Raúl Alonso Linkedin: ¿es mejor recomendar o comentar una publicación? Tu objetivo en Linkedin es potenciar tu marca personal, captar clientes, crear una comunidad afín a tus servicios o seleccionar talento, pero es altamente improbable que lo consigas si...
Lucía Martín Trámites necesarios para enviar a un empleado a trabajar al extranjero Tienes una pyme de tamaño medio y, de un tiempo a esta parte, has desarrollado con bastante éxito la internacionalización, de tal forma que te estás planteando enviar a...
José Ramón Suárez Rivas El reto de ser aprendices permanentes en el siglo XXI En el Foro de Davos de 2017, Mara Swan (vicepresidenta ejecutiva de Estrategia y talento global de ManpowerGroup) introdujo el término learnability (aprendibilidad) como «la curiosidad y la capacidad...
AI of Things ¡Traemos el Tour de Francia a Distrito Telefónica! Los empleados de la compañía tendrán la oportunidad de escalar la etapa de Alpe D’Huez con Perico Delgado y ganar una bicicleta profesional como las del equipo Movistar Team...
Nacho Brihuega BinaryEgde Portal, más que un buscador de activos Aprende a utilizar BinaryEdge Portal, un servicio de pentesting para la fase de footprint con nuestro experto Nacho Brihuega.
Mónica Rentero Alonso de Linaje Sí, los cerebros femeninos están programados para la tecnología ¿Está la mente femenina programada para la tecnología? Sí, así, como suena. Esa fue la primera gran pregunta que sonó en mi cabeza en el primer año de carrera....
Raúl Alonso La economía colaborativa, una realidad que no deja de crecer No conviene mirar hacia otro lado. La economía colaborativa es una realidad que no deja de crecer en número de propuestas y popularidad. En España se calcula que unas...
Raúl Alonso Aprender a ganar “Las personas ganadoras aprendieron a tener éxito de la misma manera que otras aprendieron a no tenerlo: tu cerebro puede darte todo lo que deseas, siempre que se lo...
CNCF’s Harbor (cloud native registry) corrige una fuga de información descubierta por ElevenPaths (CVE-2020-29662)Javier Provecho 10 febrero, 2021 El pasado 2 de diciembre, el equipo de CTO SRE de ElevenPaths descubrió una API sin acceso autenticado en Harbor, un registro cloud native parte de la CNCF. Es conocido por su uso como registro de Docker agnóstico y como servidor de charts de Helm en arquitecturas cloud native. En este artículo explicaré como reproducir esta vulnerabilidad así como el impacto que tiene en el software e información almacenada en Harbor. La API v2 catalog es la afectada, la cual permite obtener una lista de todos los recursos disponibles en el registro. Solo puede ser accedida con una identidad de administrador. Si la petición contiene una barra inclinada al final, sigue siendo gestionada por el proveedor de la API v2 catalog, pero saltándose la autorización. Se detectó que el origen del bug estaba en el auth middleware, responsable de identificar los recursos a los que necesita acceder cada petición para posteriormente autorizarlos si corresponde. Este middleware se ejecuta antes de cualquier otro proveedor de APIs en beego, el router usado por el proyecto Harbor. Este router ejecuta por defecto el mismo proveedor de API para peticiones con o sin barra inclinada al final de la URL. El auth middleware usa patrones regex para identificar los recursos a los que necesita acceder cada petición. En el caso de la API v2 catalog, el patrón no valía para identificar una petición con una barra inclinada al final de la URL. De este modo, el auth middleware no asignaba ningún recurso a la petición y por tanto la marcaba como autorizada. El proyecto Harbor ha liberado parches para las versiones 2.0.* y 2.1.*. No obstante, si no fuese posible acceder a dichos parches, se puede redireccionar el proveedor de la API v2 catalog a un servidor vacío HTTP como alternativa. Se recomienda encarecidamente aplicar los parches para evitar que agentes no identificados exploren las instancias visibles desde servicios como Shodan. Cronología: 02/12/2020. Vulnerabilidad descubierta y reportada a la lista de correo de Harbor para asuntos de seguridad.03/12/2020. Vulnerabilidad confirmada por el equipo de seguridad de Harbor.17/12/2020. Harbor libera los parches 2.0.5. y 2.1.2., mitigando la vulnerabilidad. Cómo engañar a las apps que usan Deep Learning para la detección de melanomasElevenPaths Radio #13 – Seguridad y privacidad en el «Internet de la salud»
Telefónica Tech VMware Explore ’22 capitaliza la interoperabilidad entre múltiples nubes y entornos Cross-Cloud Escrito por Matheus BottanPartner development en Telefónica Tech Antes conocido como VM World (marca que dio sus primeros pasos en 2004) no hace falta decir que el actual VMware Explore...
Telefónica Tech Boletín semanal de Ciberseguridad, 26 de noviembre – 2 de diciembre Actualización urgente de Chrome para evitar el octavo 0-day del 2022 Google ha publicado una actualización de seguridad urgente para Chrome para evitar la explotación del octavo 0-day del 2022 en el...
Sergio de los Santos Certificados para Android de Samsung, LG (y otros) usados para firmar malware Todas las apps de Android están firmadas por un certificado. Pero esto no garantiza su identidad, sino su integridad. En la práctica implica que son certificados autofirmados por el...
Sebastián Molinetti ¿Cómo funciona una nube híbrida? A la hora de abordar la digitalización e iniciar el «viaje» a la nube, la mayoría de las empresas españolas optan por soluciones multicloud o por nubes híbridas...
Telefónica Tech Boletín semanal de Ciberseguridad, 18 – 25 de noviembre Publicado exploit para vulnerabilidades ProxyNotShell A finales del pasado mes de septiembre se produjeron las primeras publicaciones acerca de nuevas vulnerabilidades críticas en Microsoft Exchange Server, CVE-2022-41040 y CVE-2022-41082, que recibieron el nombre...
Martiniano Mallavibarrena ¿Realmente estamos comprando en internet de forma “segura”? En estas fechas en las que encadenamos Black Friday, Navidad y Reyes, nunca está de más pararse un momento para hacer un repaso mental de algunos aspectos y buenas...
