Intel acaba de publicar tres nuevas vulnerabilidades que pueden ser explotadas para obtener acceso a ciertos datos de la memoria del equipo. Este fallo afecta a los procesadores Core y Xeon y, según indica el fabricante, no existe ningún tipo de información que indique que estas vulnerabilidades han sido usadas en exploits. Intel ha publicado actualizaciones para mitigar esta vulnerabilidad, que se añade a una lista cada vez mayor de bugs en los microprocesadores del fabricante americano.
Etiqueta: bug
Un bug en Symfony hace a Drupal vulnerable
Drupal, un conocido sistema de control de contenidos (CMS) libre acaba de publicar una actualización para parchear una vulnerabilidad que permite a un atacante hacerse con el control del sitio web vulnerable.
Esta vulnerabilidad, la CVE-2018-14773, se debe a un fallo en un componente del framework PHP Symfony, concretamente en el HttpFoundation, usado en el núcleo de Drupal y afecta a las versiones de Drupal 8.x anteriores a la 8.5.6.
Tal y como indica Symfony en su comunicado, la vulnerabilidad se debe al soporte de Symfony a cabeceras HTTP heredadas y peligrosas:
El soporte para un encabezado IIS (heredado) que permite a los usuarios sobrescribir la ruta en la solicitud de la URL a través de la cabecera de la petición HTTP X-Original-URL o X-Rewrite-URL permite a un usuario acceder a una URL pero hacer que Symfony devuelva una diferente que puede eludir las restricciones en cachés de nivel superior y servidores web.
La solución elimina el soporte para estos dos encabezados de IIS obsoletos: X-Original-URL y X_REWRITE_URL.
Cerca de 500 millones de dispositivos de Internet de las Cosas (IoT) son vulnerables debido a un fallo de seguridad de 10 años
En el Internet de las Cosas (IoT) la seguridad es un punto crítico, ya que una gran cantidad de fabricantes no facilitan la actualización de sus dispositivos. Un informe acaba de revelar que casi 500 millones de dispositivos empresariales son vulnerables a un ataque por un fallo de seguridad de hace 10 años:
Cerca de 500 millones de dispositivos de Internet de las Cosas (IoT) son vulnerables a ataques cibernéticos en empresas de todo el mundo debido a un fallo de seguridad de 10 años, según un nuevo informe de un proveedor de software de seguridad.