Grupo ITS & DELL EMC lo ayudan a modernizar s...


Servidores y Storage DELL PowerEdge  y DELL PowerVault

Servidores DELL PowerEdge linea 530 – 540 -730 -740 en Stock. Configuraciones a medida

Storage NAS DELL PowerVault linea NX3230 en Stock

itsDell03.jpg

itsDell02.jpg

Solicite su configuración a medida

  • Este campo es un campo de validación y debe quedar sin cambios.

McAfee y Grupo ITS presentan las soluciones de per...

SOLUCIONES DE WEB PROTECTION

Plataformas de Secure Web Gateway y Defensa avanzada contra amenazas (ATD)

SOLUCIONES DE CASB

McAfee incorporar a su portafolio una plataforma de seguridad en aplicaciones de nube y ShadowIT con la reciente adquisición de Skyhigh

 

Solicite su Prueba de Concepto en forma gratuita

  • Este campo es un campo de validación y debe quedar sin cambios.

 

 

 

 

Noticias de Seguridad Marzo 2018

Fakebank, el troyano bancario que intercepta tus llamadas

El troyano bancario está dirigido a bancos coreanos y es capaz de interceptar las llamadas entre las víctimas y el banco.

A diferencia de versiones anteriores de Fakebank, esta nueva variante es capaz de interceptar las llamadas entre el usuario y su entidad bancaria y viceversa. Para ello, el troyano recolecta en primer lugar información personal del usuario y la envía al servidor de C&C. Posteriormente, el C&C responde con varios parámetros de configuración, especificando entre otras cosas el número de teléfono que será usado en el fraude:

  • phoneNum_ChangeNum: El número legítimo del banco, que será reemplazado por el número fraudulento cuando el usuario haga la llamada.
  • phoneNum_To: El número de los atacantes que simulará ser el banco.
  • phoneNum_Come: El número del atacante que llamará a la víctima. Se falsificará el ID de la llamada.
  • phoneNum_ShowNum: El número legítimo del banco que se mostrará cuando los atacantes realizan la llamada.
Parámetros de configuración del malware. Fuente: https://www.symantec.com

Cuando el usuario llame a su entidad bancaria el malware interceptará la llamada y la redirigirá a los atacantes. Y al contrario, cuando los atacantes simulen una llamada de la entidad bancaria, suplantarán la identidad de ésta falsificando el ID de la llamada.

De este modo los atacantes tienen un mecanismo bastante efectivo para engañar a sus víctimas.

No solo esto, el malware también ha mejorado su sistema de permisos, ajustándose a las distintas versiones de Android para conseguir pasar más inadvertido:

  • Versiones anteriores a Android 6 especificarán el permiso de ‘android.permission.SYSTEM_ALERT_WINDOW‘ en el ‘manifest’ de la aplicación, por lo que se notificará en la instalación.
  • En Android 6 y 7 los permisos se conceden de forma silenciosa si se declaran en el ‘manifest’ y la aplicación proviene de Google Play.
  • A partir de la versión 8 de Android ya no se permite superponer ventanas desde aplicaciones, por lo tanto el malware no funcionaría.

Como recomendaciones de seguridad se recomienda siempre instalar aplicaciones de repositorios oficiales y poner especial atención a los permisos que se solicitan.

Más información:
 

Fallo en la función de Asistencia Remota de Windows permite robar información

Se descubre vulnerabilidad crítica que afecta a todas las versiones de Windows.

Resultado de imagen de windows vulnerability

La Asistencia Remota de Windows es una herramienta preinstalada que permite que alguien de confianza tome el control de tu PC. Usualmente se utiliza para prestar ayuda sin necesidad de desplazamiento.

Esta herramienta está basada en RDP (Remote Desktop Protocol) para establecer las conexiones de manera segura. Sin embargo, el investigador de Trend Micro «Nabeel Ahmed» ha descubierto una vulnerabilidad de fuga de información (CVE-2018-0878)que podría permitir a los atacantes obtener información para comprometer el sistema. El fallo de seguridad reside en la forma que Windows procesa las Entidades Externas XML (XXE).El ataque se basa en la inclusión de carga maliciosa en la invitación de acceso. Al configurar la asistencia remota, Windows ofrece dos opciones: invitar a alguien o responder. Al escoger la opción invitar a alguien, se genera un archivo de invitación que contiene una serie de parámetros XML. Como el analizador no valida el contenido, se puede modificar este archivo para que envíe el contenido malicioso a través del mismo.

Por tanto se recomienda a todos los usuarios que actualicen Windows a la última versión.

Más información:
 
CVE-2018-0878:

SQL Injection en componente MilestoneFinder de Gitlab CE/EE

Clasificada como crítica, esta vulnerabilidad fue encontrada en GitLab Community Edition y Enterprise Edition 10.1/10.2/10.2.4.

Seguramente conozcais GitHub, sistema de control de versiones en git. GitLab es básicamente GitHub en vuestros servidores, con sus ventajas y desventajas. Entre las desventajas podemos destacar mantener al día las actualizaciones de seguridad tanto del servidor como de GitLab.

Una función que aún se desconoce del componente MilestoneFinder es afectada por esta vulnerabilidad. A través de la manipulación de un input desconocido se causa una vulnerabilidad de clase SQL Injection. Esto tiene repercusión sobre la confidencialidad, integridad y disponibilidad.

Existe un error en el componente MilestoneFinder que podría ser aprovechado por un atacante remoto para realizar ataques de inyección SQL y afectar a la confidencialidad, la integridad y a la disponibilidad.

No hay información respecto a posibles contramedidas. Se recomienda actualizar a las últimas versiones disponibles.

Mas información

Gitlab CE and EE version 10.1, 10.2, and 10.2.4 are vulnerable to a SQL injection in the MilestoneFinder component.
https://www.cvedetails.com/cve/CVE-2017-0914/

GitLab Security Release: 10.3.4, 10.2.6, and 10.1.6
https://about.gitlab.com/2018/01/16/gitlab-10-dot-3-dot-4-released/

Ubuntu, Arch y Fedora afectadas por una vulnerabilidad en el kernel

La vulnerabilidad con código CVE-2013-1763 afecta a un amplio rango de distribuciones, entre ellas Fedora, Ubuntu y Arch Linux. Esta vulnerabilidad, cuenta además con el código para explotarla, que permite obtener privilegios de root. En esta entrada analizaremos cómo se obtienen dichos privilegios.

Esta vulnerabilidad afecta a las versiones del kernel 3.0-37.10 y se encuentra en ‘net/core/sock_diag.c‘ donde la función ‘__sock_diag_rcv_msg’ no hace hace una comprobación de `bounds check` del array ‘sock_diag_handles’ provocando una ‘out-of-bounds exception’ y permitiendo a usuarios sin privilegios de root obtenerlo.En los sistemas Linux de 32 bits, cada proceso virtualizará 4GB de espacio de memoria, siendo 3GB de estos el espacio de usuario y 1GB el espacio del kernel. En este caso el rango de user-space es 00000000 a 0xBFFFFFFF y el espacio de kernel 0xC0000000 a 0xFFFFFFFF. El espacio del kernel es compartido por todos los procesos sin embargo, sólo pueden acceder los procesos que se estén ejecutando en kernel-mode. Los procesos a nivel de usuario pueden acceder a kernel-mode a través de `syscalls`. Si un proceso se ejecuta en kernel-mode, las direcciones generadas pertenecen al espacio del kernel.

Las funciones ‘commit_creds’ y ‘prepare_kernel_cred’ son funciones del kernel y para poder ejecutarlas tendríamos que pasar a kernel-mode; por tanto si la función ‘__sock_diag_rcv_msg’ se ejecuta en kernel-mode, podemos aprovecharla para ganar privilegios de root.

Se aplica un mmap al rango de memoria 0x10000-0x120000, incluyendo una serie de NOPs hasta poder colocar correctamente la payload que salta al código que pertenece a kernel-mode. En Ubuntu, no se puede obtener el valor de la variable ‘rehash_time’ de dicho rango de memoria, por lo que sólo es válido el siguiente método para obtenerla:

`sudo cat /boot/System.map-3.5.0-17-generic`
Tras conseguir toda esta información, el usuario puede obtener privilegios de root. Como contra, para poder ejecutar este exploit más de una vez, es necesario reiniciar el sistema operativo.

Más información:

CVE-2013-1763:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1763Linux Kernel < 3.5.0-23 (Ubuntu 12.04.2 x64) – ‘SOCK_DIAG’ SMEP Bypass Local Privilege Escalation:

Buffer overflow en Mikrotik RouterOS

SMB Buffer Overflow en Mikrotik RouterOS

Resultado de imagen de mikrotik

Información

Impacto: ejecución de código
Explotable remotamente: Si
Explotable localmente: No
CVE: CVE-2018-7445

Vulnerabilidad

La vulnerabilidad de encuentra en el procesamiento de inicio de sesión de NetBIOS. Los atacantes pueden ejecutar código en el sistema a través de esta vulnerbailidad. El desbordamiento del buffer se produce antes de que se realice la autenticación por lo que un atacante puede explotar esta vulnerabilidad sin necesidad de estar logueado en el sistema.

La función que se encarga de comprobar los nombres de NetBIOS recibe dos buffers como parámetros. El primer byte del buffer de origen se lee y se usa como el tamaño para la operación de copia. Luego se copia esa cantidad de bytes en el buffer de destino. Esta operación se ejecuta hasta que el tamaño para copiar es 0.

No se realiza ninguna validación para garantizar que los datos se ajusten al buffer destino lo que produce el desbordamiento de la pila. Por lo que se recomienda actualizar el sistema a la versión más actual.

Versiones Vulnerables

Todas las arquitecturas y equipos que ejecuten versiones anteriores a la 6.41.3/6.42rc27 de RouterOS

Créditos

La vulnerabilidad ha sido descubierta por Juan Caillava y Maximiliano Vidal de Core Security Consulting Services

 

Más información:
 
Mikrotik RouterOS Download:
https://mikrotik.com/softwareReporte:

Vulnerabilidad en EXIM permitiría ejecución remota de código

La vulnerabilidad se encuentra presente desde la primera versión de EXIM y afectaría al menos a 400 mil servidores que ejecutan este servidor de correo

Un investigador de Devco.re (Meh Chang) reportó el día 5 de febrero el descubrimiento de esta vulnerabilidad en las listas de correo de seguridad de EXIM, identificándose al día siguiente con el CVE-2018-6789, y lanzándose una versión ya parcheada (4.90.1) el día 10 del mismo mes. Según el mismo sitio web de Exim, todas las versiones anteriores a dicha versión deben considerarse obsoletas.

Exim es uno de los servidores de correo electrónico de código abierto más populares, estando disponible tanto para sistemas tipo UNIX como para Windows. Desarrollado por la Universidad de Cambridge en 1995, es en la actualidad el MTA por defecto de Debian y otras distribuciones GNU/Linux.

Fragmento del código vulnerable. Fuente: devco.re

El fallo descubierto se encontraría en la función b64decode’, utilizada por métodos de autenticación como ‘CRAM-MD5’ (utilizado por defecto). Cualquier método de autenticación que haga uso de dicha función es vulnerable. El fallo sería explotable mediante un base64 inválido especialmente manipulado, el cual provocaría un desbordamiento en el buffer.

La vulnerabilidad se aprovecha del tamaño de buffer que asigna la función, el cual es de ‘3*(len/4)+1’. Normalmente esto no sería un problema, pero si se utiliza un base64 inválido de tamaño ‘4n+3’, la función asignará un tamaño de ‘3n+1’, pero utilizará ‘3n+2’. Esto acaba provocando que el buffer se desborde por un byte. Puede verse más información sobre la explotación de la vulnerabilidad en el artículo escrito por su descubridor.

A día de hoy, no hay una prueba de concepto que explote el fallo, y según puede leerse en la descripción de la vulnerabilidad en la web de EXIM, es difícil que pueda explotarse

Más información:

 
Exim Off-by-one RCE: Exploiting CVE-2018-6789 with Fully Mitigations Bypassing:
https://devco.re/blog/2018/03/06/exim-off-by-one-RCE-exploiting-CVE-2018-6789-en/CVE-2018-6789:

Hablemos de DrDOS

Recientemente se ha detectado que mediante el uso de servicios memcached expuestos en internet, se había logrado llevar a cabo un ataque ‘DDoS Reflection’ (DrDOS) con un multiplicador cercano a 51.000.

Un ataque ‘DDos Reflection’ es un ataque de denegación de servicio por amplificación, que se produce cuando haciendo peticiones hacia un objetivo, éste es capaz de multiplicar el número de peticiones hacia el objetivo final.


Memcached es un sistema distribuido para caché de código abierto utilizado principalmente para mejorar la escalabilidad de las aplicaciones web. Memcached almacena pequeños datos mediante una funcionalidad de clave-valor. Los atacantes hacen uso de la funcionalidad clave-valor para crear un gran flujo con el que llevan a cabo el ataque.

El ataque se lleva a cabo en primer lugar mediante la obtención de servidores memcached expuestos en internet, para ello los atacantes hacen uso de herramientas como Shodan. Una vez se obtiene el listado de IPs, se modifica la configuración clave-valor con el fin de lograr la mayor cantidad de almacenamiento posible, permitiendo mediante la falsificación de la IP de destino en la solicitud, que el sistema memcached responda a la IP falsificada, aumentando el diferencial del que hemos hablado anteriormente.
Al llevar a cabo la técnica anteriormente descrita sobre un ‘poll’ de servidores, logramos un ataque DrDoS contra la IP de origen que se ha falsificado, que en este caso, correspondería a la víctima.
Históricamente, este tipo de ataques lo hemos podido observar en sistemas DNS, NTP y sistemas SSDP entre otros muchos, por lo que no es nada nuevo. La novedad se encuentra en el multiplicador que se ha llegado a conseguir superando con bastante claridad al resto de ataques DrDOS registrados.
A continuación os mostramos una tabla comparativa:


Protocolo
Multiplicador
DNS
28 a 54
NTP
556.9
SNMPv2
6.3
NetBIOS
3.8
SSDP
30.8
CharGEN
358.8
QOTD
140.3
BitTorrent
3.8
Kad
16.3
Quake Network Protocol
63.9
Steam Protocol
5.5
Multicast DNS (mDNS)
2 a 10
RIPv1
131.24
Portmap (RPCbind)
7 a 28
LDAP
46 a 55
CLDAP
56 a 70
TFTP
60
Memcache
10,000 a 51,000


Este ataque ha sido posible debido a una mala política de securización. Los que hemos trabajado con servicios memcached sabemos que están pensados para trabajar en ‘Loopback’ o redes locales, y una sola línea en su configuración hacen que sean expuestos en internet, por lo que cualquier persona podría usarlos. Aunque implemente medidas de seguridad éstas no vienen configuradas por defecto, y su fácil puesta en marcha, hace que estas medidas queden en muchos casos en el olvido.
En este casos no estamos hablando de una vulnerabilidad, sino de una técnica de DDoS que se aprovecha de una mala configuración de seguridad, la cual permite alcanzar picos de tráfico que han generado records para empresas como Akamai y Cloudfare. Por ejemplo, Akamai experimentó un ataque de 1.3 Tbs contra un solo cliente, más del doble del tamaño del ataque botnet Mirai mitigado por Akamai en 2017.
La mitigación de este tipo de ataques es sencilla ya que procede del puerto 11211 UDP que utiliza el servicio memcached, por lo que es fácilmente identificable para la aplicación de políticas de mitigación por parte de los servicios anti DDoS.

SgxPectre, otra zancadilla a Intel derivada de Spectre

Investigadores de la Universidad de Ohio han desarrollado una serie de ataques basados en fallos de diseño de procesadores revelados por Spectre. El objetivo, SGX de Intel, una extensión de la arquitectura que permite ejecutar código de forma privada tal que ni siquiera el sistema operativo pueda observar.

Apenas hace dos meses de la presentación pública de Meltdown y Spectre, aquellas vulnerabilidades que han hecho historia en el mundo de la seguridad informática. Con consecuencias tan graves como poder leer la memoria reservada a otros procesos o incluso al sistema operativo, ocasionaron una gran polémica y consecuencias que durarán años. Tal y como analizamos en su día, ambas vulnerabilidades se deben a fallos de diseño en los procesadores, que con el objetivo de exprimir al máximo el silicio y aumentar el rendimiento, abrieron la puerta a una clase de vulnerabilidades que perdurarán años.

