Ciencia y tecnología

La contraseña codificada en la aplicación Confluence se filtró en Twitter

Published

2 años ago

julio 22, 2022

La contraseña codificada en la aplicación Confluence se filtró en Twitter

imágenes falsas

¿Qué es peor que una aplicación empresarial conectada a Internet y ampliamente utilizada con una contraseña codificada? Pruebe dicha aplicación comercial después de que la contraseña codificada se filtre al mundo.

Atlassian presentado el miércoles tres vulnerabilidades críticas del productoincluído CVE-2022-26138 de una contraseña codificada en Preguntas para Confluencia, una aplicación que permite a los usuarios recibir rápidamente soporte para preguntas comunes sobre los productos de Atlassian. La compañía advirtió que el código de acceso era «fácil de obtener».

La compañía dijo que Questions for Confluence tenía 8.055 instalaciones en el momento de la publicación. Una vez instalada, la aplicación crea una cuenta de usuario de Confluence llamada disabledsystemuser, para ayudar a los administradores a mover datos entre la aplicación y el servicio Confluence Cloud. La contraseña codificada que protege esta cuenta permite ver y editar todas las páginas de Confluence sin restricciones.

«Un atacante remoto no autenticado que conozca la contraseña codificada podría explotar esto para iniciar sesión en Confluence y obtener acceso a todas las páginas a las que tiene acceso el grupo de usuarios de Confluence», dijo la compañía. «Es importante abordar de inmediato esta vulnerabilidad en los sistemas afectados».

Un día después, Atlassian volvió a informar que «una parte externa descubrió y reveló públicamente la contraseña codificada en Twitter», lo que llevó a la empresa a aumentar sus advertencias.

“Es probable que este problema se explote en la naturaleza ahora que la contraseña codificada se conoce públicamente”, se lee en el aviso actualizado. «Esta vulnerabilidad debe abordarse de inmediato en los sistemas afectados».

READ Aston Martin construirá un deportivo por encargo de Fernando Alonso

La compañía advirtió que incluso cuando las instalaciones de Confluence no han instalado activamente la aplicación, aún pueden ser vulnerables. La desinstalación de la aplicación no corrige automáticamente la vulnerabilidad, ya que la cuenta de usuario del sistema deshabilitada aún puede residir en el sistema.

Para determinar si un sistema es vulnerable, Atlassian aconsejó a los usuarios de Confluence que busquen cuentas con la siguiente información:

Usuario: usuariosistemadeshabilitado
Nombre del usuario: usuariosistemadeshabilitado
Correo electrónico: no elimine este [email protected]

Atlassian ha proporcionado más instrucciones para localizar estas cuentas. aquí. La vulnerabilidad afecta a las versiones 2.7.x y 3.0.x de Questions for Confluence. Atlassian proporcionó dos formas para que los clientes resolvieran el problema: deshabilitar o eliminar la cuenta «disabledsystemuser». La empresa también lanzó esta lista respuestas a preguntas frecuentes.

Los usuarios de Confluence que buscan evidencia de explotación pueden verificar la hora de la última autenticación del usuario del sistema deshabilitado usando las instrucciones aquí. Si el resultado es cero, la cuenta existe en el sistema, pero nadie ha iniciado sesión usándola todavía. Los comandos también muestran todos los intentos de inicio de sesión recientes que han tenido éxito o han fallado.

«Ahora que los parches están disponibles, se puede esperar que los esfuerzos de ingeniería inversa y de diferenciación de parches produzcan un POC público en un tiempo bastante corto», escribió Casey Ellis, fundador del servicio de informes de vulnerabilidades Bugcrowd, en un mensaje directo. «Las tiendas Atlassian deben parchear de inmediato los productos destinados al público y aquellos que están detrás del firewall lo antes posible. Los comentarios en el aviso que recomiendan no usar el filtrado de proxy como mitigación sugieren que hay varias vías de activación.

READ Qué esperar del evento de hardware Surface de otoño de 2022 de Microsoft

Las otras dos vulnerabilidades reveladas por Atlassian el miércoles también son graves y afectan a los siguientes productos:

Servidor y centro de datos Bamboo
Servidor Bitbucket y centro de datos
Servidor y centro de datos de Confluence
Servidor de multitudes y centro de datos
Crisol
ojo de pez
Centro de datos y servidor Jira
Centro de datos y servidor de gestión de servicios de Jira

Rastreadas como CVE-2022-26136 y CVE-2022-26137, estas vulnerabilidades permiten a atacantes remotos no autenticados eludir los filtros de servlet utilizados por aplicaciones propietarias y de terceros.

“El impacto depende de los filtros utilizados por cada aplicación y cómo se utilizan los filtros”, dijo la empresa. ha dicho. «Atlassian ha publicado actualizaciones que abordan la causa raíz de esta vulnerabilidad, pero no ha enumerado de forma exhaustiva todas las posibles consecuencias de esta vulnerabilidad».

Los servidores vulnerables de Confluence han sido durante mucho tiempo una apertura favorita para los piratas informáticos que buscan instalar Secuestro de datos, criptominerosy otras formas de malware. Las vulnerabilidades reveladas por Atlassian esta semana son lo suficientemente graves como para que los administradores deban priorizar un examen exhaustivo de sus sistemas, idealmente antes del comienzo del fin de semana.

Carlos Santander

Soy un profesional de gestión deportiva con conocimientos adecuados sobre la industria del deporte en España.
Tengo varias habilidades que me han ayudado a trabajar en diferentes sectores del deporte en España, incluyendo eventos deportivos, desarrollo de base para el deporte e infraestructura deportiva.

Ciencia y tecnología

iPhone 17 Pro Max Dynamic Island se beneficiará de la tecnología Metalens Face ID

Published

1 hora ago

octubre 27, 2024

Carlos Santander

iPhone 17 Pro Max Dynamic Island se beneficiará de la tecnología Metalens Face ID

Si no fuera por Face ID, actualmente tendríamos solo un tipo de diseño de pantalla de teléfono inteligente: pantallas perforadas como las de los teléfonos Galaxy S24 y otros dispositivos Android. Pero el brillante sistema de autenticación biométrica del iPhone, una de las cosas que más me gustan del iPhone, obligó a Apple a pasar de la pantalla con muesca a Dynamic Island.

Con la serie iPhone 17, Apple podría ofrecer una versión aún mejor de la pantalla Dynamic Island (arriba) introducida en 2022. El recorte en forma de píldora podría reducirse gracias a una actualización tecnológica de la cámara Face ID llamada metalens.

Cuando Apple presentó el diseño Face ID de pantalla completa, la muesca ocupaba una gran parte de la parte superior de la pantalla. El iPhone 2017

La muesca del iPhone X alberga las cámaras y sensores Face ID, la cámara para selfies y el altavoz. Fuente de la imagen: Apple Inc.

Posteriormente, Apple redujo el tamaño de la muesca y el iPhone 13 ofreció un recorte significativamente reducido. Luego, el iPhone 14 Pros trajo Dynamic Island, la forma de píldora que también tenemos en los modelos actuales de iPhone 16. La isla dinámica consta de dos recortes de pantalla conectados por una pequeña sección de pantalla OLED que está permanentemente apagada para crear la forma de la isla.

Apple agregó funciones de software alrededor de Dynamic Island, lo que hizo que este diseño se convirtiera en un tema de conversación cuando se lanzó la serie iPhone 14.

La muesca del iPhone 13 de Apple junto a la muesca del iPhone 12. Fuente de la imagen: Christian de Looper para BGR

Lo que quiero decir es que Apple actualiza continuamente el diseño de la cámara TrueDepth y el propósito es obvio. Con el tiempo, los agujeros en la pantalla desaparecerán. Los componentes de Face ID y la cámara para selfies se colocarán debajo de la pantalla.

READ Qué esperar del evento de hardware Surface de otoño de 2022 de Microsoft

La evolución de la cámara Face ID podría continuar con el iPhone 17 Pro Max. Esto es lo que dice el analista Jeff Pu. El analista dijo en una nota de investigación vista por MacRumors que Dynamic Island se “reducirá significativamente” en el iPhone 17 Pro Max. Este será el único modelo de las cuatro variantes de iPhone 17 que recibirá la actualización.

Apple utiliza regularmente el modelo iPhone Pro Max para introducir nuevas funciones, que se extenderán a todas las demás versiones en los próximos años. Si el rumor de Metalens es cierto, ocurrirá lo mismo con este nuevo diseño de Dynamic Island. No está claro por qué Apple sólo hará esto con el iPhone 17 Pro Max. Quizás la producción en masa de unidades metalúrgicas sea demasiado cara y difícil.

No obstante, la tecnología es apasionante. Las metalenses son lentes hechas de diversos materiales grabados en una lente delgada y plana. Estas partículas permiten que la lente enfoque la luz sin necesidad de curvatura. Aquí hay una descripción de la tecnología de un MIT. informe desde principios de 2021:

Los ingenieros del MIT han creado un «metal» ajustable que puede enfocar objetos a múltiples profundidades sin cambiar su posición física o forma. La lente no está hecha de vidrio macizo sino de un material transparente de «cambio de fase» que, después de calentarse, puede reorganizar su estructura atómica y así cambiar la forma en que el material interactúa con la luz.

Si la información de Pu es correcta, Apple podría estar lista para llevar esta tecnología al iPhone. El analista hizo afirmaciones similares sobre el iPhone 17 Pro Max a principios de este año.

READ Cómo habilitar el seguimiento de nuevos paquetes de Gmail en Android, iOS

Carlos Santander

Ciencia y tecnología

Google prepara nueva función “Modos” para sustituir “No molestar” en Android 16

Published

17 horas ago

octubre 26, 2024

Carlos Santander

Google prepara nueva función “Modos” para sustituir “No molestar” en Android 16

Lo que necesitas saber

Google lanzó recientemente Android 15 QPR 1 beta 3 para teléfonos Pixel, que presenta el nuevo modo No molestar.
Según Mishaal Rahman, el nuevo DND se llama Modos para Android 16 y trae muchas características nuevas.
Incluye múltiples modos con amplia personalización y los íconos correspondientes que se mostrarán en la barra de estado, la pantalla de bloqueo y también en AOD.

Android 15 acaba de comenzar a implementarse y estamos ansiosos por ver qué tiene para ofrecer la próxima versión del sistema operativo de Google. Sin embargo, nueva información de Mishaal Rahman revela algunos detalles interesantes sobre Android 16, incluido el modo No molestar renovado.

Rahman, escribiendo para Autoridad de Androidcompartió los últimos hallazgos de la última versión de Android 15 QPR 1 Beta 3, que se lanzó recientemente. Indican que es probable que la nueva función Modos, nada menos que el modo No molestar renovado, se aventure en la versión estable de Android 16 el próximo año. Rahman señala que estos nuevos modos anteriormente se llamaban Modos prioritarios y venían con una interfaz de usuario completamente nueva que, por alguna razón, parece llamarse simplemente Modos, según la última versión.

Con la nueva función Modos, los usuarios podrán crear múltiples modos diferentes con su propio nombre, icono, activador de activación, pantalla y configuración de notificación. A diferencia de los últimos hallazgos de firmware, la función actual No molestar ofrece opciones limitadas y no permite a los usuarios configurar múltiples modos.

Los nuevos modos se pueden habilitar/deshabilitar desde la pestaña Configuración del teléfono o desde el nuevo mosaico de Configuración rápida, en el que supuestamente está trabajando el gigante tecnológico. Una vez activado, de un vistazo, el icono de los modos correspondientes vuelve a ser visible en la barra de estado, junto a la pantalla de bloqueo, así como en la pantalla Always-On.

READ Duel recibe lanzamiento mundial

Imagen 1 de 3

(Crédito de la imagen: Autoridad de Android)

El último firmware beta de Android 15 revela además el mosaico de Configuración rápida, que al hacer clic se abre en una sola columna que se expande en una lista desplegable vertical, que muestra todos los nombres de los modos y, opcionalmente, podría agregar una breve descripción junto a ellos en el futuro. lanzamientos. . Si se configuran varios modos, los usuarios podrán ver el primer ícono del primer modo configurado en el mosaico de Configuración rápida.

Del mismo modo, si hay varios modos activos, el mosaico muestra el número de modos activos en lugar del nombre del primer modo. Aunque los íconos son específicos de cada modo, Rahman señala que Google ofrece alrededor de 40 íconos únicos para que los usuarios jueguen con la función Modos. También se cree que este número aumentará antes del lanzamiento estable de Android 16 el próximo año.

Carlos Santander

Ciencia y tecnología

Google apunta al lanzamiento de Gemini 2.0 en diciembre

Published

1 día ago

octubre 26, 2024

Carlos Santander

Google apunta al lanzamiento de Gemini 2.0 en diciembre

En diciembre de 2023, Google anunció la primera versión de Gemini y, según se informa, la compañía planea lanzar Gemini 2.0 un año después.

De acuerdo a el bordeGoogle quiere anunciar y “difundir ampliamente” Gemini 2.0 en diciembre. El informe/boletín de hoy añade que «el modelo no muestra las mejoras de rendimiento esperadas por el equipo dirigido por Demis Hassabis», pero parece que esta «tendencia se manifiesta en las empresas que desarrollan grandes modelos de vanguardia». Más allá de eso, no hay más detalles sobre qué características esperar.

En diciembre pasado, Google detalló Gemini 1.0 e hizo que 1.0 Pro estuviera disponible a través de Bard (antes del cambio de nombre), mientras que Nano llegó al Pixel 8 Pro. En febrero de este año, la versión 1.0 Ultra estuvo disponible en Gemini Advanced.

Este nuevo modelo seguiría a Gemini 1.5 en febrero con su ventana emergente ampliada, y los suscriptores de gemini.google.com obtendrán acceso en mayo.

Al “distribuir a escala”, Google podría considerar replicar esta doble disponibilidad para desarrolladores y usuarios finales. Mientras tanto, todavía estamos esperando que se lance el Proyecto Astra y agregue funciones de cámara/visión a Gemini Live. No está claro cómo Google equilibrará los dos anuncios.

También se rumoreaba que OpenAI lanzaría su próximo modelo insignia en diciembre, aunque la compañía lo negó. el borde informe. Sin embargo, se espera que Orion tenga primero un lanzamiento más limitado con socios.

Si llega diciembre, Google tendrá un ciclo de lanzamiento anual para sus modelos más grandes que caerá aproximadamente entre las conferencias de desarrolladores I/O de mayo.

READ iOS 16.3 beta 2 se está implementando, esto es lo nuevo hasta ahora [U: Public beta]