miércoles, 28 de febrero de 2001

Una URL puede provocar un fallo en un servicio de IIS 5 y Exchange 2000

Internet Information Server 5.0 contiene un error que afecta en la
forma en que se tratan las URLs con una construcción y longitud
específicas. Si se envían múltiples peticiones de dicha URL
específicamente diseñada podrá causar un error en la asignación de
memoria que provocará un fallo en el servicio IIS.
Esta vulnerabilidad de denegación de servicios también afecta a
Exchange 2000. Esto ocurre debido a la necesidad de soportar clientes
de correo basados en web, Exchange introduce diversos componentes de
IIS 5.0, y una parte del código que conforma el servidor de correo es
el afectado por el problema.

Los dos programas contienen el mismo error, que puede ser explotado de
la misma forma, pero el efecto en ambos casos será la caída del
servicio IIS. En ningún caso el servidor Exchange sufrirá por un
ataque de este tipo, por lo que los usuarios podrán seguir usando sus
clientes de correo de forma habitual. Tan sólo se ve afectado el
servicio IIS, por lo que en tal caso si se verán afectados los
usuarios que hagan uso de un cliente de correo basado en web.

Como el problema ocurre en dos módulos diferentes, uno de los cuales
se instala como parte de IIS 5.0 y ambos forman parte de Exchange
2000, los administradores de Exchange 2000 deben instalar los dos
parches que publica Microsoft para corregir el problema.

Esta vulnerabilidad tiene varios factores que mitigan su gravedad. En
primer lugar en ningún caso podrá permitir a un atacante la
consecución de privilegios administrativos o cualquier tipo de control
sobre el servidor. Por otra parte los servicios afectados se reinician
de forma automática en caso de fallo, por lo que los sistemas
afectados podrán reanudar su funcionamiento de forma casi inmediata.



Antonio Ropero
antonior@hispasec.com


Más información:

Boletín de Microsoft (MS01-14)
http://www.microsoft.com/technet/security/bulletin/MS01-014.asp

Parche para Microsoft IIS 5.0
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=28155

Parche para Microsoft Exchange 2000
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=28369



martes, 27 de febrero de 2001

Un virus para usuarios de Gnutella

Kaspersky ha levantado el aviso, se acaba de descubrir un nuevo gusano
que bajo el nombre de "Mandrágora" (Mandragore ) afecta a los usuarios
del popular programa de intercambio de archivos Gnutella.
Gnutella es un programa de intercambio de archivos, que hace uso de la
tecnología P2P (Peer to Peer) extendida y popularizada por Napster.
Ahora que Napster parece que tiene los días contados, Gnutella será el
que ocupe ese puesto de honor al ser el que más usuarios hagan uso de
este software. Pero desde los laboratorios de Kaspersky llega un aviso
de algo que tarde o temprano se veía que tenía que ocurrir, una alerta
de seguridad relacionada con este tipo de tecnologías, en este caso se
trata de un nuevo gusano.

Las evidencias de que este tipo de tecnología se prestaba a la
propagación de código malicioso no es nueva, ya en mayo del pasado año
de la lista Bugtraq se habló de este tema a raíz de un estudio
realizado por Seth MacGann. Pero en el aviso de Kaspersky queda bien
claro que este es el primer patógeno que hace uso de esta tecnología
que se descubre "in the wild".

Si bien el nombre de Mandragore viene dado por su autor del ya
conocido grupo de programadores de virus 29A, ya que registra su
"firma" en una cadena dentro del código del gusano:
[Gspot 1-]
freely shared by mandragore/29A

"Mandragore" es un archivo EXE, que casi podríamos definir como a la
antigua usanza, programado en ensamblador y con un tamaño de 8192
bytes. Una vez que el archivo se ejecuta hace que el sistema se
registre como un nodo activo dentro de la red Gnutella e intercepta
todas las peticiones de búsqueda de archivos.

Cuando se detecta una petición el gusano devuelve un resultado
positivo y ofrece al usuario que realizo la petición la posibilidad
de recibir el fichero solicitado, aunque este no se encuentre en el
sistema. Para ocultar su intención maliciosa, Mandragore se renombra
con el nombre del archivo solicitado.

Pero tal y como aclara Kaspersky el gusano se reproduce a través de la
red de Gnutella, y es imposible que el virus penetre en un sistema que
no tenga algún software compatible con este sistema instalado, como
Gnotella, BearShare, LimeWire o ToadNode.

Al realizar la infección el gusano se copia asimismo en la carpeta de
inicio de Windows con el nombre de "gspot.exe" y se aplica los
atributos de sistema y oculto. Mediante este primitivo sistema el
virus logra permanecer oculto e iniciarse de forma automática cada
vez que se inicia el ordenador, de forma que permanece en la memoria
como proceso activo.



Antonio Ropero
antonior@hispasec.com


Más información:

AVP
http://www.avp.ru/news.asp?tnews=0&nview=1&id=162&page=0

Viruslist
http://www.viruslist.com/eng/viruslist.asp?id=4161&key=000010001300006



lunes, 26 de febrero de 2001

Vulnerabilidad en el Visor de Eventos de Windows 2000

Microsoft publica un nuevo boletín de seguridad en el que se informa
de una vulnerabilidad en el Visor de Eventos de Windows 2000. Un
buffer sin comprobar y que puede provocar el clásico ataque de
desbordamiento de buffer con la posibilidad de ejecución de código
en la máquina atacada.
El visor de eventos de Windows 2000 contiene un buffer sin comprobar
en una sección de código encargada de mostrar una vista detallada de
los registros de eventos. Si se intenta visualizar los detalles de un
registro que contenga datos especialmente mal construidos en alguno
de los campos, podrá provocar el desbordamiento de buffer. Como es
habitual en estos casos el problema puede dar lugar a un bloqueo del
Visor de Eventos o, lo que es peor, la ejecución de código en el
sistema atacado.

El código malicioso se ejecutará en el contexto del usuario que
visualiza el Visor de Eventos, aunque generalmente esta herramienta
suele ser empleada por los propios administradores. Hay que tener en
cuenta que no basta con visualizar o abrir el Visor de Eventos para
que se reproduzca el fallo se debe abrir, para ampliar detalles, el
registro afectado.

Para crear una entrada maliciosa en el Visor de Eventos el atacante
deberá tener acceso al sistema, si bien los usuarios sin privilegios
tienen capacidad para escribir entradas en los registros de Aplicación
y Sistema mediante llamadas a la API Win32. El atacante puede escribir
una aplicación maliciosa que genere esas entradas dañinas en el Visor
de Eventos que posteriormente si son visualizadas por el Administrador
darán lugar al compromiso de la máquina.

Aunque el problema puede ser difícil de reproducir, Microsoft publica
un parche cuya instalación se recomienda en todos los sistemas que
puedan verse afectados por la vulnerabilidad.



Antonio Ropero
antonior@hispasec.com


Más información:

Boletín de seguridad Microsoft (MS01-13)
http://www.microsoft.com/technet/security/bulletin/MS01-013.asp

Dirección de descarga del parche
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=27842



domingo, 25 de febrero de 2001

Outlook vulnerable por las vCard

Todos los Outlook son vulnerables ante un problema de desbordamiento
de buffer por el tratamiento de las tarjetas vCard. Microsoft ha
publicado un parche para cubrir los problemas ocasionados por esta
vulnerabilidad que puede llegar a emplearse para causar la ejecución
de código malicioso.
El problema descubierto por @stake afecta tanto a Outlook como a
Outlook Express debido a que el componente encargado del tratamiento
de las tarjetas vCard es el mismo para los dos programas. Las tarjetas
vCard son los archivos que se reciben adjuntos en un mensaje y se
emplean para enviar datos personales como domicilio, teléfono, etc.
Las tarjetas vCard es un estándar definido por la RFC 2426.

Existe un problema de desbordamiento de buffer provocado por el
tratamiento que se realiza del campo de la fecha de nacimiento en el
archivo vcf. El problema puede permitir a un atacante la ejecución de
código malicioso en el sistema comprometido. Para que se produzca el
desbordamiento el usuario deberá abrir el archivo adjunto de la
tarjeta.

El problema puede ser empleado por un atacante para la distribución de
virus o para introducir un troyano en un equipo, además debido a que
las tarjetas vCard no es un medio reconocido para la distribución de
este tipo de material, por lo que el usuario puede llegar a ser
fácilmente inducido a abrir el archivo adjunto.

Microsoft publica un parche para cubrir esta vulnerabilidad, por lo
que se recomienda la instalación de esta actualización para evitar
cualquier problema que pueda ocasionar.



Antonio Ropero
antonior@hispasec.com


Más información:

Aviso de seguridad de @stake
http://www.atstake.com/research/advisories/2001/a022301-1.txt

Boletín de seguridad Microsoft (MS01-12)
http://www.microsoft.com/technet/security/bulletin/MS01-012.asp

Localización del parche
http://www.microsoft.com/windows/ie/download/critical/q283908/default.asp



sábado, 24 de febrero de 2001

Vulnerabilidad en Pi3Web v1.0.1

Pi3Web v1.0.1 es un servidor web gratuito para entornos Windows. Se
encuentra afectado por un desbordamiento de búfer, además revela el
path completo donde se encuentra instalado en el sistema.
El desbordamiento de búfer es causado al pasar una cadena de
caracteres demasiado extensa como parámetro al módulo ISAPI del tipo:
http://servidor/isapi/tstisapi.dll?[AAA...].

Si el atacante consiguiera reproducir un error 404 en el servidor,
este revelará la ruta del servidor, el ejemplo sería:
http://servidor/(caracteres que causen un error 404)



Antonio Román
antonio_roman@hispasec.com


Más información:

Vulnerabilities in Pi3Web Server
http://www.securityfocus.com/archive/1/163393



viernes, 23 de febrero de 2001

Vulnerabilidades en el servidor web BadBlue 1.02.7

El servidor web BadBlue, para entornos Windows 9x/NT/2000, se ve
afectado por una vulnerabilidad por la cual un atacante podrá
descubrir el directorio real donde se aloja el servidor web. Además,
también es vulnerable a un ataque por denegación de servicios.
Este problema está relacionado por el modo que tiene el mencionado
servidor de realizar su llamada a una "dll". La librería afectada es
ext.dll.

Por ejemplo:
http://servidor/ext.dll?mfcisapicommand=loadpage&page=default.hts.
Si se omite la cadena que continua a la llamada a ext.dll de modo,
(http://servidor/ext.dl) BadBlue contestará con un mensaje de error
que muestra la ruta completa donde corre el servidor web,
[Error: opening c:\program files\badblue\pe\default.htx (2)].

Aunque este no es un problema excesivamente grave, ni provoca la
pérdida de datos, si puede permitir a un atacante obtener una
información que le puede ser de utilidad para la realización de un
ataque más elaborado.

Otra posibilidad que pondría en peligro el servidor web, es la
posibilidad de sufrir un ataque de denegación de servicios. Un
atacante puede conseguir un desbordamiento de bufer y por tanto que
el servidor deje de responder si se pasa una cadena de caracteres de
284 bytes o más como parámetro de ext.dll.
(http://server/ext.dll?aaaaa(x 248 bytes).

La solución a estos problemas pasa por actualizar a la versión
1.02.8 Beta disponible en http://www.badblue.com/down.htm



Antonio Román
antonio_roman@hispasec.com


Más información:

Bugtraq
http://www.securityfocus.com/archive/1/163931

BadBlue
http://www.badblue.com



jueves, 22 de febrero de 2001

Recuperación de clave de sesión en SSH-1

Una combinación de ataques puede llegar a determinar la clave de
sesión de una conexión SSH-1, permitiendo acceder a su contenido y, si
sigue en curso, modificar el intercambio de información de manera
arbitraria.
El intercambio de claves públicas en el protocolo SSH-1 sigue el
estándar PKCS#1_1.5. Combinando un ataque desarrollado por David
Bleichenbacher con un ataque de análisis temporal, es posible
recuperar la clave de sesión empleada por una conexión determinada.
Si la sesión sigue en curso, poseer la clave supone poder leer su
contenido y modificar el intercambio de datos de manera arbitraria.
Si la sesión ya ha terminado, el atacante puede acceder a su contenido
si almacenó los datagramas intercambiados durante la conexión.

La vulnerabilidad afecta a todas las implementaciones SSH-1, en mayor
o menor medida.

El ataque es complejo y requiere unas 2^20 (un millón) de conexiones,
para una clave de 1024 bits. Dado que las claves que atacamos se
regeneran cada hora, típicamente, ello implica unas 400 conexiones por
segundo. Naturalmente, estas cifras son una media; entra dentro de lo
posible que se consigua obtener la clave de sesión al primer intento.

El número de conexiones necesarias hace que algunas implementaciones
sean inmunes, ya que imponen límites en el número de sesiones
concurrentes y en la tasa de recepción de nuevas conexiones. Es el
caso, por ejemplo, de OpenSSH.

El aviso original contenía un parche que, lamentablemente, era
inoperativo. La página web del aviso ya ha sido actualizada con un
parche correcto, para la implementación SSH.com.



Jesús Cea Avión
jcea@hispasec.com


Más información:

SSH protocol 1.5 session key recovery vulnerability
http://www.core-sdi.com/advisories/ssh1_sessionkey_recovery.htm



miércoles, 21 de febrero de 2001

Problemas de seguridad en diversas implementaciones SSH

En los últimos días se han encontrado varios problemas de seguridad en
varias implementaciones SSH:
- La implementación AFS/Kerberos v4 de SSH-1.2.2x es susceptible a un
ataque de desbordamiento de búfer que permite ejecutar código
arbitrario en el servidor.

OpenSSH corrigió el problema en Septiembre de 1.999. Los sistemas
que empleen AFS/Kerberos 4 deberían actualizar a OpenSSH.

- Bajo NetBSD, las claves generadas, si no se dispone del módulo
"RND(4)" en el Kernel, son de muy mala calidad.

- Las versiones de desarrollo de OpenSSH 2.3.1 sólo comprobaban que el
cliente dispusiera de la clave pública autorizada, pero no
verificaban que estuviese en posesión de la clave privada. Dado que
la clave pública es "pública", esta vulnerabilidad era grave.

El problema fue detectado y solucionado el 8 de Febrero. Los
usuarios que hayan descargado la versión de desarrollo de OpenSSH
2.3.1 entre el 18 de Enero y el 8 de Febrero de 2.001 deberían
actualizarse.

- Las claves generadas por FreSSH en sistemas operativos sin un
dispositivo "/dev/random" o similar son de muy baja calidad. Ello
incluye AIX, Solaris, HP/UX e Irix.

Oficialmente, estos sistemas operativos no están soportados, pero
nada impide a un administrador compilar FreSSH en una de estas
arquitecturas. El código resultante funcionará correctamente pero,
sin ninguna advertencia, generará claves de muy baja calidad.



