O EV NU Boletín de Seguridad Edición N°2 - Febrero 2013 Doce boletines de seguridad Actualización para cURL para el mes de febrero Se dio a conocer un boletín de seguridad alertando sobre una compleja vulnerabilidad en la librería libcurl, la cual una vez accionada podría conducir a delicadas ejecuciones de código. De acuerdo a su política de comunicaciones, la compañía norteamericana de software, publicó doce robustos boletines de seguridad, destinados a corregir un total de 57 vulnerabilidades que afectarían a sus productos. En esta oportunidad, cinco parches fueron clasificados como “críticos”, ya que según se reportó, permitirían la ejecución de código arbitrario en las máquinas. Ante esta situación se editaron correcciones destinadas a terminar con fallos que involucrarían a casi todas las versiones del popular navegador. Mientras que las siete actualizaciones restantes, solo denominadas como “importantes”, apuntaron a concluir con diversos errores en el propio sistema operativo de Windows y otros elementos de seguridad de Office. El fallo CVE-2013-0249, dice relación con un desbordamiento de memoria basado en pila provocado por la función SASL que procesa deficientemente las comprobaciones de longitud. Se indica que esta incidencia afectaría desde la versión 7.26 hasta la 7.28.1, inclusive. Recordemos que libcurl es una librería de funciones usada para conectar con servidores y soporta los protocolos más comunes: HTTP, HTTPS, FTP, etc. Alerta para SAP Netweaver Más Información: http://technet.microsoft.com/es-es/security/bulletin/ms13-009 Se publicaron dos peligrosas vulnerabilidades en SAP NetWeaver 7 que podrían permitir la ejecución de código arbitrario. Los fallos residen en la función “Message Server”, siendo ésta altamente sensible a una corrupción de memoria que involucraría a los sistemas. Por ello, SAP fue al rescate de su plataforma empresarial, y publicó la nota de seguridad 1800603 la que contiene parches para solventar los problemas Más Información: http://www.coresecurity.com/content/SAP-netweaver-msgsrv-multiple-vulnerabilities Pruebas de cargas en cencosud A raíz de un importante cambio de versión, Cencosud efectuó un nuevo Release para todos los POS o Puntos de Ventas de la conocida empresa, donde el principal problema a enfrentar sería probar cual iba ha ser la capacidad real de la plataforma a la hora de una sobre carga en horario peak. Luego de analizar varias alternativas de realización de pruebas, herramientas y proveedores, Cencosud seleccionó a Netprovider para éstas. Netprovider realizó las nombradas pruebas de cargas o test de rendimiento a la plataforma que sustenta los ya mencionados puntos de ventas, donde se emuló un POS de forma virtual con el fin de generar múltiples cargas y así comprobar la sustentabilidad :: Chile :: Colombia :: Perú :: USA y condiciones de borde de todo el sistema de pago que se encuentra detrás de cada caja. Netprovider logró ser un gran aporte y aliado tecnológico a la hora de ejecutar el proyecto de forma exitosa para Cencosud, y lograr cumplir cabalmente con las expectativas proyectadas. “Explotamos una funcionalidad que tiene nuestra herramienta para realizar las pruebas de carga, donde aprovechamos la capacidad de nuestros ingenieros para desarrollar un sistema Ad hoc para este proyecto, inyectando carga sobre protocolos y plataformas cerradas. La verdad, fue un desafío de ingeniería interesante, que no es la Roger de Flor 2871 Of. 403, Las Condes CII.93bis Nº 19-40 Of. 306, Bogotá Alfredo Benavides 245 Of. 903, Miraflores, Lima 7790SW 53rd Avenue, Miami Fl. 33156 Teléfono (56-) 28569400 Teléfono (57-1) 5300082 Teléfono (51-1) 7185116 Phone (1-786) 6234509 habitual prueba de carga que realizamos, ya que normalmente se hacen de forma externa desde varios ISPs, o con una prueba de carga interna que suele complementarla; lo que nos permite detectar los puntos de inflexión en las curvas de rendimiento, fue algo nuevo y el objetivo se cumplió”. Pablo Contreras Gerente de Operación Netprovider