Leo el 30 de Diciembre del año pasado (que lejos parece dicho así y eso que hace solamente 2 días... :P) en hispasec, que han descubierto una vulnerabilidad que afecta a casi todas las plataformas de servicios web actuales y que podría permitir la realización de ataques DoS (Denegación de Servicio).
Dicha vulnerabilidad fue presentada por dos investigadores en una conferencia en el congreso Chaos Communication Congress, organizado por el Chaos Computer Club y que se puede ver en YouTube en el enlace: http://www.youtube.com/watch?v=R2Cq3CLI6H8.
El alcance de la vulnerabilidad es tal, que prácticamente es más sencillo decir los lenguajes que no se ven afectados: Perl y CRuby 1.9 que los que sí lo están:
- Microsoft .NET Framework 1.x, 2.x, 3.x y 4.x
- PHP 5.3.x
- Ruby 1.8.x
- Rubinius 1.x
- Rack 1.x
- Oracle GlassFish Server 3.x
- Apache Tomcat 5.x, 6.x y 7.x
- Apache Geronimo 2.x
- Google V8
- Jetty 6.x y 7.x
- Plone 4.x
- JRuby 1.x
Uffffff... casi nada.
El caso es que parece que el problema es idéntico a uno que ya se descubrió en 2.003 y que afectaba a Perl y por eso no se ve afectado ahora: ya lo tenía solventado desde hace ¡¡8 años!!.
Dado que el problema, además, viene dado porque básicamente todas las plataformas almacenan en tablas hash (una tabla que asocia llaves o claves con valores) los parámetros de las peticiones web, ¿cómo no se les ocurrió al resto de lenguajes cuando surgió el problema en Perl en 2.003 mirar "internamente" a ver si ellos también podrían estar afectados por el mismo fallo?. Quizás porque la gente ve "la paja en el ojo ajeno y no ve la viga en el propio".
El caso es que ahora nos encontramos con este problema que, al parecer, está ya solucionado en la mayoría de los lenguajes mediante la publicación de actualizaciones y parches que lo corrigen.
Microsoft, por ejemplo, ha publicado un boletín de seguridad que corrige esta vulnerabilidad y tres más.
Ruby ha sacado la actualización 1.8.7-p357.
PHP 5 se actualiza a través de los repositorios SVN.
Rack se actualiza a través de los repositorios GIT.
Apache Tomcat ha actualizado a las versiones 5.5.35, 6.0.35 y 7.0.23.
JRuby ha actualizado a la versión 1.6.5.1
En fin, que como no podía ser menos, el año 2.011 se despide entre fallos de seguridad.
Esperemos que este nuevo año que empieza hoy comience un poquito mejor en todos los sentidos para todos: salud, trabajo, amor... y menos fallos de seguridad.
¡¡FELIZ AÑO
!!
!!
No hay comentarios:
Publicar un comentario