Alexander Gavrun ha publicado en su blog personal un fallo de seguridad que ha descubierto en la función 'phar_parse_tarfile' de PHP 5.

'phar' es una extensión de PHP concebida para empaquetar aplicaciones PHP y facilitar así su distribución e instalación en otros sistemas. Proporciona además una abstracción para manipular ficheros ZIP y TAR.

El fallo se encuentra en el fichero 'ext\phar\tar.c'. Existe un error de programación que introduce un desbordamiento de enteros durante el manejo de las cabeceras de los ficheros TAR. Un atacante puede manipular el valor 'entry.filename_len' al haber sido asignado después de operar con el resultado de la función 'phar_tar_number' que utiliza como argumento el 'header->size'.

Al llamar a la función 'php_stream_read' se intentaría copiar datos a un buffer que no ha sido previamente reservado, lo que provocaría una denegación de servicio y potencialmente permitiría ejecutar código arbitrario.

Alexander Gavrun ha publicado una prueba de concepto en su blog, codificada en Base64. Hasta el momento php.net no ha publicado ninguna solución oficial.

Se recomienda no procesar con esta función archivos TAR en los que no se confíe.

Alejandro J. Gómez López
 agomez@hispasec.com

FUENTE :http://www.hispasec.com/unaaldia/4569

Los principales operadores de Europa vuelven a la carga en su reclamo de la conocida como tasa Google. Su intención es que el tráfico que genere el buscador Google -y otros servicios en Internet como YouTube- en sus redes sea gravado con una tasa que ayude a financiar las infraestructuras de estas compañías.

Cinco Días recoge la información publicada por Financial Times, que se hace eco de las reivindicaciones de Telefónica, Vodafone y France Telecom (Orange) para que se desarrolle la tasa Google. Recordemos que hace ya más de un año fue el presidente de la compañía española, César Alierta, el primero en pedir que se aplicase este impuesto al mayor buscador de la Red. Su discurso vuelve a cobrar actualidad.

Los operadores aseguran que el tráfico generado por estas webs y servicios como el streaming de vídeo de YouTube están suponiendo una "explosión" de datos en sus redes difícil de soportar con las actuales infraestructuras. Por ello, estos proveedores de contenido online deberían hacer frente a pagos "sustanciales" en función del volumen de tráfico de datos que generen. Para esto se ha propuesto un cambio en el sistema de interconexión por capacidad que se aplica a las actividades mayoristas entre operadores.

Desde la Comisión Europea ya se advirtió a los operadores que no están invirtiendo lo suficiente en redes para cumplir con los objetivos de Europa en la mejora de infraestructuras de acceso a Internet, pero éstos aseguran que no pueden hacerlo sin buscar "nuevas fuentes de ingresos".

Por otro lado, la postura de los proveedores de contenidos ha variado con el paso de los últimos meses. Google se opuso en un primer momento a tener que pagar por este motivo a los operadores, mientras que hace sólo dos meses, el propio César Alierta señaló que la compañía estadounidense había aceptado hacerlo. El buscador no tardó en desmentir esta información.

En nuestro país, el Gobierno se posicionó al principio del lado de los operadores pero posteriormente rectificó y se desconoce su actual postura. Microsoft hizo el camino inverso y ha sido de las pocas compañías que se han mostrado a favor de esta colaboración con los operadores. No obstante, entre las empresas más críticas con la posibilidad se haya Skype, que defiende que sin los contenidos generados por estas compañías las redes de los operadores serían prácticamente inútiles y no tendrían demanda alguna. ¿Servirá de algo la insistencia por parte de los operadores europeos?

FUENTE :http://www.adslzone.net/article5927-los-operadores-quieren-imponer-un-canon-a-google-en-funcion-del-trafico-generado.html

El soldado Bradley Manning, acusado de robar cientos de miles de documentos de las redes secretas del Pentágono para filtrárselos a Wikileaks, ha sido trasladado a una prisión del Ejército en medio de las planicies de Kansas, una zona de temperaturas extremas y máxima seguridad. Aquí se haya ya en unas condiciones radicalmente distintas a las que se le aplicaron al ser detenido el año pasado en Irak y ser trasladado a una base de los marines en Quantico (Virginia), donde se le puso brevemente en régimen de prevención de suicidio. Su trato provocó protestas de organizaciones humanitarias e incluso una dimisión en el Departamento de Estado. Ahora, el Pentágono ha decidido trasladarle a un nuevo centro de prisión preventiva donde, dice, se le tratará como a un inocente hasta que se demuestre que es culpable. El Pentágono abrió ayer las puertas de este presidio a unos pocos medios de comunicación, entre ellos EL PAÍS.

Manning llegó aquí, desde la cárcel de Quantico, situada cerca de Washington, el miércoles 20 de abril. "Entonces culminó el proceso de evaluación mental del soldado, lo que nos permite trasladarle a una cárcel más adecuada para su situación", explicó el coronel Thomas Collins, portavoz del Ejército. "Ahora estamos a la espera de una investigación según el artículo 32, que es el equivalente militar a una investigación con un gran jurado". Tras ello, tendrá lugar el consejo de guerra, para el que aún hay fecha prevista. Desde su llegada a esta cárcel, en Fort Leavenworth, se ha sometido a Manning a un pormenorizado análisis físico y mental. La dirección del presidio decidió ayer colocarlo en situación de custodia de nivel medio.

El aislamiento total de soldado Manning ha tocado por lo tanto a su fin. Compartirá a partir de hoy módulo de vivienda con otros tres presos, comerá con el resto de los 150 reos de la cárcel y podrá pasar una hora de recreo al aire libre y otras dos en los pabellones internos o en la biblioteca. Podrá tener consigo 10 libros y 20 cartas y periódicos. De una celda vacía de seis metros cuadrados, pasa a otra de 7,9 metros cuadrados, con luz natural. No se le quitará la ropa para dormir. Se le permitirá además tener visitas diarias de amigos o familiares. También se le consentirá hablar con ellos por teléfono. El preso debe confeccionar una lista de contactos que tendrá que ser aprobada por la dirección de la cárcel previamente.

Fort Leavenworth, construido en octubre, es un recinto todavía tan intacto como aparentemente vacío. Es un lavado de cara después de los nueve meses de aislamiento y miserias del soldado. Aquí, por haber, hay hasta una barbería, un dentista y una sala de fisioterapia.

"Para lo único para lo que debería salir un preso de aquí es para ser sometido a cirugía", explicó un oficial de la prisión. En el caso de Manning, para eso y para asistir a las investigaciones previas a su juicio militar, sobre las que sigue teniendo jurisdicción el Pentágono, en Virginia.

En esta cárcel se mantiene a presos que estén a la espera de juicio y a reos que hayan sido condenados a penas de menos de cinco años de prisión. A escasos metros de aquí se haya otro presidio, el único de máxima seguridad del Pentágono, que alberga a 450 presos, todos condenados a más de cinco años de cárcel y seis de ellos a la espera de que se les ejecute. Si Manning es declarado culpable, y se le condena a más de cinco años (los fiscales de Defensa pedirán la perpetua), acabará seguramente en ese otro presidio cercano. Allí compartiría prisión con soldados como Charles Graner, condenado por malos tratos a detenidos en la prisión de Abu Ghraib, cerca de Bagdad .

Manning fue detenido en Irak el 26 de mayo del año pasado, después de que el pirata informático norteamericano Adrian Lamo le delatara. El soldado había mantenido con este último una serie de conversaciones a través de Internet en las que le había confesado que había sustraído documentos clasificados para entregárselos a Wikileaks. En conversaciones con EL PAÍS, Lamo dijo que lo hizo para evitar "una crisis en la seguridad nacional". El soldado fue trasladado el 29 de julio a la base militar de Quantico. En enero se le aisló durante 23 horas al día y se le desnudó para dormir.

Manning se quejó mediante una carta al coronel Daniel J. Choike, jefe de la base de Quantico, de la cual EL PAÍS obtuvo una copia. Su régimen de detención provocó protestas por parte de grupos de ciudadanos y de organizaciones como Amnistía Internacional. El soldado es de madre británica y pasó parte de su infancia en Gales, lo que originó que Londres preguntara sobre su estado a Washington.

Tal fue la presión sobre la diplomacia que el 10 de marzo el portavoz de Hillary Clinton, P. J. Crowley, criticó públicamente al Pentágono en una conferencia ante estudiantes en Massachusetts, diciendo que el trato a Manning era "ridículo, contraproducente y estúpido". Dimitió tres días después.

FUENTE :http://www.elpais.com/articulo/internacional/sospechoso/filtrar/cables/Wikileaks/sale/aislamiento/total/elpepiint/20110429elpepiint_7/Tes

El régimen de Muamar Gadafidi distribuye viagra entre sus soldados para fomentar las violaciones a mujeres libias, según ha denunciado Estados Unidos a través de su embajadora Susan Rice en una sesión del Consejo de Seguridad de la ONU.

Rice no ha desvelado las fuentes de las que procede dicha afirmación, aunque otro diplomático presente en la reunión ha explicado que la representante estadounidense pretendía ilustrar el hecho de que la coalición internacional "se enfrenta a un adversario atípico que comete actos reprensibles".

Esta ha sido la respuesta del país norteamericano ante las afirmaciones de Rusia y de otros miembros del Consejo, que consideran que Francia, Reino Unido, Estados Unidos y el resto de aliados presentes en la ofensiva aérea libia están excediendo la resolución dictada por la ONU, que establecía una zona de exclusión aérea en el país y "todas las medidas necesarias para proteger a los civiles".

"Estamos inquietos por la escalada de violencia en el conflicto militar libio que provoca cada vez más víctimas civiles", ha señalado el embajador ruso en la ONU, Vitali Tchourkine.

Este jueves se registró el último ataque de la OTAN sobre Trípoli. De acuerdo con la versión de la agencia France Presse, varias explosiones sacudieron la capital del país desde el amanecer y hasta primera hora de la tarde.

Aunque hasta el momento no se tiene un balance oficial de víctimas, Estados Unidos señaló el jueves que los civiles muertos podrían ascender a 30.000, si bien advirtió de que la cifra exacta no se conocerá hasta que el enfrentamiento entre opositores y leales al régimen de Gadafi llegue a su fin.

FUENTE :http://www.elmundo.es/elmundo/2011/04/29/internacional/1304035873.html

Fnac busca un español 'friki' para convivir 10 días rodeado de libros, música, tecnología y amigos en su centro de Callao en Madrid. Fnac tiene claro que el perfil de su cliente está cerca de un auténtico consumista de cultura y tecnología y que ellos mismos pueden ser unos grandes prescriptores para su marca y sus produtos.

Tal vez por eso sus responsables de marketing se hayan decantado por poner en marcha un casting para buscar 'frikis' o apasionados de los libros, la música, el cine, la fotografía, losvideojuegos y las consolas entre lso españoles que quieran vivir 10 días en el centro Fnac de Callao (Madrid). Durante ese tiempo el elegido podrá disfrutar de todas sus propuestas y compartir su experiencia a través de las redes sociales e internet.

Este proyecto (que tiene detrás a la agencia Quantum, del Grupo Havas) tiene como objetivo mostrar las experiencias culturales que, día a día, ofrece la Fnac: desde un concierto de un grupo de rock alternativo, a la firma de los autores más vendidos del momento, pasando por una competición de videojuegos con los mejores jugones de España o por un taller tecnológico en el que probar y conocer los detalles del producto más innovador….o convertirse en el Blogger de referencia.

Durante los 10 días el elegido o la elegida dispondrá de 5.000 euros para realizar y adquirir sus productos preferidos que podrá testar y consultar con el exterior a través de Facebook y Twitter, con el fin último de realizar la mejor compra posible. De esta manera y a través de esta experiencia, "el friki" FNAC podrá probar un catálogo ilimitado de productos para elegir in situ, sus artículos imprescindibles.

Bajo el título "Se busca Friki de FNAC", los candidatos podrán inscribirse en la página yovivoenfnac.es donde deberán explicar su interés por la música, el cine, los videojuegos o la informática y su conocimiento de redes sociales. La fecha límite para participar en el casting es el próximo 2 de mayo, cuando se dará a conocer el nombre del elegido que, del 12 al 21 de mayo vivirá y dormirá en Fnac Callao.

FUENTE :http://www.laflecha.net/canales/comunicacion/noticias/fnac-busca-friki-para-convivir-10-dias-rodeado-de-libros-musica-tecnologia-y-amigos

El caso PlayStation Network sigue dando que hablar y a buen seguro la que conocemos hoy no es la última noticia al respecto. En esta ocasión surgen informaciones sobre los presuntos atacantes y cómo éstos estarían intentando vender a Sony u otros interesados los datos de los usuarios por una elevada suma económica.

Según publica Gamerzona.com, Sony estaría siendo extorsionada por los posibles atacantes de su servicio online para PS3, PlayStation Network. Aunque no se ha confirmado la identidad de forma oficial de estos sospechosos sí ha surgido en la Red que estarían intentando vender la base de datos de más de 2,2 millones de usuarios de la PSN a Sony por una suma cercana a los 100.000 dólares (más de 67.000 euros).

La compañía no habría respondido al chantaje de estos individuos, que se habrían puesto en contacto con Sony a través de foro, según la empresa de seguridad Trend Micro. Precisamente a través de foros se han comenzado a reportar noticias sobre usos fraudulentos de tarjetas de crédito de los usuarios que habrían pagado algún servicio en la PlayStation Network. Uno de estos mensajes asegura que han sido sustraídos 1.500 dólares (algo más de 1.000 euros) en compras desde una tienda alemana mientras que abundan otros ejemplos como el de un usuario que habría visto esfumarse casi 5.500 euros de su cuenta en una tienda japonesa.

