Vulnerabilidades en Novell iChain Server


Se ha anunciado la existencia de dos vulnerbailidades en iChain de Novell, un componente básico de Novell Nsure. Se trata de un servicio para el control centralizado de los recursos existentes en las corporaciones: aplicaciones, servicios web y recursos de red. El objetivo de iChain es separar los controles de seguridad de las aplicaciones y servicios web, de forma que pueda aplicarse una política de seguridad coherente en toda la red.





iChain dispone de una interfaz de administración basada en web. Se ha
descubierto la existencia de una vulnerabilidad de desbordamiento de
búfer en el proceso de autenticación. La utilización de un nombre de
usuario extraordinariamente largo puede llegar a provocar la ejecución
de código arbitrario en el servidor iChain, lo que puede ser utilizado
por un atacante para obtener privilegios administrativos en la red.
Una vez conseguidos estos privilegios, el atacante dispone de barra
libre en toda la red a nivel corporativo.

Adicionalmente, la versión 2.2 de iChain dispone de una segunda
vulnerabilidad. Existe un servicio, no necesario para el correcto
funcionamiento del programa, asociado al puerto 6901/tcp. Este
servicio puede ser utilizado para un acceso remoto, sin necesidad de
autenticación, a las áreas protegidas de la red corporativa.

Novell ha confirmado la existencia de estas vulnerabilidades de
seguridad, facilitando sendos parches para su eliminación.

Más información:

Buffer Overflows in Novell iChain Authentication Product
http://lists.netsys.com/pipermail/full-disclosure/2003-June/010190.html

Anuncio de Novell: iChain 2.1 Field Patch 3
http://archives.neohapsis.com/archives/bugtraq/2003-06/att-0052/NOVL-2003-
2966207_-_iChain_2.1_Field_Patch_3.txt

Anuncio de Novell: iChain 2.2 Field Patch 1a
http://archives.neohapsis.com/archives/bugtraq/2003-06/0053.html

Novell iChain Server Remote Authentication Username Buffer Overrun
Vulnerability
http://www.securityfocus.com/bid/7839

Novell iChain Server Unauthorized Resource Access Vulnerability
http://www.securityfocus.com/bid/7840

Novell iChain
http://www.novell.com/products/ichain/quicklook.html

Fuente: Hispasec

Otras noticias de interés:

Vulnerabilidad Cross-Site en Mozilla
Andreas Sandblad descubrió una vulnerabilidad del tipo Cross- Domain (XD), que afecta a este navegador. Una vulnerabilidad Cross-Domain (dominio cruzado), permite que cierto código en un determinado dominio, pueda ser accedido en un domi...
¿ Sabes, Que es un Zettabyte ?.
Todos conocemos un bit, un byte, un Kilobyte, incluso algunos más avezados un Megabyte y un Gigabyte... ¿ Pero sabes lo que es un Zettabyte ?....
Nueva versión del Mydoom, esta vez MYDOOM.F
Nueva variante del Mydoom reportado en las últimas horas del 19 de febrero, que se propaga a través del correo electrónico y unidades de red compartidas. Utiliza asuntos, textos y nombres de adjuntos variables, y un remitente siempre falso, por lo...
Nueva versión 5.2.6 de PHP
Se ha publicado la versión 5.2.6 de PHP, que corrige cinco vulnerabilidades de seguridad en el popular lenguaje, que podrían ser aprovechadas por un atacante remoto para ejecutar código arbitrario, saltarse restricciones de seguridad o provocar de...
El malware diversifica sus vías de ataque, cualquier plataforma es válida
Las redes sociales, la telefonía móvil, el sistema operativo Mac OS de Apple y las aplicaciones basadas en Java y Adobe son las vías por las que más ataques de malware les entran a los usuarios, según revela un informe de Eset....
Nueva versión de Filezilla
Liberada una nueva versión de FileZilla, uno de los mejores clientes FTP libres, en su versión 3.0.5....
OOXML un grave error!
Luego de leer los comentarios publicados en muchos sitios web acerca de la aprobación de este formato (que no sirve) por parte de la ISO, me llamo la atención uno publicado por un anónimo en kirptopolis.org les dejo a continuación:...
Vulnerabilidad en la última versión de Adobe Reader
Ha sido descubierta una nueva vulnerabilidad en las versiones más recientes de Adobe Reader. El hallazgo es obra de FireEye, que asegura que la vulnerabilidad crítica permite a los ciberdelincuentes insertar código malicioso en un sistema. La comp...
Sexo, troyanos, y phishing
Ya lo decía Nietzsche, el sexo es una trampa de la naturaleza para no extinguirse. Ahora son los phishers los que están utilizando esta trampa como reclamo para infectar a los usuarios con troyanos y capturar sus claves de acceso a la banca e...
Como averiguar la contraseña de un correo
A continuación explico varias formas para conseguir la contraseña de Hotmail de tus amigos. Estos métodos son efectivos, actualizados y funcionan perfectamente. ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • ichain
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • novell
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • server
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra