miércoles, 31 de julio de 2002

Últimas novedades en CriptoRed

Resumen de las novedades producidas durante el mes de julio de 2002 en
CriptoRed, la Red Temática Iberoamericana de Criptografía y Seguridad
de la Información.

1. Congresos y seminarios con fechas vigentes ordenados por fecha:

(2-6 septiembre 2002 - Francia) Workshop Trust and Privacy in Digital
Business
http://www.wi-inf.uni-essen.de/~trustbus02/

(5-7 septiembre 2002 - España) VII Reunión Española de Criptología RECSI
http://enol.etsiig.uniovi.es/viirecsi/

(9-12 septiembre 2002 -España) Congreso Security in Mobile
Communications en Málaga
mailto:apeinado@ic.uma.es

(1-3 octubre 2002 - Reino Unido) Infrastructure Security Conference 2002
http://www.infrasec-conf.org/

(13-16 octubre 2002 - Panamá) Latin CACS 2002
http://www.isaca.org/latin2002.pdf

(20-22 noviembre 2002 - USA) Fifth Smart Card Research and Advanced
Application Conference
http://www.usenix.org/events/cardis02/cfp/

(25-29 noviembre 2002 - Cuba) II Congreso Internacional de Telemática
http://www.ispjae.cu/eventos/citel/


2. Nuevos artículos y documentos por orden alfabético:

Libro Seguridad en Unix y Redes v.2.1
http://www.criptored.upm.es/paginas/docencia.htm#librose

Resumen de Tesis Doctoral sobre autómatas celulares
http://www.criptored.upm.es/paginas/investigacion.htm#rtesis

Temario Introducción a la Computación Forense (Colombia)
http://www.criptored.upm.es/paginas/docencia.htm#planes

Nueva versión de las soluciones de exámenes de S.I.
http://www.criptored.upm.es/paginas/docencia.htm#examenes


3. Altas:

Número actual de miembros: 316
http://www.criptored.upm.es/paginas/miembros_red_paises.htm

Alta de la Escuela Politécnica Nacional (Ecuador)
http://www.criptored.upm.es/paginas/instituciones.htm


4. Otros temas de interés:

4ª versión Diplomado en Seguridad Informática (México)
http://www.aragon.unam.mx/

Listado de ponencias aceptadas en VII RECSI (España)
http://enol.etsiig.uniovi.es/viirecsi/abstract.asp

Segunda Semana de Seguridad Informática (México)
http://leopardo.aragon.unam.mx/labsec/2semsi/

Nuevos cursos de formación de HispaSec - ISI (España)
http://www.hispasec.com/formacion/

Ampliada fecha para la recepción artículos de Novática
mailto:monografico-seguridad@lcc.uma.es

Mejorado el acceso al archivo histórico de la Red por meses
http://www.criptored.upm.es/paginas/otrostemas_historico.htm#Historico

Accesos mes de julio: 12.500 (datos estimativos según estadísticas al
29/07/02)
Descargas mes de julio: 5.500 (datos estimativos según estadísticas al
29/07/02)
http://www.criptored.upm.es/paginas/estadisticas.htm



Jorge Ramió Aguirre
Coordinador General CriptoRed


Más información:

CriptoRed
http://www.criptored.upm.es


martes, 30 de julio de 2002

Finaliza con éxito la II Campaña de Seguridad en la Red

La II Campaña de Seguridad en la Red desarrollada entre el 10 de Junio
y el 31 de julio, ha finalizado con un éxito total. Más de 400.000
internautas visitaron la página web de esta iniciativa organizada por
la Asociación de Internautas, con casi 5 millones de páginas vistas y
650.000 descargas de los programas gratuitos que en ella se ofrecían.
Durante estos cincuenta y dos días de duración de la Campaña se ha
constatado la necesidad que tienen muchos internautas de información
sobre seguridad en Internet. Por los e-mails de desconocimiento y
sorpresa recibidos por la Asociación de Internautas se desprende que los
motivos que más preocupan a los usuarios son la proliferación de virus
informáticos y las intrusiones ilegítimas en ordenadores. Paralelamente
existe la necesidad de un debate sobre la privacidad e intimidad de las
comunicaciones electrónicas en el entorno laboral y la necesidad de
información sobre el uso de Internet por los menores.

La campaña puede considerarse todo un éxito pues han sido más de 400.000
los internautas que se han interesado por esta iniciativa, con un total
de más de 5 millones de páginas vistas. El programa Checkdialer,
desarrollado por Hispasec Sistemas con objeto de evitar las conexiones a
números 906 y que se ofrecía gratuitamente a través de la Campaña ha
sido descargado por 12.000 usuarios.

La favorable acogida que la Campaña Nacional de Seguridad en la Red ha
obtenido entre la Comunidad Internauta confirma que la seguridad es una
asignatura pendiente. Por este motivo, aunque la Campaña ha finalizado
oficialmente se mantendrá abierta la página http://seguridad.internautas.org
con todos los contenidos que durante la campaña se han desarrollado.

Antonio Ropero
antonior@hispasec.com


Más información:

una-al-dia (10/06/2002) Hispasec participa en la segunda campaña de
seguridad en la Red
http://www.hispasec.com/unaaldia.asp?id=1324

lunes, 29 de julio de 2002

Parche del parche para Windows Media Player

Y van dos. En apenas un mes Microsoft se ve forzada a distribuir por
segunda vez un parche que tiene como misión rectificar una
actualización anterior que se muestra defectuosa. En esta ocasión le
toca el turno a su reproductor multimedia, Windows Media Player, en
sus versiones 6.4, 7.1 y XP.

El pasado 11 de mayo Hispasec informó de una vulnerabilidad que podía
permitir la ejecución de comandos en los sistemas que utilizaran MSN
Messenger, MSN Chat y Exchange Instant Messenger. El 18 de junio
volvíamos con la noticia de que se había comprobado que el parche
original que ofrecía Microsoft para solucionar el problema no actuaba
correctamente y era necesario volver a actualizar los sistemas con un
nuevo parche.

Hoy se repite la historia. El pasado 30 de junio informábamos de
diferentes vulnerabilidades en Windows Media Player y de la
disponibilidad de un parche acumulativo para subsanar todos los
problemas conocidos hasta la fecha. Ahora Microsoft reconoce que el
parche sólo corregía las últimas vulnerabilidades descubiertas en su
reproductor multimedia, pero que no era acumulativo y por tanto no
subsanaba problemas anteriores. Como solución, nueva descarga de
parche y nueva instalación.

Según informaciones de la propia Microsoft, se les olvidó incluir un
archivo en la distribución del parche original, lo que provocó que la
actualización no incluyera todas las correcciones de forma acumulativa,
incumpliendo lo documentado en su boletín de seguridad. Ahora
empaquetan de nuevo el parche con el archivo que faltaba y vuelve a
pedir a los usuarios se actualicen de nuevo. Recomendamos a los
afectados el uso de la opción Windows Update para acceder a éstas y
otras actualizaciones.


Bernardo Quintero
bernardo@hispasec.com


Más información:

11/05/2002 - Grave problema de seguridad en MSN Chat
http://www.hispasec.com/unaaldia.asp?id=1294

18/06/2002 Microsoft rectifica el parche para la vulnerabilidad de MSN Chat
http://www.hispasec.com/unaaldia.asp?id=1332

30/06/2002 - Diferentes vulnerabilidades en Windows Media Player
http://www.hispasec.com/unaaldia.asp?id=1344

Cumulative Patch for Windows Media Player
http://www.microsoft.com/technet/security/bulletin/MS02-032.asp

19/02/2002 - Microsoft STPP, ¿estrategia tecnológica o lavado de cara?
http://www.hispasec.com/unaaldia.asp?id=1213

domingo, 28 de julio de 2002

Desbordamiento de búfer en Microsoft Exchange 5.5

Existe una vulnerabilidad de seguridad en Microsoft Exchange 5.5 debido a
un desbordamiento de búfer en el código de Internet Mail Connector (IMC)
al generar la respuesta al comando EHLO.

El Internet Mail Connector (IMC) permite a Microsoft Exchange Server la
comunicación con otros servidores de correo a través de SMTP. Cuando el
IMC recibe desde un servidor SMTP el comando extended Hello (EHLO) del
protocolo SMTP contesta mediante el envío de una respuesta de estado que
comienza de la siguiente forma:

250-Hello

Donde:
es el nombre de dominio totalmente cualificado
(fully-qualified domain name, FQDN) del servidor Exchange.
es o el FQDN o la dirección IP del servidor
que inició la conexión.

Se empleará el nombre de dominio totalmente cualificado (FQDN) si el IMC
de Exchange 5.5 es capaz de resolver está información a través de
resolución de DNS inversa, en caso contrario utilizará la dirección IP.

La vulnerabilidad reside en la creación de este mensaje de respuesta. Si
la longitud total del mensaje excede de un tamaño específico se
producirá el desbordamiento de búfer. En función de los datos con los
que el atacante intente explotar esta vulnerabilidad se producirá una
caída del IMC o incluso la ejecución de código en el servidor.

Explotar esta vulnerabilidad con éxito no resultará sencillo ya que el
atacante deberá crear un entorno del que el IMC atacado pueda resolver
el DNS inverso y además provoque el desbordamiento.

Microsoft ha publicado un parche para evitar este problema, que podrá
descargarse desde:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=40666


Antonio Ropero
antonior@hispasec.com


Más información:

Boletín de seguridad Microsoft (MS02-037)
Server Response To SMTP Client EHLO Command Results In Buffer Overrun
http://www.microsoft.com/technet/security/bulletin/ms02-037.asp


sábado, 27 de julio de 2002

Nuevo parche para SQL Server 2000 SP2

Microsoft ha publicado un parche para cubrir dos nuevas vulnerabilidades
que afectan a SQL Server 2000 y MSDE 2000.
Un desbordamiento de búfer que se produce en múltiples Consistency
Checkers (DBCCs) incluidos como parte de SQL Server 2000. Los DBCCs son
utilidades en forma de comando de consola que permiten el mantenimiento
y la realización de otras operaciones en el servidor SQL. Mientras que
muchas de estas sólo pueden ser ejecutadas por sysadmin, algunas pueden
ser ejecutadas por los miembros de db_owner y db_ddladmin. En el caso
más serio, si un atacante logra explotar esta vulnerabilidad podrá
lograr la ejecución de código en el contexto del servicio SQL Server.

Existe una vulnerabilidad de inyección SQL en dos procedimientos
almacenados empleados en la replicación de bases de datos. Uno de estos
procedimientos sólo puede ser ejecutado por los usuarios pertenecientes
a db_owner; mientras que el otro, debido a un error en la asignación de
permisos, podrá ser ejecutado por cualquier usuario que pueda acceder a
la consola del sistema de forma interactiva. Si un atacante logra
explotar esta vulnerabilidad podrá lograr la ejecución de comandos del
sistema operativo en el servidor.

Este parche se encuentra disponible en varios idiomas y puede
descargarse desde:
http://support.microsoft.com/support/misc/kblookup.asp?id=Q316333



Antonio Ropero
antonior@hispasec.com


Más información:

Boletín de seguridad Microsoft MS02-038
Cumulative Patch for SQL Server 2000 Service Pack 2
http://www.microsoft.com/technet/security/bulletin/MS02-038.asp



viernes, 26 de julio de 2002

La "Liberty Alliance" publica sus primeras especificaciones

Surgida como respuesta a la iniciativa propietaria PASSPORT, de
Microsoft, la "alianza por la libertad" ha publicado la primera versión
de sus especificaciones.
La "Liberty Alliance" está formada por organizaciones tan importantes y
representativas como: Sun, MasterCard, AOL, CITIGROUP, France Telecom,
HP, American Express, Nokia, NTT DoCoMo, RSA, Sony, Vodafone, Cisco,
Novel, Ericsson, Visa, Verisign, Xerox y muchos otros.

Las especificaciones actuales permiten:

* Enlazado de cuentas de forma voluntaria: Los usuarios pueden elegir
enlazar cuentas de diferentes proveedores y servicios dentro de
"círculos de confianza".

* Tecnología SSO (Single Sign-on): Una vez que un usuario se autentifica
en una cuenta, puede acceder al resto de cuentas "enlazadas", sin
necesidad de autentificarse de nuevo.

* Contexto de autenticación: Las organizaciones y servicios en las que
residen las diferentes cuentas enlazadas pueden especificar qué tipo de
autentificación deben usar los usuarios.

* "Log-out" global: Una vez que un usuario cierra la sesión al servicio
sobre el que se autentificó, se cierran automáticamente las
autenticaciones en el resto de cuentas enlazadas.

La principal innovación respecto a tecnologías como, por ejemplo,
Kerberos, es que las diferentes organizaciones no necesitan "confiar"
entre sí, o disponer de una tecnología homogénea, o compartir recursos,
bases de datos o accesos para realizar su trabajo.

Las especificaciones, en PDF, pueden descargarse libremente del web.
Miden un total de 1.8 Megabytes. Incluso se dispone de una lista de
correo técnica para organizaciones que estén trabajando en productos
basados en las especificaciones "Liberty Alliance".

Hispasec, como empresa especializada en I+D pionero en el campo de la
seguridad informática, está estudiando muy detenidamente estas
especificaciones como posible complemento a su tecnología "Single
Sign-On" actual.



Jesús Cea Avión
jcea@hispasec.com


Más información:

Liberty Alliance launches first specifications giving users simplified
sign-on for any platform and device
http://www.projectliberty.org/press/releases/2002-07-15-1.html

Specifications
http://www.projectliberty.org/specs

Liberty Alliance Project
http://www.projectliberty.org/

Liberty Alliance Releases Specifications
http://slashdot.org/article.pl?sid=02/07/15/1910201



jueves, 25 de julio de 2002

Publicación del número 59 de "Phrack"

Acaba de publicarse el número 59 del conocido E-Zine "Phrack".
"Phrack", que cuenta ya con más de 16 años de historia, se centra en los
campos de "exploits" y nuevas tecnologías de "hacking", fundamentalmente
en entornos informáticos.

En este último número podemos encontrar artículos sobre:

* Gestión de la tabla de interrupciones de los microprocesadores x86

* Redirección de la ejecución de un proceso

* Cómo saltarse las herramientas de informática forense más habituales

* Nuevos trucos para explotar con eficacia los ataques de "formato"

* Modificación de procesos mientras se ejecutan

* Cómo saltarse la protección ASLR contra desbordamientos de búfer

* Detección de "rootkits" por diferencias en el tiempo de ejecución de
las llamadas al sistema

* Vulnerabilidades de diseño del protocolo SSH y OpenSSH

* "Shellcode" para Linux/390

* Capturador de teclado para Linux

* Estudio de generadores de números aleatorios

* Acceso a la memoria Kernel de Windows 2000/XP

y otros temas menores.

De lectura recomendable para conocer el "estado del arte" en el mundo
"Underground".



Jesús Cea Avión
jcea@hispasec.com


Más información:

Phrack
http://www.phrack.org/

Phrack 59

http://barrapunto.com/article.pl?sid=02/07/23/2247251



miércoles, 24 de julio de 2002

Certificaciones antivirus obsoletas

Ancladas en el pasado, las principales certificaciones antivirus como
ICSALabs, Checkmark o VB 100%, no se ajustan a las necesidades actuales
de los usuarios ni evaluan en su justa medida la realidad de las
soluciones antivirus de hoy día.
Sus logotipos suelen ocupar contraportada de las cajas de productos y
aparecen en las webs de las casas antivirus como galardones que,
supuestamente, certifican la calidad de sus soluciones. Si nos
adentramos un poco en sus especificaciones encontramos que los tests
son pobres y se centran principalmente en los porcentajes de detección,
y en el mejor de los casos desinfección, sobre colecciones de muestras
conocidas.

Con la explosión del fenómeno Internet, y las implicaciones que todos
conocemos en el mundo de los virus informáticos, sobre todo a modo de
i-worms, el modelo reactivo de los antivirus tradicionales, basados en
ofrecer vacunas después de haber detectado un espécimen nuevo, deja
de ser una solución efectiva.

En el tiempo en que se detecta un virus nuevo, es analizado por el
laboratorio antivirus, desarrollan la vacuna, la solución pasa el
control de calidad interno, ponen la nueva firma de detección a
disposición de los usuarios y éstos se actualizan, un gusano de
Internet o i-worm puede haber infectado miles y miles de sistemas.
No hay que incidir mucho en esta cuestión, basta con nombrar a
'Melissa', 'ILoveYou', 'Kournikova', 'Nimda', 'BadTrans', 'Sircam'
o 'Klez', entre otros muchos.

En este punto alguien podría preguntar por las heurísticas actuales,
ya que supuestamente, o al menos así se venden, son las tecnologías
encargadas de detectar nuevos virus. Queda claro por la experiencia
que no son efectivas, de lo contrario no tendríamos que recordar
para nada los nombres de especímenes antes comentados.

Las heurísticas, en realidad, son también detecciones basadas en
firmas, pero que buscan porciones de código más genéricas en vez de
la cadena concreta que identifica a un virus en particular. El diseño
de un virus nuevo, o la ofuscación a nivel de código de uno ya
existente, burla de forma trivial este tipo de detección. Una pequeña
prueba de concepto se pudo ver el pasado junio durante las jornadas
de seguridad de e-Gallaecia, donde mi compañero Jesús Cea y yo
expusimos sobre las debilidades de las soluciones antivirus actuales.
El simple uso de variables intermedias, en un gusano escrito en Visual
Basic Script de apenas 20 líneas de código, logró vencer a las
heurísticas de los principales productos antivirus del mercado.

El futuro, que ya debería ser presente, pasa claramente por la
implantación de tecnologías proactivas capaces de ofrecer al usuario
sistemas de protección contra virus nuevos sin necesidad de recurrir
a continuas actualizaciones. Claro está que no es la panacea, no
acabará con la problemática de los virus, y seguirán siendo necesarias
las actualizaciones puntuales, pero la capacidad de prevención de las
soluciones antivirus aumentará drásticamente y el usuario dejará de
tener la sensación de indefensión total durante las primeras horas
de propagación de un virus nuevo.

Las buenas noticias son que algunas casas antivirus, bien por
exigencias del mercado, bien por convencimiento propio o como ventaja
competitiva, ya comienzan a implantar funcionalidades proactivas que
van más allá del antivirus tradicional que todos conocemos.

Volviendo al títular que nos ocupa, el problema es que estas nuevas
tecnologías no son evaluadas por las certificaciones actuales, cuyas
metodologías sólo se centran en la detección a nivel de código. El
resultado es que hoy día algunos productos antivirus pueden llegar
a ser incluso penalizados en este tipo de evaluaciones, cuando en
realidad el nivel de protección que ofrecen es muy superior al de
otras soluciones que simplemente, al igual que las certificaciones,
se han quedado ancladas en el pasado.



Bernardo Quintero

bernardo@hispasec.com


Más información:

ICSA labs - Current certification criteria
http://www.icsalabs.com/html/communities/antivirus/certification.shtml

Complete List of ICSA Certified Anti-Virus Products
http://www.icsalabs.com/html/communities/antivirus/certifiedproducts.shtml

Checkmark AntiVirus Level 1
http://www.check-mark.com/checkmark/cm_av1.html

Checkmark Antivirus Level 2
http://www.check-mark.com/checkmark/cm_av2.html

Checkmark Trojan
http://www.check-mark.com/checkmark/cm_trc1.html

VB 100% Award
http://www.virusbtn.com/vb100/about/index.xml

e-Gallaecia
http://www.e-gallaecia.com/



martes, 23 de julio de 2002

Estadísticas del CERT para el primer semestre del 2002

El CERT (Computer Emergency Response Team) acaba de publicar las
estadísticas de incidentes de seguridad del primer semestre del presente
año. Estas estadísticas son confeccionadas a partir del número de
incidentes recibidos en el CERT (que se consideran una parte muy pequeña
del número total de incidentes).
Las estadísticas registradas para estos primeros seis meses reflejan
unas cifras cercanas a las registradas durante todo el año 2001. Así,
si durante los doce meses del 2001 se registraron un total de 52.658
incidentes, en la mitad del 2002 la cifra ya asciende a 43.136.

Según la definición del CERT, un incidente es "cualquier intento,
exitoso o no, de obtener acceso no autorizado a datos o a un sistema".
Aunque en el informe publicado no clasifica las incidencias, ni el tanto
por ciento registrado por cada una de ellas, hay que recordar que virus
como Klez o Frethem han contado con una notable incidencia y propagación.

Otro dato de interés en estas estadísticas es el incremento de
vulnerabilidades de seguridad registradas por el CERT. Si durante el año
2001 se registraron 2.437 vulnerabilidades, en lo que llevamos de año ya
se han registrado 2.148 vulnerabilidades.



Antonio Ropero
antonior@hispasec.com


Más información:

CERT/CC Statistics 1988-2002
http://www.cert.org/stats/cert_stats.html



lunes, 22 de julio de 2002

Grave vulnerabilidad en PHP

PHP en sus versiones 4.2.0 y 4.2.1 se ve afectado por una grave
vulnerabilidad que puede permitir a un atacante la posibilidad de
provocar una denegación de servicios en el servidor web o llegar a
lograr la ejecución de código arbitrario.
Esta nueva vulnerabilidad afecta al lenguaje PHP, el sistema para la
creación de páginas dinámicas más extendido bajo plataforma Unix. La
vulnerabilidad reside en la porción de código responsable del
tratamiento de envíos de archivos, específicamente multipart/form-data.

Si un atacante envía una petición POST específicamente creada al
servidor podrá degradar las estructuras de datos internas empleadas por
PHP. Específicamente un intruso podrá lograr que una estructura de
memoria inicializada inadecuadamente sea liberada. En la mayoría de los
casos, el atacante podrá emplear la vulnerabilidad para provocar la
caída del intérprete PHP o del servidor web. Sin embargo, en
determinadas circunstancias el atacante podrá emplear la vulnerabilidad
para ejecutar código el servidor (con los privilegios del servidor web).

Se recomienda la actualización a PHP 4.2.2 disponible en
http://www.php.net/downloads.php.



Antonio Ropero
antonior@hispasec.com


Más información:

CERT® Advisory CA-2002-21 Vulnerability in PHP

http://www.cert.org/advisories/CA-2002-21.html

e-matters. PHP remote vulnerability

http://security.e-matters.de/advisories/022002.html

PHP Security Advisory: Vulnerability in PHP versions 4.2.0 and 4.2.1
http://www.php.net/release_4_2_2.php



domingo, 21 de julio de 2002

Symantec adquiere cuatro compañías de seguridad

Symantec ha anunciado la adquisición de cuatro compañías centradas en el
mercado de la seguridad como son Mountain Wave, Recourse Technologies,
Riptech y SecurityFocus, por un valor total cercano a los de 375
millones de euros.

Con objeto de fortalecer su línea de negocio dentro del mercado de la
seguridad Symantec ha tirado de talonario para ampliar sus recursos. En
menos de un mes, ha gastado cerca de 375 millones de euros en comprar
cuatro compañías centradas en el mercado de la seguridad informática.

La adquisición de Mountain Wave por aproximadamente 20 millones de euros
se cerró a primeros del mes de julio, mientras que la pasada semana
Symantec anunció la adquisición de Recourse Technologies por 134
millones de euros, Riptech por 144 millones de euros y Securityfocus,
conocida por alojar la popular lista de correo bugtraq, por cerca de 75
millones de euros.

Con estas adquisiciones se ve una clara intención de Symantec por
potenciar su línea de productos basada en la detección de intrusos y la
gestión remota y el tratamiento de vulnerabilidades. Esta noticia no ha
estado libre de polémica en todos los "corrillos" del mundo de la
seguridad, especialmente la compra de securityfocus y el tratamiento de
la lista de seguridad bugtraq, al observar en este movimiento una
pérdida en la objetividad y el tratamiento "full disclosure" que siempre
caracterizó dicha lista.

Por otra parte este tipo de movimientos y adquisiciones no son la
primera vez que se llevan a cabo en el sector de la seguridad. Podemos
recordar las adquisiciones realizadas por Network Associates, cuando en
1998 compró también a golpe de talonario McAfee, Dr. Solomon´s, PGP, TIS
y Anyware, movimientos que tampoco estuvieron exentos de polémica y
cuatro años después se ha demostrado como algunos de los cuales no
terminaron de cuajar dentro del gigante de la seguridad.



Antonio Ropero
antonior@hispasec.com


Más información:

Symantec Acquires Mountain Wave, Inc.
http://www.symantec.com/press/2002/n020702.html

Symantec to Acquire SecurityFocus
http://www.symantec.com/press/2002/n020717.html

Symantec to Acquire Recourse Technologies
http://www.symantec.com/press/2002/n020717a.html

Symantec to Acquire Riptech
http://www.symantec.com/press/2002/n020717b.html

Symantec's SecurityFocus buyout met with pessimism
http://www.theregister.co.uk/content/55/26315.html

BugTraq. Subject: Administrivia: Symantec acquiring SecurityFocus
http://online.securityfocus.com/archive/1/282903



sábado, 20 de julio de 2002

La instalación de SQL Server deja las contraseñas en el sistema

Al realizar la instalación de Microsoft SQL Server 7.0 o 2000 se crea un
archivo de texto en el que se incluye la contraseña de administración
del servidor de base de datos. Al finalizar la instalación el archivo
con la información sensible permanece en el sistema, al acceso de
cualquier usuario.
Cuando se realiza la instalación de SQL Server 7.0 (incluido MSDE 1.0),
SQL Server 2000, o uno de los Service Pack para SQL Server 7.0 o SQL
Server 2000, la información proporcionada para el proceso de instalación
es recogida y almacenada en un archivo de configuración llamado
setup.iss.

El archivo setup.iss puede ser empleado entonces para automatizar el
proceso de instalación en otros sistemas SQL Server. SQL Server 2000
también incluye la posibilidad de grabar una instalación desatendida en
el archivo setup.iss. El administrador podrá introducir la contraseña a
la rutina de instalación bajo las siguientes condiciones:

Si el servidor SQL Server está configurado en "Mixed Mode", se
introducirá la contraseña para la cuenta de administrador (cuenta "sa").
Cuando en "Mixed Mode" o en "Windows Authentication Mode", se puede
introducir de forma opcional un nombre de usuario y contraseña con el
propósito de iniciar las cuentas del servicio SQL Server.

En cualquier caso, la password se almacenará en el archivo setup.iss.

Antes de SQL Server 7.0 Service Pack 4, las contraseñas se almacenaban
en texto claro. Para SQL Server 7.0 Service Pack 4 y SQL Server 2000
Service Packs 1 y 2, las passwords eran cifradas y almacenadas. De forma
adicional, durante el proceso de instalación se crea un archivo de log
que también incluirá cualquier password almacenada en setup.iss.

El problema reside en que el archivo permanece en el sistema una vez
completado el proceso de instalación. Excepto en SQL Server 2000
setup.iss quedará al alcance de cualquiera que pueda acceder al sistema.

Microsoft publica un parche para Microsoft SQL 7, MSDE 1.0 y Microsoft
SQL Server 2000, disponible en:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=40205



Antonio Ropero
antonior@hispasec.com


Más información:

Boletín de seguridad Microsoft MS02-035
SQL Server Installation Process May Leave Passwords on System
http://www.microsoft.com/technet/security/bulletin/MS02-035.asp



viernes, 19 de julio de 2002

Desbordamiento de búfer en Norton Personal Internet Firewall

Norton Personal Firewall y Norton Internet Security se ven afectados por
una condición de desbordamiento de búfer que permitirá a un atacante la
ejecución de código en el sistema afectado.
Norton Personal Internet Firewall de Symantec es uno de los firewalls
personales más extendidos para plataformas Microsoft Windows NT, 98, ME
y 2000. La vulnerabilidad en el proxy http que puede permitir a un
atacante sobreescribir los primeros tres bytes del registro EDI y de
esta forma lograr la ejecución de código malicioso.

Esta vulnerabilidad es explotable incluso si la aplicación que realiza
la petición no está configurada en los permisos del firewall para
realizar peticiones al exterior. Un ejemplo de este escenario puede ser
una página web maliciosa que contenga un enlace camuflado con los datos
suficientes para explotar la vulnerabilidad.

Symantec publicará en breve una actualización para solucionar este
problema que podrá descargarse desde la opción LiveUpdate.



Antonio Ropero
antonior@hispasec.com


Más información:

Aviso de seguridad de @stake:
www.atstake.com/research/advisories/2002/a071502-1.txt



jueves, 18 de julio de 2002

Vulnerabilidad en CDE ToolTalk

Las versiones no actualizadas del módulo ToolTalk del entorno CDE son
susceptibles a dos ataques que permiten realizar una denegación de
servicio, borrar o sobreescribir cualquier archivo del sistema, y
ejecutar código arbitrario.
CDE (Common Desktop Environemnt) es un entorno gráfico de usuario que
funciona en multitud de plataformas Unix (incluyendo Solaris, Compaq,
AIX, Linux y otros sistemas operativos). ToolTalk facilita la
infraestructura necesaria para el intercambio de información entre
múltiples aplicaciones y sistemas que ejecuten CDE.

Las versiones sin actualizar de ToolTalk contienen dos vulnerabilidades:

La primera de ellas permite eliminar cualquier archivo del sistema,
matar el servicio ToolTalk e, incluso, ejecutar código arbitrario en la
máquina, con privilegios de administrador.

La segunda vulnerabilidad permite sobreescribir cualquier fichero del
sistema (incluyendo el fichero de claves) con la información que el
atacante elija.

Ambas vulnerabilidades se pueden provocar de forma remota, por lo que
Hispasec recomienda encarecidamente tomar medidas apropiadas enseguida.
Lo más recomendable, por supuesto, es actualizar el servidor ToolTalk
con el parche correspondiente del fabricante. Si ello no es posible, y
no se está utilizando las funcionalidades ToolTalk en producción, se
puede deshabilitar el servicio editando el fichero "/etc/inetd.conf" o
similar de nuestro sistema operativo, donde debemos eliminar las líneas
del tipo:


100083/1 tli rpc/tcp wait root /usr/dt/bin/rpc.ttdbserverd
rpc.ttdbserverd


También debe eliminarse el proceso en memoria, que aparecerá de forma
semejante a:


# ps -ef
UID PID PPID C STIME TTY TIME CMD
...
root 355 164 0 19:31:27 ? 0:00 rpc.ttdbserverd
...


En caso de requerir el servicio ToolTalk y no disponer de parche, al
menos debemos disponer de medidas perimetrales como cortafuegos o reglas
de acceso en los "routers", para limitar la posibilidad de que un
atacante externo acceda a nuestros sistemas empleando estas
vulnerabilidades. Es importante recordar que dichas medidas deben ser
siempre temporales, y que no nos protegen de posibles atacantes en
nuestra propia intranet.

La mayoría de los fabricantes que utilizan DCE ya han publicado
actualizaciones de seguridad del servicio. Revise el estado de los
parches pendientes de aplicación.



Jesús Cea Avión
jcea@hispasec.com


Más información:

CERT® Advisory CA-2002-20 Multiple Vulnerabilities in CDE ToolTalk
http://www.cert.org/advisories/CA-2002-20.html

Múltiples Vulnerabilidades en CDE ToolTalk
http://www.unam-cert.unam.mx/Boletines/Boletines2002/boletin-UNAM-CERT-2002-020.html

Vulnerability Note VU#975403
Common Desktop Environment (CDE) ToolTalk RPC database server
(rpc.ttdbserverd) does not adequately validate file descriptor arguement
to _TT_ISCLOSE()
http://www.kb.cert.org/vuls/id/975403

Vulnerability Note VU#299816
Common Desktop Environment (CDE) ToolTalk RPC database server
(rpc.ttdbserverd) does not adequately validate file operations

http://www.kb.cert.org/vuls/id/299816

Desktop Technologies -- CDE
http://www.opengroup.org/cde/

Open Group Desktop Technologies Frequently Asked Questions
http://www.opengroup.org/desktop/faq/

06/10/2001 - Vulnerabilidad en CDE ToolTalk
http://www.hispasec.com/unaaldia.asp?id=1077



miércoles, 17 de julio de 2002

Nuevo parche para Microsoft SQL Server 2000

Microsoft publica un parche acumulativo para SQL Server 2000 que incluye
las funcionalidades de todos los parches publicados hasta la fecha.
Además este parche elimina tres nuevas vulnerabilidades que afectan a
SQL Server 2000 y MSDE 2000.

Una vulnerabilidad de desbordamiento de búfer en el procedimiento
empleado para cifrar la información de las contraseñas del servidor SQL.
Un atacante que consiga explotar esta vulnerabilidad de forma exitosa
podrá conseguir control sobre la base de datos e incluso sobre el
servidor.

Un desbordamiento de búfer en el procedimiento empleado para insertar
datos masivos ("bulk data") en tablas de SQL. Un atacante que consiga
explotar esta vulnerabilidad de forma exitosa podrá conseguir control
sobre la base de datos e incluso sobre el servidor.

Una vulnerabilidad de elevación de privilegios resultante de la
asignación incorrecta de permisos en la llave del registro que almacena
la información de las cuentas del servidor SQL. Un atacante que consiga
explotar esta vulnerabilidad podrá conseguir mayores privilegios en el
sistema.

Este parche puede descargarse desde


http://support.microsoft.com/support/misc/kblookup.asp?id=Q316333



Antonio Ropero
antonior@hispasec.com


Más información:

Boletín de seguridad Microsoft MS02-034:

Cumulative Patch for SQL Server


http://www.microsoft.com/technet/security/bulletin/MS02-034.asp



martes, 16 de julio de 2002

La NSA publica una actualización de su distribución Linux

La NSA acaba de hacer pública una actualización de sus distribución
"segura" de Linux, basado en un kernel Linux 2.4.18.
SELinux es una distribución de Linux realizada por la NSA para cubrir
las necesidades de un sistema operativo que cumpla los criterios
"Trusted" y disponible en código fuente, y poder así hacer frente a la
eventualidad de que desapareciesen los sistemas actualmente en uso, como
Trusted Solaris (Sun), Trusted AIX (IBM) o Trusted IRIX (SGI, antigua
Silicon Graphics).

Desde que se publicó la primera versión, en Diciembre de 2000, se han
ido descubriendo algunos problemas, y las actualizaciones han sido
constantes, tanto para solucionar bugs como para actualizar componentes.
Los usuarios de la versión Linux de la NSA deben actualizar su
distribución de forma periódica, preferiblemente de manera frecuente.

La última versión de SELinux se publicó el 3 de Julio de 2002, y está
basada en un kernel Linux 2.4.18, que es la última versión disponible de
la serie estable 2.4.*. La licencia de SELinux es GPL.



Jesús Cea Avión
jcea@hispasec.com


Más información:

Security-Enhanced Linux
http://www.nsa.gov/selinux/

23/09/2001 - La NSA distribye una nueva revisión de su distribución
"segura" SELinux
http://www.hispasec.com/unaaldia.asp?id=1064

04/02/2001 - Actualización de la versión Linux de la NSA
http://www.hispasec.com/unaaldia.asp?id=833

28/12/2000 - La NSA publica una versión "segura" de Linux
http://www.hispasec.com/unaaldia.asp?id=795



lunes, 15 de julio de 2002

Gusano Frethem, una vez más se repite la historia

Bajo el nombre de Frethem se ha bautizado un gusano caracterizado por
venir en un mensaje con el asunto "Re: Your password!" y que en los
últimos días está alcanzando índices de incidencia bastante altos.
Resulta inexplicable como un nuevo gusano con las mismas características
de BadTrans, Nimda o el más reciente Klez alcanza unas cifras de
infecciones muy significativas. Existen ya numerosas versiones de este
espécimen pero todas ellas con la misma característica, aprovechar la
vulnerabilidad iFRAME del Internet Explorer 5.01 y 5.5 y provocar que el
usuario se vea infectado sin llegar a abrir el mensaje ya que el virus
se autoejecuta desde las vista previa de mensajes del cliente de correo
electrónico Outlook.

Al igual que Klez, el gusano es capaz de cambiar o falsificar la dirección
del remitente del e-mail, por lo recibir un mensaje infectado con alguna
de las versiones de Frethem no indica expresamente que el remitente
también esté infectado. Sin duda, esto también provocará un nuevo aluvión
de mensajes informativos de los antivirus avisando al supuesto remitente
de una falsa infección o al receptor informándole de tal hecho y provocando
una mala imagen del falso receptor.

Características

Este nuevo gusano se caracteriza por el Asunto "Re: Your password!" y el
cuerpo de mensaje:

ATTENTION!

You can access
very important
information by
this password

DO NOT SAVE
password to disk
use your mind

now press
cancel

Frethem aparece como una de las tareas activas en la Lista de tareas de
Windows, con el nombre taskbar.

Frethem crea el fichero taskbar.exe en el directorio de Windows y crea
la siguiente entrada en el Registro de Windowspara ejecutarse cada vez
que se inicie el ordenador:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
Task Bar = %Windows%\TASKBAR.EXE

Recomendación

Al igual que virus ya conocidos como Klez o Nimda, se recomienda como
medida básica e inmediata actualizar el navegador Internet Explorer,
bien a la versión 6 o bien instalar los parches de seguridad de las
versiones 5.01 y la 5.5. Con esta sencilla medida se evitará que el
virus se autoejecute y se abra un cuadro de diálogo al previsualizar el
mensaje que alertará de la existencia de un virus.

Actualizar a Internet Explorer 6
http://www.microsoft.com/windows/ie_intl/es/

Usuarios de Internet Explorer 5.01
http://www.microsoft.com/downloads/release.asp?ReleaseID=29605

Usuarios de Internet Explorer 5.5
http://www.microsoft.com/downloads/release.asp?ReleaseID=31775



Antonio Ropero
antonior@hispasec.com


Más información:

Alerta Antivirus:
http://www.alerta-antivirus.es/detalle_virus.php?cod_virus=1560

Trend Micro:
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_FRETHEM.K

McAfee:
http://vil.mcafee.com/dispVirus.asp?virus_k=99566

PandaSoftware:
http://service.pandasoftware.es/enciclopedia/ficha.jsp?Virus=W32/Frethem.K
http://service.pandasoftware.es/enciclopedia/ficha.jsp?Virus=W32/Frethem.J

Symantec:
http://www.symantec.com/avcenter/venc/data/w32.frethem.k@mm.html

Norman:
http://www.norman.com/virus_info/w32_frethem_k_mm.shtml

Bitdefender:
http://www.bitdefender-es.com/virusi/virusi_descrieri.php?virus_id=102

Computer Associates:
http://www3.ca.com/virusinfo/Virus.asp?ID=12564
http://www3.ca.com/virusinfo/Virus.asp?ID=12572

F-Secure:
http://www.f-secure.com/v-descs/frethem.shtml

Kaspersky:
http://www.viruslist.com/eng/viruslist.html?id=50644

Sophos:
http://www.sophos.com/virusinfo/analyses/w32frethemfam.html

VSAntivirus. Crónica de un virus:
http://www.vsantivirus.com/15-07-02.htm
http://www.vsantivirus.com/16-07-02.htm



domingo, 14 de julio de 2002

Un año de cursos Hispasec-ISI

Acaba de cumplirse un año desde el comienzo de la actividad formativa
producto de la colaboración entre HISPASEC e ISI (Instituto Seguridad
Internet).
El número de alumnos que han pasado por nuestros cursos es de 347 y a
juzgar por los cuestionarios de evaluación de calidad que se rellenan al
final de cada curso el nivel de satisfacción de los alumnos es muy alto.
Dicha satisfacción hace que la mejor publicidad para nuestros cursos
haya sido la comunicación "boca a boca". Los alumnos eran administradores
de redes y sistemas así como desarrolladores de aplicaciones en Internet.

Las empresas y organizaciones para las que trabajan nuestros alumnos son
de todo tipo: Bancos, Telecos, Ministerios, Fuerzas se seguridad, Medios
de comunicación, Fabricantes de Informática, Consultoras y Auditoras,
etc. Diez de las compañías que forman el índice IBEX-35 nos han confiado
la formación de su personal.

Los cursos que actualmente se imparten son:

"Seguridad Internet en Servidores Windows-2000"
"Seguridad Internet en Servidores UNIX"
"Desarrollo de aplicaciones Internet seguras con tecnologías Microsoft"
"Seguridad Internet en routers CISCO"

Durante este año irán apareciendo lo siguientes cursos:

"Seguridad en aplicaciones .NET"
"Sistemas de detección de Intrusos"
"Respuesta ante incidentes y análisis forense"



Redacción Hispasec
hispasec@hispasec.com


Más información:

Cursos de seguridad Internet
http://www.hispasec.com/formacion/



sábado, 13 de julio de 2002

Vulnerabilidad en SoftwareUpdate de MacOS X

Una utilidad incluida en el sistema operativo MacOS X, SoftwareUpdate,
puede permitir la instalación de software no autorizado en las máquinas
de los usuarios.
El sistema operativo Mac OS X de Apple incluye una herramienta
denominada SoftwareUpdate pensada para realizar la actualización, de
forma automática y desatendida, de los diversos componentes del sistema
operativo.

SoftwareUpdate se conecta periódicamente -cada semana, en la configuración
por defecto- para determinar si existe alguna actualización. Para ello,
realiza una conexión HTTP con swscan.apple.com. Esta es una conexión sin
ningún tipo de autenticación, ya que únicamente descarga un archivo XML
que contiene la relación de los diversos componentes, con su nivel de
versión.

Con esta relación, el sistema operativo construye una lista del software
instalado en la máquina y la envía, también mediante HTTP sin
autenticación, a swquery.apple.com. En el caso de existir una nueva
versión para alguno de los componentes, el servidor de Apple responde
con la ubicación del nuevo software, su tamaño y una breve descripción.
En caso de no existir ninguna actualización, el servidor responde con
una página en blanco con el comentario de "No hay actualizaciones".

Debido a la inexistencia de negociación de autenticación durante esta
comunicación, un atacante puede hacerse pasar por los servidores de
Apple. Con esto puede conseguir la instalación, automáticamente, de
cualquier software, en los sistemas de la víctima. Además esta
instalación se realiza con privilegios de root, por lo que el atacante
dispone de un control completo sobre la víctima.

En el momento de redactar este boletín, Apple no ha publicado todavía
ninguna actualización de SoftwareUpdate que elimine esta vulnerabilidad.

Existen diversas páginas dedicadas a la seguridad de Mac OS X que han
publicado los detalles concretos de cómo aprovechar esta vulnerabilidad.

