Entradas populares

  • This is Slide 1 Title

    This is slide 1 description. Go to Edit HTML and replace these sentences with your own words. This is a Blogger template by Lasantha - PremiumBloggerTemplates.com...

  • This is Slide 2 Title

    This is slide 2 description. Go to Edit HTML and replace these sentences with your own words. This is a Blogger template by Lasantha - PremiumBloggerTemplates.com...

  • This is Slide 3 Title

    This is slide 3 description. Go to Edit HTML and replace these sentences with your own words. This is a Blogger template by Lasantha - PremiumBloggerTemplates.com...

Ejecución remota de código en Instagram


 

Facebook ha corregido una vulnerabilidad en la popular aplicación de fotografías que permitía ejecutar código de forma remota en el dispositivo de la víctima y hacerse con el control del dispositivo.

La vulnerabilidad, a la que se le ha asignado el identificador CVE-2020-1895, ha sido descubierta por el equipo de Check Point. Se trata de un desbordamiento de la memoria intermedia basada en ‘heap’ provocada por el módulo de procesamiento de imágenes de Instagram (Mozjpeg).

Un atacante podría provocar esta condición enviando a la víctima una imagen especialmente manipulada. La próxima vez que la víctima abriese la aplicación, el módulo encargado de decodificar la imagen provocaría el desbordamiento aprovechado para explotar el dispositivo.

Los investigadores de Check Point descubrieron el fallo tras realizar pruebas de fuzzing sobre librerías de código abierto no declaradas utilizadas por la aplicación.

Módulos utilizados por la aplicación. Fuente: checkpoint.com

En concreto en el módulo Mozjpeg, encargado de la codificación y decodificación de imágenes JPEG. Tras realizar múltiples pruebas encontraron un error a la hora de validar las dimensiones de la imagen en la función ‘read_jpg_copy_loop’ que permitiría asignar más memoria que la permitida durante una operación ‘malloc’.

Función vulnerable. Fuente: checkpoint.com

Si bien los investigadores no han conseguido controlar el desbordamiento de memoria para explotar el dispositivo, sí que han detectado un comportamiento no deseado de la librería: el aumento de hasta el 25% del tamaño de las imágenes «comprimidas» lo que podría tener un importante impacto si tenemos en cuenta la cantidad de imágenes que se suben diariamente a Instagram.

El problema afecta a las versiones de 32 y 64 bits iguales o anteriores a la 128.0.0.26.128 y ya se encuentra corregido.


Samba 4.13 llega con solución a la vulnerabilidad ZeroLogon


linux-samba

Se acaba de anunciar el lanzamiento de la nueva version de Samba 4.13, version en la cual se añade la solución a la vulnerabilidad que fue detectada hace pocos días de ZeroLogon (CVE-2020-1472), además de que en esta nueva version los requisitos de Python ya han cambiado a la version 3.6 y también otros cambios mas.

Para quienes desconocen de Samba, deben saber que este es un proyecto que continúa con el desarrollo de la rama de Samba 4.x con una implementación completa de un controlador de dominio y servicio de Active Directory, compatible con la implementación de Windows 2000 y capaz de atender todas las versiones de clientes de Windows compatibles con Microsoft, incluido Windows 10.

Samba 4, es un producto de servidor multifuncional, que también proporciona la implementación de un servidor de archivos, servicio de impresión y servidor de autenticación (winbind).

Principales novedades de Samba 4.13

En esta nueva version del protocolo se añadió la solución a la vulnerabilidad ZeroLogon (CVE-2020-1472), que podría permitir a un atacante obtener derechos de administrador en un controlador de dominio en sistemas que no usan la configuración «server schannel=yes» (Si quieres conocer mas al respecto, puedes consultar la publicación que compartimos al respecto de ello aquí en el blog. El enlace es este)

Otro de los cambios que se realizó en esta nueva version de Samba, es que los requisitos mínimos de Python se han elevado de Python 3.5 a Python 3.6. Mientras que la capacidad de construir un servidor de archivos con Python 2 aún se conserva (antes de ejecutar ./configure ‘y’ make ‘, debe establecer la variable de entorno’ PYTHON = python2 ‘), pero en la siguiente rama se eliminará y se requerirá Python 3.6 para la compilación.

Por otra parte la funcionalidad «wide links = yes», que permite a los administradores del servidor de archivos crear enlaces simbólicos a un área fuera de la partición SMB / CIFS actual, se ha trasladado de smbd a un módulo «vfs_widelinks» independiente.

Actualmente, este módulo se carga automáticamente si hay un parámetro «wide links=yes» en la configuración.

Se planea eliminar el soporte para «wide links=yes» en el futuro debido a problemas de seguridad, y se recomienda encarecidamente a los usuarios de samba que utilicen «mount –bind» para montar partes externas del sistema de archivos en lugar de «wide links=yes».

Tenga en cuenta que los desarrolladores de Samba recomiendan cambiar cualquier instalaciones que actualmente usan «enlaces anchos = sí» para usar montajes de enlace tan pronto como sea posible, ya que «wide links=yes» es inherentemente inseguro configuración que nos gustaría eliminar de Samba. Moviendo el característica en un módulo VFS permite que esto se haga de una manera más limpia en el futuro.

La compatibilidad con el controlador de dominio en modo clásico ha quedado obsoleta. Los usuarios de controladores de dominio tipo NT4 (‘clásicos’) deben migrar a los controladores de dominio de Samba Active Directory para poder trabajar con clientes modernos de Windows.

Los métodos de autenticación inseguros que solo se pueden usar con SMBv1 han quedado obsoletos: «inicios de sesión de dominio», «autenticación NTLMv2 sin procesar», «autenticación de texto sin formato de cliente», «autenticación de cliente NTLMv2», «autenticación de cliente lanman» y «uso de cliente spnego».

Además, se eliminó el soporte para la opción «ldap ssl ads» de smb.conf. Se espera que la próxima versión elimine la opción «canal del servidor».

De los demás cambios que se destacan son la eliminación de:

  •   Anuncios ldap ssl eliminados
  •   smb2 deshabilita la verificación de secuencia de bloqueo
  •   smb2 deshabilitar oplock romper reintento
  •   inicios de sesión de dominio
  •   autenticación NTLMv2 sin procesar
  •   autenticación de texto sin formato del cliente
  •   cliente NTLMv2 auth
  •   cliente lanman auth
  •   El uso del cliente spnego
  •   Un canal del servidor se eliminará en la version 4.13.0
  • La opción smb.conf obsoleta «ldap ssl ads» ha sido eliminada.
  • La opción obsoleta «server schannel» smb.conf muy probablemente eliminado en la versión final 4.13.0.

Finalmente si quieres conocer más al respecto sobre los cambios en esta nueva versión de Samba, puedes conocerlos en el siguiente enlace.


Warpinator, envía y recibe archivos a través de una red local


about warpinator

En el siguiente artículo vamos a echar un vistazo a Warpinator. Se trata de una herramienta gratuita de código abierto para enviar y recibir archivos entre equipos que están en la misma red. Todo lo que necesitamos hacer es instalar Warpinator en los equipos, elegir un código de grupo y listo.

Esta herramienta hace ya un tiempo que se había anunciado y estaba disponible en Linux Mint. Ahora está disponible el código para generar el archivo .deb desde el repositorio. También podremos instalarlo como paquete Flatpak, lo cual significa que podemos usar la aplicación en cualquier distribución. Siempre y cuando tengamos habilitado el soporte de esta tecnología en nuestro equipo.

Si te encuentras ante la necesidad de compartir archivos en una misma red, cuando los clientes interesados están muy cerca, y aunque también podemos utilizar aplicaciones como Wormhole o Croc, esta aplicación es una muy buena opción a tener en cuenta también. Warpinator es una especie de AirDrop para dispositivos que usan sistemas operativos Gnu/Linux, permitiéndonos enviar archivos a los equipos que están conectados a la misma red Wi-Fi.

El programa cuenta con una interfaz de usuario simple, con un menú fácil de configurar y funciona sin la necesidad de ningún servidor o configuración especial. Warpinator es una aplicación oficial para compartir archivos desarrollada por Linux Mint.

Warpinator

Según indican sus creadores, Warpinator es una reimplementación de Giver. Esta es una herramienta similar que estaba disponible para Ubuntu y distribuciones compatibles. Al ser de código abierto, ha sido mejorada, renombrada e integrada en Linux Mint.

Su funcionamiento es tan simple como abrir la aplicación y elegir un nombre de la lista o buscarlo si la lista es muy extensa. Esto es una ventaja frente a otras soluciones que te obligan a indicar la IP del ordenador que recibirá los archivos, o a escribir comandos en la terminal.

Características generales de Warpinator

  • Se trata de un programa gratuito y de código abierto.
  • Lo podemos encontrar disponible en GNU/Linux.
  • Su interfaz de usuario es simple y fácil de utilizar.
  • El programa va a detectar de manera automática otros equipos que ejecutan Warpinator.
  • Nos va a permitir conectarnos a varios equipos.
  • Podremos seleccionar el puerto.
  • Podremos aceptar / rechazar la transferencias de archivos.
  • También tendremos opciones de configuración para código de grupo.

Instalar Warpinator en Ubuntu

Como decía líneas más arriba, al tratarse de un software Gnu/Linux, no es exclusivo de Linux Mint. Vamos a poder instalar Warpinator en cualquier distribución Gnu/Linux, en especial si se trata de Ubuntu y derivados.

Si eres usuario de Linux Mint 20, probablemente ya lo tengas disponible en tu equipo, creo que viene preinstalado. Si estás utilizando Ubuntu 20.04, puedes instalarlo siguiendo las instrucciones que aparecen en la página de GitHub del proyecto.

Para seguir estas instrucciones, debemos abrir una terminal (Ctrl+Alt+T) y comenzar instalando las dependencias necesarias:

instalar dependencias básicas de warpinator

sudo apt install python3-grpc-tools python3-grpcio

Una vez instaladas, ya podemos clonar el repositorio con el comando:

clonar repositorio

git clone https://github.com/linuxmint/warpinator.git

Continuamos entrando en la carpeta:

cd warpinator

Ahora verificaremos la rama apropiada con el comando:

git checkout 1.0.6

Lo siguiente que haremos será intentar construir el paquete .deb. Si esto falla, probablemente se deba a que faltan dependencias. Toma nota de estos paquetes y procede a su instalación utilizando apt install:

instalar dependencias faltantes

Una vez instaladas las dependencias, volveremos a ejecutar el comando «dpkg-buildpackage –no-sign«:

dpkg-buildpackage--no-sign

dpkg-buildpackage --no-sign

Si todo ha sido correcto, ya podemos proceder a instalar el paquete .deb que se ha creado en la carpeta home del usuario:

instalar mediante dpkg

cd ..    sudo dpkg -i *warp*.deb

Como se puede ver en la anterior captura de pantalla, si hay problemas con dependencias incumplidas podremos solucionarlos escribiendo:

instalar dependencias del paquete .deb

sudo apt install -f

Finalizada la instalación, si todo ha sido correcto, ya podemos buscar el lanzador del programa en nuestro equipo:

lanzador de warpinator

Desinstalar

Para eliminar el programa instalado como paquete .deb, en una terminal (Ctrl+Alt+T) no tendremos más que utilizar los comandos:

desinstalar warpinator con apt

sudo apt remove warpinator; sudo apt autoremove

Instalar como paquete flatpak

about warpinator flatpak

También podremos instalar este programa como paquete flatpak. Para ello solo habrá que seguir las instrucciones que se pueden consultar en la página de Flathub. No tendremos más que abrir una terminal (Ctrl+Alt+T) y ejecutar el comando:

instalar como flatpak

flatpak install flathub org.x.Warpinator

Finalizada la instalación podremos lanzar el programa utilizando este otro comando en la misma terminal:

flatpak run org.x.Warpinator

Desinstalar

Para eliminar este programa, si lo instalamos como paquete flatpak, en una terminal (Ctrl+Alt+T) necesitaremos ejecutar el comando:

desinstalae warpinator flatpak

flatpak uninstall flathub org.x.Warpinator

Una vez instalado Warpinator, el programa pondrá muy fácil el enviar y recibir archivos a gran velocidad en tu red LAN doméstica o profesional. Se puede obtener más información sobre las instalaciones posibles de este programa desde la página web del proyecto en GitHub.



