Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
2704
)
-
▼
abril
(Total:
379
)
-
Honda visita una fábrica de coches china: "No pode...
-
Mozilla critica a Microsoft por instalar Copilot e...
-
OneXPlayer Super V: la tablet-PC 2 en 1 con CPU I...
-
Caja PC "Superdomo" -20 grados de temperatura — 60...
-
Anthropic avisa: la IA empieza a separar a los que...
-
Vulnerabilidades en Apache Tomcat permiten eludir ...
-
Investigador de Google TurboQuant expresó estar im...
-
Vulnerabilidad crítica en Axios permite ejecución ...
-
Super Mario Galaxy: La película encabeza la taquil...
-
Nike enfrenta polémica por defectos en las camiset...
-
Japón lanza un ambicioso plan para ser un gigante ...
-
Hackeo a Basic-Fit expone los datos personales y b...
-
Claude AI sufre caídas para cientos de usuarios co...
-
OpenAI detecta una brecha de seguridad en el proce...
-
Vulnerabilidad RCE de Marimo explotada en menos de...
-
Nginx 1.29.8 y FreeNginx publicados con actualizac...
-
XChat: la nueva plataforma de mensajería de Elon Musk
-
El kernel de Linux 7.0 ya está disponible para des...
-
NZXT y Fragile ceden ante la demanda colectiva por...
-
Dave Plummer, mítico ingeniero de Microsoft, asegu...
-
MSI Cubi NUC TWG, otro mini-PC
-
Linus Torvalds y los responsables del kernel de Li...
-
Explotación activa de un RCE crítico en Marimo
-
DIGI pierde el control en España y Europa de su ca...
-
Dario Amodei, CEO de Anthropic: “Entiendo las vent...
-
RPCS3 ya funciona casi como una PS3 real: permite ...
-
Anthropic lleva a su IA Claude Mythos a terapia re...
-
Adiós al diseño clásico: Huawei redefine los plega...
-
Algunas apps de Windows 3.1 eran tan "malas" que W...
-
DLSS 4.5 llega a War Thunder y más juegos RTX
-
Suplantan al líder de la Linux Foundation en Slack...
-
SFP+ ONT con el firmware 8311 para la red XGS-PON ...
-
Glass UI vuelve a Linux gracias a los colaboradore...
-
Usan ClickFix y archivos DMG maliciosos para distr...
-
Ocultan skimmer Magecart en páginas de pago de Mag...
-
Vulnerabilidad en Componentes de Servidor de React...
-
El sector tecnológico entra en crisis: casi 80.000...
-
La Armada británica rastreó 3 submarinos rusos cer...
-
Google Chrome presenta Device Bound Session Creden...
-
Geekbench 6.7 añade detección de BOT de Intel para...
-
Un pendrive USB que ya no uses puede ser aún útil
-
La suscripción a ChatGPT Pro ahora cuesta la mitad...
-
Vulnerabilidad en contraseña predeterminada de Jun...
-
ASUS ROG Equalizer, el cable 12V-2×6 para evitar l...
-
Explotación activa de CVE-2026-0740 en Ninja Forms...
-
Vulnerabilidades críticas en Chrome permiten a ata...
-
Un mantenedor de Go alerta sobre el riesgo de las ...
-
Google integra NotebookLM con Gemini: su nueva fun...
-
Una sola línea de código puede hacear jailbreak a ...
-
Sitio web oficial de CPUID comprometido para distr...
-
Múltiples vulnerabilidades en TP-Link Archer AX53 ...
-
Amazon eliminó Downloader, posiblemente la app más...
-
Susurro Fantasma, la IA de la CIA que localiza un ...
-
WhatsApp lanza función de nombre de usuario para c...
-
AWS corrige fallos críticos de RCE y escalada de p...
-
Ubuntu 26.04 LTS tiene unos requisitos más altos q...
-
Instagram lanza en España su modo para adolescente...
-
Microsoft suspende las cuentas de desarrollador de...
-
Adiós a Llama: Musa Spark es la nueva generación d...
-
El MediaTek Dimensity 9600 Pro permitirá que los m...
-
Ver YouTube gratis cada vez cuesta más: llegan los...
-
Meta presenta Muse Spark, su nuevo nuevo modelo de IA
-
Las gafas inteligentes son la nueva pesadilla de l...
-
Gemini for Home llega a España para que tu casa se...
-
Los resúmenes IA de Google dicen millones de menti...
-
ChatGPT, Gemini, Claude y DeepSeek activan su modo...
-
Amazon S3 convierte los depósitos S3 en sistema de...
-
Mitsubishi presenta una IA que para el coche si de...
-
SteamGPT es real: la IA ya está en la entrañas de ...
-
La IA Claude Mythos de Anthropic es una locura: de...
-
La industria del WiFi ha estado resolviendo el pro...
-
Telegram: infraestructura y epicentro del abuso di...
-
Una nueva IA está rompiendo los moldes: se llama K...
-
Vulnerabilidad en Docker permite a atacantes eludi...
-
Todo lo que debes saber de los certificados de Arr...
-
DesckVB RAT usa JavaScript ofuscado y cargador .NE...
-
Aatacan activamente a usuarios de Adobe Reader con...
-
Anthropic presenta la vista previa de Claude Mytho...
-
NVIDIA recorta el protagonismo de Vera Rubin en 20...
-
Nuevo RAT STX usa escritorio remoto oculto y funci...
-
AWS y Anthropic avanzan en ciberseguridad con IA u...
-
Extensión OpenVSX troyanizada propaga GlassWorm en...
-
Valve cae en la IA: lanzará una función de «SteamG...
-
Un 10% de las búsquedas realizadas con Google IA (...
-
Reduce la latencia de memoria en el peor caso hast...
-
El criptógrafo británico Adam Back es el creador s...
-
La IA de Claude Code descubre una vulnerabilidad d...
-
Claude descubre fallo RCE de 13 años en Apache Act...
-
Google despliega las pestañas verticales en Chrome
-
Una profesora de alemán decide cambiar los trabajo...
-
Rusos explotan routers domésticos y de pequeñas of...
-
Instagram refuerza los filtros de contenido para m...
-
Compra un iPhone de 1.400€ en Amazon y recibe un m...
-
Intel y Google anuncian acuerdo multianual de chips
-
Apple se queda sin A18 Pro por el éxito del MacBoo...
-
Tarjeta de memoria SanDisk de 2TB por 2.000$
-
¿Por qué la NASA se ha llevado una antigua cámara ...
-
Clásicos de Xbox 360 reaparecen en la Xbox Store
-
World ID, así es la solución de OpenAI para poder ...
-
Usuario de GitHub crea alternativa de código abier...
-
-
▼
abril
(Total:
379
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
Google y Back Market lanzan ChromeOS Flex USB , un kit para recuperar PCs antiguos y combatir la obsolescencia electrónica , facilitando s... -
El sector tecnológico enfrenta una grave crisis en 2026 con casi 80.000 despidos en el primer trimestre , donde la IA es responsable de casi... -
Investigadores de seguridad en Pwn2Own Automotive 2026 demostraron 76 vulnerabilidades únicas de día cero en cargadores de vehículos eléct...
Vulnerabilidades en Apache Tomcat permiten eludir EncryptInterceptor
La Apache Software Foundation ha lanzado actualizaciones de seguridad de emergencia para abordar múltiples vulnerabilidades en Apache Tomcat. Los últimos avisos destacan un error crítico en la aplicación de parches que expuso inadvertidamente los servidores a un bypass de interceptación, así como problemas que afectan a la autenticación mediante certificados y ataques de padding-oracle. Los administradores deben actualizar sus implementaciones de inmediato para proteger sus entornos frente a posibles explotaciones
La Fundación Apache Software ha lanzado actualizaciones de seguridad de emergencia para abordar múltiples vulnerabilidades en Apache Tomcat.
