sábado, 31 de agosto de 2002

Interesante tutorial sobre Diffie-Hellman y criptografía asimétrica

Jack Dennon ha publicado un extenso, detallado y excelente tutorial
sobre criptografía de clave pública, más concretamente el algoritmo
Diffie-Hellman.
El artículo, publicado en http://www.linuxjournal.com/article.php?sid=6131,
lamentablemente sólo disponible en inglés en este momento, detalla
la tecnología Diffie-Hellman, una de los primeros criptosistemas
asimétricos descubiertos, muy sencillo de comprender y ampliamente
utilizado en la actualidad.

El algoritmo Diffie-Hellman permite que dos entidades se pongan de
acuerdo en un número, a través de un canal público, sin que dicho número
pueda ser conocido por ningún atacante que esté monitorizando la
comunicación. Es más, ambas entidades no necesitan compartir ningún
secreto, por lo que puede utilizarse para comunicar de forma segura a
dos entidades que nunca antes se hayan comunicado.

Una vez que esas entidades acuerdan un valor, de forma segura, éste
puede ser utilizado, por ejemplo, como clave de cifrado simétrico para
intercambiar más información de forma confidencial.

Con el tutorial, el lector aprenderá cómo funciona dicho algoritmo y
ejemplos prácticos. También se incluye el código fuente de todo el
sistema, para que el usuario lo comprenda por completo y pueda practicar
la tecnología por sí mismo.



Jesús Cea Avión
jcea@hispasec.com


Más información:

HOWTO: Exploring Diffie-Hellman Encryption
http://www.linuxjournal.com/article.php?sid=6131



viernes, 30 de agosto de 2002

Fallo en ActiveX permite el borrado de certificados digitales

El Control ActiveX conocido como Certificate Enrollment Control, incluido
en todos los sistemas Windows, se ve afectado por un problema que
puede permitir a un atacante la eliminación de los certificados digitales
almacenados en el sistema vulnerable.

En todas las versiones de Windows se incluye el control ActiveX conocido
como Certificate Enrollment Control cuyo propósito en permitir las
inclusiones de certificados web. El control se emplea para presentar
peticiones de certificados PKCS #10, y una vez recibido el certificado
solicitado almacenarlo en el almacen de certificados local.

El control se ve afectado por un fallo que puede permitir que puede
permitir que una página web lo invoque de una forma que llegará a
eliminar los certificados del sistema del usuario. Un atacante que
explote esta vulnerabilidad exitosamente podrá llegar a degradar todo
tipo de certificados instalados en el sistema.

La vulnerabilidad puede explotarse a través de una página web maliciosa
o desde un e-mail html y afecta a todos los sistemas Windows.

Los parches pueden descargarse desde las siguientes direcciones:
Microsoft Windows 98:
http://www.microsoft.com/windows98/downloads/contents/WUCritical/q323172/default.asp
Microsoft Windows 98 Second Edition:
http://www.microsoft.com/windows98/downloads/contents/WUCritical/q323172/default.asp
Microsoft Windows Me:
http://download.microsoft.com/download/WINME/PATCH/24421/WINME/EN-US/323172USAM.EXE
Microsoft Windows NT 4.0:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=41747
Microsoft Windows NT 4.0, Terminal Server Edition:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=41361
Microsoft Windows 2000:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=41568
Microsoft Windows XP:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=41598
Microsoft Windows XP 64-bit Edition:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=41598



Antonio Ropero
antonior@hispasec.com


Más información:

Flaw in Certificate Enrollment Control Could Allow Deletion of Digital
Certificates:
http://www.microsoft.com/technet/security/bulletin/MS02-048.asp



jueves, 29 de agosto de 2002

Parche para control ActiveX de Terminal Services

Detectado desbordamiento de buffer en el control TSAC (Terminal
Services Advanced Client) cuya explotación permite de forma remota
ejecutar código arbitrario. Deberán actualizarse los servidores
webs y los clientes Windows que utilicen, o hayan utilizado alguna
vez, este control.
El control TSAC es un ActiveX que permite disfrutar de las
funcionalidades de un cliente Terminal Service a través de la web.
Aunque este control no se distribuye de forma directa con ninguna
versión de Windows, puede ser descargado desde los servidores IIS
como un archivo CAB que se instala en los sistemas de los usuarios
para que puedan acceder a este tipo de servicios desde Internet
Explorer.

Este control no chequea de forma adecuada algunos parámetros de
entrada, lo que permite provocar un desbordamiento de buffer y
la ejecución de código arbitrario. El ataque podría ser llevado
desde una página web o un mensaje en formato HTML que hiciera
una llamada especialmente diseñada al control TSAC.

Los servidores web que distribuyan este control deberán instalar
el parche disponible en la dirección:

http://www.microsoft.com/windowsxp/pro/downloads/rdwebconn.asp

Los clientes pueden corregir el ActiveX afectado mediante la
instalación del último parche acumulativo para Internet Explorer,
ya tratado en "una-al-dia", disponible en la dirección:

http://www.microsoft.com/windows/ie/downloads/critical/q323759ie/default.asp



Bernardo Quintero
bernardo@hispasec.com


Más información:

Buffer Overrun in TSAC ActiveX Control Could Allow Code Execution (Q327521)
http://www.microsoft.com/technet/security/bulletin/MS02-046.asp


miércoles, 28 de agosto de 2002

Parche crítico para Internet Explorer

Disponible parche para corregir seis nuevas vulnerabilidades del
navegador de Microsoft. La actualización, considerada como crítica,
afecta a las versiones Internet Explorer 5.01, 5.5 y 6.0.
Se trata de un parche acumulativo de forma que, además de las nuevas
vunerabilidades, corrige todos los problemas conocidos con
anterioridad. Esta política de actualizaciones acumulativas que
Microsoft ha incorporado hace apenas unos meses facilita al usuario
la instalación y evita problemas que solían ser muy comunes al olvidar
aplicar parches específicos.

Las nuevas vulnerabilidades que corrige este parche son:

- Desbordamiento de buffer en el soporte del protocolo Gopher cuya
explotación permite la ejecución de código arbitrario.

- Desbordamiento de buffer en un control ActiveX usado para mostrar
texto especialmente formateado. Su explotación permite la ejecución
de código arbitrario con los privilegios del usuario.

- Vulnerabilidad en una directiva HTML que muestra datos XML permite
a un atacante leer contenidos de otros sitios webs al que haya
accedido con anterioridad la víctima.

- Vulnerabilidad en el cuadro de diálogo de descarga de archivos que
permite ofuscar el origen.

- Vulnerabilidad en el chequeo de dominios en la etiqueta Object
permite transferir datos entre diferentes dominios.

- Nueva variante de Cross-Site Scripting permite a un atacante crear
una web que se ejecute en la zona de seguridad Local del visitante,
en vez de en la zona Internet que cuenta con mayores restricciones
de seguridad.

Se recomienda a todos los usuarios afectados la inmediata instalación
del parche, disponible según idioma en la siguiente dirección:

http://www.microsoft.com/windows/ie/downloads/critical/q323759ie/default.asp


Bernardo Quintero
bernardo@hispasec.com


Más información:

Cumulative Patch for Internet Explorer (Q323759)
http://www.microsoft.com/technet/security/bulletin/MS02-047.asp



martes, 27 de agosto de 2002

Desbordamiento de búfer en el protocolo SMB de Windows

Mediante el envío de un paquete con una petición SMB especialmente
creada, un atacante puede crear un ataque de desbordamiento de búfer,
que provocará una denegación de servicio en el servidor destino y
la caída del sistema.
SMB (Server Message Block) es el protocolo empleado por Microsoft para
compartir archivos, impresoras, etc. Los clientes realizan peticiones
SMB para recursos y los servidores producen respuestas SMB en lo que
se describe como un protocolo cliente-servidor, petición-respuesta.

Para reproducir el problema el atacante puede emplear tanto una
cuenta de usuario como un acceso anónimo. Según Microsoft, aunque
no está confirmado, es posible que esta vulnerabilidad pueda permitir
al atacante lograr la ejecución de código.

Se encuentran afectados los sistemas Windows NT 4.0 Workstation, Server
y Terminal Server Edition, Windows 2000 Professional, Server y Advanced
Server y Windows XP Professional.

Microsoft ha publicado los parches necesarios para paliar los efectos
de esta vulnerabilidad, los cuales se pueden descargar desde las
siguientes direcciones:
Microsoft Windows NT 4.0:
http://www.microsoft.com/downloads/Release.asp?ReleaseID=41493
Microsoft Windows NT 4.0 Terminal Server Edition:
http://www.microsoft.com/downloads/Release.asp?ReleaseID=41519
Microsoft Windows 2000:
http://www.microsoft.com/downloads/Release.asp?ReleaseID=41468
Microsoft Windows XP:
http://www.microsoft.com/downloads/Release.asp?ReleaseID=41524
Microsoft Windows XP 64 bit Edition:
http://www.microsoft.com/downloads/Release.asp?ReleaseID=41549



Antonio Ropero
antonior@hispasec.com


Más información:

Boletín de Seguridad Microsoft MS02-045:
Unchecked Buffer in Network Share Provider Can Lead to Denial of Service
http://www.microsoft.com/technet/security/bulletin/ms02-045.asp

lunes, 26 de agosto de 2002

Vulnerabilidad en WebEasymail v.3.4.2.2

WebEasymail se puede ver afectado por un problema de denegación de
servicio y por una debilidad que facilita los ataques por fuerza bruta.
Si un atacante envía una cadena de la familia printf especialmente
creada, puede conseguir la ejecución de código en el sistema atacado,
como ejemplo:

$ nc localhost 25
220 ESMTP on WebEasyMail [3.4.2.2] ready. http://www.winwebmail.com
%2
502 Error: command not implemented
%2s
502 Error: command not implemented
%100s
502 Error: command not implemented
%3000s
[emsrv.exe silently dies here]
$

Igualmente el servidor mencionado es muy débil frente los ataques por
fuerza bruta permitiendo a un atacante el intentar autenticarse frente
al servidor tantas veces como quiera, al igual que da pistas
importantes al atacante. Por ejemplo si un atacante procediera a
autenticarse mediante una cuenta de usuario y una clave, y ese usuario
no existiese el servidor le respondería con un ""-ERR invalid username"
pero si el usuario fuera valido y la clave no, el error que le daría
sería "-ERR wrong password for this user".



Antonio J. Román Arrebola
roman@hispasec.com


Más información:

WebEasyMail POP3 Server Valid User Name Information Disclosure Vulnerability
http://online.securityfocus.com/bid/5519/discussion/

domingo, 25 de agosto de 2002

Vulnerabilidad en OpenBSD

Todas las versiones no actualizadas de OpenBSD son susceptibles a
una vulnerabilidad que permite que un atacante local sobreescriba
memoria Kernel y ejecute código arbitrario como Kernel.
La vulnerabilidad reside en la llamada al sistema "select()". Dicha
llamada, utilizada para interactuar con sockets y descriptores de
ficheros, no valida sus parámetros de entrada correctamente. Ello
permite que el atacante pueda sobreescribir memoria Kernel
arbitraria. Dependiendo del contenido de dicha memoria y su
posición exacta, el atacante puede bloquear el sistema,
sobreescribir variables internas del mismo o, incluso, ejecutar
código propio como si de una función del propio sistema operativo se
tratase.

La vulnerabilidad está presente en todos los sistemas OpenBSD no
actualizados, previos a 11 de Agosto de 2002. Los usuarios de
OpenBSD deben actualizar su Kernel a una versión posterior a dicha
fecha.

Si ello no fuera posible, los administradores de OpenBSD pueden
aplicar directamente el siguiente parche, ventaja importante de
los entornos de código abierto:



Apply by doing:
cd /usr/src
patch -p0 < 014_scarg.patch
And then rebuild your kernel.

Index: sys/kern/sys_generic.c
===================================================================
RCS file: /cvs/src/sys/kern/sys_generic.c,v
retrieving revision 1.39
retrieving revision 1.39.2.1
diff -u -r1.39 -r1.39.2.1
--- sys/kern/sys_generic.c 14 Mar 2002 01:27:04 -0000 1.39
+++ sys/kern/sys_generic.c 11 Aug 2002 17:14:55 -0000 1.39.2.1
@@ -1,4 +1,4 @@
-/* $OpenBSD: sys_generic.c,v 1.39 2002/03/14 01:27:04 millert Exp $ */
+/* $OpenBSD: sys_generic.c,v 1.39.2.1 2002/08/11 17:14:55 jason Exp $ */
/* $NetBSD: sys_generic.c,v 1.24 1996/03/29 00:25:32 cgd Exp $ */

/*
@@ -644,12 +644,9 @@
* Select system call.
*/
int
-sys_select(p, v, retval)
- register struct proc *p;
- void *v;
- register_t *retval;
+sys_select(struct proc *p, void *v, register_t *retval)
{
- register struct sys_select_args /* {
+ struct sys_select_args /* {
syscallarg(int) nd;
syscallarg(fd_set *) in;
syscallarg(fd_set *) ou;
@@ -659,14 +656,15 @@
fd_set bits[6], *pibits[3], *pobits[3];
struct timeval atv;
int s, ncoll, error = 0, timo;
- u_int ni;
+ u_int nd, ni;

- if (SCARG(uap, nd) > p->p_fd->fd_nfiles) {
+ nd = SCARG(uap, nd);
+ if (nd > p->p_fd->fd_nfiles) {
/* forgiving; slightly wrong */
- SCARG(uap, nd) = p->p_fd->fd_nfiles;
+ nd = p->p_fd->fd_nfiles;
}
- ni = howmany(SCARG(uap, nd), NFDBITS) * sizeof(fd_mask);
- if (SCARG(uap, nd) > FD_SETSIZE) {
+ ni = howmany(nd, NFDBITS) * sizeof(fd_mask);
+ if (nd > FD_SETSIZE) {
caddr_t mbits;

mbits = malloc(ni * 6, M_TEMP, M_WAITOK);
@@ -713,7 +711,7 @@
retry:
ncoll = nselcoll;
p->p_flag |= P_SELECT;
- error = selscan(p, pibits[0], pobits[0], SCARG(uap, nd), retval);
+ error = selscan(p, pibits[0], pobits[0], nd, retval);
if (error || *retval)
goto done;
if (SCARG(uap, tv)) {
@@ -919,10 +917,7 @@
* differently.
*/
int
-sys_poll(p, v, retval)
- register struct proc *p;
- void *v;
- register_t *retval;
+sys_poll(struct proc *p, void *v, register_t *retval)
{
struct sys_poll_args *uap = v;
size_t sz;
@@ -931,13 +926,13 @@
struct timeval atv;
int timo, ncoll, i, s, error, error2;
extern int nselcoll, selwait;
+ u_int nfds = SCARG(uap, nfds);

/* Standards say no more than MAX_OPEN; this is possibly better. */
- if (SCARG(uap, nfds) > min((int)p->p_rlimit[RLIMIT_NOFILE].rlim_cur,
- maxfiles))
+ if (nfds > min((int)p->p_rlimit[RLIMIT_NOFILE].rlim_cur, maxfiles))
return (EINVAL);

- sz = sizeof(struct pollfd) * SCARG(uap, nfds);
+ sz = sizeof(struct pollfd) * nfds;

/* optimize for the default case, of a small nfds value */
if (sz > sizeof(pfds))
@@ -946,7 +941,7 @@
if ((error = copyin(SCARG(uap, fds), pl, sz)) != 0)
goto bad;

- for (i = 0; i < SCARG(uap, nfds); i++)
+ for (i = 0; i < nfds; i++)
pl[i].revents = 0;

if (msec != -1) {
@@ -966,7 +961,7 @@
retry:
ncoll = nselcoll;
p->p_flag |= P_SELECT;
- pollscan(p, pl, SCARG(uap, nfds), retval);
+ pollscan(p, pl, nfds, retval);
if (*retval)
goto done;
if (msec != -1) {





Jesús Cea Avión
jcea@hispasec.com


Más información:

OpenBSD
http://www.openbsd.org/

# 014: SECURITY FIX: August 11, 2002
http://www.openbsd.org/errata.html#scarg

Parche
ftp://ftp.openbsd.org/pub/OpenBSD/patches/3.1/common/014_scarg.patch


sábado, 24 de agosto de 2002

Vulnerabilidad en XINETD

Las versiones de XINETD previas a la 2.3.7 contienen una vulnerabilidad
que permite que un usuario local mate el superservidor XINETD.
XINETD es un reemplazo del demonio INETD estándar del mundo UNIX, muy
utilizado en entornos Linux, *BSD, etc. Este demonio se configura para
escuchar en determinados puertos y, cuando recibe conexiones en ellos,
lanza procesos externos arbitrarios y les transfiere la conexión.
También permite realizar operaciones simultaneas con datagramas UDP, y
puede soportar servicios propios de forma intrínseca, como ECHO, DISCARD
o TIME.

Las versiones de XINETD previas a la 2.3.7 contienen una vulnerabilidad
que permite que los usuarios locales puedan matar procesos lanzados por
XINETD debido al filtrado de descriptores desde XINETD hacia los
procesos hijos. Ello constituye un problema de seguridad potencialmente
grave.

La recomendación es actualizar XINETD a la versión 2.3.7 o superior.



Jesús Cea Avión
jcea@hispasec.com


Más información:

XINETD
http://www.xinetd.org/

Cambios XINETD
http://www.xinetd.org/#changes


viernes, 23 de agosto de 2002

Parche para los componentes web de Microsoft Office

Microsoft distribuye parches de seguridad críticos que afectan a
los productos BackOffice Server 2000, BizTalk Server 2000/2002,
Commerce Server 2000/2002, Internet Security And Acceleration
Server 2000, Money 2002/2003, Office 2000/XP, Project 2002,
Project Server 2002 y Small Business Server 2000.
Los componentes web Office (OWC) son controles ActiveX que permiten
acceder a los usuarios a una versión reducida de las aplicaciones
Office desde el navegador sin necesidad de tener que instalar de
forma completa el paquete Microsoft Office. En la mayoría de las
ocasiones se trata de visualizadores de los documentos Office que
permiten al usuario su lectura, pero no contemplan el resto de
funcionalidades avanzadas de creación y edición que incluyen las
versiones completas de las aplicaciones.

El parche distribuido por Microsoft corrige tres vulnerabilidades de
estos controles ActiveX que podrían ser explotadas por un atacante
de forma remota a través de una página web o un mensaje de correo
electrónico en formato HTML. Los problemas son provocados por una
mala implementación y la permisividad de algunas funciones en
materia de seguridad que permiten a un tercero explotarlas de forma
indiscriminada. Al ser controles firmados por Microsoft, y por
tanto reconocidos como seguros y confiables por Windows, el sistema
da carta blanca para que puedan realizar cualquier tipo de acción.

Este es uno de los talones de Aquiles de basar toda la seguridad
en la firma digital de las aplicaciones, que seguirá existiendo
pese a "Palladium", de la misma forma que seguirán existiendo los
virus informáticos, si bien me reservo esta discusión para otra
entrega de "una-al-día".

Volviendo al tema que nos ocupa, los métodos y funciones de los
controles ActiveX que permiten explotar las vulnerabilidades son
Host(), LoadText() y Copy()/Paste(). El primero de ellos es el más
crítico, ya que permite ejecutar comandos en el sistema de forma
indiscriminada a través de una aplicación Office. Con LoadText()
el atacante podría leer cualquier archivo del sistema de la
víctima. Mientras que con Copy()/Paste() es posible acceder
al contenido del portapapeles.

Estos problemas son recurrentes, por ejemplo a principios de 1999
se descubrió que el ActiveX TexBox de Microsoft Froms 2.0 permitía
realizar una operación de pegado sin ninguna restricción de
seguridad. De esta forma, los datos del portapapeles podían ser
transferidos a una caja de entrada de formulario y enviados a
un web malicioso.

Por descontado, se recomienda la instalación de los parches a todos
los usuarios que pudieran estar afectados, (comprobar si poseen
alguna aplicación de las mencionadas al comienzo de la noticia).
En el boletín de Microsoft dedicado a esta actualización
encontrarán los enlaces según producto e idioma, disponible
en la dirección
http://www.microsoft.com/technet/security/bulletin/MS02-044.asp



Bernardo Quintero
bernardo@hispasec.com


Más información:

Unsafe Functions in Office Web Components
http://www.microsoft.com/technet/security/bulletin/MS02-044.asp

20/08/2001 - Parche para vulnerabilidad en Outlook por control ActiveX
http://www.hispasec.com/unaaldia.asp?id=1030

16/07/2001 - Un control ActiveX deja vulnerable a Outlook
http://www.hispasec.com/unaaldia.asp?id=995

24/12/2000 - Estudio sobre la seguridad de ActiveX
http://www.hispasec.com/unaaldia.asp?id=791

03/10/2000 - Grave vulnerabilidad en Internet Explorer y Outlook
http://www.hispasec.com/unaaldia.asp?id=709

22-02-2000 - Cuartango demuestra que Microsoft puede instalar programas sin
avisar
http://www.hispasec.com/unaaldia.asp?id=483

30-8-1999 - Vulnerabilidades en dos controles ActiveX
http://www.hispasec.com/unaaldia.asp?id=307

31-7-1999 - Puerta trasera en los Compaq Presario
http://www.hispasec.com/unaaldia.asp?id=278

23-01-1999 - Microsoft deja visible el portapapeles en Internet
http://www.hispasec.com/unaaldia.asp?id=88


jueves, 22 de agosto de 2002

Privacidad, Windows Update y Service Pack 3 para Windows 2000

Windows Update, la herramienta de actualización automática que
Microsoft incluye en el Service Pack 3 para Windows 2000, recopila y
envía información sobre los números de licencia de sus productos y,
además, datos sobre otras aplicaciones y el hardware instalado en
nuestro sistema.
Extracto del contrato de licencia que el usuario debe aceptar para
proceder a la instalación del Service Pack 3 para Windows 2000:

<-----

* Si elige utilizar las características de actualización dentro del
Producto de SO o de los Componentes de SO, es necesario
utilizar cierta información del sistema, hardware y software para
implementarlas. Al utilizar estas características, autoriza
explícitamente a Microsoft o a su agente designado a tener
acceso a y utilizar la información necesaria para la
actualización. Microsoft sólo puede utilizar esta información
para mejorar sus productos, o para ofrecerle tecnologías o
servicios personalizados. Microsoft pueden revelar esta
información a otros, pero no de manera que lo identifique a
usted personalmente.

----->

En http://v4.windowsupdate.microsoft.com/en/about.asp podemos leer
que Microsoft recolecta:

* El número de versión del sistema operativo y el número de
identificación de producto

* El número de versión de Internet Explorer

* Los números de versiones de otro software

* Los números identificadores de los dispositivos hardware Plug
and Play.

Además, genera un identificador global único (GUID) que almacena en
nuestro PC y le permite diferenciarlo frente a cualquier otro sistema.

Microsoft justifica que el número de identificación de producto (PID)
es utilizado para comprobar que el sistema cuenta con una licencia
de producto válida. Con respecto a otros datos de configuración de
nuestro sistema, afirma que tan sólo son utilizados durante el proceso
de actualización y que no son almacenados a posteriori.

En ningún momento Microsoft aclara si "los números de versiones de
otro software" se refiere software desarrollado por la propia
Microsoft o por cualquier otra empresa. Tampoco especifica que datos
quedan registrados y almacenados de forma remota y cuales no, o el
uso y necesidad del GUID. Otro dato que queda en el aire es con que
objetivo Microsoft se reserva el derecho de poder revelar esta
información a terceros.

"A pesar de que Microsoft argumenta que el uso del GUID no se asocia
a ningún tipo de información personal del usuario (nombre, e-mail
y otro tipo de información personal), no hay que olvidar el caso de
las "cookies" identificativas de DoubleClick (una de las mayores
empresas de banners), que la empresa quería cruzar con una enorme
base de datos de su socio de negocios Abacus Direct. El caso se
llevó a los tribunales americanos y DoubleClick tuvo que idear un
método para que los usuarios puedan decidir si aceptan ser
monitorizados o no.", nos recuerda Alex Muntada, lector de
"una-al-día" que nos sugirió tratar este tema.



Bernardo Quintero
bernardo@hispasec.com


Más información:

Microsoft publica el Service Pack 3 para Windows 2000
http://www.hispasec.com/unaaldia.asp?id=1379

Windows Update Privacy Statement (requiere IE)
http://v4.windowsupdate.microsoft.com/en/about.asp

Comentarios en BugTraq:
http://online.securityfocus.com/archive/1/285638
http://online.securityfocus.com/archive/1/285677



miércoles, 21 de agosto de 2002

Creación del grupo de trabajo "Extended Incident Handling (inch)"

El IETF acaba de crear un nuevo grupo de trabajo, denominado "Extended
Incident Handling (inch)", para la definición de estándares de
intercambios de información con y entre organizaciones a cargo de la
investigación de incidentes de seguridad informática.

La IETF es un grupo informal de expertos conformados en grupos de
trabajo con temáticas y objetivos concretos. Tanto la creación de grupos
de trabajo como su composición es completamente libre. De hecho
cualquier usuario de Internet puede suscribirse a las listas de correo
de un grupo de trabajo y, a todos los efectos, pasar a formar parte del
mismo. En ese sentido la experiencia de los años ha demostrado que la
IETF es muy eficiente, se elaboran estándares de forma rápida, que estos
son realmente implementables y que la carga política que puede suponer
el tener participantes que pertenezcan a grandes corporaciones de peso
se contrarresta con facilidad.

El calendario del nuevo grupo de trabajo pretende definir documentos
sobre requerimientos, implementaciones y ejemplos de referencia antes de
fin de 2002. Todas las personas y organizaciones interesadas pueden
suscribirse a la lista de correo creada al efecto, y consultar sus
archivos de forma, ambos de forma libre.



Jesús Cea Avión
jcea@hispasec.com


Más información:

Intrusion Detection Message Exchange Format
Data Model and Extensible Markup Language (XML)
Document Type Definition
http://www.ietf.org/internet-drafts/draft-ietf-idwg-idmef-xml-07.txt

IETF
http://www.ietf.org/

29/04/2002 - Definición del estándar Intrusion Detection Exchange
Protocol
http://www.hispasec.com/unaaldia.asp?id=1282


martes, 20 de agosto de 2002

Nueva vulnerabilidad en ToolTalk

Las versiones no actualizadas del módulo ToolTalk del entorno CDE son
susceptibles a una vulnerabilidad que permite que un atacante remoto
pueda realizar una denegación de servicio o ejecutar código arbitrario
en el servidor.
CDE (Common Desktop Environemnt) es un entorno gráfico de usuario que
funciona en multitud de plataformas Unix (incluyendo Solaris, Compaq,
AIX, Linux y otros sistemas operativos). ToolTalk facilita la
infraestructura necesaria para el intercambio de información entre
múltiples aplicaciones y sistemas que ejecuten CDE.

Las versiones sin actualizar de ToolTalk contienen una vulnerabilidad
que permite que un atacante remoto realice un ataque de denegación de
servicio o, incluso, ejecute código arbitrario en el servidor con
privilegios, típicamente, de administrador o "root".

El problema reside en un desbordamiento de búfer en la rutina RPC
"_TT_CREATE_FILE()". Dado que dicho desbordamiento no ocurre en la pila
de la CPU, el servidor será vulnerable aunque el sistema no permita
ejecutar código en la pila.

Lo más recomendable, por supuesto, es actualizar el servidor ToolTalk
con el parche correspondiente del fabricante. Si ello no es posible, y
no se está utilizando las funcionalidades ToolTalk en producción, se
puede deshabilitar el servicio editando el fichero "/etc/inetd.conf" o
similar de nuestro sistema operativo, donde debemos eliminar las líneas
del tipo:

100083/1 tli rpc/tcp wait root /usr/dt/bin/rpc.ttdbserverd
rpc.ttdbserverd

También debe eliminarse el proceso en memoria, que aparecerá de forma
semejante a:

# ps -ef
UID PID PPID C STIME TTY TIME CMD
...
root 355 164 0 19:31:27 ? 0:00 rpc.ttdbserverd
...

En caso de requerir el servicio ToolTalk y no disponer de parche, al
menos debemos disponer de medidas perimetrales como cortafuegos o reglas
de acceso en los "routers", para limitar la posibilidad de que un
atacante externo acceda a nuestros sistemas empleando estas
vulnerabilidades. Es importante recordar que dichas medidas deben ser
siempre temporales, y que no nos protegen de posibles atacantes en
nuestra propia intranet.

La mayoría de los fabricantes que utilizan DCE ya han publicado
actualizaciones de seguridad del servicio. Revise el estado de los
parches pendientes de aplicación en su sistema operativo.



Jesús Cea Avión
jcea@hispasec.com


Más información:

CERT® Advisory CA-2002-26 Buffer Overflow in CDE ToolTalk
http://www.cert.org/advisories/CA-2002-26.html

Buffer Overflow en CDE ToolTalk
http://www.unam-cert.unam.mx/Boletines/Boletines2002/boletin-UNAM-CERT-2002-026.html

Vulnerability Note VU#387387
Common Desktop Environment (CDE) ToolTalk RPC database server
(rpc.ttdbserverd) vulnerable to buffer overflow via _TT_CREATE_FILE()
http://www.kb.cert.org/vuls/id/387387

Entercept Security Alert
Multi-Vendor Remote Buffer Overflow Vulnerability in CDE ToolTalk
Database Server
http://www.entercept.com/news/uspr/08-12-02.asp

Buffer overflow in Common Desktop Environment (CDE) ToolTalk RPC
database server (rpc.ttdbserverd) allows remote attackers to execute
arbitrary code via an argument to the _TT_CREATE_FILE procedure.
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0679

Multiple Vendor CDE ToolTalk Database Server Heap Corruption
Vulnerability
http://online.securityfocus.com/bid/5444

What is the Common Desktop Environment (CDE)?
http://www.opengroup.org/cde/

CDE FAQ
http://www.opengroup.org/desktop/faq/

18/07/2002 - Vulnerabilidad en CDE ToolTalk
http://www.hispasec.com/unaaldia.asp?id=1362

lunes, 19 de agosto de 2002

Sistemas Oracle afectados por nuevas vulnerabilidades

Se han descubierto dos vulnerabilidades que afectan a sistemas Oracle,
la primera una denegación de servicio remota en Oracle9i SQL*NET y la
segunda un problema de cross-site scripting en scripts JSP de ejemplo de
Oracle 9iAS.
El primero de los problemas reside en un fallo en el mecanismo de
depuración de Oracle9i. Para explotar esta vulnerabilidad los atacantes
los atacantes deben enviar una petición especialmente creada al Oracle9i
SQL*NET listener. Debido al fallo en la implementación, Oracle9i no
trata la petición de forma correcta y deja de responder.

Todas las instalaciones de Oracle9i son vulnerables a este ataque, que
puede solucionarse mediante la instalación del parche con el número
2467947 desde http://metalink.oracle.com.

Por otra parte Oracle 9iAS se distribuye con un número de scripts JSP de
ejemplo que son vulnerables ante ataques de Cross-Site Scripting. Esto
es debido a que no se limpian adecuadamente los datos introducidos en
los campos de texto de los formularios de los scripts vulnerables. Estos
datos también pueden introducirse en las cadenas de consulta de los CGI.
Los scripts afectados son: 'hellouser.jsp', 'welcomeuser.jsp' y
'usebean.jsp'.

Para evitar este problema se debe eliminar los archivos jsp de las
siguientes URLs:
/ora9ias/j2ee/OC4J_Demos/applications/ojspdemos/ojspdemos-web/basic/simp
le
/ora9ias/j2ee/OC4J_Demos/applications/ojspdemos/ojspdemos-web/basic/hell
ouser



Antonio Ropero
antonior@hispasec.com


Más información:

Security vulnerability in Oracle Net (Oracle9i Release 2 Database
Server)
http://otn.oracle.com/deploy/security/pdf/2002alert38rev1.pdf

Oracle9i Application Server Oracle Java Server Page (OJSP) Demos
Vulnerability
http://otn.oracle.com/deploy/security/pdf/2002alert41rev1.pdf



domingo, 18 de agosto de 2002

Vulnerabilidad en los Cisco CSS de la serie 11000

La falta de restricciones correctas para tener acceso a la dirección
URL de administración, hace vulnerables a los switches de la serie
11000 de Cisco.


Cuando un usuario de un Cisco Content Service Switch de la serie 11000
se autentica correctamente pasa al entorno de administración web. Pero
el problema surge cuando tras la primera autenticación correcta se
intenta acceder directamente a la dirección URL de administración, pues
no se pedirá ningún tipo de identificación.

Se recomienda deshabilitar la administración web del switch o aplicar
listas de control de acceso.



Antonio J. Román Arrebola
roman@hispasec.com


Más información:

Cisco Content Service Switch 11000 Series Web Management Vulnerability
http://www.cisco.com/warp/public/707/arrowpoint-webmgmt-vuln-pub.shtml



sábado, 17 de agosto de 2002

Parche acumulativo para SQL Server

Microsoft publica un parche acumulativo para SQL Server 7.0 y SQL Server
2000, que incluye todas las funcionalidades de los parches anteriormente
publicados para estos productos.
Además elimina una nueva vulnerabilidad de elevación de privilegios a
causa de algunos de los procedimientos almacenados extendidos incluidos
por defecto en estos sistemas y usados en algunas de las funciones de
ayuda. Estos procedimientos almacenados extendidos son rutinas externas
escritas en C o C# pero que reciben el mismo tratamiento que los
procedimientos almacenados habituales.

Algunos de los procedimientos almacenados extendidos incluidos por
defecto tienen la capacidad de conectar con la base de datos con la
cuenta del servicio SQL Server, pero debido a un fallo en la asignación
de permisos pueden llegar a ser ejecutados por usuarios sin privilegios.
Esto puede permitir a un atacante elevar sus privilegios o realizar
consultas no autorizadas, debido a que dichos procedimientos extendidos
pueden llegar a ejecutarse con permisos de administrador.

Microsoft publica este parche acumulativo en las direcciones:
Microsoft SQL Server 7.0
http://www.microsoft.com/Release.asp?ReleaseID=Q327068
Microsoft SQL Server 2000
http://www.microsoft.com/Release.asp?ReleaseID=Q316333


Antonio Ropero
antonior@hispasec.com



viernes, 16 de agosto de 2002

Descubierto problema en el tratamiento de certificados digitales en IE

El pasado 5 de agosto se publicó en la lista de correo BugTraq un
mensaje acerca el descubrimiento de un problema en la forma en que
Internet Explorer trata los certificados digitales utilizados en las
comunicaciones SSL (Secure Socket Layer). Esta vulnerabilidad podría
permitir la interceptación, de forma totalmente indetectable para el
usuario, de las comunicaciones supuestamente seguras.
Para entender el alcance de la vulnerabilidad, en primer lugar es
necesario explicar superficialmente como funciona la emisión de los
certificados digitales. Como es de sobra conocido, el protocolo HTTP
utilizado para la transmisión de la información contenida en las páginas
web (documentos HTML, gráficos y un largo etcétera), es un protocolo en
claro. Es decir, todo aquello que se envía circula a través de Internet
exactamente igual a como es enviado y recibido.

Gracias al hecho que el protocolo se transmite en claro, es posible que
un sistema situado entre el emisor y el receptor (el servidor web y el
navegador del usuario, respectivamente) pueda capturar todo el tráfico.
Esto puede hacerse sin que ninguna de las dos partes de la comunicación,
el emisor y el receptor, aprecien ningún problema o indicio de esta
captura.

Evidentemente esta situación impide garantizar el nivel mínimo de
seguridad para poder realizar transacciones que requieran el envío de
datos sensibles, como tarjetas de crédito, direcciones, contraseñas,
números de teléfono, información personal...

Para permitir este tipo de transacciones, se utiliza un protocolo
alternativo denominado HTTPS que utiliza un sistema de encriptación de
clave pública. En vistas a garantizar la identidad del servidor al que
nos conectamos, y prevenir el tipo de ataque descrito anteriormente,
cada servidor al que conectamos mediante HTTPS debe disponer de un
certificado digital que autentique su identidad.

Este certificado debe estar firmado por una autoridad de certificación
(CA, Certificate Authority). El navegador viene con una serie de
certificados de diversas CA, que teóricamente aplican unos criterios muy
estrictos de identificación del titular de un certificado antes de su
emisión. De esta forma, se considera que cualquier certificado firmado
por una CA cumple con los requisitos necesarios para garantizar el buen
fin de la información que circule en la sesión HTTPS.

El escenario habitual para disponer de un certificado digital es el
siguiente: el administrador de A.COM genera una solicitud de certificado
y la envía a la CA para que la firme. Dentro de la solicitud de
certificado se encuentra el nombre de máquina que deberá utilizarse en
la comunicación HTTPS (por ejemplo, WWW.A.COM).

Antes de realizar la firma del certificado, la CA debe comprobar que
A.COM realmente pertenece a la empresa que solicita el certificado. Si
todas las comprobaciones son satisfactorias, firma el certificado y lo
devuelve al administrador que ha realizado la solicitud.

Un certificado firmado de esta forma es absolutamente seguro, ya que no
hay forma de suplantarlo: no se puede modificar el nombre de máquina ni
la firma que ha realizado la CA.

No obstante, existe un posible escenario ligeramente más complicado. En
ocasiones las CA que firman un certificado no están incluidas dentro de
los certificados incluidos dentro del navegador.

Cuando se utiliza un certificado firmado por una CA cuyo certificado no
forma parte de los certificados reconocidos por el navegador sucede que,
al acceder a la máquina, el navegador muestra un aviso informando de
este hecho y que, por tanto, no existe garantía de quien ha firmado el
certificado ni de los procesos de autenticación que se han realizado.

Una alternativa para que esto no suceda es que el certificado de la CA
no directamente reconocida (CA secundaria) por el navegador haya sido
firmado por una CA que si se encuentra dentro de las reconocidas por el
navegador (CA primaria). Cuando se hace esto, automáticamente todos los
certificados emitidos por esta CA secundaria son reconocidos por el
navegador como firmados por la CA primaria.

No obstante, para prevenir posibles certificados ilegítimos, el
navegador tiene la responsabilidad de verificar toda la cadena: que el
certificado digital está firmado por la CA secundaria y que, a su vez,
la CA secundaria ha sido firmada por la CA primaria. También debe
verificar que todos los certificados intermedios son igualmente válidos
y corresponden a los dominios para los que se están utilizando.

Aquí es donde radica la vulnerabilidad descubierta. Internet Explorer
realiza la primera comprobación así como la comprobación de que la CA
secundaria ha sido firmada por la CA primaria. No obstante, no verifica
la integridad de los certificados para verificar que, realmente,
corresponden a los dominios en los que se están utilizando.

Como realizar la suplantación

Un atacante ha obtenido un certificado que haya sido firmado por una CA
y utiliza este certificado para emitir un nuevo certificado, pero que
corresponde a un dominio diferente.

El esquema sería el siguiente:

[ Certificado - Emitido por CA / A nombre de CA ]
-> [ Certificado - Emitido por CA / A nombre de {A.COM} ]
-> [ Certificado - Emitido por {A.COM} / A nombre de {B.COM} ]

Cuando se realiza una conexión a B.COM, Internet Explorer verifica que
el certificado ha sido firmado por A.COM y que éste, a su vez, ha sido
firmado por una CA. Si esta CA se encuentra dentro de las reconocidas
por el navegador, se asume que el certificado es legitimo y se realiza
la conexión sin mostrar ningún aviso al usuario.

El impacto más importante de esta vulnerabilidad es que puede ser
utilizados en ataques de interceptación de tráfico ("man-in-the-middle")
en el que un atacante redirecciona el tráfico dirigido a una sede web de
comercio electrónico hacia su sistema, donde hay un certificado emitido
por él a nombre de la sede de comercio electrónico. Esto le permite
obtener datos confidenciales, como son números de tarjetas de crédito.

Soluciones

En el momento de redactar este boletín, Microsoft no ha publicado
todavía ninguna actualización de Internet Explorer para evitar este
problema. Según recogen algunas publicaciones (ver las URL indicadas más
abajo), parece que el problema radica en el soporte criptográfico del
sistema operativo (Windows) y no propiamente en Internet Explorer.


Xavier Caballé
xavi@hispasec.com



jueves, 15 de agosto de 2002

MessageLabs provoca a los creadores de virus

"Los creadores de virus a través de Internet se convierten en
inofensivas reliquias del pasado". "Expertos aseguran que desaparece
la amenaza de los virus". Después de leer estos titulares basados en
unas declaraciones de la compañía británica MessageLabs tan sólo nos
queda la duda de si forma parte de una burda táctica para provocar la
creación de nuevos virus o si se trata de un intento desesperado de
alcanzar cierta notoriedad en los medios de comunicación.

La verdad es que las declaraciones de MessageLabs, empresa que ofrece
un servicio antivirus externo para filtrar el correo electrónico, no
podían ser más inadecuadas, además de no tener ninguna base. Lejos
de ser sólo un titular sensacionalista, la lectura completa de las
noticias no hace más que aumentar el número de despropósitos.

El simulacro de argumento viene a decir que "Han pasado 18 meses
desde que el virus Anna Kournikova, considerado por muchos el último
gran virus de ordenadores creado por un precoz programador, infligió
graves daños en el mundo corporativo, en lo que podría ser un
indicio de que su época ha pasado. «Ya no son la amenaza que eran»,
dice Mark Toshack, analista de la firma británica de seguridad
MessageLabs.".

El ejemplo escogido como base de argumentación no podía ser peor.
Precisamente el gusano AnnaKournikova no requirió que nadie lo
programara, ya que se originó con un kit de creación automática
que permite diseñar gusanos a golpe de ratón. En realidad la
propagación alcanzada por el gusano AnnaKournikova es considerada
una mancha negra en el expediente de las soluciones antivirus ya
que el kit de creación era conocido y había sido utilizado con
anterioridad, lo que facilitaba su detección. Más sobre este
caso puede consultarse en "(13/02/2001) AnnaKournikova: ¿fracaso
de la comunidad antivirus?" (http://www.hispasec.com/unaaldia.asp?id=842).

Si hacemos uso de la hemeroteca la cosa puede resultar aun más
curiosa. En junio de este año MessageLabs publicaba una nota en la que
afirmaba que los virus están proliferando más que nunca, ya que en los
primeros 6 meses de 2002 han igualado el número de mensajes infectados
detectados durante todo el año 2001
(http://zdnet.com.com/2100-1105-937279.html).

Como último ejemplo de la incongruencia y sensacionalismo demostrados
por MessageLabs no podemos pasar por alto la nota de septiembre de
2001 donde llegaron a pronosticar que Internet llegaría a ser
inutilizable y que se dejaría de utilizar el e-mail por culpa de los
virus (http://www.messagelabs.com/viewNewsPR.asp?id=88&cmd=Pr).


Publicidad engañosa

Dejando al margen la "profesionalidad" demostrada por MessageLabs en
sus declaraciones y notas "informativas", nos encontramos que también
oferta sus servicios mediante publicidad engañosa, ya que asegura que
su servicio antivirus ofrece una protección 100% segura contra virus
conocidos y desconocidos
(http://www.messagelabs.com/viewNewsPR.asp?id=79&cmd=Pr).

Sobra decir a estas alturas que no existe tecnología antivirus, ni en
ninguna otra rama de la seguridad, que pueda ofrecer una garantía 100%
de protección.

Aun hay más, el esquema utilizado consistente en desviar todo el
tráfico de correo electrónico de una empresa a los servidores de
MessageLabs para ser filtrado se presenta especialmente débil a la
hora de poder detectar virus desconocidos o camuflados. Por ejemplo,
basta con que comprima un virus conocido mediante un algoritmo no
reconocido por los motores antivirus utilizados por MessageLabs para
pasar sus filtros. No se trata de un supuesto teórico, en Hispasec
hemos realizado diversos tests consiguiendo burlar de diferentes
formas el servicio antivirus de MessageLabs, llegando a la conclusión
de que son muchos más efectivos los antivirus instalados en las
estaciones de trabajo.

Dejando a un lado la efectividad en el reconocimiento de malware, la
solución propuesta por MessageLabs tiene otras implicaciones en la
seguridad corporativa. El hecho de que todo el correo dirigido a la
empresa cliente sea desviado y pase en primer lugar por los servidores
de MessageLabs permitiría desde ese punto centralizado poder
monitorizar y espiar todo los e-mails. La única forma de asegurar la
privacidad es utilizar sistemas de cifrado, por ejemplo PGP, y en
tal caso el servicio de MessageLabs no tendría ningún sentido ya que
al cifrar los contenidos es imposible detectar ningún virus durante
el tránsito.


Bernardo Quintero
bernardo@hispasec.com


Más información:

Expertos aseguran que desaparece la amenaza de los virus
http://www.elmundo.es/navegante/2002/08/13/seguridad/1029227742.html

Los creadores de virus a través de Internet se convierten en inofensivas
reliquias del pasado
http://www.abc.es/Internet/noticia.asp?id=121096&dia=13082002

¿Amenaza de virus? No, ya han pasado a la historia
http://www.telepolis.com/cgi-bin/reubica?id=66066&origen=EDTecnologia

miércoles, 14 de agosto de 2002

Nueva versión de OpenSSL

Se ha publicado una nueva versión de OpenSSL, la 0.9.6g, que soluciona
numerosos problemas, muchos de ellos de seguridad.

La librería OpenSSL es un desarrollo "Open Source" que implementa los
protocolos SSL y TLS, y que es utilizada por multitud de programas,
tanto para implementar dichos protocolos (por ejemplo, HTTPS) como para
emplear sus componentes criptográficos individuales (funciones de
cifrado y "hash", generadores de claves, generadores pseudoaleatorios,
etc).

La versión 0.9.6e de OpenSSL soluciona los siguientes problemas de
seguridad:

* Desbordamiento de búfer en la negociación SSLv2, en modo servidor.

* Desbordamiento de búfer en la negociación SSLv3, en modo cliente.

* Diversos errores en la implementación de ASN.1.

* Diversos desbordamientos de búfer, especialmente en entornos Kerberos.

La recomendación es actualizar OpenSSL a 0.9.6e o superior. La versión
actual de OpenSSL es la 0.9.6g. Debe reiniciarse cualquier cliente o
servidor que emplee la librería. Los procesos enlazados de forma
estática con ella deben ser recompilados de nuevo.

Jesús Cea Avión
jcea@hispasec.com


Más información:

OpenSSL
http://www.openssl.org/

OpenSSL Security Advisory [30 July 2002]
http://www.openssl.org/news/secadv_20020730.txt

CERT® Advisory CA-2002-23 Multiple Vulnerabilities In OpenSSL
http://www.cert.org/advisories/CA-2002-23.html

Security vulnerabilities in OpenSSL
http://www.linuxandmain.com/modules.php?name=News&file=article&sid=161

Debian Security Advisory
DSA-136-1 openssl -- multiple remote exploits
http://www.debian.org/security/2002/dsa-136

Múltiples Vulnerabilidades en OpenSSL
http://www.unam-cert.unam.mx/Boletines/Boletines2002/boletin-UNAM-CERT-2002-023.html

martes, 13 de agosto de 2002

Antivirus corporativo: dos (diferentes) mejor que uno

Aunque el titular parece obvio, "dos mejor que uno", la realidad es
que la mayoría de las corporaciones terminan instalando en sus
sistemas, tanto servidores perimetrales como estaciones de trabajo,
la misma marca antivirus, lo que penaliza la capacidad de detección.
Desde Hispasec Sistemas, en nuestra faceta de consultores y de
manera independiente a la publicación de la comparativa antivirus
anual para PCs, realizamos análisis a demanda de cara a presentar
proyectos sobre la implantación idónea de soluciones antivirus según
un determinado entorno corporativo. Desde esta experiencia, y en
virtud de la situación de partida con la que nos encontramos en
cada caso, hemos podido observar que la mayoría de las corporaciones
suelen contratar con una sola casa antivirus la protección de todos
sus sistemas. Situación que solemos corregir.

Aunque las casas antivirus suelen tener una amplia gama de soluciones
según el puesto a proteger, la realidad es que todos sus productos
comparten el mismo motor antivirus y base de datos de firmas. Es
decir, si instalamos en el firewall, el proxy, el servidor de correo,
en el servidor de ficheros, y en las estaciones de trabajo el
antivirus de la marca X, habremos aumentado cuantitativamente el número
de chequeos, pero no su calidad.

Imaginemos que queremos proteger un edificio y situamos un guarda
jurado o personal de seguridad en la puerta del garaje, otro en la
entrada del edificio, uno más en la puerta de los ascensores, y por
último repartimos varios guardas en la puerta de cada una de las
oficinas. Todos se han formado de la misma forma y siguen las mismas
pautas de actuación, además todos tienen la misma lista de intrusos
sospechosos basándonos en fotografías de sus rostros.

Cada persona que quiere acceder al edificio es examinada por varios
de los guardas dependiendo de la vía de entrada que utilice, pero
en todos los casos la comprobación es la misma. Si un intruso no
aparece en la lista de sospechosos, podrá burlar a todos los guardas
de manera independiente a la vía que haya elegido para entrar (virus
nuevo no reconocido).

Otro caso que puede darse es que un intruso ya fichado intente
disfrazarse para burlar a los agentes. Si todos los agentes siguen
las mismas técnicas de reconocimiento (motor antivirus), como por
ejemplo pedir que se quiten las gafas de sol en caso de duda, el
intruso podrá pasar inadvertido empleando otras técnicas de camuflaje,
por ejemplo utilizar una peluca (variante o nueva versión de un virus
conocido).

Parece obvio que lo ideal sería contar con varias listas de sospechosos
y guardas con diferentes capacidades y métodos de reconocimiento de
forma que se puedan complementar entre sí, aumentando el grado de
protección global. Siguiendo la analogía con los antivirus, cada
motor tiene sus características y bases de datos de firmas diferentes
que se actualizan de manera independiente.

La realidad es que no basta simplemente con incluir más de un motor
antivirus, ya que se hace necesario un estudio sobre el grado de
complementariedad entre los distintos motores, el rendimiento y
estabilidad que ofrecen según el puesto de la red, y facilitar la
gestión y administración centralizada de los productos elegidos según
la casuística.

Bernardo Quintero
bernardo@hispasec.com



lunes, 12 de agosto de 2002

Se publica una nueva versión de Apache 2.0

Se acaba de hacer pública una nueva versión de Apache 2.0, concretamente
la versión 2.0.40. Esta versión soluciona un grave problema de seguridad
que afecta a los usuarios Apache en plataformas no UNIX.
Apache es el servidor web más popular del mundo, disponible en código
fuente y para infinidad de plataformas, incluyendo Microsoft Windows.

Las versiones de Apache 2.0 previas a la 2.0.40 contienen una
vulnerabilidad que puede afectar al funcionamiento del servidor y
desvelar información confidencial contenida en el mismo. La fundación
Apache no ha hecho públicos aún los detalles exactos de la
vulnerabilidad, en espera de que los administradores de sistemas
Apache actualicen sus instalaciones.

La recomendación Hispasec es que los usuarios de Apache 2.0 actualicen
sus sistemas cuanto antes a Apache 2.0.40. Aunque oficialmente la
vulnerabilidad afecta exclusivamente a sistemas no UNIX (por ejemplo,
Windows, Netware y OS/2), nuestra recomendación es actualizar todos los
servidores Apache 2.0, para mayor seguridad.

Los usuarios de Apache 1.3 no necesitan actualizar sus instalaciones, ya
que estas versiones no se ven afectadas por esta vulnerabilidad.



Jesús Cea Avión
jcea@hispasec.com


Más información:

Apache 2.0 vulnerability affects non-Unix platforms
http://httpd.apache.org/info/security_bulletin_20020809a.txt

Apache HTTP Server Project
http://httpd.apache.org/

Código fuente
http://www.apache.org/dist/httpd/

Vulnerability in Apache 2.0 through 2.0.39 on Windows, OS2, and Netware
allows remote attackers to bypass security restrictions and obtain
sensitive data.
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0661

domingo, 11 de agosto de 2002

Elevación de privilegios local en Windows 2000

Debido a una asignación incorrecta de los permisos en el directorio
raíz del sistema en Windows 2000, un atacante local podrá elevar sus
privilegios.
Windows 2000 para proteger los archivos del sistema localizados en la
raíz de la partición del sistema (boot.ini, ntdetect.com, ntldr,
autoexec.bat etc) aplica la plantilla de seguridad con permisos NTFS
para permitir únicamente a los administradores y usuarios avanzados el
acceso a dichos archivos. La partición del sistema en si misma tiene
permisos para Everyone/Full Control (Todos/Control total). La
documentación de Microsoft también recomienda Everyone/Full Control
(Todos/Control total).

Por compatibilidad POSIX usuarios con permisos NTFS de Control Total por
carpetas podrán borrar podrán borrar cualquier archivo de la carpeta
independientemente de los permisos por archivo. Esto hace posible que
cualquier usuario consiga control total sobre cualquier archivo del
sistema mediante el borrado del archivo original y creación de uno nuevo
con el mismo nombre. Esto posibilita que los archivos del sistema se
conviertan en troyanos para ejecutar cualquier código en el espacio del
kernel y/o cambiar la secuencia de arranque.

Como contramedia se recomienda reemplazar los permisos de Control Total
para el grupo Todos por un conjunto de permisos razonable para las
carpetas raíz incluyendo la partición del sistema.



Antonio Ropero
antonior@hispasec.com



Más información:

Securityfocus. Microsoft Windows 2000 Insecure Default File Permissions
Vulnerability
http://online.securityfocus.com/bid/5415


sábado, 10 de agosto de 2002

Desbordamiento de búfer en MS Content Management Server

Se han descubierto tres vulnerabilidades en Microsoft Content Management
Server, la más seria de ellas puede permitir a un atacante la ejecución
de código en el sistema afectado.
Microsoft Content Management Server (MCMS) 2001 es un producto que forma
parte de la familia.Net Enterprise Server destinado al desarrollo y
administración de sitios web de comercio electrónico.

Existe un desbordamiento de búfer en una función a bajo nivel que
realiza la autenticación de usuarios. Al menos una página web incluida
con MCMS 2001 pasa la entrada directamente a dicha función, lo que
ofrece una forma de ataque directo para provocar el desbordamiento. El
resultado de explotar esta vulnerabilidad será o la caída de MCMS o la
ejecución de código en el contexto de seguridad del servicio MCMS (Local
System).

Una vulnerabilidad resultante de la confluencia de dos fallos que
afectan a la función que permite la subida de archivos al servidor. Al
explotar los dos fallos el atacante podrá subir una página .asp o
cualquier otro archivo al servidor en una localización desde la que
pueda ser ejecutado.

Una vulnerabilidad de inyección SQL que afecta a la función que da
servicio a las peticiones de archivos de imágenes y otros recursos. Si
un atacante explota la vulnerabilidad podrá ejecutar comandos SQL en el
servidor.

El parche para corregir estos problemas de Microsoft Content Management
Server 2001 puede descargarse desde:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=41266


Antonio Ropero
antonior@hispasec.com



viernes, 9 de agosto de 2002

Vulnerabilidad en cortafuegos de Symantec

Se ha detectado una vulnerabilidad en la familia de cortafuegos de
Symantec, este problema permite a un atacante saltarse la protección
del cortafuegos y acceder al sistema protegido.
El problema se genera debido a que el algoritmo de protección del
cortafuegos cambia la secuencia de cifrado cada 35 minutos, lo que
facilita a un asaltante la inserción de datos en este periodo de
tiempo.

