Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
▼
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
▼
junio
(Total:
67
)
- Grupos de menores en Discord se dedican a crear o ...
- Firefox incorpora opción eliminar los parámetros d...
- El FBI alerta de un aumento de personas que utiliz...
- Un japonés ebrio y pierde los datos personales de ...
- China quiere detener posibles criminales antes de ...
- Técnicas y procedimientos grupos ransomware
- El grupo de Ransomware Lockbit crea un programa de...
- Nuclei: un escáner vulnerabilidades automatizado y...
- Lituania sufre ciberataques rusos como respuesta a...
- Windows Defender tiene un problema de rendmiento c...
- Utilidad Rufus ya permite instalar Windows 11 sin ...
- Malware Revive se hace pasar por una falsa utilida...
- Instagram está escaneando caras para comprobar eda...
- Cuidado al conectar tu teléfono móvil para cargar ...
- Google advierte nuevo spyware creado en Italia que...
- LibreWolf es un navegador basado en Firefox que ap...
- Según Microsoft, Rusia intentó hackear a más de 12...
- inteligencia artificial da «vida» a las fotos de t...
- Víctima de phishing recupera de su banco los 12.00...
- El Ayuntamiento de Vitoria estafado con 89.991 eur...
- Copilot será de pago: 10$ al mes
- Malware de macro: mala hierba nunca muere
- 18 apps con malware encontradas en la Google Play ...
- Facebook está recopilando datos médicos de los cen...
- Nueva modalidad de extorsión del grupo de ransomwa...
- En el Reino Unido demandan a Apple por 907 millone...
- Restic: herramienta backups con soporte de version...
- Nuevo récord mundial de ataque DDoS con 26M petici...
- Adobe Photoshop presenta novedades: tendrá una ver...
- MaliBot es un nuevo troyano bancario para Android
- Bill Gates crítica los NFT: "se basan al 100% en l...
- Firefox mejora el seguimiento de las cookies
- Desactivar TrustPid, la nueva supercookie con la q...
- Finaliza el soporte del navegador Internet Explore...
- Estafa del 'Bizum inverso': ¿en qué consiste este ...
- Robo de cuentas de Instagram para anunciar Criptom...
- El timo y la estafa de devolver una "llamada perdida"
- Europol alerta intentos de Estafa al CEO con los f...
- Señal Bluetooth en teléfonos permite rastrear la u...
- El 76% de las organizaciones admite haber pagado a...
- Vectores de ataques de Ransomware: RDP y Phishing ...
- Consejos de seguridad y privacidad en Twitter
- Unidades SSD WD Blue pierden mucho rendimiento con...
- DALL-E Mini: IA genera imágenes a partir del texto...
- Final de vida para el editor de código Atom
- Se puede robar un Tesla en 130 segundos, mediante NFC
- Microsoft quiere que Windows 11 solo se pueda prei...
- El mercado de la Dark Web ha ganado 16,55 millones...
- Los colores en los puertos USB: velocidades y está...
- Phishing mediante tunelización inversa y el uso de...
- Bossware, el software para controlar a los emplead...
- Ciudad italiana de Palermo víctima de un ciberataq...
- El spam como negocio: 360 euros por enviar propaga...
- El USB-C será el puerto de carga estándar en Europ...
- Ayuntamiento de Palma de Mallorca estafado con 300...
- Telegram cede a las autoridades alemanas el acceso...
- Ransomware para dispositivos de internet de las cosas
- Los ataques de ransomware toman una media de solo ...
- Otro día cero (más o menos) en la “URL de búsqueda...
- Herramienta encuentra 47.300 plugins maliciosos de...
- Actualización de seguridad en GitLab corrige error...
- Evil Corp cambia de nombre al ransomware LockBit p...
- Foxconn confirma que el ataque de ransomware inter...
- España se convierte en el primer objetivo de malwa...
- Sistema de salud nacional de Costa Rica víctima de...
- Europol desmantela infraestructura del troyano ban...
- Vulnerabilidad 0day Windows mediante herramienta d...
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
En la Operación Torpedo el FBI utilizó Metasploit Framework , un software totalmente libre construido originalmente sobre lenguaje Perl y p...
-
Recientemente, 2K Games ha sufrido un ataque dentro de su plataforma de soporte técnico. Dicha plataforma, fue hackeada y utilizada para...
Actualización de seguridad en GitLab corrige error crítico de secuestro de cuenta
GitLab ha lanzado una actualización de seguridad crítica para múltiples versiones de sus productos Community y Enterprise Edition para abordar ocho vulnerabilidades, una de las cuales permite la apropiación de cuentas. Obtener el control de una cuenta de GitLab tiene graves consecuencias, ya que los piratas informáticos podrían obtener acceso a los proyectos de los desarrolladores y robar el código fuente. Registrada como CVE-2022-1680 y clasificada con una puntuación de gravedad crítica de 9,9, la vulnerabilidad afecta a todas las versiones de GitLab 11.10 a 14.9.4, 14.10 a 14.10.3 y versión 15.0.
GitLab es un repositorio de Git basado en la web para equipos de desarrolladores que necesitan administrar su código de forma remota. Tiene aproximadamente 30 millones de usuarios registrados y un millón de clientes de pago.
Según el aviso de la compañía, es posible explotar la falla en instancias con una configuración específica, y el potencial de abuso se reduce por la presencia de autenticación de dos factores (2FA) en cuentas específicas.
«Cuando se configura el SSO SAML grupal, la función SCIM puede permitir que cualquier propietario de un grupo Premium invite a usuarios arbitrarios a través de su nombre de usuario y correo electrónico, luego cambie las direcciones de correo electrónico de esos usuarios a través de SCIM a una dirección de correo electrónico controlada por un atacante y, por lo tanto, en el ausencia de 2FA: hacerse cargo de esas cuentas. También es posible que el atacante cambie el nombre para mostrar y el nombre de usuario de la cuenta objetivo». – GitLab
Reparación y remediación
El problema se solucionó con actualizaciones de seguridad para todas las sucursales afectadas. Todos los usuarios de GitLab deben pasar a las últimas versiones disponibles lo antes posible.
Para obtener instrucciones sobre cómo actualizar GitLab, visite este portal . Para GitLab Runner, puede usar este repositorio.
Además, para verificar si la protección de acceso del Lenguaje de marcado de aserción de seguridad (SAML) está activa, los administradores pueden revisar esta página web de instrucciones que contiene orientación sobre cómo configurar esta funcionalidad en la política deseada.
Vulnerabilidades de alta gravedad
Las actualizaciones de seguridad contienen correcciones para dos fallas más de alta gravedad. El primero es un problema de secuencias de comandos entre sitios (XSS) en el componente de integración de Jira rastreado como CVE-2022-1940; viene con una calificación de gravedad de 7.7.
El segundo es una validación faltante de la entrada que permite la inyección de HTML en los detalles de la lista de contactos y permite ataques XSS. Se rastrea como CVE-2022-1948 y tiene una calificación de gravedad de 8.7.
Las cinco vulnerabilidades restantes son problemas de omisión de lista de IP permitida, autorización incorrecta en el terminal web y acceso inadecuado de miembros del grupo y omisión de bloqueo.
Fuentes:
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.