domingo, 31 de marzo de 2002

Actualización crítica para HP Praesidium Webproxy 1.0

Hewlett-Packard publica un parche para HP Praesidium Webproxy 1.0 que
corrige una vulnerabilidad por la cual un usuario remoto no autorizado
podría introducirse en la red local.
La recepción de ciertas peticiones HTTP especialmente diseñadas puede
provocar que WebProxy 1.0 reenvíe dichas solicitudes hacia el interior
de la red sin aplicar ningún filtro ni modificación.

Las plataformas afectadas son los servidores HP9000 bajo HP-UX 11.04 (VVOS)
y HP Praesidium Webproxy A.01.00. La actualización HP Patch PHSS_26478
puede descargarse desde http://itrc.hp.com



Bernardo Quintero
bernardo@hispasec.com


Más información:

HP VVOS Web proxy Vulnerability
http://www.ciac.org/ciac/bulletins/m-061.shtml



sábado, 30 de marzo de 2002

Problema de seguridad en Apache bajo Microsoft Windows

Las versiones de Apache previas a la 1.3.24 o a la 2.0.34 beta,
permiten, bajo plataformas Microsoft Windows y ciertas circunstancias,
la ejecución de comandos arbitrarios en el servidor.
Apache es el servidor web más popular del mundo, disponible en código
fuente y para infinidad de plataformas, incluyendo Microsoft Windows.

La versión Windows de Apache contiene una vulnerabilidad que puede
permitir, bajo ciertas circunstancias, que un atacante ejecute comandos
arbitrarios en el servidor. La vulnerabilidad afecta a la instalación
por defecto de las versiones 2.0 alpha y beta, ya que incluyen "scripts"
de ejemplo problemáticos. La versión 1.3.* de Apache sólo es vulnerable
si se definen los tipos "*.BAT" o "*.CMD" como "scripts" ejecutables.

La vulnerabilidad se explota a través del paso de parámetros a scripts
"*.BAT" y "*.CMD". En concreto, el carácter "pipe" (la barra vertical) se envía sin "escape" al intérprete de comandos, que interpreta el
texto que sigue como un comando adicional.

La recomendación es que todos los usuarios de Apache bajo plataformas
Microsoft Windows actualicen a Apache 1.3.24 o Apache 2.0.34-beta.



Jesús Cea Avión
jcea@hispasec.com


Más información:

Apache HTTP Server Project
http://httpd.apache.org/

Security problems in released versions of Apache 1.3
http://httpd.apache.org/security_report.html

CAN-2002-0061 (under review)
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0061

Vulnerability in Apache for Win32 batch file processing - Remote
http://marc.theaimsgroup.com/?l=bugtraq&m=101674082427358&w=2
/A>



viernes, 29 de marzo de 2002

Contraseñas al descubierto en Webmin

Webmin almacena en texto plano, y accesible para usuarios locales,
las credenciales para autentificarse remotamente en los servidores.
Un atacante podría utilizar dicha información para acceder como root.
Webmin es un sistema de administración para sistemas Unix y Linux,
basado en interfaz web, que permite a los administradores realizar
numerosas tareas con tan sólo contar con un navegador que soporte
tablas, formularios y Java en el caso del módulo de administración de
ficheros.

La instalación por defecto no establece permisos adecuados al
directorio /var/webmin. Cualquier usuario local podría leer el archivo
webmin.log para hacerse con la identificación de sesión del usuario
root. Una vez con dicha información es posible construir una cookie
local que le permita hacerse pasar por el administrador legítimo y
acceder al servidor como root a través de Webmin.

También el directorio /etc/webmin/servers/ tiene permisos muy
relajados por defecto, lo que permite a los usuarios locales acceder a
los nombres de usuario y contraseña almacenadas en texto plano.

Los administradores afectados (Webmin 0.1 a 0.93) deberán migrar a
la versión 0.94, disponible en http://www.webmin.com/download.html,
y modificar todas sus contraseñas como medida preventiva en caso de
que el sistema hubiera sido comprometido con anterioridad.



Bernardo Quintero
bernardo@hispasec.com


Más información:

Webmin
http://www.webmin.com/

Local privalege escalation issues with Webmin 0.92
http://www.securityfocus.com/archive/1/263181



jueves, 28 de marzo de 2002

El NIPC ofrece un resumen de los últimos ataques en Internet

El National Infrastructure Protection Center (NIPC) ha puesto ha
disposición de los internautas un resumen de los ataques más
frecuentes, así como de las últimas vulnerabilidades, que afectan a
los usuarios de Internet.
El periodo que abarca este resumen estriba entre los días 19 de
febrero y 8 de marzo del corriente año. En este documento el NIPC
da un esquema fácilmente comprensible en el que se detalla las
vulnerabilidades, el impacto, la disponibilidad de parches etc.

Según se autocalifica, el National Infrastructure Protection Center
se creó con la idea de apoyar a los profesionales de la seguridad y de
los sistemas de información con el fin de que estos estén prevenidos
ante cualquier ataque realizado en el ciberespacio.



Antonio J. Román Arrebola
roman@hispasec.com


Más información:

National Infrastructure Protection Center "CyberNotes"
http://www.nipc.gov/cybernotes/2002/cyberissue2002-05.pdf



miércoles, 27 de marzo de 2002

Cross Site Scripting en PHP-Nuke y PostNuke

PHP-Nuke y PostNuke son vulnerables a un ataque "cross site scripting",
de forma que es posible inyectar código JavaScript arbitrario para que
sea ejecutado en el navegador de la víctima y acceder a información
sensible.
PHP-Nuke es un sistema de publicación basado en PHP muy popular entre
los portales de Internet. La vulnerabilidad, detectada en las versiones
5.5 y anteriores, puede ser explotada a través de la función Private
Messages en PHP-Nuke que permite a los usuarios registrados del sitio
enviarse mensajes. Un usuario podría enviar un mensaje con código
JavaScript inyectado que se ejecutaría en el navegador de la víctima:

------------ Mensaje de ejemplo -----------

You have been screwed!

<script>alert(document.cookie)</script>

-------------------------------------------

PostNuke es otro sistema de publicación muy similar a PHP-Nuke, en
realidad partió de una bifuración de éste último, que también se
encuentra afectado por la vulnerabilidad "cross site scripting" al
permitir inyectar código JavaScript en las URLs relativas a index.php
y modules.php:

--- Ejemplos ---

http://direcciónservidor/modules.php?
op=modload&name=<iframe%20
">src="http://www.microsoft.com">

http://one_of_100's_of_sites/index.php?
catid=<script>alert
(document.cookie)</script>

----------------

Un atacante podría explotar estas vulnerabilidades para acceder a las
cookies de la víctima, robar sesiones de usuarios y contraseñas. Los
parches están disponibles en sus correspondientes sitios webs.



Bernardo Quintero
bernardo@hispasec.com


Más información:

PhP-Nuke
http://phpnuke.org/

PostNuke
http://postnuke.org/

PostNuke Bugged
http://www.securityfocus.com/archive/1/263626

Cross Site Scripting Vulnerability in PHP-Nuke
http://www.linuxmax.net/hackergurus/modules.php?op=modload&name=News&file=article&sid=36&mode=thread&order=0&thold=0



martes, 26 de marzo de 2002

Ataque de denegación de servicio sobre QPOPPER

Lar versiones actuales de QPOPPER son susceptibles a un ataque de
denegación de servicio que provoca un consumo del 100% de CPU.
QPOPPER es un servidor POP3 muy popular y difundido en entornos UNIX.
Las versiones de QPOPPER actuales contienen una vulnerabilidad que
permite que un atacante induzca un bucle infinito en el servidor POP3,
consumiendo el 100% de CPU. La memoria y el disco duro no se ven
afectados.

Aunque UNIX es un sistema operativo perfectamente capaz de seguir
funcionando en estas circunstancias, un atacante puede lanzar un número
muy alto de procesos POP3, cada uno de los cuales consume el 100% de
CPU. Aunque la memoria y el disco duro no se ven afectadas, un ataque de
este tipo puede provocar una pérdida de rendimiento muy importante por
su consumo de CPU.