Firefox 81 llega con soporte para controlas multimedia físicos




Firefox 81

Hoy, 22 de septiembre y cuatro semanas después del lanzamiento de la v80, Mozilla tenía planeado lanzar una nueva versión mayor de su navegador. Y ya está aquí: hace unos instantes ha hecho oficial el lanzamiento de Firefox 81, una entrega que también llega sin novedades realmente destacadas, pero con una que interesará a los que solemos reproducir contenido desde el navegador del zorro: la posibilidad de controlar la reproducción a través de las teclas multimedia físicas, o desde los controles de unos auriculares o un medio virtual.

Por todo lo demás, aunque no aparece en la nota de novedades, Firefox 81 activa la aceleración por hardware de VA-API/FFmpeg por defecto en sistemas que usan X11/X.Org en Linux. Esta era una novedad que se introdujo en la versión anterior, pero llegó desactivada; los usuarios interesados debíamos activarla desde la página de configuración about:config. A continuación tenéis el resto de novedades que han llegado junto a Firefox 81.

Novedades de Firefox 81

  • Ahora se puede pausar y reproducir audio o video en Firefox directamente desde el teclado o auriculares, lo que brinda un fácil acceso para controlar los medios cuando estamos en otra pestaña de Firefox, otro programa o incluso cuando el ordenador está bloqueado.
  • Además de los temas predeterminados, oscuros y claros, con esta versión, Firefox presenta el tema Alpenglow: una apariencia colorida para botones, menús y ventanas. Podemos actualizar los temas de Firefox en configuración o preferencias.
  •  
  • Para los usuarios de EE.UU. y Canadá, Firefox ahora puede guardar, administrar y completar automáticamente la información de la tarjeta de crédito, lo que hace que comprar en Firefox sea aún más conveniente. Para garantizar la experiencia más fluida, esto se implementará gradualmente para los usuarios.
  • Firefox es compatible con AcroForm, que pronto permitirá completar, imprimir y guardar formularios PDF compatibles y el visor de PDF también tiene un aspecto renovado.
  • Los usuarios en Austria, Bélgica y Suiza que usan la versión alemana de Firefox ahora verán las recomendaciones de Pocket en su nueva pestaña con algunas de las mejores historias en la web. Si no los ven, se puede activar los artículos de Pocket en su nueva pestaña siguiendo estos pasos. Además de la nueva pestaña de Firefox, Pocket también está disponible como una aplicación en iOS y Android.
  • Han corregido un error para los usuarios de paquetes de idiomas en los que el idioma predeterminado se restablecía al inglés después de las actualizaciones de Firefox.
  • Los controles de audio/video HTML5 nativos del navegador recibieron varias correcciones de accesibilidad importantes:
    • Los controles de audio/video permanecen accesibles para los lectores de pantalla incluso cuando están temporalmente ocultos visualmente.
    • El audio/video transcurrido y el tiempo total ahora son accesibles para lectores de pantalla donde antes no estaban.
    • Varios controles sin etiquetar ahora están etiquetados, lo que los hace identificables para los lectores de pantalla.
    • Los lectores de pantalla ya no informan intrusivamente sobre el progreso a menos que el usuario lo solicite.
  • Pronto encontraremos Picture-in-Picture más fácilmente en todos los videos que vea con nueva iconografía. Esto es algo que personalmente no he podido identificar ni en la versión Beta ni en la Nightly.
  • La barra de herramientas de marcadores ahora se revela automáticamente una vez que los marcadores se importan a Firefox, lo que facilita la búsqueda de sus sitios web más importantes.
  • Han ampliado los tipos de archivos admitidos (.xml, .svg y .webp) para que los archivos que haya descargado se puedan abrir directamente en Firefox. Esto se suma a otro soporte, como el del PDF de la versión anterior.

Firefox 81 ya está disponible para su descarga desde su página web oficial, a la que podemos acceder desde este enlace. Los usuarios de Windows y macOS podrán descargar un instalador autoactualizable, mientras que los usuarios de Linux descargaremos unos binarios que también se actualizarán automáticamente desde el navegador. En cuanto a los que usamos la versión que nos ofrece nuestra distribución Linux, Firefox 81 aparecerá como actualización en las próximas horas.




La motivación, factor clave en los resultados


Libre de virus. www.avg.com