Jesús Cea Avión
jcea@hispasec.com


Más información:

FreSSH
http://www.fressh.org/

OpenSSH Security
http://www.openssh.com/security.html

Secure Shell vulnerabilities and key generation
ftp://ftp.netbsd.org/pub/NetBSD/misc/security/advisories/NetBSD-SA2001-003.txt.asc

Authentication By-Pass Vulnerability in OpenSSH-2.3.1
http://www.openbsd.org/advisories/ssh_bypass.txt



martes, 20 de febrero de 2001

Se publica la versión 1.2RC3 del ProFTPD

La versión 1.2RC3 de ProFTPD se ha hecho pública hace una semana,
solucionando algunos problemas de seguridad importantes.
ProFTPD es un servidor de FTP (File Transfer Protocol - Protocolo de
transferencia de archivos) para entornos UNIX, distribuído bajo
licencia GNU GPL. Se trata de un servidor de gran calidad, con una
buena reputación a nivel de rendimiento y seguridad.

Las versiones previas a la 1.2RC3 de ProFTP, no obstante, adolecen de
varios problemas de seguridad:

* "Memory leak" (pérdidas de memoria) cuando se ejecuta el comando
"SIZE". Esta vulnerabilidad permite que un atacante vaya consumiendo
más y más memoria, a base de enviarle comandos "SIZE". Aunque el
consumo de memoria es moderado (5.000 peticiones "SIZE" consumen
unos 300Kbytes de memoria), un atacante lo bastante persistente
puede lograr que el servidor empiece a "paginar" memoria a disco y,
una vez que el espacio de "swap" se llena, puede bloquear el
servidor o forzar su caída.

Una investigación posterior demostró que la vulnerabilidad existe
también para otros comandos, y que la pérdida de memoria se produce
cuando el ProFTPD no está bien instalado e intenta abrir un fichero
"scoreboard" (coordinación entre los diferentes demonios) para el
que no dispone de permisos suficientes.

* "Memory leak" (pérdida de memoria) cuando se ejecuta el comando
"USER". Se produce cuando se invoca el comando "USER" sin
parámetros. Unas 10.000 invocaciones consumen 1.7Mbytes de memoria.

* Error de "format string": Se crea un "format string" en el que toman
parte datos controlables por un usuario.

Se recomienda a todos los usuarios de ProFTPD que actualicen a la
versión 1.2RC3 o superior.



Jesús Cea Avión
jcea@hispasec.com


Más información:

ProFTPD
http://www.proftpd.net/

Show Stopper bugs
http://www.proftpd.net/critbugs.html

permenent_pool memory leakages
http://bugs.proftpd.net/show_bug.cgi?id=408



lunes, 19 de febrero de 2001

Desbordamiento de búfer en diversas implementaciones SSH-1

Muchas implementaciones de SSH-1 son susceptibles a un ataque de
desbordamiento de búfer, que permitiría la ejecución de código
arbitrario en el servidor y en el cliente.
SSH, Secure SHell, permite el establecimiento de sesiones TCP/IP
protegidas mediante claves criptográficas, de forma similar a la
tecnología SSL. La revisión actual del protocolo es la 2, pero existen
todavía innumerables servidores que soportan la versión 1 del
protocolo, incluyendo muchos servidores modernos que la incluyen por
compatibilidad.

Muchas implementaciones SSH-1 incluyen una verificación de CRC,
utilizada para detectar intentos de ataque sobre el protocolo. La
verificación en sí es incorrecta y posibilita un ataque de
desbordamiento de búfer y, por consiguiente, la ejecución de código
arbitrario.

Lamentablemente este ataque puede realizarse incluso aunque el
atacante no disponga de acceso al sistema, ya que puede ejecutarse
durante el intercambio inicial de claves RSA, por ejemplo.

El ataque puede realizarse tanto sobre clientes como sobre servidores,
si el otro extremo (al atacante) construye la conexión de la forma
apropiada.

Implementaciones Vulnerables:

- SSH 1.2.x
- F-Secure SSH 1.3.x
- OpenSSH anterior a 2.3.0 (a menos que se compile sin soporte SSH-1)
- OSSH 1.5.7

Implementaciones *NO* Vulnerables:

- SSH 2.x (si se compilan *SIN* soporte SSH-1)
- OpenSSH 2.3.0 y superiores
- SSH 1.2.x, si x es menor de 24 (pero serán vulnerables al ataque
que intenta detectar la verificación CRC)
- Cisco SSH
- LSH (sin soporte SSH-1)

Para los casos de implementaciones con código fuente disponible, la
solución es trivial. Por ejemplo, para OpenSSH 1.2.3 el parche sería:


*** deattack.c 2000/03/27 17:42:12 1.1.1.1
--- deattack.c 2001/02/19 20:38:51
***************
*** 84,90 ****
detect_attack(unsigned char *buf, u_int32_t len, unsigned char *IV)
{
static u_int16_t *h = (u_int16_t *) NULL;
! static u_int16_t n = HASH_MINSIZE / HASH_ENTRYSIZE;
register u_int32_t i, j;
u_int32_t l;
register unsigned char *c;
--- 84,90 ----
detect_attack(unsigned char *buf, u_int32_t len, unsigned char *IV)
{
static u_int16_t *h = (u_int16_t *) NULL;
! static u_int32_t n = HASH_MINSIZE / HASH_ENTRYSIZE;
register u_int32_t i, j;
u_int32_t l;
register unsigned char *c;




Jesús Cea Avión
jcea@hispasec.com


Más información:

Remote vulnerability in SSH daemon crc32 compensation attack detector
http://razor.bindview.com/publish/advisories/adv_ssh1crc.html

SSH1 CRC-32 compensation attack detector vulnerability
http://www.core-sdi.com/advisories/ssh1_deattack.htm



domingo, 18 de febrero de 2001

Phil Zimmerman abandona NAi

En un mensaje dirigido a todos los usuarios de PGP el mítico Phil
Zimmerman creador y desarrollador del extendido programa de cifrado
PGP anuncia su marcha de Network Associates.
El mensaje de Zimmerman comienza recordando la compra de PGP Inc por
NAI en diciembre de 1997. Durante estos tres años Phil ha permanecido
en la compañía para proporcionar orientación técnica para el
desarrollo de PGP y asegurar la integridad criptográfica del producto.
Pero anuncia que la visión del futuro de PGP que tiene NAi difiere de
la suya por lo que decide cambiar a otros proyectos más de acuerdo con
sus objetivos de proteger la privacidad de las personas.

Zimmerman asegura a los usuarios que todas las versiones de PGP
producidas por NAi y su división dedicada a seguridad PGP Security
hasta la actual versión PGP 7.0.3 están libres de puertas traseras.
Incluso llega a afirmar que esta última versión es la más segura de
todas las producidas hasta la fecha. Hasta la versión 6.5.8 la
seguridad quedaba garantizada con la publicación completa del código
fuente. Pero la entrada de un nuevo administrador en la división PGP
Security a finales del 2000 cambió el rumbo marcado hasta el momento,
con su decisión de reducir la cantidad de código publicado. A pesar de
ello, Phil garantiza que el desarrollo se ha mantenido bajo su control
y se encuentran libre de puertas traseras.

Aunque NAi mantiene el control sobre la marca registrada de PGP y el
código fuente de sus implementaciones, el mítico autor recuerda que
PGP se ha convertido en un estándar abierto y queda definido por el
IETF en la RFC 2440 en lo que se ha dado en llamar OpenPGP. Por ello
cualquier otra compañía puede implementarlo libremente en sus
productos.

Zimmerman anuncia que seguirá trabajando con otras compañías para el
soporte de implementaciones de este estándar y convertirlo de esta
forma en un verdadero estándar de la industría soportado por múltiples
vendedores. Phil está convencido de que el nacimiento de más de una
implementación del estándar OpenPGP es necesaria para mantener la
salud en el movimiento PGP, e incluso para el propio beneficio de NAi.
¿Terminaremos por ver implementaciones de OpenPGP en los propios
sistemas operativos como Windows, Solaris, Linux?

Zimmerman anuncia su paso a Hush Communications desarrolladores de
HushMail para ayudarles en la implementación del estándar OpenPGP en
sus desarrollos futuros. De igual forma también colaborará con Veridis
para la creación de nuevos productos OpenPGP incluido software para
autoridades certificadoras para la comunidad OpenPGP.

Entre los nuevos proyectos que Zimmerman también anuncia se cuenta el
lanzamiento del Consorcio OpenPGP, para facilitar la interoperabilidad
entre los diferentes vendedores y desarrolladores de OpenPGP, así como
guiar las directrices futuras del estándar.

Por último Zimmerman recuerda que en junio de este año se cumplirán 10
años del lanzamiento al público de PGP. Este programa fue diseñado
para proteger la privacidad, los derechos humanos y la libertad civil
en la era de la información. Zimmerman confía en el desarrollo de el
estándar OpenPGP para poder continuar su compromiso con la privacidad
de las personas.

Las últimas reflexiones van hacia el código fuente de PGP7.0, que
sigue sin publicarse y todo parece indicar que NAI es reacia a
continuar la política de publicar fuentes. Este hecho parece estar
apoyado también por el comentario original de Zimmerman de "si algún
día NAI publica el fuente de PGP 7.0.3".

Algo a analizar con detenimiento y sobre lo que merece la pena reflexionar
es el hecho de que se va de NAI donde trabajaba en el desarrollo de
PGP para, curiosamente, seguir trabajando sobre PGP.



Antonio Ropero
antonior@hispasec.com


Más información:

Mensaje de Phil Zimmerman
http://www.pgpi.org/files/PRZquitsNAI.txt

OpenPGP Consortium
http://openpgp.org

Hush Communications
http://www.hush.com

Veridis
http://www.veridis.com

Página personal de Philip Zimmerman
http://web.mit.edu/prz/

Comentarios en Slashdot
http://slashdot.org/article.pl?sid=01/02/19/1356257&mode=thread

Wired
http://slashdot.org/article.pl?sid=01/02/19/1356257&mode=thread



sábado, 17 de febrero de 2001

Ataque de denegación de servicio (DoS) sobre BIND 9.1.0

BIND es el servidor de DNS más popular de Internet, y el más utilizado
en entornos Unix.
Las versiones 9.1.0 de la serie 9 de BIND son susceptibles a un ataque
de denegación de servicio, merced el cual un atacante malicioso puede
matar un servidor BIND.

Para desencadenar el ataque, se pueden utilizar herramientas estándar
(la utilidad NMAP o Nessus). No se requiere ningún tipo de privilegio
especial. No todos los ataques tienen éxito, no obstante, y puede ser
necesario insistir un poco.

Los usuarios de la serie 9 de BIND deberían actualizar a la versión
9.1.1rc2 o superior. Los usuarios de la serie 8 pueden mantener su
versión 8.2.3 (las previas tienen grandes problemas de seguridad).



Jesús Cea Avión
jcea@hispasec.com


Más información:

BIND
http://www.isc.org/products/BIND/

ISC BIND 9.1.1rc2
http://www.isc.org/products/BIND/bind9-beta.html



viernes, 16 de febrero de 2001

Problemas de seguridad en los kernel Linux 2.2.x y 2.4.x

Los Kernel 2.2.x y 2.4.x tienen tres problemas de seguridad
aprovechables por usuarios locales maliciosos.
Los tres problemas de seguridad detectados son:

- Un "offset" (desplazamiento) negativo en la llamada "sysctl()"
permite leer memoria Kernel.

- Existe una "race condition" que permite que un usuario haga un
"ptrace()" sobre un proceso SETUID. Ello permite analizar su memoria
y modificar su código o memoria para alterar su ejecución.

- Un usuario sin ningún tipo de privilegio especial puede bloquear
determinadas CPU´s Intel.

Los usuarios con experiencia suficiente para recompilar e instalar un
nuevo kernel deberían descargar la última versión kernel de la serie
que utilicen (la 2.2 o la 2.4). Los usuarios que no sepan o no puedan
realizar una actualización completa de kernel, pero que presten acceso
shell o similar a usuarios potencialmente maliciosos, deben realizar
una actualización menor de su kernel, que se podrán descargar desde el
web del fabricante de su distribución Linux.



Jesús Cea Avión
jcea@hispasec.com


Más información:

security problems in ptrace and sysctl
http://www.calderasystems.com/support/security/advisories/CSSA-2001-009.0.txt

Three security holes fixed in new kernel
http://www.redhat.com/support/errata/RHSA-2001-013.html



jueves, 15 de febrero de 2001

Actualización a PHP4, versión 4.0.4pl1

Las versiones de PHP4 previas a la 4.0.4pl1 tienen varios problemas de
seguridad que permiten la ejecución de código PHP con configuraciones
diferentes a las definidas por el administrador.
PHP es un lenguaje de "scripting" muy popular en el mundo UNIX (también
existe para Windows), utilizado sobre todo para la generación de
contenidos dinámicos en servidores web (especialmente Apache), de forma
similar al ASP de Microsoft.

Las versiones de PHP4 previas a la 4.0.4pl1 tienen los siguientes
problemas de seguridad:

* Un atacante remoto puede realizar una petición web especialmente
formateada, que le permite ejecutar código PHP presente en el
servidor, pero con una configuración "alterada" y no coincidente
con la configuración establecida por el administrador.

* Bajo ciertas circunstancias, un atacante puede lograr que el servidor
web le proporciones el código fuente de una página PHP, en vez
del resultado de su ejecución.

La recomendación es actualizar las instalaciones de PHP4 a 4.0.4pl1 o
superior.

Las instalaciones que utilizan PHP3 no son vulnerables a estos ataques.



Jesús Cea Avión
jcea@hispasec.com


Más información:

PHP
http://www.php.net/



miércoles, 14 de febrero de 2001

Actualización a MySQL 3.23.33

Las versiones de MySQL previas a la 3.23.33 tienen varios problemas de
seguridad.
MySQL es una base de datos muy popular en el mundo UNIX por su gran
eficiencia, fiabilidad y velocidad. Se distribuye en código fuente, y
sus autores han cambiado recientemente su licencia a GNU GPL.

Las versiones previas a la 3.23.33 tienen varios problemas de seguridad:

* El comando "SHOW GRANTS" puede ser ejecutado por cualquier usuario
con acceso a la base de datos. De esta forma se pueden obtener la
lista de usuarios de la base de datos, así como sus claves cifradas.

Las claves pueden descifrarse utilizando diversas herramientas
disponibles de forma pública.

* Existe un desbordamiento de búfer que permite la ejecución de código
arbitrario en el servidor, con los privilegios del usuario que ejecuta
la base de datos. Aunque no se trate de "root", se tendrá acceso a
los ficheros de la base de datos, y se puede intentar subir de
privilegio manipulándola o intentando aprovechar ataques accesibles
localmente.

* Existe un desbordamiento de búfer en "DROP DATABASE".



Jesús Cea Avión
jcea@hispasec.com


Más información:

MySQL
http://www.mysql.com/

DSA-013 MySQL: remote buffer overflow
http://www.debian.org/security/2001/dsa-013

F.2.2 Changes in release 3.23.33
http://www.mysql.com/doc/N/e/News-3.23.33.html



martes, 13 de febrero de 2001

AnnaKournikova: ¿fracaso de la comunidad antivirus?

El último virus de gran propagación, alias "AnnaKournikova", pone en
entredicho la utilidad de muchas de las soluciones antivirus
existentes en el mercado. El virus es el resultado de usar un kit
de creación automática, que permite diseñar gusanos sin necesidad
de saber programar y que se conoce desde agosto de 2000. Para
colmo se ha contado con la "colaboración ciudadana", ya que son
muchos los usuarios que se han dejado engañar por prácticamente un
"remake" del archiconocido "ILOVEYOU".
A bote pronto se pueden sacar algunas conclusiones de este último
brote vírico de escala mundial:

* La tan anunciada detección heurística en las soluciones antivirus
parece que queda en la mayoría de los casos en simple publicidad, a
juzgar por la propagación que ha conseguido alcanzar este gusano.

"AnnaKournikova" está creado con "Vbs Worms Generator", un kit
de creación automática desarrollado por un argentino apodado
[K]Alamar, que permite diseñar gusanos a golpe de ratón con tan
sólo seleccionar ciertas características en un menú de configuración.

Según las últimas noticias, fue un joven holandés quién generó el
"AnnaKournikova" aprovechando esta utilidad. El autor es lo de menos,
lo peor es que provocar un caos mundial está al alcance de
cualquiera que sepa manejar Windows. En estos momentos tenemos
que "agradecer" que el joven no pulsara en la opción de payload
(efecto) dañino, ya que a juzgar por la propagación alcanzada
hubiera causado perdidas multimillonarias entre empresas y usuarios.

Esta utilidad está disponible en Internet desde agosto del año pasado
y, como es normal, todos los gusanos generados tienen mucho código
en común, lo que hace trivial que se pueda detectar cualquier
versión que produzca. En el caso concreto de "AnnaKournikova", el
algoritmo de descrifrado que puede verse a simple vista es exactamente
el mismo, línea por línea, que el de gusanos reconocidos hace meses,
con la única diferencia en el nombre de las variables. No se entiende
pues que este gusano haya podido infectar sistemas que contaran con un
antivirus, a no ser que la má simple de las heurísticas brille por
su ausencia en dichas soluciones.

A continuación, se presentan los resultados de un test llevado a cabo
por Hispasec en relación a la eficacia de los motores antivirus en el
caso del gusano "AnnaKournikova", según poder de detección/heurística
antes de que éste saliera a la luz. En el grupo de los aprobados se
encuentran los antivirus que detectaron el virus desde el primer
momento sin necesidad de una actualización adicional.

Aprobados: AVP/Karspersky, F-Secure, McAfee, TrendMicro

Suspensos: Norman, Norton, Panda, Sophos
* La ingeniería social sigue siendo la mejor arma de los virus contra
los usuarios.

No ha hecho falta crear ninguna nueva técnica de infección, aprovechar
agujeros de seguridad, ni desarrollar complicadas rutinas. Si con
"ILOVEYOU" no se pudo resistir la tentación de leer una declaración de
amor, en esta ocasión ha bastado con el simple reclamo de ver una foto
de la joven tenista Kournikova. Los encantos de Anna hicieron olvidar
a miles de usuarios la regla básica: no abrir archivos adjuntos no
solicitados.
* El actual esquema de detección de virus que implementan la inmensa
mayoría de las soluciones antivirus no es efectivo ante virus nuevos
que aprovechan Internet como canal de propagación.

Primero es necesario que el virus nuevo infecte a algunos usuarios,
que éstos se percaten y envíen una muestra al laboratorio antivirus.
Allí analizan el espécimen y desarrollan una vacuna que ponen a
disposición del resto de sus usuarios registrados a través del proceso
de actualización.

Siempre existen unos usuarios perjudicados que reciben el primer
azote del virus (tengan sus antivirus actualizados o no), y el
resto de la comunidad se encuentra indefensa mientras que se
desarrolla la vacuna específica y, posteriormente, actualizan su
antivirus.

Este esquema podía ser válido hace años, cuando los virus se
propagaban con el intercambio de disquetes. Hoy día, en cuestión de
horas (las que se tardan en el mejor de los casos en analizar y
proporcionar una vacuna específica), un gusano puede haber causado
cientos de miles de infecciones aprovechando la infraestructura de
Internet. La Red ha facilitado las actualizaciones de los productos,
pero aun se muestra más efectiva como canal de distribución de una
nueva generación de virus. Es la pescadilla que se muerde la cola.

Sin duda es un esquema productivo para las casas antivirus, que se
aseguran el mantenimiento de por vida gracias a la necesidad de
actualizaciones continuas, y útil para el usuario si no tiene la
desgracia de sufrir la infección en los primeros momentos.
En cualquier caso, no es una solución óptima y ya hay movimientos
en pro de esquemas que ataquen el problema del código malicioso de
raíz, de una forma más global y genérica.



Bernardo Quintero
bernardo@hispasec.com


Más información:

Un nuevo virus se camufla como una foto de Anna Kournikova
http://www.hispasec.com/unaaldia.asp?id=839



lunes, 12 de febrero de 2001

Grave vulnerabilidad en PHP-Nuke deja al descubierto todo el sistema

PHP-Nuke es un paquete open source que permite crear y administrar un
portal con noticias y artículos totalmente adaptable, y con un sistema
de control de usuarios. Se ha descubierto una nueva vulnerabilidad en
este sistema que de forma sencilla puede permitir a un atacante el
acceso a los archivos del disco.
PHP-Nuke es un sistema bastante extendido para la creación de portales
con sistemas de menús, usuarios, noticias, etc. La sencillez con la que
se puede crear y mantener un sitio web gracias a este software hace que
sea ampliamente empleado por un gran número de usuarios para desarrollar
sus contenidos. Por lo que hemos podido comprobar un gran número de
dichos sistemas son vulnerables ante este ataque.

En este caso la vulnerabilidad que nos ocupa puede permitir a un
atacante el compromiso de toda la máquina, ya que permitirá la lectura
de cualquier archivo con permisos de lectura para todo el mundo
(incluido el /etc/passwd).

El código vulnerable se encuentra en el archivo opendir.php:

(...)
$REQUEST_URI = strip_tags($REQUEST_URI);
$res = explode("$PHP_SELF?", $REQUEST_URI);
$odp_cat = $res[1];
if (substr($odp_cat,0,1) == "/") $odp_cat = substr($odp_cat,1);
(define $requesturl)
(...)

Bastará introducir el nombre del fichero al que se desea acceder como
parámetro requesturl de opendir.php para acceder a los contenidos del
archivo indicado. Por ejemplo:

http://www.sitio.vulnerable.com/opendir.php?requesturl=/etc/passwd

Para solucionarlo bastará iniciar $requesturl de la siguiente forma al
principio del script opendir.php.

$requesturl="";

También se encuentra disponible en el sitio web de PHP-Nuke la
actualización necesaria para solventar esta vulnerabilidad. En nuestras
pruebas hemos descubierto un gran número de sistemas afectados por esta
vulnerabilidad por lo que recomendamos a todos los administradores que
corrijan el problema lo más rápidamente posible.



Antonio Ropero
antonior@hispasec.com


Más información:

Bugtraq:
http://www.securityfocus.com/archive/1/162261

Aviso y comentarios sobre la vulnerabilidad en PHP-Nuke.org:
http://phpnuke.org/article.php?sid=1022&mode=thread&order=0&thold=0



domingo, 11 de febrero de 2001

Vulnerabilidad de denegación de servicio en servidores con protocolo PPTP

Microsoft acaba de publicar un parche que elimina una vulnerabilidad
de seguridad en los servidores Windows NT 4.0 que proporcionan
sesiones remotas seguras mediante el protocolo PPTP. El problema
podría llegar a permitir que un atacante realizara un ataque de
denegación de servicio sobre la máquina afectada.
El PPTP (Point-to-point Tunneling Protocol) es un protocolo que
posibilita a los usuarios establecer conexiones remotas seguras. El
protocolo PPTP es el que se usa con mayor frecuencia para que los
empleados fuera de la oficina se conecten a la red de la compañía de
forma segura.