Symantec ofrece a disposición de sus clientes un parche que remedia
el problema y que puede ser bajado desde la siguiente dirección. Para
ello deberá introducir su modelo de cortafuegos y la versión.
http://www.symantec.com/downloads/

Las versiones afectadas por este fallo de seguridad son:
Raptor Firewall 6.5 para Windows NT
Raptor Firewall 6.5.3 sobre Solaris
Symantec Enterprise Firewall 6.5.2 para Windows 2000 y NT
Symantec Enterprise Firewall v7.0 para Solaris, Windows 2000, y NT
VelociRaptor 500/700/1000/1100/1200/1300
Symantec Gateway Security 5110/5200/5300.


Antonio J. Román Arrebola
roman@hispasec.com


Más información:

Security Flaw Found in Symantec Firewall
http://www.idg.net/ic_931942_1794_9-10000.html

Symantec
http://www.symantec.com/

jueves, 8 de agosto de 2002

El plugin de Flash permite la lectura de archivos locales

Se ha reportado la existencia de un bug en todas las versiones de
Macromedia Flash Player que permite a un webmaster malicioso la
lectura de archivos locales.
El reproductor de Flash de Macromedia es uno de los plugins para los
navegadores más populares. Según Macromedia más de un 90% de los
usuarios web son capaces de visualizar contenido Flash. Macromedia
Flash Player está disponible para los principales navegadores bajo
Windows, Mac OS, y Linux así como en otros dispositivos como Pocket PC
y Nokia Communicator.

Un atacante que consiga explotar con éxito esta vulnerabildiad podría
acceder al contenido de cualquier archivos del disco duro del usuario,
lo que incluye bases de datos, archivos de contraseñas, etc.

El problema se puede reproducir de tres formas difernetes.

* Mediante una redirección http a un archivo local.
* Con una etiqueta es el documento y emplear
una url relativa
* Incrustar el objeto flash en un archivo web (archivo mht) y hacer
que parezca como si hubiera sido grabado desde el disco duro del
usuario, y usar entonces una url relativa.

Demostraciones de este problema se encuentran disponibles en:
http://kuperus.xs4all.nl/flash.htm
http://www.xs4all.nl/~jkuperus/flash.htm
http://www.xs4all.nl/~jkuperus/flash.mht
Todas ellas leen y muestran el contenido del archivo c:\jelmer.txt

Este problema se encuentra resuelto en la última actualización del
reproductor de Flash (versión 6,0,47,0). Disponible en:
http://www.macromedia.com/go/getflashplayer/



Antonio Ropero
antonior@hispasec.com


Más información:

Aviso de seguridad de Macromedia:
Macromedia MPSB02-10: Macromedia Flash URL Modification Issue:
http://www.macromedia.com/v1/handlers/index.cfm?ID=23294

Bugtraq. Macromedia Flash plugin can read local files:
http://online.securityfocus.com/archive/1/286625



miércoles, 7 de agosto de 2002

Desbordamiento de búfer en Eudora 5.x

El cliente de correo electrónico Eudora en sus versiones 5.x, se ve
afectado por un ataque por desbordamiento de búfer que podría permitir
la ejecución de código malicioso en la máquina atacada.
Eudora es un cliente de correo electrónico que puede correr sobre los
sistemas de Microsoft Windows 95,98,ME,NT 4,0,2000 y MacOS 8,1 y
superiores, desarrollado por Qualcomm.

El desbordamiento de búfer se produce cuando un atacante introce una
cadena excesiva de caracteres en el que el límite de un MIME multiparte
es de longitud excesiva. Esto provoca el desbordamiento y la consiguiente
posibilidad de ejecución de código en la máquina atacada.

En estos momentos no se tiene constancia de la aparición de ningún
parche que solucione este problema.


Antonio J. Román Arrebola
roman@hispasec.com


Más información:

Qualcomm Eudora MIME Multipart Boundary Buffer Overflow Vulnerability
http://online.securityfocus.com/bid/5397

martes, 6 de agosto de 2002

El troyano que burla los firewalls

Recientemente ha saltado a los medios de comunicación la presentación
de un nuevo troyano que actúa como puerta trasera y aprovecha Internet
Explorer para burlar las protecciones de los firewalls. Pese a las
informaciones arrojadas, en realidad el concepto no es nuevo, lleva
tiempo utilizándose y -no se trata de una crítica gratuita- será
cada vez más fácil de explotar gracias a las tecnologías de
Microsoft.
El troyano, diseñado como prueba de concepto, se ha dado a conocer
en la DefCon de este año, la popular convención anual que reúne por
unos días bajo el mismo techo tanto a hackers, expertos de seguridad,
como agentes gubernamentales, entre otros integrantes del cada vez
más heterogéneo mundillo de la seguridad informática.

"Setiri", nombre con el que han bautizado al troyano, se presenta
como un troyano convencional en lo que respecta a su aspecto (una
aplicación), la forma de propagarse (puede llegar adjunto en un
e-mail, descargarse de una web, etc.) y el método de infección o
instalación (necesita que la víctima lo ejecute).

La "novedad" que incorpora "Setiri" es que abre una ventana invisible
de Internet Explorer y se conecta con un sitio para descargar
distintos módulos del troyano, recoger los comandos y enviar
información sensible.

Los firewalls personales que se instalan como software en los mismos
PCs, capaces de detectar el uso de Internet a nivel de aplicaciones,
no detectarán nada anormal en "Setiri" ya que la transmisión de
datos se realiza a través del Internet Explorer, una de las primeras
aplicaciones que se marcan como legítimas ya que es de uso común y
cotidiano.

En cuanto a los firewalls a nivel de redes locales, otros troyanos
se encontraban con la problemática que el puerto que abrían en un
PC de la red local era imposible de alcanzarlo. Por un lado porque
el PC suele contar con una IP del rango interno de la LAN, no
visible desde Internet, y porque el firewall de la red también
realiza filtros a nivel de direcciones y puertos accesibles.

En esta ocasión esa protección es nula, ya que el atacante no
necesita contactar directamente con la dirección y el puerto que
abre el troyano en la máquina de la víctima, sino que es el propio
troyano el encargado de ponerse en contacto con el servidor del
atacante. Por defecto se suele permitir la navegación web por
Internet a todas las estaciones de trabajo de una red corporativa,
así que el troyano utilizará la configuración por defecto de
Internet Explorer, incluida la utilización del proxy de la red
local y cualquier sistema de autenticación con el que contara.

Aunque este troyano se ha presentado como novedad y prueba de
concepto, desde Hispasec podemos afirmar que este tipo de técnicas
ya se venían explotando en ataques reales y, mucho nos tememos,
que a partir de ahora esta práctica se popularice y extienda a otros
niveles.

Cada vez más fácil

Aunque sólo sea por el marketing, todos hemos oído hablar a estas
alturas de .NET, la apuesta tecnológica de Microsoft que supondrá
toda una revolución, donde las aplicaciones (y los desarrolladores)
sufrirán una reingeniería para adaptarse y aprovechar al máximo las
capacidades de la red.

Parte de .NET se sustenta en SOAP (Simple Object Access Protocol),
un protocolo basado en XML para el intercambio de información en
ambientes distribuidos, que se diferencia de CORBA/IIOP, RMI o
DCOM, en que no necesita una conexión directa para comunicarse
entre distintos módulos, sino que utiliza sencillos comandos
GET/PUT para hacerlo a través de servicios web. Entre otras cosas,
SOAP permite a los desarrolladores realizar llamadas entre módulos
de forma remota, aunque existan firewalls entre los sistemas.

En este punto, comparen SOAP con el modo de actuación del troyano
"Setiri"... sobran más comentarios.



Bernardo Quintero
bernardo@hispasec.com


Más información:

Trojan Horse Technology Exploits IE
http://www.idg.net/ic_931755_1794_9-10000.html


lunes, 5 de agosto de 2002

Palladium y TCPA: La respuesta de la industria para mejorar la seguridad... ¿o tal vez algo distinto?

Recientemente se ha presentado una iniciativa de la industria, TCPA, que
se presenta como un método para aumentar el nivel de seguridad de los
sistemas informáticos. Hay quien ve, por el contrario, que de aplicarse
puede suponer la muerte del software de código abierto tal como lo
entendemos hoy.
Palladium es el nombre en clave que recibe una iniciativa de Microsoft
para implementar la especificación TCPA (Trusted Computing Platform
Alliance). Esta iniciativa pretende crear un marco para poder controlar
el software que se ejecuta en los sistemas informáticos. Las principales
empresas del sector informático dan soporte a TCPA: Microsoft, Intel,
IBM, HP y otras empresas.

Palladium es un ambicioso proyecto, surgido a raíz del famoso mensaje
enviado por Bill Gates a todos los empleados de Microsoft el pasado mes
de enero, y que supone una revolución en la arquitectura del PC que hoy
conocemos.

El objetivo final del proyecto Palladium es crear una nueva plataforma
informática que mejore ostensiblemente la capacidad de los usuarios para
proteger la privacidad de sus datos y controlar el software que se
ejecuta en sus máquinas. Microsoft también plantea Palladium como una
nueva plataforma para una serie de servicios, muchos de los cuales
todavía no están disponibles en la actualidad, relacionados con la
privacidad, el comercio electrónico y el entretenimiento.

