HISPANEW

Sun ha publicado una alerta de seguridad para anunciar la publicación de actualizaciones destinadas a evitar una vulnerabilidad en Sun ONE y Sun Java System Application Server.

El problema, anunciado en http://sunsolve.sun.com/search/document.do?assetkey=1-26-102479-1, afecta a Sun Java System Application Server Standard Edition 7, Sun ONE Application Server 7 Standard Edition y Sun Java System Application Server Enterprise Edition 8.1 y puede permitir a un atacante remoto la construcción de ataques de cross-site scripting.

La vulnerabilidad reside en que un usuario podrá crear código script que será ejecutado en el navegador del usuario atacado. Este código malicioso se originará desde el sitio que ejecuta el software de Sun y se ejecutará bajo el contexto de seguridad de dicho sitio.

Como resultado, el código tendrá acceso a las cookies del usuario atacado asociadas con el dispositivo (incluidas las cookies de autenticación), a datos de accesos recientemente introducidos por el usuario al dispositivo a través de formularios web, o podrá realizar acciones sobre el dispositivo actuando como el propio usuario atacado.

Sun ha publicado actualizaciones para los productos y versiones afectadas, dada la diversidad de plataformas se recomienda consultar el aviso publicado por Sun, disponible en http://sunsolve.sun.com/search/document.do?assetkey=1-26-102479-1.
Fuente: Oxygen3

Se han confirmado diversas vulnerabilidades en el servidor de aplicaciones IBM WebSphere Application Server, que podrían ser explotadas por atacantes para conseguir información sensible.

El primero de los problemas se debe a un error por el que se descubre en texto plano la contraseña de una fuente de datos en el archivo de trazas, cuando están activas las trazas para las clases relacionadas con ConfigService.

Otro problema está relacionado con un error por el que se muestra erróneamente la configuración de determinados tipos de objetos.

Una tercera vulnerabilidad está causada por un error al mostrar archivos JSP, lo que puede causar que se muestre el código fuente de algunas páginas.

El último de los problemas se debe a un fallo por un uso inadecuado de la cache “UserNameToken”, lo que podría emplearse por atacantes para descubrir información sensible o evitar restricciones de seguridad.

Se ven afectadas las versiones IBM WebSphere Application Server 6.x, la recomendación pasa por actualizar a la versión 6.0.2 Fix Pack 11 (6.0.2.11) publicado por IBM para evitar estos problemas: http://www-1.ibm.com/support/docview.wss?rs=180&uid=swg24012488

Ya están disponible las ISOs de la primera alfa de Mandriva One Linux 2007 (antes Mandrake Linux).

Mandriva, la compañía antes conocida como Mandrakesoft, ha puesto a disposición de todo el mundo las imágenes ISO de “Mandriva One 2006, una nueva versión de su sistema operativo que proporciona las aplicaciones open source más populares actualizadas, con mejoras específicas que resultan en unas capacidades para multimedia, internet y desarrollo muy avanzadas.

La nueva distribución soporta sin problemas de aplicaciones de 32 y 64 bits, ofreciendo además soporte mejorado de hardware para dispositivos externos, incluyendo la capacidad de arrancar desde llaveros USB.

La nueva versión está basada en el kernel 2.6.16.20 e incluye glibc 2.4, X.Org 7.1, KDE 3.5.3, GNOME 2.15, OpenOffice.org 2.0.2, Firefox 1.5.0.4, etc…
mandriva-one-gnome-2007-frige.i586.iso (646MB).
mandriva-one-kde-2007-frige.i586.iso (683MB).
Fuente: HispaMP3

La operadora dominante permite migrar a ADSL2+ y probar de manera gratuíta su conexión de 20 megas.

ADSLZone publica que ya están disponibles las opciones postventa sobre TOP, DuoTOP y Premium +.

Ello permite a los usuarios de Telefónica la posibilidad de migrar clientes de ADSL a ADSL2+, es decir, que los clientes de ADSL 1 mega pueden pasar a ADSL2+ 10 o 20 megas con apenas 2 horas de corte en el servicio.

También existe la posibilidad de Try&Buy y Try & buy Plus que permitirá a los clientes probar velocidades de 10 y 20 megas de forma gratuita.

Imprescindible disponer de cobertura ADSL2+.

comentarios de hispanew: ono ponte las pilas, eres la más cara y la que peor servicio da en la actualidad.

Se han identificado diversas vulnerabilidades en el kernel de Linux, que pueden ser aprovechadas por atacantes para provocar condiciones de denegación de servicio.

