Posts Tagged ‘DoS – Denial of Service’

Alliberat PHP 5.2.12

divendres, desembre 18th, 2009

phpS’acaba d’alliberar la versió 5.2.12 de PHP.

Aquesta versió soluciona més de 60 problemes i millora l’estabilitat.

També s’ha incorporat la possibilitat de limitar el número de d’arxius que els usuaris poden enviar al servidor via formulari per a evitar atacs de denegació de servei DoS, com ja van fer el 17 de Novembre amb PHP 5.3.1.

Veure l’anunci oficial de PHP (anglès, traduir al Català amb google).

Català-Catalunya English-USA Traduir a l'Anglès. Translate to English Compartir: La TafaneraIndependènciaCatosfera|FacebookTwitterFriend Feed|googleDeliciousDiggTechnoratiredditmixxyahoolivestumbleuponsimpy

Alliberat PHP 5.3.1

dissabte, novembre 21st, 2009

phpTot just fa unes hores que ha estat alliberat PHP 5.3.1.

Aquesta versió soluciona més de 100 bugs (errors), entre els quals alguns són de seguretat.

Entre les millores m’agrada que es pot limitar a nivell d’arxiu de configuració .INI quants fitxers es permet pujar a l’usuari per cada petició (request).

D’aquesta manera es pot restringir la configuració per a no donar massa camp per a córrer i dificultar l’èxit d’un atac de denegació de servei (DoS : Denial of Service).

Aquests atacs consisteixen en demanar-li molta feina de cop al servidor, de manera que intentant fer-la tota no pot atendre noves peticions o fins i tot es penja, o s’omple la memòria, i deixa de funcionar.

Català-Catalunya English-USA Traduir a l'Anglès. Translate to English Compartir: La TafaneraIndependènciaCatosfera|FacebookTwitterFriend Feed|googleDeliciousDiggTechnoratiredditmixxyahoolivestumbleuponsimpy

Actualització WordPress 2.8.5 (seguretat)

Dimarts, octubre 20th, 2009

wordpressAcaba d’alliberar-se la versió 2.8.5 de WordPress.

Bàsicament és una actualització de seguretat urgent, del problema que us informava ahir de trackback, i inclou un canvi que podria comprometre la seguretat i dos canvis menors.

En poques hores serà disponible la versió en Català.

La versió en anglès ja ho està.

Enllaç a l’anunci de WordPress anunciant aquest “hardening release”.

Actualització 2009-10-21: WordPress 2.8.5 en Català ja és disponible.

Català-Catalunya English-USA Traduir a l'Anglès. Translate to English Compartir: La TafaneraIndependènciaCatosfera|FacebookTwitterFriend Feed|googleDeliciousDiggTechnoratiredditmixxyahoolivestumbleuponsimpy

Poti poti de notícies de seguretat

dilluns, octubre 19th, 2009

1) Ahir 19 d’Octubre s’alliberà OpenBSD 4.6 , la versió oberta de BSD Unix.

Proporciona moltíssimes noves funcionalitats i soluciona alguns problemes de seguretat i errors.

Via: OS News

microsoft-dot-net2) Microsoft instal·là un plugin als navegadors Firefox, sense demanar permís, ni informar, i a més té un bug greu de seguretat.

Astoradora notícia que posa de relleu, un cop més, les males pràctiques de microsoft.

No perquè el plugin tingui un problema de seguretat greu, (que és prou nefast), sinó perquè l’instal·la sense demanar permís, sense avisar i en un navegador de la seva competència.

Com si seat instal·les un paquet defectuós de frens en els nissan.

El plugin és registrat al Firefox en instal·lar el darrer Service Pack del Framework .NET 3.5, l’SP1.

A començament d’enguany microsoft ja n’havia fet una similar, instal·lant un plugin, també sense avisar i sense permís, als navegadors Firefox, que també tingué un greu problema de seguretat.

Sincerament, n’hi ha per passar-se a Linux.

mac-os-x-leopard-apple-snow_box_200909103) Un greu error en el nou sistema operatiu d’Apple Mac OS X 10.6 pot dur a perdre dades.

L’error té a veure amb fer login amb l’usuari Guest (convidat) i llavors tractar de canviar a un altre usuari.

Un article de MacFixIt recomana desactivar la conta Guest com a solucionar temporal, per tal d’evitar accidents.

A la versió Mac OS X 10.6.2 BETA (en proves, versió no final) ja estaria solucionat.

Via: Os News

4) Apple alliberà el propassat dia 15 d’Octubre una actualització per a Mac OS X que soluciona problemes de baix rendiment i accès als disc durs posterior a la darrera actualització.

wordpress5) S’ha descobert una vulnerabilitat que permetria deixar fora de combat qualsevol servidor amb WordPress.

Es tracta d’un atac DoS (Denial of Service o denegació de servei) que consisteix a fer unes crides a wp-trackback.php amb UTF-8 separades per comes, o en forma de matriu, força grosses, que farien que el servidor consumís tots els recursos de processador tractant de validar el seu format.

Amb unes 20 peticions simultànies, el que es podria fer des de qualsevol adsl, quedaria inservible durant minuts qualsevol servidor amb trackback activat.

Xavi Caballé ens n’informa.

El programador que va aixecar la llebre descriu tècnicament tot el procés, com reproduir-lo, com solucionar-lo, i com wordpress ha tardat diversos dies en respondre-li. En castellà.

Per a solucionar el problema fins a la darrera versió cal editar el fitxer wp-trackback.php:

canviar la línia:

$charset = $_POST['charset'];

per:

// Eliminar les comes

$charset = str_replace(",","",$_POST['charset']);
// Si és un arrai és que ens volen fer l'exploit així que no perdem més temps i sortim
if (is_array($charset)) { exit; }

iphone_3g_gran6) Actualització de seguretat per a l‘iPhone, firmware 3.1.2.

Per a instal·lar-la simplement connecteu el telèfon a l’equip, mitjançant el cable, i el programa iTunes us informarà que hi ha una nova versió del programari.

Aquesta versió soluciona:

– Corregeix un problema que no deixa recuperar l’iPhone de la suspenció

– Corregeix un problema que et deixa sense els serveis mòbils fins que reinicies

– Corregeix errors de la transmissió de vídeo per Internet

Però si tens el telèfon hackejat i alliberat (amb jailbreak) no actualitzis car pel moment no hi ha disponible cap hack per a aquest darrer firmware.

Català-Catalunya English-USA Traduir a l'Anglès. Translate to English Compartir: La TafaneraIndependènciaCatosfera|FacebookTwitterFriend Feed|googleDeliciousDiggTechnoratiredditmixxyahoolivestumbleuponsimpy