Vulnerabilidades en varios componentes de Apache Tomcat

Se ha anunciado una vulnerabilidad en Apache Tomcat versiones 5 y 6, que podría permitir realización de a ataques de cross-site request forgery.

El problema reside en errores de validación de entradas en los
componentes Web Application Manager y Host Manager al procesar peticiones http. Un atacante podría emplear esto para manipular datos (como detener o eliminar una aplicación, o añadir un hostvirtual) al engañar a un administrador para que visite una página web específicamente creada.

Jobs explota en contra de Theora

La actual discusión por el uso de codecs de video libres en Internet podría terminar en los tribunales, así por lo menos lo adelanta Steve Jobs en respuesta a una carta abierta publicada por Hugo Roy de la Free Software Foundation.

China exige los cifrados de Seguridad super secretos

China impone nuevas reglas que exigen a los fabricantes de seis categorías de productos que desvelen los códigos de cifrado de los mismos al gobierno de Pekín.

China quiere implementar nuevas reglas que llevarían a exigir a los fabricantes de ciertos equipamientos de electrónica relevar información clave de cifrado si quieren optar a ser elegidos en los concursos públicos de ventas.

¿Que tanto sabe Facebook de ti?

Algunas personas limitan el acceso, pero a veces los niveles de privacidad que seleccionan no son suficientes y permiten, por ejemplo, ver todas sus fotos. Hace un tiempo apareció un truco que permitía ver las fotos de cualquiera aún sin estar en su lista, pero luego dejó de funcionar.

Spam en Twitter

Spam Spam y más Spam.
Hoy en día todo lo que está a nuestro alrededor, mensajeros, redes sociales, blogs, todo.

Como podemos ver en la gráfica, se aprecia que los ingenieros de Twitter están haciendo un buen trabajo en contraatacar a la basura de internet, en esté caso podemos ver que para Febrero del 2010 existe poco más del 1% de spam, que es en verdad un gran avance.

¿Y si encuentras a un spammer en Twitter?, entonces es hora de actuar, lo único que tienes que hacer es reportarlo a @spam, este será investigado y dado de baja.

Este 2010 ha sido un gran año con los bajos índices de Spam, pero no podemos decir lo mismo para otras redes sociales y mensajeros...

Descarga: Hakin9 Mayo 2010

Disponible para su descarga en formato .pdf la revista de Mayo.

Inside:

• Writing WIN32 shellcode with a C-compiler
• Flash memory mobile forensic
• Threat Modeling Basics
• Pwning Embedded ADSL Routers
• Firewalls for Beginners

Regulars:

• ID Fraud Expert Says by Julian Evans: Identity Theft Protection Services – a new industry is born
• Interview with:
  
Victor Julien, lead coder for the Open Information Security Foundation Ferruh Mavituna, web application penetration tester and security tool developer

• Tool reviews: NTFS Mechanic, Active@ Undelete Professional, KonBoot v1.1

 Download


 

¿Por qué existen redes WiFi inseguras?

Hace ya una año,  Alekusu se fue a visitar México a presentar en un congreso un artículo titulado "Living in the Jungle". Este artículo recoge una parte del trabajo que habíamos estado realizando para crear una métrica de seguridad en redes inalámbricas y que terminó por se implementado en Mummy, una herramienta que os hemos enseñado en alguna conferencia. Tenéis publicada una versión en castellano del mismo en MundoInternet: Viviendo en la Jungla.

Cross-site scripting en Microsoft Office SharePoint Server 2007

A través de la publicación en la lista de correo Bugtraq, la empresa
"High-Tech Bridge" ha publicado un fallo que afecta a los productos
Office SharePoint Server 2007 y Windows SharePoint Services 3.0.

La vulnerabilidad reside en una falta de validación del parámetro "cid0"
en el "/_layouts/help.aspx". Un atacante podría emplear este problema
para causar ataques de cross-site scripting no persistente, a través
de una url especialmente manipulada. Un ataque exitoso permite a un
atacante obtener los privilegios y acceso de la víctima al sitio
Sharepoint.