El primero de los problemas es una condición de carrera en el script “posix-cpu-timers.c” que no evita que otra CPU una el contador de tiempo a un proceso ya existente, lo que podría ser empleado por usuarios maliciosos para provocar una denegación de servicio.

El segundo fallo se debe a errores en “powerpc/kernel/signal_32.c” que pueden permitir que el espacio de usuario provoque una parada de la máquina en Kernels 32-bits.

La última de las vulnerabilidades reside en un bucle infinito en “netfilter/xt_sctp.c”, lo que podría ser empleado por atacantes para consumir todos los recursos de memoria disponibles, con la consiguiente condición de denegación de servicio.

Se han publicado las versiones actualizadas 2.6.16.21 y 2.6.17.1 del kernel Linux, disponibles en la dirección http://www.kernel.org
Fuente: Oxygen3

Hoy por fin tenemos disponible para su descarla la esperadisima SuSE 10.1. Entre las mejoras introducidas destaca por encima de todo, la integración de Xgl.
Podeis bajaros las ISOs dese aquí. O bien el DVD gracias a la red bittorrent:

SUSE-Linux-10.1-GM-i386.torrent

Fuente: assl-site.net/

Linex, la distribución desarrollada en Extremadura, con identidad propia y que cuenta con el apoyo de la Junta de Extremadura dispone de una nueva versión revisada de Linex 2006 Final.

Linex es una adaptación de una distribución linux para Extremadura, de tal forma que los iconos de las aplicaciones y fondos de pantallas se han personalizado con imágenes y fotografías de nuestra tierra.

Así por ejemplo, si queremos escribir, tendremos que abrir Espronceda -procesador de texto- uno de los poetas extremeños más ilustres, o si queremos hacer una presentación abriremos Alcántara, considerado como el puente mejor conservado de la ingeniería romana.

En la nueva revisión la mayor parte de los paquetes han sido actualizados a su versión estable, kernel 2.6.16, X.Org 6.9.0, GNOME 2.14.1, OpenOffice.org 2.0.2, Firefox 1.5 y otras aplicaciones.

gnuLinEx2006.iso (690MB)
Fuente: HispaMP3

Telefónica de España ha iniciado las pruebas de su nuevo servicio de televisión por Internet de alta definición, con la intención de comercializarlo dentro de Imagenio a finales de este año, o comienzos del próximo.

La nueva tecnología ADSL2+, permitirá a Telefónica ofrecer los nuevos servicios a partir de estas Navidades, periodo para el que se prevé un fuerte volumen de ventas de televisores preparados para la alta definición.

La tecnología de alta definición se traduce en una nitidez de imagen mucho mayor y en unos colores más naturales en comparación con la televisión analógica, gracias al aumento de las líneas verticales, desde las actuales 625, hasta 1.080.

El resto del artículo en LaFlecha.net:

un articulo sobre los fundamentos de segurida den VozIP. es un articulo muy interesante y muy bien elaborado que e encotrado por la red, espero que sirva de ayuda a la hora de comprender algunos conceptos sobre vozIP
enlace

No parece que Microsoft haya hecho las cosas del todo bien este mes.
Se están dando casos en los que la instalación del parche MS06-025: Vulnerability in Routing and Remote Access Could Allow Remote Code Execution (911280) causan un mal funcionamiento del sistema, en concreto este parche daña el marcado telefónico, con lo que todos los equipos que utilizan el famoso “dial up”, ya sea para conectarse a internet vía modem, para mandar faxes, o para otra cosa simplemente no podrán hacerlo. Para devolver el sistema a su correcto funcionamiento basta con desinstalar este parche.

Microsoft ha confirmado que están recibiendo avisos sobre este tema y han puesto un teléfono al que se puede llamar para recibir soporte, el tlf es : 1-(866) PC-SAFETY, (las letras corresponden a los numeros en los que se encuentran, como el los móviles) en donde hay que dar la referencia: SOX060615700008.

Vale, y… ¿llamar? ¿para qué? supongo que si tuvieran una solución ya la habrían publicado, aún así, que llamen los de estados unidos, vale, pero si se creen que desde el resto del mundo vamos a andar llamando en lugar de desinstalar el parche, es que son un poco ingenuos, aunque… tal vez es todo lo contrario y lo que pasa es que son muy listos… que va, seguramente es que simplemente no les importa si llamamos o no.

Reflexiones a parte, desisntalar el parche no es en absoluto recomendable y si lo haces, porque no tienes mas remedio, asegurate de tener un buen firewall, antivirus, etc.

Mas información: http://isc.sans.org/diary.php?storyid=1419
Origen: isc.sans.org texto copiado de cyruxnet.org