lunes, 30 de septiembre de 2002

Vulnerabilidad de inyección html en XOOPS v. RC3.0.4

La herramienta de creación de portales XOOPS se ve afectada por una vulnerabilidad que permite a un atacante la ejecución de código malicioso en la máquina atacada.
XOOPS es una herramienta para la creación dinámica de portales, escrito en PHP y bajo Licencia Open Source. XOOPS basada en programación orientada a objetos está dedicada especialmente al desarrollo y mantenimiento de portales Web.

Se han encontrado problemas de seguridad en XOOPS que podrían facilitar a un atacante la ejecución de código arbitrario en un cliente vulnerable, mediante la utilización de un script especialmente diseñado para ello.

El problema viene dado porque XOOPS no filtra suficientemente el código html malicioso en los mensajes emitidos. Como resultado cuando un usuario visualiza un mensaje enviado que contenga código html malicioso el código se ejecutará en el navegador del usuario.

Ejemplo:


Parches:
Xoops Upgrade xoops_v1_rc3fix5.tar.gz
http://www.xoops.org/modules/mydownloads/visit.php?lid=231



Antonio J. Román Arrebola
roman@hispasec.com


Más información:

Xoops RC3 vulnérable à une attaque typique IMG.
http://www.echu.org/modules/news/article.php?storyid=95


domingo, 29 de septiembre de 2002

Nueva versión de Apache TOMCAT

Las versiones de Apache TOMCAT previas a la 4.0.5 o 4.1.12 son
susceptibles a una vulnerabilidad mediante la cual un atacante puede
obtener el código fuente de una página JSP.
Apache TOMCAT es un componente Apache (dentro del proyecto Jakarta) que
incorpora un servidor JSP y Java Servlets 100% código abierto.

Las versiones no actualizadas 4.* de TOMCAT devuelven el código fuente
de una página JSP o Servlet al introducir una URL formateada
apropiadamente. Bajo ciertas circunstancias, podría ser posible también
acceder a recursos protegidos.

La recomendación es actualizar cuanto antes a Apache TOMCAT 4.0.5 o
4.1.12, ya disponibles.



Jesús Cea Avión
jcea@hispasec.com


Más información:

Bug de seguridad en Apache Tomcat 4.x, y nueva version estable
http://www.javahispano.org/noticias/entera.jsp?id=472

Publicado bug en Tomcat
http://barrapunto.com/article.pl?sid=02/09/26/1849256

24 September 2002 - Security updates: Tomcat 4.1.12 Stable and Tomcat
4.0.5 Released
http://jakarta.apache.org/site/news.html#0924.1

TOMCAT
http://jakarta.apache.org/tomcat/


sábado, 28 de septiembre de 2002

Vulnerabilidad en Bea WebLogic Server y Express

Bea WebLogic Server y Express se ven afectados en algunas de sus
versiones por una vulnerabilidad que podría permitir que la respuestas
HTTP puedan ser compartidas entre dos usuarios.
WebLogic Server almacena en un búfer los datos de las respuestas para
lograr un mejor rendimiento. El problema reside en un fallo en este
búfer de respuestas que puede permitir que se comparta entre dos
sesiones http diferentes.

La explotación de esta vulnerabilidad no podría ser intencionada, ya
que la respuesta se daría de forma aleatoria. Este dato no quita
importancia al problema ya que la petición de datos de un usuario
podría ser mostrada a un segundo, con el peligro que puede conllevar
en caso de ofrecer datos sensibles.

Los productos afectados son BEA WebLogic Server y Express 6.1, 6.1 SP1,
7.0 y 7.0.0.1. Según informa el fabricante este problema está corregido
en las versiones de WebLogic Server 7.0 Service Pack 1 y WebLogic Server
6.1, Service Pack 3.



Antonio J. Román Arrebola
roman@hispasec.com


Más información:

SECURITY ADVISORY (BEA02-20.00)
http://dev2dev.bea.com/resourcelibrary/advisoriesdetail.jsp?highlight=advisoriesnotifications&path=components%2Fdev2dev%2Fresourcelibrary%2Fadvisoriesnotifications%2FAdvisories_BEA02-20.htm

BEA Systems, Inc:
http://www.bea.com



viernes, 27 de septiembre de 2002

Desbordamiento de búfer en extensiones de servidor FrontPage 2000 y 2002

Un problema en las extensiones FrontPage de servidor puede permitir
a un usuario malicioso la realización de ataques de denegación de
servicio o incluso la ejecución de código en los servidores afectados.
El interprete SmartHTML (shtml.dll) forma parte de las extensiones
FrontPage de servidor (FPSE), y proporciona soporte para formularios
web y otro contenido dinámico basado en FrontPage. El intérprete
contiene un fallo que puede ser expuesto al procesar una petición de
un tipo particular de archivo web si la petición tiene determinadas
características.

Un ataque exitoso tendrá diferentes resultados en función de la
versión instalada, bajo FrontPage Server Extensions 2002 se producirá
un desbordamiento de búfer que permitirá al atacante la ejecución de
código. Mientras que bajo FrontPage Server Extensions 2000 provocará
el consumo de la mayor parte (o todos) de los recursos de CPU hasta
que el servicio web se reinicie.

Las actualizaciones publicadas por Microsoft se encuentran disponibles en:
Microsoft FrontPage Server Extensions 2002
http://download.microsoft.com/download/FrontPage2002/fpse1002/1/W98NT42KMeXP/EN-US/fpse1002.ex
Microsoft FrontPage Server Extension 2000 para NT4
http://download.microsoft.com/download/fp2000fd2000/Patch/1/W9XNT4Me/EN-US/fpse0901.exe
Microsoft FrontPage Server Extensions 2000 para Windows XP:
http://windowsupdate.microsoft.com/
Microsoft FrontPage Server Extensions 2000 para Windows 2000:
http://windowsupdate.microsoft.com/



Antonio Ropero
antonior@hispasec.com


Más información:

Microsoft Security Bulletin MS02-053: Buffer Overrun in SmartHTML Interpreter Could Allow Code Execution
http://www.microsoft.com/technet/security/bulletin/MS02-053.asp


jueves, 26 de septiembre de 2002

Libro "Seguridad en Unix y Redes" v2.1

Disponible la última versión del libro "Seguridad en UNIX y Redes", de
Antonio Villalón Huerta, gratuito y descargable en formato PDF.
"Seguridad en Unix y Redes" v2.1 se distribuye en formato PDF de forma
gratuita bajo las condiciones de la "GNU Free Documentation License".
Sus 503 páginas se pueden descargar como fichero PDF de 2.7 MBytes,
desde la dirección indicada al final de este boletín.

Respecto a la versión 2.0, anunciada en HispaSec en Mayo de 2002, esta
versión corrige alguna erratas y añade la "GNU Free Documentation
License" como apéndice, que es la nueva licencia bajo la que se
distribuye el documento. Las versiones previas del mismo fueron
publicadas bajo la licencia "Open Publication License". La nueva
licencia, similar a la "GNU GPL" de software, permite disponer también
del código fuente LaTeX del libro.



Jesús Cea Avión
jcea@hispasec.com


Más información:

Seguridad en Unix y Redes. Versión 2.1 (Julio 2002)
http://andercheran.aiind.upv.es/toni/personal/unixsec.pdf

Página web personal de Antonio Villalón Huerta
http://andercheran.aiind.upv.es/toni/personal/

04/10/2000 - Libro "Seguridad en Unix y Redes" v1.2
http://www.hispasec.com/unaaldia.asp?id=710

28/05/2002 - Libro "Seguridad en Unix y Redes" v2.0
http://www.hispasec.com/unaaldia.asp?id=1311


miércoles, 25 de septiembre de 2002

Vulnerabilidad de seguridad en Mozilla y proyectos derivados

Las versiones de Mozilla no actualizadas son susceptibles a un ataque de
seguridad que permite que un "webmaster" malicioso sepa a qué URL accede
el usuario cuando éste abandona su página web.
Mozilla es un entorno OpenSource de gran calidad. Su mayor exponente es
el propio Mozilla, navegador en el que se fundamenta el Netscape 6.* y
el reciente Netscape 7.0. Pero existen multitud de productos basados en
Mozilla, como otros navegadores (Galeon), entornos IDE e, incluso,
juegos.

Las versiones no actualizadas de Mozilla permiten que un "webmaster"
malicioso pueda saber qué URL introduce el usuario cuando abandona su
página web.

El problema radica en la carga de objetos (en particular, gráficos)
desde código JavaScript. Cuando el usuario está viendo una página, e
introduce una nueva URL para cambiar de web, los objetos que se carguen
desde la primera página contendrán un campo "referer" apuntando a la
segunda página, aún no cargada.

El campo "referer" del protocolo HTTP permite que la petición de un
objeto indique la URL del objeto que provoca su carga. Por ejemplo,
cuando pulsamos un enlace, la página web nueva recibe como "referer" la
URL de la página que contiene dicho enlace. Cuando cargamos una página
web con gráficos, el "referer" de los gráficos será la URL de la página
web en sí.

En este caso, el "referer" de los objetos cargados indicará que están
siendo cargados desde la segunda página web, lo que no es el caso. Si
existe código JavaScript que recarga una imagen (por ejemplo, un
"banner" publicitario) cada cierto tiempo, el "webmaster" puede saber a
qué páginas salta el usuario tras ver su web.

El problema también puede reproducirse, incluso de forma más fiable,
utilizando el método JavaScript "window.onunload()", que se invoca
cuando se abandona una página web. Un "webmaster" puede usar el
siguiente código JavaScript, por ejemplo, en sus páginas web:





Este problema afecta también a otros navegadores basados en Mozilla,
como Galeon, Chimera o Netscape 6.* y 7.0.

El problema se solucionó el 17 de Septiembre de 2002. Cualquier "build"
diario posterior a dicha fecha es inmune a este problema. También lo
serán los futuros Mozilla 1.0.2, 1.1.1 y 1.2.

Si usas "build" diario, descarga una versión posterior al 17 de
Septiembre. Si empleas un "release" oficial de Mozilla, a la espera de
que se publiquen versiones nuevas, puedes eliminar el campo "referer" en
tus peticiones HTTP, tal y como se detalla en una de las URLs que
adjuntamos al final de este documento.

Es de señalar, no obstante, que una vez corregida esta vulnerabilidad,
Mozilla es el único navegador sin ningún problema de seguridad conocido
y no solucionado, todo un récord.



Jesús Cea Avión
jcea@hispasec.com


Más información:

Website can see url of page visited after it (document referer used when
loading images with javascript is incorrect while loading a new page)
http://bugzilla.mozilla.org/show_bug.cgi?id=145579

Mozilla Referer Privacy Leak Demonstration
http://members.ping.de/~sven/mozbug/refcook.html

Mozilla.org
http://www.mozilla.org/

Privacy Leak in Mozilla and Mozilla-Based Browsers
http://slashdot.org/article.pl?sid=02/09/16/0024240

Netscape and Mozilla leak Web surfing data
http://news.zdnet.co.uk/story/0,,t269-s2122261,00.html

Mozilla Privacy Bug
http://www.mozillazine.org/talkback.html?article=2467


martes, 24 de septiembre de 2002

Más de 10 nuevas vulnerabilidades diarias en agosto

El número de nuevos agujeros de seguridad informática detectados
no justifica las alarmas generalizadas.
El Servicio de Análisis, Notificación y Alertas (SANA) de Hispasec
documentó y distribuyó más de 10 nuevas vulnerabilidades diarias
durante el pasado mes de agosto. Pese al aumento significativo en el
número de avisos, no ha sido un mes que destaque por el número de
incidencias en materia de seguridad informática en comparación con
periodos anteriores.

Algunas de las plataformas más afectadas fueron los sistemas y
aplicaciones de Microsoft con un 11,51% de los avisos, las
distribuciones RedHat 8,40%, Debian 7,08%, mientras que Sun
protagonizó un 6,19% y HP un 5,75% del total de las vulnerabilidades.

Según la clasificación de SANA, el 7,08% de las vulnerabilidades se
han considerado de riesgo Alto, el 8,41% Medio-Alto, el 78,31% de
nivel Medio, el 3,54% Medio-Bajo y un 2,66% como riesgo Bajo.

La mayoría de estas vulnerabilidades, un 68,14%, contaron con
actualizaciones y parches para corregirlas, mientras que para el
resto Hispasec documentó contramedidas y acciones preventivas
adicionales a la espera de la solución oficial.

Pese a este baile de cifras, que a primera vista es significativo y se
presenta como una buena herramienta para el marketing (sin ir más
lejos la propia nota lleva implícita la promoción de SANA), la
percepción desde Hispasec es que el aumento cuantitativo no responde
necesariamente a un incremento de las amenazas reales ni al número de
incidencias que finalmente se han producido.

Uno de los efectos colaterales del 11-S ha sido precisamente una
hipersensibilización en materia de seguridad informática que se ha
traducido en un aumento significativo tanto en el número de nuevas
vulnerabilidades detectadas como en el reporte de incidencias, fruto
de una mayor preocupación y dedicación general. Según estimaciones
de Antonio Ropero, Jefe de Producto de SANA, "si no se llevara a
cabo un filtro selectivo en estos momentos podríamos rondar unos
20 avisos diarios".

Es decir, las vulnerabilidades e incidentes no han aumentado de
forma tan espectacular, ya existían con anterioridad, si bien ahora
se han prestado más recursos y atención global a su descubrimiento
y notificación. Esta situación, lejos de suponer una amenaza, supone
un incremento y fortalecimiento de la seguridad.

Esta reactivación del sector se presenta como beneficiosa, a todos los
niveles, dadas las carencias y debilidades que presentan la mayoría de
sistemas implantados, sin embargo Hispasec recomienda prudencia a la
hora de valorar estos indicadores, evitando las alarmas injustificadas
en busca de resultados inmediatos, ya que a la larga supondrían una
perdida de sensibilidad/seguridad por parte de las empresas y usuarios,
amén del impacto negativo en la credibilidad del sector.

En definitiva, no se debe caer en la tentación de vender miedo y de
utilizar como argumento principal interpretaciones subjetivas y
partidistas de las estadísticas.

"Un pronosticador sencillo utiliza la estadística como un hombre
borracho las farolas, más como soporte que como iluminación."
Andrew Lang



Bernardo Quintero
bernardo@hispasec.com


Más información:

SANA - Servicio de Análisis, Notificación y Alertas
http://www.hispasec.com/sana/


lunes, 23 de septiembre de 2002

Actualización para Remote Desktop de sistemas Windows

Microsoft publica la actualización necesaria para problemas relacionados
con el Remote Desktop Protocol (RDP) incluido en Microsoft Windows 2000
y Windows XP.
Es posible habilitar el tráfico cifrado para RDP. Los checksums de los
paquetes se añaden a cada paquete cifrado pero se emplea una llave
estática para toda la sesión entera. Como resultado paquetes con
contenidos idénticos tienen el mismo checksum. Si el mismo paquete se
envía repetidamente esto facilitará información útil a un posible
atacante que intercepte el tráfico de la red. Un atacante podrá
deducir determinadas cosas sobre la naturaleza del tráfico. Este
problema afecta a Windows 2000 y Windows XP.

Otro problema, que en este caso solo afecta a Windows XP, proviene de
La introducción con versión 5.0 de Microsoft Windows RDP de soporte
para paquetes abreviados. Cuando se envían comandos y eventos de
entrada durante una sesión RDP, se añade un checksum a cada
paquete que se deriva del evento. Sin embargo es posible llegar a
deducir eventos particulares (como pulsaciones de teclado individuales)
basados en el checksum.

Dada la capacidad de observar el tráfico de la red y deducir los
eventos que están ocurriendo, es posible para un atacante inyectar
paquetes maliciosamente creados en una sesión que puedan provocar
que ocurra un determinado evento.

Se pueden descargar las actualizaciones desde las siguientes direcciones:
Windows 2000:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=41326
Windows XP:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=41288
Windows XP 64 bit Edition:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=41314


Antonio Ropero
antonior@hispasec.com


Más información:

Cryptographic Flaw in RDP Protocol can Lead to Information Disclosure
http://www.microsoft.com/technet/security/bulletin/MS02-051.asp

domingo, 22 de septiembre de 2002

Microsoft corrige tres vulnerabilidades en el soporte Java

La Máquina Virtual (VM) de Microsoft, antes conocida como Máquina Virtual
Java, se incluye como parte de la mayoría de las versiones de Windows
así como en la mayoría de versiones de Internet Explorer. Se publica
un nuevo parche para Microsoft VM para eliminar tres vulnerabilidades.

La primera de las vulnerabilidades involucra a las clases Java Database
Connectivity (JDBC) que proporcionan características que permiten a las
aplicaciones Java conectarse y usar datos de una variedad de fuentes de
datos. Un atacante que explote esta vulnerabilidad podrá cargar y
ejecutar cualquier DLL en el sistema del usuario afectado.

La segunda vulnerabilidad también compete al JDBC, y resulta porque
determinadas funciones en no validan correctamente las entradas. Esta
vulnerabilidad podrá permitir a un atacante proporcionar datos que
tengan el efecto de ejecutar código en el contexto de seguridad del
usuario.

La tercera vulnerabilidad afecta a las clases que proporcionan soporte
para el uso de XML en aplicaciones Java. Esta clase no diferencia
correctamente entre los métodos disponibles para cualquier applet o los
disponibles para los confiables y deja que todos los métodos estén
disponibles para todos los applets. Entre las funciones que pueden ser
abusadas a través de esta vulnerabilidad existen algunas que pueden
permitir a un applet realizar cualquier acción deseada en el sistema del
usuario.

Las actualizaciones necesarias para paliar estos problemas están
disponibles a través de Windows Update:
http://windowsupdate.microsoft.com/



Antonio Ropero
antonior@hispasec.com


Más información:

Flaw in Microsoft VM JDBC Classes Could Allow Code Execution
http://www.microsoft.com/technet/security/bulletin/MS02-052.asp



sábado, 21 de septiembre de 2002

Denegación de servicio en IBM Websphere 4.0.3

Un problema de desbordamiento de búfer en IBM Websphere 4.0.3 puede
provocar problemas de denegación de servicio.
Un usuario malicioso puede enviar una petición http mal construida y
provocar con ello la caída del servidor IBM Websphere. El problema se
debe a que el servidor no realiza las adecuadas comprobaciones de
límites en cabeceras http de gran tamaño.

Si la petición se realiza sobre un recurso .jsp (no es necesario que
exista el archivo .jsp), y el campo HTTP "Host" contiene 796
caracteres o más, el servicio web dejará de prestar servicio. Otros
campos HTTP también resultan vulnerables si el tamaño se incrementa en
4K.

En ocasiones el servicio web se recupera por si mismo.

Se debe instalar el parche PQ62144 disponible en las siguientes
direcciones:
AIX:
ftp://ftp.software.ibm.com/software/websphere/appserv/support/fixes/pq62144/AIX/
HP-UX:
ftp://ftp.software.ibm.com/software/websphere/appserv/support/fixes/pq62144/HPUX/
Linux:
ftp://ftp.software.ibm.com/software/websphere/appserv/support/fixes/pq62144/Linux/
Solaris:
ftp://ftp.software.ibm.com/software/websphere/appserv/support/fixes/pq62144/Solaris/
Windows:
ftp://ftp.software.ibm.com/software/websphere/appserv/support/fixes/pq62144/Windows/




Antonio Ropero
antonior@hispasec.com


Más información:

IBM Websphere Large Header DoS
http://online.securityfocus.com/advisories/4494

IBM. Possible security exposure with web servers plugin
http://www-1.ibm.com/support/docview.wss?rs=180&context=SSEQTP&q=PQ62144&uid=swg24001610

IBM WebSphere Large HTTP Header Buffer Overflow Vulnerability
http://online.securityfocus.com/bid/5749


viernes, 20 de septiembre de 2002

Vulnerabilidad en los clientes GAIM

Las versiones de GAIM previas a la 0.59.1 permiten que un atacante
remoto ejecute comandos arbitrarios en la máquina del usuario.
GAIM es un cliente de mensajería instantánea que permite conectarse a
muy diversas redes, incluyendo Yahoo!, ICQ, IRC, MSN, etc.

Las versiones de GAIM previas a la 0.59.1 permiten que un atacante
remoto ejecute comandos arbitrarios en la máquina del usuario, con sus
privilegios.

El problema radica en la función "MANUAL", que envía un comando al
"shell" (interfaz de línea de comando) UNIX sin comprobar o anular
posibles caracteres de control que puedan haberse recibido.
Lamentablemente el usuario no ve el ataque cuando GAIM le presenta la
URL para que pueda pulsar sobre ella y lanzar un navegador, por lo que
está completamente desprotegido.

Si es usted un usuario de GAIM, actualice su cliente cuanto antes a la
versión 0.59.1 o superior.



Jesús Cea Avión
jcea@hispasec.com


Más información:

GAIM
http://gaim.sourceforge.net/


jueves, 19 de septiembre de 2002

Microsoft 0, Piratas 1

Con la presentación del Service Pack 1 para Windows XP, Microsoft
pretendía que únicamente los usuarios de copias legales del sistema
operativo pudieran instalarlo. El resultado ha sido un autentico fiasco.
Cuando se procede a la instalación del Service Pack para Windows XP el
programa de instalación realiza una verificación para determinar si el
sistema operativo es una copia legítima o por el contrario se trata de
una versión pirata. Para ello, se comprueba el número de serie del
sistema cotejándolo con una lista negra. Si el número de serie figura
dentro de esta lista, no puede realizarse la instalación.

Por otra parte, según determinadas fuentes y de acuerdo con los nuevos
parámetros incluidos en la licencia final de usuario de los sistemas
operativos de Microsoft, parece que a partir de ahora cada vez que un
usuario visite el servicio "Windows Update" se procederá a comprobar si
su sistema operativo es una versión legítima. Tan pronto como se detecte
una versión pirata, Microsoft bloqueará el acceso al servicio automático
de actualizaciones.

No obstante, y antes de incluso de la disponibilidad oficial del Service
Pack, se publicaron en diferentes sedes web métodos que explicaban como
saltarse esta protección de forma que los usuarios de versiones no
legales de Windows XP también pudieran realizar la instalación del
Service Pack. Se han llegado incluso a publicar herramientas que
facilitan la realización de los cambios necesarios para permitir la
instalación del Service Pack en esas versiones piratas.

Todo esto me hace plantear una serie de preguntas. ¿Hasta que punto son
efectivas las diferentes medidas tomadas para evitar la utilización de
software pirata? No es la primera vez, ni ciertamente será la última,
que los diversos sistemas anticopia son sorteados con mayor o menor
dificultad. Recordemos, por ejemplo, el método de protección que impedía
la copia de CD de música y que podía ser eliminado con un simple
rotulador negro.

¿Todas estas medidas no acaban siendo un engorro que, lejos de impedir
la existencia de copias piratas, se convierten en molestias y
dificultades para los usuarios legítimos de Windows?

Recordemos que la iniciativa TCPA prevé la utilización de este tipo de
protecciones para mejorar la seguridad de los productos e impedir su
distribución ilegal. Pero como cada vez vamos comprobando, los
principales perjudicados por este tipo de iniciativas acaban siendo los
usuarios legales de los productos, para quiénes cada vez es más difícil
la instalación y actualización de sus equipos.

Y no olvidemos que detrás de todos estos sistemas de protección hay un
gran número de horas de desarrollo y diseño por parte de los
fabricantes. Horas que influyen en el precio final pagado por los
usuarios legales de los productos.

Posiblemente estas horas serían mucho mejor invertidas si se empleasen
en mejorar la calidad final de los productos publicados y no en aplicar
unas medidas que, incluso antes de entrar en vigor, se demuestran que
son totalmente ineficaces.


Xavier Caballé
xavi@hispasec.com



miércoles, 18 de septiembre de 2002

Plan para la seguridad en la red de la Administración norteamericana

En estos momentos la Casa Blanca está perfilando un plan nacional para
dar una mayor seguridad a Internet.

Este plan comienza con polémica, debido a que algunas empresas
tecnológicas están promoviendo una campaña con la finalidad de que el
gobierno norteamericano acoja en este nuevo plan recomendaciones que
a su entender son imprescindibles.

El plan en cuestión se estima que verá la luz el 18 de septiembre, y
parece que en cerca de 150 páginas recoge 80 nuevas obligaciones
para el gobierno, compañías, universidades y usuarios personales.

Este nuevo plan se fundamenta en varios puntos, tales como la
supervisión por parte de organismos gubernamentales del modo que las
compañías hacen uso de la información de sus usuarios. Restricción del
uso de ciertas tecnologías inalámbricas. Obligación a las agencias
del gobierno a la compra de software certificado. Establecer un centro
para el estudio de virus informáticos y una partida presupuestaria
para implementar medidas que tiendan a dar una mayor seguridad a los
enrutadores que controlan el tráfico de Internet. No se podían olvidar
de la recolección y el análisis de datos que discurran a través de
universidades ya que el gobierno estima que la mayoría de los ataques
a sistemas provienen de estos lugares.

Allan Paller, director de SANS Institute declaró "realmente me han
dado una sacudida eléctrica en cómo las compañías han estado actuando
en su propio interés más bien que en el interés nacional"



Antonio J. Román Arrebola
roman@hispasec.com


Más información:

Administration Pares Cyber-Security Plan
http://www.washingtonpost.com/wp-dyn/articles/A59168-2002Sep9.html

Estados Unidos considera la creación de un fondo para ciberseguridad
http://www.idg.es/comunicaciones/noticia.asp?id=25837

martes, 17 de septiembre de 2002

Una vulnerabilidad de Windows XP permite borrar archivos en el disco

Descubierto un defecto en Windows XP que permite borrar cualquier archivo
del disco duro simplemente siguiendo un enlace en una página web o un
mensaje HTML.
La vulnerabilidad se encuentra en el Help and Support Center ("Ayuda y
soporte técnico" en la versión en castellano) de Windows XP y puede ser
utilizada para borrar archivos en el ordenador del usuario, sin que éste
tenga conocimiento ni constancia de lo que ocurre.

Se puede comprobar el funcionamiento de esta vulnerabilidad siguiendo los
siguientes pasos:

1) Crear un directorio denominado C:\TEST
2) Copiar algunos archivos (no importantes) en dicho directorio
3) Copiar en la barra de direcciones (del navegador o en cualquier carpeta)
la siguiente dirección:

hcp:// system/DFS/uplddrvinfo.htm?file://c:\test\*

4) El usuario verá como aparece una ventana de "Ayuda y soporte técnico"
acerca la instalación de un nuevo dispositivo hardware. En el mismo momento
en que se cierre esta ventana, se borran todos los archivos indicados en el
enlace que hemos seguido.

Podemos evitar este problema haciendo uno de los siguientes cambios

1) Borrar o cambiar el nombre al archivo
C:\WINDOWS\PCHEALTH\HELPCTR\SYSTEM\DFS\UPLDDRVINFO.HTM

2) Editar dicho archivo y borrar las siguientes líneas de código

var oFSO = new ActiveXObject ( "Scripting.FileSystemObject" );
try
{
oFSO.DeleteFile( sFile );
}

Otra forma de actuar es, cuando aparece de forma inesperada la ventana de
"Ayuda y soporte técnico" finalizar el proceso HELPCTR.EXE utilizando el
gestor de tareas de Windows.

