parche archivos - Barracoma

Intel actualiza la licencia de microcódigo que prohibía usarla en comparativas

Publicado en 24/08/2018 por Jesús Amieiro

Ayer comentábamos que Intel había publicado un parche de seguridad de microcódigo pero no permitía usarlo en comparativas. Este hecho causó bastante polémica al no ser aceptado por Debian. Pues poco ha durado esta restricción, ya que Intel ha eliminado esta restricción. Así lo ha anunciado a través de Twitter Imad Sousou, vicepresidente corporativo y gerente general del Centro de tecnología de código abierto de Intel. La nueva licencia está disponible en este enlace.

We have simplified the Intel license to make it easier to distribute CPU microcode updates and posted the new version here: https://t.co/x5JByIv3j9. As an active member of the open source community, we continue to welcome all feedback and thank the community. #IAmIntel

— Imad Sousou (@imadsousou) August 23, 2018

Intel publica un parche de seguridad de microcódigo pero no permite usarlo en comparativas

Publicado en 23/08/2018 por Jesús Amieiro

Intel acaba de publicar un parche de seguridad de microcódigo para una de las vulnerabilidades encontradas recientemente. Pero Debian no va a publicarla dentro de sus actualizaciones, debido a una modificación en la licencia de microcódigo, que dentro de las limitaciones del microcódigo indica que no se pueden publicar pruebas de rendimiento o comparativas con este microcódigo.

Este tipo de actualizaciones han sido criticadas por los usuarios por empeorar el rendimiento, como el caso que comentamos en el que Chrome usa entre un 10 y un 13% más de RAM con el parche de Meltdown y Spectre, por lo que puede que este sea uno de los puntos por los que Intel quiere evitar este tipo de pruebas o comparativas.

Un bug en Symfony hace a Drupal vulnerable

Publicado en 04/08/201804/08/2018 por Jesús Amieiro

Drupal, un conocido sistema de control de contenidos (CMS) libre acaba de publicar una actualización para parchear una vulnerabilidad que permite a un atacante hacerse con el control del sitio web vulnerable.

Esta vulnerabilidad, la CVE-2018-14773, se debe a un fallo en un componente del framework PHP Symfony, concretamente en el HttpFoundation, usado en el núcleo de Drupal y afecta a las versiones de Drupal 8.x anteriores a la 8.5.6.

Tal y como indica Symfony en su comunicado, la vulnerabilidad se debe al soporte de Symfony a cabeceras HTTP heredadas y peligrosas:

El soporte para un encabezado IIS (heredado) que permite a los usuarios sobrescribir la ruta en la solicitud de la URL a través de la cabecera de la petición HTTP X-Original-URL o X-Rewrite-URL permite a un usuario acceder a una URL pero hacer que Symfony devuelva una diferente que puede eludir las restricciones en cachés de nivel superior y servidores web.

La solución elimina el soporte para estos dos encabezados de IIS obsoletos: X-Original-URL y X_REWRITE_URL.