Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1084
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
▼
2015
(Total:
445
)
-
▼
septiembre
(Total:
47
)
- Google presenta oficialmente LG Nexus 5X y Huawei ...
- Vulnerabilidad en el cómputo de los clics en Googl...
- Timos y Fraudes vía WhatsApp en España
- Detectan un aumento inusual de ataques contra rout...
- Microsoft presenta oficialmente Office 2016
- Wikimedia publica su propio servicio de mapas basa...
- Hackean la cuenta de Facebook de Collet: "Los espa...
- Becas INCIBE de estudios de especialización en cib...
- Cartuchos de impresora: ojo con algunos modelos
- Parche de Apple soluciona vulnerabilidades crítica...
- Nueva actualización de seguridad para Adobe Flash ...
- Hackaton de CyberCamp 2015
- Semana Europea de la Programación (Octubre 2015)
- Google Chrome se cuelga con tan solo 16 caracteres
- Inhibidores de señal Wifi: inhabilita cámaras y dr...
- Espíame, no tengo nada que ocultar
- Cómo secar un móvil si se ha mojado por accidente
- Amazon presenta su tablet de 50 dólares
- Novedades del nuevo Chromecast de Google
- Grave vulnerabilidad en Bugzilla ya parcheada
- iOS 9 ya está disponible y corrige 101 fallos de s...
- Escritor pierde parte del libro de su vida por cul...
- Corrigen múltiples vulnerabilidades en WordPress 4...
- Extracción de hashes y contraseñas en texto plano ...
- Libro en inglés sobre Ingeniería Inversa app de iOS
- Suite de Test de Vulnerabilidades Android VTS
- Disponible DbgKit 1.3. (GUI para WinDbg)
- El iPhone 6s tiene 2 GB de RAM
- Firefox mostrará anuncios al abrir una nueva pestaña
- Google tomará medidas contra el Ransomware en Andr...
- ¿Es necesario crear un Carnet de Hacker en España?
- EEUU quiere prohibir firmwares alternativos en rou...
- Disponibles SystemRescueCd v4.6.0 y SparkyLinux 4....
- Documentos que instalan un backdoor a través de un...
- Según un estudio, la mitad de los iPhones son vuln...
- Nueva herramienta gratuita de Ashampoo para config...
- Adblock Plus: el nuevo navegador para iOS y Androi...
- Hackean el Twitter y Facebook de Irina Shayk
- Encontrada puerta trasera en discos NAS de Seagate...
- El Google Nexus 6 ha bajado casi un 50% de precio ...
- Canon presenta un sensor de 250 megapíxeles
- Google Chrome versión 45 promete ahorrar memoria R...
- Liberada herramienta Evil FOCA con licencia GPL
- Comparativa de Gestores de Contraseñas para Window...
- Google estrena nuevo Logo y Favicon
- Movistar también ofrecerá 300 MB simétricos
- AIO 2015 - Compilación herramientas análisis y des...
-
▼
septiembre
(Total:
47
)
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
396
)
privacidad
(
364
)
google
(
355
)
ransomware
(
341
)
vulnerabilidad
(
305
)
Malware
(
265
)
Windows
(
246
)
android
(
244
)
cve
(
237
)
tutorial
(
236
)
manual
(
221
)
software
(
206
)
hardware
(
196
)
linux
(
126
)
twitter
(
117
)
ddos
(
95
)
WhatsApp
(
92
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
67
)
app
(
65
)
Networking
(
56
)
nvidia
(
53
)
ssd
(
51
)
youtube
(
50
)
adobe
(
43
)
firmware
(
43
)
office
(
41
)
hack
(
40
)
firefox
(
36
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
apache
(
26
)
MAC
(
25
)
programación
(
25
)
exploit
(
23
)
multimedia
(
23
)
javascript
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
Un conector HDMI dummy o fantasma no es más que un HDMI que simula que hay una pantalla conectada. Tienen una variedad de propósitos útil...
-
En WhatsApp se han dicho verdaderas barbaridades. Todos hemos cometido el error de escribir algo en caliente . Y de arrepentirnos. Tal vez ...
Grave vulnerabilidad en Bugzilla ya parcheada
viernes, 18 de septiembre de 2015
|
Publicado por
el-brujo
|
Editar entrada
En los proyectos de software del sistema Bugzilla que usan líderes como
Mozilla, Linux Kernel, Apache Proyecto, Red Hat y Open Office para ver
errores de seguimiento y vulnerabilidades de uso, se ha descubierto una
grave vulnerabilidad que ya ha sido parcheada.
