sábado, 30 de agosto de 2014

Cross-site scripting en múltiples productos F5

La firma SEC Consult ha anunciado una vulnerabilidad de cross-site scripting en múltiples productos F5.

F5 Networks es una compañía americana, con sede en en Seattle (Washington, EE.UU.), conocida por soluciones de alto nivel, con múltiples productos y soluciones de red que incluyen desde Application Delivery Controllers, hasta soluciones de seguridad y protección de centros de datos y de las aplicaciones de esos CPD.

El problema, con CVE-2014-4023, reside en que las entradas pasadas a tmui/dashboard/echo.jsp de la utilidad de configuración ("Configuration Utility") no son debidamente limpiadas antes de ser mostradas. Esto permite a usuarios remotos la ejecución arbitraria de código script en el navegador del usuario. Con ello el atacante podría acceder a las cookies (incluyendo las de autenticación) y a información recientemente enviada, además de poder realizar acciones en el sitio haciéndose pasar por la víctima.

Los productos afectados pertenecen principalmente a la gama de productos BIG-IP, junto con el Enterprise Manager. Concretamente se han confirmado como vulnerables los productos y versiones siguientes:
BIG-IP LTM 11.0.0 a 11.5.1 y 10.1.0 a 10.2.4
BIG-IP AAM 11.4.0 a 11.5.1 
BIG-IP AFM 11.3.0 a 11.5.1
BIG-IP Analytics 11.0.0 a 11.5.1
BIG-IP APM 11.0.0 a 11.5.1 y 10.1.0 a 10.2.4
BIG-IP ASM 11.0.0 a 11.5.1 y 10.1.0 a 10.2.4
BIG-IP Edge Gateway 11.0.0 a 11.3.0 y 10.1.0 a 10.2.4
BIG-IP GTM 11.0.0 a 11.5.1 y 10.1.0 a 10.2.4
BIG-IP Link Controller 11.0.0 a 11.5.1 y 10.1.0 a 10.2.4
BIG-IP PEM 11.3.0 a 11.5.1
BIG-IP PSM 11.0.0 a 11.4.1 y 10.1.0 a 10.2.4
BIG-IP WebAccelerator 11.0.0 a 11.3.0 y 10.1.0 a 10.2.4
BIG-IP WOM 11.0.0 a 11.3.0 y 10.1.0 a 10.2.4
Enterprise Manager 3.0.0 a 3.1.1 y 2.1.0 a 2.3.0

F5 Networks ha publicado versiones actualizadas para la mayoría de los productos afectados.

Más información:

sol15532: XSS vulnerability in echo.jsp CVE-2014-4023

Reflected Cross-Site Scripting


Antonio Ropero
Twitter: @aropero

viernes, 29 de agosto de 2014

Denegación de servicio en Squid

Se ha solucionado una vulnerabilidad de denegación de servicio en SQUID versiones 3.x (hasta 3.2.12) y 3.4 (hasta 3.4.6). 

Squid es uno de los servidores proxys más populares, en gran parte por ser de código abierto y multiplataforma (aunque sus comienzos fueron para sistemas Unix).

El problema reside en la validación incorrecta de las entradas en el tratamiento de peticiones de tipo Range. Un atacante remoto podría aprovechar este problema para provocar condiciones de denegación de servicio.

Los problemas están solucionados en las versiones Squid 3.3.13 y 3.4.7, o se puede también aplicar los parches disponibles desde:
Squid 3.0:
Squid 3.1:
Squid 3.2:
Squid 3.3:
Squid 3.4:

Como contramedida se pueden añadir en el archivo squid.conf y antes de cualquier línea http_access allow, las siguientes líneas de control de acceso:
 
 acl validRange req_header Range \
  ^bytes=([0-9]+\-[0-9]*|\-[0-9]+)(,([0-9]+\-[0-9]*|\-[0-9]+))*$
 
 acl validRange req_header Request-Range \
  ^bytes=([0-9]+\-[0-9]*|\-[0-9]+)(,([0-9]+\-[0-9]*|\-[0-9]+))*$
 
 http_access deny !validRange

Más información:

Squid Proxy Cache Security Update Advisory SQUID-2014:2






Antonio Ropero
Twitter: @aropero