El servicio PPTP en Windows NT 4.0 tiene un error en una parte de su
código encargada de manejar un tipo particular de paquete de datos, lo
que provoca una pérdida de memoria del núcleo. Si el servidor afectado
recibe un número suficiente de paquetes especialmente mal construidos,
podrá llegar a consumirse toda la memoria. Esto provocará que el
servidor falle enteramente o que llegue a bloquearse.

Será necesario reiniciar la máquina para recuperar el adecuado
funcionamiento del servidor, y todas las sesiones PPTP en ejecución en
ese momento se perderán. Para que el atacante reproduzca el problema
no es necesario que establezca una sesión PPTP valida, aunque sólo
afectará a aquellos servidores en los que se encuentre en
funcionamiento este servicio, que por otra parte, no se instala por
defecto.



Antonio Ropero
antonior@hispasec.com


Más información:

Boletín de seguridad de Microsoft (MS01-09)
http://www.microsoft.com/technet/security/bulletin/MS01-009.asp

Respuestas a las preguntas más frecuentes sobre la vulnerabilidad
http://www.microsoft.com/technet/security/bulletin/fq01-009.asp



sábado, 10 de febrero de 2001

Un nuevo virus se camufla como una foto de Anna Kournikova

Un nuevo gusano en Visual Basic Script se esta reproduciendo rápidamente
entre los usuarios de todo el mundo camuflado como una foto de la
conocida tenista Anna Kournikova.

Con el nombre de VBS/SST aunque con diferentes alias como I-Worm/Lee.O,
KALAMAR o AnnaKournikova se reproduce de forma rápida y actualmente ya
se encuentra in the wild. Como en otros gusanos creados en Visual Basic
Script hace uso de Outlook y Outlook Express para reproducirse. Y llega
en un e-mail con el asunto "Here you have, ;o)" y en el cuerpo del
mensaje "Hi: Check This!". El mensaje incluye un archivo adjunto, con el
nombre "AnnaKournikova.jpg.vbs", que dependiendo de la configuración del
sistema podrá aparecer únicamente como una imagen jpg, lo cual podrá
confundir a los usuarios para que abran la falsa imagen.

Es el archivo adjunto el que incluye el código del gusano, por lo que si
se llega a abrir será cuando el programa lleve a cabo su maliciosa
acción. Bajo ningún concepto debe abrirse dicho archivo. VBS/SST.A crea
una firma en el Registro de Windows para lo cual emplea la clave
HKCU\software\OnTheFly con el valor "Worm made with Vbswg 1.50b".

Tras crear dicha clave el gusano se copia en el directorio de Windows
con el nombre "AnnaKournikova.jpg.vbs". Después se enviará por correo
electrónico a todas las direcciones que encuentre en la libreta de
direcciones de Outlook del ordenador que acaba de infectar. Para no
dejar ningún rastro termina por eliminar el mensaje de la bandeja de
enviados para así no dejar rastro de su acción.

Tras realizar su acción maliciosa VBS/SST creará en el registro la clave
HKCU\software\OnTheFly\mailed con el valor de 1, lo cual le sirve al
gusano para saber que ya se ha ejecutado y enviado para así prevenir una
nueva ejecución.



Antonio Ropero
antonior@hispasec.com


Más información:

Sophos:
v

McAfee:
http://vil.nai.com/vil/dispvirus.asp?virus_k=99011

Trend Micro:
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=VBS_KALAMAR.A

F-Secure:
http://www.f-secure.com/v-descs/onthefly.shtml

Symantec:
http://www.symantec.com/avcenter/venc/data/vbs.sst@mm.html

Norman Virus Control:
http://www.norman.no/virus_info/vbs_vbswg_s.shtml

Panda Software:
http://www.pandasoftware.es/vernoticia.asp?noticia=847
http://www.pandasoftware.es/enciclopedia/gusano/VBSSSTA_1.htm



viernes, 9 de febrero de 2001

Hispasec inaugura su nuevo servicio de detección de virus on-line

Hispasec acaba de inaugurar el nuevo servicio HouseCall gracias a un
acuerdo con la firma antivirus Trend Micro. Este nuevo servicio permite
realizar el análisis, la detección y la desinfección de los virus desde
Internet, directamente desde una página web.
Bastará conectar con la dirección http://www.hispasec.com/housecall para
acceder a este nuevo servicio que Hispasec presta de forma gratuita a
todos los internautas en general. Este servicio está dirigido a todos
los usuarios. Es un servicio gratuito y como tal pueden acceder a él
todos los usuarios que lo deseen. Puede resultar de utilidad para el
usuario doméstico que no tiene actualizado su antivirus y tiene alguna
duda acerca de los posibles virus que tenga un archivo que le ha llegado
en el correo electrónico. O para un usuario que se encuentra fuera de su
ordenador habitual (por ejemplo con un portátil o en un cibercafé), y
desea saber si un archivo se encuentra infectado o no. Las posibilidades
de uso son infinitas.

HouseCall es un producto de Trend Micro que Hispasec ofrece
gratuitamente en su portal, y aunque este producto está ya muy extendido
en otros países, es esta la primera implantación de HouseCall que se
realiza en España.

Desde Hispasec esperamos que este nuevo servicio sea de utilidad para
todos los usuarios ya que aporta una nueva vía para comprobar los
archivos de dudoso contenido. En pocos minutos se puede evaluar el
estado del ordenador o de cualquier disquete o CD-ROM, con la seguridad
que proporciona un sistema que siempre está actualizado contra los
últimos virus y todo tipo de código malicioso.

El uso de HouseCall es sencillo, basta acceder a la dirección
http://www.hispasec.com/housecall cuando HouseCall termine de cargar, se
visualizará una ventana con el árbol de directorios de las unidades del
sistema del usuario, momento en que se pueden seleccionar las unidades o
directorios que se desean quieres analizar. En cualquier caso, los
usuarios pueden estar seguros que HouseCall se actualiza de forma diaria
y con la adecuada inmediatez para que la detección de los nuevos virus
sea siempre la adecuada.



Antonio Ropero
antonior@hispasec.com


Más información:

Nota de prensa:
http://www.hispasec.com/notas_prensa.asp?id=70

Trend Micro
http://www.antivirus.com



jueves, 8 de febrero de 2001

Vulnerabilidades en IBM NetCommerce

IBM Net.Commerce es una popular plataforma de comercio electrónico del
gigante azul. Pero existe un problema por el cual no se validan de forma
adecuada las peticiones que se realizan de forma que es posible llegar a
extraer cualquier información de su base de datos.
El conocido paquete de IBM incluye un soporte para macros, pero estas no
realizan una verificación de los comandos introducidos por el usuario.
De tal forma, mediante la creación de peticiones http especialmente
construidas es posible conseguir cualquier información contenida en la
base de datos de NetCommerce.

Incluso, mediante la combinación de esta vulnerabilidad con otras
funcionalidades incluidas en la plataforma de comercio electrónico, como
por ejemplo restaurar la password (PasswordReset) es posible llegar a
tomar el control de las cuentas de administración de la tienda. Una vez
que el atacante consigue los permisos de nc-administrator podrá hacer
uso de todas las herramientas de administración.

Por ejemplo, el atacante podrá construir peticiones como la siguiente
para conseguir las cuentas de administración:
http://servidor.afectado/cgi-bin/ncommerce3/ExecMacro/orderdspc.d2w/report?order_rn=99999+union+select+shlogid+as+mestname,0+from+shopper+where+shshtyp+%3d+'A';

Para obtener las passwords cifradas:
http://servidor.afectado/cgi-bin/ncommerce3/ExecMacro/orderdspc.d2w/report?order_rn=99999+union+select+shlpswd+as+mestname,0+from+shopper+where+shlogid+%3d+'ncadmin';

Para obtener los recordatorios de passwords, se puede emplear la
siguiente URL:
http://servidor.afectado/cgi-bin/ncommerce3/ExecMacro/orderdspc.d2w/report?order_rn=99999+union+select+shchaans+as+mestname,0+from+shopper+where+shlogid+%3d+'ncadmin';

Estos son simples ejemplos que demuestran la gravedad del problema, ya
que orderdspc.d2w no es la única macro afectada y vulnerable.



