| Artículos | 01 ABR 2003

Seguridad abril

Tags: Histórico
Gonzalo Alvarez.
Este mes revisamos vulnerabilidades en productos de bases de datos y servidores web, así como en un novedoso campo de ataque: la telefonía móvil.

Vulnerabilidades en bases de datos Oracle
La empresa de seguridad NGSSoftware (www.nextgenss.com) ha anunciado nada menos que seis vulnerabilidades en varios componentes del conocido software de bases de datos Oracle. Algunas incluyen su servidor de aplicaciones Oracle 9i, basado en Apache y especialmente diseñado para su integración con una base de datos Oracle en el back-end. Entre las vulnerabilidades reseñadas, las más importantes incluyen varios desbordamientos de búfer en la recepción de parámetros de entrada: uno de ellos en el ejecutable del servidor de base de datos, oracle.exe, que podría permitir la ejecución de código arbitrario con los mismos privilegios que el usuario bajo el que se ejecutase oracle.exe; otros dos desbordamientos en las funciones TO_TIMESTAMP_TZ y TZ_OFFSET, respectivamente; otro más en la función bfilename(). Las otras dos vulnerabilidades, menos importantes, pueden explotarse para realizar ataques de denegación de servicio contra el servidor.

Solución
Oracle se ha apresurado a publicar parches para todas las vulnerabilidades en otn.oracle.com/deploy/security/alerts.htm. Todos ellos deben aplicarse inmediatamente para estar a salvo de ataques que las exploten.


Problemas de identificadory claves en BEA WebLogic
Se han publicado dos vulnerabilidades en los servidores de aplicaciones BEA WebLogic Server and Express, ampliamente utilizados en todo el mundo. La primera de ellas tiene que ver con un problema de competencia de recursos cuando el servidor se utiliza en un cluster, que provocaría que dos usuarios distintos recibieran el mismo identificador de sesión, con lo cual el uno podría acceder a los datos del otro. La segunda vulnerabilidad se relaciona con un problema en los almacenes de claves, que permitiría a un atacante con acceso a estos archivos descubrir la información de autenticación de los usuarios del servidor.

Solución
BEA ha publicado los parches para solucionar sendos problemas. Se requiere que los servidores se actualicen al Service Pack 1 antes de su aplicación para su correcto funcionamiento. Se pueden descargar desde dev2dev.bea.com/resourcelibrary/advisoriesnotifications/BEA03-25.jsp y dev2dev.bea.com/resourcelibrary/advisoriesnotifications/BEA03-26.jsp.


Defecto en las vCardde Nokia 6210
La empresa de seguridad @stake (www .atstake.com) ha descubierto una vulnerabilidad en los teléfonos móviles de Nokia modelo 6210. Este modelo incluye soporte para extensiones vCard en los mensajes cortos SMS. El formato vCard se utiliza habitualmente para el intercambio de información personal de contacto en el correo electrónico, tanto en Netscape como Outlook Express. En el caso concreto del Nokia 6210, un defecto en su implantación permite que una vCard maliciosa enviada a un teléfono móvil por un atacante haga que el terminal deje de funcionar de una de tres formas posibles: el terminal se queda colgado y no responde, el terminal se bloquea o bien se reinicializa solo automáticamente.

Solución
Nokia no tiene planeado aportar ningún tipo de solución a este problema por considerarlo de posibilidad remota. Si se es víctima de este ataque, se puede volver a operar quitando y volviendo a poner la batería.

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información