Los servidores web con sistema Apache adolecen de una vulnerabilidad que al ser explotada deja los servidores web sin memoria libre, provocando una denegación de servicio. Se ha publicado un script que permite realizar el ataque desde un simple PC. En este momento no existe una actualización para la vulnerabilidad pero se puede utilizar alguna salvaguarda mediante mod_rewrite que solo permita una petición de rango en las cabeceras GET y HEAD. Otra posible solución sería utilizar  el módulo mod_header con el parámetro 'RequestHeader unset Range' para borrar cualquier petición de rango que venga en las cabeceras (aunque esto puede provocar más problemas que restringir el número de rangos). 

Ya publicamos a principios de este mes una noticia sobre los portales de comercio electrónico basados en la platafora libre osCommerce debido a la gran cantidad de ataques que se estaban detectando por una vulnerabilidad del producto. 
Para evitar este tipo de ataque se ha actualizado la versión de osCommerce y se debe aplicar cuanto antes. Mientras tanto, se pueden tomar las medidas preventivas que detallamos en este artículo de los foros CSIRT-cv. Recomendamos encarecidamente su revisión para los administradores de este tipo de portal. 

Se han publicado en el BOE las normas técnicas de interoperabilidad que se referenciaban en el Real Decreto 4/2010 del Esquema Nacional de Interoperabilidad, de obligado cumplimiento para las Administraciones Públicas en el ámbito de la administración electrónica. 

Una de las tendencias que se están cumpliendo este año es el desarrollo de malware específico para smartphones. Tal como se puede ver en este informe, la tendencia de uso de estos dispositivos va en aumento con lo que los ciberdelincuentes quieren aprovecharse de este nuevo contexto. De hecho ya se ha detectado un troyano que es capaz de responder las llamadas sin conocimiento del usuario y enviar información sobre los registros, localización o mensajes SMS. De todas formas, según Symantec, la principal amenaza de los smartphones son sus usuarios.   

Facebook ha publicado su Guía Oficial de Seguridad que se puede acceder desde el portal del Departamento de Seguridad de Facebook e incluye consejos para padres, adolescentes, profesores, fuerzas de la ley y una sección de herramientas y recursos. También Twitter mejora su seguridad puesto que va a empezar a ofrecer HTTPS por defecto para todas las comunicaciones, y no solo para el proceso de inicio de sesión, como hacía hasta ahora.

Actualizaciones de programas:

Se actualizan los principales navegadores web: Google Chrome, Internet Explorer y Mozilla Firefox.

La fundación Mozilla también ha actualizado su cliente de correo Thunderbird.

El popular cliente de mensajería Pidgin también ha recibido una actualización debido a problemas de seguridad.

Por último, BlackBerry Enterprise Server (BES) también ha sido actualizado por problemas en el tratamiento de imágenes.