Sunday 12 December 2010

Último artículo y advisory publicado en 2010

Hola,

Quería compartir con vosotros un par de enlaces, el primero de ellos es un artículo que escribí hace un par de meses aproximadamente en 48Bits sobre un análisis desde el punto de vista de seguridad de cómo trabaja Microsoft IIS 6 y ASP junto con ciertos componentes de terceros que realizan operaciones sobre carpetas y ficheros, y cómo aprovecharlo para conseguir control total sobre el servidor.

http://blog.48bits.com/2010/09/28/iis6-asp-file-upload-for-fun-and-profit/


Por otro lado, la semana pasada publiqué un advisory de seguridad para Pandora FMS, un software de monitorización,  que incluye 6 CVE IDs: CVE-2010-4278, CVE-2010-4279, CVE-2010-4280, CVE-2010-4281, CVE-2010-4282, CVE-2010-4283.
Entre las vulnerabilidades descubiertas se encuentra un bug que permite saltarse la autenticación a la aplicación pudiendo acceder como cualquier usuario -incluido admin- sin conocer las credenciales de acceso, así como varias vulnerabilidades de validación de entrada, tales como OS Command Injection, SQL Injection, Blind SQL Injection,  inclusión de ficheros remota, ejecución de código PHP arbitrario y multiples inclusiones de ficheros locales, que permitirían a un atacante remoto obtener el control total sobre el servidor objetivo. Estas vulnerabilidades fueron notificadas y corregidas, por lo que en el advisory se dan detalles de cómo obtener la nueva versión no afectada por estos bugs.

He posteado los detalles en el blog pero podeis acceder del mismo modo a través de estos enlaces:

http://www.securityfocus.com/bid/45112
http://secunia.com/advisories/42347
http://seclists.org/fulldisclosure/2010/Nov/326


Haciendo un repaso a las conferencias que se han ido celebrando en 2010, este año ha estado muy interesante y he asistido a varias, entre ellas: RootedCON (Madrid), PH-Neutral (Berlín), OWASP AppSec Ireland (Dublin), LaCon (León), hashdays (Lucerne) e IRISSCON (Dublin). Destacar el nivel impresionante que hubo en las charlas de este año de LaCon. Outstanding!

También ha habido tiempo para disfrutar y viajar un poco, por lo que he ido haciendo algunas escapadas, entre ellas a: Paris, Londres, Bruselas, Amsterdam, Milán, Bérgamo, Venecia, Ginebra, Zurich.... y como no... unas merecidas vacaciones en España! :D . Así que espero que el año que viene sea igual o más productivo y poder cumplir mis objetivos para 2011.
Posted by at

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)