miércoles, 29 de marzo de 2000

Resumen de Bugtraq del 06-03-2000 al 12-03-2000

Una semana más el resumen de Bugtraq nos trae un gran número de
vulnerabilidades de todo tipo de sistemas, Windows 95/98, NT,
Microsoft SQL, Unix, Linux, Firewalls, etc.
1. Vulnerabilidad en Telnet de POC32
2. Vulnerabilidad en accesos directos de ayuda de MS IE
3. Vulnerabilidad de tipo buffer overflow en Microsoft Clip Art
4. Vulnerabilidad en el instalador de Oracle para Linux
5. Vulnerabilidad en CGI rpm_query en Caldera OpenLinux 2.3
6. Vulnerabilidad de compromiso del password del share de la
impresora en Printtool
7. Vulnerabilidad en mtr de múltiples vendedores
8. Vulnerabilidad de Buffer Overflow Remoto en StarOffice
StarScheduler
9. Vulnerabilidad de lectura de archivos arbitrarios en
StarOffice StarScheduler
10. Vulnerabilidad de Query no validado en Microsoft SQL Server
11. Vulnerabilidad en carpetas de usuarios del shell de NT
12. Vulnerabilidad de DoS en nombre de dispositivos MS-DOS en
Microsoft Windows 95/98
13. Vulnerabilidad en la llave del registro AEDEBUG en Microsoft
Windows
14. Vulnerabilidad de FTP "ALG" en el cliente de múltiples
Vendedores de Firewalls
15. Vulnerabilidad en IrcII DCC Chat de tipo buffer overflow
16. Vulnerabilidad en wmcdplay de tipo buffer overflow

Resumen de Bugtraq del 06-03-2000 al 12-03-2000
-----------------------------------------------

1. Vulnerabilidad en Telnet de POC32
BugTraq ID: 1032
Remoto: Sí
Fecha de publicación: 07-03-2000
URL Relevante:
http://www.securityfocus.com/bid/1032
Resumen:

POC32 es un programa designado para decodificar los mensajes
POCSAG capturados vía el escaneo de las frecuencias de los
buscapersonas. Estos mensajes codificados son transferidos a la
computadora a través de señales audibles, y decodificadas y
mostradas por el programa POC32. Esta utilidad permite su
utilización de forma remota vía TCP/IP. Existe una opción para
inhabilitar esta función, sin embargo aun con esta función
desactivada sigue siendo posible efectuar un telnet al puerto del
POC32.

El programa permite múltiples intentos, por eso el password es
susceptible a ataques de fuerza bruta. Una conexión exitosa puede
permitir al atacante ver mensajes de buscapersonas decodificados.

El port por defecto es 8000 y el password por defecto es
'password'.

2. Vulnerabilidad en accesos directos de ayuda de MS IE
BugTraq ID: 1033
Remoto: Sí
Fecha de publicación: 01-03-2000
URL Relevante:
http://www.securityfocus.com/bid/1033
Resumen:

El método window.showHelp() en el Internet Explorer permite al IE
abrir archivos de ayuda HTML (.chm). Estos archivos pueden
contener accesos directos a archivos ejecutables que pueden
correr con nivel privilegiado del usuario actual. Los archivos
.chm no se pueden abrir vía http, pero un archivo .chm remoto
puede ser visualizado si está en un servidor con Microsoft
Networking (incluyendo Samba) instalado.

Por esto, un atacante puede configurar una página web con un
enlace apuntando a un archivo .chm en cualquier host con NetBios
activado. Ese archivo .chm puede estar construido para ejecutar
cualquier programa que esté en la maquina víctima o en cualquier
servidor con NetBios activado.

3. Vulnerabilidad de tipo buffer overflow en Microsoft Clip Art
BugTraq ID: 1034
Remoto: Sí
Fecha de publicación: 06-03-2000
URL Relevante:
http://www.securityfocus.com/bid/1034
Resumen:

Existe una vulnerabilidad en Microsoft Clip Art Gallery, donde un
usuario remoto puede colgar la aplicacion Clip Art o posiblemente
ejecutar código arbitrario. Clip art puede descargarse desde
cualquier sitio web e incorporarse en la galería local. Se usa un
formato particular de archivo (llamado .CIL) para transportar
nuevos archivos de Clip art a los usuarios. La vulnerabilidad
reside en que un usuario puede abrir un .CLI malformado que
contenga un campo largo descargado de algún website malicioso o
en la forma de un adjunto contenido en un email.

4. Vulnerabilidad en el instalador de Oracle para Linux
BugTraq ID: 1035
Remoto: No
Fecha de publicación: 05-03-2000
URL Relevante:
http://www.securityfocus.com/bid/1035
Resumen:

Exsiste una vulnerabilidad en el programa de instalación de
Oracle 8.1.5i. El script de instalación de Oracle crea un
directorio llamado /tmp/orainstall, perteneciente a oracle:dba,
con modo 711. Dentro de este directorio se creará otro script
llamado orainstRoot.sh, con modo 777. El script de instalación
parará su ejecucion y preguntará a la persona que lo está
instalando si desea ejecutar el otro script, pero en ningún
momento intenta determinar si el directorio o el script ya
existen. Esto hace posible crear un enlace simbólico desde
orainstRoot.sh a cualquier lugar del sistema de archivos. Esto se
puede usar para crear un archivo .rhost y ganar acceso a la
cuenta root.

Además de esto, desde que el archivo orainstRoot.sh se encuentra
en modo 777, es posible para cualquier usuario en la maquina
editar el script para ejecutar comandos arbitrarios que corren
como root. Nuevamente esto puede comprometer la cuenta root. No
se tiene conocimiento exacto de que versiones de Oracle están
afectadas, aunque está confirmado en Oracle 8.1.5i bajo
plataformas Linux/Intel. Es posible que esta vulnerabilidad
exista en otras versiones y otras plataformas.

5. Vulnerabilidad en CGI rpm_query en Caldera OpenLinux 2.3
BugTraq ID: 1036
Remoto: Sí
Fecha de publicación: 05-03-2000
URL Relevante:
http://www.securityfocus.com/bid/1036
Resumen:

Existe una vulnerabilidad en la instalación por defecto del
caldera OpenLinux 2.3. Se instala un CGI llamado rpm_query en
/home/httpd/cgi-bin/ de forma que cualquier usuario puede
ejecutar este CGI y obtener un listado de los paquetes (y sus
respectivas versiones) instalados en el sistema. Esto puede
usarse para determinar vulnerabilidades en la maquina de forma
remota.

6. Vulnerabilidad de compromiso del password del share de la
impresora en Printtool
BugTraq ID: 1037
Remoto: No
Fecha de publicación: 09-03-2000
URL Relevante:
http://www.securityfocus.com/bid/1037
Resumen:

printtool es una herramienta para la configuración de la
impresora para X11 que se vende con RedHat Linux y posiblemente
con otras distribuciones de Linux. Cuando se configura una
impresora con printtool, los permisos del archivo de
configuración son puestos para que cualquiera los pueda leer.
Esto se muestra en un ejemplo enviado a bugtraq en el que se
advierte sobre esta vulnerabilidad:

[dubhe@duat dubhe]$ ls -lsa /var/spool/lpd/lp/.config
1 -rw-r--r-- 1 root root 96 Mar 6 13:21 /var/spool/lpd/lp/.config

Es posible obtener el password para compartir la impresora desde
el momento en que se guarda en el archivo de configuración, ya
que permite lectura para todos los usuarios:

[dubhe@duat dubhe]$ cat /var/spool/lpd/lp/.config
share='\\xxxxx\HP'
hostip=xxx.xxx.xxx.xxx
user='username'
password='1111'
workgroup='xxxxxxxx'

7. Vulnerabilidad en mtr de múltiples vendedores
BugTraq ID: 1038
Remoto: No
Fecha de publicación: 03-03-2000
URL Relevante:
http://www.securityfocus.com/bid/1038
Resumen:

Existe una vulnerabilidad potencial en el programa 'mtr' de Matt
Kimball y Roger Wolff. Las versiones anteriores a la 0.42 asignan
privilegios de forma incorrecta en todas las variantes de Unix
excepto en HPUX. Mediante una llamada a setuid(getuid()) los
autores esperan asignar permisos para prevenir la obtención de
privilegios root, ahí debería haber una potencial vulnerabilidad
en el mtr o en una librería que depende de este.

Sin embargo, debido a semántica del uid guardado, el uid de 0 se
puede recobrar de forma simple al hacer un setuid(0). Un atacante
solo necesita encontrar un desbordamiento en una de las librerías
que usa mtr, como por ejemplo gtk o curses. En las versiones
parcheadas, las llamadas a seteuid() se han cambiado a setuid().
Esto elimina este potencial problema.

Se ha sugerido que las distribuciones de Linux que incluyen mtr
usan la versión 0.28. Esta versión es vulnerable. Por favor
consulte en el sitio web de su distribución para mas información.

8. Vulnerabilidad de buffer overflow remoto en StarOffice
StarScheduler
BugTraq ID: 1039
Remoto: Sí
Fecha de publicación: 09-03-2000
URL Relevante:
http://www.securityfocus.com/bid/1039
Resumen:

StarOffice es una suite de utilidades para escritorio de Sun
Microsystems. StarScheduler es un servidor de groupware que se
vende con StarOffice y que incluye un servidor web vulnerable a
ataques remotos de tipo buffer overflow. Por defecto, el
webserver corre como root y queda escuchando el port 801. Cuando
se realiza un pedido de GET con un parámetro mas largo que el
predefinido, la pila se desborda y se altera la secuencia de
ejecución. Es posible sobreescribir la dirección de retorno en
la pila y poder ejecutar código arbitrario corriendo como root.

La consecuencia de esta vulnerabilidad compromete la cuenta root
de forma remota.

9. Vulnerabilidad de lectura de archivos arbitrarios en StarOffice
StarScheduler
BugTraq ID: 1040
Remoto: Sí
Fecha de publicación: 09-03-2000
URL Relevante:
http://www.securityfocus.com/bid/1040
Resumen:

StarOffice es una suite de utilidades para escritorio de Sun
Microsystems. StarScheduler es un servidor de groupware que se
vende con StarOffice e incluye un servidor web que corre como
root por defecto. Cuando se envía un pedido de un documento al
webserver, el demonio httpd del StarScheduler va a seguir el path
¨../¨. Como resultado, el explotar esto permite a el atacante ver
cualquier archivo en la maquina atacada, inclusive ficheros como
/etc/shadow.

10. Vulnerabilidad de Query no validado en Microsoft SQL Server
BugTraq ID: 1041
Remoto: Sí
Fecha de publicación: 03-08-2000
URL Relevante:
http://www.securityfocus.com/bid/1041
Resumen:

Microsoft SQL Server 7.0 y Data Engine (un add-on compatible con
SQL para Access 2000 y Visual Studio 6.0) acepta peticiones de
SQL que pueden usarse para comprometer la base de datos o el
sistema operativo.

Cualquier usuario con privilegios para ejecutar comandos SQL
tiene la posibilidad de pasar comandos a través de la sentencia
SELECT del SQL que va a correr en un nivel privilegiado del
usuario propietario de la base de datos o del administrador.

11. Vulnerabilidad en carpetas de usuarios del shell de NT
BugTraq ID: 1042
Remoto: No
Fecha de publicación: 09-03-2000
URL Relevante:
http://www.securityfocus.com/bid/1042
Resumen:

El valor del registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\UserShell Folders\Common Startup

Especifica compartir la carpeta de inicio para todos los usuarios
del sistema. Esta entrada esta configurada con permisos de
escritura para cualquier usuario autentificado. Así, cualquier
usuario puede especificar una carpeta con un acceso directo a un
programa a elección, que va a correr (con su nivel de
privilegios) cada vez que un usuario se conecte.

12. Vulnerabilidad de DoS en nombre de dispositivos MS-DOS en
Microsoft Windows 95/98
BugTraq ID: 1043
Remoto: Sí
Fecha de publicación: 04-03-2000
URL Relevante:
http://www.securityfocus.com/bid/1043
Resumen:

Debido a un error en los sistemas operativos Microsoft Windows 95
y Microsoft Windows 98, los usuarios locales y remotos tienen la
capacidad de colgar el sistema simplemente pidiendo un path y un
archivo que estén referidos a un nombre de un dispositivo
reservado de la forma dispositivo\dispositivo.

Los siguientes nombres de dispositivo son los conocidos para
hacer el sistema inestable: CON, NUL, AUX, PRN, CLOCK$, COMx,
LPT1, y CONFIG$.

Esta vulnerabilidad puede ser explotada en una montón de formas
Los usuarios locales son capaces de colgar el sistema operativo
con solo intentar abrir un archivo de tipo
dispositivo\dispositivo, ej. con Microsoft Word o el con el
símbolo del sistema. Se puede obtener el mismo resultado al
visitar un sitio web y consultar una página HTML con una
referencia local a un dispositivo\dispositivo como <img
src="c:\con\con">.

Es posible colgar de forma remota una maquina con Windows 95/98.
Este bug se puede explotar remotamente a través de cualquier
servicio que involucre al usuario remoto a especificar en la
maquina víctima ej. ftp o servicios web, netbios shares, etc.

FTP: ftp> ls nul/nul
WWW: http ://target/con/con
\\target\prn\prn
etc.

13. Vulnerabilidad en la llave del registro AEDEBUG en Microsoft
Windows
BugTraq ID: 1044
Remoto: Sí
Fecha de publicación: 22-06-1998
URL Relevante:
http://www.securityfocus.com/bid/1044
Resumen:

En algunas instalaciones de Windows NT los permisos por defecto
permiten a los miembros del grupo 'Everyone' escribir en el valor
del registro que controla el debugger (depurador) que se ejecuta
ante una caída del sistema. El valor del registry en cuestion
es:

\HKLM\Software\Microsoft\Windows NT\CurrentVersion\AeDebug\Debugger

También, existe un valor que controla si se le presenta alguna
pregunta al usuario antes de que se ejecute el debugger seleccionado.

\HKLM\Software\Microsoft\Windows NT\CurrentVersion\AeDebug\auto

Por lo tanto, un atacante puede especificar que programa se
ejecutará ante el evento de que un proceso se caiga. Notese que
el código a ejecutar ya debe estar presente en la maquina atacada.

14. Vulnerablidad de FTP "ALG" en el cliente de múltiples
vendedores de firewalls
BugTraq ID: 1045
Remoto: Sí
Fecha de publicación: 10-03-2000
URL Relevante:
http://www.securityfocus.com/bid/1045
Resumen:

Existe un vulnerabilidad en el manejo de ciertas reglas de
algunos firewalls, que puede permitir a los usuarios exteriores
al cortafuegos ganar acceso limitado a áreas protegidas por el
firewall. También es posible usar clientes basados en esta
vulnerabilidad para explotar estos problemas.

Mandando un email que contenga un tag de HTML como el siguiente:
"><img src="ftp://ftp.rooted.com/aaaa[muchas A]aaaPORT 1,2,3,4,0,139">

Al balancear el numero de letras A el comando PORT comienza en un
nuevo límite, el firewall va a pasar incorrectamente el resultado
del RETR /aaaaaaaa[....]aaaaaPORT 1,2,3,4,0,139 como primero un
RETR y después un comando PORT, y abrirá el puerto 139 a la
dirección de origen. Esto permitirá al sitio donde esta el
servidor conectarse al puerto 139 del cliente. Puede usarse
cualquier puerto en lugar del 139, salvo cuando el firewall lo
bloquee específicamente.

15. Vulnerabilidad en IrcII DCC Chat de tipo buffer overflow
BugTraq ID: 1046
Remoto: Sí
Fecha de publicación: 10-03-2000
URL Relevante:
http://www.securityfocus.com/bid/1046
Resumen:

IrcII es un conocido Cliente de IRC para unix. Es sabido que la
version 4.4-7 y posiblemente versiones previas son vulnerables a
condiciones de buffer overflow en el DCC chat. Puede ser posible
ejecutar código arbitrario en un cliente intentando iniciar un
dcc chat. Explotar esta vulnerabilidad puede resultar en un
compromiso remoto con los privilegios del usuario que este
corriendo el cliente de ircII.

16. Vulnerabilidad en wmcdplay de tipo buffer overflow
BugTraq ID: 1047
Remoto: No
Fecha de publicación: 11-03-2000
URL Relevante:
http://www.securityfocus.com/bid/1047
Resumen:

wmcdplay es un cdplayer usado generalmente con el sistema de
ventanas WindowMaker X11 en sistemas unix. Cuando wmcdplay se
instala por defecto cambia setuid a root. wmcdplay es vulnerable
a ataques de buffer overflow debido a la ausencia del chequeo de
los límites de un argumento se le pasa. Como resultado, un
usuario local puede elevar sus privilegios hasta root, al
sobreescribir la pila y ejecutar código arbitrario con la
identificación de usuario efectiva (euid) del proceso (root).


Hernan M. Gips
chipi@core-sdi.com
Investigacion y Desarrollo - CoreLabs - Core SDI
http://www.core-sdi.com



No hay comentarios:

Publicar un comentario en la entrada