Antonio Ropero
antonior@hispasec.com


Más información:

Bugtraq:
http://www.securityfocus.com/archive/1/160554

Securityfocus:
http://www.securityfocus.com/vdb/bottom.html?vid=2350



miércoles, 7 de febrero de 2001

Parche contra escalada de privilegios en Windows 2000

Microsoft publica un parche para eliminar una vulnerabilidad de
seguridad en Windows 2000, por la cual, bajo determinadas circustancias
un atacnate podrá conseguir control total sobre la máquina afectada.
Network Dynamic Data Exchange (DDE) es una tecnología que permite
compartir datos de forma dinámica entre aplicaciones en diferentes
ordenadores Windows. Esta compartición se efectúa a través de canales de
comunicación que reciben el nombre de compartidos confiables, que se
administran mediante un servicio llamado Agente de Red DDE (Network DDE
Agent).

Mediante el uso de funciones como WM_COPYDATA es posible que un mensaje
se envíe a través del Agente de Red a un compartido con un proceso
asociado a ese compartido. El problema surge debido a que el Agente
NetDDE corre en el contexto del sistema, por lo que un usuario local
podrá especificar código arbitrario que se ejecutará con los privilegios
del sistema.

Microsoft recomienda a todos los usuarios de Windows 2000 la aplicación
del parche de forma inmediata. El parche se encuentra disponible en la
dirección:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=27526



Antonio Ropero
antonior@hispasec.cm


Más información:

Boletín de seguridad Microsoft (MS01-007):
http://www.microsoft.com/technet/security/bulletin/MS01-007.asp

Respuestas a las preguntas más frecuentes sobre la vulnerabilidad:
http://www.microsoft.com/technet/security/bulletin/fq01-007.asp

Securityfocus:
http://www.securityfocus.com/vdb/?id=2341

Aviso de seguridad de AtStake:
http://www.atstake.com/research/advisories/2001/a020501-1.txt



martes, 6 de febrero de 2001

Parche de Microsoft contra escalada de privilegios en Windows NT 4.0

Microsoft acaba de publicar un boletín de seguridad para anunciar la
publicación de un parche destinado a cubrir una vulnerabilidad en
Windows NT 4.0 por la cual un usuario puede elevar sus privilegios de
uso en el sistema afectado.
El problema radica en un error en el servicio NTLM Security Support
Provider (NTLMSSP) en Windows NT 4.0 que podrá permitir a un usuario que
haya accedido de forma local al sistema sin permisos de administración
aumentar sus privilegios de forma local hasta los de administrador. El
servicio NTLMSSP que se activa por defecto opera como una parte del
sistema operativo Windows NT 4.0 para tratar las peticiones de
autentificación asociadas al protocolo NTLM.

Para realizar el ataque el usuario debe tener un nombre de usuario y
contraseña válidos en el sistema, así como permisos para ejecutar código
arbitrario en el sistema. La vulnerabilidad sólo podrá ser explotada por
un atacante que pueda acceder al sistema afectado de forma local.
Precisamente son estas características del problema las que limitan las
posibilidades del atacante, ya que las medidas de seguridad básicas
impiden el acceso no autorizado a los servidores críticos, como
controladores de dominio, servidores ERP, servidores de ficheros y de
impresión, servidores de bases de datos, etc.

Aunque se recomienda la instalación del parche en todos los sistemas
afectados, si dichas normas se siguen habitualmente los servidores
estarán libres de peligro, ya que el único que debe tener acceso a
dichos servidores es el propio administrador. Sin embargo si quedan
afectadas de forma más directa todas las estaciones de trabajo con
Windows NT 4.0.

El parche para evitar este problema Microsoft ofrece un parche que se
encuentra disponible en:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=27804



Antonio Ropero
antonior@hispasec.com


Más información:

Boletín de seguridad Microsoft (MS01-008):
http://www.microsoft.com/technet/security/bulletin/ms01-008.asp

Respuestas a las preguntas más frecuentes sobre el boletín MS01-008:
http://www.microsoft.com/technet/security/bulletin/fq01-008.asp



lunes, 5 de febrero de 2001

Aviso de Guninski sobre denegación de servicios en conexiones TCP

Georgi Guninski sigue con la publicación de nuevos avisos de
vulnerabilidades, en esta ocasión nos advierte sobre un problema por el
cual bastará visitar una página web con Windows 2000 o 98 para que se
produzca un consumo de todos los sockets UDP en la máquina del cliente.
Según el aviso publicado por Guninski, que ya hace el número 37, es
posible que desde una página web o un mensaje e-mail consumir todos los
sockets UDP del cliente en una máquina con sistema operativo Windows.
Esto posibilitará la detención de la resolución de dominios con DNS bajo
Windows 2000 Professional y la parada de todas las nuevas conexiones TPC
con Windows 98. Según nuestras pruebas el problema se reproduce de igual
forma en Windows NT, donde la resolución de nombres se ve totalmente
imposibilitada y el consumo de recursos de la CPU se eleva hasta un
100%.

Tras cerrar la aplicación maliciosa se recuperará el funcionamiento
habitual del sistema, si bien muchas máquinas se resetean de forma
espontanea. Guninski ofrece un ejemplo en el que se muestra como se
puede reproducir la vulnerabilidad:

for(i=0;i{
try { DatagramSocket d = new DatagramSocket();v.addElement(d);}
catch (Exception e) {System.out.println("Exhausted, i="+i);}
}

La idea es simple, mediante el uso de java se crean tantos sockets UDP
(java.net.DatagramSocket) como sea posible. Otros procesos evitan la
creación de nuevos sockets UDP.



Antonio Ropero
antonior@hispasec.com


Más información:

Aviso de Georgi Guninski:
http://www.guninski.com/winudp.html

Demostración:
http://www.guninski.com/winudpdos.html



domingo, 4 de febrero de 2001

Actualización de la versión Linux de la NSA

La NSA ha hecho pública una actualización de su versión Linux, que
soluciona diversas vulnerabilidades.
El pasado 28 de Diciembre de 2.000 publicamos la noticia de que la NSA
(la agencia de seguridad nacional estadounidense) había hecho pública
(y bajo licencia GPL) una versión propia de Linux, acorde a las
necesidades de seguridad de las organizaciones gubernamentales
norteamericanas.

Aunque muchos lectores nos hicieron llegar sus dudas respecto a la
veracidad de dicho boletín (para los lectores que nos leen fuera de
España, diremos que el 28 de Diciembre es el día de los "Santos
Inocentes" en nuestro país, similar al "April Fool" anglosajón).
Cualquier duda al respecto era perfectamente resoluble sin más que
consultar los enlaces que se adjuntaban al final del boletín, pero
hemos de reconocer, no obstante, que la publicación de un boletín de
esas características (la NSA publicando software GPL) en esa fecha
concreta fue algo deliberado por nuestra parte.

A lo largo de las semanas siguientes a su difusión pública, se
descubrieron diversas vulnerabilidades, que la NSA ha ido solucionando
diligentemente.

Los usuarios de la versión Linux de la NSA deben actualizar su
distribución de forma periódica, preferiblemente de manera frecuente.



