Portada
mis comunidades
otras secciones
#3:
Los usuarios tienen poco que hacer aqui, ya que el problema reside en ASP.NET y no sera mitigado cambiando el sistema operativo o el navegador web.
Thai Duong y Juliano Rizzo, los dos investigadores que han demostrado el ataque, dijeron a los reporteros: "Sabiamos que ASP.NET era vulnerable a nuestro ataque hace varios meses, pero no sabiamos que era tan serio hasta hace unas semanas. Vimos que la vulnerabilidad en ASP.NET es la mas critica de todos los frameworks. Resumiendo, destruye totalmenete la seguridad de ASP.NET"
Al parecer, la tecnica ha estado por ahi desde el 2002 y es sorprendente que no solo Microsoft la ha obviado sino que tambien investigadores en seguridad y hackers quienes usualmente son expertos en tomar ventaja de errores menores.
El exploit toma ventaja de los mensajes de error generados por ASP.NET cuando datos cifrados en una cookie han sido modificados. El mensaje de error provee una pequenna cantidad de informacion acerca de como ASP.NET descrifra el mensaje. Con suficientes de estos mensajes de error es posible descifrar el mensaje completo.
Quizas mas escalofriante que la destrucion del la seguridad de ASP.NET, es que Duongs afirma que es nuy eficiente. El investigador mostro un panorama preocupante.
Duong dijo, "Merece la pena darse cuenta de que el ataque es 100% fiable, uno puede estar seguro que una vez ejecutan el ataque, pueden hacerse con el objetivo. Es solo una cuestio nde tiempo. Si el atacante tiene suerte, entonces puede hacerse con cualquier sitio web ASP.NET en segundos. El tiempo medio por ataque para completarse es de 20 minutos, el mas largo menos de 50 minutos".
La pelota esta ahroa en el tejado de Microsoft y aquellos que usen ASP.NET para protegerse contra un ataque que requiere ser solo un "atacante con habilidades moderadas".
Thai Duong y Juliano Rizzo, los dos investigadores que han demostrado el ataque, dijeron a los reporteros: "Sabiamos que ASP.NET era vulnerable a nuestro ataque hace varios meses, pero no sabiamos que era tan serio hasta hace unas semanas. Vimos que la vulnerabilidad en ASP.NET es la mas critica de todos los frameworks. Resumiendo, destruye totalmenete la seguridad de ASP.NET"
Al parecer, la tecnica ha estado por ahi desde el 2002 y es sorprendente que no solo Microsoft la ha obviado sino que tambien investigadores en seguridad y hackers quienes usualmente son expertos en tomar ventaja de errores menores.
El exploit toma ventaja de los mensajes de error generados por ASP.NET cuando datos cifrados en una cookie han sido modificados. El mensaje de error provee una pequenna cantidad de informacion acerca de como ASP.NET descrifra el mensaje. Con suficientes de estos mensajes de error es posible descifrar el mensaje completo.
Quizas mas escalofriante que la destrucion del la seguridad de ASP.NET, es que Duongs afirma que es nuy eficiente. El investigador mostro un panorama preocupante.
Duong dijo, "Merece la pena darse cuenta de que el ataque es 100% fiable, uno puede estar seguro que una vez ejecutan el ataque, pueden hacerse con el objetivo. Es solo una cuestio nde tiempo. Si el atacante tiene suerte, entonces puede hacerse con cualquier sitio web ASP.NET en segundos. El tiempo medio por ataque para completarse es de 20 minutos, el mas largo menos de 50 minutos".
La pelota esta ahroa en el tejado de Microsoft y aquellos que usen ASP.NET para protegerse contra un ataque que requiere ser solo un "atacante con habilidades moderadas".
#5:
#1 no te preocupes, que ya vendrá algún lumbreras a mencionar algún agujero de seguridad en GNU/Linux con 20 años de antiguedad pero que nadie conocía hasta su descubrimiento, publicación y parcheado inmediato.
Y sin embargo se dirá que esto no es tan grave porque solo tiene 8 años de antigüedad, aunque haya gente que lo lleve explotando todo ese tiempo y Microsoft haya pasado directamente de solucionarlo por no ser público.
Venga chavales, a poner en mantenimiento todas las webs de bancos y demás empresas con ASP hasta que Microsoft tenga a bien sacar un parche.
Y sin embargo se dirá que esto no es tan grave porque solo tiene 8 años de antigüedad, aunque haya gente que lo lleve explotando todo ese tiempo y Microsoft haya pasado directamente de solucionarlo por no ser público.
Venga chavales, a poner en mantenimiento todas las webs de bancos y demás empresas con ASP hasta que Microsoft tenga a bien sacar un parche.
