picasa


Flickr


Email


Lugar


Intereses

Found 7 results

  1. Comenzamos el año con una noticia perturbadora dentro del mundo tecnológico y de la que son protagonistas Meltdown y Spectre, dos vulneravilidades graves y que afectan a millones de dispositivos. La prensa sensacionalista no se ha hecho de rogar y están, dicho de manera simple y llana, tirando mierda como si no hubiera mañana, con grandes muestras de fanatismo por cierta marca o su rival y nubes y claros por la zona de levante. Si hay algo que se puede sacar en claro es que estos medios se especializan en pintar las cosas de tonos de amarillo y rosa y poco más. ¿Qué ocurre realmente? Pues vamos a intentar indagar un poco a ver si no enteramos. Y dado que Pablo Isua ha hecho un análisis bastante cortito y comprensible, a la par que completo, en su cuenta de Twiter, vamos a partir de ahí En primer lugar debemos saber que hablamos de un problema de seguridad a nivel de hardware que se remonta dos décadas o más, por lo que podemos decir con casi total certeza que todos nuestros dispositivos serán vulnerables. Tanto Spectre como Meltdown se aprovechan de ciertas características de los microprocesadores conocidas como ejecución especulativa y ejecución fuera de orden, técnicas muy antiguas y que, dicho de manera sencilla, buscan "predecir" la instrucción a ejecutar a continuación por el procesador para aprovechar los tiempos en que este está ocioso para adelantar trabajo y aprovechar mejor los recursos en lugar de ejecutar instrucción tras instrucción de manera secuencial. El rastro de este proceso es lo que hace posibles las dos vulnerabilidades antes mencionadas: Meltdow permitiría acceder, desde un proceso con bajos privilegios, a la zona reservada en el mismo para el kernel, permitiendo tener acceso directo a la memoria física y acceder a información confidencial. Es una vulnerabilidad que es relativamente fácil de explotar y está es la razón por la que ha cundido el pánico. La solución planteada en este momento es radical, a la espera de mejores alternativas, y es deshabilitar todo lo relacionado con estas características de la CPU. Resultando en la tan mencionada y polémica pérdida de rendimiento de entre un 5 y un 30% de la que tanto eco se hacen los medios. En el caso de Linux hemos visto como el parche se centra en proveer un aislamiento de la tabla de páginas del núcleo (Page Table Isolation o PTI) para procesadores de arquitectura x86, que ha aplicado de manera inmediata en versiones activas y en desarrollo del kernel. Esta vulnerabilidad parece afectar EXCLUSIVAMENTE a procesadores Intel (a excepción de los Itanium y Atom), aunque con el paso de los días y según avance la investigación al respecto, podremos estar más seguros. Spectre, por su parte, rompe la barrera entre aplicaciones, permitiendo manipular o "engañar" al kernel para que revelen información sensible almacenada en zonas de memoria que controle el proceso relacionado con dicha aplicación. Este malware es más complejo a la hora de explotarlo y requeriría que el malware estuviera presente y ejecutándose en el mismo equipo a vulnerar. Esta vulnerabilidad es de carácter general, basada en una gama más amplia de de características de ejecución especulativa. Esto afecta a cualquier procesador, tanto Intel como AMD e incluso procesadores de arquitectura ARM son vulnerables a Spectre y, de momento, no existe ninguna solución posible para este problema. Repercusiones Más allá de tomar nosotros mismos la decisión radical de iniciar nuestro equipo con la opción pti=off (haciendo así caso omiso del parche que corrige la vulnerabilidad), como usuarios no podemos hacer gran cosa al respecto hasta que los fabricantes y desarrolladores no den con una solución al problema. No obstante, como usuarios tampoco nos veremos afectados en prácticamente ningún aspecto por los daños colaterales que suponen las soluciones actuales para estas vulnerabilidades. En un escenario donde se haga uso de aplicaciones que hagan múltiples cambios al modo kernel, que son todas, o al menos la inmensa