Vulnerabilidad detectada en Asterisk – (DoS)

Desde el blog de hispasec me encuentro con un documento tecnico que describe una vulnerabilidad detectada en la plataforma de telefonia IP por excelencia Asterisk.

En el documento explica de una manera bastante interesante y principalmente con una prueba de concepto la vulnerabilidad.

Aqui os dejo un enlace a la pagina de hispasec, donde se puede ver en «Noticias Corporativas» el documento tecnico y aqui os dejo un enlace al documento tecnico.

Por si alguien lo quiere en English, aqui dejo el enlace

¿Solucion para la vulnerabilida? como siempre la actualización es tu mejor opción….

Un saludo a tod@s y gracias por leer mi blog.

Problemas de seguridad en certificados SSL

Buenos días,

Hace ya algun tiempo sigo los pasos de gente como securitybydefault, s21sec labs, el laboratorio de hispasec, Sergio Hernando además del INTECO-CERT, todos con tematica en Seguridad de información, Auditoria de sistemas y Alertas tempranos.
Me encuentro con una noticia bastante «inquietante», un grupo de investigadores formado por:

Ha conseguido explotar una vulnerabilidad en los certificados SSL y crear certificadox X.509 falsos utilizando el poder de proceso de 200 PS3, lo que es equivalente a: 8.000 ordenadores personales y 20.000 US$ en tiempo de procesamiento.
¿Como?
A grandes rasgos ha conseguido manipular un certificado SSL normal y corriente con algoritmo md5 (destinado para un servidor web por eje.) y convertirlo en un certificado CA para la emisión de otros certificados ssl.
No quiero extenderme demasiado en el tema, pero aqui os dejo la información en español y aqui el documento original con todas las referencias del procedimiento.
Aqui dejo el enlace para las diapositivas:
http://www.phreedom.org/research/rogue-ca/md5-collisions-1.0.ppt

Microsiervos tambien hace echo de la noticia (by Alvy)

Esperaremos actualización de la información y posiblemente revocaciones de certificados Root en los navegadores…

Muchas gracias por leerme y un saludo