El ataque se localiza en la gestión de datagramas de entrada. Si un
atacante envía un datagrama de la longitud apropiada, QPOPPER invocará
la función "READ()" indicando un búfer de 0 bytes. Dado que se intentan
leer cero bytes, la rutina vuelve inmediatamente. No obstante, como
todavía no se ha completado la línea, el programa invocará "READ()" de
nuevo, en un bucle infinito.

Esta vulnerabilidad es dependiente del sistema operativo. Se sabe, por
ejemplo, que afecta a las plataformas Linux, FreeBSD y Solaris.

El ataque puede explotarse AUNQUE no se disponga de una cuenta en el
servidor. El consejo de HispaSec es aplicar los dos parches cuya URL se
indica al final de este documento, a la espera de una actualización
oficial de Qualcomm.



Jesús Cea Avión
jcea@hispasec.com


Más información:

QPOPPER
http://www.qpopper.org/qpopper/

Major bug in QPopper POP3 Server
http://www.digitux.net/security/advisories.html?id=34&display=info

Parche 1
http://www.pensive.org/mailing_lists/archives/qpopper/Archive-2002-03-20.html#[29]

Parche 2
http://www.pensive.org/mailing_lists/archives/qpopper/Archive-2002-03-20.html#[31]



lunes, 25 de marzo de 2002

Gusano MyLife.B, bajo una caricatura de Bill Clinton

Llega en mensajes con el asunto "bill caricature" adjunto en un archivo
con el nombre "cari.scr". Si el usuario abre el adjunto podrá visualizar
una caricatura de Bill Clinton tocando el saxofón, mientras tanto el
gusano se habrá instalado en el sistema para ejecutarse cada vez que
se inicie Windows e intentará borrar las unidades C: D: E: y F:
dependiendo de la hora del sistema.
MyLife.B está escrito en Visual Basic 6, tiene un tamaño de 41,984
bytes, si bien se presenta como adjunto con sólo 11,524 bytes, ya
que ha sido comprimido bajo el formato UPX. Utiliza Microsoft Outlook
para distribuirse a todos los contactos de su libreta de direcciones
del sistema infectado y muestra el siguiente mensaje como modelo
fijo:

Asunto:
bill caricature

Cuerpo del mensaje:
Hiiiii
How are youuuuuuuu?
look to bill caricature it's vvvery verrrry ffffunny :-) :-)
i promise you will love it? ok
buy

========No Viruse Found========
MCAFEE.COM
- --------------------------------------------------------

Archivo adjunto:
Cari.scr

Una vez ejecutado, el gusano muestra la caricatura y se copia en la
carpeta de sistema de Windows, a continuación agrega una entrada en el
registro de Windows para asegurarse su ejecución cada vez que se inicie
el sistema:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
win = C:\WINDOWS\System\cari.scr

(C:\WinNT\System32 en el caso de Windows NT/2000)

Si la ejecución del gusano sucede entre las 8:00 y 8:59 AM, según la
hora del sistema infectado, MyLife.B intenta borrar los siguientes
archivos:

C:\*.*
*.sys
*.vxd
*.ocx
*.nls
d:\*.*
e:\*.*
f:\*.*



Bernardo Quintero
bernardo@hispasec.com


Más información:

Win32.MyLife.B@mm - BitDefender
http://www.bitdefender.com/virusi/virusi_descrieri.php?virus_id=61

Win32.MyLife.B - CAi
http://www3.ca.com/Press/PressRelease.asp?id=1951

W32/MyLife.b@MM - NAi
http://vil.nai.com/vil/content/v_99414.htm

I-Worm.Mylife.b - Kaspersky
http://www.avp.ch/avpve/worms/email/mylife-b.stm

W32/MyLife.B - Norman
http://www.norman.com/virus_info/w32_mylife_b_mm.shtml

W32/MyLife.B - Panda Software
http://service.pandasoftware.es/enciclopedia/ficha.jsp?Virus=W32/MyLife.B

Win32/MyLife.B - Proland
http://www.protectorplus.com/virus_info/worms/mylifeb.htm

W32/MyLife.B@mm - Sybari
http://www.sybari.com/alerts/alertdetail.asp?Name=W32/MyLife.B@mm

W32.MyLife.B@mm - Symantec
http://www.sarc.com/avcenter/venc/data/w32.mylife.b@mm.html

WORM_MYLIFE.B - Trend Micro
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=WORM_MYLIFE.B



domingo, 24 de marzo de 2002

Microsoft desarrolla passwords basados en imágenes

Los desarrolladores de Microsoft están trabajando en nuevos tipos de
passwords que sean más sencillas de recordar para los usuarios y a la
vez más complejas de romper.
Darko Kirovski, criptógrafo y desarrollador de software antipiratería
de Microsoft mostró un prototipo de este nuevo sistema de control
de acceso basado en imágenes. En la pantalla se muestran una
serie de imágenes, como por ejemplo, diferentes banderas.

Al acceder el usuario pulsa en una serie de banderas la combinación
de puntos pulsados en las imágenes se convierte en un número que
se almacena en el ordenador como la password. Los usuarios tan
sólo deben recordar las imágenes pulsadas y su orden, lo cual resulta
mucho más sencillo de recordar que una clave de 20 caracteres de
longitud.

Además, debido a las dificultades que representa el recordar las
contraseñas, los usuarios suelen escoger nombres, palabras simples, o
similares que son fácilmente accesibles en pocos minutos mediante
ataques por diccionario. Problema que se evita al emplear este nuevo
sistema, sin embargo no se pueden evitar problemas tan clásicos como el
conocido de mirar por encima del hombro para acceder a la password
escrita en este caso para observar la combinación de imágenes pulsada.

Por otra parte, lo que por un lado es una ventaja, como la facilidad de
recordar una secuencia de imágenes, puede convertirse en todo un
problema, como el recordar pasado un mes sin emplear una contraseña cual
era la secuencia correcta. Una clave siempre se puede apuntar, siempre
que no se deje el papel en el que se apuntó pegado al monitor (problema
también habitual de las passwords actuales), pero cómo apuntar una
secuencia de pulsaciones de ratón.



Antonio Ropero
antonior@hispasec.com


Más información:

Zdnet:
http://news.zdnet.co.uk/story/0,,t269-s2107171,00.html

Slashdot
http://slashdot.org/articles/02/03/23/1353245.shtml?tid=172



sábado, 23 de marzo de 2002

Vulnerabilidad en el verificador de bytecode de Java

Una vulnerabilidad en el Java Runtime Environment Bytecode Verifier
(verificador de bytecode del entorno de ejecución Java) puede ser
empleado por un applet no seguro para escalar privilegios. La
vulnerabilidad podrá ser empleada por un atacante para lograr la
ejecución de código fuera de la "sandbox".
El problema sólo afecta a los applets de Java, no afecta a las
aplicaciones Java. Para construir el ataque un usuario malicioso deberá
manipular el applet de Java a nivel binario para su posterior
publicación.

Las instalaciones de Netscape 6.2.1 y anteriores están afectadas ya que
incluyen una versión afectada del Java Runtime Environment. De igual
forma, los Java runtime environments de Netscape Communicator 4.79 y
anteriores también están afectados.

Puede descargarse la versión actualizada desde
http://home.netscape.com/computing/download/index.html

La máquina virtual java de Microsoft hasta la versión 3802 también se
encuentra afectada.
La versión actualizada de Microsoft VM puede descargarse desde:
http://www.microsoft.com/java/vm/dl_vm40.htm

Las versiones actualizadas y libres del problema del SDK, del JRE y del
JDK de Sun pueden descargarse desde las siguientes direcciones:

Para Windows:
SDK y JRE 1.4
http://java.sun.com/j2se/1.4/
SDK y JRE 1.3.1_02
http://java.sun.com/j2se/1.3/
SDK y JRE 1.2.2_011
http://java.sun.com/j2se/1.2/
JDK y JRE 1.1.8_009
http://java.sun.com/products/jdk/1.1/download-jdk-windows.html

Para Solaris:
SDK y JRE 1.2.2_011
http://java.sun.com/j2se/1.2/
JDK y JRE 1.1.8_009
http://java.sun.com/products/jdk/1.1/download-jdk-solaris.html

Para Linux
SDK y JRE 1.4
http://java.sun.com/j2se/1.4/
SDK y JRE 1.3.1_02
http://java.sun.com/j2se/1.3/
SDK y JRE 1.2.2_011
http://java.sun.com/j2se/1.2/



Antonio Ropero
antonior@hispasec.com


Más información:

Boletín de seguridad de Sun:
http://sunsolve.sun.com/pub-cgi/retrieve.pl?doctype=coll&doc=secbull/218&type=0&nav=sec.sba

Microsoft Security Bulletin MS02-013
Cumulative VM Update
http://www.microsoft.com/technet/security/bulletin/MS02-013.asp



viernes, 22 de marzo de 2002

La CIA rastrea ilegalmente a los visitantes de su web

Según nos informa el diario El Mundo en su web, la CIA ha reconocido
que estaba utilizando cookies con la finalidad de identificar a los
usuarios de sus webs.
Este hecho no debería extrañarnos, ya que la función para la que fue
creada esta Agencia es precisamente para espionaje, sino fuera porque
según recomendaciones de la Casa Blanca realizadas en junio del año
2000, todas las agencias gubernamentales no debían utilizar este tipo
de instrumentos para capturar datos de los visitantes a los sitios web
gubernamentales bajo jurisdicción federal.

La agencia culpa de este "error" a la compañía Olympus Group, que fué
la encargada de desarrollar el software utilizado por la agencia de
espionaje estadounidense. Para crear un poco de intriga la empresa
aludida ha dejado de existir, con lo cual no se puede comprobar la
veracidad de la excusa dada por la CIA.

Concretamente el código encargado de la captura de los visitantes a
las páginas web de la CIA, se encontraba en la dirección
http://www.foia.ucia.gov con lo que los visitantes que leyeran
documentos oficiales publicados por la agencia podían ser
monitorizados.

Lo que sí queda claro y evidente es que la agencia hace mención
expresa en su sitio web de que no utiliza "cookies", igualmente
informa como eliminarlas. Queda a la opinión de nuestros lectores el
opinar si este acto de recopilación de información ha podido ser
fortuito o voluntario.

"Cookies
The Central Intelligence Agency Web site does NOT use the "cookies"
that some Web sites use to gather and store information about your
visits to their sites.

Cookies are essentially tokens of information, such as preferences and
passwords, that some Web servers collect from you when you access them.
That data is stored on your hard drive-not on the Web site's server.
Whenever you visit a "cookie" site, the server looks for its cookie on
your hard drive and, if found, then reads the information it stored
there. Cookies generally are stored in your browser's directory or
folder in a file named cookie.txt (MagicCookie on a Macintosh)."



Antonio J. Román Arrebola
roman@hispasec.com


Más información:

Un web de la CIA rastreaba ilegalmente a sus visitantes
http://www.elmundo.es/navegante/2002/03/20/seguridad/1016644511.html

CIA "cookies"
http://www.cia.gov/cia/notices.html#cookies

Electronic Reading Room
http://www.foia.ucia.gov/



jueves, 21 de marzo de 2002

Acceso a Internet gracias a los tubos de galletas Pringles

Una curiosa noticia publicada por la BBC informa de la utilización de
los tubos vacíos de galletas Pringles como arma para acceder a Internet
utilizando las conexiones inalámbricas.
Durante los últimos meses se han constituido diversos proyectos para
ofrecer conexión gratuita a Internet a través de enlaces inalámbricos.
Algunos ciudades con proyectos de este tipo son Madrid, Barcelona y
Lleida (por citar únicamente tres ciudades).

También muchas empresas están empezando a utilizar este tipo de
conexiones para facilitar la movilidad interna de sus empleados dentro
de los edificios. Se da el caso que muchas de estas conexiones
inalámbricas utilizan unos mecanismos de autenticación muy débiles o,
incluso, totalmente inexistentes. Así, si alguien consigue localizar el
señal puede obtener el acceso a la red corporativa de la empresa.

La noticia publicada por la BBC informa que los tubos vacíos de galletas
Pringles pueden convertirse en unos útiles (y baratos) amplificadores
de las señales de radio que emiten las empresas para el acceso
inalámbrico a la red dentro de sus edificios. Gracias a la particular
forma del tubo de Pringles, éste puede utilizarse como amplificador y
antena direccional.

En el articulo se recoge un análisis efectuado por una empresa inglesa
de seguridad. Mediante una antena de construcción casera y paseando por
el distrito financiero de Londres durante poco más de media hora, fue
posible localizar 60 redes inalámbricas. Lo más preocupante es que más
de dos tercios de las mismas no disponían de ningún control de acceso.

La primera consecuencia de este descubrimiento es que permite un acceso
virtualmente anónimo a Internet, utilizando conexiones de gran
velocidad. También puede permitir el acceso a los recursos de la red
corporativa de la empresa.

Cualquier empresa que disponga de una conexión inalámbrica y no haya
tomado ninguna precaución puede verse afectada por este problema. Para
solucionarlo, hay que tomar una serie de medidas básicas: cambiar los
nombres por omisión, mover los puntos de acceso inalámbrico al centro
del edificio y desactivar las funciones de propagación de la red.



Xavier Caballé
xavi@hispasec.com



miércoles, 20 de marzo de 2002

Nueva estrategia de la NSA para la protección de sus sistemas

El acceso a la información de nuevas vulnerabilidades, base
fundamental de la estrategia de seguridad informática para la NSA,
norteamericana.
La Agencia para la Seguridad Nacional, NSA, ha desarrollado un
programa de evaluación para las principales organizaciones
gubernamentales, con el fin de introducir una mejora sustancial ante
los continuos quebraderos de cabeza soportados por sus sistemas
informáticos, todo ello debido a la constante proliferación de nuevas
vulnerabilidades, códigos malévolos etc.

En este proyecto está prevista la participación de las principales
instituciones académicas norteamericanas así como las compañías mas
punteras tecnológicamente hablando. Todas ellas han sido escogidas
además estratégicamente por su situación geográfica, para acaparar
la casi totalidad del territorio USA, esto favorecería la obtención
de información de diversos lugares y en diversos tramos horarios.

Para favorecer este nuevo impulso las instituciones académicas se
verán favorecidas por ayudas a modo de becas concedidas por el
Gobierno Federal y el Departamento de Defensa. Para la NSA "La
educación para asegurar la información desempeña un papel fundamental
en la protección de la infraestructura nacional de la información".



Antonio J. Román Arrebola
roman@hispasec.com


Más información:

NSA makes information assurance designations
http://www.washingtontechnology.com/news/1_1/security/18000-1.html



martes, 19 de marzo de 2002

Múltiples vulnerabilidades en servidores Oracle

En los últimos meses se han descubierto un gran número de
vulnerabilidades que afectan a servidores de bases de datos Oracle 8i,
Oracle 9i y al servidor de aplicaciones Oracle 9i.
El número de problemas que afectan a los diversos sistemas Oracle y sus
gravedad ha repercutido en que el CERT/CC (Comupter Emergency Response
Team Coordination Center) ha publicado un completo documento en el que
alerta a todos los usuarios y administradores de estos sistemas sobre
todas estas incidencias.

Hay que aclarar que no se trata de nuevos problemas, ya que todos estos
ya fueron registrados por el servicio de información SANA, algunos
incluso desde hace más de tres meses. Sin embargo, la gran cantidad
de problemas y la diversidad de sus efectos ha provocado la publicación
de dicha información por dicho organismo.

Las vulnerabilidades incluyen desbordamientos de búfer, configuraciones
por defecto inseguras, problemas en la implementación de controles de
acceso así como en la validación de datos. Por su parte el impacto de
estos problemas incluyen desde la ejecución de código y comandos
arbitrarios por parte del atacante, la denegación de servicios o el
acceso no autorizado a información sensible.

Las vulnerabilidades descubiertas son debidas principalmente a modulos y
componentes empleados en Oracle Application Server y Oracle Database,
como el módulo de lenguaje PL/SQL, Java Server Pages, servlets XSQL y
aplicaciones Simple Object Access Protocol (SOAP).

En total el documento publicado por el CERT/CC hace referencia a seis
diferentes vulnerabilidades de desbordamiento de búfer en el módulo
PL/SQL de Oracle9i Application Server, ocho vulnerabilidades de
configuraciones por defecto inseguras en Oracle 9iAS, cuatro
vulnerabilidades en el control de acceso en Oracle 9i Database Server y
Oracle 9iAS y una vulnerabilidad en Oracle 9iAS en la validación de
datos de entrada. Alguna de estas vulnerabilidades también afectan a
Oracle 8i al emplear los mismos módulos que Oracle 9i.

Se recomienda la lectura del boletín publicado por el CERT/CC y
actualizar los sistemas afectados con los parches proporcionados por
Oracle.

A pesar de todos estos problemas y avisos de seguridad, resulta curioso
ver como Oracle sigue anunciando su producto Oracle 9i como
"Unbreakable" (irrompible) y de total seguridad.



Antonio Ropero
antonior@hispasec.com


Más información:

Aviso del CERT/CC. Multiple vulnerabilities in Oracle Servers
http://www.cert.org/advisories/CA-2002-08.html

Oracle:
http://www.oracle.com

SANA
http://www.hispasec.com/sana/



lunes, 18 de marzo de 2002

Explotación de la vulnerabilidad ADSL

Hace casi dos meses HispaSec se hizo eco de la difusión de una
vulnerabilidad que afectaba a cierta serie de routers ADSL instalados
por Telefónica. Hoy podemos decir que dicha vulnerabilidad se está
explotando de forma activa.
La vulnerabilidad, de la que HispaSec se hizo eco el pasado 22 de Enero,
afecta a los routers Efficient SpeedStream 5660, con revisión del
sistema operativo "2.2.1(9R1)". En dicha revisión se cometió un error
que provoca que los filtros IP no funcionen. Es decir, que aunque
instalemos filtros IP, éstos no actuarán.

Los filtros IP se utilizan, por ejemplo, para limitar el acceso
administrativo del router a ciertas IPs. Si los filtros no funcionan,
cualquier usuario de Internet que conozca la clave puede acceder a ellos
y realizar cualquier cambio que desee. Como las claves de los ADSL de
Telefónica son todas iguales y, en la práctica, la clave en cuestión es
de dominio público, el efecto neto es que cualquier usuario de Internet
puede conectarse a esos router y manipularlos de forma arbitraria.

Aunque el cambio más sencillo es inutilizar el router, por ejemplo
desconfigurándolo, puede modificarse la tabla NAT de los equipos para
acceder a la red interna desde el exterior, dejando la red interna
desprotegida a todos los efectos.

Un uso más creativo de las funcionalidades NAT permite utilizar los
routers a modo de "bouncers". Es decir, en vez de mapear un puerto del
router hacia la red interna, se puede mapear de nuevo hacia Internet.
Ello permite conectarse a otra máquina sin que ésta conozca la
procedencia real de la conexión, ya que la IP que recibe es la del ADSL
utilizado como "bouncer". Así, se puede ocultar el origen de una
conexión y lograr un buen nivel de anonimato e impunidad.

De hecho, en las últimas semanas se han detectado en IRC-Hispano (la red
de IRC en castellano más importante del mundo) más de 5000 IPs de ADSLs
"comprometidas" (al menos el equivalente a 20 redes /24), configuradas
para enviar las conexiones hacia diversos nodos de esta red. El efecto
neto es que un atacante puede, fácilmente, barrer canales y servidores
enteros, por el peso de inyectar 5000 conexiones simultaneas bajo su
control.

Los detalles sobre los routers ADSL vulnerables y cómo solucionar el
problema se detallan en nuestro boletín previo sobre el particular.



Jesús Cea Avión
jcea@hispasec.com


Más información:

Lleida.net denuncia el ataque masivo al IRC hispano desde conexiones
ADSL
http://bandaancha.st/weblogart.php?artid=954

22/01/2002 - Vulnerabilidad en routers Efficient SpeedStream 5660 (ADSL
de Telefónica)
http://www.hispasec.com/unaaldia.asp?id=1185

IRC-Hispano
http://www.irc-hispano.org/



domingo, 17 de marzo de 2002

Un gusano que se camufla como mensaje de Microsoft

Un mensaje, falsamente firmado por Microsoft, realiza una distribución
masiva del gusano W32.Gibe.dam
En los últimos días muchas personas han recibido, por correo
electrónico, un archivo supuestamente enviado por Microsoft. En
realidad, se trata de un archivo infectado por el gusano W32.Gibe.dam.

Los mensajes, en los que figuraba como remitente la dirección "Microsoft
Corporation Security Center" y dirigidos a
"Microsoft Customer" tienen el siguiente
aspecto:

De: "Microsoft Corporation Security Center"
A: "Microsoft Customer"
Tema: Internet Security Update
Texto:
Microsoft Customer, This is the latest version of security update, the
known security vulnerabilities affecting Internet Explorer and MS
Outlook/Express as well as six new vulnerabilities, and is discussed
in Microsoft Security Bulletin MS002-005. Install now to protect your
computer from these vulnerabilities, the most serious of which could
allow an attacker to run code on your computer.

How to install
Run attached file q216309.exe

How to use
You don't need to do anything after installing this item.

Archivo asociado: q216309.exe

El archivo asociado al mensaje en realidad es una copia del gusano
W32.Gibe.dam. Una vez más hay que recordar la importancia de ni tan
siquiera TOCAR cualquier archivo asociado a un mensaje que no se haya
solicitado expresamente, incluso cuando el programa antivirus instalado
en nuestro ordenador o en la pasarela de correo de nuestra empresa no
nos advierta de la presencia de virus.

En este caso, el autor del envío intenta engañar a los receptores
suplantando una dirección supuestamente de Microsoft. La comunicación
hace entender que se asocia el archivo de parches para Internet Explorer
y Outlook Express discutido en un boletín de seguridad de la empresa de
Redmond.

Descripción de W32.Gibe.dam

El archivo asociado al mensaje, Q2163098.EXE, está escrito en Visual
BASIC. Cuando se ejecuta realiza las siguientes acciones:

1. En primer lugar, crea los siguientes archivos:

* \WINDOWS\Q216309.EXE (122.880 bytes). Una copia completa del código
del virus.

* \WINDOWS\WTNMSCCD.DLL (122.800 bytes). Otra copia completa del código
del virus.

* \WINDOWS\BCTOOL.EXE (32.768 bytes). El componente del gusano
utilizado para la difusión del gusano a traves de Microsoft Outlook
y SMTP.

* \WINDOWS\GFXACC.EXE (20.480 bytes). Una puerta secreta (backdoor) que
abre el puerto 12378.

* \WINDOWs\02_N803.DAT (el tamaño varía). El archivo de datos creado por
el gusano para almacenar las direcciones de correo que encuentra.

* \WINDOWS\WINNETW.EXE (20.380 bytes). El componente del gusano que
busca direcciones de correo y las almacena en el archivo 02_N803.DAT.

El gusano también comprueba la posible existencia de sistemas conectados
a través de la red: en todas las unidades de disco accesibles en el
sistema infectado intenta localizar la carpeta de inicio siguiendo estas
reglas:

* Windows 2000. En los sistemas Windows 2000 se intenta copiar él mismo
en el directorio
\Documents and Settings\%Nombre_Usuario_Sistema_Infectado%\Start Menu\Programs\Startup
de cada unidad de disco.

%Nombre_Usuario_Sistema_Infectado% se sustituye por el nombre del
usuario conectado al sistema infectado. Así, si el usuario conectado es
Administrador, el virus se copiará en el directorio:

\Documents and Settings\Administrador\Start Menu\Programs\Startup

* Windows 98. En estos ordenadores, el gusano intenta copiarse en
\Windows\Start Menu\Programs\Startup de cada unidad de disco.

* Windows NT. En estos sistemas, el gusano intenta copiarse él mismo en
el directorio
\Winnt\Profiles\%Nombre_Usuario_Sistema_Infectado%\Start Menu\Programs\Startup
(aquí también %Nombre_Usuario_Sistema_Infectado% es sustituido por el
nombre del usuario conectado), en cada unidad de disco.

2. A continuación, el gusano modifica el registro del sistema infectado
añadiendo los siguientes valores:

* Modifica la entrada
HKLM\Software\Microsoft\Windows\CurrentVersion\Run añadiendo

LoadDBackUp C:\Windows\BcTool.exe
3Dfx Acc C:\Windows\GFACC.exe

* Crea la entrada HKLM\Sotware\AVTech\Settings con los siguientes
valores:

Installed ... by Begbie
Default Address
Default Server

3. A continuación, mediante BcTool.exe se intenta enviar una copia del
archivo C:\Windows\Q216309.exe a todas las direcciones existentes en la
librerta de direcciones de Microsoft Outlook y en todas las direcciones
existentes dentro de los archivos .HTM, .HTML, .ASP y .PHP. Estas
direcciones son anotadas en el archivo 02_N803.DAT.

Instrucciones para la eliminación del gusano

Borrar los archivos creados por el gusano (Q216309.EXE, WTNMSCCD.DLL,
BCTOOL.EXE, GFXACC.EXE, 02_N803.DAT y WINNETW.EXE). También deben
borrarse las entradas del registro modificadas o añadidas por el gusano.



Xavier Caballé
xavi@hispasec.com



sábado, 16 de marzo de 2002

Actualización de RSYNC

Se ha publicado la versión 2.5.4 de RSYNC, que soluciona varios
problemas de seguridad y de compilación.
RSYNC es una excepcional herramienta de sincronización de ficheros, que
permite que un cliente y un servidor se mantengan sincronizados sin
enviar los ficheros modificados y sin que sea necesario mantener un
histórico de cambios. Se trata de una herramienta extraordinariamente
útil.

Los autores de RSYNC publicaron hace menos de dos meses la versión
2.5.2, pero en esta versión no funcionaba correctamente, por ejemplo,
bajo Solaris. La versión 2.5.4 funciona perfectamente bajo Solaris e
incluye una versión actualizada de la ZLIB, ya que utiliza una versión
personalizada y no emplea la instalada en el sistema. También se
corrigen diversos problemas de estabilidad.



Jesús Cea Avión
jcea@hispasec.com


Más información:

RSYNC
http://rsync.samba.org/

28/01/2002 - Actualización de seguridad para RSYNC

http://www.hispasec.com/unaaldia.asp?id=1191



viernes, 15 de marzo de 2002

Corrupción de memoria en ZLIB

Las versiones de ZLIB previas a la 1.1.4, bajo determinadas
circunstancias, pueden corromper memoria en el proceso que utilice la
librería, pudiendo provocar la caída del proceso o la ejecución de
código arbitrario a instancias de un atacante.
ZLIB son unas librerías de compresión de datos muy populares en el
entorno Unix, utilizadas, por ejemplo, en GZIP. El sistema de compresión
es muy similar al popular ZIP.

Las versiones de la ZLIB previas a la 1.1.4 pueden, bajo determinadas
circunstancias, liberar un bloque de memoria dos veces. Ello puede
provocar, dependiendo de la arquitectura del sistema y de las librerías
"malloc" que se utilicen, corrupción de memoria. Dependiendo de los
detalles de la corrupción en sí, puede llegar a ser posible ejecutar
código arbitrario en la máquina.

La recomendación es actualizar cuanto antes a la versión 1.1.4 de la
librería.

Dado que se trata de una librería utilizada por multitud de programas:

* Instalando la versión actualizada en el sistema, como librería
dinámica, supondrá que todos los programas que la utilicen de forma
dinámica usarán la versión actualizada cuando se rearranquen.

* Instalando la versión actualizada en el sistema, como librería
estática (instalación típica), los programas enlazados con ella de forma
estática *NO* se actualizarán. Será necesario recompilarlos todos.

En el segundo caso, y dado lo poco práctico que resulta recompilar el
sistema y las aplicaciones instaladas por completo, en HispaSec
recomendamos que se recompilen los demonios accesibles desde el exterior
del sistema y los procesos SETUID/SETGID. Otra posibilidad es utilizar
un script cuya URL se indica en el aviso de la vulnerabilidad, que
realiza una búsqueda en todos los ejecutables del sistema, a la caza de
señales distintivas de uso de la librería. De esta forma se pretende
identificar las aplicaciones vulnerables y proceder a su recompilación.
La fiabilidad de esta herramienta no es muy alta y depende de la forma
de compilar y almacenar los ejecutables.

Existen aplicaciones, también, que incluyen una versión personalizada de
ZLIB. En ese caso deberá solicitarse una versión actualizada.



Jesús Cea Avión
jcea@hispasec.com


Más información:

zlib Home Site
http://www.zlib.org/

Zlib Advisory 2002-03-11: zlib Compression Library Corrupts malloc Data
Structures via Double Free
http://www.zlib.org/advisory-2002-03-11.txt

Algunas aplicaciones que usan ZLIB
http://www.gzip.org/zlib/apps.html

CERT® Advisory CA-2002-07 Double Free Bug in zlib Compression Library
http://www.cert.org/advisories/CA-2002-07.html

Grave vulnerabilidad en Linux
http://iblnews.com/news/noticia.php3?id=31092



jueves, 14 de marzo de 2002

Gusano W32/Fbound.c: sin peligro

Llega bajo el nombre de archivo "patch.exe" adjunto en un e-mail con
el asunto "Important". Se trata de un gusano puro, no escribe nada
en los sistemas infectados ni realiza modificación alguna, una vez
es ejecutado sólo se distribuye a todos los destinatarios que encuentra
en la libreta de direcciones de Windows. Pese a que ha tenido cierta
incidencia en algunas zonas, en los países de habla hispana no hay
indicios significativos, y se espera que los pocos brotes detectados
remitan en breve.
Tiene un tamaño de 12.288 bytes y está escrito en ensamblador. Como
hemos dicho, el gusano no realiza ninguna modificación en el sistema,
el único efecto colateral que puede acarrear es el colapso en los
servidores de correo si se produjera una propagación masiva. Las
únicas acciones del gusano se limitan a enviarse adjunto por e-mail
una vez leídas algunas entradas del registro:

HKEY_CURRENT_USER\Software\Microsoft\WAB\WAB4\Wab File Name

HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts\(Default account id)\SMTP Server

HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts\(Default account id)\SMTP Email Address

En la primera de ellas recopila todos los destinatarios a donde
enviarse desde la libreta de direcciones de Windows (WAB - Windows
Address Book). En la siguiente entrada lee el servidor de correo SMTP
por defecto en el sistema que utilizará para autoenviarse. En la
tercera y última entrada del registro recoge la dirección de correo
del usuario que ha sido infectado, que utilizará como remitente en sus
mensajes de propagación.

Parece ser que Japón es el país de origen de su creador, tanto por la
cadena "I-Worm.Japanize" que puede encontrarse en su código, como el
asunto en japones de los e-mails, elegido al azar entre 17 posibles,
que el virus incluye en el caso de que la dirección de destino
finalice en ".jp".

A priori, no hay ninguna razón especial por la que este gusano tan
simple y evidente haya tenido cierta repercusión. Algunas casas
antivirus lo han situado en alerta media, si bien la incidencia en
España, por ejemplo, se presenta hasta el momento como nula.



Bernardo Quintero
bernardo@hispasec.com


Más información:

Win32.Fbound.C@mm - BitDefender
http://www.bitdefender.com/virusi/virusi_descrieri.php?virus_id=59

Win32.Fbound.C - CAi
http://www3.ca.com/virus/virus.asp?ID=11521

I-Worm.Zircon.c - Kaspersky
http://www.avp.ch/avpve/worms/email/zircon.stm

W32/Fbound.c@MM - McAfee
http://vil.nai.com/vil/content/v_99386.htm

W32/FBound.C - Norman
http://www.norman.com/virus_info/w32_fbound_c_mm.shtml

W32/Fbound.C - Panda Software
http://service.pandasoftware.es/enciclopedia/ficha.jsp?Virus=W32/Fbound.C

Win32/Fbound.B - Proland
http://www.protectorplus.com/virus_info/worms/fbound.htm

W32/FBound-C - Sophos
http://www.sophos.com/virusinfo/analyses/w32fboundc.html

W32/FBound-C - Sybari
http://www.sybari.com/home/pressrelease.asp?id=1016125315

W32.Impo.gen@mm - Symantec
http://www.sarc.com/avcenter/venc/data/w32.impo.gen@mm.html

WORM_FBOUND.B - Trend Micro
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=WORM_FBOUND.B



miércoles, 13 de marzo de 2002

Vulnerabilidad en SMS Server Tools

SMS Server Tools se ve afectado por una vulnerabilidad que permitiría
a un atacante a ejecutar comandos en el servidor SMS.
SMS Server Tools, es una herramienta diseñada para interconectar
módems y así permitir el envío y recepción de mensajes SMS. Este
sistema fue diseñado para servidores Unix y Linux.

Si el servidor recibiera una entrada con el carácter ' podría
favorecer la ejecución de comandos en el servidor afectado. Las
versiones afectadas por esta vulnerabilidad son SMS Server Tools
1.4.6 y 1.4.7.

La solución para los sistemas afectados se pueden encontrar en la
actualización de estos a la versión 1.4.8 que se puede encontrar en
la siguiente dirección:
SMS Server Tools Upgrade smstools-1.4.8.tar.gz
http://www.isis.de/members/~s.frings/smstools/smstools-1.4.8.tar.gz



Antonio J. Román Arrebola
roman@hispasec.com


Más información:

SMS Server Tools Arbitrary Command Execution Vulnerability
http://online.securityfocus.com/bid/4268

SMStools vulnerabilities in release before 1.4.8
http://online.securityfocus.com/archive/1/261144

SMS Server Tools Homepage
http://www.isis.de/members/~s.frings/smstools/



martes, 12 de marzo de 2002

Desbordamiento de buffer en el shell de algunas versiones de Windows

En determinadas circunstancias un atacante podría causar un
desbordamiento de buffer y la posterior ejecución de código en el
shell de algunas versiones de los Sistemas Operativos de Microsoft.
Las versiones afectadas son:

Microsoft Windows 98
Microsoft Windows 98 Second Edition
Microsoft Windows NT 4.0
Microsoft Windows NT 4.0 Terminal Server Edition
Microsoft Windows 2000

Un error en una de las funciones del shell encargada de la búsqueda de
aplicaciones que aún no estén totalmente eliminadas, es la causante de
este desbordamiento de buffer. Por defecto, esta vulnerabilidad sólo es
explotable de forma local.

Sin embargo, bajo condiciones bastante raras podrá explotarse desde
una página web. Concretamente, si el usuario ha instalado una
aplicación con sus propios manipuladores de URLs (aplicaciones que
instalan sus propios tratamientos para IE como Outlook 2002 que
registra en el sistema "outlook://"). Y tras ello, se ha desintalado
dicha aplicación sin llegar a completar este proceso de forma completa.

Con la finalidad de evitar este problema, Microsoft ha puesto a
disposición de los usuarios los correspondientes parches que palian
este problema, en las direcciones que a continuación relacionamos.

Para Windows 98
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=37015
Para Windows NT 4.0
http://www.microsoft.com/downloads/release.asp?ReleaseID=36867
Para Windows NT 4.0 con Active Desktop
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=37015
Para Windows NT 4.0 Terminal Server Edition
http://www.microsoft.com/downloads/release.asp?ReleaseID=36869
Para Windows NT 2000
http://www.microsoft.com/downloads/release.asp?ReleaseID=36880


Antonio J. Román Arrebola
roman@hispasec.com


Más información:

Unchecked Buffer in Windows Shell Could Lead to Code Execution
http://www.microsoft.com/technet/security/bulletin/MS02-014.asp



lunes, 11 de marzo de 2002

Bug en el código de canal de OpenSSH

Se ha descubierto un fallo en el código que maneja el canal en OpenSSH,
este puede ser explotado por un usuario ya autentificado en el sistema,
con fin de obtener root. De igual forma puede ser usado por un servidor
malicioso con el mismo propósito sobre un cliente vulnerable.
OpenSSH es una distribución gratuita que implementa la serie de
protocolos SSH versión 1 y 2, y que nos proporciona desde el uso de
sesiones interactivas (shell) hasta la transmisión de ficheros (scp)
todo ello bajo encriptación.

El problema se encuentra en el proceso de la comparación de la
variable channels_alloc que permite introducir un identificador mayor
del esperado. No se descarta la posibilidad que el bug del canal sea
también explotable sin necesidad de tener cuenta en el sistema, aunque
esto aun no ha sido demostrado.

Se ven afectadas todas las versiones desde la 2.0 hasta la 3.0.2, por
ello se recomienda actualizar a la versión 3.1



Francisco Javier Santos
fsantos@hispasec.com



domingo, 10 de marzo de 2002

Vulnerabilidad de acceso a cuentas de otros usuarios de IMail

Se ha descubierto un problema en el servidor de correo IMail Server que
puede permitir a un usuario malicioso el acceso a la cuenta de cualquier
otro usuario a través del interfaz web que proporciona el sistema.
IMail Server es servidor de correo para Windows NT/2000/XP bastante
extendido por su sencillez de uso, proporcionar un interfaz web y las
adecuadas protecciones contra el spam. Las versiones de IMail 7.05 y
anteriores se ven afectados por un problema que puede permitir a un
atacante acceder al contenido de las cuentas de otros usuarios.

El problema reside en que cuando un usuario accede a través de su propia
cuenta al interfaz web, la autenticación de la sesión se mantiene a
través de una única URL. Mediante el envío de un e-mail html que incluya
una imagen en otro servidor el atacante podrá conocer de forma sencilla
la URL única a través del campo "referer" de la cabecera http.

Se recomienda la actualización a IMail 7.06 versión corregida en la que
se comprueba la IP. En esta nueva versión la autenticación reside en una
URL única y la dirección IP. Éste mismo problema también afecta a Excite
WebMail.



Antonio Ropero
antonior@hispasec.com


Más información:

IMail Account hijack through the Web Interface:
http://eyeonsecurity.net/advisories/imail.html

Demostración del problema:
http://eyeonsecurity.net/tools/referer.html

IMail Server:
http://www.ipswitch.com/Products/IMail_Server/index.html



sábado, 9 de marzo de 2002

Applet de Java puede redirigir el tráfico http

Existe una vulnerabilidad en el runtime de Java de Solaris que puede
permitir a un applet no confiable monitorizar peticiones y respuestas de
un servidor proxy http cuando una conexión continua se usa entre un
cliente y un servidor proxy http. Un applet de Java malicioso puede
explotar esta vulnerabilidad para redireccionar el tráfico web.
Un atacante puede emplear la vulnerabilidad para enviar la sesión de
Internet de un usuario a un sistema bajo su control, sin que el usuario
sea consciente de ello. El atacante podrá crear un ataque tipo hombre en
el medio ("man in the middle") modificando las respuestas, o creando
falsas respuestas sin que el usuario se percate.

Se ven afectadas las instalaciones completas de Netscape 6.1, 6.0.1, y
6.0. El Java runtime environment de Netscape Communicator 4.79 y
anteriores también se ve afectado, así como la máquina virtual Java de
Microsoft hasta la build 3802.

Se recomienda actualizar los sistemas Windows con Microsoft VM build
3805 o posterior disponible en:
http://www.microsoft.com/java/vm/dl_vm40.htm

Se recomienda actualizar las instalaciones de Netscape a las versiones
Netscape 6.2 y 6.2.1 que incluyen el nuevo plug-in de Sun JVM libre del
problema y que puede descargarse desde
http://home.netscape.com/computing/download/index.html



Antonio Ropero
antonior@hispasec.com


Más información:

Boletín de seguridad Microsoft MS02-013
Java Applet Can Redirect Browser Traffic
http://www.microsoft.com/technet/security/bulletin/ms02-013.asp

Boletín de seguridad Sun #00216: HttpURLConnection
http://sunsolve.sun.com/pub-cgi/retrieve.pl?doctype=coll&doc=secbull/216&type=0&nav=sec.sba



viernes, 8 de marzo de 2002

Publicación de "Guía de Administración de Redes con Linux"

Se acaba de publicar la segunda edición de la "Guía de Administración de
Redes con Linux", en castellano y disponible en varios formatos como
descarga gratuita.
El libro, de 628 páginas y escrito por Olaf Kirch y Terry Dawson, cubre
una gran variedad de temas desde el punto de vista de un administrador
de sistemas. Algunos de los temas tratados son: TCP/IP y hardware de
red, SLIP y PPP, cortafuegos, NAT, NIS, NFS, sendmail y EXIM, y NNTP.
Aunque el libro original fue publicado en 2000, no se ha contado con una
traducción al castellano hasta ahora.

Este extenso y completo libro se divide en los siguientes capítulos:
1. Introducción al Trabajo en Redes
2. Cuestiones sobre redes TCP/IP
3. Configuración del hardware de red
4. Configuración del Hardware Serie
5. Configuración del Protocolo TCP/IP
6. El servicio de nombres y su configuración
7. SLIP: IP por línea serie
8. El Protocolo Punto-a-Punto
9. Cortafuegos de TCP/IP
10. Contabilidad IP
11. Enmascaramiento IP y Traducción de Direcciones de Red
12. Características Importantes de Red
13. El Sistema de Información de Red (NIS)
14. El Sistema de Archivos de Red
15. IPX y el Sistema de Ficheros NCP
16. Administración de Taylor UUCP
17. Correo Electrónico
18. Sendmail
19. Poner Exim en marcha
20. Las noticias en la red
21. C-News
22. NNTP y el Demonio nntpd
23. Noticias de Internet
24. Newsreader Configuration
A. Red de ejemplo: La cervecería virtual
B. Configuraciones de cableado útiles
C. Linux Network Administrator's Guide, Second Edition Copyright
Information
D. Guía de Administración de Redes con Linux, Segunda Edición
Información de Copyright
E. SAGE: El Gremio del Administrador

A tener en cuenta:

Aunque los ficheros están comprimidos con GZIP (los usuarios de Windows
pueden utilizar el WinZIP para descomprimirlos, sin problemas), es
posible que, dependiendo del navegador que se utilice en la descarga,
nos lleguen ya descomprimidos aunque mantengan la extensión "GZ". Ello
es debido el servidor LuCAS está configurado para enviar los ficheros
"GZ" utilizando la codificación "content-encoding: gzip", si el
navegador cliente lo soporta (como es el caso de la mayoría de
navegadores actuales). El efecto neto es que el fichero se envía
comprimido, pero el navegador lo guardará en disco de forma
descomprimida.

Si es el caso, lo único que hace falta es eliminar la extensión "GZ", ya
que el fichero en nuestro disco no está realmente comprimido.



Jesús Cea Avión
jcea@hispasec.com


Más información:

Manuales-LuCAS/GARL2
http://lucas.hispalinux.es/Manuales-LuCAS/GARL2/

Publicada la segunda edición en español de la Guía Administración de
Redes con Linux
http://barrapunto.com/article.pl?sid=02/02/28/163246

Manuales-LuCAS/GARL
http://lucas.hispalinux.es/Manuales-LuCAS/GARL/



jueves, 7 de marzo de 2002

Vulnerabilidad "ptrace()" en *BSD

La familia de sistemas operativos *BSD tiene una vulnerabilidad que
permite la ejecución de código arbitrario en el servidor, con
privilegios de administrador o "root".
*BSD es una familia de sistemas operativos UNIX, cuyos componentes más
conocidos son NetBSD, FreeBSD y OpenBSD, todos ellos gratuitos y de alta
calidad.

A finales de enero de 2002 se dió a conocer una vulnerabilidad que
afecta a los tres *BSD. Se trata de una "race condition" entre el
lanzamiento de un proceso SETUID o SETGID, y la interfaz "ptrace()".

La mayoría de los UNIX modernos no permiten "trazar" un proceso SETUID o
SETGID, por razones de seguridad, ya que un proceso de ese tipo tiene
más privilegios que el usuario que lo invoca, y si éste pudiera
"trazarlo" podría modificar el código o la memoria del proceso
"privilegiado" durante su ejecución. Ello, evidentemente, supondría un
grave compromiso de seguridad.

La vulnerabilidad de *BSD se basa en una "race condition" entre la
ejecución de un proceso SETUID o SETGID, y el intento de "trazar" el
proceso mediante "ptrace()". Bajo determinadas circunstancias existe una
pequeña probabilidad de éxito (una "ventana de oportunidad").
Insistiendo un número suficiente de intentos, la vulnerabilidad acaba
por activarse, tarde o temprano. Dichos reintentos, por supuesto, pueden
automatizarse y realizar decenas de ellos por segundo.

La recomendación es:

FreeBSD: Actualizar a la versión 4.4-STABLE actual.
OpenBSD: Aplicar al kernel el pequeño parche cuyo enlace se muestra al
final de este boletín.
NetBSD: Corregido en cualquiera de los kernel posteriores al 14 de Enero
de 2002.



Jesús Cea Avión
jcea@hispasec.com


Más información:

Close-on-exec, SUID and ptrace(2)
ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2002-001.txt.asc

# 012: SECURITY FIX: January 21, 2002
A race condition between the ptrace(2) and execve(2) system calls allows
an attacker to modify the memory contents of suid/sgid processes which
could lead to compromise of the super-user account.
http://www.openbsd.org/errata.html#ptrace

Parche para OpenBSD
ftp://ftp.openbsd.org/pub/OpenBSD/patches/3.0/common/012_ptrace.patch

race condition during exec may allow local root compromise
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-02%3A08.exec.asc



miércoles, 6 de marzo de 2002

Desbordamiento de búfer en "mod_ssl"

Se ha descubierto un desbordamiento de búfer en "mod_ssl" que permite,
bajo circunstancias muy especiales, la ejecución de código en el
servidor.
"mod_ssl" es un módulo Apache que le dota de la capacidad de soportar
sesiones SSL (Secure Socket Layer, el protocolo utilizado en HTTPS).

Las versiones de "mod_ssl" previas a la 2.8.7 utilizan la librería
"OpenSSL" de forma insegura, permitiendo un desbordamiento de búfer en
la gestión de la caché de sesiones SSL. Aunque la posibilidad de
explotación del problema parece bastante complicada en un entorno de
producción, la versión 2.8.7 de "mod_ssl" soluciona el problema de forma
proactiva.

La vulnerabilidad afecta también a "apache-ssl", ya que es un proyecto
basado en "mod_ssl". En este caso la recomendación es actualizar a la
versión 1.3.22+1.46.



Jesús Cea Avión
jcea@hispasec.com


Más información:

mod_ssl Buffer Overflow Condition (Update Available)
http://archives.neohapsis.com/archives/bugtraq/2002-02/0313.html

Apache-SSL buffer overflow condition (all versions prior to 1.3.22+1.46)
http://www.apache-ssl.org/advisory-20020301.txt

Apache SSL
http://www.apache-ssl.org/

MOD_SSL
http://www.modssl.org/



martes, 5 de marzo de 2002

Problemas de seguridad en múltiples implementaciones RADIUS

Múltiples implementaciones del servicio de autenticación RADIUS (Remote
Authentication Dial In User Service) se ven afectadas por diversas
vulnerabilidades que pueden llegar a permitir a un atacante tomar el
control del servidor.
El servicio RADIUS se emplea para la autenticación, autorización y
cuentas de usuarios remotos que traten con el protocolo RADIUS. Este
protocolo es el encargado de la validación y asignación de cuentas de
los usuarios que acceden a Internet mediante acceso telefónico. Se ven
afectados los sistemas que ejecuten alguna de las siguientes
implementaciones:

* Ascend RADIUS versiones 1.16 y anteriores
* Cistron RADIUS versiones 1.6.5 y anteriores
* FreeRADIUS versiones 0.3 y anteriores
* GnuRADIUS versiones 0.95 y anteriores
* ICRADIUS versiones 0.18.1 y anteriores
* Livingston RADIUS versiones 2.1 y anteriores
* RADIUS (conocido como Lucent RADIUS) versiones 2.1 y anteriores
* RADIUSClient versiones 0.3.1 y anteriores
* XTRADIUS 1.1-pre1 y anteriores
* YARD RADIUS 1.0.19 y anteriores

Existen dos vulnerabilidades en varias implementaciones de los clientes
y servidores RADIUS. Estas vulnerabilidades son explotables de forma
remota y en la mayoría de los sistemas pueden producir una denegación de
servicios, si bien en algunos casos el atacante podrá lograr la
ejecución de código.

La primera de las vulnerabilidades hace referencia a diversas
implementaciones del protocolo RADIUS que contienen un desbordamiento de
búfer en la función que calcula los resúmenes del mensaje.

Durante el cálculo del resumen del mensaje, una cadena que contiene el
secreto compartido se concatena con un paquete recibido sin controlar el
tamaño búfer destinatario. Esto permite desbordar el búfer con datos
secretos compartidos. Esto puede conducir a una denegación del servicio
contra el servidor. Si el atacante conoce el secreto compartido puede
llegar a ejecutar código arbitrario con los privilegios del servidor
RADIUS afectado o el cliente, generalmente root. Debe tenerse en cuenta
que conseguir conocer el secreto compartido no es una tarea trivial.

La segunda de las vulnerabilidades hace relación a la validación
inadecuada del campo Vendor-Length del atributo Vendor-Especific. Varios
servidores RADIUS permiten el paso de atributos vendor-specific y
user-specific. Aunque algunas implementaciones de RADIUS fallan al
comprobar el valor de vendor-length del atributo vendor-specific. Un
atacante puede llegar a provocar una denegación de servicio contra los
servidores RADIUS mediante la construcción maliciosa del atributo
vendor-specific.

Este problema afecta a los sistemas Cistron RADIUS, FreeRADIUS, XTRADIUS,
Livingston RADIUS, YARD RADIUS y ICRADIUS, en las versiones enumeradas
anteriormente.

Se recomienda la actualización (o aplicación del correspondiente parche)
de los sistemas afectados.



Antonio Ropero
antoniorn@hispasec.com


Más información:

CERT Advisory CA-2002-06
Vulnerabilities in Various Implementations of the RADIUS Protocol
http://www.cert.org/advisories/CA-2002-06.html

RFC 2865: Remote Authentication Dial In User Service (RADIUS)
http://www.freeradius.org/rfc/rfc2865.html



lunes, 4 de marzo de 2002

¿Privacidad en Windows Media Player 8?

Microsoft recopila datos de los usuarios de Windows Media Player,
sin el conocimiento por parte de estos.
Windows Media Player en su última versión recopila información de la
música y videos reproducidos. Cualquiera de estos formatos que sean
interpretados a través de Windows Media Player 8 puede pasar a
engrosar la base de datos de Microsoft. La información recopilada,
aunque limitada, puede formar junto con otras un perfil del usuario.
Una vez procesada la información, Microsoft devuelve un archivo
en el cual se reflejan las preferencias del usuario, siendo este
alojado en su ordenador.

Este archivo puede ser comprometedor incluso aunque esté situado en
la máquina del usuario ya que en muchos hogares la utilización de
los ordenadores puede ser comunitaria. Si un usuario de Windows Media
Player 8, se inscribiera en la newsletter relacionada con este
programa, estaría facilitando un dato más que favorecería a la
generación de su perfil.

Según fuentes de Microsoft, la citada compañía se ha comprometido
en reflejar esta actividad en la política de privacidad del producto.



Antonio J. Román Arrebola
roman@hispasec.com


Más información:

Microsoft media player tracks music, DVDs users play
http://www.newsforge.com/article.pl?sid=02/02/21/1718248

Microsoft Program Tracks User Habits
http://dailynews.yahoo.com/h/ap/20020221/tc/microsoft_privacy.html

Conflicto de privacidad en Windows Media Player 8
http://www.idg.es/pcworld/noticia.asp?idn=21718



domingo, 3 de marzo de 2002

HP-LX 1.0 Secure Linux

Hewlett-Packard publica una distribución comercial Linux con novedosas
características de seguridad.
Hewlett-Packard acaba de publicar la versión Linux HP-LX 1.0, con unas
características de seguridad muy interesantes. Basada en RedHat 7.1, se
basa en tecnología de compartimentos a nivel de sistema de ficheros.

Cada compartimento es similar a la tradicional función "chroot()", pero
se añade una tabla de control de archivos, que permite especificar, por
ejemplo, a qué ficheros puede acceder un proceso determinado o cómo
se comunica con otros compartimentos. Las restricciones de los
compartimentos se aplican incluso para el administrador o "root".

La distribución cuesta 3000 dólares. En mi opinión ese precio es
excesivo, considerando que hay iniciativas comparables y disponibles en
unas condiciones de coste y licencia más favorables. Una alternativa
concreta a esta distribución es la de la NSA, ya descrita en varias
ocasiones en "una-al-dia", y que es gratuita.



Jesús Cea Avión
jcea@hispasec.com


Más información:

HP Secure OS Software for Linux (HP-LX 1.0)
http://www.webtechniques.com/archives/2002/01/infrrevu/

HP-LX 1.0 Secure Linux
http://slashdot.org/article.pl?sid=01/12/29/1420246&mode=thread

Resumen
http://www.hp.com/security/products/linux/papers/techbrief/hp-tlx-brief.pdf

Documentación
http://docs.hp.com/hpux/internet/index.html#hp-tlx

NSA Security-Enhanced Linux
http://www.nsa.gov/selinux/



sábado, 2 de marzo de 2002

Mail relaying en servidores Windows 2000 y Exchange 5.5

El servidor de correo SMTP incluido en Windows 2000 y Exchange 5.5 se ve
afectado por un problema de seguridad que pueden permitir el envío de
correo sin autorización y emplear los servidores para la realización
de spam. Microsoft publica el parche necesario para evitar el problema.
El servicio SMTP se instala por defecto como parte de Windows 2000
Server y como parte de Internet Mail Connector (IMC) para Microsoft
Exchange Server 5.5. Existe una vulnerabilidad en este servicio debido a
la forma en que se realiza el tratamiento de una respuesta válida desde
capa de autenticación NTLM del sistema operativo.

Por diseño el servicio SMTP de Windows 2000 SMTP por encima de la
autenticación de la capa NTLM realiza comprobaciones adicionales para
garantizar el acceso del usuario al servicio. La vulnerabilidad reside
en que dichas comprobaciones adicionales no se realizan de forma
adecuada, lo que en algunos casos puede permitir a un usuario el uso del
SMTP basado simplemente en la autenticación del servidor.

Un atacante que explote esta vulnerabilidad puede conseguir únicamente
privilegios de usuario en el servicio SMTP, lo que podría permitirle
hacer relay a través del servidor afectado.

Microsoft ha publicado las actualizaciones necesarias para corregir este
problema que pueden descargarse de las siguientes direcciones:

Para Windows 2000:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=36556

Para Exchange Server 5.5:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=33423



Antonio Ropero
antonior@hispasec.com


Más información:

Boletín de seguridad Microsoft MS02-011
Authentication Flaw Could Allow Unauthorized Users To Authenticate To
SMTP Service
http://www.microsoft.com/technet/security/bulletin/ms02-011.asp



viernes, 1 de marzo de 2002

Notable éxito del Primer Congreso Iberoamericano de Seguridad Informática

El Primer Congreso Iberoamericano de Seguridad Informática, celebrado
del 18 al 22 de febrero en la ciudad de Morelia, México, se ha
clausurado con éxito, tras cinco jornadas en las que participaron más de
800 personas.
Las ponencias y conferencias presentadas por expertos de varios países
Iberoamericanos en el Centro de Convenciones de esta ciudad declarada
patrimonio de la humanidad, entre ellas interesantes temas relacionados
con la forensia informática, intrusiones, nuevas tecnologías de cifra y
criptoanálisis, suscitaron la atención de diversos medios de prensa
escrita, radio y televisión, logrando tener un alcance nacional en
ese país.

El congreso, que contó con el patrocinio de la Universidad Nacional
Autónoma de México, el Instituto Politécnico Nacional, la Universidad
Politécnica de Madrid y el Instituto Tecnológico de Morelia, este último
en calidad de anfitrión y organizador local, y en el que participa de
forma activa la Red Temática Iberoamericana de Criptografía y Seguridad
de la Información CriptoRed -red que aglutina un centenar de
universidades, además de centros y organismos de toda Iberoamérica-
tendrá su continuidad en octubre de 2003, eligiéndose nuevamente la
ciudad de Morelia como sede. Su periodicidad será bienal y se celebrará
en distintos países de Latinoamérica en los años impares, de forma que
pueda coexistir y permitir además un cierto grado de cooperación con las
Reuniones Españolas de Criptología y Seguridad de la Información que se
celebran en España, también bienalmente los años pares.



Dr. Jorge Ramió Aguirre
Coordinador CriptoRed


Más información:

Primer Congreso Iberoamericano de Seguridad Informática
http://www.congresoseg.itmorelia.edu.mx/

Red Temática Iberoamericana de Criptografía y Seguridad de la
Información CriptoRed
http://www.criptored.upm.es/

VII Reunión Española sobre Criptología y Seguridad de la Información
http://enol.etsiig.uniovi.es/viirecsi/