Lo más triste del caso es que Microsoft ha incluido la solución a este
problema en el Service Pack 1 de Windows XP, pero sin incluir ninguna
referencia en ningún sitio.



Xavier Caballé
xavi@hispasec.com



lunes, 16 de septiembre de 2002

Desbordamiento de búfer en Apple QuickTime ActiveX

El componente Activex de Apple QuickTime v5.0.2 se ve afectado por
una vulnerabilidad que permitiría un ataque DoS y la posterior ejecución
de código.
Apple QuickTime es un reproductor multimedia, que según datos
de Apple en su versión 5.0 ha tenido una cifra de 100 millones
de descargas. El componente afectado es usado para insertar películas
en un una página Web.

Existe un desbordamiento de búfer provocado por la forma en que el
componente ActiveX de QuickTime trata el campo "pluginspage" cuando se
analiza desde una página html maliciosa local o remota. Este problema
puede permitir la ejecución de código en el ordenador remoto al
visualizar dicha página web.

Este mismo tipo de vulnerabilidad afectó a Internet Explorer 5.5 SP2 y
6.0 a principios de año.

Para explotar esta vulnerabilidad el atacante deberá conseguir que la
víctima abra una página html que contenga el código que explota esta
vulnerabilidad.

Apple Computer ha puesto a disposición de los usuarios de QuickTime
una versión revisada, la 6, que se puede bajar desde el sitio:
http://www.apple.com/quicktime/



Antonio J. Román Arrebola
roman@hispasec.com


Más información:

Apple QuickTime ActiveX Buffer Overrun
http://www.securiteam.com/windowsntfocus/5NP0B0A8AS.html

Quicktime
http://www.apple.com/quicktime



domingo, 15 de septiembre de 2002

Nuevas vulnerabilidades en OpenSSL y mod_ssl de Apache

Tal y como se está discutiendo en diversas listas de correo, parece que
además de los problemas existentes en las versiones 0.9.6d y anteriores
de OpenSSL, están circulando diversos exploits que utilizan nuevas
vulnerabilidades. Todas las versiones, incluida la actual (0.9.6g)
parecen ser vulnerables.
Tal y como se está discutiendo en diversas listas de correo, parece que
además de los problemas existentes en las versiones 0.9.6d y anteriores
de OpenSSL, están circulando diversos exploits que utilizan nuevas
vulnerabilidades. Todas las versiones, incluida la actual (0.9.6g)
parecen ser vulnerables.

OpenSSL es una colección de bibliotecas de funciones y programas que son
utilizados por diversas aplicaciones. Durante las últimas semanas se han
detectado diversos problemas de seguridad, que han provocado la
aparición de nuevas versiones. Por lo que parece, estos problemas
todavía no están del todo erradicados.

Como medida de prevención, recomendamos reducir la utilización en
Internet de los programas que utilicen OpenSSL siempre que sea posible.
Los exploits reconocidos buscan versiones de Apache (posiblemente el
servidor más utilizado en Internet que utilice OpenSSL), pero como la
vulnerabilidad se encuentra en la biblioteca es factible la aparición de
nuevos exploits que ataquen a otras aplicaciones.

En caso de que deba continuar utilizándose un servidor Apache con
mod_ssl, con el objeto de reducir el impacto de este exploit,
recomendamos desactivar la utilización del protocolo SSLv2:

SSLProtocol all -SSLv2
SSLCipherSuite ALL:!ADH:!NULL:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:-LOW:+SSLv3:+TLSv1:-SSLv2:+EXP:+eNULL

Debemos indicar que algunas versiones antiguas de navegadores sólo dan
soporte a SSLv2.

Uno de los exploits contra Apache identificados instala un agente DDoS
denominado "bugtraq.c". Este agente utiliza el puerto 2002/udp para las
comunicaciones y puede ser utilizado en numerosos ataques distribuidos
de denegación de servicio.

Debemos indicar que este exploit es diferente a "apache-worm.c",
identificado hace unos meses. "Apache-worm.c" se aprovecha de la
vulnerabilidad en las cabeceras incorrectas de los datos troceados,
mientras que este nuevo exploit utiliza una vulnerabilidad de OpenSSL.

Por ahora no se conoce con certeza que versiones de OpenSSL son
vulnerables. Nuestra recomendación es la actualización inmediata a la
última versión de OpenSSL y la desactivación del protocolo SSLv2, tal
como hemos indicado anteriormente.



Xavier Caballé
xavi@hispasec.com



sábado, 14 de septiembre de 2002

Problemas de seguridad en PostgreSQL

Las versiones de PostgreSQL previas a la 7.2.2 contienen varias
vulnerabilidades que permiten que un atacante remoto con acceso a la
base de datos pueda ejecutar código arbitrario en el servidor, con los
privilegios del usuario bajo el que corre la base de datos.

PostgreSQL es una base de datos relacional "Open Source", bastante
popular en el mundo UNIX, junto a MySQL. Se trata de una base de datos
rápida y de muy buena calidad.

Las versiones de PostgreSQL previas a la 7.2.2 contienen varios
desbordamientos de búfer que permiten que un atacante remoto con acceso
a la base de datos pueda ejecutar código arbitrario en el servidor.

Los problemas residen en:

- Gestión de fechas largas.

- Comando "repeat()".

- Comandos "lpad()" y "rpad()" con multibyte.

- En el comando "SET TIME ZONE" y la variable de entorno "TZ".

La recomendación es actualizar a PostgreSQL 7.2.2 cuanto antes.



Jesús Cea Avión
jcea@hispasec.com


Más información:

PostgreSQL
http://www.postgresql.org/

2002-08-24 - PostgreSQL 7.2.2: Security Release
http://www.il.postgresql.org/news.html

Buffer overflow in PostgreSQL
http://online.securityfocus.com/archive/1/288305

Two buffer overflows in PostgreSQL
http://online.securityfocus.com/archive/1/288334


viernes, 13 de septiembre de 2002

Services Pack para Internet Explorer 6.0 y Windows XP

Microsoft ha publicado sendos Services Pack para la versión 6.0 de su navegador
web y para el sistema operativo Windows XP.

Se trata de dos actualizaciones muy recomendables para los usuarios de estos
productos. A pesar de no incluir actualizaciones no disponibles de forma
separada, la instalación de los Service Pack garantiza que no falta ningún
parche no publicado o que, en su momento, se consideró que no era necesario.


Service Pack 1 para Internet Explorer 6.0

El primer Service Pack para Internet Explorer 6.0 está disponible para los
sistemas operativos Windows XP, Windows ME, Windows 2000, Windows 98 y
Windows NT 4.0 con Service Pack 6.0a.

Este Service Pack incluye, por un lado, todas las actualizaciones publicadas
hasta la fecha para Internet Explorer 6.0, en aspectos relativos a la seguridad,
compatibilidad y funcionamiento. Adicionalmente, Microsoft ha realizado
modificaciones en las opciones existentes para que el usuario controle la
información que envía a las sedes web dentro de las cookies.


Service Pack 1 para Windows XP

En lo que se refiere al Service Pack para el sistema operativo Windows XP,
válido para las ediciones Home y Professional, Microsoft ha incluido las
diversas actualizaciones disponibles hasta la fecha en aspectos relativos a la
seguridad, estabilidad, funcionamiento y compatibilidad.


Ambas actualizaciones pueden ser instaladas descargándolas de la página web de
Microsoft o bien utilizando el servicio Windows Update. El tamaño de la
actualización oscila entre los 11 y los 75 MB (en el caso de Internet Explorer)
y los 32 y 134 MB (en el caso de Windows XP, llegando a los 200 MB en la versión
de 64- bits).

No obstante debemos indicar que, en el momento de redactar este boletín
únicamente estaban disponibles en inglés, francés y alemán. Es de esperar que en
los próximos días también esté disponible la versión en castellano.



Xavier Caballé
xavi@hispasec.com



jueves, 12 de septiembre de 2002

Publicación de numerosos parches de seguridad para Tru64

Compaq (HP, desde la fusión de hace unos meses) acaba de publicar un
buen número de parches de seguridad para su sistema operativo Tru64.
Tru64 es la variante de UNIX de Compaq (ahora HP, que tiene su propia
variante, HP-UX) que se ejecute bajo su plataforma Alpha.

Las versiones actuales de TRU64 contienen numerosos problemas de
seguridad, algunos de los cuales son:

- Denegación de servicio mediante la utilidad PING.

- Desbordamiento de búfer en numerosas herramientas y servicios del
sistema operativo, pudiendo conseguir con ello que un atacante local
obtenga privilegios de administrador o "root".

Estas vulnerabilidades afectan a las versiones de Tru64 5.1a y previas.
Compaq (HP) ya ha publicado los parches correspondientes, y se
recomienda su aplicación urgente en los sistemas afectados.



Jesús Cea Avión
jcea@hispasec.com


Más información:

[security bulletin] SSRT2275 HP Tru64 UNIX - Potential Buffer Overflows
& SSRT2229 Potential Denial of Service
http://archives.neohapsis.com/archives/compaq/2002-q3/0010.html


miércoles, 11 de septiembre de 2002

Crónica del congreso VII RECSI

Durante los días 5, 6 y 7 de septiembre se ha celebrado la VII Reunión
Española sobre Criptología y Seguridad de la Información (VII RECSI),
organizada por la Universidad de Oviedo.
En esta ocasión se han congregado un centenar largo de investigadores
provenientes de numerosas universidades y centros de investigación
españoles, aumentando sensiblemente la participación respecto de las
ediciones anteriores, celebradas en Mallorca, Madrid, Barcelona,
Valladolid, Málaga y Tenerife.

Un incremento no sólo cuantitativo sino también, y más importante,
cualitativo que refleja el interés creciente por este ámbito
científico-tecnológico, donde la calidad de los trabajos presentados
ha sido el valor más preciado.

Los temas tratados abarcan la actualidad en seguridad de redes e
Internet, en particular en entornos de agentes móviles, el comercio
electrónico, la firma digital y la compartición de secretos; así como
los aspectos teóricos y prácticos para la implementación de
infraestructuras de clave pública o de criptoanálisis.

En el campo de las aplicaciones cabe destacar:

- Los aspectos más avanzados del desarrollo de la firma digital y
las autoridades de certificación.

- Las aportaciones del uso de ciertos criptosistemas al diseño de
exámenes, que posibilita la prevención y detección del fraude por
copia durante la realización del examen.

- Implementación de protocolos para el pago con moneda electrónica,
totalmente anónima e indetectable, y que protege contra el fraude
evitando la falsificación, la reutilización y el robo.

- El uso de los autómatas celulares en el criptoanálisis y en el
cifrado de imágenes.

- La protección de la propiedad intelectual y derechos de
distribución de contenidos multimedia.

- Avances en protocolos criptográficos para hacer segura una
votación electrónica.

- La seguridad jurídica en la red.

Asimismo se han presentado una gran cantidad de ponencias tratando
los fundamentos teóricos y matemáticos: teoría de la información para
el secreto estadístico, teoría de grafos para los protocolos
criptográficos, curvas elípticas y esquemas algebraicos (basados en
grupos) para los sistemas de cifrado, etc.

Un factor cualitativo que ha influido en el éxito de la VII RECSI ha
sido la importante participación internacional, que ha sido muy
superior a la de ediciones anteriores. Países como EEUU, Rusia,
Australia, China, Singapur, Corea, Arabia Saudí, Ucrania, Colombia,
Venezuela, México, Panamá, Irán, Holanda y Alemania han tenido
representación en este evento. Especialmente reseñables han sido las
conferencias plenarias impartidas por el Doctor Magliveras, Profesor
en Florida Atlantic University, el Doctor Shparlinski Profesor en
Macquarie University de Sydney, y el Doctor Jansen, de la empresa
SafeNet BV de Holanda.

Dado el interés mostrado por varias empresas, se espera que los
resultados presentados en el congreso tengan aplicación práctica en
nuestra vida cotidiana, de manera que la Criptografía y la Seguridad
de la Información se integren de forma explícita y definitiva en
nuestra Sociedad.

En definitiva, en el congreso se confirmó que la Criptología y la
Seguridad de la Información se están asentando en un lugar preferente
de la Sociedad, pero sin olvidar que queda todavía mucho camino por
recorrer. Ahora cabe hacer realidad la transferencia de los resultados
de investigación a las empresas que puedan implementar prototipos y
aplicaciones comerciales, a la vez que sirvan de incentivo para
propulsar la investigación, el desarrollo y la innovación.

Las próximas ediciones del congreso tendrán lugar en 2004 y 2006 en
las Universidades Carlos III de Madrid y Autónoma de Barcelona
respectivamente, esperando que sea una realidad esta mayor implicación
empresarial.



Santos González
Catedrático de la Universidad de Oviedo


Más información:

Séptimas Reuniones Españolas sobre Criptología y Seguridad de la Información
RECSI
http://enol.etsiig.uniovi.es/viirecsi/


martes, 10 de septiembre de 2002

Problemas de seguridad en la utilidad Zmerge

Se ha dado a conocer un problema de seguridad en el modo de
autenticación de los usuarios ante la utilidad Zmerge.
ZMerge es una herramienta para Lotus Notes/Domino que se utiliza para
mapear datos entre bases de datos Lotus Notes y archivos de datos
estructurados.

El problema en cuestión viene dado en la configuración por defecto de
las bases de datos administrativas de Zmerge que permite el acceso
como administrador a todos los usuarios, incluyendo a los usuarios
anónimos web. Un usuario podría modificar los scripts "importar/exportar"
que son ejecutados por el administrador o por un agente programado.

Este problema de seguridad se verá corregido en futuras versiones de
Zmerge. Si bien, como contramedida se recomienda seleccionar la base
de datos de administración de ZMerge (zm50adm.nsf o zmevladm.nsf)
y cambiar el nivel de acceso para Default y Anonymous a "No Access".



