Vulnerabilidades en Novell iChain Server


Se ha anunciado la existencia de dos vulnerbailidades en iChain de Novell, un componente básico de Novell Nsure. Se trata de un servicio para el control centralizado de los recursos existentes en las corporaciones: aplicaciones, servicios web y recursos de red. El objetivo de iChain es separar los controles de seguridad de las aplicaciones y servicios web, de forma que pueda aplicarse una política de seguridad coherente en toda la red.





iChain dispone de una interfaz de administración basada en web. Se ha
descubierto la existencia de una vulnerabilidad de desbordamiento de
búfer en el proceso de autenticación. La utilización de un nombre de
usuario extraordinariamente largo puede llegar a provocar la ejecución
de código arbitrario en el servidor iChain, lo que puede ser utilizado
por un atacante para obtener privilegios administrativos en la red.
Una vez conseguidos estos privilegios, el atacante dispone de barra
libre en toda la red a nivel corporativo.

Adicionalmente, la versión 2.2 de iChain dispone de una segunda
vulnerabilidad. Existe un servicio, no necesario para el correcto
funcionamiento del programa, asociado al puerto 6901/tcp. Este
servicio puede ser utilizado para un acceso remoto, sin necesidad de
autenticación, a las áreas protegidas de la red corporativa.

Novell ha confirmado la existencia de estas vulnerabilidades de
seguridad, facilitando sendos parches para su eliminación.

Más información:

Buffer Overflows in Novell iChain Authentication Product
http://lists.netsys.com/pipermail/full-disclosure/2003-June/010190.html

Anuncio de Novell: iChain 2.1 Field Patch 3
http://archives.neohapsis.com/archives/bugtraq/2003-06/att-0052/NOVL-2003-
2966207_-_iChain_2.1_Field_Patch_3.txt

Anuncio de Novell: iChain 2.2 Field Patch 1a
http://archives.neohapsis.com/archives/bugtraq/2003-06/0053.html

Novell iChain Server Remote Authentication Username Buffer Overrun
Vulnerability
http://www.securityfocus.com/bid/7839

Novell iChain Server Unauthorized Resource Access Vulnerability
http://www.securityfocus.com/bid/7840

Novell iChain
http://www.novell.com/products/ichain/quicklook.html

Fuente: Hispasec

Otras noticias de interés:

OCNix, la distro para overclockers
El mundo del overclocking es uno de los que más pasión aglutina entre sus componentes: los overclockers no paran de invertir tiempo (y mucho dinero también) en lograr sacar el máximo partido de sus componentes, y demuestran cómo se puede llegar ...
Vulnerabilidades en DRUPAL : SQL Injection y Ejecución de archivos en forma arbitraria
Secunia.com ha informado de 2 vulnerabilidades que afectan al conocido CMS (Control Manager System) denominado DRUPAL ...
Microsoft y la privacidad de IE8
Un reportaje asegura que la privacidad de los usuarios del navegador se redujo para conseguir ingresos publicitarios. Las alarmas saltaron cuando antier se publicó un extenso artículo en el Wall Street Journal sobre cómo Microsoft habría impedido...
Los hackers se cebarán con Windows Vista en 2008
Un analista de McAfee ha señalado que Microsoft debería irse preparando para los ataques a Vista por parte de hackers y crackers, algo que será frecuente el año que viene....
Video: infección a través de técnicas de BlackHat SEO
Luego del alerta que se publicó sobre el video falso de Berlusconi que propaga malware, ESET-LA ha realizado un video educativo para mostrar en un formato multimedia cómo son las etapas de este tipo de ataques....
ONU declara el acceso a Internet como derecho
Un informe de La Organización de las Naciones Unidas (ONU)ha calificado la desconexión de las personas a Internet de violación de los derechos humanos y de las leyes internacionales....
Herramientas gratuitas para proteger a los usuarios del exploit de IIS
Desde Shavlik Technologies, suministrador de gestión de parches y seguridad, sugieren un par de herramientas gratuitas de Microsoft para ayudar a los usuarios a protegerse contra el ataque de día cero en Internet Information Server....
¿ Que es DP2PFTP ?.
DP2PFTP (Distributed Peer 2 Peer File Transfer Protocol) es el nombre del nuevo protocolo que dará origen a nuevas redes de intercambio de contenidos....
espiaface.com es una aplicación maliciosa que invade cuentas Facebook
Sigo sin comprender como cientos y hasta miles de usuarios siguen creyendo en aplicaciones como estas, cuando la misma gente de FACEBOOK ha dicho en muchas oportunidades que NO SE PUEDE HACER ESO, ya que su sistema [no lo permite] (solo ellos pueden ...
Diversos problemas de seguridad en el navegador Opera
La versión 9.61 del navegador Opera corrige tres vulnerabilidades que podrían ser aprovechadas por un atacante remoto para perpetrar ataques de cross-site scripting, saltarse restricciones de seguridad o revelar información sensible en un sistema ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • ichain
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • novell
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • server
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra