Mostrando las entradas con la etiqueta vulnerabilidad. Mostrar todas las entradas
Mostrando las entradas con la etiqueta vulnerabilidad. Mostrar todas las entradas

viernes, 13 de marzo de 2020

Lanzamiento de PrestaShop 1.7.6.4

¡PrestaShop 1.7.6.4 finalmente está disponible! Se ha solucionado un problema de seguridad crítico y las regresiones encontradas en las versiones anteriores 1.7.6. Se recomienda actualizar su tienda.

Esta versión de mantenimiento corrige 9 problemas informados desde las versiones 1.7.6.0 a 1.7.6.3. Como esta versión soluciona un problema de seguridad, le recomendamos que actualice su tienda lo antes posible. Sugerimos actualizar su tienda rápidamente para beneficiarse de estas soluciones. Por supuesto, no olvide hacer una copia de seguridad antes.

El parche de seguridad protege su tienda contra ataques destinados a modificar la información personal de sus clientes.

Recordatorio: la última versión del módulo de actualización de 1 clic es v4.10.1, no olvide actualizarlo si es necesario.

Correcciones principales
A continuación se enumeran todos los problemas de regresión que solucionamos en esta versión:

  • Un caso de error en la validación del correo electrónico del cliente ( # 17809 )
  • Error al cargar los archivos product_page.css y translation.css ( # 17584 )
  • Mostrar problemas en las vistas previas de SEO en vivo en el escritorio de Safari ( # 17525 )
  • No se mostró un color de combinación cuando se seleccionó ( # 17437 )
  • No es posible ver la categoría cuando todas las subcategorías estaban deshabilitadas ( # 17379 )
  • Algunas combinaciones de productos no se mostraban en configuraciones particulares de stock y productos ( # 17345 )
  • El enlace de soporte no se mostró correctamente en la confirmación del pedido en árabe ( # 17242 )
  • Problema de visualización en el asunto de los correos electrónicos con caracteres especiales ( # 16847 )
  • Se produjo un error en el descuento en la factura al aplicar una regla de carrito específica a un pedido ( # 16491 )

Lea el registro de cambios completo aquí .

Cambios importantes
A continuación encontrará información detallada sobre la corrección de seguridad proporcionada en esta versión:

Referencia CVE: CVE-2020-5250
Aviso de seguridad de GitHub: GHSA-mhfc-6rhg-fxp3
Expresiones de gratitud

Descargar la nueva versión aquí 

Enlace al articulo original (Ingles)  https://build.prestashop.com/news/prestashop-1-7-6-4-maintenance-release/
a la/s No hay comentarios.:
Etiquetas: , ,

jueves, 12 de marzo de 2020

Mapa de coronavirus en vivo utilizado para propagar malware

Los ciberdelincuentes constantemente se fijan en las noticias que cautivan la atención del público, pero generalmente lo hacen sensacionalizando el tema o difundiendo información errónea al respecto. Recientemente, sin embargo, los ciberdelincuentes han comenzado a diseminar información precisa y en tiempo real sobre las tasas de infección globales vinculadas a la pandemia de Coronavirus / COVID-19 en un intento por infectar computadoras con software malicioso.

En un esquema, un panel interactivo de infecciones y muertes por Coronavirus producidas por la Universidad John Hopkins se está utilizando en sitios web maliciosos (y posiblemente en correos electrónicos no deseados) para difundir malware que roba contraseñas.

A fines del mes pasado, un miembro de varios foros de ciberdelincuencia en ruso comenzó a vender un kit de infección por coronavirus digital que utiliza el mapa interactivo Hopkins como parte de un esquema de implementación de malware basado en Java. El kit cuesta $ 200 si el comprador ya tiene un certificado de firma de código Java, y cuesta $ 700 si el comprador solo desea usar el certificado del vendedor.

"Carga un mapa en línea totalmente funcional de las áreas infectadas por el Coronavirus y otros datos", explica el vendedor. “El mapa es redimensionable, interactivo y tiene datos en tiempo real de la Organización Mundial de la Salud y otras fuentes. ¡Los usuarios pensarán que PreLoader es en realidad un mapa, por lo que lo abrirán y lo extenderán a sus amigos y se volverá viral!

El hilo de ventas afirma que la carga útil del cliente se puede agrupar con el mapa basado en Java en un nombre de archivo que la mayoría de los proveedores de correo web permiten en los mensajes enviados. El vendedor afirma en un video de demostración que Gmail también lo permite, pero el video muestra que Gmail todavía advierte a los destinatarios que descargar el tipo de archivo específico en cuestión (oculto en el video) puede ser dañino. El vendedor dice que el usuario / víctima tiene que tener Java instalado para que el mapa y explotar funcionen, pero que funcionará incluso en versiones completamente parcheadas de Java.