Antonio J. Román Arrebola
roman@hispasec.com


Más información:

Granite Software ZMerge Administration Database Insecure Default ACLs
http://www.rapid7.com/advisories/R7-0005.txt



lunes, 9 de septiembre de 2002

Error en validación de certificados permite falsificación de identidad

Un error en la validación de Certificados realizada por los sistemas
operativos de Microsoft puede permitir una gran variedad de ataques
de suplantación de personalidad o saltar cualquier autenticación
basada en certificados.
El estándar del perfil de los certificados X.509 define múltiples
campos adicionales que pueden ser incluidos en el certificado digital.
Uno de estos campos es el "Basic Constraints" empleado para indicar
las cadenas del certificado. Sin embargo, las APIs incluidas en
CryptoAPI que construyen y validan las cadenas de certificados
(CertGetCertificateChain(),CertVerifyCertificateChainPolicy() y
WinVerifyTrust() ) no comprueban el campo "Basic Constraints".

La vulnerabilidad puede permitir a un atacante que tenga un
certificado end-entity válido emitir un certificado dependiente que,
aunque sea falso, podrá a pesar de todo pasar la validación. Como la
CryptoAPI se emplea en diversas aplicaciones, esto permite una gran
variedad de ataques de suplantación de identidad. Como los siguientes:

- Configurar un sitio web que imite a otro sitio diferente, y "pruebe"
su identidad estableciendo una sesión SSL como el sitio web original.

- Enviar emails firmados empleando un certificado digital que
supuestamente pertenezca a un usuario diferente.

- Engañar a sistemas de autenticación basados en certificados para
conseguir acceso como usuario privilegiado.

- Firmar digitalmente programas maliciosos usando certificados
Authenticode que parezcan emitidos por una compañía en que los
usuarios confíen.

Microsoft publica parches para los productos afectados en las
siguientes direcciones:

Los parches publicados pueden descargarse desde las direcciones:
Microsoft Windows 98:
http://www.microsoft.com/windows98/downloads/contents/WUCritical/q328145/default.asp
Windows 98 Second Edition:
http://www.microsoft.com/windows98/downloads/contents/WUCritical/q328145/default.asp
Windows Me:
http://download.microsoft.com/download/WINME/PATCH/25386/WINME/EN-US/328145USAM.EXE
Windows NT 4.0:
http://www.microsoft.com/ntserver/nts/downloads/critical/q328145/default.asp
Windows NT 4.0 Terminal Server Edition:
http://www.microsoft.com/ntserver/terminalserver/downloads/critical/q328145/default.asp
Windows XP:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=42562
Windows XP 64 bit Edition:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=42558

En breve se publicarán las actualizaciones para:
- Windows 2000
- Microsoft Office v.X para Mac
- Microsoft Office 2001 para Mac
- Microsoft Office 98 para Macintosh
- Microsoft Internet Explorer para Mac (para OS 8.1 a 9.x)
- Microsoft Internet Explorer para Mac (para OS X)
- Microsoft Outlook Express 5.0.5 para Mac



Antonio Ropero
antonior@hispasec.com


Más información:

Boletín de seguridad Microsoft MS02-50
Certificate Validation Flaw Could Enable Identity Spoofing
http://www.microsoft.com/technet/security/bulletin/MS02-050.asp



domingo, 8 de septiembre de 2002

Desbordamiento de búfer en PGP

Se ha descubierto un problema de desbordamiento de búfer en PGP
Corporate Desktop 7.1.1 relacionado con el tratamiento de archivos
con un nombre muy largo.
En muchos sitios en donde PGP trata los archivos, la longitud del
nombre de estos no es comprobada adecuadamente. Como resultado de
esta debilidad, PGP Corporate Desktop puede sufrir una caída caer si un
usuario intenta cifrar o descifrar un archivo con nombre muy largo.

Un atacante remoto puede crear un documento cifrado, que cuando sea
descifrado por otro usuario con PGP, pueda permitir la ejecución de
comandos de forma remota en el ordenador del usuario atacado.

El atacante deberá crear y cifrar un archivo con el nombre que
contenga:
<196 bytes><9 bytes><29 bytes>

En algunos casos el atacante puede obtener la frase clave del usuario
atacado.

PGP ha publicado una corrección para esta vulnerabilidad, disponible
en:
http://download.nai.com/products/licensed/pgp/desktop_security/windows/version_7.1.1/pgphotfix_outlookplugin711/PGPhotfix_OutlookLFN_20020828.zip



Antonio Ropero
antonior@hispasec.com


Más información:

Foundstone Labs. Remotely Exploitable Buffer Overflow in PGP:
http://www.foundstone.com/knowledge/randd-advisories-display.html?id=334


sábado, 7 de septiembre de 2002

Múltiples vulnerabilidades en la serie Cisco VPN 3000

Cisco ha publicado un aviso de seguridad donde detalla varias
vulnerabilidades que afectan a su concentradores Cisco VPN de
la serie 3000 y al cliente hardware de Cisco VPN 3002.
La serie de concentradores Cisco VPN 3000 incluye los modelos 3005,
3015, 3030, 3060, 3080 y el Cisco VPN 3002 Hardware Client. El número
de problemas descritos son de muy diversa consideración hasta alcanzar
una cantidad de trece vulnerabilidades descritas. Entre todas ellas,
destacan problemas de autentificación en IPSEC, vulnerabilidad en el
cliente Windows PPTP, posibilidad de ver las contraseñas de los
usuarios y certificados en el código fuente HTML de una página web
o debilidades en la autentificación del cliente a la red privada
virtual.

Se recomienda a los posibles afectados consultar la información
proporcionada por Cisco en la dirección:
http://www.cisco.com/warp/public/707/vpn3k-multiple-vuln-pub.shtml
y actualizar el software del Cisco VPN 3000 Concentrator a la última
de las versiones disponibles. Auqnue en general los sistemas afectados
deberán actualizar a las versiones 3.5.5 o 3.6.1 para corregir dichas
vulnerabilidades.



Bernardo Quintero
bernardo@hispasec.com



Más información:

Cisco VPN 3000 Concentrator Multiple Vulnerabilities
http://www.cisco.com/warp/public/707/vpn3k-multiple-vuln-pub.shtml


viernes, 6 de septiembre de 2002

Activación y versiones del gusano Klez

Hoy viernes dispara su payload dañino una de las versiones de Klez,
que tiene como fecha de activación cualquier día 6 correspondiente
a un mes impar. Sin embargo no se esperan incidentes masivos, ya
que dicha versión representa un índice muy bajo de las infecciones
producidas por la familia Klez.
Aventurarse a estas alturas a ponerle un "apellido" a las distintas
versiones derivadas del gusano Klez original puede ser toda una
odisea, porque no ha existido un consenso en su nomenclatura entre
las casas antivirus, lo que puede provocar cierta confusión.

