Hace poco más de mes y medio, el Centro de Software que es donde se encuentran las oficinas de donde laboro cumplió su primer año. Creo que es muy tarde para una felicitación, pero si recuerdo que pude tomar unas fotos de alguna figuras que hicieron con globos, aquí están:

Creo que muy adhoc al local el robot, un mouse y los bits

¡Bah! que mas da, más vale tarde que nunca ¡¡¡FELICIDADES!!!

Hace ya muchos años que no escucho esta expresión muy usada por mis tíos mayores y mi abuela, pero ha estado sonando en mi menta estás últimas tres semanas. Creo que a todos nos queda claro lo que son los hijos y bueno entenados es otra palabra para designar a los hijastros.

Pero ¿Por qué estoy pensando en esto? Bueno, pues resulta que la empresa en la que laboro está iniciando con el proceso de hacer Outsourcing de personal y por una necesidad urgente de un cliente de alguien que fungiera como administrador de SLA’s y lo contrató a mi empresa de un día para otro ¿y yo que tengo que ver con eso? Pues que el 7 de noviembre a las 16:00 horas me avisan que iba a depender de mi y tenía cita el viernes para presentárselo al cliente ¿Se imaginan? Regresé de comer y ya tenía un colaborador. Llegó el viernes 9 de noviembre y tempranito acudí con el cliente a presentar a la persona.

Meditaba al respecto poco antes de salir a mi fin de semana de ese viernes, como repentinamente empezaba a cambiar mi búsqueda de ser consultor a tener que combinarlo con roles de “gerente” de Outsourcing (¡aja! Gerente con una persona a mi cargo). Guardaba mis cosas para salir alrededor de las 18:00 horas cuando me dijeron las palabras de terror en toda oficina “¿Ya te vas?”  Nunca he entendido porque a veces hacemos preguntas de lo evidente, y pues mi respuesta para no desentonar fue la obvia “Claro, pero si hay algún pendiente”… de antemano sabemos que lo hay.

Resulta que tenía que esperarme una hora más para esperar a una persona que tenía que presentar el próximo lunes, un recurso de soporte técnico para una empresa de auditores. ¡Caramba! Pues mi hijos seguían aumentando, ahora dos

Por un par de semanas todo transcurrió tranquilo hasta este miércoles recién pasado. Resulta que una de las empresas del grupo se quedó sin su gerente de operaciones y me han pedido que lo supla. Textualmente la solicitud era la siguiente:

1 - Tener un responsable local que tome los pendientes generales del área actuales y conduzca a su cierre.

2 - Mantener un único punto de contacto con Comercial ante pedidos específicos.

3 - Recibir los reportes de estado semanales de todos los Líderes de proyecto y consolidarlos para presentar a Dirección.

4 - Conducir los compromisos del gerente que sale específicamente a su cierre, para una transición ordenada.

Hay dos cosas que tengo que aclarar, la primera es que se habla de un responsable local porque mucho del trabajo de la empresa se lleva en Argentina, la segunda es que se menciona una transición ordenada porque obviamente es algo temporal mientras se contrata un gerente que lleve a buen término 10 proyectos de desarrollo de software y administre una veintena de personas en Outsourcing que trabajan en empresas tan importantes como IBM y PEPSI… que es lo que ahora tengo que hacer yo.

Realmente no se cuantas personas tengo hoy a mi cargo, pero haciendo cuentas rápidas, en promedio 4 personas por proyecto más 20 de Outsouricing digamos… ¿unas 60? Bueno, 62 por los colaboradores que ya tenía propios a mi empresa. Así que ahora puedo decir que por tiempo indeterminado tengo dos hijos y sesenta entenados

¿Será esto un castigo por burlarme de mi rol gerencial con sólo una persona a mi cargo? Mejor no investigo, no vaya a salir peor  

¿Que tanto he avanzado en mi proceso de convertirme en consultor? Realmente no lo se. Tuve que suspender mis estudios en el Datacenter University, para retomar el estudio del Pmbok 2004 del Project Management Institute. Pero no sólo eso, hce poco más de un mes ya tuve la oportunidad de realizar mis primeras visitas con clientes y aunque ya platicaré de ellas un poco más en otros posts, sólo les puedo decir que ambas son empresas con presencia mundial, lo cual me entusiasma mucho.

Algo que me llamó la atención fue un trabajo reto que me pusieron hace ya tiempo y que deseaba comentarlo en le Blog. Resulta que mi jefe está preparando un curso de Inteligencia Emocional para directivos de TI. Mucho de su curso se centra en la realización de estudios por medio de encuestas y obviamente es ahí donde el está aportando todo el know how. Su primer material para las encuestas fue realizado en EXCEL. Mi jefe tuvo a bien enviarnos a varios compañeros y a mi la encuesta y parte de las razones las expongo textualmente de su correo:

“Creo que protegí la hoja contra ingenieros pero no estoy seguro de ello así que les pido que hagan trizas mi propuesta para mejorarla antes de que las usen nuestros clientes. Intenten hacerla fallar.”

– ¡Ah! Un reto (pensé yo)

Pero no bien me saboreaba la tareita que nos habían encomendado cuando poco más adelante en el correo leí:

“Cualquier idea sobre la seguridad se los agradeceré mucho. Creo que en esto solamente Mauricio tiene algo que decir, no es por agraviar a los demás pero no creo que (…) tengan conocimientos expertos de Excel.”

¡Ay caramba! Ni yo, pero el reto estaba lanzado. Reconozco que mi Excel es básico, pero cuando estudiante me encantaba crackear programas, así que opté por trabajar en esa línea. Creo que fue entonces cuando apliqué mi primer lección aprendida como consultor: “Nunca busques inventar el hilo negro” así que decidí empezar a usar le MSN para preguntar por alguna forma de hacerlo. Mi bueno amigo Mario me dio el nombre de un producto que realizaba la función de descubrir el password de las hojas de Excel.

Pronto emprendí la búsqueda de ese y otros productos similares pero todos eran versiones de demostración que tan sólo te ofrecian de 2 a 4 caracteres del password y por una módica cantidad (de $15 – $40 USD) podías activar el producto con su funcionalidad completa. Seguí buscando pero ahora no productos, sino en foros de hackers que pudieran dar ideas y entonces no queda más que decir “Bendito Google”. Después de una búsqueda de poco menos de una hora ¡Bingo! Ahí estaba, un muchacho que había desarrollado una macro, que se cargaba en el menú de Herramientas y ofrecía un par de opciones “Desporteger hoja” y “Desportejer Libro”.

No tuve más que activar el macro, abrir la encuesta y seleccionar la opción correspondiente. Después de un par de minutos detrabajo por fueza bruta “Voala” la hoja estaba desprotegida. No pude conseguir el password pero eso no importaba, ahora pude entrar a la página, modificarla mostranto todas las formulas y demostrar que sólo hacía falta un poco de tiempo para tomar el botín.

Obviamente no diré el nombre de los productos o del sitio de la macro, creo qe es más divertido que tu lo hagas, no te llevará mucho tiempo y si eres estudiante, quizás conozcas maneras más novedosas de hacer lo mismo.

Mi reflexión (y que dio origen al título) fue precisamente respecto a mis primeros pasos como consultor… creo que sigo avanzando, volviendo a las bases ¿o no? Y no es porque haga cosas que hacía en la universidad, sino porque una de las tareas del consultor (así me dijo mi jefe) es buscar la solución que te pida el cliente, y siempre hay que hacerlo de una manera creativa buscando cumplir con las expectativas de él y tratando  de que tenga el menor impacto económico. Bueno, creo que en este caso fue aplicar de nuevo la creatividad a la resolución de un problema concreto.

¡Ah! por cierto, la historia no terminó ahí, porque posterior a eso me pidieron mi opinión de como hacerlo de manera más segura ¿El resultado? Ahora tengo instalado el MOODLE en mi Laptop con la misma encuesta funcionando de manera mucho más segura y listo para probar todas las herramientas que se utilizarán en el curso que pronto dará mi jefe.

Realmente uno nunca sabe cuando está de descanso y cuando no. Tomaré los últimos minutos de mi hora de comida para comentar lo que escuché en una fondita de donde recién vengo de comer.

Quiero dejar en claro que no estaba espiando a otras mesas. El detalle es que estas son para 6 personas y uno llega tomando el lugar disponible. En mi caso como iba sólo, tenía que escuchar un par de conversaciones, una que hablaba de algunos chismes de la farándula y la otra que fue la que llamó mi atención (aunque era la que menos escuchaba, porque las mujeres de los chismes hablaban de manera muy ruidosa) y puso de nuevo a trabajar mi cerebrito. Les pongo algunos fragmentos de lo que estaba esuchando:

– Ya cada vez hay menos (ruido)… se nota en los queue

– Seguro ha de ser por el horario

– No creas, puede ser por lo que hemos hecho (ruido, chismes, ruido)… y por eso debe haber menos problemas no ¿crees? Lo malo es que no podemos comprobarlo y mucho menos presumirlo porque no estamos seguros de que sea eso.

Hasta ese punto y con lo que había escuchado ya estaba interesado en la plática ¿Que habían hecho para mejorar? ¿Qué habían mejorado? ¿Por qué no podían cuantificarlo? Poco más adelante esuché a una de las personas decir

– No, eso es mucho trabajo, mientras el usuario esté agusto no hace falta hacer tanta cosa para saber porque pasan las cosas, lo importante es que pasen….

¡¡¡Sacrílego!!! Ese es nuestro problema. Ellos habían logrado la fórmula mágica (creo) de hacer mejor las cosas en su empresa ¡Y no sabían como! y lo peor ¡No les interesaba! Meditaba yo en esas cosas cuando la otra persona dijo:

– Bueno, lo que si nos pasa seguido es que los usuarios levantan las órdenes de servicio y como les vamos dando largas ellos buscan las soluciones, resuelven sus broncas solos y ya nada más cancelan la solicitud ¡Nos ahorran un buen de chamba!

¡Válgame! No se cual de las dos cosas estaba peor. Imagína que tienes ganas de una Pizza, llamas solicitando el servicio y como pasó una hora y no ha llegado el repartidor, decides hacerla tu mismo y una vez que la tienes en tu plato, llamas a la Pizzería a cancelar tu órden porque aun no ha llegado. Creo que muchos de nosotros hemos hecho eso mas de una vez con nuestros usuarios.

Sigo en mi búsqueda por ser un consultor. No se si lo lograré, pero lo que si me queda claro es que trabajo, hay mucho por hacer.

Creo que aquí aplica mas o menos como en esos letreros que venden en Tonalá “Este es mi lugar, es chiquito, pero es mi lugar”

Puedo decir que tengo todo lo que necesito, Mi Lap, cajonera, mis libros, excelentes compañeros y reconocimiento por lo que hago (aun muy poco en 6 semanas) y mi teléfono IP Cisco con DID. Les presento mi lugar

Tuve la visita de una amigo que cuando vio mi lugar me preguntó:

– ¿No te deprime?

No tienen idea de cuanto me reí. Afortunadamente nunca he sido de buscar tener un gran estatus, claro, a todos nos gusta pero yo veo todo eso como algo pasajero, una gran enseñanza del Libro de Job en el verso 1:21 “Dios dio, Dios quitó” y es que en mi trabajo anterior tenía suficiente espacio, hasta para tener mi pequeño museo  computacional de lo cual el buen Mike dio cuenta en su Blog, pero hay cosas que un buen lugar o un sueldo exhorbitante no pueden brindar: Paz en uno mismo.

Así que no me queda más que repetir el título de mi post:

Bendito Dios por mi lugar.

Conforme empiezo a recorrer este nuevo mundo de lo que algún día (espero) me lleve a ser un consultor, me doy cuenta de lo importante que son los números… o las métricas. Creo que es importante definir su diferencia ya que estos números pueden ser vitales cuando se convierten en métricas, pero absurdos cuando las métricas oficiales son tan sólo números.

Como principiante que soy en estos terrenos, no quiero teorizar ni filosofar referente a lo que es o no una métrica. Me queda claro que yo puedo utilizar métricas (número para medir) para conocer la forma en que se desempeña un proceso o la percepción de calidad de un usuario respecto a un servicio. Al fin y alcabo la primera definición que me da el diccionario para la palabra medir es “Comparar una cantidad con su respectiva unidad, con el fin de averiguar cuántas veces la segunda está contenida en la primera.”

Lo que tanto hemos escuchado ¿Cómo saber si mejoramos en algo si no lo medimos?

A la luz de estas cesudas reflexiones, me encontré unos datos del ITCi o IT Compliance Institute, quien se proclama en su página Web como The Global Authority for IT Compliance Information and Alerts. Independientemente de nuestro nivel de inglés, creo que a todos nos queda claro que es una Autoridad Global… lo que ello signifique

Hago enfasis en esto por los números tan útiles para nuestra función de TI que expusieron en uno de sus artículos:

• El 47% del personal de IT (en E.U. aclaro) ha besado a un compañero de trabajo (no especifíca si compañero del sexo opuesto)
• El 23% ha robado algo de la oficina (Si son 5 en tu oficina, uno de ustedes es un ratero… a menos que sea un rol definido que cambia semana a semana)
• El 49% de los hombres y el 35% de las mujeres en un departamento de IT admitieron haber dormido en el trabajo
• Cerca del 25% de nosotros o nuestros compañeros de IT beben en horas de trabajo (y no precisamente agüita o refresco)

¡Ah! pero eso si, sólo el 3% de la gente de TI ha mentido al presentar su currículum, creo que somos muy presumidos honestos en esa cuestión.

Al terminar de leer estos resultados de la encuesta que se realizó en E.U. me sigo preguntando aun ¿Métricas o números? Bueno, ambas son palábras esdrújulas, quizá realmente son lo mismo.

Tuve la fortuna de entrar a laborar a esta empresa el pasado 27 de agosto. Y creo que es buen tiempo para hacer un recuento de lo que he hecho.

Obviamente lo primero fue reconocer el terreno y tratar de responder a la pregunta ¿Consultor yo? Así que como en toda empresa, tuve que hacer el recorrido con la persona asignada de Recursos Humanos para conocer a todos mis nuevos compañeros. La lista de nombres interminable, caras conocidas y no conocidas (el mundo de los informáticos aquí en Guadalajara es muy pequeño, más cuando has dado clases en dos universidades) y llegó por fin el momento de sentarme en mi nuevo lugar, mismo que les presentaré en su momento.

Para mi mala fortuna mi jefe directo no se encontraba y entonces se presentó la primera problemática a resolver en mi trabajo ¿Qué hago?

Afortunadamente ya me había hablado de los proyectos en los que estaría involucrado, mucho que ver con procesos, trabajo con ITIL, apoyo a las otras áreas de la empresa como mi experiencia como Directo de TI… y antes de dejar que fluyerna más las ideas me dije ¿Por qué no ITIL? Así que los siguientes tres días fueron de inmersión total en este tema.

Ya había toma un diplomado referente a este tema (curiosamiente con el que ahora es mi jefe) y creo que gracias a este antecedente pude gozar esos días completos de estudio.

No recuerdo exactamente que día de la semana se me dio la introducción formal a la empresa y empezamos con algo de trabajo… Documentación de procesos ¿Quién lo diría? si a mediados de los 80’s cuando yo iniciaba mis pininos como programador alguien me hubiera dicho que mi trabajo principal sería con un procesador de palabras, hoja de cálculo y software para presentación (no existía el Office) en lugar de un compilador y un editor de textos, yo le hubiera dicho, ¡naaaaaaa!, pero así es para mi hoy en día.

Es interesante el tener que adaptar un ciclo de vida a tus necesidades, definir flujos, hacer formatos y tener todo listo para que un conjunto de personas puedan implantar un software. La meta es tener todo documentado, que el proceso sea repetible, medible y auditable ¿Qué tal?

Hace unos momentos el Implementador me pasó lo que creo son los últimos detalles para formalizar el proceso de incidentes y espero que esta misma semana se le de el VoBo para poder ponerlo en operación, ya que los clientes están a la vuelta de la esquina y el producto está prácticamente listo.

Pero no sólo eso. Se me ha pedido apoyar también en un par de procesos de gestión de cambio. Lo curioso es que en ambos casos es para mover el centro de cómputo a otro lugar. Y pues así como empecé la imersión de ITIL, ahora llegó el momento de empaparme de conocimiento de centros de cómputo. Aprovechando, quiero recomendarles el sitio Datacenter University  ya que es ahí donde estoy haciendo mi preparación “formal” para el proyecto.

Obviamente he tenido que estudiar también el proceso de Gestión del cambio a detalle (definido por ITIL claro está).

Esto aunado obviamente a algunas juntas, apoyo en algunos temas con mis compañeros y empezar a estudiar un poco más de otras cosas porque pronto estaré trabajando con un proyecto de Balanced ScoreCard.

La verdad siento un poco de nostalgia, ya que lo que he aprendido este mes, hubiera sido de gran ayuda en mi empleo anterior, pero la operación, los proyectos urgentes y en algunas ocasiones la falta de apoyo directivo (no hablo de mi jefe inmediato sino de alo más arriba) impedía siquiera tener tiempo, ya no digo para estudiar, sino para poder formalizar los procesos de nuestro departamento, todo era para ayer, sin contar con que antier ya era urgente ¿Te suena conocido?

Era una vez un riachuelo de aguas cristalinas, muy bonito, que serpenteaba entre las montañas. En cierto punto de su curso, notó que adelante, había un pantano inmundo,  por donde debía pasar.  El riachuelo entonces protesto: - Señor, ¡que castigo! Yo soy un riachuelo tan limpio, tan hermoso, ¡y tu me obligas a atravesar un pantano sucio como este!  ¿Y ahora que hago?  

Dios le respondió:  

- Eso depende de  tu manera de encarar el pantano. Si te da miedo, disminuirás el ritmo de tu curso, darás vueltas e, inevitablemente, acabarás mezclando tus aguas con las del pantano, lo que te transformará en pantano también. Pero, si tu lo enfrentas con velocidad, con fuerza, con decisión, tus aguas  pasaran por encima de el pantano, la humedad transformará tu agua en gotas, que formaran nubes, y el viento llevará esas nubes en dirección al océano. Allí te transformarás en mar.  

Josué 1:9

“Mira que te mando que te esfuerces y seas valiente: no temas ni desmayes, porque el Señor tu Dios estará contigo donde quiera que fueres.”

Hace muchos años tuve la oportunidad de escribir para algunos periódicos locales, entre ellos El occidental, El informador pero sobre todo en el desaparecido Siglo 21. No recuerdo en cual de los tres tenía una sección fija llamada Memorias de un programador, donde un personaje ficticio platicaba sus anécdotas (las mías) en este mundo informático en el cual me desenvuelvo.

Ahora pretendo hacer lo mismo pero a título personal, ya que a partir del pasado 27 de agosto mi vida dio un giro, no se aun que tan radical y creo hasta esta 3er semana y media que llevo laborando me estoy dando cuenta de ello. Me explico.

En mi empleo anterior, tuve el shock fuerte de llegar a ser director de TI. Creo que se puede decir que fue un anhelo cumplido pero sin saber lo que esto implicaba… deje de programar, de abrir computadoras, diseñar páginas Web e instalar redes. Puedo decir que para aquel Abril del 2000, me sentía orgulloso de ser un todólogo con el cabal cumplimiento de la palabra, pero al llegar a un lugar donde había que administrar a cerca de 30 personas, con más de 1300 equipos de cómputo y un par de decenas de servidores (sin contar la coordinación de unas 5 sucursales) créanme que difícilmente uno tiene tiempo de atender TODO, mucho menos lo técnico.

Mi vida cambió radicalmente. Todo era juntas, planeación estratégica, juntas, recibir proveedores, analizar contratos, juntas, seguimiento de proyectos, atención de quejas, juntas, manejo de presupuesto interno, autorización de compras, administración del personal, juntas, representaciones institucionales, definición de objetivos y muchas cosas más y por si no lo mencioné juntas…

Afortunadamente tuve un excelente equipo de trabajo empezando por mi asistente, quien fue la persona que llevó toda la operación administrativa los primeros tres meses además de capacitarme en mucho para el puesto. Pude generar una enorme sinergia con los jefes que eran mis colaboradores, sin contar el excelente personal que ya existía para desarrollar todas las labores del área. Por otro lado, tuve con todo mi pesar que cursar una Maestría en Administración. Claro que ahora doy gracias a Dios por esa decisión.