#8:
hmmm #7 a estas alturas de la vida hay que decir lo que es Haselfroch???? creo que es una expresion ampliamente conocida para cualquier persona que se mueva minimamente en un mundillo informatico...te pegotearia de la RAE pero les queda mucho para llegar a estas cosas, hasta entonces...
http://es.wiktionary.org/wiki/Haselfroch :
Acepciones
Sustantivo propio 1 Término jocoso con que los promotores del software libre llaman a Microsoft.
Pd: lo de cambiar la s por una $ no creo que haga falta explicarlo mucho, no? :$
http://es.wiktionary.org/wiki/Haselfroch :
Acepciones
Sustantivo propio 1 Término jocoso con que los promotores del software libre llaman a Microsoft.
Pd: lo de cambiar la s por una $ no creo que haga falta explicarlo mucho, no? :$
Comentarios
Los usuarios tienen poco que hacer aqui, ya que el problema reside en ASP.NET y no sera mitigado cambiando el sistema operativo o el navegador web.
Thai Duong y Juliano Rizzo, los dos investigadores que han demostrado el ataque, dijeron a los reporteros: "Sabiamos que ASP.NET era vulnerable a nuestro ataque hace varios meses, pero no sabiamos que era tan serio hasta hace unas semanas. Vimos que la vulnerabilidad en ASP.NET es la mas critica de todos los frameworks. Resumiendo, destruye totalmenete la seguridad de ASP.NET"
Al parecer, la tecnica ha estado por ahi desde el 2002 y es sorprendente que no solo Microsoft la ha obviado sino que tambien investigadores en seguridad y hackers quienes usualmente son expertos en tomar ventaja de errores menores.
El exploit toma ventaja de los mensajes de error generados por ASP.NET cuando datos cifrados en una cookie han sido modificados. El mensaje de error provee una pequenna cantidad de informacion acerca de como ASP.NET descrifra el mensaje. Con suficientes de estos mensajes de error es posible descifrar el mensaje completo.
Quizas mas escalofriante que la destrucion del la seguridad de ASP.NET, es que Duongs afirma que es nuy eficiente. El investigador mostro un panorama preocupante.
Duong dijo, "Merece la pena darse cuenta de que el ataque es 100% fiable, uno puede estar seguro que una vez ejecutan el ataque, pueden hacerse con el objetivo. Es solo una cuestio nde tiempo. Si el atacante tiene suerte, entonces puede hacerse con cualquier sitio web ASP.NET en segundos. El tiempo medio por ataque para completarse es de 20 minutos, el mas largo menos de 50 minutos".
La pelota esta ahroa en el tejado de Microsoft y aquellos que usen ASP.NET para protegerse contra un ataque que requiere ser solo un "atacante con habilidades moderadas".
hmmm #7 a estas alturas de la vida hay que decir lo que es Haselfroch???? creo que es una expresion ampliamente conocida para cualquier persona que se mueva minimamente en un mundillo informatico...te pegotearia de la RAE pero les queda mucho para llegar a estas cosas, hasta entonces...
http://es.wiktionary.org/wiki/Haselfroch :
Acepciones
Sustantivo propio 1 Término jocoso con que los promotores del software libre llaman a Microsoft.
Pd: lo de cambiar la s por una $ no creo que haga falta explicarlo mucho, no? :$
#8 Gracias por la info, no lo sabia
#9 sin mayor problema aunque la proxima vez tira de google, que yo creo que incluso buscando con el simbolo del dolar encontraras algo
#8, lo de jocoso es probable que se cumpliese en el club de rol donde esa expresión estuvo de moda allá por 1997. Ahora ya menos, diría.
#8 Hasefroch (sin 'l') es el Windows. Microsoft es Hasecorp.
http://www.google.com/search?q=Hasefroch+hasecorp
#22 Viendo la historia de la palabra, parece que lo de Hasecorp no está universalmente aceptado, originalmente Hasefroch significaba las dos cosas, Windows y Microsoft, se distinguía por el contexto. Más adelante surgió Hasecorp para referirse a la empresa.
Aquí cuentan el origen del palabro: http://bulma.net/body.phtml?nIdNoticia=1613
Apparently the technique used in the exploit has been around since 2002 and it is surprising that not only has Microsoft missed this one but also security researchers and hackers who are usually adept at taking advantage of any seemingly minor weakness in code.
Hace 8 años y aún está sin arreglar.
#1 no te preocupes, que ya vendrá algún lumbreras a mencionar algún agujero de seguridad en GNU/Linux con 20 años de antiguedad pero que nadie conocía hasta su descubrimiento, publicación y parcheado inmediato.
Y sin embargo se dirá que esto no es tan grave porque solo tiene 8 años de antigüedad, aunque haya gente que lo lleve explotando todo ese tiempo y Microsoft haya pasado directamente de solucionarlo por no ser público.
Venga chavales, a poner en mantenimiento todas las webs de bancos y demás empresas con ASP hasta que Microsoft tenga a bien sacar un parche.
