OTAN. Admite preocupación por "campaña de desestabilización" de Rusia en Cataluña

El comandante supremo en Europa de la OTAN, el general de cuatro estrellas estadounidense Curtis Scaparrotti, ha admitido este jueves la preocupación existente "por la influencia rusa maligna" en los países occidentales y ha enmarcado la propaganda en medios prorrusos sobre el desafío soberanista en Cataluña en el marco de su "campaña de desestabilización" de Europa.

"Hemos visto este tipo de actividades en otros países también. Es parte de lo que llamo una campaña de desestabilización", ha explicado el alto mando militar aliado en un encuentro con un reducido grupo de periodistas, al ser preguntado si hay una preocupación especial en la Alianza por la propaganda rusa en medios afines al Kremlin a favor de la independencia de Cataluña, lo que cuestiona la integridad territorial de un miembro de la Alianza Atlántica.

“Es motivo de preocupación para los países y es algo de lo que hemos hablado“

Scaparrotti ha dejado claro que "Rusia debe parar de interferir en otros países" y ha admitido que el asunto se ha abordado en el seno de la Alianza: "Esta implicación o influencia en el funcionamiento interno de un país en términos de sus propias decisiones soberanas es motivo de preocupación para los países y es algo de lo que hemos hablado".

Avisos a Rusia

"Estoy preocupado por la influencia rusa maligna, particularmente la influencia interna en los países", ha señalado Scaparrotti, que ha recordado que dicha influencia se ha "observado en Estados Unidos" y "en un número de países aquí [en Europa] durante las elecciones". En este sentido, ha insistido en el "derecho soberano" de los países para "determinar su Gobierno" y "cómo organizan sus países".

"Y animaríamos a Rusia a quedarse dentro del marco internacionalmente aceptado y respetar el derecho de cada nación soberana de determinar sus formas de Gobierno y cómo dirigen su Gobierno", ha remachado.

Las interferencias rusas y la generación de noticias falsas en medios afines han sido una constante en los últimos procesos electorales celebrados en Europa, como las legislativas de Holanda, mientras que en Estados Unidos se investigan las conexiones entre el equipo del presidente, Donald Trump, y el Gobierno ruso, después de que las agencias de inteligencia certificarán los intentos del Kremlin por influir en los comicios presidenciales de 2016.

Fuente: RTVE.es

eDNI. Desactivada la firma digital de los mismos por posibles fallos de seguridad

La Policía ha desactivado la función de certificado digital de los DNI electrónicos que fueron expedidos desde abril desde 2015 para reforzar su seguridad, después de que un estudio de una universidad checa haya alertado de su posible vulnerabilidad.

Ese posible fallo está siendo analizado por el Organismo de Certificación español, según informa la Dirección General de la Policía, que ha comenzado a modificar las funcionalidades de esos documentos para garantizar "la máxima seguridad y confidencialidad en la utilización de la autenticación y firma electrónica en España".

Los documentos que pueden verse afectados son los que tienen el número de soporte posterior al ASG160.000 que fueron expedidos a partir de abril de 2015.

Según la Policía, hasta que en "fechas próximas" no se implementen las soluciones técnicas necesarias, se desactivará la funcionalidad de los certificados digitales de parte de los actuales DNIe.

Cuando estén disponibles, serán los titulares quienes tengan que ir directamente a actualizarlos en las Oficinas de Documentación.

La Policía comunicará "puntualmente" cuando eso sea posible y, entre tanto, el DNIe sigue siendo válido como documento de identificación (para cualquier tipo de trámite administrativo, mercantil, privado) y como documento de viaje para viajar a los países de la UE.

Fuente: Expansion.com

Actualización de seguridad de la librería OpenSSL

OpenSSL ha publicado una actualización de la popular librería, en la que se han corregido dos vulnerabilidades, una lectura de memoria fuera de límites y un fallo de acarreo que podría facilitar la obtención de la clave privada.

El fallo de propagación de acarreo ocurre en el procedimiento x86_64 Montgomery. Este fallo solo afecta a procesadores que soportan las extensiones BMI1, BMI2 y ADX, por ejemplo, los procesadores Intel Broadwell y posteriores o los AMD Ryzen.

Aunque se cree que pueda afectar al material criptográfico y poner en riesgo la integridad de la clave privada, se necesitaría una gran cantidad de recursos computacionales y un escenario con ciertos condicionantes que dificultan efectuar un ataque práctico. Este fallo posee el CVE-2017-3736.

El error de lectura fuera de límites, de un solo byte, ocurre al procesar la extensión IPAdressFamily en un certificado X.509 especialmente manipulado. Posee el CVE-2017-3735. Como dato curioso, ha estado presente en las librerías OpenSSL desde el año 2006.

Ambos fallos han sido hallados por el equipo del proyecto OOS-Fuzz patrocinado por Google.

Se ha de actualizar a las versiones de OpenSSL 1.1.0g y 1.0.2m de sus respectivas ramas.

Recomendamos que actualice sus paquetes y/o librerías para solventar esta vulnerabilidad.

Más información:

• OpenSSL Security Advisory https://www.openssl.org/news/secadv/20171102.txt

Fuente: Hispasec.com

GOOGLE. Corrige también la vulnerabilidad KRACK en sus boletines de Android

Si hace unos días Apple solucionaba entre una gran cantidad de parches, la importante vulnerabilidad en el protocolo WPA2, KRACKS, Google ha hecho lo mismo en su plataforma Android, publicando un nuevo boletín de seguridad y facilitando un numeroso conjunto de parches que corrigen hasta 31 vulnerabilidades distintas, nueve de ellas de nivel crítico.

Para facilitar la tarea de despliegue de los mismos entre los diferentes partners, Google ha publicado 3 boletines conjuntos.

En concreto, el boletín 2017-11-01 se centra en las vulnerabilidades corregidas en Framework, Media Framework y System, ya que 6 de ellas permitirían la ejecución remota de código.

En cambio, en el 2017-11-05 se corrigen aquellas presentes en los componentes del Kernel, MediaTek, Nvidia y sobre todo Qualcomm, apartado que adolece de las vulnerabilidades más críticas, relacionadas con el módulo WLAN y que han recibido 3 CVEs (CVE-2017-11013, CVE-2017-11014, CVE-2017-11015) por ejecución remota de código.

Estas vulnerabilidades fueron reportadas y analizadas en su blog por el investigador y desarrollador Scott Bauer (@scottybauer1), centradas en el controlador WiFi qcacld de Qualcomm/Atheros, y afectando a los dispositivos Pixel y Nexus 5x.

En un extenso desarrollo, Bauer alerta de un total de 8 vulnerabilidades, centrándose sobre todo en la vulnerabilidad más importante (CVE-2017-11013) de ejecución remota de código, pero explica que otras dos vulnerabilidades remotas quedan todavía por ser corregidas (Bug #7 y Bug #8), aunque están planificadas por Google.

Finalmente, en el boletín 2017-11-06 se solucionan hasta 9 vulnerabilidades de elevación de privilegios, relacionadas con el ataque KRACKs y que, en el caso de Android, el atacante sería capaz de reinstalar una clave en uso, e incluso forzar una clave nula (all-zero encryption key).

Estas actualizaciones están ya disponibles en todos los dispositivos Android de Google compatibles, así como en las diferentes actualizaciones de los fabricantes mediante OTA. Como siempre, recomendamos encarecidamente aplicar las mismas en cuanto estén disponibles.

Más información:

• Android Security Bulletin—November 2017  https://source.android.com/security/bulletin/2017-11-01
• Please Stop Naming Vulnerabilities: Exploring 6 Previously Unknown Remote Kernel Bugs Affecting Android Phones  https://pleasestopnamingvulnerabilities.com/

Fuente: Hispasec.com

APPLE. Parchea KRACK entre otras vulnerabilidades en sus últimos boletines

Apple ha publicado siete boletines de seguridad que solucionan fallos para sus productos iOS, watchOS, macOS, tvOS, Safari y iTunes y iCloud para Windows. En total se corrigen 238 fallos de seguridad entre los que se encuentra KRACK.