Apple ha publicado la actualización SoftwareUpdate, que puede descargarse
desde la dirección:
http://download.info.apple.com/Mac_OS_X/061-0074.20020712/2z/SecurityUpdate7-12-02.dmg.bin



Xavier Caballé
xavi@hispasec.com



viernes, 12 de julio de 2002

Undécima edición de "USENIX Security Conference"

Del 5 al 9 de Agosto se celebra la undécima edición de "USENIX Security
Conference", en San Francisco (EE.UU.).
USENIX es una asociación nacida en 1975, desarrollando infinidad de
iniciativas orientadas al avance de la tecnología informática, la
seguridad y la resolución de problemas prácticos. En concreto, organiza
afamados simposios anuales especializados en Seguridad.

El simposio de 2002 se celebrará en San Francisco, los días 5 a 9 de
Agosto. La fecha límite para el preregistro a coste reducido se ha
ampliado hasta el próximo 17 de Julio, así que las personas interesadas
en asistir pero que todavía no hayan completado el registro pueden
beneficiarse aún de descuentos de hasta 400 dólares.

Este congreso no solo sirve como foro para la presentación de ponencias
de gran interés, sino que también permite la celebración de encuentros
sociales, encuentros temáticos, tutoriales y anuncios de "trabajos en
progreso". El programa de actos está disponible en el web del evento, en
formato PDF.

Tradicionalmente, muchos de los trabajos presentados en USENIX se acaban
publicando también online, en las propias webs de los autores. En su
momento, HispaSec se hará eco de los más interesantes.



Jesús Cea Avión
jcea@hispasec.com


Más información:

USENIX - Security '02 - 11th USENIX Security Symposium

http://www.usenix.org/events/sec02/



jueves, 11 de julio de 2002

VII Reunión Española sobre Criptología y Seguridad de la Información

Todos los profesionales de la criptología y la seguridad de la
información tienen una cita ineludible los próximos 5, 6 y 7 de
Septiembre, en Oviedo.
El encuentro, organizado por la universidad de Oviedo y la asociación
española de criptología y seguridad de la información, reune a la flor y
nata de la profesión y sirve como punto anual de intercambio de
experiencias y presentación de trabajos por parte de los investigadores.
Se trata de un evento imprescindible para mantenerse al día en el
"estado del arte" en el mundo de la criptología.

HispaSec ya informó de este evento el pasado 2 de Enero. Para los
rezagados, la fecha límite de inscripción es el próximo 15 de Julio.



Jesús Cea Avión
jcea@hispasec.com


Más información:

VII Reunión Española sobre Criptología y Seguridad de la Información
http://enol.etsiig.uniovi.es/viirecsi/

Asociación Española de Criptología y Seguridad de la Información
http://aecsi.rediris.es/



miércoles, 10 de julio de 2002

APC: un gusano que ataca a Apache

Está circulando un gusano, extremadamente complejo, que ataca a
los servidores web basados en Apache, en la plataforma FreeBSD,
que todavía no han sido actualizados.
Tal como informó Hispasec, en sendos boletines publicados el 17 y
20 de junio, a finales del mes pasado se dio a conocer la
existencia de una vulnerabilidad en las versiones de Apache
anteriores a la 1.3.26 y la 2.0.39. El problema radicaba en la
forma en que Apache procesaba las cabeceras incorrectas en los
"datos troceados" ("chunked data").

La vulnerabilidad podía permitir a un atacante remoto originar
una condición de error en el servidor. En función de la versión
de Apache y el sistema operativo utilizado en el servidor podía
llegar a ser posible la ejecución de código en el servidor.

Desgraciadamente, y en una actuación que levantó mucha polémica,
la vulnerabilidad fue divulgada por ISS a las pocas horas de ser
descubierta, sin dejar margen a los responsables del proyecto
Apache a publicar las versiones actualizadas. Las nuevas
versiones de Apache tardaron casi dos días en estar disponibles
para su descarga.

El gusano APC

El pasado 28 de junio, un servidor que actuaba como "honeypot"
con Apache 1.3.24, permitió capturar un gusano que se conectaba
a los servidores web e intentaba determinar si el mismo era
vulnerable. El gusano ha sido bautizado como "APC" a partir de
una cadena de texto que aparece dentro del mismo.

Comportamiento

La primera acción que realiza el gusano es enviar un paquete (un
simple "hola") al puerto 2001/udp a una dirección IP fija. A
continuación queda a la escucha en este mismo puerto, esperando
la recepción de órdenes. Esto permite controlar remotamente el
gusano para utilizarlo como un "zombie" en un ataque de
denegación de servicio distribuido contra objetivos concretos.

Simultáneamente, el gusano empieza a rastrear direcciones IP,
de forma aleatoria. En cada dirección intenta establecer una
conexión TCP contra el puerto 80, enviando una simple petición
HTTP ("GET / HTTP/1.1") .

Si la máquina remota responde, el gusano analiza la respuesta. Si
el servidor remoto se identifica como Apache envía una segunda
petición HTTP que contiene el código del ataque (ver
http://www.idefense.com/idtools/Apache%20Worm.txt).

Este ataque es específico contra la plataforma FreeBSD 4.5.

Infección

El servidor web registra, en el archivo log, la siguiente
entrada:

[Sun Jul 7 13:47:19 2002] [error] [client xx.xx.xx.xx] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /

Por su parte, en /var/log/messages se registra el siguiente
mensaje:

Jul 7 13:47:25 foobar /kernel: pid 22639 (httpd), uid 80: exited on signal 11

En los sistemas vulnerables, el gusano se copia en el directorio
/tmp con los nombres ".a" y ".uua".

Una vez copiados estos archivos, se ejecuta /tmp/.a, completando
el ciclo.


Detección

Se puede detectar la presencia del gusano comprobando la
existencia de los archivos ".a" y ".uua" en el directorio /tmp.
Otra forma de detectar la actividad del gusano es monitorizando
el tráfico que utilice el puerto 2001/udp.

Eliminación

Para eliminar el gusano de una máquina comprometida deben
borrarse los archivos ".a" y ".uua" del directorio /tmp y matar
el proceso del gusano:

% ps aux ! grep ".a"

nobody 1103 0.0 0.4 932 444 v1 S 6:46PM 0:00.00 /tmp/.a xx.xx.xx.xx

% kill -9 1103

Prevención

Actualizar la versión de Apache a la 1.3.26.



Xavier Caballé
xavi@hispasec.com



martes, 9 de julio de 2002

Acceso al directorio 'WEB-INF' en diversos servidores de aplicaciones web

Existe una vulnerabilidad, presente en las versiones para Windows
de servidores de aplicaciones y contenedores de servlets J2EE,
que permite el acceso a los archivos presentes en el directorio
WEB-INF.
Los sistemas vulnerables son:

* EA Serve (Sybase), versión 4.0
* OC4J (Oracle)
* Orion versión 1.5.3
* JRun (Macromedia) versiones 3.0, 3.1 y 4.0
* HPAS (Hewlett Packard) versión 3.0
* Pramati versión 3.0
* Jo!

Una aplicación web ("web app") es una colección de servlets, JSP
("Java Server Pages"), documentos HTML, imágenes y otros archivos
empaquetados de una forma tal que permite una rápida instalación
en cualquier servidor web que de soporte a servlets.

Estas aplicaciones habitualmente se encuentran empaquetadas en
archivos .WAR, con una estructura estándar similar a la
siguiente:

index.html
algo.jsp
images/on.gif
images/off.gif
WEB-INF/web.xml
WEB-INF/lib/algo.jar
WEB-INF/classes/MyServlet.class
WEB-INF/classes/com/empresa/etc/servlet/empWebServlet.class
...

Esta estructura facilita la portabilidad de las aplicaciones
entre diferentes servidores. El directorio "WEB-INF" es especial:
cualquier cosa contenida dentro de él no debe ser visible a los
clientes web ya que contiene la clase Java y la información de
configuración de la aplicación web. Por tanto, cualquier intento
de acceso al directorio habitualmente resulta en un código de
error HTTP 404 (no encontrado) o 403 (acceso no permitido).

El archivo web.xml situado dentro del directorio "WEB-INF", al
que habitualmente se conoce como el "descriptor para despliegue",
contiene información detallada sobre la aplicación web: mapeos de
URL, detalles del registro del servlet, tipos MIME, restricciones
de seguridad a nivel de página... etc.

Existe una vulnerabilidad en los servidores de aplicaciones y
contendedores de servlets citados más arriba que puede permitir a
un atacante acceder a la información existente dentro del
directorio "WEB-INF". Consiste, simplemente, en añadir un punto
(".") a continuación del nombre del directorio:

http://www.unservidor.com/WEB-INF./web.xml
http://www.unservidor.com/WEB-INF./classes/MyServlet.class

Esta vulnerabilidad combina un error en el filtrado de URL que
realizan los servidores de aplicaciones con una característica
del sistema de archivos de Windows: se ignora el punto final en
cualquier vía de acceso o nombre de archivo.

