wenas.
Hoy me ha llegado un email de la lista oxigen3 de panda
donde alertan de nuevos bugs
en 3Com OfficeConnect ADSL Wireless
Os copi-pasteo el mail:
Madrid, 19 de octubre de 2004 - Según ha informado SecurityTracker, se han
detectado múltiples vulnerabilidades en 3Com OfficeConnect ADSL Wireless 11g
Firewall, que han sido corregidas en una reciente actualización
proporcionada por 3Com(*).
Los mencionados problemas de seguridad, que posibilitan la realización de
ataques, son:
- El dispositivo no filtra el código HTML de las peticiones DHCP, antes de
mostrar la información en el interfaz de administración. Debido a ello, un
atacante podrá enviar una petición especialmente construida para que se
ejecuten scripts arbitrarios con los permisos del administrador, cuando éste
visualice los logs.
- Vulnerabilidad que permite conectar con el interfaz de administración para
determinar la dirección IP de cualquier administrador, que tenga una sesión
activa en ese momento. Tras ello, un agresor podrá falsificar la dirección
IP y la conexión.
- Problema de seguridad por el que cualquier usuario remoto autenticado
-independientemente de su nivel de acceso-, o un atacante que falsifique la
sesión administrativa (como se ha descrito anteriormente) puede acceder al
archivo binario que almacena la configuración, y obtener la contraseña de
administración y la clave WEP.
(*) La actualización publicada por 3com se encuentra disponible en:
3com.com/products/en_US/result.jsp?selec…fdt&sku=3CRW
E754G72-A&order=desc
---- FIN DE MAIL ----
¿que hacemos?
¿Actualizamos el firmaware? ¿nos esperamos a que los jodidos de YA.COM avisen? (no lo haran)
Ya se que muchos de vosotros le habeis metido el firmware de SMC, pero .... en fin.
Algun "guru" ke acalere el tema... "plis".