mayoría de aplicaciones que utilizamos a diario, no habrá ninguna penalización de rendimiento. Donde sí resultará un drama será en centros de datos, servicios en la nube y similares, tanto en la parte que respecta a la seguridad, como en lo que se refiere a pérdida de rendimiento. Las primeras pruebas que se han hecho públicas en diferentes portales así lo avalan. No hay diferencia apreciable de rendimiento a la hora de jugar, reproducir contenido multimedia, trabajar con documentos y otras aplicaciones de uso común, así que de momento lo que debemos hacer es mantener nuestros equipos actualizados y seguir pendientes de nueva información acerca de este gigantesco problema con el que los fabricantes están obligados a lidiar, de una manera u otra, a partir de ahora, aunque desde el CERT (Computer emergency response team) ya han asegurado que la única solución a la vista es, dado que se trata de un problema que radica en el hardware, sustituir todos los microprocesadores afectados por nuevos componentes sin este problema de diseño. https://meltdownattack.com/
  2. Una vez más y sin que coja por sorpresa a nadie, nos encontramos un nuevo reporte de vulnerabilidad crítica de Oracle Java, que al parecer afecta a todas sus versiones, incluida la última 1.7u21 b11 y que, una vez más, está relacionada con Reflection API Además, en esta ocasión el problema va aún más allá y no sólo afecta a las versiones cliente (JDK y plugins para el navegador), sino que la versión server también es vulnerable. Sobra decir que, como es costumbre, se recomienda evitar el uso de java, deshabilitar el plugin del navegador y en caso de hacer uso de la versión servidor extremar las precauciones. http://seclists.org/fulldisclosure/2013/Apr/194
  3. Esta madrugada, Nvidia ha lanzado un nuevo controlador gráficos para la serie 313.X, destinado a corregir algunos errores, entre ellos una vulnerabilidad relacionada con el servidor gráfico X.org. Para todos los que se encuentren utilizando esta serie 313.X de controladores es necesario que los actualicen cuanto antes para corregir este problema: 313.30 (x86) ftp://download.nvidia.com/XFree86/Linux-x86/313.30/NVIDIA-Linux-x86-313.30.run 313.30 (x86_64) ftp://download.nvidia.com/XFree86/Linux-x86_64/313.30/NVIDIA-Linux-x86_64-313.30.run Para el resto de series, la corrección de este problema viene incluida en los controladores 304.88 y 310.44 http://www.nvidia.com/object/unix.html
  4. Al igual que todos los días sale el sol (A los pingüinos que ahora me miran mal, diré que sí, sé perfectamente que en los polos los "días" duran unos 6 meses ) se ha encontrado una nueva vulnerabilidad en Java que afecta a todas las versiones, incluidas las últimas java 6u41 y java 7u15. Esta vulnerabilidad no sería nada nuevo si no fuera porque algunas grandes empresas como Facebook, twitter o Apple han anunciado recientemente que han sufrido ataques que han llegado a exponer datos privados de usuarios (unos 250000 en el caso de Twitter) y que tendrían relación con este agujero de java. Las recomendaciones son las de siempre (tendré que crear un post fijo con el plan de actuación como esto siga así), deshabilitar el plugin de java de todos los navegadores que utilicemos y evitar en lo posible el uso de java. NOTA: Aunque no se ha confirmado ni desmentido que esta vulnerabilidad afecte a OpenJDK, al basarse en el mismo código fuente que java, podemos asumir que está afectado, así que por precaución y hasta que Oracle de solución al problema, mejor no utilizar tampoco Icedtea u OpenJDK http://www.fireeye.c...zero-day-2.html EDITO: Ya existe una versión U17 de java, aunque no es seguro que corrija esta vulnerabilidad. De todas todos aquellos que usen Oracle java les convendría actualizar