Los diversos fabricantes afectados por la vulnerabilidad han
publicado los parches o versiones actualizadas:

* EA Server de Sybase
Actualización a la versión 4.1
* OC4J de Oracle
Actualización a la versión 9.0.2 de OC4J/9iAS, disponible en
http://otn.oracle.com/software/products/ias/devuse.html
* Orion Server
Actualización a la versión 1.5.4
* JRun 3.0, 3.1 y 4.0
Parche disponible en
http://www.macromedia.com/v1/handlers/index.cfm?ID=23164
* HPAS
Solucionado mediante el paquete de mantenimiento 8
* Pramati
Solucionado en el Service Pack 1.
* Jo!
Actualización a la versión 1.0b7



Xavier Caballé
xavi@hispasec.com


Más información:

Sybase - EA Server
http://www.sybase.com/products/applicationservers/easerver/

Oracle - OC4J
http://otn.oracle.com/software/products/ias/devuse.html

Orion Server
http://www.orionserver.com

HPAS - Hewlett Packerd
http://www.hpmiddleware.com/SaISAPI.dll/SaServletEngine.class/products/hp-as/default.jsp

Pramati
http://www.pramati.com

Jo!
http://sourceforge.net/projects/tagtraum-jo



lunes, 8 de julio de 2002

Divulgación del código fuente de las aplicaciones JRUN

Es posible obtener el código fuente de las aplicaciones .ASA y
.JSP residentes en un servidor JRun 4.0 simplemente añadiendo
unos caracteres especiales en la URL.
JRun 4.0 de Macromedia es un servidor J2EE diseñado para
ejecutarse en servidores web para das soporte aplicaciones
basadas en páginas JSP y Servlets en Java.

Cuando en la URL se añaden unos caracteres especiales (%3f.jps o
?.jsp), el servidor JRun actúa de forma errónea y visualiza el
código fuente de la aplicación. Esto no únicamente releva la
lógica del funcionamiento de las aplicaciones sino que en muchas
ocasiones este código fuente puede contener contraseñas de acceso
a bases de datos. También puede facilitar a un atacante
información sobre la ubicación de los recursos, la estructura de
la red y del modelo de negocio.

Esta vulnerabilidad sólo afecta a JRun versión 4.0 cuando se
ejecuta en Windows 2000 Server con Internet Information Server
como servidor web.

Macromedia ha publicado un parche que soluciona esta
vulnerabilidad, así como los otros problemas de seguridad
conocidos hasta la fecha en JRun.



Xavier Caballé
xavi@hispasec.com



domingo, 7 de julio de 2002

Denegación de servicio en BEA WebLogic

Se ha descubierto un problema de denegación de servicio que afecta a los
servidores BEA WebLogic Server y Express.
Existe una vulnerabilidad que puede permitir a cualquier atacante colgar
el servidor BEA WebLogic Server debido a una "race condition", una
situación en las que dos o más procesos leen o escriben en un área
compartida y el resultado final depende de los instantes de ejecución de
cada uno.

Las instalaciones de WebLogic Server y Express 5.1.x, 6.0.x, 6.1.x y 7.0
en Windows NT o Windows 2000 pueden verse afectadas por esta
vulnerabilidad.

Bea ha publicado las siguientes actualizaciones para solventar este
problema:

BEA WebLogic Server y Express 7.0


ftp://ftpna.bea.com/pub/releases/security/CR080901_70.zip

BEA WebLogic Server y Express 6.1


ftp://ftpna.bea.com/pub/releases/security/CR080901_61sp3.zip

BEA WebLogic Server y Express 6.0


ftp://ftpna.bea.com/pub/releases/security/CR080901_60sp2rp3.zip

BEA WebLogic Server y Express 5.1


ftp://ftpna.bea.com/pub/releases/security/CR080901_510sp12.zip



Antonio Ropero
antonior@hispasec.com


Más información:

BEA. Patch available to prevent DOS attack:


http://dev2dev.bea.com/resourcelibrary/advisoriesdetail.jsp?highlight=advisoriesnotifications&path=components/dev2dev/resourcelibrary/advisoriesnotifications/advisory_BEA02-19.htm



sábado, 6 de julio de 2002

Actualización de seguridad para Squid

Acaba de hacerse pública la versión squid-2.4.STABLE7 que soluciona
varios problemas de seguridad en Squid y productos relacionados.
Squid es un servidor proxy ampliamente utilizado por sus amplias
posibilidades de configuración y su alto rendimiento. Ofrece soporte
para cacheo de FTP, gopher y HTTP.

Entre los cambios relacionados con la seguridad de esta nueva versión,
nos encontramos:

- Reparación y limpieza del cliente Gopher, que corrige algunas
vulnerabilidades y problemas al mostrar menús.

- Reparaciones en la forma en que se procesan los directorios FTP a
HTML. Se cree que tanto este problema como el anterior pueden ser
explotados remotamente y provocar la ejecución de código al visitar
un sitio especialmente creado.

- Nueva opción "ftp_sanitycheck" que chequea que los canales de datos
FTP coinciden correctamente con el servidor, para prevenir la
inyección de datos en la conexión.

- El ayudante de autenticación MSNT ha sido actualizado a la versión
2.0.3+fixes debido a que se han encontrado ciertos buffer overflows
bajo ciertos tipos de configuración.

- Reparado un problema debido a la forma en que Squid envía las
credenciales de autenticación proxy que bajo ciertas condiciones
puede llegar a enviar el conjunto usuario/clave a una web externa.

Otros cambios:

- Squid ahora rechaza correctamente cualquier petición que use la
cabecera "transfer-encoding".

- Cambios menores para dar soporte adecuado a Apple MAC OS X y
plataformas relacionadas.

- Implementada la opción -T

- Reparados los problemas relacionados con HTCP en la reconfiguración
del servidor ("squid -k reconfigure")


Es aconsejable actualizarse a la última versión en caso de que estemos
utilizando alguna anterior a la 2.4.STABLE6. La única forma de
comprobar adecuadamente esto es ejecutando el comando: squid -v


Si no es posible la actualización se hace necesario el establecimiento
de listas de acceso bastante restrictivas que no permitan el uso de
FTP o Gopher. Las introduciremos al principio del archivo squid.conf:


acl workaround proto FTP Gopher

http_access deny workaround




Francisco Javier Santos
fsantos@hispasec.com


Más información:


Página oficial de Squid:
http://www.squid-cache.org


Actualización de Squid:
http://www.squid-cache.org/Versions/v2/2.4/


Squid Proxy Cache Security Update Advisory:
http://www.squid-cache.org/Advisories/SQUID-2002_3.txt




viernes, 5 de julio de 2002

Desbordamiento de búfer en varias librerías de resolución de DNS

Algunas librerías de resolución de peticiones DNS contienen
desbordamientos de búfer que pueden permitir, bajo determinadas
circunstancias, que un atacante ejecute código arbitrario en una máquina
remota, con los privilegios del proceso que realiza la petición DNS.
"Domain Name System" (DNS) es una tecnología Internet cuyo principal uso
es traducir nombres de dominio (como "www.hispasec.com", por ejemplo) a
direcciones IP y viceversa. Se trata de un protocolo básico de Internet,
casi tan importante como el propio IP.

Cuando un programa desea realizar una resolución de DNS, típicamente,
invoca una librería externa que abstrae a la aplicación de sus detalles
internos de funcionamiento, "sockets", temporizaciones, reintentos, etc.
Algunas de esas librerías contienen desbordamientos de búfer que pueden
ser utilizados por un atacante remoto para matar el proceso que realiza
la petición o, con suerte, ejecutar código arbitrario en la máquina.

Las vulnerabilidades afectan a:

- Librería "libbind" del BIND de ISC (el servidor de nombres más popular
del mundo).

- Librería "libc" de las distribuciones *BSD.

Conjuntamente, ambas vulnerabilidades cubren prácticamente todo el
ecosistema Unix, tanto sistemas "Open Source", como UNIX comerciales
como Solaris.

Típicamente es necesario que el atacante disponga de un servidor de DNS
válido en Internet, pero eso no es obstáculo en la práctica, ya que
registrar un dominio es cuestión de horas y de menos de 50 ?. También se
puede realizar el ataque desde un servidor DNS comprometido.

Ambas organizaciones están distribuyendo ya versiones actualizadas de
sus librerías de resolución de nombres. Resulta necesario, pues: a)
instalar las actualizaciones, b) reiniciar las aplicaciones que utilicen
las librerías de forma dinámica, c) reenlazar las aplicaciones que
utilicen las librerías de forma estática.

