Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
04/03/2016
Boletín 20/02/2016 - 04/03/2016
Toda comunicación que se realiza por Internet y requiere de ciertas condiciones de privacidad (desde leer nuestro correo a realizar transacciones bancarias) se realiza mediante un canal cifrado que garantiza la seguridad de la información en tránsito. Para realizar este cifrado se utilizan ciertos programas como OpenSSL, en el cual se ha descubierto una nueva vulnerabilidad crítica que ha quedado bautizada como DROWN (Decrypting RSA with Obsolete and Weakened eNcryption)
Desde la siguiente página web se pude acceder al listado de portales web vulnerables:
- https://test.drownattack.com/
En el siguiente se puede hacer un análisis completo del uso de certificados y protocolos permitidos:
- https://www.ssllabs.com/ssltest/
Esta librería ya ha tenido varias vulnerabilidades sonadas como Poodle, Heartbleed, FREAK, Logjam, etc. Se recomienda revisar la configuración de los servidores y actualizar de inmediato.
Tas la orden de una jueza solicitando a Apple que facilitara al FBI el acceso a un iPhone5 cifrado y la negativa pública de Apple, con el apoyo de otros grandes como Google o Facebook, ha salido inesperadamente a escena John McAfee, quien se ofrece para ayudar a descifrarlo mediante técnicas de ingeniería social. El creador de la empresa de antivirus considera que la inclusión de las puertas traseras es un salto hacia atrás y defiende la posición de Tim Cook, recalcando que esto lo hace porque las “puertas traseras que pretende implementar el gobierno serían una bendición para los piratas informáticos y para los enemigos de la nación, rusos y chinos, que se harían con nuestros códigos nucleares y las claves de todas nuestras armas de guerra”
El Departamento de Defensa de Estados Unidos (DoD), ha invitado a los hackers a participar en el reto “Hack the Pentagon”, destinado a encontrar vulnerabilidades en algunos de los portales web de la organización. Este reto incluirá recompensas para quien encuentre brechas de seguridad. Desafortunadamente solo podrán participar ciudadanos estadounidenses.
Ya se encuentra disponible para su descarga el fondo de pantalla que hemos diseñado para el mes de MARZO de 2016 correspondiente a nuestro Calendario de Seguridad CSIRT-CV. Os recordamos que podéis enviarnos fotografías para que aparezcan en este calendario.
Actualizaciones de programas
Un producto que también tiene una actualización importante es Apple TV que soluciona 61 vulnerabilidades, incluyendo fallos que podrían permitir la ejecución de código, la obtención de información sensible o denegaciones de servicio. Se recomienda actualizar cuanto antes.
Se han publicado un total de 10 vulnerabilidades que afectan a todas las versiones actuales del gestor de contenidos web Drupal. Además, este boletín es el último en el que se van a publicar actualizaciones para Drupal 6, que deja de estar soportado
El producto ESXi de VMware también sufrío actualizaciones esta quincena, la compañía solucionó una vulnerabilidad crítica en el código de la librería glibc y que afectaba a sus productos ESXi 6.0 y 5.5.
Dentro del mundo de la informática industrial y sistemas SCADA también hemos tenido actualizaciones, la compañía B&B publicó actualizaciones para varios de sus dispositivos de interconexión de red que presentaban vulnerabilidades críticas.
- Vulnerabilidades en Cacti - 01/03/2016
- Actualizaciones de seguridad para Libreoffice - 24/02/2016
- Actualización de Google Chrome - 22/02/2016
- RootedCON 2016 - 02/03/2016
- La industrialización del cibercrimen podría estar ante nosotros - 25/02/2016
- Nuevo malware en Android - 23/02/2016