Para Variar: Microsoft anuncia problemas en Commerce Server


Microsoft ha anunciado la existencia de cuatro vulnerabilidades en los productos Commerce Server 2000 y Commerce Server 2002 que son servidores web de Microsoft destinados a la creación de sitios de comercio electrónico.





Estos productos proporcionan herramientas y características que simplifican el desarrollo e implantación de soluciones e-commerce, de igual forma al administrador se le proporcionan utilidades para el análisis del uso del sitio.

El primero de los problemas hace relación a un problema de desbordamiento de bufer en el servicio de perfiles ("Profile Service") en el ratamiento de determinados tipos de llamadas a la API. Este servicio puede emplearse para permitir a los usuarios administrar su propia información de perfil y para consultar el estado de sus pedidos.

Si un atacante proporciona datos específicamente construidos a determinadas llamadas del servicio de perfiles podrá provocar un desbordamiento de bufer que de lugar a la ejecución de código en el contexto de seguridad de LocalSystem.

Existe otra vulnerabilidad de desbordamiento de bufer en el paquete de instalación de Office Web Components (OWC) empleado por Commerce Server.

Un atacante que proporcione datos específicamente construidos como entrada al instalador OWC podrá provocar que el proceso falle o incluso la ejecución de código en el contexto de seguridad local del sistema.

También existe otro problema asociado al paquete de instalación Office Web Components (OWC) de Commerce Server. Si un atacante efectúa una llamada al instalador de una determinada forma podrá provocar la ejecución de comandos en Commerce Server de acuerdo al nivel de privilegios asociados a las credenciales del atacante. Este problema
sólo afecta a Commerce Server 2000.

Por último se ha detectado una variante de la vulnerabilidad en el filtro ISAPI, Microsoft proporciona los parches necesarios para cubrir estos problemas y que pueden descargarse desde las siguientes direcciones:

Para Microsoft Commerce Server 2000:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=39591
Para Microsoft Commerce Server 2002:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=39550


Otras noticias de interés:

Curso de PHP en Caracas - Venezuela
El próximo 16 y 17 de agosto de este año, la Gente de PHP de Venezuela organiza un curso Nivel I (para principiantes)....
Virus en IRC-Hispano
Un mensaje advirtiendo sobre un falso virus, y una supuesta cura para el mismo en una página construida maliciosamente para simular la web de IRC-Hispano, se convierte en una grave amenaza para los usuarios de una de las redes más importantes de IR...
Tecnología y democracia
Para que la imprenta pudiera nacer, la humanidad tuvo que aprender las tecnologías de la madera, del papel, de la tinta y del metal. Se necesitaba saber fabricar planchas de madera para apretar el papel sobre una superficie metálica tintada al acei...
Los hackers se lanzan contra la brecha más reciente de IE7
Los atacantes están explotando ya una vulnerabilidad de Internet Explorer 7 (IE7) que Microsoft parcheó hace tan sólo una semana, según han advertido varios investigadores especializados en seguridad....
Microsoft compra el voto sueco para Open Office XML
Cuando medios críticos piden el rechazo del formato abierto de Microsoft - que podría aceptarse como estandar ISO esta misma semana - parece que ha habido tongo en el voto de los nórdicos, según informan en la web OS2 World. ...
Curso básico de PHP
Esta pautado a realizarse un nuevo curso básico de PHP, en la ciudad de Valencia, Carabobo los días 4 y 5 de Septiembre. El curso está estructurado para llevarlo a modo intensivo, y poder realizarlo en todo un fin de se...
Microsoft corrige problema con SVCHOST.EXE
Microsoft publicó una actualización para un problema provocado por otra actualización anterior que corregía un error similar. Concretamente bajo determinadas circunstancias, SVCHOST.EXE puede consumir el 100 por ciento de los recursos del pro...
INTECO-CERT: Guía sobre seguridad website
Esta guía pretende servir de referencia a los responsables de seguridad de un sitio Web a la hora de detectar ataques, de minimizar posibles daños una vez sufrido el ataque o de tomar medidas preventivas para evitar que un sistema se vea comprometi...
Agujero Windows de más de 6 años
Una nueva actualización de seguridad de Windows 2000 elimina un agujero de seguridad que puede ser utilizado para alcanzar derechos de administrador en el sistema. El agujero fue descubierto en marzo pasado y, según se ha documentad...
Liberada Nueva versión de CentOS 5.5
CentOS (Community ENTerprise Operating System) es un clon a nivel binario de la distribución Linux Red Hat Enterprise Linux RHEL, compilado por voluntarios a partir del código fuente liberado por Red Hat....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • anuncia
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • commerce
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • problemas
  • sabayon
  • seguridad
  • server
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • variar
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra