Vulnerabilidad en Samba permite acceder a archivos no compartidos

Vulnerabilidad en Samba permite acceder a archivos no compartidos

—————————————————————–

Se ha confirmado una vulnerabilidad en Samba (versiones anteriores a 4.6.1, 4.5.7, 4.4.12), que podría permitir a un atacante acceder a archivos no compartidos.

Samba es un software gratuito que permite acceder y utilizar archivos, impresoras y otros recursos compartidos en una intranet o en Internet.

Está soportado por una gran variedad de sistemas operativos, como Linux, openVMS y OS/2. Está basado en los protocolos SMB (Server Message Block) y CIFS (Common Internet File System).

El problema (con CVE-2017-2619) puede permitir a un cliente malicioso acceder a áreas no exportadas del servidor de archivos mediante una ruta de enlace simbólico.

Se han publicado parches para solucionar esta vulnerabilidad en http://www.samba.org/samba/security/

Adicionalmente, se han publicado las versiones Samba 4.6.1, 4.5.7 y

4.4.12 que corrigen los problemas.

Como contramedida el equipo de Samba recomienda añadir el parámetro “unix extensions = no”

En la sección [global] de smb.conf y reiniciar smbd.

Esto impide a los clientes SMB1 la creación de enlaces simbólicos en el sistema de archivos exportado empleando SMB1.

Más información:

Symlink race allows access outside share definition https://www.samba.org/samba/security/CVE-2017-2619.html

Fuente: Hispasec

Read More

Las herramientas de la CIA

Las herramientas de la CIA

Todo el mundo tenía y tiene constancia de que la CIA cuenta con un conjunto de herramientas avanzado, capaz de saltarse cualquier protección, sistema operativo o cifrado. Al fin de cuentas, para algo son la CIA. Acaba de publicarse dentro del famoso conjunto de documentos filtrados de WikiLeaks información sobre las herramientas empleadas por la agencia que viene a demostrar su posibilidad de romper la seguridad de cualquier sistema operativo o dispositivo.

Pass: SplinterItIntoAThousandPiecesAndScatterItIntoTheWinds

Read More

En Facebook será imposible no aparecer en las búsquedas por nombre

Foto: b:Secure

Foto: b:Secure

Nueva York.— Facebook eliminará la función de privacidad ¿Quién puede ver tu Timeline por nombre?, que permitía a los usuarios limitar el público que podía hallarlos en la red social mediante una búsqueda.

Facebook dijo el jueves que eliminará la función que controla si los usuarios pueden ser encontrados cuando las personas introducen su nombre en la barra de búsqueda del portal.

Read More

Google gratificará por mejoras de seguridad en proyectos de código abierto

Google ha anunciado un programa experimental para gratificar las mejoras proactivas de seguridad para determinados proyectos de código abierto (“open-source”).

Según Michal Zalewski del equipo de seguridad de Google, “todos nos beneficiamos del increíble trabajo voluntario realizado por la comunidad de código abierto”. Por eso, han buscado una forma que pretende complementar y ampliar los ya extendidos programas de recompensas para aplicaciones web de Google y para Google Chrome, para “mejorar la seguridad de software de terceras partes crítico para la salud de todo Internet”.

Según aclara no han creído que un simple programa de recompensa por vulnerabilidad pudiera llegar a ser producente. De forma que las recompensas económicas serán para mejoras proactivas que vayan más allá de la mera corrección de un fallo de seguridad conocido. Así se ponen como ejemplo añadir separación de privilegios, limpiar múltiples llamadas incompletas a strcat(), o incluso habilitar ASLR.

Read More

Múltiples vulnerabilidades en el software Cisco ASA

Cisco ha anunciado la existencia de nueve vulnerabilidades en el software Cisco Adaptive Security Appliances (ASA) por las que un atacante podría permitir a un atacante provocar condiciones de denegación de servicio o evitar restricciones de seguridad.

Se ven afectados los dispositivos Cisco ASA 5500 Series Adaptive Security Appliances, Cisco ASA 5500-X Next Generation Firewall, Cisco ASA Services Module para Switches Cisco Catalyst 6500 Series y Routers Cisco 7600 Series, y Cisco ASA 1000V Cloud Firewall. Las versiones del software Cisco ASA podrán variar en function del dispositivo y la vulnerabilidad específica.

Las vulnerabilidades anunciadas comprenden denegaciones de servicio en el tratamiento de paquetes ICMP modificados a través de túneles VPN (CVE-2013-5507), en el motor de inspección SQL*Net (CVE-2013-5508), en HTTP Deep Packet Inspection (DPI) (CVE-2013-5512), en el motor de inspección DNS (CVE-2013-5513), en el tratamiento de conexiones del cliente AnyConnect SSL VPN (CVE-2013-3415) y en Clientless SSL VPN (CVE-2013-5515).

Read More

Samsung Galaxy Gear

Mientras Google se prepara para lanzar a escala mundial sus Glass, y Apple anuncia finalmente su esperado iWatch, Samsung se adelanta en la guerra por las muñecas, cuellos y cabezas de las personas al presentar oficialmente el Galaxy Gear, un reloj digital que se sincroniza con un smartphone Galaxy y hace las funciones de un headset más “moderno”.
Galaxy Gear es un smartwatch que permite hacer y recibir llamadas, redactar mensajes de texto y claro, consultar la hora. Este smartwatch integra una pantalla AMOLED de 1.63 pulgadas con resolución 320 x 320, de tamaño similar al de un reloj común para hombre. El display viene acompañado (o mejor dicho, rodeado) por un marco metálico de acero cepillado y unos pequeños pero muy elegantes remaches.
Disponible en 6 colores diferentes, la correa plástica del Galaxy Gear además de ajustarse cómodamente a la muñeca, cuenta con una pequeña cámra – prácticamente espía – de 1.9 megapixeles.

Galaxy Gear tiene un procesador de 800 MHz y corre una versión modificada del Sistema Operativo Android, que no despliega barras de herramientas, widgets o apps, sólo una limpia interfaz donde existe un home screen dominado por la hora y el clima, además de algunas funciones asignadas a íconos grandes que se despliegan uno por uno en la pantalla y se seleccionan o rotan con simples movimientos de los dedos.

galaxygearsmartwatch

Read More

La pulsera Nymi usa los latidos del corazón como sistema de autenticación

La pulsera Nymi usa los latidos del corazón como un sistema de autenticación

Hemos visto sistemas de seguridad biométricos que usan huellas dactilareslas caras de los usuarios y hasta el dibujo del iris para identificar a un usuario, pero bien sabemos que no son perfectos y que el cuerpo humano tiene muchos otros rasgos que nos convierten en individuos únicos. Uno de ellos serían las pulsaciones del corazón, que tendrían un ritmo único que sería casi imposible de replicar, y por lo tanto Bionym ha decidido usarlas para crear su pulsera Nymi. El dispositivo puede ser usado como un aparato de autenticación constante, y gracias a su conexión Bluetooth, puede comunicarse con tablets, ordenadores, y todo tipo de electrodoméstico inteligente o dispositivo de domótica.

Además de capturar los latidos del corazón, Nymi reconoce gestos, permitiéndole activar opciones como cambiar canales en una televisión o apagar luces sin tocar el interruptor. Sus responsables afirman que la pulsera podría usarse para hacer pagos en tiendas, abrir puertas del hogar, trabajo y hoteles, desbloquear teléfonos, y prácticamente cualquier acción que requiera la identificación de su portador.

El aparato puede ser reservado ahora por 79 dólares, pero no será enviado a compradores hasta principios de 2014. Mientras tanto, te dejamos con un video que la muestra en funcionamiento.

https://www.getnymi.com/preorder/

Read More

Boletines de seguridad para Debian

Debian ha publicado dos boletines de seguridad que corrigen varias

vulnerabilidades en php5 y kfreebsd-9. Estos fallos podrían permitir a

un atacante falsificar certificados SSL, revelar información importante

y evadir restricciones de seguridad.

 

El primer boletín, DSA-2742, corrige un fallo en el paquete

correspondiente a php5. El popular lenguaje de programación ampliamente

usado en aplicaciones web. En el se corrige un fallo al no procesar

correctamente el carácter ‘\0’ o NUL en el campo de extensión

‘subjectAlrName’ de los certificados X.509.

Read More

Automatiza la gestión de tus equipos con OCS

Hace poco estuvimos revisando GLPI, un helpdesk orientado al soporte de sistemas y microinformática que incluía un completo inventario de hardware, con el que llevar un completo seguimiento de las incidencias y peticiones asociadas a usuarios y equipos. Sin embargo, mantener al día el inventario, es decir, dar de alta nuevos equipos o anotar las modificaciones puede ser un poco tedioso y una tarea que, a veces, descuidamos hasta que llega una auditoría de calidad. Si además, tenemos que llevar un conteo del software instalado, la tarea aún se complica más. OCS Inventory es una aplicación en software libre, basada en un modelo cliente-servidor, que recopila la información del software y el hardware instalado en los equipos de nuestra red en un sistema centralizado.

Toda la información que extrae OCS se realiza mediante la instalación de un agente, en cada uno de los equipos a gestionar (ya sean Windows, Linux o MacOS), que envia la información al servidor mediante HTTP e intercambiando archivos XML. El entorno requerido no es nada complejo: Apache + Perl + PHP + MySQL, por lo que podemos montar el servicio sin mucha dificultad. En el lado del cliente, por ejemplo en Windows, tan sólo hay que instalar un simple ejecutable que dejará un servicio ejecutándose en el sistema.

Read More