Sony ha admitido el robo de datos personales y ha afirmado que la información bancaria de sus usuarios se encontraba cifrada. Sin embargo, no ha desmentido que esta última también haya sido robada, por lo que una desencriptación de la misma sería cuestión de tiempo. Por ello se ha llegado a recomendar que se anulen las tarjetas de crédito o débito que hubiesen sido utilizadas en la PSN.

En nuestro país, cerca de 330.000 usuarios de los 3 millones que utilizan el servicio son potenciales víctimas del robo de datos bancarios. Por este motivo, la Agencia Nacional de Protección de Datos (ANPD) ya ha iniciado una investigación que podría acabar en una sanción contra Sony. Asimismo, en Estados Unidos los afectados han comenzado a presentar demandas contra Sony por la falta de seguridad en su plataforma.

FUENTE :http://www.adslzone.net/article5929-playstation-network--los-atacantes-chantajean-a-sony-con-los-datos-robados-de-la-psn.html

Relacionado : https://foro.elhacker.net/noticias/playstation_network_mas_de_300000_espanoles_afectados_por_el_robo_de_datos-t325974.0.html

EFF lanza una campaña para que los usuarios utilicen conexiones seguras para navegar por internet

Lo usan tiendas y bancos. Sitios que permiten realizar transacciones a través de la red. Lo utiliza Gmail. Desde enero, Facebook incluye una opción en la configuración de la cuenta que ofrece la posibilidad de navegar mediante una conexión segura. Es decir con HTTPS o 'Protocolo seguro de transferencia de hipertexto'. Twitter se apuntó al carro en marzo.

Es como ponerle sobre a la postal de datos que transmitimos diariamente a través de la red. Se muestra en forma de candado en la barra de direcciones del navegador, o en las versiones más recientes, con un cambio de color del fondo de una parte de esa misma barra. Evita que funcionen complementos como 'Firesheep network sniffing tool' para robar contraseñas y suplantar identidades en redes sociales. Parece pues mejor opción que el desnudo HTTP. Y, sin embargo, todavía son pocos los sitios que lo tienen implementado. Porque implica más costes, dicen algunos. Porque ralentizaría de forma considerable la Web tal como está pensada hoy, argumentan otros.

Aún así, Electronic Frontier Foundation (EFF) y Access han lanzado una campaña internacional para concienciar a los usuarios de la necesidad de adoptar el HTTPS para navegar por internet. Para ello, las organizaciones de defensa de los ciberderechos han puesto en marcha la página HTTPS Now, en la que explican el funcionamiento del protocolo seguro e indican qué uso hacen de él los sitios más conocidos. Así, subrayan, por ejemplo, que los medios de comunicación no lo usan, que Amazon sólo lo utiliza de forma parcial o que Foursquare -red social basada en la geolocalización-, lo ha implementado en todo el sitio, con una clave de cifrado más potente que la que usa Gmail.

La campaña apunta tanto a usuarios domésticos como a creadores de páginas web. Para los primeros, EFF ha desarrollado HTTPS Everywhere, un complemento gratuito para Firefox que cifra automáticamente la navegación, siempre que sea posible. Y, dicho sea de paso, cierra puertas a, por ejemplo, los juegos de Facebook.

A los segundos, les ofrece documentación detallada sobre cómo implementar HTTPS. "Trabajando juntos, podemos protegernos mejor de los robos de identidad, las amenazas de seguridad, los virus y otros peligros que entraña una internet insegura”, insiste la organización. Falta saber qué es más importante para los usuarios, la seguridad de los datos o plantar árboles en Farmville y jugar al Tetris.


FUENTE :http://www.lavanguardia.com/internet/20110428/54147245351/https.html

Mozilla además de actualizar su navegador a Firefox 4.0.1 ha actualizado también su cliente de correo gratuito y ya está disponible para descargar ThunderBird 3.1.10 en español. En esta nueva versión se producen varias mejoras para mejorar el rendimiento, la seguridad y la estabilidad del programa.

Se puede descargar ThunderBird 3.1.10 tanto para windows, linux y Mac OS X desde el siguiente enlace de la página oficial:

Descarga ThunderBird

FUENTE :http://www.softzone.es/2011/04/28/thunderbird-3-1-10-en-espanol-listo-para-descargar/

"Los líderes, como son los entrenadores, deberían hablar solo de fútbol y no de cuestiones que incitan a la violencia", ha afirmado el portavoz del club, Toni Freixa

El clásico europeo del Bernabéu trae cola. La directiva del Barcelona ha decidido tomar cartas en el asunto y ha denunciado a José Mourinho ante la Comisión de Disciplina y Control de la UEFA. Lo ha explicado Toni Freixa, portavoz de la directiva barcelonista. "Hay determinadas situaciones que no podemos dejar pasar. El señor Mourinho ha ensuciado nuestro prestigio, nuestra honorabilidad, nuestra historia, la de nuestros aficionados y la de los directivos que estuvieron en la consecución de la Champions en 2009". El directivo del Barcelona ha hecho referencia a las declaraciones en las que el entrenador del Real Madrid, entre otras cosas, afirmó: "Guardiola es un entrenador fantástico pero ha ganado una Champions que a mí me daría vergüenza ganar. Porque ganó con el escándalo de Stamford Bridge. Y si este año gana la segunda ganaría con el escándalo del Bernabéu".

Freixa ha informado del acuerdo puntual adoptado por el club. "El presidente (Sandro Rosell) decidió convocar una junta extraordinaria y vamos a denunciar al entrenador del Real Madrid ante el Comité de Disciplina y Control de la UEFA por sus declaraciones. Son constitutivas de una infracción del artículo 5. El Barcelona se siente perjudicado". Los directivos del club azulgrana han sido informados durante la reunión que han celebrado en las oficinas del Camp Nou de que la UEFA ha abierto un expediente disciplinario contra el Madrid por las declaraciones de Mourinho, por su expulsión, así como la de Pepe y por la invasión del terreno de juego, así cpomo el expediente abierto contra el Barcelona por la expulsión de Pinto. Ambos casos serán estudiados por la UEFA el próximo 6 de mayo.

También ha explicado Freixa que el Barcelona hizo constar en el acta del partido su protesta por el hecho de que el césped del Bernabéu no fuera regado una hora antes del partido tal como habían acordado los clubes en una reunión previa con el delegado de la UEFA. Asimismo, el Barcelona se quejó por el hecho de que el Madrid, tras el partido, no permitiera acceder a la megafonía al locutor del Barcelona para que indicara en catalán las correspondientes instrucciones a los aficionados azulgrana que presenciaron el partido. Freixa explicó que estas instrucciones sí pudieron ser difundidas a través de la megafonía del estadio antes del partido después de las gestiones que el club azulgrana realizó a través de la Delegación del Gobierno.

Freixa ha explicado que existe pleno respeto entre las directivas de ambos clubes. "La relación es satisfactoria, al margen de que hay determinadas situaciones que no podemos dejar pasar. Estamos orgullosos de nuestro equipo y de nuestro entrenador. Si comparecemos ahora es porque se han producido hechos que rebasan los límites. Nuestra actuación en consonancia con la reacción de muchos aficionados y de la UEFA".

FUENTE :http://www.elpais.com/articulo/deportes/Barcelona/denuncia/Mourinho/ensuciar/prestigio/historia/elpepudep/20110428elpepudep_10/Tes

Más información :http://www.elpais.com/articulo/deportes/Madrid/denuncia/UEFA/simulaciones/jugadores/Barca/elpepudep/20110428elpepudep_19/Tes

La web de la líder de la extrema derecha francesa sufrió varios ataques informáticos durante la noche y esta mañana

La página web de la represetante de la extrema derecha francesa, Marine le Pen, ha sufrido varios ataques informáticos esta mañana en los que los usuarios eran redirigidos a otras webs de contenido musulmán, a una entrada de Wikipedia sobre racismo

Según explica el diario Libération, esta mañana, al intentar entrar en marinelepen.com, el usuario iba dirigido directamente a una web con una imagen de Mi pequeño pony en la que había un enlace que llevaba a la definición de racismo de Wikipedia.

La web de la líder del xenófobo Frente Nacional (FN) ya había sido atacada por la noche por un usuario identificado como Kader11000, redirigiendo a los usuarios a una web donde se veía la imagen de una chica árabe con un pañuelo y una cinta verde en la cabeza y en la que también había un mensaje en árabe sobre la situación de los musulmanes en Francia.

 Según la agencia EFE, que ha contactado con la formación ultraderechista, el FN va a denunciar los hechos "para tratar de identificar a los responsables".

Steve Briois, secretario nacional del partido, dijo que "Es la primera vez que somos objeto de un ataque tan concentrado. Dicen que el FN no es democrático, pero estos hechos muestran lo que hacen los que se reivindican como grandes demócratas".

FUENTE :http://www.publico.es/internacional/373335/de-marinelepen-com-a-mi-pequeno-pony-y-wikipedia