Para Variar: Microsoft anuncia problemas en Commerce Server


Microsoft ha anunciado la existencia de cuatro vulnerabilidades en los productos Commerce Server 2000 y Commerce Server 2002 que son servidores web de Microsoft destinados a la creación de sitios de comercio electrónico.





Estos productos proporcionan herramientas y características que simplifican el desarrollo e implantación de soluciones e-commerce, de igual forma al administrador se le proporcionan utilidades para el análisis del uso del sitio.

El primero de los problemas hace relación a un problema de desbordamiento de bufer en el servicio de perfiles ("Profile Service") en el ratamiento de determinados tipos de llamadas a la API. Este servicio puede emplearse para permitir a los usuarios administrar su propia información de perfil y para consultar el estado de sus pedidos.

Si un atacante proporciona datos específicamente construidos a determinadas llamadas del servicio de perfiles podrá provocar un desbordamiento de bufer que de lugar a la ejecución de código en el contexto de seguridad de LocalSystem.

Existe otra vulnerabilidad de desbordamiento de bufer en el paquete de instalación de Office Web Components (OWC) empleado por Commerce Server.

Un atacante que proporcione datos específicamente construidos como entrada al instalador OWC podrá provocar que el proceso falle o incluso la ejecución de código en el contexto de seguridad local del sistema.

También existe otro problema asociado al paquete de instalación Office Web Components (OWC) de Commerce Server. Si un atacante efectúa una llamada al instalador de una determinada forma podrá provocar la ejecución de comandos en Commerce Server de acuerdo al nivel de privilegios asociados a las credenciales del atacante. Este problema
sólo afecta a Commerce Server 2000.

Por último se ha detectado una variante de la vulnerabilidad en el filtro ISAPI, Microsoft proporciona los parches necesarios para cubrir estos problemas y que pueden descargarse desde las siguientes direcciones:

Para Microsoft Commerce Server 2000:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=39591
Para Microsoft Commerce Server 2002:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=39550


Otras noticias de interés:

Un troyano de Linux hace saltar todas las alarmas
Se ha descubierto un troyano en una de las descargas más populares de Linux, lo que pone de manifiesto que el sistema operativo no es impenetrable....
Nuevo virus: Fortnight
Los fabricantes de antivirus advirtieron de un nuevo gusano que se recibe por correo electrónico y que se caracteriza por cambiar la página de inicio del navegador a una pornográfica. ...
Software espía en teléfonos móvil
¿Espiaría usted a su pareja? Según un artículo publicado el 3 de septiembre de 2006 en la versión en línea de The Guardian, la empresa Vervata está animando a los consumidores a comprar un software para teléfonos móviles que les permitirá l...
Envenenamiento ARP
El envenenamiento ARP es una técnica usada por atacantes en redes internas cuyo fin es obtener el tráfico de red circundante, aunque no esté destinado al sistema del propio intruso. ...
Internet Watch Foundation: la dura lucha contra la pedofilia
Imagina que acabas de llegar a tu trabajo como todos los días, a las ocho de la mañana. En el ordenador de tu mesa de despacho te esperan treinta vídeos de abusos a menores que tendrás que visionar y analizar. ...
Microsoft Windows Server 2003 se libera para manufactura
Microsoft anunció la liberación para manufactura de Windows Server 2003, el sistema operativo de Windows que posee el mejor desempeño y la mayor calidad nunca antes vistas. ...
Microsoft compartirá la API de sus principales productos
Según informa la agencia EFE y comentan varios medios: El gigante informático Microsoft anunció hoy que permitirá el acceso de los programadores a sus programas y productos con objeto de facilitar el desarrollo de software independiente. ...
Actualización para Microsoft Proxy Server 2.0 e y Microsoft ISA Server
Microsoft publica una actualización de sus productos Proxy Server 2.0 e ISA Server para evitar un problema de denegación de servicios en estos servidores....
HP presentó estrategia tecnológica basada en procesador Itanium2
Incluye la flexibilidad de funcionamiento en ambientes de múltiples sistemas operativos HP anunció en Venezuela su nueva estrategia tecnológica basada en los procesadores Intel Itanium2, los cuales han sido incorporados en d...
Vulnerabilidad en Acrobat Reader
Se han anunciado diversas vulnerabilidades en Adobe Reader y el control ActiveX Acrobat, que pueden ser explotadas por atacantes para tomar el control total de los sistemas afectados....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • anuncia
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • commerce
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • problemas
  • sabayon
  • seguridad
  • server
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • variar
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra