lunes, 31 de diciembre de 2001

Diversos problemas de denegación de servicio en Oracle9iAS Web Cache

Existe un problema de denegación de servicios en el cache web del
servidor de aplicaciones Oracle 9i (Oracle 9i Application Server Web
Cache) de forma que cualquier usuario remoto puede provocar que el
servicio deje de funcionar.
El problema se produce cuando un usuario remoto realiza múltiples
peticiones GET que contengan un gran número de caracteres NULL. Existe
otro problema similar de forma que si algún atacante remoto envía una
petición con múltiples puntos (".") se provocará una violación de acceso
al demonio de cache web, que necesitará un reinicio manual (webcachectl
start) para restaurar el servicio administrativo.

Otro problema de denegación de servicio remoto afecta a los servidores
Windows 2000 y NT debido a un problema en el tratamiento de peticiones
GET con cabeceras HTTP de gran tamaño. En este caso el primer síntoma
será que el proceso del demonio consumirá el 100% de recursos de la CPU,
aunque seguirá atendiendo las peticiones recibidas. Mediante la
realización de múltiples peticiones, un usuario malicioso podrá llegar a
colgar el demonio lo que requerirá la interacción manual del
administrador para restaurar el servicio.

Oracle ha publicado una corrección a este problema en la versión 2.0.0.3
de Oracle9iAS Web Cache. Los usuarios con soporte podrán descargar esta
versión actualizada desde el sitio web de soporte mundial de Oracle,
conocido bajo el nombre de Metalink (http://metalink.oracle.com) bajo el
número de parche 2131605. Esta versión también puede descargarse para su
evaluación desde Oracle Technology Network en
http://otn.oracle.com/software/content.html.



Antonio Ropero
antonior@hispasec.com


Más información:

Alerta de Oracle:
http://otn.oracle.com/deploy/security/pdf/webcache2.pdf


domingo, 30 de diciembre de 2001

Fotografía de la actividad de gusanos en la red

Se publica un interesante artículo sobre la actividad de los gusanos
recientes en Internet.
Sus autores son Dug Song, Rob Malar y Robert Stone y, durante dos meses
han monitorizado los intentos de propagación de los gusanos en auge:
tres variantes de redCode y dos variantes de Nimda.

Los resultados son impresionantes.

Habiendo analizado las conexiones en una red que se corresponde con el
1/256 del espacio de direcciones de Internet, se observan más de 2.500
millones de intentos de conexión, con picos de 2000 intentos por
segundo. Extrapolando esos datos a todo Internet se detectan unas 6.4
billones (un billón es un millón de millones) de intentos de conexión,
con un tráfico mínimo -en el mejor de los casos- de 60 terabytes.

Aún sin contar la contaminación en sí de otras máquinas, que genera un
tráfico extra importante, el simple escaneo de direcciones IP a la caza
de servidores web (que pueden ser vulnerables o no), consume una
cantidad de recursos impresionante.

Algunos de los resultados que extrapolo personalmente de este trabajo
son:

- - Una máquina anónima conectada a Internet experimentará un escaneo por
parte de alguno de esos gusanos cada hora, aproximadamente.

- - El no tener una IP oficial o publicada en un DNS no ofrece ninguna
protección, ya que estos escaneos se realizan de forma aleatoria sobre
el espacio de direcciones IP.

- - Por lo tanto, una máquina que no esté protegida y bien configurada
*NO* debe conectarse a Internet hasta que se asegure convenientemente.

- - En una red con 256 direcciones públicas (una clase C estándar), se
recibe un escaneo cada 14 segundos.

Aunque los resultados mostrados en el artículo son inconsistentes en
algunos aspectos, las conclusiones generales que se pueden obtener de él
son muy interesantes y merecen un instante de reflexión.



Jesús Cea Avión
jcea@hispasec.com


Más información:

A Snapshot of Global Internet Worm Activity


http://research.arbor.net/up_media/up_files/snapshot_worm_activity_f.ps

A Snapshot of Global Internet Worm Activity
http://www.monkey.org/~dugsong/papers/worms.ps



sábado, 29 de diciembre de 2001

Vulnerabilidad "ettercap"

Las versiones de "ettercap" previas a la 0.6.3 contienen varios
desbordamientos de búfer que permiten la ejecución de código arbitrario
en la máquina que ejecuta el "sniffer".
"ettercap" es un "sniffer" (un programa para capturar datagramas en la
red local) muy utilizado por "hackers" y administradores de sistemas,
especialmente útil para diagnosticar problemas de red. Una de las
ventajas de este "sniffer" es que funciona incluso en redes locales
montadas bajo infraestructura de "switches" (conmutadores ethernet),
gracias a un uso inteligente de la contaminación ARP.

Asimismo, este "sniffer" permite, inyectar tráfico dentro de una
conexión existente, cerrar conexiones, captura automática de claves,
etc.

Las versiones de "ettercap" previas a la 0.6.3 contienen varios
desbordamientos de búfer que permiten la ejecución de código arbitrario
en la máquina que ejecuta el "sniffer". Dado que el programa debe
ejecutarse como administrador o "root" para poder ejercer sus funciones,
el código ejecutado a través del bug tendrá privilegios de
administrador.

Existen problemas de seguridad explotables tanto de forma local como
remota.

Se recomienda a todos los usuarios de "ettercap", en particular
administradores de sistemas, que actualicen a la versión 0.6.3.1 con la
mayor brevedad posible.



Jesús Cea Avión
jcea@hispasec.com


Más información:

ettercap
http://ettercap.sourceforge.net/

ROOT HOLED IN SUPER PENETRATOR TESTING PROGRAM ETTERCAP!
http://www.bugtraq.org/dev/GOBBLES-11.txt

GOBBLES FULL DISCLOSE REMOTE ROOT HOLE IN SUPER SNIFFER!
http://www.bugtraq.org/dev/GOBBLES-12.txt

own-ettercap - Ettercap local root exploit
http://www.bugtraq.org/exploits/GOBBLES-own-ettercap.c



viernes, 28 de diciembre de 2001

Gusanos de Internet: pasado, presente y futuro (II)

Las novedades del presente año vienen por parte de la nueva corriente
de gusanos que logran infectar sistemas de forma automática, sin
necesidad de que el usuario abra o ejecute un archivo, para ello emplea
principalmente vulnerabilidades del cliente de correo. Por otro lado,
la incorporación de estas técnicas de hacking al mundillo de los
virus ha provocado la aparición de especímenes que explotan agujeros
de seguridad en los servidores, una vez infectados son utilizados
como plataformas de distribución masiva aprovechando su mayor
disponibilidad y ancho de banda.
Sin embargo, aun hoy día, no podemos olvidar la generación "Melissa",
gusanos muy simples que logran infectar a los clientes gracias a su
mejor arma, la ingeniería social (engañar al usuario). Desde el ya
mítico y romántico "ILoveYou", a sucedáneos con reclamos más visuales
como el "AnnaKournikova" que nos invadió a principios de año, pasando
por los típicos gusanos que se hacen pasar por felicitaciones
navideñas.

En el 2001, dentro de los gusanos que tienen en la ingeniería social
su mejor arma, destaca en el primer puesto "SirCam", al que le bastó
con incorporar frases tipo "hola como estas? Te mando este archivo
para que me des tu punto de vista", para que muchos usuarios abrieran
el gusano y se infectaran. "SirCam" también incorpora la doble
extensión en el nombre de archivo, característica común entre los
gusanos para intentar ocultar su verdadera extensión y hacerse pasar
por formatos inofensivos como gráficos o simple texto.

También merecen mención especial gusanos que, aunque se distribuyen
e infectan de forma similar a los anteriores, son mucho más
sofisticados y complejos en su diseño e incorporan importantes
innovaciones. Ya en 1999 hizo aparición "Babylonia", programado por
Vecna del grupo 29A, capaz de autoactualizarse por Internet por
medio de "plug-ins". Del mismo autor surgiría a finales del 2000
"Hybris", un gusano al que los usuarios apodaron como el del
"enanito" o "Blancanieves" por hacer referencia al cuento del mismo
nombre, que ha conseguido mantener un alto número de infecciones
durante todo el presente año. Entre las características más
sofisticadas de "Hybris" destaca la autoactualización con "plug-ins"
cifrados con algoritmo RSA y una llave de 128 bits que recoge de
los grupos de noticias de Internet.

Otro gusano que ha hecho furor en el 2001 ha sido "Magistr", que
además de incorporar payloads (efectos) muy dañinos, destaca por su
capacidad de construir tanto el asunto como el cuerpo del mensaje
donde viaja de forma arbitraria recogiendo frases y párrafos entre
los documentos que encuentra en los sistemas infectados. Esta
característica, además de impedir reconocer la llegada del gusano por
los signos más evidentes como puede ser un texto fijo en el asunto
del mensaje, provoca un importante efecto de ingeniería social, ya
que las frases o párrafos que se incluyen en el e-mail suelen tener
en muchas ocasiones relación con la actividad del remitente.

Pero sin duda la novedad de este año ha sido la proliferación de
gusanos que aprovechan vulnerabilidades en los sistemas para lograr
infectarlos de forma automática, sin necesidad de que el usuario
abra o ejecute el archivo que porta el código vírico. No obstante,
no debemos olvidar que el primer espécimen que incorporó esta
funcionalidad fue "BubbleBoy", un gusano escrito en VBS (Visual
Basic Script) por Zulu, capaz de activarse de forma automática con
tan sólo leer el mensaje donde se adjuntaba gracias a una
vulnerabilidad del cliente de correo Outlook. La noticia en la
que se analizaba a "BubbleBoy", el 5 de noviembre de 1999, terminaba
con la frase: "BubbleBoy supone el germen de lo que desde Hispasec
vaticinamos como una auténtica avalancha de "strains" y demás
mutaciones o variantes de este i-worm, que ha marcado un pasado y
un futuro, un ayer y un mañana, en el terreno de la virología
informática."

Uno de los últimos exponentes de esta corriente se ha hecho notar
apenas unas semanas, nos referimos a "BadTrans.B", un gusano que
explota una vulnerabilidad conocida de Internet Explorer a través
de la cual es posible forzar la ejecución automática de un binario
adjunto en un mensaje de correo (.EML). Para lograrlo modifica la
cabecera MIME que hace referencia al archivo de forma que simula
ser un formato confiable. Esto provoca que Internet Explorer lo abra
sin preguntar al usuario. Esta vulnerabilidad es heredada por los
clientes de correo Outlook y Oulook Express, ya que utilizan el
componente de Internet Explorer para visualizar los mensajes HTML.

Otro grupo destacado de gusanos en este año que se acaba son aquellos
que explotan vulnerabilidades en los servidores de Internet para
lograr infectarlos de forma automática y aprovecharlos como pasarela
para buscar nuevos sistemas víctimas. Aunque el mundo Linux se
vio afectado por gusanos como "Ramen", la palma en este terreno se
la ha llevado el servidor Internet Information Server de Microsoft,
cuyas vulnerabilidades ha provocado un gran número de infecciones
por parte de gusanos como "Code Red". El más sofisticado en este
terreno ha sido "Nimda", que aprovecha vulnerabilidades tanto en
clientes (IE) como en servidores (IIS), a la postre el gusano que
más quebraderos de cabeza ha provocado. "Nimda" puede atacar a los
usuarios de Windows por tres vías diferentes: por correo
electrónico, al visitar una página Web o al estar en una red local
compartiendo recursos con otro ordenador infectado. Además, tiene
una cuarta vía de infección que afecta a los servidores Windows
basados en Internet Information Server.



Bernardo Quintero
bernardo@hispasec.com


Más información:

5-11-1999 - ALERTA: "BubbleBoy" siembra el pánico por e-mail


http://www.hispasec.com/unaaldia.asp?id=374

7-12-1999 - ALERTA: "Babylonia", un virus autoactualizable


http://www.hispasec.com/unaaldia.asp?id=406

01-05-2000 - Alerta: VBS.LoveLetter infecta miles de sistemas


http://www.hispasec.com/unaaldia.asp?id=552

17-06-2000 - "LifeStages", un gusano en un presunto fichero TXT


http://www.hispasec.com/unaaldia.asp?id=599

29/11/2000 - "Hybris", un nuevo giro en la historia de los virus


http://www.hispasec.com/unaaldia.asp?id=766

01/12/2000 - "Santa": los gusanos hacen su agosto en Navidad


http://www.hispasec.com/unaaldia.asp?id=768

21/01/2001 - Un gusano muy activo afecta a sistemas Linux de todo el mundo


http://www.hispasec.com/unaaldia.asp?id=819

13/02/2001 - AnnaKournikova: ¿fracaso de la comunidad antivirus?


http://www.hispasec.com/unaaldia.asp?id=842

15/03/2001 - Alerta: Magistr, un virus/gusano sofisticado y muy destructivo


http://www.hispasec.com/unaaldia.asp?id=872

21/03/2001 - Análisis del polifacético y peligroso Magistr


http://www.hispasec.com/unaaldia.asp?id=878

09/05/2001 - Gusano Homepage, ¿vuelven a fallar los antivirus?


http://www.hispasec.com/unaaldia.asp?id=927

18/07/2001 - SirCam, gusano de propagación masiva


http://www.hispasec.com/unaaldia.asp?id=997

28/07/2001 - Alerta sobre una grave amenaza a Internet (Code Red)


http://www.hispasec.com/unaaldia.asp?id=1007

29/07/2001 - Reflexiones sobre SirCam


http://www.hispasec.com/unaaldia.asp?id=1008

06/08/2001 - Análisis del gusano "Code Red II"


http://www.hispasec.com/unaaldia.asp?id=1016

20/09/2001 - W32/Nimda: llegó, vio e infectó


http://www.hispasec.com/unaaldia.asp?id=1061

25/11/2001 - Nueva variante del gusano BadTrans


http://www.hispasec.com/unaaldia.asp?id=1127

27/11/2001 - "BadTrans.B": preguntas y respuestas


http://www.hispasec.com/unaaldia.asp?id=1129



jueves, 27 de diciembre de 2001

Argentina adopta la firma digital

El próximo 3 de enero entrará en vigor la nueva ley que regirá los
parámetros a los que tendrán que atenerse los usuarios de la firma
digital en Argentina.
Esta nueva ley, la número 25506, equipara la nueva firma digital a la
manuscrita salvo las excepciones reglamentadas por la citada ley. Como
ejemplo no tendrá validez legal la firma digital en caso de
testamentos, derecho de familia, ni para determinados actos de un
ámbito muy personal.

La ley de firma digital fue publicada en el boletín oficial de la
semana pasada. La entrada en vigor de esta ley prevé la sanción en el
caso de falsificación o usurpación de documentos dentro del código
penal argentino.

Las entidades certificadoras, encargadas de actuar notarialmente a la
hora de certificar las firmas de los usuarios, deberán atenerse a una
reglamentación de confidencialidad a la par de no requerir de los
usuarios más información que la mínimamente imprescindible con el fin
de emitir el correspondiente certificado. Con el fin de velar de su
cumplimiento se prevé una sanción de hasta 500.000 pesos de multa para
los infractores.



Antonio J. Román Arrebola
roman@hispasec.com


Más información:

Ahora podrá usarse la firma digital en la Argentina
http://www.clarin.com.ar/diario/2001-12-20/s-329517.htm

Aprobación del Congreso de los Diputados a la Firma Digital
http://www.hispasec.com/unaaldia.asp?id=362

España, a la vanguardia de las firmas electrónicas (I)
http://www.hispasec.com/unaaldia.asp?id=342

España, a la vanguardia de las firmas electrónicas (II)
http://www.hispasec.com/unaaldia.asp?id=343

Democracia electrónica ¿a la vuelta de la esquina?
http://www.hispasec.com/unaaldia.asp?id=870



miércoles, 26 de diciembre de 2001

Gusanos de Internet: pasado, presente y futuro (I)

Los gusanos de Internet o "i-worms" han sido, una vez más, los
protagonistas en este año que acaba. Si bien estos últimos meses
hemos vivido una evolución tanto en el enfoque como en las técnicas
utilizadas por estos especímenes que sin duda marcarán el futuro
más inmediato en este terreno.
Dejando a un lado el gusano de Morris, que data de 1988, el comienzo
de la nueva era de gusanos para Windows e Internet suele situarse
en los primeros meses de 1999. En enero de ese año surgía Happy99,
un gusano que nos felicitaba con fuegos artificiales la llegada del
nuevo año mientras aprovechaba para distribuirse adjunto en mensajes
de correo electrónico. Dos meses más tarde, en marzo de 1999,
aparecería Melissa que, además de provocar una infección masiva en
pocos días, sería el precursor de una nueva ola de gusanos.

Mientras que Happy99 era un binario cuyas interioridades y diseño
sólo las apreciaría un programador experto, Melissa nos descubría
como cualquier usuario, con unos conocimientos básicos de lenguaje
de macros o script, podía crear o plagiar en pocas líneas un gusano
que se distribuyera a los contactos de la libreta de direcciones de
Outlook del sistema infectado. Comenzaba una revolución.

En Hispasec nos adelantamos a Happy99 y Melissa con la noticia
"Una nueva generación de virus informáticos ha llegado" publicada
el 14 de diciembre de 1998, título bajo el cual se describía un
complejo virus que se distribuía adjunto a través del correo
electrónico. Win32.Parvo estaba escrito íntegramente en ensamblador
por GriYo, del conocido grupo español 29A, destacados por la
sofisticación y constante innovación en sus creaciones. La noticia
terminaba con la frase: "Este virus es el pionero en este tipo de
transmisión, pero sospechamos que no es mas que el comienzo de lo
que será una larga lista de virus de nueva generación."

Para los más puristas hay que puntualizar que meses antes habían
aparecido ya algunos especímenes que utilizaban el correo
electrónico para distribuirse, como el virus de macro para Word
"ShareFun", que ya en 1997 se distribuía a través de Microsoft
Mail, "RedTeam" que infectaba ejecutables de Windows y utilizaba
el cliente Eudora para adjuntarse a los e-mails, o el virus de
macro "Antimarc" para Word97 que se distribuía a través del mIRC
y el Outlook Express.



Bernardo Quintero
bernardo@hispasec.com


Más información:

3-11-1998 - El Gusano de Morris, 10 años despues
http://www.hispasec.com/unaaldia.asp?id=7

14-12-1998 - Una nueva generación de virus informáticos ha llegado
(Win32.Parvo)
http://www.hispasec.com/unaaldia.asp?id=48

27-01-1999 - Un nuevo gusano invade Internet (Happy99)
http://www.hispasec.com/unaaldia.asp?id=92

28-3-1999 - HispaSec analiza a Melissa
http://www.hispasec.com/unaaldia.asp?id=152



martes, 25 de diciembre de 2001

ADSL, timo 906 y CheckDialer

La publicación de la versión Beta de CheckDialer, programa
desarrollado por Hispasec Sistemas para prevenir conexiones 906 sin
conocimiento del usuario, ha provocado un aluvión constante de
consultas sobre la necesidad de instalar el programa y/o su
configuración en equipos con ADSL. Los usuarios de ADSL no se
encuentran afectados por los dialers 906 y, por tanto, no necesitan
instalar CheckDialer.
Los usuarios de ADSL no necesitan realizar una llamada de conexión
cada vez que quieran iniciar una sesión, su configuración los mantiene
siempre conectados a Internet. Los dialers, o programas marcadores,
que provocan las llamadas a números con prefijo 906, de tarificación
especial, no pueden llevar a cabo la marcación a través de ADSL.

CheckDialer monitoriza los datos de marcación que cualquier aplicación
envía al módem para realizar una llamada. Para lograrlo intercepta
las comunicaciones a nivel del puerto serie utilizado por el módem.
Este sistema no tiene razón de ser en un equipo que utiliza un
puerto USB o una tarjeta de red Ethernet en su conexión a Internet,
caso de los usuarios ADSL o los clientes que acceden a través de
una red local. Es por ello que al intentar ejecutar CheckDialer en
estos equipos el programa advierte de que no encuentra ningún módem
instalado en el sistema. En estas situaciones tampoco podrán verse
afectados por los dialers 906.

Otros mensajes sobre la versión Beta hacen mención al consumo de
recursos, efecto que ya advertíamos como versión intermedia de
desarrollo no optimizada para su uso final. También se han dado
algunos casos de no detección del número marcado bajo determinados
modelos o configuración, incidencia que ya advertimos y recogíamos
como excepción bajo la opción "números desconocidos".

A principios de año se distribuirá una nueva versión de CheckDialer,
también de forma totalmente gratuita, que corrige los problemas
anteriormente comentados. Los usuarios que quieran utilizar
CheckDialer de forma continua en sus sistemas deberán esperar hasta
entonces. Desde Hispasec queremos agradecer a los miles de usuarios
que han participado en la evaluación, cuyos comentarios y
sugerencias han sido de gran utilidad.



Bernardo Quintero
bernardo@hispasec.com


Más información:

Hispasec desarrolla una solución para el "timo 906"
http://www.hispasec.com/unaaldia.asp?id=1134

CheckDialer - Anti 906 - Control 906 - Stop 906
http://seguridad.internautas.org/checkdialer.php



lunes, 24 de diciembre de 2001

Finaliza con éxito la Campaña de Seguridad en la Red

296.000 internautas visitaron, entre el 15 de Octubre y el 15 de
Diciembre, la página web de la campaña organizada por la Asociación de
Internautas en la que Hispasec ha colaborado de forma activa junto con
diversos medios de comunicación, operadoras, empresas de seguridad y el
MCYT.
Durante estos dos meses de duración de la Campaña se ha constatado la
necesidad que tienen muchos internautas de información sobre seguridad
en Internet, debido entre otros, a la proliferación de virus
informáticos e intrusiones en ordenadores ajenos y al desconocimiento, y
sorpresa manifestada en gran número de correos electrónicos recibidos,
sobre cuestiones de seguridad y privacidad en la Red.

En la dirección http://seguridad.internautas.org se han ofrecido,
mediante artículos especializados explicaciones de todos los temas que
afectan a la seguridad en Internet, con prácticas reales en forma de
programas e informaciones obtenidas en nuestro servidor. El total de
paginas vistas ha sido 3.960.000. Los programas que se han distribuido
han sido los siguientes:

Antivirus. Proporcionado por la empresa Ontinet, S.L., distribuidora de
AVP, Kaspersky Antivirus, del que se han descargado 148.000 programas.

Firewall. Zone Alarm descargado 173.000 veces.

Escaner de puertos. Se ha ofrecido tanto un programa de exploración de
puertos (67.000 descargas) como un escaneo online desde nuestro servidor
(235.000 veces)

Programas de cifrado: PGP (17.200 descargas) y GNUPG (2.400 descargas)

Protección 906. Checkdialer (desde principios de Diciembre) con más de
16.000 descargas, desarrollado por Hispasec Sistemas.

Se ha dispuesto una línea de comunicación por correo electrónico durante
todo el desarrollo de la campaña, para atender las dudas de los
internautas, donde se han recibido 2.000 consultas.

Las revistas PC WORLD y PC Actual, en sus números de Noviembre,
incluyeron el contendido de toda la campaña en sendos CD-ROM con una
tirada conjunta de 250.000 CDs

La favorable acogida que la Campaña Nacional de Seguridad en la Red, ha
obtenido entre la comunidad internauta confirma que la seguridad es una
asignatura pendiente, donde existe una impresión muy generalizada
respecto a una Internet insegura, en las que inciden aspectos como,
seguridad en las transacciones electrónicas, la protección de
intrusiones en los ordenadores residenciales, la intimidad y
confidencialidad de las comunicaciones, el uso de Internet por los
menores y recientemente el abuso de dialers para acceder a Internet bajo
tarificación de 906 sin una buena información previa de las
consecuencias al internauta.



Antonio Ropero
antonior@hispasec.com


Más información:

Asociación de internautas
http://www.internautas.org

Finaliza la Campaña de Seguridad Organizada por la Asociacion de
Internautas
http://www.internautas.org/article.php?sid=341&mode=thread&order=0

Información sobre CheckDialer
http://seguridad.internautas.org/checkdialer.php

una-al-dia (02/12/2001) Hispasec desarrolla una solución para el "timo
906"
http://www.hispasec.com/unaaldia.asp?id=1134

Descarga de CheckDialer
http://internautas.gueb.net/CheckDialer.exe
http://www.hispasec.com/checkdialer/CheckDialer.exe



domingo, 23 de diciembre de 2001

Desbordamiento de búfer en el servidor de aplicaciones Oracle 9i

El servidor de aplicaciones Oracle 9i incluya el servidor web Apache y
y soporte para entornos como SOAP, PL/SQL, XSQL y JSP. Pero el módulo
PL/SQL de Apache para Oracle 9iAS proporciona funcionalidades para la
administración remota de Database Access Descriptors y acceso a las
páginas de ayuda.
Existe un desbordamiento de búfer explotable de forma remota en el
módulo Apache PL/SQL. Una petición para una página de ayuda
excesivamente larga puede provocar que las variables de la pila se
sobreescriban, lo que resultará en que la dirección de retorno también
se sobreescriba con los valores proporcionados por el atacante. De esta
forma un usuario malicioso podrá lograr la ejecución del código que
desee.

Bajo sistemas Microsoft Windows NT/2000 además el código proporcionado
por el atacante se ejecutará con privilegios del sistema, ya que este es
el nivel de privilegios bajo el que se ejecuta el proceso Apache. En
otros sistemas operativos el atacante podrá conseguir acceso local al
sistema.

Hay que aclarar que cuando un usuario trata de acceder a una página de
/admin_ /, el usuario recibirá un desafío para la autenticación a través
de un nombre de usuario y password. Sin embargo, no se ofrece ningún
desafío cuando el usuario intenta acceder a las paginas de la ayuda.

Oracle ha publicado un parche para evitar este problema que los usuarios
registrados podrán descargar desde su sitio Metalink
(http://metalink.oracle.com) bajo el número de parche 2128936.



Antonio Ropero
antonior@hispasec.com


Más información:

Aviso de seguridad de Oracle
http://otn.oracle.com/deploy/security/pdf/modplsql.pdf

Aviso de seguridad de NGSSoftware
http://www.nextgenss.com/advisories/plsql.txt

Securityfocus
http://www.securityfocus.com/bid/3726



sábado, 22 de diciembre de 2001

Múltiples vulnerabilidades en Microsoft SQL Server 7.0 y 2000

Se han descubierto diversas vulnerabilidades en Microsoft SQL Server 7.0
y 2000 que pueden permitir a un atacante ejecutar código arbitrario en
el servidor SQL, en el contexto de la cuenta bajo la que se ejecute el
servidor SQL, que habitualmente es la de Administrador.
SQL Server proporciona funciones para definir el formato de los mensajes
de error basadas en C. Estas funciones están accesibles a todos los
usuarios. Pero si se proporciona una entrada maliciosamente creada a
estas funciones se puede provocar una condición de error explotable en
SQL Server. Para construir este ataque el atacante deberá tener permisos
para ejecutar consultas SQL bien directamente o bien mediante la
inyección de comandos SQL a través de otros fallos.

La función raiserror() es accesible para todos los usuarios, y permite
la especificación de un parámetro demasiado largo. Esto produce el
desbordamiento de búfer. De forma adicional se pueden emplear
especificadores de formato de cadena, lo que permitirá al atacante
sobreescribir una dirección arbitraria de memoria, y de esta forma
lograr la ejecución del código deseado.

La función formatmessage() también es accesible para todos los usuarios.
Mediante la creación de mensajes especialmente modificados cualquier
usuario podrá posteriormente hacer que se ejecute el código contenido en
el mensaje.

El procedimiento almacenado extendido xp_sprintf (accesible para
'public' por defecto) permite la especificación de parámetros demasiado
extensos, lo que provoca el consiguiente desbordamiento de búfer
explotable.

Microsoft ha publicado parches para evitar este problema, que se pueden
descargar de las siguientes direcciones:

SQL Server 7.0:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=34131

SQL Server 2000:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=34131

Más información:

@stake Security Advisory:
http://www.atstake.com/research/advisories/2001/a122001-1.txt

Boletín de seguridad Microsoft MS01-060:
http://www.microsoft.com/technet/security/bulletin/MS01-060.asp




Antonio Ropero
antonior@hispasec.com



viernes, 21 de diciembre de 2001

Nueva versión más segura de PHP

Se publica una nueva versión de PHP, 4.1.0, con un nuevo sistema de
entrada de datos mucho más seguro.
PHP es un lenguaje de script diseñado para la creación de páginas web
activas (similares a ".ASP" en el mundo MS Windows), muy popular en
entornos Unix, aunque existe también versión para sistemas Microsoft.

Las versiones de PHP previas a la 4.1.0 permiten que un atacante
introduzca e inicialice variables arbitrarias en el proceso PHP
servidor, lo que puede ocasionar infinidad de problemas de seguridad.
Aunque PHP permite deshabilitar ese mecanismo de entrada para cerrar el
problema, la programación de scripts con el mecanismo cerrado es un
trabajo arduo y desagradable.

PHP 4.1.0 dispone de un nuevo sistema de entrada que permite cerrar el
riesgo de seguridad sin que la elaboración de código se complique
innecesariamente, facilitando la escritura de scripts seguros y fiables.

PHP 4.1.0 mantiene los viejos sistema de entrada por compatibilidad con
los scripts ya existentes, pero todo nuevo script debería utilizar el
nuevo mecanismo.



Jesús Cea Avión
jcea@hispasec.com


Más información:

PHP 4.1.0 Release Announcement

http://www.php.net/release_4_1_0.php

PHP:Hypertext Preprocessor

http://www.php.net/

[Security] PHP 4.1.0 available

http://www.securityfocus.com/archive/1/245872



jueves, 20 de diciembre de 2001

Importante agujero en Windows XP

Windows XP presenta un importante agujero de seguridad que permite a
un atacante lograr el control total del sistema a través de Internet.
El sistema operativo, que Microsoft vende como el más seguro hasta
la fecha, instala por defecto el servicio UPNP (Universal Plug and
Play) con varias vulnerabilidades, mientras que algunas permiten
ataques por denegación de servicios, la principal facilita mediante
un desbordamiento de buffer el acceso a nivel de sistema a través de
Internet, es decir, el control total por parte de un atacante.
Windows XP activa por defecto el servicio UPNP que presenta los
problemas de seguridad, de forma que todos sus usuarios deben
encontrarse vulnerables y su actualización se presenta como crítica.
Windows ME incluye el servicio UPNP pero no lo activa por defecto,
por lo que el riesgo disminuye, si bien se aconseja comprobarlo
e instalar en caso necesario el correspondiente parche. Windows 98
y 98SE no incluyen UPNP, pero pueden ser vulnerables si se ha
instalado en estos sistemas el cliente Internet Connection Sharing
que se incluye en Windows XP. Los usuarios de Windows NT y
Windows 2000 pueden respirar tranquilos en esta ocasión, ya que
estos sistemas no soportan UPNP.

El servicio UPNP (Universal Plug and Play) es una ampliación del ya
archiconocido Plug and Play. Mientras que este último permite que
Windows reconozca los dispositivos que están instalados directamente
a nuestro ordenador, UPNP amplía esta funcionalidad a las redes
TCP/IP. De esta forma mientras que PNP puede detectar que hemos
instalado una nueva tarjeta gráfica en nuestro ordenador y configurar
sus drivers, UPNP hace lo propio con una nueva impresora que no se
encuentra en nuestra habitación pero que se ha instalado en la red
local a la que estamos conectados.

La principal vulnerabilidad se presenta en uno de los componentes
que maneja las directivas NOTIFY, mensajes que avisan al sistema
operativo de que se encuentra un dispositivo UPNP en la red. Es
posible construir uno de estos mensajes NOTIFY de forma especial
y enviarlos a un ordenador para que cause un desbordamiento de
buffer en el componente del servicio UPNP encargado de su
interpretación, con el agravante de que puede ser explotado para
ejecutar código arbitrario con los máximos privilegios.

Las otras vulnerabilidades están basadas también en las directivas
NOTIFY que, además de avisar al sistema operativo de que se
encuentra un dispositivo UPNP en la red, indican en que dirección
y puerto pueden obtenerse toda la información del mismo, como
servicios que ofrece o controladores para su uso. Es posible construir
un mensaje NOTIFY que dirija a un sistema afectado hacia una
dirección y puertos concretos, por ejemplo donde un servidor
devuelva tráfico constantemente con la función eco activada
y provocar así el colapso en el cliente (denegación de servicio).
Otra opción es dirigir a muchos clientes afectados contra un
mismo servidor, para que intenten leer la información de un
supuesto dispositivo UPNP, lo que puede provocar el colapso
del servidor ante tantas peticiones (ataque distribuido de
denegación de servicio).

Se recomienda a todos los usuarios de Windows XP, y aquellos
usuarios de Windows 98 y ME que tuvieran activado el servicio
UPNP, instalen de inmediato el parche correspondiente que
facilita Microsoft en las siguientes direcciones según versión:

Microsoft Windows XP:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=34951

Parche UPNP Windows XP versión español:
http://download.microsoft.com/download/whistler/Patch/Q315000/WXP/ES/Q315000_WXP_SP1_x86_ESN.exe

Microsoft Windows ME:
http://download.microsoft.com/download/winme/Update/22940/WinMe/EN-US/314757USAM.EXE

Parche UPNP Windows ME versión español:
http://download.microsoft.com/download/winme/Update/22940/WinMe/ES/314757SPAM.EXE

Microsoft Windows 98/98SE:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=34991

Parche UPNP Windows 98/98SE versión español:
http://download.microsoft.com/download/win98SE/Patch/Q314941/W98/ES/314941SPA8.EXE



Bernardo Quintero
bquintero@hispasec.com


Más información:

Microsoft Security Bulletin MS01-059
Unchecked Buffer in Universal Plug and Play can Lead to System Compromise
http://www.microsoft.com/technet/security/bulletin/MS01-059.asp

UPNP - Multiple Remote Windows XP/ME/98 Vulnerabilities
http://www.eeye.com/html/Research/Advisories/AD20011220.html



miércoles, 19 de diciembre de 2001

"Cross Site Scripting" en Mailman inferiores a la versión 2.0.8

Las versiones de Mailman previas a la 2.0.8 son susceptibles a un ataque
"Cross Site Scripting" en la gestión de los archivos de mensajes.
Mailman es un gestor de listas de distribución por correo electrónico
muy popular. Programado en Python, está sustituyendo rápidamente a los
viejos entornos "majordomo", por su interfaz gráfica, su buen nivel de
integración de funciones y fácil modificación.

Las versiones de Mailman previas a la 2.0.8 permiten la explotación de
la vulnerabilidad "Cross Site Scripting", al posibilitar la inyección de
código HTML arbitrario en sus archivos. Ello hace posible, por ejemplo,
la captura de credenciales de usuarios por parte de un atacante
malicioso.

La versión de Mailman 2.0.8 soluciona esta vulnerabilidad. Se recomienda
la actualización.



Jesús Cea Avión
jcea@hispasec.com


Más información:

Mailman
http://sourceforge.net/projects/mailman

Mailman Email archiver Cross Site Scripting Hole
http://www.cgisecurity.org/advisory/7.txt

GNU Mailman Cross-Site Scripting Vulnerability
http://www.securityfocus.com/bid/3602



martes, 18 de diciembre de 2001

Actualización de seguridad para OpenSSH

Las versiones de OpenSSH previas a la 3.0.2 contienen varias
vulnerabilidades que, en algunos casos, permiten la ejecución de código
arbitrario en el servidor como administrador o "root", o el acceso de
usuarios desde direcciones no autorizadas.
OpenSSH es una implementación abierta y gratuita de la tecnología SSH.
SSH es un protocolo similar a "telnet", pero en el que ambos extremos de
la conexión se autentifican mutuamente y la conexión en sí va protegida
criptográficamente. Esta tecnología hace posible, por ejemplo,
administrar sistemas Unix de forma remota y segura, aunque las redes de
comunicaciones que se estén utilizando no nos merezcan confianza.


Las versiones de OpenSSH previas a la 3.0.2 contienen varias
vulnerabilidades importantes:

* Bajo ciertas circunstancias, el servidor OpenSSH podía permitir
el acceso a direcciones IP no autorizadas. El problema radica
en la aparición simultanea de claves RSA y DSA en el fichero de
configuración, junto con campos "from=".

* El comando "sftp" no está sujeto a restricciones "command=" en
el fichero de configuración del servidor.

* Diversas vulnerabilidades en el soporte Kerberos.

* Borrado de ficheros "cookies" si se habilita el soporte X11.

* Si un servidor SSH está configurado con "UseLogin", puede atacarse de
forma local para obtener privilegios de administrador, a través de la
carga dinámica de librerías y la variable de entorno "LD_PRELOAD" o
similares.

El parche es simple:


- --- session.c 11 Oct 2001 13:45:21 -0000 1.108
+++ session.c 1 Dec 2001 22:14:39 -0000
@@ -875,6 +875,7 @@
child_set_env(&env, &envsize, "TZ", getenv("TZ"));

/* Set custom environment options from RSA authentication. */
+ if (!options.use_login)
while (custom_environment) {
struct envstring *ce = custom_environment;
char *s = ce->s;





Jesús Cea Avión
jcea@hispasec.com


Más información:

OpenSSH
http://www.openssh.com/

OpenSSH Security Advisory (adv.option)
http://www.securityfocus.com/archive/1/216702

OpenSSH Key Based Source IP Access Control Bypass Vulnerability
http://www.securityfocus.com/bid/3369

OpenSSH Client X11 Forwarding Cookie Removal File Symbolic Link
Vulnerability
http://www.securityfocus.com/bid/2825

SSH allows deletion of other users files...
http://www.securityfocus.com/archive/1/188450

OpenSSH: sftp & bypassing keypair auth restrictions
http://www.securityfocus.com/archive/1/214921

OpenSSH UseLogin directive permits privilege escalation
http://www.kb.cert.org/vuls/id/157447

OpenSSH UseLogin Environment Variable Passing Vulnerability
http://www.securityfocus.com/bid/3614

FreeBSD: Update - OpenSSH Privilege escalation vulnerability

http://www.newsforge.com/article.pl?sid=01/12/07/2328237

SuSE: SSH update
http://www.newsforge.com/article.pl?sid=01/12/07/233228



lunes, 17 de diciembre de 2001

Grave vulnerabilidad en el servidor Login UNIX

Un buen número de servidores Login del mundo UNIX son susceptibles a un
ataque que permite la ejecución de código arbitrario como administrador
o "root".
"Login" es un demonio UNIX utilizado para acceder al sistema a través de
un Telnet al puerto 23, típicamente, o a través de los servicios "rsh" y
"rlogin" y similares.

Los sistemas operativos UNIX que instalan un servidor "Login" derivado
del original de "System V" contienen un desbordamiento de búfer que
permite la ejecución de código arbitrario como "root" o administrador.

La vulnerabilidad reside en la gestión de variables de entorno
proporcionadas por el cliente, bajo ciertas circunstancias.

La vulnerabilidad afecta, al menos, a

* IBM AIX versiones 4.3 y anteriores, y la 5.1
* Hewlett-Packard HP-UX
* SCO OpenServer 5.0.6a y anteriores
* SGI IRIX 3.x
* Sun Solaris 8 y anteriores

La recomendación es ponerse en contacto con los respectivos fabricantes
para solicitarles los parches correspondientes, disponibles ya para la
mayoría de ellos. En caso de no disponerse de parches, es recomendable
limitar el acceso a los servicios "Login" a través de la red, a través
de medidas perimetrales (cortafuegos, routers o similares).



Jesús Cea Avión
jcea@hispasec.com


Más información:

CERT® Advisory CA-2001-34 Buffer Overflow in System V Derived Login
http://www.cert.org/advisories/CA-2001-34.html

Solaris, AIX Login Hole
http://slashdot.org/article.pl?sid=01/12/13/1553239

Buffer the overflow slayer
http://www.theregister.co.uk/content/55/23381.html



domingo, 16 de diciembre de 2001

Microsoft publica el primer Service Pack para Office XP

Una vez más Microsoft vuelve a iniciar la cuenta de los clásicos Service
Pack de sus productos. En esta ocasión, el beneficiado de estas
actualizaciones es Office XP, la conocida suite de aplicaciones.
Office XP Service Pack 1 proporciona las últimas actualizaciones para
Microsoft Office XP, el conjunto de aplicaciones que apareció en el
mercado a finales de mayo de este año. Office XP SP-1 ofrece mejoras en
la seguridad, estabilidad y rendimiento.

Algunas de las actualizaciones incluidas en el SP-1 para Office XP ya
fueron publicadas previamente como actualizaciones separadas e
independientes, por lo que combina todas ellas en un solo paquete y
ofrece nuevos cambios que mejoran la fiabilidad y rendimiento de las
aplicaciones Office XP.

Los fallos de seguridad que se cubren en este Service Pack son los
descritos en los boletines de seguridad MS01-050 y MS01-034, que hacen
relación a problemas en el tratamiento de las macros de forma que
documentos Excel, PowerPoint o Word pueden evitar la seguridad
anti-macros e incluso llegar a ejecutarse automáticamente.

El Service Pack también incluye todas las actualizaciones publicadas
previamente para Office XP.

El SP-1 para Office XP ocupa 39 Mbytes y puede descargarse de la
dirección:
http://download.microsoft.com/download/officexpstandard/sp/oxpsp1/w98nt42kmexp/en-us/oxpsp1a.exe



Antonio Ropero
antonior@hispasec.com


Más información:

Office XP Update: Service Pack 1 (SP-1):
http://www.microsoft.com/office/ork/xp/journ/Oxpsp1.htm



sábado, 15 de diciembre de 2001

IBM Websphere puede revelar la password de root del sistema

En las instalaciones por defecto de IBM WebSphere un usuario normal, con
acceso al sistema, podrá conseguir la password de administración del
sistema (root) mediante la creación de una página jsp.
Cuando IBM WebSpherese instala por defecto este se configura para
ejecutarse con identidad de root, de forma que almacena la password de
root en texto plano en el archivo $WASROOT/properties/sas.server.props.
Este archivo tiene permisos 600, por lo que otros usuarios del sistema
no tienen acceso a él.

El problema reside en que por defecto todo el código en WebSphere
(jsp's, Servlets etc.) se ejecuta con la identidad de root, lo que
posibilita el acceso a todos los archivos del servidor con lectura por
root.

Esto posibilita a cualquier usuario, con acceso al sistema, la
construcción de una página jsp que lea el contenido de sas.server.props,
situarla en el directorio apropiado y acceder a esta página jsp a través
del navegador. Con esta sencilla operación el usuario podrá conseguir la
password de root del sistema.

De igual forma, el atacante podrá construir cualquier página jsp con
shell-scripts que se ejecutarán con permisos de root.

Para evitar este problema se recomienda cambiar los permisos de
WebSphere para que se ejecute bajo otra identidad diferente (sin
permisos de root).
IBM recomienda seguir los siguientes pasos para realizar esta
configuración:
Para Sun solaris :
http://www-1.ibm.com/servlet/support/manager?rs=180&rt=0&org=SW&doc=1005677
Para plataformas Unix genéricas
http://www-1.ibm.com/servlet/support/manager?rs=180&rt=0&org=SW&doc=1005677
http://www7b.boulder.ibm.com/wsdd/library/presents/nonrootlogin.html

En caso de no poder llevar a cabo la configuración anterior se
recomienda crear servidores de aplicaicones bajo una identidad diferente
a root.
http://www-4.ibm.com/software/webservers/appserv/doc/v40/ae/infocenter/was/0606a01.html



Antonio Ropero
antonior@hispasec.com


Más información:

Bugtraq:
http://www.securityfocus.com/archive/1/245324



viernes, 14 de diciembre de 2001

Importante parche acumulativo para Internet Explorer

Microsoft publica un parche acumulativo que tras su instalación elimina
todas las vulnerabilidades conocidas que afectan a IE 5.5 e IE 6. Además
de cubrir todos los problemas conocidos el nuevo parche también elimina
tres nuevas vulnerabilidades.
La primera de las nuevas vulnerabilidades, que sólo afecta a Internet
Explorer 6, reside en un fallo en el tratamiento de los campos
Content-Disposition y Content-Type de la cabecera HTML. La vulnerabilidad
existe si el atacante modifica la cabecera HTML de forma que haga creer
a IE que un archivo ejecutable es un tipo de archivo diferente, de forma
que se pueda abrir sin necesidad de necesitar la confirmación del usuario.
Esto puede posibilitar a un atacante la creación de una página web o
un mensaje html que al abrirse ejecute un programa de forma automática
en el ordenador del usuario.

La segunda de las vulnerabilidades es una nueva variante de la conocida
como "Frame Domain Verification" discutida en el boletín de seguridad
MS01-015. Esta nueva variante puede permitir a un administrador web
malicioso abrir dos ventanas del navegador, una en el dominio del sitio
web y otra en el sistema de archivos local del usuario y pasar
información de la segunda a la primera. Esto permitirá al atacante leer
cualquier archivo del ordenador del usuario que pueda abrirse con el
navegador. Esta vulnerabilidad afecta a las versiones 5.5 y 6.0 de
Internet Explorer.

La última de las nuevas vulnerabilidades, que también afecta a las
versiones 5.5 y 6.0 de Internet Explorer, hace relación a un fallo al
mostrar los nombres de archivo en el cuadro de diálogo de descargas. Al
iniciar una descarga se muestra el nombre del archivo en un cuadro de
diálogo, pero un atacante podrá falsear este nombre. De esta forma un
administrador web podrá hacer que los usuarios acepten tipos de archivos
inseguros.

El parche, que se encuentra disponible en todos los idiomas, puede
descargarse desde la dirección:
http://www.microsoft.com/windows/ie/downloads/critical/Q313675/default.asp



Antonio Ropero
antonior@hispasec.com


Más información:

Boletín de seguridad Microsoft MS01-058:
Cumulative Patch for IE
http://www.microsoft.com/technet/security/bulletin/MS01-058.asp



jueves, 13 de diciembre de 2001

Vulnerabilidad en Windows 2000 Internet Key Exchange

Los sistemas Windows 2000 con Internet Key Exchange se ven afectados por
la posibilidad de ser atacados por un ataque por denegación de servicio
a través del puerto 500.
IPSec (protocolo de seguridad para Internet) es el encargado de
proveer autenticación al tráfico IP, este a su vez se apoya en IKE,
protocolo de intercambio de claves, con el fin de dotar de robustez al
tráfico IP. IKE es el encargado de gestionar las claves y a la vez de
establecer la comunicación segura. Esta se encuentra escuchando por
defecto en el puerto UDP 500.

IPSec, ofrece servicios de protección de identidad, para ello añade a
cada paquete IP su propio encabezamiento de seguridad. Resumiendo, el
paquete estaría dividido en dos partes, una primera, el encabezamiento
que contiene la información de envió del paquete, y una segunda
compuesta por los datos de envió del paquete.

Si un atacante se conecta al puerto 500 y envía una cantidad arbitraria
de paquetes podrá conseguir que la CPU alcance un consumo del 100%. Para
restaurar el funcionamiento habitual del sistema deberá ser reiniciado.

Se recomienda deshabilitar el uso del puerto 500 en el caso de no ser
utilizado, o bien filtrar el tráfico con el uso de un cortafuegos.



Antonio J. Román Arrebola
roman@hispasec.com


Más información:

Microsoft Windows 2000 Internet Key Exchange DoS Vulnerability
http://www.securityfocus.com/cgi-bin/vulns-item.pl?section=discussion&id=3652



miércoles, 12 de diciembre de 2001

FBI y puertas traseras en los antivirus

"Magic Lantern" ('Linterna Mágica') es el nombre de un supuesto troyano
creado por el FBI para realizar capturas de teclado y conseguir así
las contraseñas de cifrado. Algunas informaciones apuntan a que el FBI
ha solicitado a las casas antivirus que no detecten su troyano, lo
que ha derivado en reacciones de todo tipo.
Al parecer "Magic Lantern" es la respuesta del FBI para hacer frente a
las debilidades de "Carnivore", su sistema de espionaje que se mostraba
ineficaz cuando las comunicaciones interceptadas estaban cifradas.

"Carnivore"
http://www.fbi.gov/hq/lab/carnivore/carnivore2.htm

La función de "Magic Lantern" sería espiar desde el interior de los
ordenadores sospechosos, en vez de capturar el tráfico desde el ISP
u otro punto de la red como "Carnivore", lo que permitiría acceder
a las contraseñas y visualizar la información descifrada. Sobre el
troyano en cuestión no se conoce mucho, sólo rumores, si bien ya
existen muchos con funciones similares y su diseño para evitar ser
detectado por los antivirus actuales tampoco plantea ninguna
complicación.