  Después de 7 años y algunas circunstancias que quizá algún día comente en este Blog, salgo de mi empleo anterior y estoy prácticamente iniciando mi carrera como Consultor ¿Y que es eso? Bueno, estaba muy emocionado queriendo definir lo que hacía cuando encontré esto Google: “Alguien que te quita el reloj, te dice la hora y te cobra por ello.”  Bueno, creo que puedo hacer eso   Obviamente hay varias definiciones más formales de lo que es un consultor pero prefiero descubrir personalmente lo que haré en esta nueva carrera.   El hecho de mi contratación tiene mucho que ver con la experiencia que he tenido en el área informática desde hace 21 años (empecé a programar con Basic en las Commoder 64 en 1986). Pero tal como mencionaba un poco antes, en esta semana empiezo a ver un poco aquello con lo que estaré lidiando… ITIL, COBIT, ISO9000 y  creo que de manera directa.  

Mis vecinos hablan de CMMI, Moprosoft y cosas de esas ¿Habré llegado a ser un facilitador de procesos de calidad? No lo creo, pero de algo si estoy seguro, cada vez estoy más lejos de las cuestiones técnicas. Así que adiós al Web 2.0, a los Blades, a la virtualización, a Visual Studio 2008, al cableado estructurado… cuando menos desde el punto de vista técnico, ahora por lo que me enteré estaré en algunos procesos de implementación de algunas tecnologías de punta, eso sí, apoyando en la parte de gestión de cambio, pero eso… es otra historia.

Tabita es un magnífico ejemplo para las mujeres. Me hubiera encantado conocerla personalmente. Era costurera y me imagino que habrá sido una mujer humilde. Tabita les cosía túnicas a las demás viudas; era una discípula que amaba a Dios y a su prójimo.

Entonces había en Jope cierta discípula llamada Tabita, que traducido es Dorcas. Ella estaba llena de buenas obras y de actos de misericordia que hacía.
- Hech 9:36 -

1.- Actualización del Kernel para productos Red Hat Enterprise Linux 4
2.- Denegación de servicio a través de libsldap en Sun Solaris 8, 9 y 10
3.- Denegación de servicio a través de cabeceras IPv6 en Mac OS X 10.4.x
4.- Ejecución de código arbitrario a través de dtsession en Sun Solaris
5.- Actualización de múltiples paquetes para productos SuSE Linux
6.- Revelacion de informacion sensible en Apache HTTP Server 2.x
7.- Cuatro parches mas para Windows Safari
8.- Circula boletin falso de un parche de Microsoft
9.- Ejecucion de codigo en RealPlayer y HelixPlayer
10.- El troyano Pegan.K. Se propaga a traves de MSN Messenger
11.- Firefox, falsificacion de foco en seleccion de evento
12.- Actualización de Wireshark soluciona varios problemas de seguridad
13.- Fuentes de Información

==== 1.- Actualización del Kernel para productos Red Hat Enterprise Linux 4 ====
Red Hat ha publicado una actualización del Kernel para la línea de productos Red Hat Enterprise Linux 4 que solventa varias vulnerabilidades.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3168/comentar

Más información:

Important: kernel security update
Advisory: RHSA-2007:0488-2
http://rhn.redhat.com/errata/RHSA-2007-0488.html

Laboratorio Hispasec
laboratorio@hispasec.com

Solaris 8 (Sparc):
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-126373-02-1
Solaris 8 (x86):
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-126374-02-1

Solaris 9 (Sparc):
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-112960-40-1
Solaris 9 (x86):
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-114242-27-1

Solaris 10 (Sparc):
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-120036-07-1
Solaris 10 (x86):
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-120037-07-1

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3169/comentar

Más información:

Security Vulnerability in the Solaris libsldap Library May Allow a Denial of Service to nscd(1M)
http://sunsolve.sun.com/search/document.do?assetkey=1-26-102926-1

Laboratorio Hispasec
laboratorio@hispasec.com

Mac OS X 10.4.10 (PPC) :
http://www.apple.com/support/downloads/macosx10410ppc.html

Mac OS X 10.4.10 Combo (PPC) :
http://www.apple.com/support/downloads/macosx10410comboppc.html

Mac OS X 10.4.10 (Intel) :
http://www.apple.com/support/downloads/macosx10410intel.html

Mac OS X 10.4.10 Combo (Intel) :
http://www.apple.com/support/downloads/macosx10410combointel.html

Mac OS X Server 10.4.10 (PPC) :
http://www.apple.com/support/downloads/macosxserver10410ppc.html

Mac OS X Server 10.4.10 Combo (PPC) :
http://www.apple.com/support/downloads/macosxserver10410comboppc.html

Mac OS X Server 10.4.10 Combo (Universal) :
http://www.apple.com/support/downloads/macosxserver10410combouniversal.html

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3170/comentar

Más información:

About the security content of the Mac OS X 10.4.10 Update
http://docs.info.apple.com/article.html?artnum=305712

Laboratorio Hispasec
laboratorio@hispasec.com

Plataforma SPARC:
Solaris 8 parche 109354-26 o posterior
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-109354-26-1
Solaris 9 parche 113240-13 o posterior
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-113240-13-1
Solaris 10 parche 125279-02 o posterior
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-125279-02-1

