Noticias de seguridad informatica e IT
Aviso sobre la inseguridad osCommerce
Este es una aviso a todos los usuarios de osCommerce Content Management System (CMS) para comercio electrónico, de IslaServer y en general a todos los usuarios y administradores.
El dramático incremento de ataques a las instalaciones osCommerce en los últimos meses, pese a la existencia de algunos parches, no mitiga en absoluta una realidad meridiana. Desde Enero de 2008 no existe ninguna versión estable nueva y el proyecto osCommerce para muerto por lo que es razonable pensar que sus desarrolladores no van a publicar mas parches de seguridad, confirmándose la aplicación como una de las más vulnerables.
Hemos creado reglas para mod_security que mitigan ciertos ataques, y nuestros servidores están en modo SuPHP por lo que los atacante difícilmente pueden atravesar hacia otros usuarios.
Pero aun así, la norma básica de seguridad nos indica que la fuerza de una cadena es igual al punto mas débil hallado en un eslabón de la cadena.
Así pues, y en beneficio de nuestros clientes procederemos esta semana a la eliminación de osCommerce de nuestro producto de autoinstalaciones, Softaculos, y a partir del día 31 de Diciembre, cualquier instalación que sufra una ataque con resultado positivo, será dada de baja por incumplimiento de las condiciones de contratación respecto de la seguridad de su software.
Existen alternativas a osCommerce que están muy activas en la comunidad como pueden ser, PrestaShop (demo), Magento (no recomendable para no profesionales : demo), y otras existente e autoinstalables desde Softaculos.
Mientras realizan la migración recomendamos a los usuarios de osCommerce, que activen la protección de la zona de administración (directorio admin/) por ejemplo desde el panel de control Cpanel , en el área de Seguridad -> Directorios Protegidos por contraseña. Esto ayudara en cierta medida su osCommerce.
Lamentamos esta situación, que deriva la finalización de un proyecto opensource, cuya descontinuación, ha dejado decenas de miles de instalaciones en un modo inseguro, no solo para los usuarios de ese software sino para el resto de usuarios en alojamientos compartidos (hosting)
Fallo de seguridad kernel linux 2.6.36. Gravedad elevada
Última actualización el Domingo, 19 de Septiembre de 2010 21:09
En Islaserver estamos procediendo a la actualización de servidores con el patch correspondiente, a este fallo de seguridad, que viene arrastrando desde el aviso CVE-2007-4573 de Septiembre de 2007, y que se reproduce en el aviso CVE-2010-3301.
Básicamente, el problema original fue solventado en el parche para el kernel 2.6.22.7. Pero un error de control ha permitido que la solución halla sido obviada, y nuevamente el problema este en estado de actividad.
El problema, afecta a los kernel de 64 Bits (todos, no importa la distribución, ni si se tienen aplicados parches como el GRS), en su capa de compatibilidad con 32 bits, IA32.
El exploit publicado como prueba de concepto en la pagina de su descubridor State of the Apt, es compilable en cualquier maquina, y trasladado a cualquier maquina, vía exploit Web, acceso FTP troyanizado, y otras formas, con resultados nefastos, ya que su ejecución cede los derechos de root al ejecutante, en toda su extensión.
$>pruebaconcepto.out
resolved symbol commit_creds to 0xffffffff81097460
resolved symbol prepare_kernel_cred to 0xffffffff810972e0 mapping at 3f80000000
UID 0, EUID:0 GID:0, EGID:0
sh-3.2#
Vulnerabilidad de 2.6.27 hasta 2.6.36-RC4
Se recomienda actualización de kernel de forma urgente o la paliación del parche propuesto por kernel.org
DNS, parcheada y segura?
Escrito por Soporte Comercial
Después del revuelo armado y con razón por Dan Kaminsky de IOActive tras su anuncio de la vulnerabilidad descubierta en el sistema de DNS y que afectaba a casi todo el software DNS de Internet, basado en DNS Forgery y DNS RRset poisoning
Preocupante como apuntan en Daboblog la respuesta de Apple al problema (sobre todo teniendo en cuenta el prohibitivo e injustificado precio de los MacOsX Servers y de su software) pero que a la vez dejo un buen sabor de boca por la forma en que se desarrollaron los trabajos de seguridad, llevados en secreto y que demuestran la implicación de los verdaderos hackers (ojo a la palabra) con la seguridad.
SSH Key (llaves) vulnerable en sistemas Debian
Última actualización el Miércoles, 20 de Agosto de 2008 11:58
El día 18 de mayo de 2008, el proyecto Debian se vio sacudido por un nuevo escándalo referente a la seguridad de la distribución. Luciano Bello, descubrió que el generador de números aleatorios en Debian del paquete openssl es previsible y por tanto se veía comprometida la seguridad en el acceso mediante llaves (keys) al servidor openssl, así como posiblemente otros problemas relacionados con la generación de certificados.
IslaServer te ofrece 30 días para que pruebes nuestros servicios. Sino no quedas totalmente satisfecho te devolvemos el importe abonado mediante nuestra garantía de calidad. Solo queremos clientes satisfechos.