En el caso de BIND, la vulnerabilidad afecta a todas las versiones
previas al BIND 9. Se recomienda actualizar a BIND 9.2.1, y no instalar
las librerías de compatibilidad BIND 8 (no se instalan por defecto).

Es de destacar que, dada las características de esta vulnerabilidad,
puede atravesar multitud de cortafuegos del mercado, por lo que
posibilita atacar máquinas, a priori, protegidas mediante medidas
perimetrales clásicas.



Jesús Cea Avión
jcea@hispasec.com


Más información:

CERT® Advisory CA-2002-19 Buffer Overflow in Multiple DNS Resolver
Libraries
http://www.cert.org/advisories/CA-2002-19.html

Vulnerability Note VU#803539
Multiple vendors' Domain Name System (DNS) stub resolvers vulnerable to
buffer overflow
http://www.kb.cert.org/vuls/id/803539

Buffer Overflow en Múltiples Bibliotecas de Resolución de DNS
http://www.unam-cert.unam.mx/Boletines/Boletines2002/boletin-UNAM-CERT-2002-019.html

Internet Software Consortium - BIND
http://www.isc.org/products/BIND/bind8.html

Internet Software Consortium - BIND Vulnerabilities
http://www.isc.org/products/BIND/bind-security.html

buffer overrun in libc/libresolv DNS resolver
ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2002-006.txt.asc



jueves, 4 de julio de 2002

Descarga de archivos con Lotus Domino R4 Web Server

El servidor web de Lotus Domino R4 se ve afectado por un problema de
seguridad por el cual un atacante podrá descargar cualquier archivo del
directorio raíz del web.
Esta vulnerabilidad no funciona con los scripts estándar incluidos en
Domino como admin4.nsf, names.nsf, domcfg.nsf, etc. Sin embargo, si
existen otros archivos o bases de datos .nsf realizados a medida en el
directorio raíz del servidor web podrán descargarse con sólo añadir el
carácter "?" al final del nombre de archivo.

http://servidordomino/archivo.ext?
Permitirá la descarga de archivo.ext en lugar de su ejecución. Esto no
se reproduce en otras carpetas diferentes a la raíz del web, ni en Lotus
R5.

Lotus no ha publicado ningún parche ni actualización, ya que no lo
considera como un problema de gravedad, por lo que se recomienda situar
los archivos en una ruta diferente a la raíz.



Antonio Ropero
antonior@hispasec.com


Más información:

Lotus Domino Web Server File Retreival Vulnerability
http://www.securiteam.com/securitynews/5EP010U7PI.html



miércoles, 3 de julio de 2002

Vulnerabilidad de divulgación de información con Cisco Secure ACS Unix

Cisco Secure Access Control Server para Unix implementa el programa
Acme.server lo que provoca una vulnerabilidad de escalada de directorios
y de divulgación de información.

La vulnerabilidad se provoca cuando alguien navega en el servidor y
añade barras como en el siguiente ejemplo:
http://servidor:9090///
Con lo que se conseguiría mostrar todos los archivos y el sistema de
archivos del servidor.

El defecto descrito se encuentra presente en todas las versiones desde
la 2.0 hasta la 2.3.5.1 incluida, de Cisco Secure ACS para Unix. Otros
productos de la familia Cisco Secure ACS como las versiones para Windows
NT no son vulnerables a este problema. La corrección está incluida en
ACS Unix versión 2.3.6.1.

El impacto de la vulnerabilidad puede variar dependiendo del acceso que
tengan los potenciales atacantes al puerto 9090 del Cisco Secure ACS.



Antonio Ropero
antonior@hispasec.com



martes, 2 de julio de 2002

Vulnerabilidad en Netware FTP SERVER

Se ha publicado recientemente una vulnerabilidad de denegación de
servicio sobre Netware FTP Server.
El servidor FTP de Netware, se ve afectado por una vulnerabilidad por
la que un atacante podría causar una denegación de servicio, es decir,
dejar totalmente inoperativo el servidor sin posibilidad de atender
ninguna petición. Deberá reiniciarse todo el sistema con el fin de
recobrar la funcionalidad habitual del servicio.

El Servidor FTP de Netware tiene una condición de bug de formato de
cadena que puede provocarse mediante el uso de formatos de cadena
iguales al nombre de usuario de login. Lo cual conducirá al servidor
a una terminación inexperada (ABEND).

Actualmente no se encuentra disponible ningún parche que remiende esta
vulnerabilidad. Las pruebas de comprobación de esta vulnerabilidad se han
Realizado sobre Novell Netware FTP Server y corría en Netware 6.0 SP 1 con
actualización a NWFTPD.



Antonio J. Román Arrebola

roman@hispasec.com


Más información:

cqure.net.20020521.netware_nwftpd_fmtstr
http://www.cqure.net/advisories/netware_nwftpd_fmtstr.html

Novell, Inc
http://www.novell.com



lunes, 1 de julio de 2002

La seguridad del modelo de código abierto

Una ponencia presentada en un congreso sobre el software de
código abierto analiza el modelo de seguridad del software de
código fuente abierto y del software de código fuente propietario
y advierte sobre las iniciativas que está tomando la industria
para 'proteger' los sistemas informáticos.

En el congreso "Open Source Software: Economics, Law and Policy",
celebrado en la localidad francesa de Toulouse del 20 al 21 de
junio de este año, Ross Anderson, de la universidad de Cambridge,
presentó la ponencia "Security in Open versus Closed Systems -
The Dance of Boltzmann, Coase and Moore".

Esta ponencia analiza los modelos de seguridad implícitos a los
dos modelos predominantes de desarrollo de software: software de
código fuente abierto ("open source") y software de código fuente
propietario. Por otro lado, realiza un análisis de la iniciativa
TCPA.

Tradicionalmente se ha asumido siempre que el modelo de código
abierto permitía disponer de un código de mayor calidad (y más
seguro) debido a que la propia comunidad era la encargada de
mantener el código fuente. Ante esto, los defensores del modelo
de código fuente propietario respondían que el libre acceso al
código fuente facilitaba la localización de agujeros en la
seguridad del software.

Hasta la fecha nadie había realizado un estudio serio sobre ambos
modelos de seguridad, para analizar las ventajas e inconvenientes
de ambos.

Precisamente este ha sido el objetivo del trabajo de Ross
Anderson. En él, intenta demostrar que los argumentos indicados
anteriormente para la defensa de uno u otro modelo son
excesivamente simplistas.

La segunda parte del estudio de Ross Anderson, se centra en el
análisis de la iniciativa de Intel, HP, IBM y Microsoft
denominada "Trusted Computing Platform Alliance" (TCPA) que tiene
como objetivo que la nueva generación de ordenadores personales
sean más seguros. En realidad, según Anderson, el objetivo es
aumentar la seguridad en aquello que interesa a los fabricantes
de ordenadores y de software, en contra de los intereses reales
de los usuarios de los mismos en materia de seguridad.

Según Anderson, la TCPA de prosperar puede ser una amenaza
directa a la comunidad de software de código abierto, por motivos
más directamente relacionados con la economía que no con la
tecnología.

TCPA no es un proyecto futuro, sino que hoy en día ya existen
ordenadores que cumplen las especificaciones TCPA. También
algunas características de Windows XP (la necesidad de renovar el
registro si el usuario modifica sustancialmente la configuración
de su ordenador) también están incluidas dentro de la TCPA.



Xavier Caballé
xavi@hispasec.com


Más información:

Página personal de Ross Anderson
http://www.cl.cam.ac.uk/users/rja14

Security in Open versus Closed Systems - The Dance of Boltzmann, Coase
and Moore
http://www.cl.cam.ac.uk/ftp/users/rja14/toulouse.pdf

Open Source Software: Economics, Law and Policy
http://www.idei.asso.fr/ossconf.html

Trusted Computing Platform Alliance (TCPA)
http://www.trustedcomputing.org/

Especificación TCPA v1.1
http://www.trustedcomputing.org/docs/main%20v1_1b.pdf

Especificación para la implementación de TCPA en PC
http://www.trustedcomputing.org/docs/TCPA_PCSpecificSpecification_v100.pdf

Fears of Misuse of Encryption System Are Voiced
The New York Times (20-06-02)
http://cryptome.org/tcpa-rja.htm

Security of Open vs. Closed Source Software
http://slashdot.org/articles/02/06/21/1227222.shtml

Study: Equal security in all software
http://news.com.com/2100-1001-938124.html

MS to eradicate GPL, hence Linux
http://www.theregister.co.uk/content/4/25891.html