  5. Aunque Oracle aún no ha confirmado ni desmentido nada, son varios los medios que se hacen eco de una nueva vulnerabilidad 0-day en Java. La vulnerabilidad fue descubierta en la nueva versión 1.7 u10 (Java 7 update 10) de Oracle Java y afecta a todas las versiones anteriores. Como viene siendo habitual, se recomienda encarecidamente deshabilitar el plugin de java de todos los navegadores web que utilicen, así como evitar el uso de java para otras aplicaciones (como Jdownloader, Minecraft, etc) hasta que las correcciones para dicha vulnerabilidad estén a disposición del público. Por ahora se desconoce hasta qué punto pueden estar afectados por este problema OpenJDK e Icedtea, pero lo más probable es que se vean afectados en el mismo grado que Oracle Java, así que conviene desactivarlos por si acaso. http://cert.inteco.e...y_java_20130111 EDITO Al parecer Mozilla ha habilitado ClickToPlay Por defecto a todos los usuarios que tengan instalado el plugin de java, especialmente las versiones 7u9, 7u10, 6u37 y 6u38. Para aquellos que no lo tengan, pueden habilitarlo desde about:configbuscando plugins.click_to_play y poniéndolo como true. https://blog.mozilla...-vulnerability/ EDITO2 Ya ha hecho su aparición una nueva versión de Oracle java, la 1.7u11 que debería corregir el problema. http://www.oracle.co...es-1896856.html Lo extraño es que no he viso ningún movimiento por parte de la gente de OpenJDK y/o icedtea en estos días, ni siquiera una mención al problema, no tengo idea de si está trabajando en ello, si no está afectado o qué es lo que está pasando EDITO3 Volvemos a la carga con el tema de Java. Según se rumorea, el update 7u11 es un placebo, no parchea la vulnerabilidad, sólo la "enmascara" pero sigue estando ahí, la nueva actualización no sería la solución al problema, tan sólo un paso intermedio, por lo que aún con la update 11 no conviene tener habilitado Oracle Java. También se comenta que OpenJDK no debería estar afectado, pero sigo sin tener garantías de nada. EDITO4 Creo que la última actualización de OpenJDK ya ha respondido a mi pregunta http://packages.qa.d...16T103316Z.html Usuarios de Debian, ya saben lo que hacer, a actualizar openjdk7 desde experimental si quieren usar aplicaciones java con seguridad: sudo aptitude install -t experimental openjdk-7-jre Mismo caso para usuarios de Arch, simplemente actualizar jdk7-OpenJDK desde repositorios "Extra" https://www.archlinu...lagged=&limit=2 Y también para usuarios de Red Hat y derivadas https://bugzilla.red...g.cgi?id=894172 Ningún movimiento por parte de Canonical, Usuarios de Ubuntu o derivadas NI SE LES OCURRA habilitar java u OpenJDK hasta que les aparezca la actualización a la versión OpenJDK 7u9-2.3.4-1 También ha sido parcheado icedtea, debería actualizarse durante las próximas horas a la versión 3.4 (puede aparecer como 2.3.4) una vez se actualice icedtea ya podrán habilitar el plugin de java en los navegadores, mientras tanto es preferible no hacerlo. http://blog.fuseyism.com/index.php/2013/01/15/security-icedtea-2-1-4-2-2-4-2-3-4-released/
  6. Sólo han pasado un par de semanas desde que la anterior vulnerabilidad zero day fuera parcheada (Al menos en OpenJDK) y el día de ayer encontraron una nueva vulnerabilidad zero day que es incluso peor que la anterior, ya que afecta a java 5, 6 y 7, incluyendo la última versión 7u7 que corregía el anterior zero day. Oracle aún no se ha pronunciado al respecto, y algunos medios estadounidenses estiman el número de afectados por esta vulnerabilidad en más de un billón (que no es un billón real, sino mill millones), que básicamente es decir que todo el que use java está afectado. Aunque los más afectados son, como siempre, los usuarios de Windows, cualquier sistema que utilice java está expuesto a este fallo de seguridad, así que la principal recomendación ahora es deshabilitar inmediatamente el plugin de java de nuestro navegador/es ya que siendo la herramienta que utilizamos habitualmente para desplazarnos por la red, es la que más nos expone. Por ahora no hay apenas información, como ya dije Oracle no se ha pronunciado y ninguna de las grandes distribuciones ha empezado a moverse, así que tampoco es del todo seguro que OpenJDK esté afectado, aunque es muy probable, así que es mejor ser precavidos y evitar java por ahora. Oficialmente, la fecha para la próxima actualización de java por parte de Oracle es el 16 de Octubre, pero esperemos que siendo tan grave, tengan a bien sacar una actualización antes de esa fecha. Aparte de eso, se supone que el día 30 de Septiembre darán una conferencia sobre seguridad Durante las próximas horas/días habrá que ir mirando en los canales habituales para ver cómo se va desarrollando e ir actuando en consecuencia. http://security-trac...ckage/openjdk-7 https://bugzilla.red...a-1.7.0-openjdk http://seclists.org/...aq/2012/Sep/109