Precisamente, el ataque del que hablamos aprovecha estos fallos de diseño. Es una variación de Spectre (la que permitía leer memoria de los procesos con trozos de código vulnerables) orientada a leer memoria de enclaves SGX. ¿Y qué es un enclave SGX? Resumidamente, es una forma de ejecutar código en procesadores Intel que lo soporten, de forma que ni siquiera el sistema operativo o un hipervisor puedan acceder a la memoria involucrada en la ejecución. El objetivo más llamativo de SGX es ejecutar código sensible en un servidor remoto ejecutando software no confiable.

Superficie expuesta a ataques sin y con SGX. Extraída de software.intel.com.

Esto vendría a intentar solucionar el gran problema de la computación en la nube: El que un tercero procese datos sensibles por ti. Aunque lo cierto es que la implementacion deja un poco que desear. Desde que salió, unascuantas publicaciones han ido contándonos cómo básicamente SGX hace aguas por varios sitios, permitiendo leer del preciado enclave, que se presuponía privado. Por no hablar de que para convertirte en confiable y así poder ejecutar un enclave ajeno (de un cliente), hay que contactar con servidores propios de Intel como piezas imprescindibles del proceso de verificación… Pagando, por supuesto.

La familia de ataques SgxPectre no son una revolución conceptual. Tal y como dicen los autores de la publicación, los conceptos de estos ataques son básicamente los mismos en los que se fundamenta Spectre. De hecho, ni siquiera son una revolución en la aplicación de Spectre a SGX, ya que existen reportes sobre la vulnerabilidad de SGX a ataques derivados de Spectre publicados apenas unos días después de la publicación de éste último, incluyendo una prueba de concepto de un grupo de investigación del Imperial College de Londres. Esta publicación aporta una explicación exhaustiva de los ataques, y presenta un verificador de código para detectar los trozos de código vulnerables que permiten estos ataques.

Los usuarios de a pie apenas se verán afectados por estos ataques, ya que SGX se usa en extensiones del procesador relativamente modernas y sólo en procesadores Intel. Evidentemente un producto orientado al usuario final no se puede restringir a funcionar únicamente en procesadores Intel modernos.Aquellos que programen usando SGX deberán esperar al 16 de marzo, que es cuando Intel prometer publicar el SDK corregido (SDK: kit de desarrollo de software, que estaba produciendo los trozos de código vulnerables). Esto junto con las mitigaciones ya publicadas para Meltdown y Spectre, deberían neutralizar estos ataques.



Más información:

 
SgxPectre Attacks: Leaking Enclave Secrets via Speculative Execution
http://web.cse.ohio-state.edu/~zhang.834/papers/SgxPectre.pdf

Intel’s SGX security extensions: Secure until you look at the detail:
https://www.theregister.co.uk/2016/02/01/sgx_secure_until_you_look_at_the_detail/
Intel SGX Explained
https://eprint.iacr.org/2016/086.pdfMeltdown y Spectre: Graves vulnerabilidades en los procesadores de los principales fabricantes
http://unaaldia.hispasec.com/2018/01/meltdown-y-spectre-graves.html
SgxPectre Attacks: Practical Spectre attacks against Intel’s SGX enclaves
https://github.com/OSUSecLab/SgxPectre
New Spectre attack variant can pry secrets from Intel’s SGX protected enclaves
http://www.zdnet.com/article/new-spectre-attack-variant-can-pry-secrets-from-intels-sgx-protected-enclaves/

 

Descubiertos dispositivos Android con troyano de la familia «Triada» instalado de fábrica

Se han detectado un total de 42 modelos de teléfonos Android los cuales tienen un troyano bancario de la familia ‘Triada’ instalado de fábrica.

Extraída de wccftech.com

 

El troyano bancario es un malware que tiene como finalidad robar credenciales bancarias, pero no solo eso, sino también conseguir los datos necesarios para realizar estas transacciones, como por ejemplo códigos de seguridad enviados por SMS desde la entidad bancaria al terminal.

Investigadores de la empresa rusa Dr.Web afirman haber encontrado dispositivos con un troyano de la familia «Triada» instalado de fábrica, y que los paises afectados van más allá de Rusia. La muestra también ha sido encontrada en Polonia, Indonesia, China, República Checa, México, Kazajstán y Serbia.