Este troyano sería una de las nuevas incorporaciones que junto a
"Carnivore" forman "Cyber Knight", nuevo nombre para un viejo proyecto
del FBI que ha visto incrementado sus justificación y recursos tras
los atentados del 11 de septiembre.

Todo el revuelo que se ha montado alrededor de "Magic Lantern" es lo
primero que sorprende, se supone que parte de su potencia se basa en
el oscurantismo y su desconocimiento. Quién realmente debería estar
en el punto de mira del FBI ahora ya estará alerta contra este tipo
de herramientas y puede montar su defensa sin necesidad de depender
de que los antivirus lo incluyan o no en sus bases de datos.

Por otro lado, entendemos que de entrada ningún antivirus debe
detectar al troyano por tratarse de un diseño nuevo, y burlar las
heurísticas tampoco presenta muchos problemas. Por lo tanto el temor
del FBI debe ser que "Magic Lantern" llegue a las casas antivirus una
vez alguien infectado haya sospechado y enviado una muestra. El FBI
pasa por alto que la muestra se puede enviar a un laboratorio
independiente o, mejor aun, a un foro público para que todo el mundo
pueda estudiarla y opinar sobre ella. La verdad saldría a la luz y
los antivirus se verían obligados a incluirlo, amén de las vacunas
independientes que se publicarían.



Bernardo Quintero
bernardo@hispasec.com


Más información:

Antivirus firms say they won't create FBI loophole


http://news.zdnet.co.uk/story/0,,t269-s2100677,00.html

Antivirus firms: FBI loophole is out of line


http://www.zdnet.com/zdnn/stories/news/0,4586,5100528,00.html

FBI software cracks encryption wall


http://www.msnbc.com/news/660096.asp?cp1=1

AV vendors split over FBI Trojan snoops


http://www.theregister.co.uk/content/55/23057.html

A Dark Side to the FBI's Magic Lantern


http://biz.yahoo.com/bizwk/011127/u_kjssmraeqtcgiqtgffbw_2.html

Antivirus Vendors Wary of FBI's Magic Lantern


http://www.newsbytes.com/news/01/172764.html

Sophos voices concern about FBI's Magic Lantern e-bug


http://www.sophos.com/virusinfo/articles/magiclantern.html

'Magic Lantern' Rubs the Wrong Way


http://www.securityfocus.com/columnists/44

La mayoría rechaza que no se detecte el "Linterna Mágica"


http://www.vsantivirus.com/03-12-01.htm

New FBI Keylogging Program Reported


http://www.privacy.org/print.php?sid=976

FBI develops 'Trojan Horse' Software for Better Eavesdropping


http://www.imdiversity.com/villages/native/article_detail.asp?Article_ID=8057

FBI snoop tool old hat for hackers


http://news.cnet.com/news/0-1003-200-7944351.html?tag=rltdnws

Anti-virus firms say no to FBI back door


http://www.geek.com/news/geeknews/2001dec/gee20011211009235.htm



martes, 11 de diciembre de 2001

Segundo aniversario de CriptoRed

Hace dos años, el primero de diciembre de 1999, comenzaba un proyecto
cuyo objetivo era formar una gran comunidad de expertos y técnicos en
seguridad informática de toda Iberoamérica, de forma que sus aportes
al conocimiento y la divulgación de la criptografía y la seguridad
informática, en su más amplio sentido, permitiese compartir ese
preciado bien que es la información.
Estos 24 meses de vida pueden resumirse en un conjunto de cifras:
251 miembros;
89 universidades, centros de investigación y entidades;
62 empresas y organismos;
16 países iberoamericanos;
18 programas y planes de asignaturas;
28 artículos, 3 informes, 3 libros electrónicos;
20 análisis de libros;
11 tesis doctorales;
14 programas software de prácticas;
6.000 accesos al servidor mensualmente.

Además de participar en la organización del Primer Congreso
Iberoamericano de Seguridad Informática a celebrarse en febrero de
2002 en la ciudad de Morelia (México), la Red Temática ha sido
presentada de forma oficial en universidades y organismos de Cuba,
México, Venezuela, Bolivia, Argentina y Chile. En el primer semestre
del año 2002 se presentará en sendos congresos de Colombia y Bulgaria
como ponencia invitada y en el segundo semestre se espera la
continuidad del proyecto con la Dirección de Relaciones con
Latinoamérica de la Universidad Politécnica de Madrid.

Para este año 2002 una de las tareas prioritarias será la búsqueda de
patrocinadores que permitan la contratación de personal técnico
dedicado al mantenimiento y gestión de la información de la Red, en
tanto existe una gran cantidad de documentos y trabajos de sus
miembros que no están todavía reflejados en el servidor.

A todos aquellos que han creído en este proyecto de cooperación
docente, muy especialmente a los miembros que con su valía hacen de
esta red una verdadera comunidad virtual de expertos, y cuyos aportes
y documentos son muy agradecidos por esos miles de estudiantes,
ingenieros y técnicos de toda Iberoamérica que acceden al servidor
Web, mis más sinceros agradecimientos.



Dr. Jorge Ramió Aguirre
Coordinador CriptoRed


Más información:
http://www.criptored.upm.es



lunes, 10 de diciembre de 2001

Compaq expone datos de sus usuarios

El pasado día 7 de diciembre, fueron expuestos datos de usuarios en
uno de los sitios web de Compaq.
El sitio web de Compaq athome.compaq.com, se vio afectado por una mala
configuración en el acceso a lo datos de los usuarios mediante su web,
cualquier usuario podía modificar el número de identificación (ID) y
acceder con privilegios de lectura a datos sensibles tales como
nombre, dirección, número de teléfono. Datos como números de tarjetas
de créditos o detalles bancarios no han sido expuesto a la mirada de
los fisgones.

Al igual que Compaq, el sitio web de venta de accesorios deportivos
official-merchandise.co.uk, se vio afectado por el mismo problema.
Ambos sitios fueron retirados de Internet con el fin de subsanar este
error. Es estos momentos ya se encuentran restaurados.



Antonio J. Román Arrebola
roman@hispasec.com


Más información:

Compaq site exposes customer details
http://www.theregister.co.uk/content/55/23275.html



domingo, 9 de diciembre de 2001

Desbordamiento de búfer en Outlook Express para Macintosh

Microsoft ofrece a todos los usuarios de sistemas Macintosh una versión
de su lector de correo Outlook Express, sin embargo esta versión también
se ve afectada por los clásicos problemas de desbordamiento de búfer.
El problema reside en el tratamiento de las cadenas del cuerpo del
mensaje al producirse un desbordamiento de búfer al manipular cadenas
demasiado largas sin el código de retorno.

Al recibir el mensaje, si este contiene una línea de gran tamaño el
cliente se cerrará y no llegará a enviar la orden de borrado de mensaje
al servidor. Con lo cual al volver a abrir el lector de correo y recibir
de nuevo el mensaje se volverá a repetir el problema. Esto provoca un
problema que podría considerarse de denegación de servicio, pues
impedirá la recepción de correo hasta que el mensaje se elimine por
otros medios.

El problema se reproduce en las versiones de Outlook Express para
Macintosh hasta la 5.02, excepto en Outlook express5.03 que se ve libre
de este fallo.

Aunque se produzca un desbordamiento de búfer se considera difícil
llegar a explotar esta vulnerabilidad, debido a las características del
protocolo SMTP y la inexistencia de intérprete de comandos en los
sistemas Macintosh.



Antonio Ropero
antonior@hispasec.com


Más información:

Bugtraq. Buffer over flow on Outlook express for Macintosh
http://www.securityfocus.com/archive/1/243628



sábado, 8 de diciembre de 2001

Publicado el informe CERT para el cuatro trimestre

El CERT ha publicado un nuevo informe sobre las vulnerabilidades más
utilizadas recientemente.
Según el CERT, la actividad actual se centra, fundamentalmente, en:

1. Gusano W32/Nimda (Microsoft Windows)

2. Ataques contra SSH-1 (Unix)

3. Contaminación caché DNS en servidores Microsoft Windows

4. Ataques de denegación de servicio (DoS)

El informe no tiene demasiada sustancia y no proporciona datos nuevos
para cualquier administrador que siga las listas de correo
especializadas, como ésta misma, pero resulta interesante para
visualizar las tendencias en los ataques actuales.



Jesús Cea Avión
jcea@hispasec.com


Más información:

CERT Summary CS-2001-04
http://www.cert.org/summaries/CS-2001-04.html

CERT

http://www.cert.org/

CERT/CC Current Activity

http://www.cert.org/current/current_activity.html



viernes, 7 de diciembre de 2001

El NIST hace al AES oficial

Hace unos pocos días, el NIST (National Institute of Standards and
Technology, instituto nacional de estándares y tecnología) convirtió al
AES en un estándar norteamericano oficial.
El AES (Advanced Encryption Standard, estandar avanzado de cifrado) es
un sistema de cifrado simétrico con claves de 128, 192 y 256 bits, y
bloques de 128 bits de tamaño. El nuevo estándar convertirá al venerable
pero anticuado DES (Data Encryption Standard), con sus 56 bits de calve
y 64 bits de tamaño de bloque, en una antigualla en extinción, salvo en
los nichos de mercado en los que sea obligatorio, por normativa o
compatibilidad.

El algoritmo seleccionado para AES se llama "Rijndael", y fue elegido en
una competición criptográfica abierta y pública, desarrollado a lo largo
de varios años. Para sorpresa de muchos, el algoritmo está desarrollado
por dos criptógrafos europeos, en detrimento de productos genuinamente
norteamericanos. El proceso, en líneas generales, gozó de una
transparencia envidiable.

Con este nuevo estándar, muchos órdenes de magnitud más seguro que DES,
la criptografía "oficial" se pone al día y adecúa su seguridad al
"estado del arte" actual.



Jesús Cea Avión
jcea@hispasec.com


Más información:

Commerce Secretary Announces New
Standard for Global Information Security
http://www.nist.gov/public_affairs/releases/g01-111.htm

AES Home Page
http://csrc.nist.gov/encryption/aes/

AES Announced as Federal Standard
http://slashdot.org/article.pl?sid=01/12/04/2356259&mode=thread

Estados Unidos aprueba un nuevo estándar de encriptación
http://www.vnunet.es/detalle.asp?ids=/Noticias/Infraestructuras/Est%C3%A1ndares/20011205054

The Rijndael Block Cipher
http://rijndael.com/

US approves Advanced Encryption Standard
http://news.zdnet.co.uk/story/0,,t269-s2100342,00.html

El criptosistema AES acaba de nacer
http://www.hispasec.com/unaaldia.asp?id=708



jueves, 6 de diciembre de 2001

Ejecución de scripts en Exchange 5.5 OWA

Una de los servicios que más problemas está causando a los usuarios de
Exchange es el Outlook Web Access (OWA). En esta ocasión el problema
puede permitir la ejecución automática de scripts al acceder a un
mensaje.
Outlook Web Access (OWA) es un servicio de Exchange 5.5 Server que
permite a los usuarios acceder y manipular los mensajes existentes en su
carpeta Exchange mediante el uso de un navegador web. Existe un problema
en la forma en que se tratan los scripts incluidos en los mensajes en
Internet Explorer (IE).

Si un mensaje HTML que contenga un script especialmente creado se abre
en OWA, el script podrá llegar a ejecutarse automáticamente al abrir el
mensaje. Como OWA requiere que la posibilidad de scripting se encuentre
activada en la zona en la que el servidor OWA está localizado, esto
provoca una vulnerabilidad ya que dicho script podrá llevar a cabo
cualquier acción contra el buzón de correo del usuario, lo que incluye
enviar, mover o eliminar mensajes.

Un atacante podrá explotar este problema mediante el envío de un mensaje
especialmente manipulado a otro usuario. Si el usuario abre el mensaje
en OWA el script se ejecutará. Por el contrario, si el mensaje se lee en
un cliente de correo normal, en vez de en un navegador a través de OWA,
el ataque fallará.

Microsoft publica una actualización para Explorer 5.5, que se encuentra
disponible en la dirección:
http://download.microsoft.com/download/exch55/Patch/05.05.77.2655/NT45/EN-US/Q313576engi386.EXE

Por el momento esta actualización sólo está disponible para
instalaciones en inglés.



Antonio Ropero
antonior@hispasec.com


Más información:

Boletín de seguridad Microsoft (MS01-057)
http://www.microsoft.com/technet/security/bulletin/ms01-057.asp



miércoles, 5 de diciembre de 2001

Agujero de seguridad en audiogalaxy

Audiogalaxy es un popular sistema de intercambio de archivos musicales,
semejante al desaparecido Napster. Una característica de este programa,
en combinación con otra vulnerabilidad anterior de Internet Explorer,
puede permitir a cualquier usuario la ejecución de código malicioso en
cualquier sistema con este programa en funcionamiento.
El problema reside en que Audiogalaxy almacena el nombre de usuario y
password administrativa en texto plano en una cookie.

Las cookies generadas por Audiogalaxy tienen el siguiente formato:

cookieUsername
NOMBRE DE USUARIO
audiogalaxy.com/
0
367281152
29529638
3457234544
29456211
*
cookiePassword
PASSWORD EN TEXTO PLANO
audiogalaxy.com

En principio esto no podría suponer un gran problema, si las cookies se
trataran como es debido. Pero este fallo en combinación con el problema
de acceso remoto a las cookies recientemente descubierto puede permitir
a cualquier usuario remoto conocer el nombre de usuario y password de
cualquier usuario de Audiogalaxy.

Al atacante le bastaría con esconder un troyano o cualquier programa
similar con formato mp3 y hacer que el usuario lo descargue sin su
conocimiento. Posteriormente al tratar de reproducir el falso mp3, este
se ejecutaría provocando la acción dañina para la que estuviera
programado.

Una prueba del problema del acceso a las cookies puede llevarse a cabo
mediante una URL construida de la siguiente forma:
about://www.audiogalaxy.com/<script language=javascript>alert(document.cookie);</script>

Adudiogalaxy no ha anunciado ningún cambio en su sistema de
almacenamiento de cookies, así que la solución para evitar este problema
pasa por instalar el parche de seguridad publicado por Microsoft en
http://www.microsoft.com/windows/ie/downloads/critical/q312461/default.asp

Si bien, cualquier otra forma de acceso a las cookies, como
vulnerabilidades de cross-site scripting o similares seguirán siendo
igual de válidad para explotar este problema.



Antonio Ropero
antonior@hispasec.com


Más información:

una-al-dia (11/11/2001) Posibilidad de acceso remoto a datos de las
cookies
http://www.hispasec.com/unaaldia.asp?id=1113

Securityfocus. Audiogalaxy Plaintext Password Storage Vulnerability
http://www.securityfocus.com/bid/3587

Bugtraq
http://www.securityfocus.com/archive/1/242661



martes, 4 de diciembre de 2001

Nuevo gusano de propagación masiva (W32/Goner)

Se ha detectado un nuevo gusano que bajo el nombre de Goner se está
propagando en la actualidad de forma rápida. Este nuevo gusano se
distribuye mediante correo electrónico y la red de ICQ con forma de
salvapantallas.
Este nuevo gusano que ha sido bautizado como Gone, Goner o Pentagone
infecta los lectores de correo de Microsoft, Outlook y Outlook Express,
mediante la distribución de un archivo de nombre GONE.SCR. Al contrario
que los últimos virus (como Badtrans) que eran capaces de ejecutarse
automáticamente y por eso han alcanzado un mayor índice de propagación,
Goner debe ser ejecutado de forma manual por el usuario para su
reproducción.

Así se presenta

El cuerpo y el asunto de los mensajes infectados es idéntico en todos
los casos, lo cual debe ayudar a facilitar su infección. Tras la
infección, y como es habitual, el gusano envía una copia de si mismo a
cada contacto existente en la agenda de direcciones del usuario
infectado.

El gusano se presenta con el siguiente aspecto:

Asunto: Hi

Adjunto: GONE.SCR

Texto del mensaje:

How are you ?
When I saw this screen saver, I immediately thought about you
I am in a harry, I promise you will love it!


Acciones maliciosas


Cuando se ejecuta el adjunto gone.scr se efectúa una copia del archivo
del gusano en %System%\GONE.SCR. Este archivo se autoejecutará cada vez
que Windows se inicie, para lo que crea la siguiente clave en el
registro:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\%System%\
gone.scr = %System%\gone.scr

El gusano tiene la capacidad para propagarse a través de la red de
mensajería instantánea ICQ en caso de que esta se encuentre instalada.
Goner hace uso de ICQMAPI.DLL de ICQ para enviar copias de si mismo a
todos los contactos que se encuentren on-line. A pesar del envío el
contacto deberá aprobar su recepción y posteriormente ejecutar el
archivo para ser infectado.

Goner también incluye una puerta trasera para infectar los clientes mIRC
de IRC, con objeto de realizar ataques de denegación de servicio en
dicha red. Para este propósito creará el archivo remote.ini con un
script que se iniciará cada vez que se arranque el mIRC. Gracias a este
script el autor podrá iniciar ataques de Denegación de Servicio (DoS)
contra los canales IRC en los que se encuentre el usuario infectado.

El gusano incluye una carga destructiva al intentar desactivar
determinados programas de software antivirus o firewalls personales que
se encuentren instalados. Para ello tratará de eliminar los siguientes
archivos :

IAMAPP.EXE de AtGuard Personal Firewall
IAMSERV.EXE de AtGuard Personal Firewall
APLICA32.EXE
ZONEALARM.EXE de ZoneLabs ZoneAlarm
ESAFE.EXE de eSafe, Aladdin Knowledge Systems
CFIADMIN.EXE de ConSeal PC Firewall
CFIAUDIT.EXE de ConSeal PC Firewall
CFINET.EXE de ConSeal PC Firewall
CFINET32.EXE de ConSeal PC Firewall
PCFWallIcon.EXE de ConSeal PC Firewall
FRW.EXE de ConSeal PC Firewall
VSHWIN32.EXE de McAfee VirusScan
VSECOMR.EXE de McAfee VirusScan
WEBSCANX.EXE de McAfee VirusScan
AVCONSOL.EXE de McAfee VirusScan
VSSTAT.EXE de McAfee VirusScan
NAVAPW32.EXE de Norton AntiVirus
NAVW32.EXE de Norton AntiVirus
_AVP32.EXE de AVP Scanner
_AVPCC.EXE de AVP Control Centre Application
_AVPM.EXE de AVP Monitor
AVP32.EXE de AVP Scanner
AVPCC.EXE de AVP Control Centre Application
AVPM.EXE de AVP Monitor
AVP.EXE de AntiViral Toolkit Pro (AVP)
LOCKDOWN2000.EXE de LockDown 2000
ICMON.EXE de Sophos Antivirus Monitor
ICLOAD95.EXE de Sophos Antivirus para Windows 95
ICSUPP95.EXE de Sophos Antivirus para Windows 95
ICLOADNT.EXE de Likely Sophos Antivirus para Windows NT
ICSUPPNT.EXE de Likely Sophos Antivirus para Windows NT
TDS2-98.EXE de TDS-2 Trojan Defense Suite
TDS2-NT.EXE de TDS-2 Trojan Defense Suite
SAFEWEB.EXE de Safeweb

Si el gusano encuentra alguno de estos archivos en memoria, terminará su
ejecución y borrará todos los archivos que se encuentren en el
directorio de dicho archivo. Con esto conseguirá inutilizar aplicaciones
como ZoneAlarm, VirusScan o AVP.


Eliminación


Una vez más, recordamos la regla de oro: "No abrir archivos adjuntos que
no hayamos solicitado" y proceder a la actualización del antivirus.

Para eliminar el gusano del sistema se deberá eliminar la clave del
registro creada por Goner:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\%System%\
gone.scr = %System%\gone.scr

Y eliminar el archivo GONE.SCR del sistema, que dependiendo del sistema
operativo podrá encontrarse en C:\WINDOWS\system\ o en C:\WINNT\system32\



Antonio Ropero
antonior@hispasec.com


Más información:

ISS X-Force Database
http://xforce.iss.net/static/7638.php

F-Secure
http://www.f-secure.com/v-descs/goner.shtml

Panda Software
http://service.pandasoftware.es/enciclopedia/fichaVirus.jsp?Virus=W32/Goner.A@mm

Norman
http://www.norman.no/virus_info/w32_goner_a_mm.shtml

McAfee
http://www.mcafee.com/anti-virus/viruses/goner/?cid=2639

Sophos
http://www.sophos.com/virusinfo/analyses/w32gonera.html

TrendMicro
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=WORM_GONE.A

Symantec
http://securityresponse.symantec.com/avcenter/venc/data/w32.goner.a@mm.html



lunes, 3 de diciembre de 2001

Ataque de denegación de servicio sobre PostFix

Las versiones de PostFix anteriores a la 20011115 contienen una
vulnerabilidad a través de la cual un atacante puede forzar al
servidor a consumir cantidades desproporcionadas de memoria, con
las consecuencias que ello pueda tener para el sistema.
PostFix es un MTA (Message Transfer Agent, servidor de correo)
alternativo a SendMail, diseñado específicamente con el fin de
reemplazarlo por un sistema más modular y seguro.

La vulnerabilidad reside en un módulo de depuración que informa al
administrador del sistema de las sesiones SMTP fallidas, con fines de
verificación. La memoria empleada para almacenar esos datos no se
libera, por lo que crece de forma indefinida.

Se recomienda a los administradores de PostFix que actualicen a la
versión de desarollo 20011115. En caso de no ser posible, se puede
aplicar el parche siguiente:




*** ./smtpd.c- Sun Oct 28 19:31:14 2001
- --- ./smtpd.c Wed Nov 14 22:21:46 2001
***************
*** 1060,1065 ****
- --- 1060,1077 ----
state->where = SMTPD_AFTER_DOT;

/*
+ * Notify the postmaster if there were errors. This usually indicates a
+ * client configuration problem, or that someone is trying nasty things.
+ * Either is significant enough to bother the postmaster. XXX Can't
+ * report problems when running in stand-alone mode: postmaster notices
+ * require availability of the cleanup service.
+ */
+ if (state->history != 0 && state->client != VSTREAM_IN
+ && (state->error_mask & state->notify_mask))
+ smtpd_chat_notify(state);
+ smtpd_chat_reset(state);
+
+ /*
* Cleanup. The client may send another MAIL command.
*/
mail_reset(state);




Ventajas de disponer del código fuente...



Jesús Cea Avión
jcea@hispasec.com


Más información:

Postfix session log memory exhaustion bugfix
http://www.securityfocus.com/archive/1/240354

Postfix SMTP Log Denial Of Service Vulnerability
http://www.securityfocus.com/bid/3544

Updated postfix packages are available
http://www.linuxsecurity.com/advisories/redhat_advisory-1714.html

The Postfix Home Page
http://www.postfix.com/



domingo, 2 de diciembre de 2001

Hispasec desarrolla una solución para el "timo 906"

En el contexto de la Campaña Nacional de Seguridad en la Red, iniciada
el pasado 15 de octubre por la Asociación de Internautas, Hispasec ha
presentado el desarrollo de CheckDialer, una solución contra el
llamado "fraude 906".
Cada día aumentan los sitios webs que anuncian el acceso a contenidos
eróticos/pornográficos de forma gratuita, sin necesidad de realizar
pagos con tarjeta de crédito. Muchas de estas ofertas sólo piden al
usuario que descargue e instale un programa gratuito que le permitirá
disfrutar de los contenidos. La mayoría de los usuarios, bien
arrastrados por publicidad engañosa, bien por no leer la letra
pequeña que se esconde en estos programas, desconocen que en realidad
están utilizando marcadores o "dialers" que conectan a través de
números 906 (tarificación especial en España, en el mejor de los
casos a 100 pesetas el minuto).

El problema se agrava si tenemos en cuenta ciertas prácticas agresivas
utilizadas por algunos de estos "dialers". En ciertos casos llegan a
cambiar la configuración del sistema, provocando que cada vez que el
usuario se conecte a Internet lo haga por la conexión 906.

Hispasec, en busca de una solución, está desarrollando CheckDialer,
un programa para sistemas Windows que monitoriza las conexiones que se
realizan a través de un módem (o RDSI).

Su misión consiste en detectar el número de teléfono que se marca al
intentar una conexión y compararlo con una plantilla de números
prohibidos (Lista Negra). Si el número que se intenta marcar coincide
con algún patrón de la Lista Negra, el programa avisará al usuario y
detendrá la marcación antes de que llegue a producirse, ya que
intercepta la comunicación entre Windows y el módem (a nivel del
puerto serie).

Otra opción, aun mas restrictiva y segura, consiste en configurar una
lista de números permitidos (Lista Blanca), de modo que CheckDialer
sólo permitirá la conexión con alguno de esos números y rechazará el
resto.

Con la idea de presentar la solución, y hacer partícipes a todos los
usuarios del diseño de CheckDialer, se ha puesto a disposición una
versión BETA con fines de evaluación. De las opiniones que nos hagan
llegar los usuarios nacerá CheckDialer 1.0. Recomendamos a los
usuarios que quieran participar en el diseño que instalen la BETA,
prueben las funcionalidades del programa, nos envíen sus
opiniones/sugerencias, y por último desactiven/desinstalen esta
versión a la espera de la definitiva. Hispasec no recomienda el uso
continuado de esta versión BETA, ya que se trata de un desarrollo
intermedio donde no se han optimizado los servicios en cuanto al
consumo de CPU y memoria.



Bernardo Quintero
bernardo@hispasec.com


Más información:

CheckDialer
http://seguridad.internautas.org/checkdialer.php

Opiniones y sugerencias
checkdialer@hispasec.com



sábado, 1 de diciembre de 2001

Vulnerabilidad WU-FTPD

Una vulnerabilidad en todas las versiones de WU-FTP hasta la actual
2.6.1, inclusive, permite que un atacante remoto ejecute código
arbitrario en el servidor. El problema es explotable incluso entrando
como usuario anónimo o "anonymous".
WU-FTP es una servidor FTP (File Transfer Protocol, protocolo de
transferencia de ficheros) muy popular en el mundo UNIX.

La vulnerabilidad, conocida como "Wu-Ftpd File Globbing Heap Corruption"
se basa en que, bajo ciertas circunstancias, es posible que WU-FTPD
intente liberar memoria no previamente reservada. Dependiendo de la
implementación de la librería "malloc/free" que estemos utilizando, esta
operación puede suponer un grave compromiso de seguridad, llegando a
permitir la ejecución de código arbitrario.

Dado que el impacto de la vulnerabilidad depende de la implementación
"malloc/free", es complicado dar un listado de sistemas afectados. La
recomendación es aplicar cuanto antes el parche para WU-FTPD 2.6.1,
disponible ya en el web del fabricante.

Según el CERT, existe un segundo bug relacionado con la identificación
"IDENT" y el modo "debug". La recomendación, a la espera de que se
publique una versión actualizada de WU-FTP, consiste en configurar el
programa para que no haga verificación "IDENT" ni entre en producción
con el modo "debug" activado.

Dada la trayectoria de seguridad de WU-FTP, en planteable empezar a
buscar servidores FTP alternativos.



Jesús Cea Avión
jcea@hispasec.com


Más información:

Vulnerability Report For WU-FTPD Server . [ N E W ! ]
http://www.core-sdi.com/pressroom/advisories_desplegado.php?idx=172&idxsection=10

*ALERT* BID 3581: Wu-Ftpd File Globbing Heap Corruption Vulnerability
http://www.securityfocus.com/archive/1/242750

CERT® Advisory CA-2001-33 Multiple Vulnerabilities in WU-FTPD
http://www.cert.org/advisories/CA-2001-33.html

WU-FTPD Development Group
http://www.wu-ftpd.org/

Software flaw threatens Linux servers
http://news.cnet.com/news/0-1003-200-8007615.html

Wu-ftpd Remote Root Hole
http://slashdot.org/article.pl?sid=01/11/28/2358231

[VulnWatch] Another wu-ftpd glob bug
http://archives.neohapsis.com/archives/vulnwatch/2001-q4/0059.html

Immunix OS 7.0 wu-ftpd update
http://archives.neohapsis.com/archives/bugtraq/2001-11/0257.html

[RHSA-2001:157-06] Updated wu-ftpd packages are available
http://archives.neohapsis.com/archives/bugtraq/2001-11/0226.html

[suse-security-announce] SuSE Security Announcement: wuftpd
(SuSE-SA:2001:043)
http://archives.neohapsis.com/archives/linux/suse/2001-q4/1218.html

Caldera: Security Update [CSSA-2001-041.0] Linux - Vulnerability in
wu-ftpd
http://archives.neohapsis.com/archives/linux/suse/2001-q4/1218.html
http://archives.neohapsis.com/archives/linux/caldera/2001-q4/0013.html

CORE-20011001: Wu-FTP glob heap corruption vulnerability
http://archives.neohapsis.com/archives/bugtraq/2001-11/0254.html

Updated wu-ftpd packages are available
http://www.securityfocus.com/advisories/3680