"El cargador carga archivos .jar que tienen un mapa de datos en tiempo real de Coronavirus interactivo y una carga útil (puede ser un cargador separado)", dijo el vendedor en el video. “Loader puede descargar previamente solo el mapa y la carga útil se cargará después de que se lance el mapa para mostrar el mapa más rápido a los usuarios. O viceversa, la carga útil se puede descargar previamente y lanzar primero ".

No está claro cuántos tomadores ha tenido este vendedor, pero a principios de esta semana los expertos en seguridad comenzaron a advertir sobre nuevos sitios web maliciosos que usaban versiones interactivas del mismo mapa para distraer a los visitantes mientras los sitios intentaban engañar al malware AZORult que robaba contraseñas .

Mientras esta pandemia siga siendo noticia de primera plana, los proveedores de malware continuarán usándola como señuelos para atrapar a los incautos. Mantenga la guardia alta y evite abrir archivos adjuntos que se envíen sin autorización en correos electrónicos, incluso si parecen provenir de alguien que usted conoce.

Enlace al artículo original (Inglés): https://krebsonsecurity.com/2020/03/live-coronavirus-map-used-to-spread-malware/

a la/s No hay comentarios.:
Etiquetas: ,

martes, 3 de marzo de 2020

Prestashop asunto de seguridad PHPUnit, Analisis despues del incidente

Los primeros días de Enero, un asunto de seguridad con PHPUnit en algunos módulos permitieron que unos atacantes ejecutaran código sin autorización a traves de la dependencia PHPUnit. Esta vulnerabilidad fue descubierta a través de un vendedor cuyas tiendas fueron comprometidas.



Trasfondo

En PrestaShop usan un sistema automatizado para construir paquetes para módulos nativos y hacerlos disponibles a través de "Addons Marketplace API". Este proceso usa composer para instalar dependencias antes de crear el paquete comprimido, durante este proceso por error, dependencias  de desarrollo (Como PHPUnit) no estaban siendo excluidas y encontraron la se copiaron en los paquetes construidos.

Esto fue un error de codigo el cual fue solventando en un corto periodo, pero los archivos mal construidos ya habían sido distribuidos para tiendas activas. A su vez, consideraron que esto no seria un problema ya que el numero de módulos que incluyen dependencias de desarrollo es bastante pequeño, y no se conocía ninguna vulnerabilidad en las dependencias.

Sin embargo, cuando PrestaShop actualiza un modulo, solo sobrescribe los viejos archivos con los nuevos, No elimina los archivos que existían en la vieja version pero no estan en la nueva version.

Esto quiere decir que si un modulo incluye archivos vulnerables instalados, cuando se actualice a una nueva versión que incluya estos archivos, la vulnerabilidad no sera removida y permanece allí.

Comunicación

 El equipo de seguridad de prestashop se comunico con otros importantes equipos de CMS en orden de informar acerca de este asunto asi que estos revisaron si esto afectaba a modulos o plugins en sus sitios.

Ya que el año pasado  en la cumbre de seguridad  de Google CMS, en prestashop fue parte, garantiza que muchas personas del ecosistema CMS, compartieran sus hitos de seguridad. Esto remite a todos compartir información frecuentemente

Una vez el alcance completo de fue confirmad, y después de que usuarios podrían estar protegidos contra la vulnerabilidad actualizando los módulos vulnerables a la ultima version, comunicaron a través múltiples canales a nuestros usuarios y la comunidad de comunidad a lo largo de este incidente.

Finalmente comunicaron a través de sus redes sociales para advertir a la comunidad

Desde este dia seguirán comunicando con la comunidad de miembros acerca de las vulnerabilidades y como fueron impactados ellos mismos

Cambios Técnicos

 Todos  prestashop módulos y archivos han sido revisados, and los archivos vulnerables han sido actualizados,  Los próximos lanzamientos de módulos corruptos no tendrán la vulnerabilidad del PHPUnit and durante el proceso de actualización, se eliminaran los archivos corruptos si son encontrados.

De esta forma no se necesita corregir manualmente los módulos comprimidos , ya que ahora son seguros,  La vulnerabilidad solo estaba presente para el modulo de construcción antes del pipeline fue arreglado La vulnerabilidad solo estaba presente para los módulos construidos antes de que se reparara la tubería y no se reconstruyeran.


Post Original (Ingles): https://build.prestashop.com/news/phpunit-security-issue-post-analysis/

a la/s No hay comentarios.:
Etiquetas: , , ,
Suscribirse a: Entradas (Atom)

Dos IAs, un juego DOS: DeepSeek planeó, Nemotron programó… y salió muy básico (pero jugable)

   El experimento: revivir el Paratrooper de los 90 sin escribir una línea de código        Hace unos días quise jugar al mítico Paratrooper...