Mensaje de correo de WordPress.com aconseja a usuarios restablecer su contraseña

El popular servicio de blogs basado en la plataforma WordPress remitió el pasado fin de semana un aviso de seguridad importante a un número indeterminado de sus usuarios. El comunicado informa de que, entre julio de 2007 y abril de 2008, y entre septiembre de 2010 y julio de 2011, las contraseñas se han estado almacenando de un modo poco seguro, por tanto recomienda a los usuarios afectados modificarlas lo antes posible para prevenir posibles usos inadecuados de sus cuentas.

Continue reading «Mensaje de correo de WordPress.com aconseja a usuarios restablecer su contraseña»

Interesante artículo sobre inyección en consultas LDAP

El maligno Chema Alonso ha publicado en su blog un artículo en tres partes acerca de un tipo de vulnerabilidad que se empezó a tomar en consideración a partir de 2005. Al parecer, la referencia inicial sobre este problema fue el documento de investigación LDAP injection de Sacha Faust, un ingeniero de desarrollo de la empresa SPI Dynamics.

LDAP es un protocolo relativamente sencillo que actúa sobre un servicio de directorio. La vulnerabilidad, similar por ejemplo a la inyección de código en una consulta SQL, estaría presente en aplicaciones que no validan correctamente los datos con los que completan sus consultas LDAP. Esto supone en principio un riesgo de divulgación de información.

Podéis leer el artículo de Chema y compañía en este enlace: LDAP Injection & Blind LDAP Injection.

Ciclos de publicación de actualizaciones de Microsoft

Es bien conocido que Microsoft publica los boletines y las actualizaciones de seguridad el segundo martes de cada mes. A este martes tan especial se le da informalmente el apelativo de patch Tuesday (literalmente, martes de parches). El ciclo mensual de actualizaciones de seguridad se inició hace casi cuatro años, en octubre de 2003, aunque no empezó en martes sino en miércoles (el día 15 de aquel mes, concretamente).

Continue reading «Ciclos de publicación de actualizaciones de Microsoft»

Michael Howard acerca de la vulnerabilidad MS07-029

Acabo de leer una entrada interesante de Michael Howard en el blog del Security Development Lifecycle de Microsoft sobre la vulnerabilidad MS07-029, relativa al servidor DNS de las plataformas basadas en Windows Server. En ella se exponen los pormenores de la vulnerabilidad, cómo afecta a las distintas versiones de Windows Server, las defensas dispuestas para mitigar el problema y por qué los análisis del código y las pruebas de software no llegaron a descubrirlo.

Continue reading «Michael Howard acerca de la vulnerabilidad MS07-029»