sábado, 30 de junio de 2001

Múltiples vulnerabilidades en SSH en dispositivos Cisco

Se ha descubierto una vulnerabilidad en todos los dispositivos (routers y
switches) con software Cisco IOS con soporte SSH y en Switches
Catalyst 6000 con CatOS y Cisco PIX Firewall.
Todos los dispositivos (routers y switches) con software Cisco IOS
con soporte SSH, los switches Catalyst 6000 con CatOS y los Cisco PIX
Firewall se ven afectados por múltiples vulnerabilidades en el
protocolo SSH (Secure Shell). Los problemas son inherentes a la
versión de SSH 1.5 que es la que se encuentra implementada en
múltiples dispositivos Cisco.

Un atacante que consiga explotar las vulnerabilidades del protocolo
SSH puede llegar a insertar comandos arbitrarios en una sesión
establecida de SSH o conseguir información que le facilite la
realización de un ataque por fuerza bruta.

Es posible mitigar esta vulnerabilidad mediante la prevención,
intercepción o teniendo el control sobre el tráfico SSH.

Para switches Catalyst 6000 todas las vulnerabildiades quedan
eliminadas con las versiones 6.1(2.13), 6.2(0.111) and 6.3(0.7)PAN
de CatOS.

Para PIX Firewall se recomiendan las siguientes actualizaciones
dependiendo de la versión del software:
Para 5.2 se encuentra disponible la actualización a 5.2(5)203,
aunque se recomienda actualizar a 5.2.(6) disponible en agosto.
Para 5.2 se encuentra disponible la actualización a 5.3(1)202,
aunque se recomienda actualizar a 5.3.(1) disponible en agosto.
Para 6.0 se recomienda actualizar a 6.0(1) ya disponible.

Para el resto de productos, dada la cantidad de versiones
diferentes del software, se recomienda consultar la tabla
disponible en la dirección:

http://www.cisco.com/warp/public/707/SSH-multiple-pub.html



Antonio Ropero
antonior@hispasec.com


Más información:

Aviso de seguridad de Cisco:
Cisco Security Advisory: Multiple SSH Vulnerabilities:
http://www.cisco.com/warp/public/707/SSH-multiple-pub.html



viernes, 29 de junio de 2001

Revisión de un antiguo parche para NetMeeting Desktop Sharing

Una vulnerabilidad que afecta a Microsoft NeetMeting v.3.01 lo hace
posible objetivo de un ataque de denegación de servicio.
NetMeeting, es un software de comunicaciones que corre sobre Windows
NT 4.0 y 2000. Mientras que es necesaria su descarga y la posterior
instalación para su utilización bajo Windows NT forma parte del paquete
de Windows 2000, si bien no se instala por defecto bajo este último
sistema operativo.

Un atacante podría enviar unas determinadas cadenas de caracteres
contra el puerto donde corre Microsoft NeetMeting, causando la
inutilización del servicio que presta y la posible utilización de un
100% de la CPU durante el ataque.

Los usuarios de este software que creían haber solucionado el problema
anunciado por Microsoft el pasado mes de octubre deberán igualmente
proceder ha instalar el nuevo parche que está a su disposición para
Windows 2000 en la dirección:

http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30963

Se espera que en breve, Microsoft ponga a disposición de los usuarios
afectados el correspondiente parche para Windows NT 4.0



Antonio J. Román Arrebola
roman@hispasec.com


Más información:

Patch Available for "NetMeeting Desktop Sharing" Vulnerability
http://www.microsoft.com/technet/security/bulletin/fq00-077.asp



jueves, 28 de junio de 2001

Actualización QPOPPER

Las versiones de QPOPPER anteriores a la 4.0.3 contienen diversas
vulnerabilidades que permiten la ejecución de código arbitrario en el
servidor.
QPOPPER es un servidor POP3 (protocolo de recepción de correo
electrónico en las máquinas de los usuarios) muy popular, distribuído de
forma gratuíta y con código fuente.

Las versiones de QPOPPER previas a la 4.0.3 contienen un desbordamiento
de búfer en el comando "USER", lo que permite ejecutar código arbitrario
en el servidor, con privilegios -típicamente- de superusuario,
administrador o "root".

La versión 3.1.2 de Qpopper parece no ser vulnerable.

Los usuarios de versiones Qpopper 4.x, deben actualizar cuanto antes a
4.0.3.



Jesús Cea Avión
jcea@hispasec.com


Más información:

Qpopper

http://www.eudora.com/qpopper_general/

Qpopper

ftp://ftp.qualcomm.com/eudora/servers/unix/popper/



miércoles, 27 de junio de 2001

Compruebe el funcionamiento de su programa antivirus

Hispasec proporciona un test mediante el que los usuarios podrán simular la
llegada de un virus a su sistema a través del correo electrónico. De esta
manera, se podrá comprobar la reacción del programa antivirus instalado en
el ordenador.
Para evitar el envío indiscriminado del test a terceros y falsas alarmas, es
necesario realizar un sencillo proceso de inscripción que le proporcionará
una clave asociada a su e-mail. El test consiste en enviar un mensaje con el
archivo EICAR como documento adjunto a la dirección de correo electrónico
del usuario y comprobar la reacción del antivirus a su llegada.

El EICAR Standard Anti-Virus Test File es un archivo reconocido por los
productos antivirus pero NO es un virus real ni provoca ningún efecto
dañino; es totalmente inofensivo. Se trata de un pequeño programa para DOS
de 68 bytes, totalmente operativo, que se utiliza como estándar para
comprobar el correcto funcionamiento de los antivirus sin necesidad de
utilizar muestras de virus reales. Al ejecutar el archivo EICAR, se
visualiza el siguiente mensaje: "EICAR-STANDARD-ANTIVIRUS-TEST-FILE".

Los productos antivirus que estén bien configurados y cuenten con protección
para el correo entrante deberán alertar al usuario durante la recepción del
mensaje que contiene el archivo EICAR. En tal caso, el resultado del test
será óptimo y demostrará el correcto funcionamiento de su programa
antivirus.

Los antivirus que no alerten de la llegada del mensaje no estarán
configurados para comprobar el correo de entrada. Posiblemente, podrán
detectar el archivo cuando el usuario trate de ejecutarlo o intente
guardarlo en alguna unidad. Para comprobar esta posibilidad, le recomendamos
que guarde el archivo adjunto en una carpeta a la espera de la alerta del
programa antivirus.

ADVERTENCIA: Aunque se puede ejecutar el archivo EICAR sin ningún reparo, le
recomendamos que NO lo haga. Cabe la posibilidad de que algún individuo sin
escrúpulos renombre un virus real para que se confunda con el EICAR y lo
distribuya aprovechando la coyuntura de este test. Los usuarios que quieran
comprobar el funcionamiento de su programa antivirus mediante la ejecución
del archivo EICAR deberán extremar las precauciones, asegurándose de que
ejecutan el archivo original proporcionado por Hispasec, enviado
exclusivamente a petición del propietario de la dirección de correo.

HISPASEC Test AntiVirus (EICAR):
http://www.hispasec.com/avtest.asp



Bernardo Quintero
bernardo@hispasec.com


Más información:

HISPASEC Test AntiVirus (EICAR):
http://www.hispasec.com/avtest.asp



martes, 26 de junio de 2001

Primeros Service Pack para SQL Server 2000 y Exchange 2000 Server

La publicación de los Service Pack siempre es un acontecimiento esperado
por todos los usuarios de los productos Microsoft, ya que estas
actualizaciones siempre cubren los defectos de seguridad y añaden nuevas
funcionalidades. En esta ocasión Microsoft publica el Service Pack 1
para SQL Server 2000 y el Service Pack 1 para Exchange 2000.
Como corresponde a la tradición dentro de Microsoft, ambos Service Pack
cubren un número importante de problemas de seguridad y fallos de
funcionamiento menores, que en el caso de SQL Server 2000 superan la
cifra de 200 problemas cubiertos.

El Service Pack 1 para SQL Server 2000 se compone de tres archivos que
pueden instalarse de forma individual o conjunta. Cada uno de los
archivos está destinado a actualizar diferentes módulos del gestor de
base de datos. El primero de ellos, actualiza los componentes de la base
de datos, e incluye un nuevo motor de datos, utilidades cliente y
componentes de conectividad con el cliente.

El segundo de los archivos está destinado a actualizar los componentes
del servicio de análisis, con un nuevo motor de servicios de análisis y
los componentes de cliente como Analysis Manager y OLE DB Provider.
También se actualizan los componente de conectividad. Por último, el
tercer archivo actualiza el Destop Engine.
Este Service Pack, se encuentra disponible en inglés y español (además
de otros idomas) y puede descargarse de la dirección:

http://www.microsoft.com/sql/downloads/2000/sp1.asp

De igual forma Microsoft también ha publicado el primer Service Pack
para su servidor de correo y trabajo en grupo Exchange 2000 Server. A lo
largo de los últimos meses han aparecido diversos errores de gran
gravedad que comprometían seriamente la seguridad de la información
almacenada en el servidor, por lo que Microsoft ha publicado este primer
Service Pack que siguiendo la norma contiene todos los parches
publicados hasta el momento junto con importantes mejoras.

Entre las mejoras se incluye una actualización de la API de escaneado de
virus, Virus Scanning API 2.0 proporciona un mejor soporte para la
exploración vírica e informes tanto al emisor como al receptor del
virus. Esta API es la empleada por los productos antivirus de otros
fabricantes para en análisis del contenido, por lo que las firmas
antivirus deberán actualizar sus productos para soportar las mejroas de
esta nueva API. Hay que aclarar que la nueva API es totalmente
compatible "hacia atrás" con la anterior, por lo que cualquier antivirus
para Exchange instalado en la actualidad deberá funcionar sin problemas
con el SP1.

Outlook Web Access el componente que permite el acceso a los buzones a
través de un navegador web, y que fue causa de uno de los parches de
seguridad debido a un grave problema de seguridad encontrado en este
soporte, también se ve actualizado con interesantes mejoras para el
trabajo en grupo. También se recupera con SP1 el Mailbox Manager
(Administrador de buzones) componente incluido en Exchange 5.5 pero no
en Exchange 2000.

Al igual que el SP1 para SQL Server 2000, este Service Pack, se
encuentra disponible en inglés y español (además de otros idomas) y
puede descargarse de la dirección:

http://www.microsoft.com/exchange/downloads/2000/sp1.asp

Tanto por la integración de todos los parches de seguridad, como por las
mejoras incorporadas a cada producto se recomienda la instalación del
Service Pack correspondiente a los usuarios de SQL Server 2000 y
Exchange 2000 Server.



Antonio Ropero
antonior@hispasec.com


Más información:

Información y descarga de SP1 para SQL Server 2000 versión española:
http://www.microsoft.com/sql/downloads/2000/ESPsp1.asp

Información y descarga de SP1 para SQL Server 2000 versión inglés:
http://www.microsoft.com/sql/downloads/2000/ENGsp1.asp

Lista de bugs corregidos en SQL Server 2000 SP1:
http://support.microsoft.com/support/kb/articles/Q290/2/12.ASP

Información y descarga de SP1 para Exchange 2000 Server versión
española:
http://www.microsoft.com/exchange/downloads/2000/ESSp1_sp.asp

Información y descarga de SP1 para Exchange 2000 Server versión inglés:
http://www.microsoft.com/exchange/downloads/2000/ESSp1_en.asp



lunes, 25 de junio de 2001

Expuestos los datos de una asociación de consumidores británica

Los datos personales de más de 2700 compradores de un programa de
ayuda para el cálculo de impuesto "TaxCalc", han estado a disposición
de fisgones en el sitio web perteneciente a la asociación británica "The
Consumers Association".
La sensibilidad de los datos es evidente, ya que se encuentran entre
ellos direcciones, nombres, números de teléfonos y números de tarjetas
de crédito. Con el fin de subsanar el problema se ha aislado el sitio web
de Internet y estará así hasta que un grupo de auditores den el visto
bueno.

El comercio se ha visto obligado a alertar a todos los compradores
afectados por este problema con el fin de que pongan sobre aviso
a sus entidades crediticias y así poder prever la utilización
fraudulenta de sus tarjetas.

Jim Lavely, subdirector de la asociación, en unas declaraciones
comentó "Cuando descubrimos el problema retiramos todas la
información personal y financiera del sitio TaxCalc", a lo que agregó,
"la asociación se ha puesto en contacto con expertos para dirigir una
auditoria completa del sitio web".



Antonio J. Román Arrebola
roman@hispasec.com


Más información:

Consumer Group Blunder Reveals Credit Card Details
http://www.newsbytes.com/news/01/167171.html

The Consumers Association
http://www.which.net



domingo, 24 de junio de 2001

Desbordamiento de búfer en Extensiones FrontPage de servidor

Microsoft ha publicado un boletín de seguridad en el que informa de una
vulnerabilidad de desbordamiento de búfer en las extensiones FrontPage
de servidor cuando estas se encuentran configuradas con soporte para
Visual Studio RAD.
Las extensiones FrontPage de servidor se incluyen como parte de IIS 4.0 y
5.0, y facilitan el desarrollo de sitios y aplicaciones web. Las
extensiones FrontPage de servidor incluyen un subcomponente adicional de
forma opcional llamado Soporte para Visual Studio RAD (Remote
Application Deployment). Este subcomponente permite a los usuarios de
Visual InterDev 6.0 registrar y desregistrar objetos COM en un servidor
IIS 4.0 o 5.0.

Este subcomponent contiene un búfer sin comprobar en la sección que
procesa la información de entrada. Un atacante puede explotar esta
vulnerabilidad contra cualquier servidor con este subcomponente
instalado estableciendo una sesión web con el servidor y enviando un
paquete especialmente construido al componente de servidor. De este
modo, el atacante podrá usar este paquete para cargar código para
ejecución en el servidor. El código que explote esta vulnerabilidad se
ejecutará en el contexto del usuario IUSR_nombreservidor. Sin embargo,
bajo determinadas circunstancias es posible ejecutar código en contexto
del sistema.

Esta característica no se instala por defecto con las extensiones de
servidor Front Page, tampoco se instala por defecto con IIS 4.0 o 5.0.
Esta característica deberá ser seleccionada durante la instalación y se
mostrará un mensaje de advertencia al administrador dede la selección
realizada, ya que esta característica sólo se entiende para facilitar el
desarrollo interno, por lo que no se aconseja su instalación en
servidores de producción o explotación.

Para evitar los efectos de esta vulnerabilidad Microsoft ha publicado
parches para los diferentes sistemas operativos que se encuentran en las
direcciones:

Microsoft Windows NT 4.0:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=31038

Microsoft Windows 2000:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30727



Antonio Ropero
antonior@hispasec.com


Más información:

Boletín de seguridad Microsoft (MS01-035):
http://www.microsoft.com/technet/security/bulletin/ms01-035.asp



sábado, 23 de junio de 2001

Plan europeo para la lucha contra los delitos en la red

El comisario europeo Erkii Liikanen ha presentado el proyecto de
un plan de actuación europeo para prevenir los delitos de la red.
A principio del mes de junio, informamos desde Hispasec, sobre la
postura de la UE de aconsejar el cifrado en las comunicaciones, para
los usuarios y empresas. Hoy igualmente ponemos a disposición de
nuestros lectores el proyecto (en castellano) para la lucha contra los
delitos informáticos en el ámbito de Internet, presentado por el
comisario europeo para la sociedad de la información, Erkii Liikanen.

El título de este documento es "Seguridad de las redes y de la
información", y se puede visualizar o bajar de la dirección que a
continuación referimos.

http://europa.eu.int/information_society/eeurope/news_library/pdf_files/netsec_es.pdf

En este documento se expresan las medidas propuestas para paliar los
probleams de seguridad de la Red y de la información. Entre las que se
cuentan la concienciación, el desarrollo de un sistema europeo de alerta
e información, el apoyo a la investigación y al desarrollo en materia de
seguridad, la cooperación internacional o la creación de una legislación
en materia de ciberdelincuencia.



Antonio J. Román Arrebola
roman@hispasec.com


Más información:

Seguridad de las redes y de la información (sumario):
Propuesta para un enfoque político europeo
http://europa.eu.int/information_society/eeurope/news_library/pdf_files/execsum_es.pdf

La UE aconseja cifrar el correo electrónico
http://www.hispasec.com/unaaldia.asp?id=952



viernes, 22 de junio de 2001

Documentos Word pueden permitir la ejecución de macros

Microsoft publica un boletín en el cual informa a todos los usuarios
de la posibilidad de que en documentos Word maliciosamente creados
estos lleguen a permitir la ejecución de macros sin la autorización
del usuario.
Word, como otros miembros de la familia de productos Office proporciona
un mecanismo de seguridad que requiere la aprobación del usuario para la
ejecución de macros. Por diseño, cada vez que un documento Word se abre
Word comprueba la existencia de macros en él, si encuentra alguna macro
esta se trata de acuerdo con la configuración de seguridad seleccionada
por el usuario. Por defecto en Word 2000, sólo se permiten las macros
que están firmadas por una fuente confiable, el resto están
inhabilitadas. En Word 97, si el documento contiene macros el usuario es
interrogado sobre su deseo de activarla o desactivarla.

Existe una vulnerabilidad debido a la posibilidad de modificar un
documento Word de tal forma que evita que el escáner de seguridad
reconozca una macro incluida en el documento y permita su ejecución. Si
un atacante logra explotar esta vulnerabilidad podrá lograr que la macro
se ejecute automáticamente cuando se abra el documento. Esta macro podrá
realizar cualquier acción que pueda llevar a cabo el usuario que abrió
el documento.

Para evitar los efectos de esta vulnerabilidad Microsoft ha publicado
parches para las diferentes versiones de Word que se encuentran en las
direcciones:

Microsoft Word 2002:
http://office.microsoft.com/downloads/2002/wrd1001.aspx

Microsoft Word 2000:
http://office.microsoft.com/downloads/2000/wd2kmsec.aspx

Microsoft Word 97:
http://office.microsoft.com/downloads/9798/wd97mcrs.aspx

Microsoft Word 2001 para Macintosh:
http://www.microsoft.com/mac/download/office2001/wordmacro.asp

Microsoft Word 98 para Macintosh:
http://www.microsoft.com/mac/download/office2001/wordmacro98.asp



Antonio Ropero
antonior@hispasec.com


Más información:

Boletín de seguridad Microsoft (MS01-034):
http://www.microsoft.com/technet/security/bulletin/MS01-034.asp



jueves, 21 de junio de 2001

Vulnerabilidad en el concentrador Cisco 6400 (NRP2)

Cisco pone a disposición de los usuarios del concentrador 6400 (NRP2)
un parche que evita el problema por el cual un atacante conseguiría
acceso mediante Telnet al sistema.
Los concentradores de la serie 6000, están especialmente diseñados
para su instalación en configuraciones de backbone y complejos de
servidores gigabit o para la agregación de recintos de cableado de
alta densidad de 10/100 megabits por segundo (mbps).

Un atacante podrá acceder al servidor atacado aprovechándose de
un problema en la configuración de la clave para los vtys que
permitiría el acceso antes que la contraseña vty. Esto facilitará
el explotar este problema en los Gigabit Ethernet, ATM e interfaces
de serie en NRP2.

Una buena política de seguridad para los usuarios sería el impedir el
acceso a los módulos si previamente no se ha establecido la clave al
vty.

Desde Cisco se recomienda la actualización a versiones posteriores a
la afectada para usuarios registrados en la dirección www.cisco.com,
o aplicar la correspondiente clave a los 32 vtys en NRP2 con la
siguiente orden:

vty 0 31 password "clave"



Antonio J. Román Arrebola
roman@hispasec.com


Más información:

Cisco 6400 NRP2 Telnet Vulnerability

http://www.cisco.com/warp/public/707/6400-nrp2-telnet-vuln-pub.shtml



miércoles, 20 de junio de 2001

Desbordamiento de búfer en el demonio de impresión de Solaris

Se ha descubierto una vulnerabilidad de desbordamiento de búfer en el
demonio de impresora (in.lpd) que puede permitir a un atacante remoto (o
local) provocar la denegación de servicio del demonio o incluso llegar a
ejecutar código arbitrario con privilegios de administración. Este
demonio se ejecuta por defecto con privilegios de root en todas las
versiones de Solaris.
Solaris instala el demonio de impresora in.lpd por defecto. Esta
vulnerabilidad puede permitir a un atacante remoto la ejecución de
código arbitrario sin restricción ya que no se necesita acceso local al
sistema para explotar la vulnerabilidad. Las versiones afectadas por
el problema son Solaris 2.6, 7 y 8 tanto para Spac como para x86.

El demonio del protocolo de impresión de Solaris proporciona a los
usuarios un interface para interactuar con una impresora local. El
demonio in.lpd está a la escucha para peticiones remotas en el puerto
515. El problema reside en la rutina "transfer job" que permite a los
atacantes realizar el desbordamiento de búfer.

Sun Microsystems ha informado que los parches para evitar esta
vulnerabilidad están en desarrollo y están disponibles en julio.
Cuando los parches se hagan públicos contarán con la siguiente
numeración:

106235-09 SunOS 5.6: lp patch
106236-09 SunOS 5.6_x86: lp patch
107115-08 SunOS 5.7: LP patch
107116-08 SunOS 5.7_x86: LP patch
109320-04 SunOS 5.8: LP patch
109321-04 SunOS 5.8_x86: LP patch

Hasta que los parches sean publicados se recomienda que el demonio
in.lpd sea inhabilitado de todos los sistemas vulnerables. Para
inhabilitar el demonio in.lpd se debe realizar lo siguiente:

1. Cambiar el usuario a root.
2. Abrir /etc/inetd.conf con un editor de texto.
3. Buscar la línea que comienza con "printer".
4. Insertar un comentario, o caracter "#" al principio de esta línea.
5. Reiniciar inetd.



Antonio Ropero
antonior@hispasec.com


Más información:

ISS. Remote Buffer Overflow Vulnerability in Solaris Print Protocol
Daemon:

http://xforce.iss.net/alerts/advise80.php

Securityfocus:

http://www.securityfocus.com/vdb/?id=2894



martes, 19 de junio de 2001

Ampliación del curso de seguridad Internet

Dada la gran respuesta obtenida, el curso "Seguridad Internet en
servidores Windows 2000" amplía el número de plazas para dar cabida
a la demanda. Ya están disponibles dos nuevos grupos de este curso,
especializado y muy práctico, que se impartirá en Madrid durante el
mes de julio.
Organizado por Hispasec y el Instituto para la Seguridad en Internet,
el curso consta de 20 horas durante las que los asistentes realizarán
ataques reales contra Internet con las mismas herramientas utilizadas
por los intrusos (hackers). Cada aspecto se plantea inicialmente desde
la perspectiva del intruso. Una vez comprendido, se mostrará su
posible solución y, lo que es más importante, las medidas preventivas
que se deben adoptar para evitar un ataque.

El temario puede consultarse en la dirección:
http://www.hispasec.com/formacion/programa.htm

Formulario de inscripción:
http://www.hispasec.com/formacion/inscrip.htm

Más información:

Curso práctico de Seguridad Internet

http://www.hispasec.com/unaaldia.asp?id=955




Bernardo Quintero
bernardo@hispasec.com



lunes, 18 de junio de 2001

Grave desbordamiento de bufer en todas las versiones de IIS

Todas las versiones de Internet Information Server (incluida la versión
para XP) se ven afectadas por un desbordamiento de búfer que puede ser
explotado por un atacante de forma remota para conseguir permisos de
administración.
La vulnerabilidad reside en el código que permite al servidor web
interactuar con las funcionalidades de Microsoft Indexing Service. El
filtro ISAPI vulnerable perteneciente al servicio de indexado se instala
por defecto en todas las versiones de IIS. El problema reside en el
hecho de que el filtro ISAPI de los archivos .ida (Indexing Service) no
realiza las comprobaciones adecuadas de límites sobre los datos
introducidos por el usuario por lo que resulta vulnerable a un ataque de
desbordamiento de búfer.

Los atacantes que consigan explotar la vulnerabilidad pueden, de forma
remota, conseguir acceso total de sistema (system) a cualquier servidor
Windows NT 4.0, Windows 2000, o Windows XP con Internet Information
Server como servidor web. Con el nivel del sistema un atacante puede
realizar cualquier acción que desee, lo que incluye la instalación y
ejecución de programas, manipular las bases de datos, añadir, modificar
o borrar archivos y páginas web, y mucho más.

El filtro ISAPI es susceptible a un ataque típico de desbordamiento de
búfer:

GET /NULL.ida?[buffer]=X HTTP/1.1

Donde [buffer] tiene un tamaño aproximado de 240 bytes.

Microsoft reconoce la gravedad de la vulnerabilidad y publica un parche
para eliminar los efectos de esta vulnerabilidad. Para los usuarios que
no puedan instalar este parche se recomienda eliminar los mapeos a
archivos .idq e .ida.

Los parches publicados por Microsoft pueden descarcarse de las
siguientes direcciones:
Para Windows NT 4.0:

http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30833

Para Windows 2000 Professional, Server y Advanced Server:

http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30800



Antonio Ropero
antonior@hispasec.com


Más información:

Aviso de seguridad de Eeye:
http://www.eeye.com/html/Research/Advisories/AD20010618.html

Boletín de seguridad Microsoft (MS01-033):
http://www.microsoft.com/technet/security/bulletin/MS01-033.asp



domingo, 17 de junio de 2001

Acceso remoto a archivos a través de Internet Explorer

Las últimas versiones de Internet Explorer se ven afectadas por una
problema que puede permitir el acceso al contenido de archivos del
sistema de un usuario que visite una web maliciosamente construida.
Un webmaster malicioso puede conseguir leer archivos alojados en el
disco de los usuarios que visiten una página web creada con tal
intención. El atacante necesita conocer el nombre y localización en el
disco duro del archivo que desea obtener.

Si existe un archivo con la forma

us="nombre"
passwd="contraseña"

Es posible leer el contenido de este archivo con el tag:

<script src="file:///C:/WINNT/test.txt"></script>

En este caso la página HTML considerará el archivo como un script y
us y passwd serán tomadas como variables.



Antonio Ropero
antonior@hispasec.com


Más información:

Securityfocus:
http://www.securityfocus.com/vdb/bottom.html?vid=2836



sábado, 16 de junio de 2001

Recomendaciones de la NSA para asegurar servidores Windows 2000

La Agencia de Seguridad Nacional de los Estados Unidos ha puesto a
disposición de los usuarios de Windows 2000 una serie de directrices
con en fin de facilitar una mejor administración del sistema operativo
de Microsoft.
La documentación liberada consta de 5 plantillas para usar con el
editor de configuración de seguridad, más otras 17 plantillas que
cubren diversos aspectos sobre la seguridad en sistemas operativos
y tres documentos que tratan fundamentalmente sobre seguridad
en paquetes de software populares relacionados a Windows 2000.

Con esta información se podrá recibir consejo para configurar
controladores de dominios, políticas de seguridad en dominios,
seguridad en estaciones de trabajo y servidores, arquitectura de red,
políticas de grupo y accesos a recursos de discos, cifrado en el
sistema de fichas (EFS), Microsoft IIS, Kerberos, PKI, routers,
clientes de correos, etc.

A última hora nos ha llegado la información que por sobrecarga en la
bajada de documentos del servidor de la NSA, el servicio no estará
nuevamente operativo hasta bien entrada la semana del 18 de junio.



Antonio J. Román Arrebola
roman@hispasec.com


Más información:

The National Security Agency
http://www.nsa.gov/index.html

Windows 2000 Security Recommendation Guides
http://www.nsa.gov/winsecurity/

NSA Releases Win2K Security Recommendation Guidelines
http://www.ntsecurity.net/Articles/Index.cfm?ArticleID=21451&Action=News



viernes, 15 de junio de 2001

Revelación de código fuente en Tomcat

Tomcat es la implementación oficial para tecnología de servlets de Java
y JSPs para Apache. Se ha descubierto una vulnerabilidad en este sistema
por la cual mediante una simple modificación de URL un atacante podrá
conseguir el código fuente de las páginas JSPs.
El fallo parece provenir del servidor web integrado en las versiones
afectadas de Tomcat que decodifica la URL dos veces. De forma que
direcciones construidas de la forma

http://servidor_vulnerable:8080/index.js%2570

Donde %25 es una codificación de &cute;%&cute;, y 70 es el valor hexadecimal para
&cute;p&cute;, lo que hace que el servidor devuelva el código fuente de la página
en vez de ejecutar el script. Todo parece indicar que tras una primera
decodificación de la URL se salta el proceso de tratamiento de JSPs ya
que la URL no acaba en .jsp. Pero en una segunda decodificación de la
URL el tratamiento de páginas estáticas es capaz de mapear la URL en un
nombre correcto de archivo.

Son vulnerables todos los sistemas Tomcat 4.0-b2 y anteriores son
vulnerables a este fallo. Tomcat ha proporcionado una nueva versión que
corrige este problema, por lo que se recomienda a todos los usuarios la
actualización a Tomcat 4.0 beta 3.



Antonio Ropero
antonior@hispasec.com


Más información:

Securiteam:
http://www.securiteam.com/unixfocus/5RP0F0U4KA.html

TomCat:
http://jakarta.apache.org/tomcat/



jueves, 14 de junio de 2001

Vulnerabilidad en VirtualCatalog

Una vulnerabilidad que afecta a VirtualCatalog permite a un atacante
externo la visualización de archivos valiéndose de uno de sus CGIs.
VirtualCatalog es un software dedicado a la implantación de tiendas
en la red que destaca por facilitar una rápida y sencilla implantación
de comercios virtuales. Pero un fallo en el archivo "Catalog.pl" en
la validación del parámetro de la variable "template" permite que un
atacante remoto pueda visualizar cualquier archivo con permiso de
lectura a través de este CGI.

Un atacante remoto puede conseguir de forma sencilla el archivo
"CatalogMgr.pl" que es el encargado de almacenar para uso
administrativo los nombres de usuarios y las claves de clientes
de VirtualCatalog. Mediante una sencilla URL modificada
http://servidor_vulnerable/cgi-bin/CatalogMgr.pl?cartID=&template=CatalogMgr.pl
se puede obtener el archivo falseado en la variable "template".



Antonio J. Román Arrebola
roman@hispasec.com


Más información:

VirtualCatalog Allows Source Code Viewing (Template):
http://www.securiteam.com/securitynews/5EP0D004KO.html

miércoles, 13 de junio de 2001

Tercera revisión de un parche de Microsoft

Microsoft publica, por tercera vez, un parche para cubrir una serie de
problemas en Microsoft Exchange en el servicio Outlook Web Access.
El primer parche se presentó como una actualización para Exchange 2000
para cubrir una vulnerabilidad en el servicio Outlook Web Access pensado
para permitir a los usuarios el acceso a su buzón de correo desde un
navegador web. El problema residía en la posibilidad de que un usuario
malicioso enviara un script adjunto en el mensaje, de forma que al
visualizarse a través del navegador podría llegar a ejecutarse.

Cuando un usuario recibe un archivo adjunto con Outlook Web Access al
abrirlo el sistema preguntará donde guardar el archivo o si lo abre,
pero el problema hace que el script se ejecute automáticamente sin
consultar a través de Internet Explorer.

En principio según informaba Microsoft en un primer boletín esta
vulnerabilidad sólo se presentaba en Exchange 2000, pero en una segunda
revisión confirmó que el problema también se reproducía en Exchange 5.5.
Además informó de la existencia de un problema de regresión, es decir
que el primer parche creaba nuevos problemas de rendimiento en los
servidores sobre los que se instaló. Por este motivo Microsoft publicó
un segundo parche recomendando a todos los administradores su
instalación, incluidos aquellos que instalaron el primero.

Pero ahora, por tercera vez Microsoft corrige la anterior publicación ya
que informa que ha descubierto que el parche para Exchange 2000 contenía
archivos obsoletos, por lo que proporciona una tercera versión del
parche para Exchange 2000. Extiende la recomendación de instalación de
este parche a todos aquellos que descargaron esta actualización con
fecha anterior al 12 de junio de 2001.

Los parches pueden descargarse de las siguientes direcciones:
Para Microsoft Exchange Server 5.5:

http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30568

Para Microsoft Exchange 2000 Server:

http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30569



Antonio Ropero
antonior@hispasec.com


Más información:

Boletín de seguridad Microsoft (MS01-030):

http://www.microsoft.com/technet/security/bulletin/MS01-030.asp

una-al-dia (08/06/2001) Problemas en la actualización para Microsoft
Exchange Server 2000 OWA:

http://www.hispasec.com/unaaldia.asp?id=956



martes, 12 de junio de 2001

Vulnerabilidad en servidores SQL de Microsoft

Los servidores de bases de datos SQL Server 2000 y SQL Server 7.0 se ven
afectados por un problema que puede permitir a un usuario malicioso la
ejecución de consultas como administrador de la base de datos, e incluso
lograr la ejecución de código en el servidor en el que se aloja la base
de datos y así llegar a tomar el control de toda la máquina.
Cuando termina una conexión cliente a un servidor SQL Server, ésta
permanece en cache por un corto periodo de tiempo por motivos de
rendimiento. Un método de consulta SQL contiene un fallo que tiene el
efecto de hacer posible para la consulta de un usuario volver a emplear
la conexión cacheada que pertenecía a la cuenta sa.

Explotar esta vulnerabilidad puede posibilitar a un atacante la
ejecución de consultas en el contexto de seguridad del administrador.
Esto le puede dar la posibilidad de realizar cualquier acción que desee
con la base de datos. El problema puede ir incluso más lejos, ya que el
atacante puede tener la posibilidad de ejecutar procedimientos
almacenados extendidos y con ello conseguir la oportunidad de ejecutar
cualquier código en el servidor, y de esta forma lograr el control de
todo el sistema.

La vulnerabilidad sólo afecta a los servidores configurados para emplear
el Modo Mixto. En caso de que el servidor esté configurado para emplear
únicamente Autentificación Windows no se verá afectado por la
vulnerabilidad.

Para cubrir esta vulnerabilidad Microsoft publica un parche que puede
descargarse de la dirección:

http://support.microsoft.com/support/kb/articles/Q299/7/17.asp



Antonio Ropero
antonior@hispasec.com


Más información:

Boletín de seguridad de Microsoft (MS01-032):

http://www.microsoft.com/technet/security/bulletin/ms01-032.asp



lunes, 11 de junio de 2001

Exposición local de llaves HMAC-MD5 (TSIG) en BIND

Todas las versiones de BIND con dnskeygen, hasta BIND 8.2.4 (incluida)
y todas las versiones de BIND con dnssec-keygen hasta BIND 9.1.2
(incluida) y que empleen actualizaciones dinámicas de DNS con
claves HMAC-MD5 se ven afectadas por un problema que puede dejar
expuestas las claves de actualización.
Existe un fallo en la utilidad dnskeygen bajo BIND 8 y la utilidad
dnssec-keygen icluida en BIND 9. Las llaves generadas con estas
utilidades se almacenan en dos archivos. En el caso de las llaves
secretas HMAC-MD5 que se usan para las actualizaciones dinámicas de los
servidores DNS, el mismo material secreto de las llaves está presente en
los dos archivos. Sólo uno de estos archivos está configurado por
defecto con un fuerte control de acceso. La exposición resultante puede
permitir a los usuarios locales no autorizados obtener la información de
las claves. Esto puede permitir ataques de actualización de servidores
DNS que soporten actualizaciones dinámicas.

Los usuarios de BIND 9 deben actualizar a BIND 9.1.3rc1 o superior.
BIND 8.3 está previsto que esté disponible en julio de 2001, hasta
entonces los administradores deberán inspeccionar todas las llaves para
corregir los permisos de los archivos. Los siguientes comandos revelarán
los archivos de llaves relevantes que pueden contener datos sensibles.

find / -name ´K*.+157+[0-9][0-9][0-9][0-9][0-9].key´ -perm +066
find / -name ´K*.+157+[0-9][0-9][0-9][0-9][0-9].private´ -perm +066

Estos comandos deben revelar los archivos que están desprotegidos por el
directorio, ruta o permisos ACL. Se deben cambiar los permisos en todos
los archivos dnssec , key y .private existentes a modos 600 o
superiores.

Los archivos dnssec de llaves deben crearse en directorios que tengan
los permisos y la propiedad configurados para denegar accesos sin
autorización al material de las claves.



Antonio Ropero
antonior@hispasec.com


Más información:

IIS X-Force:
http://xforce.iss.net/



domingo, 10 de junio de 2001

Vulnerabilidad en los conmutadores de Cisco Serie 11000

Una vulnerabilidad en los conmutadores de la serie Cisco Content
Service Switch (CSS) 11000 permite a un usuario acceder a datos
seguros.
El problema que afecta a los mencionados dispositivos de la serie
11000 viene dado por una errónea implementación en las restricciones
adecuadas para el acceso al administrador web. Cuando un usuario
común se identifica correctamente, este es contestado automáticamente
con una dirección URL que lo envía a la aplicación de administración
web. Si este mismo usuario copia esta dirección y posteriormente la
introduce en su explorador no necesitará una nueva identificación,
con lo que evita el proceso de autentificación. Esto también es
posible si se agrega la dirección a los favoritos del navegador.

Los conmutadores de la serie 11000 que utilizan el software WebNS de
Cisco, con versiones anteriores a 4.01B29s y 4.10B17s, se ven
afectados por esta vulnerabilidad. Para comprobar si un dispositivo
es vulnerable basta escribir en la línea de comandos la instrucción
"version".

El parche que corrige esta vulnerabilidad está a disposición de los
usuarios con contratos en el Centro de Software de Cisco, en la
dirección:

http://www.cisco.com

Los clientes sin contrato o garantía deberán contactar con el (TAC),
Centro de Asistencia Técnica de Cisco, para poder obtener las
actualizaciones.



Antonio J. Román Arrebola
roman@hispasec.com


Más información:

Cisco Content Service Switch 11000 Series Web Management Vulnerability
http://www.cisco.com/warp/public/707/arrowpoint-webmgmt-vuln-pub.shtml



sábado, 9 de junio de 2001

Vulnerabilidades en el servicio Telnet de Windows 2000

Microsoft ha publicado un parche para cubrir un total de siete
vulnerabilidades que afectan al servicio Telnet de Windows 2000. Las
vulnerabilidades pueden causar distintos tipos de problemas denegación
de servicio, descubrimiento de información y elevación de privilegios.
Dos de las vulnerabilidades permiten la elevación de privilegios, y
tienen su origen en la forma en que se crean las sesiones de Telnet.
Cuando se establece una nueva sesión de Telnet, el servicio crea un
"named pipe" y ejecuta cualquier código asociado con él como parte
del proceso de inicialización. Sin embargo, este nombre es predecible
y si Telnet encuentra un pipe existente con ese nombre lo emplea. Un
atacante con la posibilidad de cargar y ejecutar código en el servidor
podrá crear el "pipe" y asociar un programa con él. De esta forma, el
servicio telnet ejecutará el código en el contexto del sistema cuando
se establezca la siguiente sesión Telnet.

Otras cuatro vulnerabilidades permiten ataques de denegación de
servicios, aunque ninguna de estos problemas tienen relación entre si.
Los problemas de denegación de servicio provienen por el tratamiento de
sesiones inactivas, por un error en la terminación de sesiones, por un
fallo en el comando de login y por que una llamada del sistema (que
puede realizarse con privilegios de usuario normal) puede causar la
terminación de una sesión de Telnet. Una última vulnerabilidad puede
permitir a un atacante descubrir cuentas de invitado expuestas a través
del servidor Telnet.

Para evitar estos siete problemas se recomienda la instalación del
parche publicado por Microsoft en:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30508



Antonio Ropero
antonior@hispasec.com


Más información:

Boletín de seguridad microsoft (MS01-031):
http://www.microsoft.com/technet/security/bulletin/MS01-031.asp



viernes, 8 de junio de 2001

Problemas en la actualización para Microsoft Exchange Server 2000 OWA

Microsoft está modificando el parche que sacó el pasado día 4 del
presente mes y que teóricamente corregía la mencionada vulnerabilidad.
Esta actualización tendría que evitar la vulnerabilidad que permitía
la ejecución de un script adjunto a un mensaje y al que Outlook Web
Access, permitía su ejecución.

Un atacante malintencionado podía valerse de esta vulnerabilidad para
realizar un script, con el cual poder hacerse dueño del buzón de
Microsoft Exchange Server 2000, con la posibilidad de borrar,
modificar o añadir datos del buzón atacado.

OWA (Outlook Web Access) es un servicio integrado en Exchange 2000
para facilitar el acceso al buzón de un usuario desde un navegador.

Si intentamos bajarnos el parche correspondiente, Microsoft nos
informa que "Debido a un problema que ha sido descubierto en este
hotfix, los binarios han sido quitados. Una versión puesta al día será
puesta para su descarga, el 11 junio lo más tardar".

Según fuentes de Microsoft el parche corregido podrá ser obtenido el
próximo día 11 del presente mes, en la dirección:

http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30436



Antonio J. Román Arrebola
roman@hispasec.com


Más información:

Incorrect Attachment Handling in Exchange 2000 OWA Can Execute Script
http://www.microsoft.com/technet/security/bulletin/MS01-030.asp

Incorrect Attachment Handling in Exchange 2000 OWA Can Execute Script
http://www.securityfocus.com/archive/1/189209



jueves, 7 de junio de 2001

Visualización de código cgi en el servidor web de WebTrends

WebTrends es un popular programa para la realización de estadísticas
de acceso y uso a un sitio web. Se ha descubierto una vulnerabilidad
en el servidor web incorporado por la cual se puede visualizar el
código de programas cgi.
El problema se ha podido reproducir en las versiones 3.1c y 3.5 de
Webtrends Reporting Server. Esta aplicación incorpora un servidor web
con objeto de permitir la visualización de los informes en html que el
programa elabora. Pero este servidor web contiene una vulnerabilidad,
por la cual un atacante puede llegar a descubrir el código de páginas
cgi.

El problema es bastante sencillo de reproducir ya que basta con escribir
la petición URL terminada con la codificación del carácter espacio (%20).
Es decir, por ejemplo:

http://host/remote_login.pl%20

Al realizar esta petición, WebTrends se verá engañado y considerará que
la extensión no corresponde a un archivo ejecutable por lo que mostrará
su código fuente.



Antonio Ropero

antonior@hispasec.com


Más información:

Bugtraq:
http://www.securityfocus.com/archive/1/188454
http://www.securityfocus.com/archive/1/188559


Webtrends:
http://www.webtrends.com



miércoles, 6 de junio de 2001

Curso práctico de Seguridad Internet

Hispasec Sistemas y el Instituto para la Seguridad en Internet (ISI)
han organizado un curso, eminentemente práctico, dirigido a todos
aquellos administradores de sistemas y desarrolladores de entornos
Microsoft, donde se ofrece una puesta al día sobre los aspectos de
la seguridad en Internet.
"Seguridad Internet en servidores Windows 2000" es un curso
especializado y muy práctico. Los asistentes, que contarán con un
ordenador por persona, documentación en español y CD-ROM con todas
las utilidades vistas en el curso, realizarán ataques reales contra
Internet con las mismas herramientas utilizadas por los intrusos
(hackers). Cada aspecto se plantea inicialmente desde la perspectiva
del intruso. Una vez comprendido, se mostrará su posible solución y,
lo que es más importante, las medidas preventivas que se deben
adoptar para evitar un ataque.

Otro de los factores a destacar de este curso es la calidad técnica de
sus autores. El curso ha sido diseñado, documentado y, además, será
impartido por dos auténticos expertos en la materia: Juan Carlos García
Cuartango y Cristóbal Bielza.

El temario puede consultarse en la dirección:

http://www.hispasec.com/formacion/programa.htm

Formulario de inscripción:

http://www.hispasec.com/formacion/inscrip.htm

Como complemento a este curso, Hispasec ha diseñado una versión
especial de su servicio comercial de alertas, reducida en esta
ocasión a la plataforma de servidores Windows NT y 2000. Este
servicio informa de inmediato sobre la aparición de nuevas
vulnerabilidades que afectan a estos sistemas y las medidas
necesarias para prevenir sus riesgos. Solicitud de información
en info@hispasec.com



Hispasec Sistemas
hispasec@hispasec.com



martes, 5 de junio de 2001

Actualización de contenidos en CriptoRed

Tesis doctorales, temarios de asignaturas, comentarios de libros,
artículos, congresos y otros eventos, son algunos de los nuevos
contenidos que se han sumado a la Red Iberoamericana de Criptografía.
1. Resúmenes de TFCs y Tesis Doctorales:
"Cotas para la tasa óptima de información de estructuras homogéneas"
"Esquemas de umbral con pesos para compartir secretos"
"Generación de sucesiones pseudoaleatorias mediante cubos en un Z_m"
"Raíces cúbicas en Z_m"
http://www.criptored.upm.es/paginas/investigacion.htm#rtfc
"Curvas elípticas módulo N y aplicaciones criptográficas"
http://www.criptored.upm.es/paginas/investigacion.htm#rtesis

2. Temarios de asignaturas:
"Teoría de la Información y Codificación: TIC"
http://www.criptored.upm.es/paginas/docencia.htm#programas

3. Nuevos comentarios de libros:
"Seguridad y Comercio en el Web"
"Tarjetas Inteligentes"
"Criptografía Digital. Fundamentos y aplicaciones"
"Digital Certificates. Applied Internet Security"
"Secure Electronic Transactions. Introduction and Technical Reference"
"Internet Crytography"
"Manual de Seguridad de Windows NT"
"Secure Electronic Commerce. Building the Infraestructure for Digital
Signatures & Encryption"
"Seguridad Informática"
"Seguridad para Intranet e Internet"
"Network Security. Data and Voice Communications"
"Practical cryptography for data internetworks"
"Database Security"
"Firewalls and Internet Security. Repelling the Wily Hacker"
"Manual de Seguridad para PC y redes locales"
"Seguridad y Protección de la Información"
"Commonsense Computer Security. Your practical guide to information
protection"
"EDI Security, Control and Audit"
"UNIX System Security. A guide for users and system Administrators"
http://www.criptored.upm.es/paginas/docencia.htm#bibliografia

4. Artículos:
"Administración de máquinas Unix: una guía de evaluación para sistemas
Sun Solaris"
http://www.criptored.upm.es/paginas/docencia.htm#gteoria

5. Congresos:
1er Congreso Iberoamericano de Seguridad Informática. Morelia (México)
http://www.congresoseg.itmorelia.edu.mx
VI Seminario Iberoamericano de Seguridad en NTIs. La Habana (Cuba)
i2002@seg.inf.cu
I Congreso Internacional de la Sociedad de la Información. Gran Canaria
(España)
http://guigui.teleco.ulpgc.es:8080/CISIC/index.htm

6. Otros eventos:
Ciclo de Conferencias de Seguridad Informática. EUI-UPM (España)
http://www.lpsi.eui.upm.es/Sinformatica/Sinformatica.htm
(Indice-Conferencias)
Propuesta de línea de trabajo sobre "Common Criteria" en ATI (España)
http://www.ati.es/gt/seguridad



Dr. Jorge Ramió Aguirre
jramio@eui.upm.es


Más información:

CriptoRed:
http://www.criptored.upm.es

23/04/2000 CriptoRed: Red Iberoamericana de Criptografía:
http://www.hispasec.com/unaaldia.asp?id=544

30/11/2000 CriptoRed cumple un año:
http://www.hispasec.com/unaaldia.asp?id=767

03/02/2001 Nuevos contenidos en CriptoRed:
http://www.hispasec.com/unaaldia.asp?id=832

04/05/2001 - Novedades y nuevos contenidos en CriptoRed:
http://www.hispasec.com/unaaldia.asp?id=922



lunes, 4 de junio de 2001

Desbordamiento de búfer en yppassword en Solaris

Se ha descubierto in the wild un exploit para tomar ventaja de un
problema de desbordamiento de búfer en el servicio yppasswd de los
sistemas Solaris 2.6, 7.
Para comprobar si el sistema es vulnerable ante esta vulnerabilidad se
puede emplear "rpcinfo -p ¦ grep 100009" o "ps -ef ¦ grep yppasswordd".
Si esto devuelve algún mensaje, el sistema será vulnerable a este
exploit.

Hasta el momento Sun no ha publicado ningún parche o actualización para
cubrir este problema, por lo que el mejor remedio pasa por proteger
mediante firewall los sistemas que estén ejecutando NIS. Sin embargo
esto no detendrá un posible ataque desde el interior.

Otra contramedida pasa por desactivar ypasswdd en
/usr/lib/netsvc/yp/ypstart, si bien esto impedirá a los usuarios
modificar su password.

O bien efectuar:
set noexec_user_stack = 1
set noexec_user_stack_log = 1
en /etc/system

Aunque con esto el sistema seguirá vulnerable al problema y ante otro
posible exploit quedará protegido ante el actual exploit y permitirá a
los usuarios modificar su password.



Antonio Ropero
antonior@hispasec.com


Más información:

Incidents.org:
http://www.incidents.org/news/yppassword.php



domingo, 3 de junio de 2001

La UE aconseja cifrar el correo electrónico

Nuevamente, y esta vez desde organismos gubernamentales se aconseja el
cifrado de las comunicaciones realizadas con correo electrónico.
El eurodiputado de la Unión Europea, Gerhard Schmid, ha presentado
sus primeras conclusiones en las que recomienda a los ciudadanos
europeos la necesidad de codificar los mensajes de correo electrónico,
haciendo un especial hincapié a la necesidad de hacer uso del mismo a
las empresas.

En el mismo informe se resalta la imposibilidad de hacer frente a
sistemas de monitorización de redes como el norteamericano "Echelon",
más incluso si este tipo de redes están soportadas y apoyadas por
países de la propia UE, como ejemplo el británico o el alemán.

Hay diversos motivos que pueden hacernos meditar en la falta de una
política común por parte de la UE, en protección de las comunicaciones.
Como ejemplo, la noticia que en su día dimos a conocer desde Hispasec,
en la que un alto cargo técnico de la UE confirmó la existencia de
pruebas realizadas a sistemas de cifrados europeos por parte de la NSA,
norteamericana.

Dada la importancia de este tipo de hechos se creo una comisión
parlamentaria encargada de la investigación de la red Echelon,
presidida por el parlamentario portugués Carlos Coelho.



Antonio J. Román Arrebola
roman@hispasec.com


Más información:

Una comisión europea aconseja codificar los e-mail ante el espionaje de
la red Echelon:
http://www.elpais.es/articulo.html?d_date=20010530&xref=20010530elpepisoc_10&type=Tes&anchor=elpe pisoc

El funcionamiento de la red Echelon:
http://www.elpais.es/grafMult.html?xref=20010530elpepisoc_10&fref=20010530elpepisoc_1.Ges&anchor= elpepisoc&type=Tes&d_date=

Confirmación de la existencia de Echelon:
http://www.hispasec.com/unaaldia.asp?id=869

El Parlamento Europeo votó por la investigación de Echelon:
http://www.hispasec.com/unaaldia.asp?id=619

El Parlamento Europeo investiga Echelon:
http://www.hispasec.com/unaaldia.asp?id=485



sábado, 2 de junio de 2001

Actualización urgente de GNUPG

Se ha publicado la versión 1.0.6 del programa GNUPG, que soluciona
varios problemas de seguridad.

GNUPG es un programa, disponible para multitud de sistemas operativos,
que implementa el protocolo OpenPGP para el intercambio de claves
públicas, cifrado y firmas digitales. Se trata de un programa
distribuído bajo licencia GNU y con código fuente.

Se soluciona el problema de manipulación de claves privadas, detallado
en un boletín anterior, por el cual un atacante con el suficiente
nivel de acceso pueda deducir una clave privada. Este problema, era
debido a que las versiones anteriores de GNUPG no incorporban un
control de integridad del componente público de la clave secreta
del usuario, lo que permitía su modificación a cualquier atacante con
los privilegios de acceso necesarios.

Se solucionan también problemas de desbordamiento de búfer y errores
de formato en los ficheros documentación en los diferentes idiomas que
soporta el programa.



Jesús Cea Avión
jcea@hispasec.com


Más información:

The GNU Privacy Guard:
http://www.gnupg.org/

Release Notes:
http://www.gnupg.org/whatsnew.html#rn20010529

Un problema de diseño permite recuperar claves secretas PGP:
http://www.hispasec.com/unaaldia.asp?id=893



viernes, 1 de junio de 2001

Numerosos problemas de seguridad en equipos Cisco

En las últimas semanas se han detectado un gran número de
vulnerabilidades distintas en diversos sistemas Cisco. Este boletín
proporciona un resumen de las mismas.
* CISCO VPN 3000

El envío de un datagrama malicioso a un CISCO VPN 3000 puede provocar su
cuelgue, suponiendo un ataque de DoS (Denegación de servicio). Es
necesario reiniciar el sistema manualmente.

Las versiones afectadas son los modelos 3005, 3015, 3030, 3060 y 3080,
con versiones de sistema anteriores a la 2.5.2 (F).

El ataque puede realizarse enviando un datagrama con una opción IP
inválida. Debido a que se trata de una opción inválida, es preciso que
el atacante se encuentre en el mismo segmento de red local que el equipo
atacado, ya que si existiesen routers intermedios (por ejemplo,
Internet), filtrarían dichos datagramas inválidos.

Se recomienda a los usuarios de equipos Cisco VPN 3000 que actualicen
sus equipos a la versión 2.5.2 (F) del sistema.

Un segundo ataque permite reiniciar un CSS simplemente enviando una gran
cantidad de tráfico a los puertos SSL o Telnet, causando un DoS. Se
recomienda, nuevamente, actualizar los equipos a la versión 2.5.2 (F)
del sistema.

* CISCO Content Services:

Los equipos Cisco CSS 11050, CSS 11150 y CSS 11800, con versión de
sistema anterior a la 4.01B19s son susceptibles a un ataque que
posibilita que un usuario obtenga más privilegios de los asignados
pudiendo, por ejemplo, reconfigurar el sistema a su antojo.

Existe una segunda vulnerabilidad que permite que un usuario arbitrario
del sistema pueda reiniciar el equipo, causando un DoS, mediante un
desbordamiento de búfer a la hora de indicar un nombre de fichero.

Los administradores de estos equipos deben actualizar sus sistemas a la
versión 4.01B19s.

Estos equipos son conocidos tambien con el nombre de "ArrowPoint".

Una tercera vulnerabilidad, que afecta a las versiones de sistema
previas a la 4.01B23s y 4.10B13s permite que cualquier usuario del
sistema pueda leer y escribir cualquier fichero del dispositivo, a
través de FTP. Elo permite tomar el control absoluto del equipo.

Debe actualizarse el sistema a la versión 4.01B23s o 4.10B13s.

* Mejora de la ALEATORIZACIÓN TCP:

El sistema oiperativo de Cisco, el IOS, permite predecir el ISN (initial
Sequence Number) de una conexión TCP/IP. Ello permite montar ataques de
IP Spoofing en las conexiones hacia o desde dichos equipos.

Los detalles del problema y los pasos para solucionarlo se detallan en
el propio aviso de Cisco, cuya URL se muestra al final de este
documento.

* Ataque DoS a PIX:

Los Cisco PIX 515 y 520 son susceptibles a un ataque DoS (Denegación de
servicio) mediante una sobrecarga de peticiones de autentificación.

Se recomienda a los usuarios de cortafuegos PIX que actualicen sus
sistemas a la versión 5.3.1.



Jesús Cea Avión
jcea@hispasec.com


Más información:

Cisco Security Advisory: VPN 3000 Concentrator IP Options Vulnerability:
http://www.cisco.com/warp/public/707/vpn3k-ipoptions-vuln-pub.shtml

Cisco Security Advisory: VPN3000 Concentrator TELNET Vulnerability:
http://www.cisco.com/warp/public/707/vpn3k-telnet-vuln-pub.shtml

Security Advisory: Cisco Content Services Switch Vulnerability:
http://www.cisco.com/warp/public/707/arrowpoint-cli-filesystem-pub.shtml

Cisco Security Advisory: Cisco Content Services Switch User Account
Vulnerability:
http://www.cisco.com/warp/public/707/arrowpoint-useraccnt-debug-pub.shtml

Cisco Security Advisory: Cisco Content Service Switch 11000 Series FTP
Vulnerability:
http://www.cisco.com/warp/public/707/arrowpoint-ftp-pub.shtml

Multiple Issues with Cisco Arrowpoint Switches:
http://www.atstake.com/research/advisories/2001/a013101-1.txt

Cisco Security Advisory: Cisco IOS Software TCP Initial Sequence Number
Randomization Improvements:
http://www.cisco.com/warp/public/707/ios-tcp-isn-random-pub.shtml

Cisco PIX TACACS+ Denial of Service Vulnerability:
http://www.securityfocus.com/bid/2551