> MAPA del WEB <
|
||||||||||||
|
|
||||||||||||
Noticias Profesionales
|
|
Martes 23 de septiembre de 2003 |
Noticias
Seguridad de la Información y Protección de DatosUn nuevo problema de seguridad deja al descubierto los servidores que usen comunicaciones cifradas
La inseguridad de los datos manejados en el comercio online puede crear desconfianza en el consumidor.
Se ha descubierto un problema de seguridad en OpenSSH que pone en peligro las comunicaciones cifradas de miles de servidores. El fallo consiste en un desbordamiento de búfer que puede tener graves consecuencias, desde la denegación de servicio hasta la elevación de privilegios en la máquina afectada.
OpenSSH es una versión gratuita basada en herramientas de conexión SSH versión 1 y 2, que cifra las comunicaciones entre clientes y servidores. OpenSSH ha sido implementado con la intención de mantenerlo libre de patentes o derechos de autor. Aunque fue ideado principalmente para OpenBSD, es utilizado en la mayoría de sistemas operativos basados en UNIX (Linux, NetBSD, FreeBSD, AIX, HP-UX...). Se puede usar para cifrar casi cualquier protocolo, pero es especialmente utilizado en el comercio online, donde se transmiten datos sensibles como números de tarjetas de crédito y datos personales.
Las versiones anteriores a 3.7.1 se ven afectadas por este problema, que en principio causa una corrupción en la pila. Si se desvela el comportamiento exacto de las funciones afectadas, calculando las direcciones adecuadas se podría crear un exploit que permitiera la inyección de código y la redirección del puntero de pila, permitiendo la ejecución de código arbitrario.
Esta es la segunda vulnerabilidad importante que sufre este software en algo más de un año. Theo de Raadt, desarrollador jefe de OpenBSD y OpenSSH, anunció en junio de 2002 un grave fallo que solucionaron antes de que se hiciese oficialmente público.
Por si no fuese suficiente, se acaba de descubrir un error parecido en otro software con la misma función que OpenSSH, pero algo menos popular. Los que recomendaban el uso de LSH como alternativa (bajo licencia GNU) a OpenSSH por considerarlo más seguro, se han sorprendido con la publicación de un exploit que permite la ejecución de código en los servidores que utilizan este software de cifrado gratuito. El exploit que explica el procedimiento con todo lujo de detalles ha sido publicado en Secuirityfocus el pasado 19 de Septiembre.
Fuente: Internautas.org
22/09/2003Noticias relacionadas:
Polémica por un fallo de seguridad en Ya.com que permitiría ver datos de la facturas de sus clientes (19.09)
El virus 'Blaster' bloquea los ordenadores del Tribunal Supremo y de la Audiencia (03.09)
La inseguridad de Internet es "un problema de mentalización", según Arturo Ribagorda (28.08)
Una variante del virus 'Sobig' afecta a 70.000 usuarios españoles (21.08)