Jesús Cea Avión
jcea@hispasec.com


Más información:

Updated release
http://marc.theaimsgroup.com/?l=selinux&m=97847509307650&w=2

Security-Enhanced Linux
http://www.nsa.gov/selinux/

28/12/2000 - La NSA publica una versión "segura" de Linux
http://www.hispasec.com/unaaldia.asp?id=795



sábado, 3 de febrero de 2001

Nuevos contenidos en CriptoRed

En enero se ha comenzado a llenar de contenidos el servidor Web de
CriptoRed, la Red Temática Iberoamericana de Criptografía y Seguridad
de la Información, según información aportada directamente por sus
miembros. A continuación se listan todos los títulos disponibles.
1. Documentación Temarios y Planes de Estudio (sección Docencia):
Enlace: http://www.criptored.upm.es/paginas/docencia.htm#programas
Enlace: http://www.criptored.upm.es/paginas/docencia.htm#planes
- Acceso a 15 Temarios y Planes de asignaturas relacionadas con la
seguridad informática.
- Acceso a los modelos para enviar datos de tu asignatura: por favor,
modificar con un editor de texto simple (p.e. NotePad).

2. Documentación Guías de Teoría (sección Docencia):
Enlace: http://www.criptored.upm.es/paginas/docencia.htm#gteoria
Títulos ordenados alfabéticamente:
- Computación Forense
- Control de Accesos
- Criptografía para Principiantes
- Criptología
- El ABC de los documentos electrónicos seguros
- El Sistema RSA
- Data Encryption Standard
- Generación de Números Pseudoaleatorios usados en Sistemas
Criptográficos
- Introducción a los Criptosistemas con Curvas Elípticas
- Partes de un sistema de Clave Pública
- Pautas y Recomendaciones para elaborar Políticas de Seguridad
Informática
- Securetat a les Xarxes
- Seguridad en Comercio Electrónico
- Seguridad en Correo Electrónico
- Sistemas Criptográficos Asimétricos basados en Curvas Elípticas
- Voto por Ordenador

3. Documentación Libros Electrónicos (sección Docencia):
Enlace: http://www.criptored.upm.es/paginas/docencia.htm#librose
Títulos ordenados alfabéticamente:
- Criptografía y Seguridad en Computadores
- Curso de Seguridad Informática en Diapositivas

4. Documentación Exámenes (sección Docencia):
Enlace: http://www.criptored.upm.es/paginas/docencia.htm#examenes
- Exámenes de la asignatura Seguridad Informática (UPM)

5. Documentación Proyectos y Trabajos Fin de Carrera (sección
Investigación):
Enlace: http://www.criptored.upm.es/paginas/investigacion.htm#tfc
- Acceso a los resúmenes de 5 Trabajos Fin de Carrera.
- Acceso al modelo para enviar datos de los TFCs tutorizados.
Por favor modificar con un editor de texto simple (p.e. NotePad).

6. Documentación Tesis Doctorales (sección Investigación):
Enlace: http://www.criptored.upm.es/paginas/investigacion.htm#tesis
- Acceso a los resúmenes de 2 Tesis Doctorales.
- Acceso al modelo para enviar datos de las Tesis tutorizadas: por
favor, modificar con un editor de texto simple (p.e. NotePad).

7. Documentación Desarrollos e Informes (sección Investigación):
Enlace:
http://www.criptored.upm.es/paginas/investigacion.htm#desarrollos
- Acceso Informe sobre Enseñanzas y sus diapositivas

8. Archivos Software de Desarrollo Propio (sección Software):
Enlace: http://www.criptored.upm.es/paginas/software.htm#propio
Títulos ordenados alfabéticamente:
- Alleged RC4
- CriptoClásicos 1.1
- CriptoMiniLab
- Criptosistemas basados en Mochilas de Merkle-Hellman
- Criptosistemas Modernos de Clave Privada y Pública
- CriptProgram
- CryptoIDEA
- DisMat
- Libro Electrónico de Criptografía Clásica
- mpi_crack
- Simulación de Fortaleza de Cifrados

9. Información sobre miembros: a 31/01/01 la red cuenta con 182 miembros
de 63 universidades, 3 centros de investigación, 9 organismos y 30
empresas. Perfil de los miembros: 71 Doctores, 4 Masters, 45
Licenciados, 49 Ingenierios Superiores y 13 Ingenieros Técnicos.

Todas las noticias destacadas en el mes de enero y atrasadas pueden
verse en:
http://www.criptored.upm.es/paginas/otrostemas_historico.htm#Historico

En el mes de febrero se continuará llenando de contenidos el servidor,
(más Software, Apuntes, Tesis Doctorales, etc.) muchos de ellos
pendientes por razones de tiempo.



Jorge Ramió Aguirre
Coordinador General CriptoRed


Más información:

CriptoRed
http://www.criptored.ump.es



viernes, 2 de febrero de 2001

Parche para la herramienta "arp" de Sun

Sun Microsystems ha hecho público un parche de seguridad para la
herramienta "arp".
Sun Microsystems ha hecho público un parche de seguridad para la
herramienta "arp". Las versiones previas al parche permiten que un
usuario local ejecute código arbitrario en la máquina, merced a un
desbordamiento de búfer. Dado que "arp" es una herramienta SETGID, el
código malicioso se ejecutaría con privilegios elevados.

La vulnerabilidad afecta a todos los sistemas Solaris soportados
actualmente, a excepción del reciente "Solaris 8". La vulnerabilidad
afecta, asimismo, tanto a los sistemas Solaris Intel como a los
sistemas SPARC.

Version del Sistema Parche
SunOS 5.7 109709-01
SunOS 5.7_x86 109710-01
SunOS 5.6 109719-01
SunOS 5.6_x86 109720-01
SunOS 5.5.1 109721-01
SunOS 5.5.1_x86 109722-01
SunOS 5.5 109707-01
SunOS 5.5_x86 109708-01
SunOS 5.4 109723-01
SunOS 5.4_x86 109724-01

La actualización elimina el SETGID de "arp", ya que no lo necesita.



Jesús Cea Avión
jcea@hispasec.com


Más información:

Solaris arp Buffer Overflow Vulnerability
http://www.securityfocus.com/bid/2193

ARP
http://sunsolve.Sun.COM/pub-cgi/retrieve.pl?doc=secbull/200

Parches Solaris
http://sunsolve.sun.com/securitypatch

Security Bulletin Archive
http://sunsolve.sun.com/security



jueves, 1 de febrero de 2001

Actualización Apache

Las versiones del servidor web Apache previas a la 1.3.17 contienen un
error de seguridad que permite que un atacante remoto acceda a
cualquier fichero del sistema, bajo ciertas circunstancias.
Apache es un servidor web "Open Source", disponible para entornos Unix
y Windows, y se trata del servidor web más popular en Internet, con
diferencia. En la última estadística (Diciembre de 2.000) Apache
representa más del 60% de los servidores web de Internet. Por
comparación, el segundo clasificado, el Internet Information Server de
Microsoft, no llega al 20%.

Se acaba de publicar la versión 1.3.17 del servidor, que soluciona
diversos problemas con la gestión de directorios NetWare, y una
vulnerabilidad que afecta al módulo "mod_rewrite", que permitiría el
acceso a ficheros arbitrarios contenidos en el servidor web, si el
administrador de Apache utiliza determinadas reglas de reescritura en
el fichero de configuración del servidor web.

La recomendación es actualizar Apache a 1.3.17.



Jesús Cea Avión
jcea@hispasec.com


Más información:

Apache
http://httpd.apache.org/

Apache 1.3.17 Released
http://httpd.apache.org/dist/Announcement.html

Cambios
http://httpd.apache.org/dist/CHANGES_1.3

The Netcraft Web Server Survey
http://www.netcraft.com/survey/