Los últimos avisos destacan un error crítico en la aplicación de parches que expuso inadvertidamente los servidores a un bypass de interceptación, así como problemas que afectan a la autenticación de certificados y a los ataques de padding-oracle.
Los administradores deben actualizar sus implementaciones de inmediato para proteger sus entornos contra posibles explotaciones.
Bypass de EncryptInterceptor y ataques de padding-oracle
El problema más urgente surge de un parche de seguridad defectuoso. Inicialmente, los investigadores de seguridad descubrieron CVE-2026-29146, una vulnerabilidad de severidad "Importante" donde el EncryptInterceptor utilizaba Cipher Block Chaining (CBC) por defecto.
Esta configuración dejaba el servidor vulnerable a un ataque de padding-oracle, lo que podría permitir a actores maliciosos descifrar el tráfico interceptado.
Los investigadores de Oligo Security, Uri Katz y Avi Lumelsky, identificaron y reportaron esta debilidad criptográfica inicial. Para resolver la amenaza del padding-oracle, Apache lanzó una primera ronda de actualizaciones.
Sin embargo, la solución introdujo una nueva vulnerabilidad, igualmente grave, registrada como CVE-2026-34486.
Identificada por Bartlomiej Dmitruk de striga.ai, esta falla posterior permitía a los atacantes bypassear completamente el EncryptInterceptor.
Debido a que el parche inicial era defectuoso, las organizaciones que ejecutan versiones intermedias de la actualización están actualmente expuestas a este mecanismo de bypass.
Junto a los problemas del EncryptInterceptor, Apache abordó una vulnerabilidad de severidad "Moderada" registrada como CVE-2026-34500. Esta falla afecta las comprobaciones del Protocolo de Estado de Certificados en Línea (OCSP) dentro de Tomcat.
Bajo condiciones específicas, cuando se utiliza la API de Funciones Extranjeras y Memoria (FFM), el sistema experimenta un fallo suave durante la validación OCSP, incluso si el administrador había deshabilitado explícitamente los fallos suaves.
En consecuencia, la autenticación CLIENT_CERT no falla como se esperaba, creando comportamientos de autenticación inesperados que podrían comprometer los controles de acceso.
Haruki Oyama de la Universidad de Waseda descubrió y reportó este error de validación de certificados (CVE-2026-34500). Las vulnerabilidades afectan a múltiples ramas de Apache Tomcat. El parche defectuoso que permite el bypass del EncryptInterceptor (CVE-2026-34486) afecta específicamente a estas versiones exactas:
- Apache Tomcat 11.0.20
- Apache Tomcat 10.1.53
- Apache Tomcat 9.0.116
Las vulnerabilidades más amplias, incluyendo el ataque inicial de padding-oracle y los fallos de validación de certificados, afectan a un rango más amplio de versiones anteriores:
- Apache Tomcat 11.0.0-M1 hasta 11.0.20
- Apache Tomcat 10.1.0-M1 hasta 10.1.53
- Apache Tomcat 9.0.13 hasta 9.0.116
Para resolver las tres vulnerabilidades, incluyendo el parche defectuoso del EncryptInterceptor y el fallo de validación de certificados OCSP, los administradores deben actualizar sus sistemas a las últimas versiones seguras.
La Fundación Apache Software recomienda encarecidamente aplicar las siguientes actualizaciones:
- Actualiza las implementaciones de Apache Tomcat 11.x a la versión 11.0.21 o posterior
- Actualiza las implementaciones de Apache Tomcat 10.x a la versión 10.1.54 o posterior
- Actualiza las implementaciones de Apache Tomcat 9.x a la versión 9.0.117 o posterior
Las organizaciones que ejecutan versiones antiguas de Tomcat, al final de su vida útil (EOL), deben migrar a una rama compatible de inmediato, ya que estos sistemas heredados no recibirán parches para el ataque de padding-oracle ni para las fallas de bypass posteriores.
Fuentes:
https://cybersecuritynews.com/apache-tomcat-vulnerabilities-encryptinterceptor/
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.