Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
1749
)
-
▼
marzo
(Total:
257
)
-
Xbox Project Helix costará entre 999 y 1.200$
-
Ericsson en EE. UU. informa de una brecha de datos...
-
Adiós a la radio FM del coche en 2026
-
Anthropic demanda al gobierno de EE.UU. por tachar...
-
Vulnerabilidad en Apache ZooKeeper permite a ataca...
-
Instagram cae: nueva interrupción causa fallos gen...
-
Herramienta de explotación de iPhone usada por esp...
-
Así sería el nuevo Firefox con el rediseño Nova: p...
-
Analizan Windows 7 en 2026, más de 17 años después...
-
La OCU de Italia intenta responder la gran pregunt...
-
Sam Altman sentencia Python, C o JavaScript y acab...
-
ADATA avisa, el nivel de disponibilidad de memoria...
-
Movistar alerta de una estafa de cambio de router
-
WhatsApp de pago filtrado: personaliza colores, ti...
-
Presunta venta de exploit para fallo 0-day en Serv...
-
Adiós Windows Recall: Copilot en Windows 11 va a t...
-
¿Qué es QD-OLED Penta Tandem, la nueva tecnología ...
-
HackyFi, el nuevo Tamagotchi para hackers basado e...
-
Vulnerabilidad crítica de inyección de comandos si...
-
El organismo noruego de consumo denuncia la "mierd...
-
Google mejora Gemini para editar imágenes generada...
-
Fabricante chino de SSD YMTC lanza su primer SSD P...
-
Una startup estadounidense planea construir centro...
-
Thermal Grizzly se enfrenta a retrasos: varias emp...
-
Antenas de papel aluminio, el truco para que tu ro...
-
Los precios de las portátiles podrían dispararse u...
-
Señales WiFi revelan actividades humanas tras pare...
-
Diseño clásico de ladrillo de computadora LEGO de ...
-
Starlink consigue competir con las operadoras con ...
-
Más países ya piensan en meter centros de datos en...
-
Vulnerabilidad en múltiples productos de Hikvision...
-
Ya puedes jugar a juegos de Xbox en Android
-
Vib-OS, el sistema operativo 100% programado por V...
-
Windows 11 26H2 podría implementar «Performance Pr...
-
ClipXDaemon surge como secuestrador de portapapele...
-
PS6 no se retrasará porque la consola quedaría obs...
-
Seagate FireCuda X1070: SSD PCIe 4.0 con velocidad...
-
Adiós al anonimato en Internet: Anthropic cree que...
-
Consigue convertir la PS5 en una Steam Machine con...
-
La operación de 250 millones de dólares de Arm en ...
-
Grave fallo en ExifTool permite ejecutar código co...
-
Zero-Day de Qualcomm explotado en ataques dirigido...
-
M365Pwned – Kit de herramientas GUI para Red Team ...
-
La administración Trump evalúa obligar a Tencent d...
-
Estados Unidos designa a Anthropic como un riesgo:...
-
ChatGPT multiplica por 4 sus tokens con GPT-5.4: 3...
-
NVIDIA incontestable en GPUs: su cuota de mercado ...
-
Apache ActiveMQ permite a atacantes provocar ataqu...
-
El ordenador más friki que verás hoy: un Mac Mini ...
-
OpenAnt es un escáner de vulnerabilidades basado e...
-
Antrophic detecta 22 vulnerabilidades críticas en ...
-
Sustituye la batería de su coche eléctrico por 500...
-
Un cirujano opera de cáncer de próstata a un pacie...
-
Hacks y trucos de WhatsApp que todo usuario deberí...
-
Fuga masiva expone datos de más de un millón de us...
-
Star Citizen tardó cinco semanas en revelar un hackeo
-
OpenAI lanza Codex Security, un agente de IA capaz...
-
Caja mini ITX con forma de tiburón te costará un d...
-
Claude Code borra la configuración de producción d...
-
Ingeniero recibe 30.000 dólares por descubrir una ...
-
Nintendo demanda al gobierno de EE.UU. por arancel...
-
El FBI investiga un hackeo a sus sistemas de vigil...
-
Oracle planea recortar miles de empleos y congelar...
-
Google Gemini lleva a un hombre a la locura y al s...
-
RegScanner: herramienta para gestionar el registro...
-
Google alerta sobre una herramienta que hackea tu ...
-
Nuevo informe advierte que la IA automatiza operac...
-
Google trabaja en integrar emisoras de radio FM de...
-
Cómo copiar en un examen con gafas de IA: Sanidad ...
-
Micron lanza la primera memoria LPDRAM SOCAMM2 de ...
-
Imitan correo de soporte de LastPass para robar co...
-
OpenAI crea alternativa a GitHub tras frecuentes f...
-
Actores de amenazas intensifican ataques a cámaras...
-
Edward Snowden, exanalista de la CIA y la NSA: “De...
-
Los precios de la memoria en espiral podrían desen...
-
NVIDIA deja de apostar por OpenAI y Anthropic tras...
-
CyberStrikeAI desata una ola de ciberataques autom...
-
Magis TV o Cuevana, Estados Unidos señala a las IP...
-
Un sistema operativo con "vibes" de IA es tan malo...
-
Internet se vuelve más privado: el protocolo ECH y...
-
6G ya se prepara: una coalición internacional defi...
-
Microsoft admite que rompió Windows 10 justo tras ...
-
Google confirma 90 vulnerabilidades de día cero ex...
-
Un HTTPS cuántico seguro, robusto y eficiente en C...
-
Un centro de datos de IA de Elon Musk convierte un...
-
Las IA son capaces de descubrir la identidad real ...
-
Descubren que dos IA están hablando entre ellas y ...
-
Windows 11 quiere darle una nueva vida a "Impr Pan...
-
Niño de 12 años construye un dispositivo de fusión...
-
NVIDIA lanza el driver 595.76 y corrige cuatro pro...
-
WikiFlix, la plataforma de streaming gratis que re...
-
Trabajadores de OpenAI y Google se rebelan contra ...
-
EE.UU: Pese a desterrar a Antrophic, su IA Claude ...
-
App para móviles Android te avisa cuando alguien c...
-
Explotación de vulnerabilidad 0-day de Cisco SD-WAN
-
Europol desmantela LeakBase: cae uno de los mayore...
-
Un simple typo provoca un 0-day de ejecución remot...
-
Nueva vulnerabilidad en MongoDB permite bloquearlo
-
CyberStrikeAI: La nueva herramienta de IA que los ...
-
Ray-Ban Meta: empleados en Kenia pueden estar vien...
-
-
▼
marzo
(Total:
257
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
China ha desarrollado el procesador fotónico LightGen , 100 veces más potente que el Nvidia A100 , utilizando neuronas fotónicas para elimi... -
Un desarrollador demasiado entusiasta permitió que Claude Code ejecutara Terraform en su entorno de producción, incluyendo la base de datos... -
ClothOff es una app que utiliza inteligencia artificial generativa para desnudar a cualquier persona a partir de fotografías con ropa que...
Vulnerabilidad en Apache ZooKeeper permite a atacantes acceder a datos sensibles
Se han revelado dos vulnerabilidades de severidad Importante en Apache ZooKeeper, un servicio ampliamente utilizado para la gestión de configuraciones y nombres en aplicaciones distribuidas, lo que hace que las actualizaciones de seguridad oportunas sean críticas. Estas fallas recién descubiertas podrían permitir a los atacantes acceder a datos de configuración sensibles o eludir la verificación de nombres de host para suplantar servidores de confianza.
Se han revelado dos vulnerabilidades de gravedad “Importante” en Apache ZooKeeper, un servicio ampliamente utilizado para la gestión de configuraciones y nombres en aplicaciones distribuidas, lo que hace que las actualizaciones de seguridad oportunas sean críticas.
Estas fallas recién descubiertas podrían permitir a los atacantes acceder a datos de configuración sensibles o eludir la verificación de nombres de host para suplantar servidores de confianza. Ambas vulnerabilidades afectan a las ramas de versiones 3.8.x y 3.9.x de ZooKeeper.
Vulnerabilidad en Apache ZooKeeper
La primera vulnerabilidad, identificada como CVE-2026-24308, implica la filtración de información sensible.
Descubierta por el investigador Youlong Chen, esta falla ocurre debido al manejo inadecuado de valores de configuración en el componente ZKConfig.
Cuando un cliente se conecta, los datos de configuración sensibles se imprimen accidentalmente en el archivo de registro del cliente con el nivel de registro INFO por defecto.
Esto significa que cualquier usuario no autorizado o atacante con acceso a los archivos de registro del sistema podría robar silenciosamente datos sensibles de producción sin activar alarmas.
El segundo problema, rastreado como CVE-2026-24281 (e internamente como ZOOKEEPER-4986), es un bypass de verificación de nombres de host descubierto por Nikita Markevich.
En el componente ZKTrustManager, si falla la validación del Nombre Alternativo del Sujeto (SAN) por IP, el sistema recurre automáticamente a una búsqueda DNS inversa (PTR).
Un atacante que controle o falsifique registros PTR puede explotar este comportamiento para suplantar servidores o clientes válidos de ZooKeeper.
Aunque el atacante aún debe presentar un certificado confiable para ZKTrustManager —lo que dificulta la explotación—, un ataque exitoso socava por completo el modelo de confianza del sistema.
Para proteger la infraestructura de estas amenazas, Apache recomienda encarecidamente a los administradores que actualicen inmediatamente sus instalaciones de ZooKeeper a las versiones parcheadas.
Las correcciones oficiales están disponibles en las versiones 3.8.6 y 3.9.5 de Apache ZooKeeper. Aplicar estas actualizaciones resuelve la falla de exposición en los registros, asegurando que ZKConfig ya no filtre valores sensibles en archivos locales.
Además, las actualizaciones solucionan el problema de bypass de nombres de host al introducir una nueva opción de configuración que desactiva las búsquedas DNS inversas tanto para el protocolo de cliente como para el de quórum.
Además de aplicar los parches, los equipos de seguridad deben revisar activamente sus entornos de registro para garantizar que no queden expuestos datos sensibles históricos en archivos de registro antiguos o archivados.
Fuentes:
https://cybersecuritynews.com/apache-zookeeper-vulnerability/
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.