Tenho o prazer de anunciar que a Conferência Internacional sobre Segurança
de Aplicações, a ser realizada nos dias 27 a 29 de outubro de 2009 nas
dependências da Câmara dos Deputados, em Brasília, DF é agora o primeiro
OWASP AppSec Brazil 2009.
Isso é uma vitória do Capítulo OWASP Brasil que está tentando trazer o
evento para o nosso país desde novembro de 2008 e finalmente conseguiu
discutir o assunto com todos os envolvidos e conseguir a aprovação
necessária para isso.
A Conferência será promovida pelo OWASP Brasil com o suporte da Comunidade
TI-Controle (www.ti-controle.gov.br) para tratar os diferentes assuntos
relacionados a Segurança de Aplicações, tais como:
- desenvolvimento seguro,
- segurança e arquitetura de software,
- processos de desenvolvimento de sistemas seguros,
- ferramentas para análise de segurança de aplicações,
- bibliotecas e frameworks de segurança para aplicações web,
- auditoria e testes de segurança em aplicações,
- metodologias gerenciais para melhoria da segurança no desenvolvimento de
software,
- análise de ataques a aplicações,
- avaliação de riscos de negócio em aplicações web,
- segurança de webservices.
A Conferência terá dois dias de treinamentos (27 e 28 de outubro) seguidos
de dois dias de palestras(29 e 30 de outubro). A página com as informações
relacionadasestá disponível na Wiki da OWASP em
<a href="https://www.owasp.org/index.php/AppSec_Brasil_2009.">https://www.owasp.org/index.php/AppSec_Brasil_2009.</a>
Por favor Divulguem
terça-feira, 16 de junho de 2009
Owasp AppSec Brasil 2009
segunda-feira, 15 de junho de 2009
Vulnerabilidade DOS Openswan/Strongswan/SuperFreeswan
Notícia creio que um pouco atrasada... saiu no mes 4 a vulnerabilidade,
mas como nao vi nada na lista achei melhor postar (antes tarde do que
nunca =D )
Foi encontrada uma vulnerabilidade nas versões
inferiores a 2.6-21 do Openswan e também no Stongswan e SuperFreeswan,
onde o daemon do IKE (pluto) permite que uma origem remota cause um DOS
fazendo com que o pluto "trave e reinicie" assim que uma requisição de
DPD sem criptografia (RFC-3706) e com estado desconhecido ou deletado
for recebido
Os desenvolvedores do Openswan (creio que strongswan tbm) ja
liberaram um patch para correção do mesmo, quem preferir pode atualizar
o Openswan para versão 2.6-21.
---
Nist:
http://web.nvd.nist.gov/view/ vuln/detail;jsessionid= 4348fc4ff311f0845537d203a2ef? execution=e1s1
RFC:
http://www.ietf.org/rfc/ rfc3706.txt
mas como nao vi nada na lista achei melhor postar (antes tarde do que
nunca =D )
Foi encontrada uma vulnerabilidade nas versões
inferiores a 2.6-21 do Openswan e também no Stongswan e SuperFreeswan,
onde o daemon do IKE (pluto) permite que uma origem remota cause um DOS
fazendo com que o pluto "trave e reinicie" assim que uma requisição de
DPD sem criptografia (RFC-3706) e com estado desconhecido ou deletado
for recebido
Os desenvolvedores do Openswan (creio que strongswan tbm) ja
liberaram um patch para correção do mesmo, quem preferir pode atualizar
o Openswan para versão 2.6-21.
---
RFC 3706 Detecting Dead IKE Peers February 2004---
The R-U-THERE message corresponds to a "HELLO" and the R-U-THERE-ACK
corresponds to an "ACK." Both messages are simply ISAKMP Notify
payloads, and as such, this document defines these two new ISAKMP
Notify message types:
Notify Message Value
R-U-THERE 36136
R-U-THERE-ACK 36137
An entity that has sent the DPD Vendor ID MUST respond to an R-U-
THERE query. Furthermore, an entity MUST reject unencrypted R-U-
THERE and R-U-THERE-ACK messages.
Nist:
http://web.nvd.nist.gov/view/
RFC:
http://www.ietf.org/rfc/
Assinar:
Postagens (Atom)