Uno de los objetivos básicos de Palladium es poner fin al descontrol
existente en el mundo de los virus informáticos. Así, una de las
características que más ha llamado la atención es la posibilidad de
impedir la ejecución de cualquier código que no esté firmado
digitalmente por una fuente de confianza. Este control se realizaría a
nivel de hardware, para evitar posibles problemas de una implementación
a nivel software.

La implementación de este control supondría, de entrada, una importante
barrera no sólo para los virus informáticos, sino para prácticamente la
mayoría de 'exploits' basados en utilizar un desbordamiento de memoria
intermedia (desbordamiento de buffer) para ejecutar código arbitrario.
Como este código no dispondría de su firma digital, no llegaría a ser
ejecutado.

Como ya habrán intuido la mayoría de los lectores de "Una al día",
disponer de este sistema significaría reducir drásticamente los
incidentes de seguridad que hoy por hoy padecemos. Prácticamente casi
todas las noticias que publicamos en "Una al día" pasarían a la
historia, al dejar de existir el código malévolo.

Como afecta esto al código libre

Desde diversos medios relacionados con el código abierto, se ha puesto
la voz de alerta ante estas iniciativas. Se ha llegado a escribir que de
tener éxito esta iniciativa puede suponer la muerte del software de
código abierto... o eso, o Microsoft (o la empresa responsable de firmar
el 'código legítimo' debería firmar los diferentes paquetes de software
libre. Si la nueva versión del núcleo de Linux no dispone de su firma
digital, un sistema basado en Palladium se negaría a ejecutarlo.

El mundo del software de código abierto está pasando por una época muy
negativa durante estas últimas semanas. Las recientes vulnerabilidades
descubiertas en Apache y OpenSSH han mermado la confianza que hasta
ahora se tenía en el software de código abierto. El último incidente de
OpenSSH, en el que un intruso fue capaz de introducir un troyano en la
distribución del paquete, ponen de relieve la necesidad de replantearse
el status actual.

Nos encontramos ante un tema que dará mucho de hablar en los próximos
meses y al que iremos dedicando más boletines próximamente. En el
apartado "Más información" el lector encontrará enlaces a un gran número
de documentos y sedes web en los que se discute ampliamente todo lo
relacionado con Palladium y TCPA.


Xavier Caballé
xavi@hispasec.com



domingo, 4 de agosto de 2002

Microsoft publica el Service Pack 3 para Windows 2000

Microsoft ha publicado el Service Pack 3 para Windows 2000, este
conjunto de parches proporciona las últimas actualizaciones para la
familia de sistemas operativos Windows 2000.
Los Service Pack son el conjunto de actualizaciones más conocido y
demandado por los usuarios de los sistemas operativos de Microsoft.
Estas actualizaciones consisten en una colección de parches en las áreas
de fiabilidad del sistema operativo, compatibilidad de aplicaciones,
configuración y seguridad. Este SP 3 incluye todas las versiones de los
parches para todas las vulnerabilidades de seguridad descubiertas en
Windows 2000 hasta la fecha de cierre del desarrollo del Service Pack.
Es decir, como viene a ser habitual en este tipo de actualizaciones
Windows 2000 SP3 incluye las actualizaciones contenidas en Windows
2000 Service Pack 1 (SP1) y Service Pack 2 (SP2) así como en el Windows
2000 Security Rollup Package 1. Además de una extensa lista de
nuevos parches y actualizaciones desde el anterior SP2.

Los parches de seguridad para Internet Explorer 5.5 y 6.0 no están
incluidos en este SP 3. Sin embargo, sí se han incluido los parches
que afectan a Internet Explorer 5.01 Service Pack 2.

Al igual que con el Service Pack 2 se actualizan los servicios de
cifrado soportados por Windows 2000, pasando de 56 a 128 bits, en
caso de que no se hubiera aplicado el anterior Service Pack para este
sistema operativo.

Por el momento, el Service Pack 3 para Windows 2000, cuya instalación
se recomienda, sólo se encuentra disponible para los idiomas inglés y
alemán en la dirección:
http://www.microsoft.com/windows2000/downloads/servicepacks/sp3/sp3lang.asp


Antonio Ropero
antonior@hispasec.com



Más información:

Windows 2000 Service Pack 3
http://www.microsoft.com/windows2000/downloads/servicepacks/sp3/

List of Bugs Fixed in Windows 2000 Service Pack 3
http://support.microsoft.com/support/misc/kblookup.asp?ID=320853


sábado, 3 de agosto de 2002

Troyano en la distribución de OpenSSH

Se ha confirmado que algunas copias del código fuente del paquete
OpenSSH han sido modificadas por un intruso y contienen un troyano.

Entre el 30 y el 31 de julio se insertó el código de un troyano en las
versiones de OpenSSH 3.2.2p1, 3.4p1 y 3.4 sobre el servidor ftp de
OpenBSD y de ahí se propagó a través del proceso normal de replicación a
otros servidores ftp. El 1 de agosto a las 13:00 UTC se repuso la
versión original de los archivos en el servidor ftp.

Desde OpenSSH se recomienda a todos los sitios que empleen, redistribuyan
o repliquen el paquete OpenSSH verifiquen la integridad de su
distribución.

Con la inclusión del código malicioso se vieron modificados los
siguientes archivos:
openssh-3.4p1.tar.gz
openssh-3.4.tgz
openssh-3.2.2p1.tar.gz

Las versiones de OpenSSH afectadas por el troyano contienen un código
malicioso que se conecta a un servidor remoto fijo en el puerto
6667/tcp. Esto puede abrir un shell con los permisos del usuario que
compiló OpenSSH.

Para comprobar la integridad de los archivos se recomienda verificar las
sumas de verificación (checksums) MD5. Las versiones correctas son las
siguientes:
459c1d0262e939d6432f193c7a4ba8a8 openssh-3.4p1.tar.gz
d5a956263287e7fd261528bb1962f24c openssh-3.4p1.tar.gz.sig
39659226ff5b0d16d0290b21f67c46f2 openssh-3.4.tgz
9d3e1e31e8d6cdbfa3036cb183aa4a01 openssh-3.2.2p1.tar.gz
be4f9ed8da1735efd770dc8fa2bb808a openssh-3.2.2p1.tar.gz.sig



Antonio Ropero
antonior@hispasec.com


Más información:

Aviso de OpenSSH
http://www.openssh.com/txt/trojan.adv

Aviso del CERT:
http://www.cert.org/advisories/CA-2002-24.html

viernes, 2 de agosto de 2002

Vulnerabilidad en IPSwitch IMail

El servicio Web Calendaring de IPSwitch Imail se ve afectado por un
ataque por denegación de servicio.

IMail es una paquete de software comercial distribuido y mantenido
por Ipswitch que corre sobre Windows NT/2000/XP. IMail Server posee
un interfaz de administración remota via web.

Un atacante podría causar una denegación de servicio en IMail
Web Calendaring mediante la ejecución de un comando HTTP POST
especialmente contruido contra en puerto 8484 donde se ofrece
el servicio. De esta forma conseguirá la inestabilidad del sistema,
y podrá llegar a conseguir la caída total del servicio. Este ataque,
en principio, no permitirá conseguir la ejecución de código
malicioso en el servidor.

Las versiones afectadas son Ipswitch IMail 6.0 y siguientes que corren
sobre los sistemas de Microsoft. En estos momentos no existe un parche
que corrija la vulnerabilidad descrita anteriormente.



Antonio J. Román Arrebola
roman@hispasec.com


Más información:

IPSwitch IMail Web Calendaring Incomplete Post Denial Of Service
Vulnerability
http://online.securityfocus.com/bid/5365

Ipswitch IMail Software Patches and Upgrades
http://www.ipswitch.com/support/IMail/patch-upgrades.htmlv

IMail Server
http://www.ipswitch.com/products/IMail_Server/index.html

Captura IMail Web Calendaring
http://www.ipswitch.com/Products/IMail_Server/images/webcal_weekly.gif

jueves, 1 de agosto de 2002

Desbordamiento de búfer remoto en Sun RPC

Se ha descubierto un desbordamiento de búfer en la primitiva de filtro
xdr_array. Esta función forma parte de la librería Sun RPC, y se emplea
en múltiples servicios RPC. Cualquier software que haga uso de la
función xdr_array puede ser vulnerable.

Las primitivas XDR (External Data Representation) son rutinas que
permiten la representación uniforme de tipos de datos sin tener en
cuenta la arquitectura del sistema por su traducción a una
representación externa. La primitiva de filtro xdr_array se usa para
traducir arrays de longitud variable.

En concreto la vulnerabilidad reside en xdr_array al permitir a
atacantes remotos trasmitir facilitar un número extremadamente grande de
elementos a xdr_array y de esta forma crear el desbordamiento de búfer.
Esta vulnerabilidad puede permitir a los atacantes remotos la ejecución
de comandos arbitrarios en el sistema vulnerable con privilegios de
superusuario. Se ven afectados por este problema las versiones de Sun
Solaris desde 2.5.1 hasta Solaris 9, así como versiones de FreeBSD,
NetBSD y OpenBSD.



Antonio Ropero
antonior@hispasec.com


Más información:

Aviso de ISS X-Force
Remote Buffer Overflow Vulnerability in Sun RPC
http://bvlive01.iss.net/issEn/delivery/xforce/alertdetail.jsp?oid=20823

Securityfocus. Multiple Vendor Sun RPC xdr_array Buffer Overflow
Vulnerability
http://online.securityfocus.com/bid/5356

NetBSD Security Advisory 2002-011
Sun RPC XDR decoder contains buffer overflow
ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2002-011.txt.asc