Esta semana hablaremos de una vulnerabilidad crítica en los Servicios de Seguridad de Red de Mozilla, del último aviso de seguridad de Netgear, de una vulnerabilidad en el editor de texto Vim y de una herramienta bastante nueva que puede utilizar para auditar sus paquetes de Python .
Mozilla NSS RCE (CVE-2021-43527)
El sitio web de Mozilla NSS (Network Security Services) es un conjunto de bibliotecas diseñadas para apoyar el desarrollo multiplataforma de aplicaciones cliente y servidor con seguridad. Ofrece una completa implementación de código abierto de muchos estándares de seguridad de Internet y se utiliza en varios productos de Mozilla.
El 1 de diciembre, RedHat publicó un comunicado advirtiendo a los usuarios de este paquete que era vulnerable a una vulnerabilidad de ejecución remota de código. Según el comunicado, tiene un impacto crítico (CVSS: 8.8) en los sistemas afectados, y actualmente no hay métodos prácticos de mitigación para esta vulnerabilidad. RedHat recomienda actualizar los paquetes afectados lo antes posible.
La superficie de la amenaza que se extiende de la casa a la oficina
Netgear ha publicado recientemente un aviso de seguridad en el que afirma ser consciente de dos vulnerabilidades de seguridad que afectan a varios de sus productos, incluyendo routers, módems, sistemas de malla WiFi y extensores WiFi. Una de las vulnerabilidades permite la inyección de comandos después de la autenticación, lo que resulta en la divulgación de información sensible. Netgear recomienda encarecidamente a sus clientes que actualicen el firmware de los dispositivos afectados lo antes posible.
Dado que muchos empleados trabajan a distancia y se conectan a la infraestructura de su empresa, es fundamental garantizar que los componentes que facilitan la comunicación entre los dispositivos de los empleados y las redes de las empresas sean fiables y seguros. Comprometer un eslabón débil de esta cadena puede permitir a los atacantes anular los esfuerzos de las empresas por asegurar sus sistemas. Los atacantes podrían aprovechar las vulnerabilidades de los equipos de red propiedad de los empleados y, en última instancia, causar interrupciones del servicio, pérdida de datos e incluso violaciones de la seguridad.
Desbordamiento del búfer del editor Vim (CVE-2021-4019)
Tal y como describe la actualización de Fedora, Vim (VIsual editor iMproved) es una versión actualizada y mejorada del editor Vi. Vim es una herramienta de uso frecuente, y se incluye en la mayoría de las distribuciones de Linux. Recientemente se ha descubierto que las versiones de Vim anteriores a la 8.2.3669 son susceptibles de sufrir un desbordamiento de búfer. Cuando se explota, esta vulnerabilidad podría causar la caída del software, la modificación de la memoria o la ejecución de código arbitrario.
Auditoría de tuberías
Pip(pip instala paquetes) es el instalador de paquetes para el lenguaje de programación Python . Puedes usar pip para instalar paquetes desde el índice de paquetes Python (PyPI) y otros índices. Por otro lado, Pip-audit es una herramienta recientemente desarrollada para escanear los entornos de Python en busca de paquetes con vulnerabilidades conocidas. Creemos que pip-audit es una gran herramienta que nuestros clientes pueden utilizar para mantener un registro de los paquetes utilizados en sus entornos de desarrollo y auditar continuamente las vulnerabilidades en estos paquetes a medida que se descubren.
Siempre esperamos compartir nuestros conocimientos con nuestros clientes y amantes de Linux. No dudes en dejar un comentario más abajo si tienes alguna sugerencia, opinión o conocimiento que quieras compartir con la comunidad.
Comentarios