sábado, 22 de enero de 2000

Resumen de Bugtraq del 16-01-2000 al 24-01-2000

Vulnerabilidades en W3C httpd, VCasel, Nortel Contivity, Netopia
Timbuktu y múltiples vendedores de BSD. Parches de Microsoft
para un buffer overflow a través de ficheros RTF y conversión
erronea de datos.
1. Vulnerabilidad de race condition en /tmp en el make de múltiples
vendedores de BSD
2. Vulnerabilidad de username/password en texto claro en Netopia
Timbuktu
3. Vulnerabilidad de revelación de ruta en W3C httpd (Formalmente
'CERN httpd')
4. Vulnerabilidad de "trusted filenames" en VCasel
5. Vulnerabilidades de negación de servicio y vista de archivos
en Nortel Contivity

Actualización de parchers del 16-01-2000 al 24-01-2000
-----------------------------------------------------
1. Vulnerabilidad parcheada: Conversión errónea de datos
2. Vulnerabilidad parcheada: Malformed RTF Control Word

Resumen de Bugtraq del 16-01-2000 al 24-01-2000
-----------------------------------------------

1. Vulnerabilidad de race condition en /tmp en el make de
múltiples vendedores de BSD
BugTraq ID: 939
Remoto: No
Fecha de publicación: 19-01-2000
URL Relevante: http://www.securityfocus.com/bid/939
Resumen:

Existe una race condition explotable en versiones de make
derivadas del BSD. El problema se encuentra en la manera en
que make se comunica con sus procesos hijos cuando se le pasa
el parámetro -j. "make" se comunica a través de escribir
comandos de shell a archivos temporales en /tmp. Estos,
pueden ser leídos por los procesos hijos (y luego
ejecutados...). En el proceso de llevar esto a cabo, "make"
crea y reusa archivos temporales con nombres de archivos
conocidos. Si el nombre de archivo a usar es observado por
un atacante, es posible escribir comandos arbitrarios a
estos archivos inmediatamente después de los legítimos, y
luego estos serán ejecutados por los procesos hijos si la
race condition es exitosa por parte del atacante.

2. Vulnerabilidad de username/password en texto claro en
Netopia Timbuktu
BugTraq ID: 935
Remoto: Sí
Fecha de publicación: 18-01-2000
URL Relevante: http://www.securityfocus.com/bid/935
Resumen:

Timbuktu Pro de Netopia es un paquete de software de
administración remota que corre bajo Windows NT (entre otras
plataformas). Cuando un usuario de un host Windows NT se
loguea a su maquina remotamente usando Timbuktu Pro, el
nombre de usuario y su password son enviadas en texto claro
(sin cifrar) al host para su autenticación. Esto permite que
cualquiera que este espiando el tráfico de red obtenga el
username y password, exactamente como fueron escritos por el
usuario. De esta forma podrá acceder al host al cual éste se
está logueando impersonándolo (y posiblemente pueda llegar
a comprometer la maquina).

3. Vulnerabilidad de revelación de ruta en W3C httpd
(Formalmente 'CERN httpd')
BugTraq ID: 936
Remoto: Sí
Fecha de publicación: 18-01-2000
URL Relevante: http://www.securityfocus.com/bid/936
Resumen:

Cuando se pide un documento cgi-bin inexistente al servidor de
web W3C (también conocido como CERN), el mensaje de error
revelara el path absoluto de los documentos web en el sistema
de archivos del host destino. El siguiente ejemplo fue tomado
de un mensaje que Niklas Schiffler envió
a Bugtraq sobre este tema:

http://www.victim.com/cgi-bin/ls

resulta en:

Bad script request -- neither '/usr/local/etc/ls'
nor'/usr/local/etc/ls.pp' is executable

http://www.victim.com/cgi-bin/cat

resulta en:

Bad script request -- neither '/usr/local/etc/cat' nor
'/usr/local/etc/cat.pp' is executable

4. Vulnerabilidad de "trusted filenames" en VCasel
BugTraq ID: 937
Remoto: No
Fecha de publicación: 18-01-2000
URL Relevante: http://www.securityfocus.com/bid/937
Resumen:

Visual CASEL de Computer Power Solutions es un producto de
seguridad para redes Novell y Windows NT. Entre otras cosas,
provee la capacidad de limitar lo que un usuario puede
ejecutar en una red basándose en "trusted filenames"
(nombre de archivos confiables). Desafortunadamente, Visual
CASEL deposita toda su confianza en el nombre del archivo
solamente, en vez de tener en cuenta el path absoluto y el
nombre de los archivos confiables (que el usuario puede
ejecutar). Debido a esto, es posible ejecutar un archivo
malicioso que normalmente no debería poder ser ejecutado
si su nombre es el de un "archivo confiable". Por ejemplo
(ejemplo resumido obtenido de un mensaje de XDeath en
Bugtraq):

Un usuario copia pong.exe a su directorio home y trata de
ejecutarlo (y la ejecución es negada). El usuario renombra
el archivo pong.exe a write.exe y lo ejecuta. ("write.exe"
es un nombre de archivo confiable, mientras que
c:\windows\write.exe no lo es).

5. Vulnerabilidades de negación de servicio y vista de
archivos en Nortel Contivity
BugTraq ID: 938
Remoto: Sí
Fecha de publicación: 18-01-2000
URL Relevante: http://www.securityfocus.com/bid/938
Resumen:

La serie Contivity de dispositivos de red (switches para
extranets) recién lanzada por Nortel incluye un demonio
http (para proporcionar una interfaz para administración
remota) que corre encima de VxWorks. Puede caerse
totalmente el sistema como resultado de explotar una
vulnerabilidad en un programa cgi-bin llamado "cgiproc"
que se incluye con el servidor de web. Si metacaracteres
como "!", o "$" se pasan a cgiproc, el sistema se caerá.

foo proporcionó el
siguiente ejemplo:

http://x.x.x.x/manage/cgi/cgiproc?$

[el sistema se cae]

No queda ninguna evidencia de este exploit grabada en los
logs.

Otra vulnerabilidad en cgiproc es la falta de
autenticación cuando se le piden páginas web de
administración. La consecuencia de esto es que un
atacante puede ver cualquier archivo en el servidor
web.

foo tambien facilitó un
ejemplo de esta vulnerabilidad:

http://x.x.x.x/manage/cgi/cgiproc?Nocfile=/name/and/path/of/file.

(lugares interesantes para mirar: /system/filelist.dat,
/system/version.dat, /system/keys, /system/core, etc.)

Cuando sucede el exploit sólo se escribe en los logs
lo que se indica a continuación.

09:44:23 tEvtLgMgr 0 : Security [12] Management:
Request for cgiproc denied. requires login

Para poder realizar las operaciones detalladas en este
reporte, los "atacantes" deben ser usuarios internos,
del lado privado o usuarios autenticados del tunel y el
administrador del sitio debe permitirles el uso del
protocolo HTTP para el manejo de acceso.

Actualización de parches del 16-01-2000 al 24-01-2000
-----------------------------------------------------
1. Vulnerabilidad parcheada: Conversión errónea de datos
Vendedor: Microsoft
Producto:
- Microsoft Converter Pack 2000 para Windows
- Microsoft Office 2000 para Windows con Multilanguage Pack
- Versiones en Japonés, Coreano, Chino (Simplificado y
Tradicional).
- Microsoft Word 97, 98 y 2000 para Windows, disponible
como un producto aparte o como parte de:
- Office 97, Office 97 Powered by Word 98, Office 2000 para
Windows
- Works Suite 2000 para Windows
- Microsoft PowerPoint 97 y 2000 para Windows, Disponible
como un producto aparte o como parte de:
- Office 97, Office 97 Powered by Word 98, Office 2000 para
Windows

Ubicación del Patch:

- Word 97 o 98, PowerPoint 98:
- US:
http://officeupdate.microsoft.com/downloaddetails/ww5pkg.htm
- Japón:
http://officeupdate.microsoft.com/japan/downloaddetails/MalformedData-97.htm
- Corea:
http://officeupdate.microsoft.com/korea/downloaddetails/MalformedData-97.htm
- China:
http://officeupdate.microsoft.com/china/downloaddetails/MalformedData-97.htm
- Taiwan:
http://officeupdate.microsoft.com/taiwan/downloaddetails/MalformedData-97.htm
- Hong Kong:
http://officeupdate.microsoft.com/hk/downloaddetails/MalformedData-97.htm

- Converter Pack 2000; Office 2000 con el Multilanguage Pack; Word 2000, PowerPoint 2000:
- US:
http://officeupdate.microsoft.com/2000/downloaddetails/ww5pkg.htm
- Japon:
http://officeupdate.microsoft.com/japan/downloaddetails/2000/MalformedData-2K.htm
- Corea:
http://officeupdate.microsoft.com/korea/downloaddetails/2000/MalformedData-2K.htm
- China:
http://officeupdate.microsoft.com/china/downloaddetails/2000/MalformedData-2K.htm
- Taiwan:
http://officeupdate.microsoft.com/taiwan/downloaddetails/2000/MalformedData-2K.htm
- Hong Kong:
http://officeupdate.microsoft.com/hk/downloaddetails/2000/MalformedData-2K.htm

2. Vulnerabilidad parcheada: Malformed RTF Control Word
Vendedor: Microsoft
Producto:
- Microsoft Windows 95
- Microsoft Windows 98
- Microsoft Windows 98 Segunda Edicion
- Microsoft Windows NT 4.0 Workstation
- Microsoft Windows NT 4.0 Server
- Microsoft Windows NT 4.0 Server, Enterprise Edition
- Microsoft Windows NT 4.0 Server, Terminal Server Edition
Ubicacion del Patch:
- Windows 95:
http://www.microsoft.com/windows95/downloads/contents/WUCritical/rtfcontrol/default.asp
- Window 98:
http://www.microsoft.com/windows98/downloads/contents/WUCritical/rtfcontrol/default.asp
- Windows NT 4.0 Workstation, Windows NT 4.0 Server, y Windows NT 4.0
Server, Enterprise
Edition:
Intel:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=17510
Alpha:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=17511
- Windows NT 4.0 Server, Terminal Server Edition:
A ser lanzado próximamente.



Hernan Ochoa
hochoa@core-sdi.com
Investigacion y Desarrollo - CoreLabs - Core SDI
http://www.core-sdi.com