#4 De tu propio link:
"For the stable distribution (etch), these problems have been fixed in version 0.9.8c-4etch3.
For the unstable distribution (sid) and the testing distribution (lenny), these problems have been fixed in version 0.9.8g-9."
Traduccion, manten tu sistema actualizado.
Y a cuanto dice usté que me venden las cosas los señores estos de Ha$elfroch? Ah, y que las venden acumulando errores de forma habitual?
llamadme fanboy, o incluso crujidme a negativos... pero esto en Debian/Ubuntu no pasa... ni en Red Hat (y esa si que es de pago)
#2 no te creas, me acuerdo de uno ...
http://www.debian.org/security/2008/dsa-1571
#4 boquetes haberlos haylos, como las meigas, eso es innegable.
Peeeeero.... cuanto has pagado por tu software *nix (recordando que no todas las distros son gratuitas)? y, cuanto tienes que pagar por ese mismo software en el caso de usar Ha$elfroch? Obviamente la diferencia economica es importante, y cuando alguien paga lo que te hacen pagar por el software de Redmond... espera que sea un software lo mas perfecto (dentro de la perfeccion que permite la informatica) y con el menor numero de bugs posibles, algo que como se sigue viendo, no ocurre.
y encima se quejan de que nos pirateemos el windows
#2 #6 ¿qué es Ha$elfroch? ¿un nuevo SO? aprende a escribir bien...
Curioso es que se acuerden de problemas de seguridad en software libre y gratuito. Digo, porque si no me equivoco, la gracia de un software propietario y más aún pago es que estas cosas no te pasen.
#12 Exacto, la gracia de pagar por un software deberia ser comprar algo completo y sin fallos de seguridad (o como poco, los menos posibles).Pero por eso mismo recordamos estos "incidentes", al igual que recordamos el tiempo que suelen tardar en resolverse por parte de ambas comunidades de software
Aunque recuerda, no todo el software libre es gratuito (sigo diciendolo, ahi esta Red Hat).
#13 ¡Qué cansino!, hacia ya tiempo que no me encontraba con un talibán como tú...pero veo que algunos no cambian
Y no es que defienda, ni deje de defender nada, es que esa actitud tan altiva me repele.
#13 No, la gracia està aquí: http://chuskopan.tumblr.com/post/1143109506/rubendomfer-taly-ban-sunglasses
Para desarrollar en ASP.net NO HAY QUE PAGAR UN DURO, es gratis. Ni para desplegar un servicio web con IIS. (Otra cosa es el sistema operativo).
#14 No te esfuerces por dar explicaciones a los fanáticos del software libre, para ellos lo suyo es lo mejor del universo y todo lo demas es una puta mierda. Suelen ser siempre así de razonables y conciliadores. De todas formas está bien que siempre terminen admitiendo que la única ventaja del software libre es que es gratis.
Respecto a la noticia, como si en Bugbuntu y demás distribuciones de linux no salieran exploits de los gordos de cuando en cuando, vamos. Prueba de ello es que en todas las empresas que he estado trabajando que han tenido servers linux y widnows, cuando se ha colado alguno siempre ha sido en los servidores linux, y los windows server ni los han tocado. Por algo será.
#17 El argumento del y tu mas junto a medias verdades, y finalmente una prueba que solo tu puedes verificar. Bravo! eso si que son argumentos.
Me parece que confundes el termino libre con gratuito.
Luego dicen de los titulares sensacionalistas.
Primero, este fallo no solo afecta a ASP.NET sino que también afecta a Rails, JSF y otros productos.
Segundo para reproducir este fallo de manera viable se necesitan ciertas particularidades entre ellas las mas importantes son
- que el servidor te permita realizar muchas peticiones seguidas (Cualquier sitio de hospedaje minimamente decente o hardware de seguridad salta las alarmas con 30000 peticiones en segundos)
- que la respuesta de error sea diferente entre desencriptar correctamente y desencriptar incorrectamente. Fácil de configurar para que todas las respuestas sean iguales.
En conclusión.
- El fallo existe en muchos productos y cada vendedor o responsable tiene que solucionarlo.
- No es el fin del mundo ni mucho menos. De hecho en la mayoría de los productos afectados es cuestion de poner una línea en el archivo de configuración de la aplicación.
Para balancear un poco el tema y callar algunas bocas: Agujero en el núcleo de Linux permite escalar privilegios de root gracias a un exploit
Agujero en el núcleo de Linux permite escalar priv...
h-online.com#21 Gracias por comentar mi meneo, pero bueno, si en la empresa consiguen atacar más a Linux que a Windows, es que no administráis bien la seguridad . Y mira que procedimientos hay y bastantes hay en link que relacionas .
Agujero en el núcleo de Linux permite escalar privilegios de root gracias a un exploit/c114#c-114 nada más .