Plataforma x86:
Solaris 8 parche 109355-25 o posterior
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-109355-25-1
Solaris 9 parche 113241-13 o posterior
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-113241-13-1
Solaris 10 parche 125280-02 o posterior
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-125280-02-1

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3171/comentar

Más información:

dtsession(1X) Contains a Buffer Overflow Vulnerability
http://sunsolve.sun.com/search/document.do?assetkey=1-26-102954-1

Laboratorio Hispasec
laboratorio@hispasec.com

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3172/comentar

Más información:

SUSE Security Summary Report SUSE-SR:2007:013 http://lists.opensuse.org/opensuse-security-announce/2007-Jun/msg00006.html

Laboratorio Hispasec
laboratorio@hispasec.com

==== 6.- Revelacion de informacion sensible en Apache HTTP Server 2.x ====
http://www.hispasec.com/unaaldia/3164/revelacion-informacion-sensible-apache-http-server
Se ha encontrado un problema en Apache que podria ser aprovechado por atacantes para obtener informacion sensible.

==== 7.- Cuatro parches mas para Windows Safari ====
http://www.vnunet.com/vnunet/news/2192739/four-fixes-windows-safari
Apple ha lanzado una segunda actualizacion de seguridad para el navegador safari en Windows en menos de dos semanas despues de su lanzamiento.

==== 8.- Circula boletin falso de un parche de Microsoft ====
http://www.seguridad.unam.mx/noticias/?noti=2668
El centro de ataques en Internet (ISC Internet Store Center) de SANS advierte en su sitio Web de un boletin falso de un parche de Microsoft esta circulando.

==== 9.- Ejecucion de codigo en RealPlayer y HelixPlayer ====
http://www.vsantivirus.com/vul-realplayer-cve-2007-3410.htm
RealPlayer es una conocida aplicacion desarrollada por RealNetworks, que permite la reproduccion de multiples formatos multimedia. HelixPlayer es la version de codigo abierto de RealPlayer.

==== 10.- El troyano Pegan.K. Se propaga a traves de MSN Messenger ====
http://www.laflecha.net/canales/seguridad/noticias/el-troyano-pegank-se-propaga-a-traves-de-msn-messenger/
Gusano de Internet que se propaga utilizando el conocido programa de mensajeria instantanea de Microsoft, MSN Messenger.

==== 11.- Firefox, falsificacion de foco en seleccion de evento ====
http://www.vsantivirus.com/vul-firefox-focus-306007.htm
Una vulnerabilidad en Firefox, puede permitir que un atacante cambie el foco de la seleccion de un evento mostrado en pantalla. Esto puede ocurrir manipulando la funcion “onKeyDown” de JavaScript.

http://www.wireshark.org/download/prerelease/wireshark-setup-0.99.6pre2.exe

La versión estable será publicada a mediados de julio.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3174/comentar

Más información:

Multiple problems in Wireshark (formerly Ethereal) http://www.wireshark.org/security/wnpa-sec-2007-02.html

Sergio de los Santos
ssantos@hispasec.com

==== 13.- Fuentes de Información ====
- (c) 2005 Hispasec http://www.hispasec.com/copyright
- Security Hot Topic on the Windows IT Pro Network
- Malware Digest - Revista Electronica de la Lista Antivirus
- Mx-seguridad Digest - Revista Electronica de la Lista Mx-seguridad
- Trend Micro Weekly Virus Report
- Boletin Semanal de LaFlecha.net [Seguridad-Fimpes] Boletines de Seguridad

Un amigo me habló de un libro que comparaba la vida con un viaje en tren. Un viaje muy interesante al ser bien interpretado. Exactamente así, la vida no pasa de ser eso, un viaje en tren lleno de embarques y desembarques, algunos accidentes, sorpresas agradables en algunos momentos y en otras grandes tristezas.

Juan 14:5-6
“Le dijo Tomás: –Señor, no sabemos a dónde vas; ¿cómo podemos saber el camino? Jesús le dijo: –Yo soy el camino, la verdad y la vida; nadie viene al Padre, sino por mí.”

1.- Actualización crítica para Yahoo! Messenger
2.- Varias vulnerabilidades en IBM WebSphere Aplication Server 6.x
3.- Spoofing durante autentificacion basica HTTP en IE7
4.- Denegacion de servicio a traves de XNFS en Novell Netware
5.- Revelación de información sensible en Apache HTTP Server 2.x
6.- Denegación de servicio a través de BIND DNSSEC en Sun Solaris 10
7.- Actualización para Mac OS X para evitar dos vulnerabilidades
8.- Actualización del Kernel para productos Red Hat Enterprise Linux 4
9.- Fuentes de Información

==== 1.- Actualización crítica para Yahoo! Messenger ====

Se ha publicado un parche oficial disponible para su descarga desde:
http://www-1.ibm.com/support/docview.wss?uid=swg24015788

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3161/comentar

Más información:

Fix list for IBM WebSphere Application Server version 6.1
http://www-1.ibm.com/support/docview.wss?uid=swg27007951

IBM WebSphere Application Server Security Bypass and Information Disclosure Issues
http://www.frsirt.com/english/advisories/2007/2234

Laboratorio Hispasec
laboratorio@hispasec.com

==== 3.- Spoofing durante autentificacion basica HTTP en IE7 ====
http://www.vsantivirus.com/vul-ie7-cve-2007-3164.htm
Microsoft Internet Explorer 7 es propenso a una debilidad que permite falsificar el nombre del dominio en una autentificacion basica HTTP.