La muestra en cuestión, identificada como ‘Android.Triada.231’, fue detectada por primera vez en 2016, y cuyo funcionamiento principal es la infección de ‘Zygote’, proceso utilizado por el sistema operativo para arrancar todas las aplicaciones, y así poder obtener control total de las mismas. Para eliminar la muestra del sistema es obligatorio realizar una reinstalación completa del sistema operativo.


Actualmente la lista de los terminales detectados con la muestra son los siguientes:

  • Leagoo M5
  • Leagoo M5 Plus
  • Leagoo M5 Edge
  • Leagoo M8
  • Leagoo M8 Pro
  • Leagoo Z5C
  • Leagoo T1 Plus
  • Leagoo Z3C
  • Leagoo Z1C
  • Leagoo M9
  • ARK Benefit M8
  • Zopo Speed 7 Plus
  • UHANS A101
  • Doogee X5 Max
  • Doogee X5 Max Pro
  • Doogee Shoot 1
  • Doogee Shoot 2
  • Tecno W2
  • Homtom HT16
  • Umi London
  • Kiano Elegance 5.1
  • iLife Fivo Lite
  • Mito A39
  • Vertex Impress InTouch 4G
  • Vertex Impress Genius
  • myPhone Hammer Energy
  • Advan S5E NXT
  • Advan S4Z
  • Advan i5E
  • STF AERIAL PLUS
  • STF JOY PRO
  • Tesla SP6.2
  • Cubot Rainbow
  • EXTREME 7
  • Haier T51
  • Cherry Mobile Flare S5
  • Cherry Mobile Flare J2S
  • Cherry Mobile Flare P1
  • NOA H6
  • Pelitt T1 PLUS
  • Prestigio Grace M5 LTE
  • BQ 5510

No es la primera vez que se detecta malware preinstalado en estos dispositivos. Aunque la firma antivirus no culpa directamente a los fabricantes de smartphones, puesto que la infección suele venir en aplicaciones de terceros, sí lamenta la falta de control de las aplicaciones de terceros instaladas en los dispositivos antes de ponerlos en el mercado.

Más información:

Doctor Web: over 40 models of Android devices delivered already infected from the manufacturershttps://news.drweb.com/show/?i=11749&c=5&lng=en&p=0

Denegación de servicio en ISC BIND y DHCP

ISC ha liberado nuevas versiones del cliente y servidor DHCP, así como del servidor BIND, destinadas a solucionar vulnerabilidades que abren la puerta a ataques de denegación de servicio.

Internet Systems Consortium es una organización dedicada al desarrollo de software y consultoría orientada al soporte de la infraestructura de Internet. Entre otros, es conocida por el desarrollo de BIND, un servidor de nombres de dominio (DNS) y DHCP, una implementación cliente-servidor del protocolo con el mismo nombre. Ambos productos son muy usados en sistemas de todo el mundo y presentan vulnerabilidades que comentamos a continuación, todas ellas permitiendo denegación de servicio. Afortunadamente, a estas alturas no se tiene constancia de que estas vulnerabilidades se estén explotando en la red.

La primera de ellas, con identificador CVE-2018-5732, se produce en el cliente de DHCP, conocido como dhclient. Concretamente, tiene lugar al procesar una respuesta de un servidor DHCP, que si tiene una sección de opciones especialmente diseñada, puede ocasionar un desbordamiento de memoria y el consiguiente cierre inesperado del cliente. No se descarta la posiblidad de ejecutar código arbitrario en algunas circunstancias. Esta vulnerabilidad fue reportada por Felix Wilhelm, del equipo de seguridad de Google, y afecta a las versiones 4.1-ESV-R15-P1, 4.3.6-P1 4.4.1.

En segundo lugar, identificada como CVE-2018-5733, tenemos una vulnerabilidad en el servidor de DHCP, llamado dhcpd. Básicamente consiste en que el servidor tiene un contador en memoria almacenado en 32 bits, que tras recibir una gran cantidad de paquetes de un cilente (del orden de miles de millones) puede desbordarse, con la posiblidad de cierre inesperado del servidor. Esta vulnerabilidad también fue reportada por Felix Wilhelm, y afecta a las versiones que afecta CVE-2018-5732.