Con el uso de la vulnerabilidad, un atacante podría iniciar la sesión en el sistema y, por ejemplo, ver los errores y problemas sensibles ver que no se han parcheado. Recientemente se anunció que había recibido un atacante acceder al sistema de Bugzilla, Mozilla y así apoderarse de información sobre una vulnerabilidad de Firefox para el que no hay parche de seguridad y todavía no estaba disponible. Esta información, el atacante utiliza para los usuarios de Firefox para atacar. Un método común dentro de Bugzilla para proporcionar acceso de usuario se basa en el correo electrónico.
Si un usuario tiene una dirección de correo electrónico de una organización en particular va a ser considerado como un usuario de confianza. En el caso de Mozilla implica los usuarios que, por ejemplo, una dirección de correo electrónico de eliminación @ mozilla.com. La vulnerabilidad descubierto ahora permite a un atacante para cualquier dominio va a crear una cuenta de Bugzilla, incluso si no tienen acceso a la cuenta de correo electrónico o dominio.
El atacante puede utilizar la cuenta creada para iniciar la sesión y en función de los derechos otorgados a los usuarios de un dominio particular se configurar el acceso todavía no puede corregir los errores y otra información. La vulnerabilidad fue reportada el lunes, 7 de septiembre en Mozilla, que es responsable del desarrollo de Bugzilla. El 10 Jueves, septiembre, apareció una actualización.
Las empresas que usen Bugzilla en combinación con los derechos de uso basados en correo electrónico y esta actualización todavía no se hay instalado se les aconseja dejar el sistema de derecho sin conexión hasta que se despliegue el parche. Además, los registros y las listas creadas por el usuario se deben revisar para ver si los usuarios se han creado a través de la vulnerabilidad, es lo que aconseja a PerimeterX, la compañía que descubrió la vulnerabilidad.
Fuente:
http://blog.perimeterx.com/bugzilla-cve-2015-4499
Bugzilla CVE-2015-4499:
Con el uso de la vulnerabilidad, un atacante podría iniciar la sesión en el sistema y, por ejemplo, ver los errores y problemas sensibles ver que no se han parcheado. Recientemente se anunció que había recibido un atacante acceder al sistema de Bugzilla, Mozilla y así apoderarse de información sobre una vulnerabilidad de Firefox para el que no hay parche de seguridad y todavía no estaba disponible. Esta información, el atacante utiliza para los usuarios de Firefox para atacar. Un método común dentro de Bugzilla para proporcionar acceso de usuario se basa en el correo electrónico.
Ejemplos de empresas que usan BugZilla
Proyectos de Software Libre
- Mozilla: https://bugzilla.mozilla.org/
- Linux Kernel: http://bugzilla.kernel.org/
- GNOME: http://bugzilla.gnome.org/
- KDE: http://bugs.kde.org/
- Apache Project: https://bz.apache.org/bugzilla/
- LibreOffice: https://bugs.documentfoundation.org/
- Open Office: https://bz.apache.org/ooo/
- Eclipse: http://bugs.eclipse.org/bugs/
Distribuciones de Linux
- Red Hat: https://bugzilla.redhat.com/
- Mandriva: http://qa.mandriva.com/
- Gentoo: http://bugs.gentoo.org/
- Novell: https://bugzilla.novell.com/
Si un usuario tiene una dirección de correo electrónico de una organización en particular va a ser considerado como un usuario de confianza. En el caso de Mozilla implica los usuarios que, por ejemplo, una dirección de correo electrónico de eliminación @ mozilla.com. La vulnerabilidad descubierto ahora permite a un atacante para cualquier dominio va a crear una cuenta de Bugzilla, incluso si no tienen acceso a la cuenta de correo electrónico o dominio.
El atacante puede utilizar la cuenta creada para iniciar la sesión y en función de los derechos otorgados a los usuarios de un dominio particular se configurar el acceso todavía no puede corregir los errores y otra información. La vulnerabilidad fue reportada el lunes, 7 de septiembre en Mozilla, que es responsable del desarrollo de Bugzilla. El 10 Jueves, septiembre, apareció una actualización.
Las empresas que usen Bugzilla en combinación con los derechos de uso basados en correo electrónico y esta actualización todavía no se hay instalado se les aconseja dejar el sistema de derecho sin conexión hasta que se despliegue el parche. Además, los registros y las listas creadas por el usuario se deben revisar para ver si los usuarios se han creado a través de la vulnerabilidad, es lo que aconseja a PerimeterX, la compañía que descubrió la vulnerabilidad.
Fuente:
http://blog.perimeterx.com/bugzilla-cve-2015-4499
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.