  7. Desde hace varios días de viene hablando de una vulnerabilidad 0-day catalogada como más que crítica en Java-7. Todas las versiones de Java son vulnerables y ya están empezando a explotar con éxito dicha vulnerabilidad (sistemas Windows más que nada). Oracle no se ha pronunciado hasta ahora y no se sabe si habrá pronto una actualización que corrija este problema o habrá que esperar a la fecha de actualización prefijada en el calendario de actualizaciones de java que viene a ser a mediados de Octubre (Esperemos que no) Hay opiniones divididas en cuanto a si OpenJDK e Icedtea se ven o no afectados por esta vulnerabilidad y aunque en algunos casos se ha dicho que no, la propia Red Hat ha puesto a la gente sobre aviso y recomiendo deshabilitar cualquier plugin de java que usemos en el navegador, así como evitar el uso de herramientas que hagan uso de Oracle Java, IBM Java u OpenJDK hasta que los parches hallan sido creados. https://bugzilla.red...g.cgi?id=852051 http://security-trac...r/CVE-2012-4681 Para casos en los que sea necesario visitar algún sitio que haga uso de java, está la opción de utilizar la extensión de Firefox NoScript. IMPORTANTE Algunos medios están recomendando desactualizar Java y empezar a utilizar versiones previas no afectadas por esta vulnerabilidad. Esta opción no es para nada recomendable, ya que aunque dichas versiones no se vean afectadas por esta última vulnerabilidad, sí que sufren de otras que ya habían sido corregidas con la versión 7. Instalar versiones antiguas de java lo único que haría es evitarnos una vulnerabilidad para exponernos a otras. Test para comprobar si sufrimos esta vulnerabilidad: http://zulu.zscaler....va_version.html EDITO Anoche salió una nueva versión de Icedtea con el problema corregido: DESCARGA Por ahora, sólo en tar.gz http://icedtea.class...ea-2.3.1.tar.gz INSTALACIÓN Dependencias Las dependencias necesarias para compilar icedtea son: Los usuarios de distribuciones basadas en Debian pueden resolver las dependencias ejecutando aptitude build-dep icedtea-7-plugin aptitude install gawk xsltproc librhino-java libgif-dev libcups2-dev liblcms2-dev libattr1-dev Compilado tar xzf icedtea6-2.3.1.tar.gz cd icedtea6-2.3.1 ./autogen.sh ./configure make Los archivos resultantes se almacenarán en la carpeta openjdk.build y habrá que moverlos manualmente a sus destinos correspondientes EDITO2 Oracle mueve ficha y saca una nueva versión de Oracle Java (1.7.u7) Enlace eliminado (Ver EDITO 5) EDITO3 publicados los parches para OpenJDK 7 e Icedtea http://hg.openjdk.ja...ev/2c58f14f60c7 http://icedtea.class...ev/8a226f6a768a EDITO 4 Nueva versión de OpenJDK (7 u7) con numerosas correcciones, incluida la vulnerabilidad 0-day http://packages.qa.d...01T180255Z.html aptitude install -t experimental openjdk-7-jre Quien no tenga los repositorios experimentales habilitados echo 'deb http://ftp.fr.debian.org/debian/ experimental main contrib non-free' >> /etc/apt/sources.list aptitude update aptitude install -t experimental openjdk-7-jre Los archers también deberían tener ya la nueva versión en repos "Extra" EDITO 5 Se está comentando que Oracle la ha vuelto a cagar y bien. Al parecer, la nueva versión de Oracle Java 7 u7, parchea la vulnerabilidad 0-day pero abre algunas nuevas peores que la 1ª. OpenJDK 7u7 no sufre de este problema, pero es porobable que aún tengamos que esperar un poco más hasta tener al día Icedtea. EDITO6 Ya hay una nueva versión de Icedtea-web plugin (1.3), lo que aún no la han incluido en ningún repositorio que yo sepa: http://dbhole.wordpr...b-1-3-released/
×
×
  • Create New...