Ayer hablábamos de una fuga de datos en una cadena hotelera china. Hoy la fuga se produce en Air Canada, que indica que 20.000 clientes podrían tener sus datos comprometidos mediante una vulnerabilidad en la aplicación móvil de la compañía. La información que habría sido vulnerada es el nombre del usuario, la dirección de correo electrónico y el número de teléfono. Estos 20.000 usuarios representan el 1% de los 1,7 millones de cuentas que la compañía ha bloqueado como medida de precaución hasta que los clientes cambien sus contraseñas.
Etiqueta: vulnerabilidad
Intel publica tres nuevas vulnerabilidades en sus chips
Intel acaba de publicar tres nuevas vulnerabilidades que pueden ser explotadas para obtener acceso a ciertos datos de la memoria del equipo. Este fallo afecta a los procesadores Core y Xeon y, según indica el fabricante, no existe ningún tipo de información que indique que estas vulnerabilidades han sido usadas en exploits. Intel ha publicado actualizaciones para mitigar esta vulnerabilidad, que se añade a una lista cada vez mayor de bugs en los microprocesadores del fabricante americano.
Vulnerabilidad crítica en las bases de datos Oracle
Oracle acaba de publicar la alerta de seguridad CVE-2018-3110, que afecta a las versiones 11.2.0.4 y 12.2.0.1 de la base de datos Oracle en Windows y a la versión 12.1.0.2 de la base de datos Oracle para Windows, Linux y Unix.
Oracle insta a los usuarios a parchear sus instalaciones para solucionar un problema de seguridad crítico que puede resultar en un compromiso total de la base de datos y en acceso shell al servidor subyacente. Los detalles del problema se puede encontrar en este enlace.
Un bug en Symfony hace a Drupal vulnerable
Drupal, un conocido sistema de control de contenidos (CMS) libre acaba de publicar una actualización para parchear una vulnerabilidad que permite a un atacante hacerse con el control del sitio web vulnerable.
Esta vulnerabilidad, la CVE-2018-14773, se debe a un fallo en un componente del framework PHP Symfony, concretamente en el HttpFoundation, usado en el núcleo de Drupal y afecta a las versiones de Drupal 8.x anteriores a la 8.5.6.
Tal y como indica Symfony en su comunicado, la vulnerabilidad se debe al soporte de Symfony a cabeceras HTTP heredadas y peligrosas:
El soporte para un encabezado IIS (heredado) que permite a los usuarios sobrescribir la ruta en la solicitud de la URL a través de la cabecera de la petición HTTP X-Original-URL o X-Rewrite-URL permite a un usuario acceder a una URL pero hacer que Symfony devuelva una diferente que puede eludir las restricciones en cachés de nivel superior y servidores web.
La solución elimina el soporte para estos dos encabezados de IIS obsoletos: X-Original-URL y X_REWRITE_URL.
Las redes 4G (y 5G) vulnerables, al igual que las 3G
Investigadores de seguridad indican que el protocolo Diameter utilizado con el estándar actual 4G (LTE) de telefonía y transferencia de datos es vulnerable a los mismos tipos de vulnerabilidades que el antiguo estándar SS7 utilizado con estándares de telefonía más antiguos como 3G, 2G y anteriores.
Continúa leyendo «Las redes 4G (y 5G) vulnerables, al igual que las 3G»