Monday 28 December 2009

Avisos de seguridad 2009

Hola,

Este año ha estado lleno de cambios, entre ellos, uno de los más destacados es que actualmente resido en Barcelona por motivos laborales.
Ha sido un año muy activo, en el cual he asistido a muchos eventos relacionados con la seguridad de la información y el mundo de la tecnología tales como las conferencias FIST, OWASP Spain Chapter Meeting, Hacking At Random (HAR), JDARE '09, LaCon '09, DISI, IBWAS '09,... en algunos de los cuales he participado como ponente. La previsión para el año que viene es igual o mejor, ya que se están organizando gran cantidad de eventos relacionados con temas de seguridad informática.

Complementando los eventos y conferencias, he realizado a lo largo del año tareas de investigación de vulnerabilidades en software (la mayoría en aplicaciones web), de las cuales, se han publicado de forma responsable avisos de seguridad en listas relacionadas con la seguridad informática. A modo de resumen paso a citar algunos de estos "advisories":


ModSecurity Multiple Remote Denial of Service Vulnerabilities
http://www.securityfocus.com/bid/34096
CVE ID: CVE-2009-1902

Joomla! Prior to 1.5.11 Multiple Cross Site Scripting and HTML Injection Vulnerabilities
http://www.securityfocus.com/bid/35189

Joomla! Remote File Upload Vulnerability And Information Disclosure Weakness
http://www.securityfocus.com/bid/35780

Horde Application Framework Administration Interface 'PHP_SELF' Cross-Site Scripting Vulnerability

http://www.securityfocus.com/bid/37351
CVE ID: CVE-2009-3701

QuiXplorer 'lang' Parameter Local File Include Vulnerability
http://www.securityfocus.com/bid/37393

WP-Forum WordPress Plugin Multiple SQL Injection Vulnerabilities

http://www.securityfocus.com/bid/37357
CVE ID: CVE-2009-3703


PHP-Calendar Multiple Remote And Local File Include Vulnerabilities
http://www.securityfocus.com/bid/37450
CVE-2009-3702

Joomla! Cross Site Scripting and Information Disclosure Vulnerabilities
http://www.securityfocus.com/bid/35544

eXtplorer 'include/init.php' Local File Include Vulnerability
http://www.securityfocus.com/bid/33955

WordPress MU 'wp-includes/wpmu-functions.php' Cross-Site Scripting Vulnerability
http://www.securityfocus.com/bid/34075
CVE ID: CVE-2009-1030



Simple PHP Blog 'blog_language1' Parameter Local File Include Vulnerability    
http://www.securityfocus.com/bid/37434


A partir del 2010, espero poder ir publicando los avisos de seguridad en el blog a medida que vayan viendo la luz y cualquier otro apunte que considere interesante. Por lo demás, tan solo desearos un feliz año.