Month: agosto 2018

https://perishablepress.com/wordpress-blank-target-vulnerability/ For those who haven’t yet noticed, WordPress now adds rel=”noopener” attributes for any external links added via the link Quicktag in the Visual/RTE. So if you enable the option, “Open link in a new tab”, WordPress automatically will add the rel noopener attribute to the link. This is to protect against CORS and other […] More info: https://perishablepress.com/wordpress-blank-target-vulnerability/

https://perishablepress.com/blocking-reallylongrequest-bandit/ While browsing server logs, I kept seeing these super long request URIs that begin with “YesThisIsAReallyLongRequest…” and then the request string just keeps going for like 1 kilobyte worth of characters. Not just a few times, but many. In other words, somebody is going around and repeatedly hitting servers with gigantic-size requests. Probably to […] More info: https://perishablepress.com/blocking-reallylongrequest-bandit/

More info: https://wpvulndb.com/vulnerabilities/9110

https://pagely.com/blog/wordpress-security-action-plan/There’s no nice way to put this, so I’m just going to come out and say it: WordPress websites are prime targets for hackers. It’s not that WordPress itself is […] More info: https://pagely.com/blog/wordpress-security-action-plan/

More info: http://www.oracle.com/technetwork/security-advisory/alert-cve-2018-3110-5032149.html

Obtaining uptime information from TCP timestamps. Security Advisory. Security Advisory Description. Note: Versions that ... More info: https://support.f5.com/csp/article/K8072

https://wpvulndb.com/vulnerabilities/9110 More info: https://wpvulndb.com/vulnerabilities/9110

• El Boletín Oficial del Estado (BOE) ha publicado la Orden PCI/870/2018, de 3 de agosto, que recoge el Acuerdo del Consejo de Seguridad Nacional, por el que se aprueba el procedimiento para la elaboración de una nueva Estrategia de Ciberseguridad Nacional.

El Consejo de Seguridad Nacional, en su reunión del día 16 de julio de 2018, ha adoptado un acuerdo por el que se aprueba el procedimiento para la elaboración de una nueva Estrategia de Ciberseguridad Nacional.

Para general conocimiento, se dispone su publicación en el «Boletín Oficial del Estado» como anejo a la presente Orden.

Más información

BOE (10/08/2018)

Según un nuevo informe, tres empresas de procesamiento de pagos de los Estados Unidos fueron blanco de los ataques de secuestro de BGP en sus servidores DNS. Estos ataques de enrutamiento de Internet se diseñaron para redirigir el tráfico dirigido a los procesadores de pagos hacia servidores controlados por actores maliciosos que intentarían robar los datos.

En tres fechas diferentes en julio, Oracle ha declarado que vieron lo que parecían ser secuestros de BGP dirigidos a los servidores DNS para los procesadores de pago de EE. UU. Datawire, Vantiv o Mercury Payment Systems.

Según Oracle, el primer ataque comenzó el 6 de julio de 2018 con un ataque de corta duración que intentó redirigir los siguientes prefijos de red, o bloques de direcciones IP. Estos ataques se dirigieron a las empresas de procesamiento de pagos Vantiv y Datawire.

El 10 de julio se llevó a cabo otro ataque que intentó redirigir los mismos prefijos, pero de acuerdo con Oracle, esta vez duró 30 minutos. Los atacantes llevaron a cabo más secuestros durante todo julio, incluido un ataque contra Mercury Payment Systems y otro ataque contra Vantiv y Datawire que duró hasta 3 horas.

Bleeping Computer (10/08/2018)

 

More info: https://wpvulndb.com/vulnerabilities/9107