Por último, la vulnerabilidad con identificador CVE-2018-5734 se produce en el servidor BIND al procesar una petición malformada. Específicamente, BIND al recibir un tipo concreto de paquete malformado selecciona como código de respuesta SERVFAIL, en vez de FORMERROR (que es la respuesta que indica que la petición DNS está malformada). Eso provoca que la aplicación ejecute una parte del código diferente (la parte que maneja las respuestas con SERVFAIL), y si se encuentra habilitada la caché de esta funcionalidad, se termina produciendo un fallo que ocasiona un cierre inesperado. La buena noticia es que este fallo no ha salido en ninguna versión pública del producto, sino en versiones con soporte de pago.

Todas las vulnerabilidades han sido corregidas a la hora de escribir este artículo, y se pueden corregir descargando la última version del software correspondiente en la sección de descargas de la página oficial del ISC:

https://www.isc.org/downloads/

Más información:

A specially constructed response from a malicious server can cause a buffer overflow in dhclient

https://kb.isc.org/article/AA-01565/75/CVE-2018-5732

A malicious client can overflow a reference counter in ISC dhcpd
https://kb.isc.org/article/AA-01567/75/CVE-2018-5733

A malformed request can trigger an assertion failure in badcache.c
https://kb.isc.org/article/AA-01562/74/CVE-2018-5734

Ejecución remota de código en Adobe Acrobat DC

Un reciente reporte de Cisco Talos alerta de la vulnerabilidad corregida en Adobe Acrobat DC, que permitiría ejecutar código de manera remota al procesar Javascript embebido en un PDF malicioso.
Talos ha publicado los detalles de la vulnerabilidad descubierta por el analista Aleksandar Nikolic. En su reporte, aclaraba que, aun existiendo una correcta gestión del campo «document ID» cuando éste excedía determinada longitud
Si se referenciaba mediante código Javascript embebido a ese anterior ID, se podría generar un desbordamiento de pila debido a una incorrecta comprobación de límites (CVE-2018-4901). Una simple llamada como «this.docID» podría generar el desbordamiento de memoria:

41 0 obj <<
>>
stream
this.docID;
endstream
endobj

Un atacante sólo tendría que distribuir o facilitar una web con un PDF especialmente manipulado con código Javascript para conseguir ejecutar código de manera arbitraria.
Aunque no existen reportes de explotación previos de esta vulnerabilidad, clasificada como crítica, se recomienda actualizar a las últimas versiones de Acrobat y Reader lo antes posible.
Más información:
Adobe Acrobat Reader DC Document ID Remote Code Execution Vulnerabilityhttps://www.talosintelligence.com/vulnerability_reports/TALOS-2017-0505
Security updates available for Adobe Acrobat and Reader | APSB18-02
https://helpx.adobe.com/security/products/acrobat/apsb18-02.html

Nuestro Sistema de Administración de Depósitos F...

DEPOSITOS FISCALES INTELIGENTES

Sistema de Administracion de Depósitos Fiscales: ADF

La dinámica de los negocios y de las innovaciones tecnológicas exigen un alto grado de flexibilidad de los sistemas informáticos, que deben poder adaptarse, rápidamente y de forma efectiva, a partir de las necesidades de los usuarios. La comunicación entre clientes y proveedores debe ser fluida y transparente, ya que la misma es clave para identificar y focalizar toda posibilidad de mejora.

No es ninguna novedad el gran nivel de optimización que son capaces de ofrecer los sistemas informáticos, fundamentalmente a partir de la gestión efectiva y en tiempo real de la información.

Sin embargo, también es cierto que el vertiginoso avance de la tecnología hace que muchos de los sistemas que están siendo utilizados en la actualidad resulten obsoletos, no cuenten con la flexibilidad necesaria para adaptarse a los cambios de las operaciones, y no saquen provecho de las innovaciones informáticas como ¨ la nube¨ , que pone a disponibilidad de sus usuarios un poder de cómputo muy difícil de lograr de forma local, así como un gran nivel de accesibilidad y control de los costos.

 

Nota Completa : ADF sist Fiscales

 

Solicite su Demostración en forma gratuita