Apple ha aprovechado el día de Halloween para lanzar su nueva actualización de seguridad que da solución a KRACK, una grave vulnerabilidad en WPA/WPA2 de la que ya hablamos en esta entrada. El fallo ha sido corregido de todos los dispositivos de Apple con soporte, entre los que se encuentran iOS, macOS High Sierra, tvOS y watchOS. De esta manera, la empresa de Cupertino se ha adelantado a Google en ofrecer una solución a este grave fallo. Se espera un parche en Android el día 6 de noviembre, si todo va según lo esperado.

El sistema que más cambios ha recibido ha sido macOS Sierra 10.13.1, con 148 fallos solucionados. La mayoría de los errores pertenecen a tcpdump, con 90 de los fallos. El resto de componentes afectados, entre los que se encuentran Audio, CFString, fsck_msdos, ImageIO, libarchive, Open Scripting Architecture, Quick Look, QuickTime, HFS, Remote Management y Sandbox, permitían la ejecución de código aleatorio y acceso a memoria restringida. Este último, Sandbox, hacía posible además la ejecución con privilegios del sistema. Otros 12 errores pertenecen a Apache, y otros 11 al Kernel, siendo la mayoría de lectura de áreas de memoria restringida y de ejecución de código arbitrario. APFS vuelve a estar en el ojo de mira, permitiendo además de ejecución aleatoria de código, el descifrado de disco con un conector manipulado ( CVE-2017-13786 ).

iOS 11.1 soluciona 23 errores, de los cuales 14 afectan a WebKit, y habiendo sido la mayoría descubiertos por Ivan Fratric de Google Project Zero. Estos errores permitían la ejecución de código arbitrario en el procesado de una web especialmente manipulada. Estos mismos errores, se vuelven a ver en Safari, tvOS, y iCloud y iTunes para Windows. El resto de componentes afectados han sido CoreText, Kernel, Messages, Siri, StreamingZip y UIKit. En su mayoría son errores que afectan a la privacidad del usuario. Destaca el fallo en el kernel ( CVE-2017-13799 ), que permite la ejecución de código arbitrario con los permisos del kernel, y que afecta también a macOS Sierra, tvOS y watchOS. El fallo en StreamingZip permitiría además acceder a zonas restringidas del sistema de archivos.

watchOS 4.1 sólo ha tenido que parchear 4 fallos, que pertenecen a CoreText, Kernel, StreamingZip y Wi-Fi; siendo este último KRACK, del que hablamos al principio. Estos mismos fallos pueden verse en tvOS y iOS. Además, salvo el de CoreText, los otros 3 también están en macOS. tvOS 11.1 tiene los mismos 4 errores parcheados, además de los 14 de WebKit de los que se habló en el apartado anterior.

Safari 11.0.1, iTunes 12.7.1 para Windows y iCloud para Windows 7.1, poseen los 3 los mismos 14 fallos de WebKit, al encontrarse todos basados en este. Ni iTunes ni iCloud tienen fallos adicionales, siendo Safari el único que cuenta con parches para el mismo, con los CVE-2017-13790 y CVE-2017-13789, que permitían hacer spoofing a la barra de direcciones.

Más información:

• Security content of macOS High Sierra 10.13.1 https://support.apple.com/es-es/HT208221
• About the security content of iOS 11.1 https://support.apple.com/es-es/HT208222
• Acerca del contenido de seguridad de watchOS 4.1 https://support.apple.com/es-es/HT208220
• Acerca del contenido de seguridad de tvOS 11.1 https://support.apple.com/es-es/HT208219
• About the security content of Safari 11.0.1 https://support.apple.com/es-es/HT208223
• Acerca del contenido de seguridad de iTunes 12.7.1 para Windows https://support.apple.com/es-es/HT208224
• Acerca del contenido de seguridad de iCloud para Windows https://support.apple.com/es-es/HT208225