==== 4.- Denegacion de servicio a traves de XNFS en Novell Netware ====
http://www.hispasec.com/unaaldia/3158/denegacion-servicio-traves-xnfs-novell-netware
Se ha encontrado una vulnerabilidad en Novell NetWare que puede ser aprovechada por un atacante local para provocar una denegacion de servicio.

Existe una solución en el SVC:
http://svn.apache.org/viewvc?view=rev&revision=543515

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3164/comentar

Más información:

ASF Bugzilla Bug 41551
http://issues.apache.org/bugzilla/show_bug.cgi?id=41551

Apache HTTP Server “mod_mem_cache” Module Information Disclosure Vulnerability
http://www.frsirt.com/english/advisories/2007/2231

Laboratorio Hispasec
laboratorio@hispasec.com

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3165/comentar

Más información:

Security Vulnerability in Solaris 10 BIND DNSSEC May Cause a Denial of Service
http://sunsolve.sun.com/search/document.do?assetkey=1-26-102969-1

Laboratorio Hispasec
laboratorio@hispasec.com

Se recomienda aplicar la actualización 2007-006 disponible para su descarga desde:
http://www.apple.com/support/downloads/securityupdate20070061039.html

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3166/comentar

Más información:

About Security Update 2007-006
http://docs.info.apple.com/article.html?artnum=305759

Laboratorio Hispasec
laboratorio@hispasec.com

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3168/comentar

Más información:

Important: kernel security update
Advisory: RHSA-2007:0488-2
http://rhn.redhat.com/errata/RHSA-2007-0488.html

Laboratorio Hispasec
laboratorio@hispasec.com

==== 9.- Fuentes de Información ====
- (c) 2005 Hispasec http://www.hispasec.com/copyright
- Security Hot Topic on the Windows IT Pro Network
- Malware Digest - Revista Electronica de la Lista Antivirus
- Mx-seguridad Digest - Revista Electronica de la Lista Mx-seguridad
- Trend Micro Weekly Virus Report
- Boletin Semanal de LaFlecha.net [Seguridad-Fimpes] Boletines de Seguridad

Me encontraba en el mar Muerto, que está a 416.5 metros bajo el nivel del mar, con un calor espantoso.

Proverbios 13:22
“El bueno dejará herencia a los hijos de sus hijos, pero lo que posee el pecador está guardado para los justos.”

Un hombre seguidor de Cristo y un peluquero no creyente estaban caminando por los barrios de la ciudad. El peluquero dijo al cristiano:

Apocalipsis 3:20
“He aquí, yo estoy a la puerta y llamo; si alguno oye mi voz y abre la puerta, entraré a él y cenaré con él, y él conmigo.”

1.- Múltiples vulnerabilidades en VMWare Workstation 5.x
2.- Vulnerabilidad en cliente BitTorrent de Opera 9.20
3.- Vulnerabilidad en QuickTime mediante Java
4.- Actualización del kernel para Red Hat Enterprise Linux 5.x
5.- Múltiples vulnerabilidades a través de VPN en dispositivos Cisco PIX y ASA
6.- Múltiples vulnerabilidades en PHP 4.4.x y 5.2.x
7.- Dos vulnerabilidades en Novell Secure Login 6.x
8.- Siete boletines de seguridad de Microsoft en mayo
9.- Microsoft publicara parche de seguridad para servicio DNS
10.- “Month Of ActiveX Bugs” revelo vulnerabilidades criticas
11.- Vulnerabilidades en Trend Micro ServerProject 5.x
12.- Microsft lanzo una actualizacisn para Office 2004 para Mac
13.- Cinco fallas de seguridad en IPv6
14.- Actualización para IBM WebSphere Aplication Server 6.x
15.- Varias vulnerabilidades en Nokia Intellisync Mobile Suite
16.- Vulnerabilidad de autenticacion en Terminal Services
17.- Actualización de Linux Kernel para SuSE Linux 9.x
18.- Actualización acumulativa de seguridad para Microsoft Internet Explorer
19.- Las actualizaciones de Microsoft generan problemas a administradores
20.- Revelación de información del sistema a través de srsexec en Sun Solaris 10
21.- Varias vulnerabilidades en Samba 3.x
22.- Múltiples vulnerabilidades en productos BEA WebLogic
23.- Ataques por corrupcion de la tabla ARP en Windows
24.- Vulnerabilidad Samba ha sido corregida
25.- Escalada de privilegios a través de fallos en MySQL 5 y 4
26.- VB.DS. Troyano que oculta los archivos .DOC y .RTF
27.- Nidis. Detiene procesos activos, puede enviar spam
28.- Actualización del Kernel para Red Hat Enterprise Linux v5
29.- Dos vulnerabilidades en tratamiento de imágenes en Sun JDK 1.5.x
30.- Fuentes de Información

==== 1.- Múltiples vulnerabilidades en VMWare Workstation 5.x ====
Se han descubierto varias vulnerabilidades en VMware Workstation 5.x que podrían ser aprovechadas por un atacante para causar una denegación de servicios o eludir ciertas restricciones de seguridad.