Fuente: Hispasec.com

Actualización de seguridad de Joomla! 3.8.2

Joomla! ha publicado una nueva versión que soluciona tres vulnerabilidades en el núcleo: dos de criticidad media y una de criticidad baja, catalogada de  Importancia: 3 - Media

Recursos afectados:

• Joomla! CMS versiones desde la 1.5.0 hasta la 3.8.1

Detalle e Impacto potencial de vulnerabilidades

A continuación se indican las vulnerabilidades que se han solucionado:

1. Divulgación de información provocada por un bug que expone información a usuarios no autorizados.
2. Vulnerabilidad de omisión de autenticación por un bug en el metodo de doble factor de autenticación.
3. Divulgación de información en LDAP que puede comprometer el usuario y contraseña.

Recomendación

• Actualizar a la versión 3.8.2 disponible en su página web

Más información

• [20170701] - Core - Information Disclosure https://developer.joomla.org/security-centre/715-20171103-core-information-disclosure.html
• [20171102] - Core - 2-factor-authentication bypass https://developer.joomla.org/security-centre/713-20171102-core-2-factor-authentication-bypass.html
• [20171101] - Core - LDAP Information Disclosure https://developer.joomla.org/security-centre/714-20171101-core-ldap-information-disclosure.html
• Joomla! 3.8.2 Releasehttps://www.joomla.org/announcements/release-news/5716-joomla-3-8-2-release.html

Fuente: INCIBE

Múltiples vulnerabilidades en diferentes componentes de Digium Asterisk

Han sido identificadas tres vulnerabilidades en componentes de Digium Asterisk las cuales han sido categorizadas como: 1 de severidad baja, 1 de severidad media y 1 de severidad crítica, catalogada de importancia 5 - Crítica

Recursos afectados:

1. Digium Asterisk 13.x, 14.x, 15x
2. Digium Certified Asterisk 13.13.x

Detalle e Impacto de vulnerabilidades

• Vulnerabilidad catalogada con severidad crítica.- Una vulnerabilidad en el componente “pjproject” puede permitir a un atacante remoto no autenticado provocar una condición de denegación de servicio en el sistema debido al inapropiado procesamiento de valores inválidos en el “Cseq” y el puerto de la cabecera “Via”.
• Vulnerabilidad catalogada con severidad media.- Una vulnerabilidad que afecta al registro “CDR” puede permitir a un atacante remoto no autenticado provocar una condición de denegación de servicio debido a la escasa comprobación de límites. Un atacante puede aprovechar esta vulnerabilidad mediante el envío de una gran cantidad de caracteres provocando un desbordamiento de buffer.
• Vulnerabilidd catalogada con severidad baja .- Una vulnerabilidad en el componente “pjsip” puede permitir a un atacante remoto no autenticado provocar una condición de denegación de servicio en el sistema afectado debido al escaso manejo de sesiones de los objetos. Un atacante puede explotar esta vulnerabilidad mediante el envío de sesiones de objetos al producto afectado para su procesamiento.

Recomendación

Digium, la compañía propietaria de los productos Asterisk ha publicado diferentes parches para todos los productos afectados los cuales pueden ser encontrados en los siguientes enlaces:

1. Asterisk 13.x: parche 1, parche 2 y parche 3
2. Asterisk 14.x: parche 1, parche 2 y parche 3
3. Asterisk 15.x: parche 1, parche 2 y parche 3
4. Certified Asterisk 13.13: parche 1, parche 2 y parche 3

Más información

• Asterisk Project Security Advisory - AST-2017-009 http://downloads.asterisk.org/pub/security/AST-2017-009.html
• Asterisk Project Security Advisory - AST-2017-010 http://downloads.asterisk.org/pub/security/AST-2017-010.html
• Asterisk Project Security Advisory - AST-2017-011 http://downloads.asterisk.org/pub/security/AST-2017-011.html

Fuente: INCIBE