Estas vulnerabilidades se han corregido en:
VMware Workstation 5.5.4 Build 44386, disponible desde:http://www.vmware.com/download/ws
VMware ACE 1.0.3 Build 44385, disponible desde:
http://www.vmware.com/download/ace
VMware Player 1.0.4 Build 44386, disponible desde:
http://www.vmware.com/download/player

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3112/comentar

Más información:

Workstation 5.5 Release Notes
http://www.vmware.com/support/ws55/doc/releasenotes_ws55.html

VMware ACE Release Notes
http://www.vmware.com/support/ace/doc/releasenotes_ace.html

VMware Player Release Notes
http://www.vmware.com/support/player/doc/releasenotes_player.html

VMware Workstation Shared Folders Directory Traversal Vulnerability
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=521

Laboratorio Hispasec
laboratorio@hispasec.com

==== 2.- Vulnerabilidad en cliente BitTorrent de Opera 9.20 ====
http://www.vsantivirus.com/vul-opera-bittorrent-230407.htm
Opera es un popular navegador de Internet, que ademas contiene embebido su propio cliente BitTorrent, un protocolo dise~ado para el intercambio de archivos entre iguales (Peer-To-Peer o P2P).

==== 3.- Vulnerabilidad en QuickTime mediante Java ====
http://www.vsantivirus.com/vul-quicktime-230407.htm
QuickTime es propenso a una vulnerabilidad que puede facilitar un ataque remoto a un equipo vulnerable.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3113/comentar

Más información:

Important: kernel security and bug fix update http://rhn.redhat.com/errata/RHSA-2007-0169.html

Laboratorio Hispasec
laboratorio@hispasec.com

Se aconseja consultar la tabla de versiones vulnerables y contramedidas
en:
http://www.cisco.com/warp/public/707/cisco-sa-20070502-asa.shtml

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3115/comentar

Más información:

Cisco Security Advisory: LDAP and VPN Vulnerabilities in PIX and ASA Appliances http://www.cisco.com/warp/public/707/cisco-sa-20070502-asa.shtml

Laboratorio Hispasec
laboratorio@hispasec.com

Se recomienda actualizar a la versión 5.2.2 o 4.4.7 desde http://www.php.net.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3116/comentar

Más información:

PHP 5.2.2 Release Announcement
http://www.php.net/releases/5_2_2.php

PHP 4.4.7 Release Announcement
http://www.php.net/releases/4_4_7.php

Laboratorio Hispasec
laboratorio@hispasec.com

http://download.novell.com/Download?buildid=NCwwjAbsgQQ~

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3117/comentar

Más información:

NSL 6.0.106 patch build 6.0.106 6.0.106
http://support.novell.com/docs/Readmes/InfoDocument/patchbuilder/readme_5003822.html

Laboratorio Hispasec
laboratorio@hispasec.com

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3119/comentar

Más información:

Microsoft Security Bulletin Summary for May 2007 http://www.microsoft.com/technet/security/bulletin/ms07-may.mspx

Microsoft Security Bulletin MS07-023
Vulnerabilities in Microsoft Excel Could Allow Remote Code Execution http://www.microsoft.com/technet/security/bulletin/ms07-023.mspx

Microsoft Security Bulletin MS07-024
Vulnerabilities in Microsoft Word Could Allow Remote Code Execution http://www.microsoft.com/technet/security/bulletin/ms07-024.mspx

Microsoft Security Bulletin MS07-025
Vulnerability in Microsoft Office Could Allow Remote Code Execution http://www.microsoft.com/technet/security/bulletin/ms07-025.mspx

Microsoft Security Bulletin MS07-026
Vulnerabilities in Microsoft Exchange Could Allow Remote Code Execution http://www.microsoft.com/technet/security/bulletin/ms07-026.mspx

Microsoft Security Bulletin MS07-027
Cumulative Security Update for Internet Explorer http://www.microsoft.com/technet/security/bulletin/ms07-027.mspx

Microsoft Security Bulletin MS07-028
Vulnerability in CAPICOM Could Allow Remote Code Execution http://www.microsoft.com/technet/security/bulletin/ms07-028.mspx

Microsoft Security Bulletin MS07-029
Vulnerability in RPC on Windows DNS Server Could Allow Remote Code Execution http://www.microsoft.com/technet/security/bulletin/ms07-029.mspx

Antonio Ropero
antonior@hispasec.com

==== 9.- Microsoft publicara parche de seguridad para servicio DNS ====
http://www.computerweekly.com/Articles/2007/05/08/223667/microsoft-to-release-dns-security-patch.htm
Si todo sigue de acuerdo al plan, Microsoft incluira un parche para la falla de seguridad en el servicio de DNS de su sistema en su siguiente actualizacion de seguridad.

==== 10.- “Month Of ActiveX Bugs” revelo vulnerabilidades criticas ====
http://www.informationweek.com/story/showArticle.jhtml?articleID=199300005&cid=RSSfeed_IWK_News
Despues de trabajar sobre Windows y Mac, el proyecto Month of Bugs esta trabajando sobre controles ActiveX y hasta ahora, los investigadores dijeron haber encontrado dos fallas criticas.