La variante de mayor propagación, que representa más de un 95% de
los casos de infecciones por Klez, recibe mayoritariamente el nombre
de Klez.H, si bien Panda Software lo detecta como Klez.I, Dialogue
Science (Dr.Web) como Klez.4, eSet (NOD32) le llama Klez.J y H+BEDV
(AntiVir)lo identifica como Klez.E.

Bien, pues esta variante, la que está causando mayores quebraderos
de cabeza por su continua propagación (literalmente podríamos hablar
del spam causado por el Klez), no tiene payload que se active en una
fecha concreta, ya que en realidad no cuenta con ninguna rutina
específica de destrucción, sino que está optimizada sólo para
conseguir el mayor número de infecciones posibles.

Otra de las variantes, la que se activa todos los días 6 de los meses
impares, que ha conseguido una propagación mucho menor que la
anterior, es conocida por la mayoría de las casas antivirus como
Klez.E, si bien Panda Software lo detecta como Klez.F y Dialogue
Science como Klez.1. Esta variante, que sólo representa entre un
2 y un 4% de las infecciones de la familia Klez, es la que se
activa hoy disparando su payload que sobreescribe archivos con
determinadas extensiones.



Bernardo Quintero
bernardo@hispasec.com


Más información:

¿Infectado por "Klez.x"? Hora de cambiar de antivirus
http://www.hispasec.com/unaaldia.asp?id=1278

jueves, 5 de septiembre de 2002

Parche para MS Visual FoxPro 6.0

Microsoft distribuye un parche para corregir una vulnerabilidad que
permitía lanzar de forma remota y automática, a través de una página
web o mensaje de correo HTML, una aplicación Visual FoxPro sin
consultar al usuario.
Microsoft distribuye un parche para corregir una vulnerabilidad que
permitía lanzar de forma remota y automática, a través de una página
web o mensaje de correo HTML, una aplicación Visual FoxPro sin
consultar al usuario.

Los afectados son aquellos usuarios que tengan instalado Visual
FoxPro 6.0 o los que cuenten con su runtime por haber instalado una
tercera aplicación de base de datos desarrollada con Visual FoxPro.
Esta última posibilidad implica que algunos usuarios no serán
conscientes a primera vista de que son vulnerables, ya que son muchos
los productos que pueden instalar alguna de las DLL de Visual FoxPro.

Para comprobar si estamos afectados por la vulnerabilidad, buscaremos
en nuestro sistema los siguientes ficheros:

(Inicio -> Buscar -> Archivos o carpetas): vfp6r.dll, vfp6t.dll, vfp6run.exe

Si cualquiera de ellos está presente, debemos de instalar el parche
distribuido por Microsoft, disponible en la dirección:
http://www.microsoft.com/downloads/Release.asp?ReleaseID=42297

Otra opción para corregir la vulnerabilidad, sin necesidad de instalar
el parche, consiste en configurar nuestro sistema para que nos muestre
un cuadro de diálogo que fuerce a pedirnos confirmación antes de abrir
una aplicación Visual FoxPro (extensión .APP).

Los pasos son los siguientes:

1. Inicio -> Configuración -> Panel de Control
2. Menú Herramientas -> Opciones de carpeta -> pestaña Tipos de archivo
3. En Tipos de archivo registrados buscar y seleccionar la extensión
APP (si no localizamos la extensión significa que no tenemos Visual
FoxPro instalado)
4. Clic en el botón Opciones avanzadas
5. Seleccionar y activar Confirmar apertura después de la descarga
6. Aceptar -> Cerrar -> Cerrar Panel de Control

Esta vulnerabilidad ha sido descubierta por Cristobal Bielza y Juan
Carlos G. Cuartango de Instisec (http://www.instisec.com), Instituto
para la Seguridad en Internet, principales docentes de los cursos
especializados de seguridad en informática e Internet que pueden
encontrar en la dirección: http://www.hispasec.com/formacion/



Bernardo Quintero
bernardo@hispasec.com


Más información:

Microsoft Security Bulletin MS02-049
http://www.microsoft.com/technet/security/bulletin/MS02-049.asp


miércoles, 4 de septiembre de 2002

Nuevo resumen trimestral del CERT

El CERT acaba de publicar su tercer informe trimestral de incidentes de
seguridad en Internet del año 2002.
Según el CERT, los ataques de seguridad más habituales en este tercer
trimestre de 2002 son:

* Vulnerabilidades en CDE ToolTalk.

* Desbordamiento entero en la librería XDR.

* Vulnerabilidades en OpenSSL.

* Vulnerabilidades en Microsoft SQL Server.

* Vulnerabilidades en librerías DNS.

* Vulnerabilidad reto-respuesta en OpenSSH.

* Vulnerabilidades "Chunk encoding" en Apache.

* Denegación de servicio sobre Bind 9.

Todas estas vulnerabilidades fueron publicadas por HispaSec a través
de este mismo boletín, por lo que los administradores de sistemas que
mantienen sus equipos actualizados no serán susceptibles a ninguno de
los ataques descritos que, como se refleja en el informe del CERT,
constituyen el grueso de ataques en Internet, en este momento.



Jesús Cea Avión
jcea@hispasec.com


Más información:

CERT Summary CS-2002-03
http://www.cert.org/summaries/CS-2002-03.html



martes, 3 de septiembre de 2002

Múltiples vulnerabilidades en Facto System CMS

Facto System CMS se ve afectado por múltiples vulnerabilidades que
podrían permitir la inyección de código.

Facto es un sistema dinámico de publicación en web, se utiliza para
la creación de sitios web personales o de grupos "blog". Se desarrolla
íntegramente en ASP y puede utilizar Microsoft Acces o SQL Server para
acceso a base de datos.

Un atacante podría introducir instrucciones SQL, y estas no verían
verificadas la validez de los datos numéricos, impidiendo procesar
correctamente determinadas secuencias de caracteres.

Los problemas están en el tratamiento de las variables "authornumber"
(en author.asp), y "discussblurbid" (en discuss.asp), y en las variables
de formulario "name" y "email" (en holdcomment.asp).



Antonio J. Román Arrebola
roman@hispasec.com


Más información:

Facto System CMS Contains Multiple Vulnerabilities
http://www.securiteam.com/windowsntfocus/5QP0V0A80A.html


lunes, 2 de septiembre de 2002

Desbordamiento de búfer en mIRC

Las versiones de mIRC, el popular cliente de IRC, previas a la 6.03
contienen un desbordamiento de búfer que permite la ejecución de
código arbitrario en la máquina del cliente.
Para facilitar las posibilidades de expansión del cliente, mIRC
proporciona capacidades de scripting. Existe un desbordamiento de
búfer en el identificador $asctime, que se emplea para formatear
impresiones de tiempo en estilo Unix. Si se pasa una cadena
suficientemente larga a $asctime provocará el desbordamiento
y la ejecución de código.

Si bien el script incluido por defecto con mIRC no efectúa llamadas
a $asctime en ningún punto, los principales scripts disponibles sí
hacen uso de este comando para decodificar los datos proporcionados
por el servidor irc. De esta forma el explotar la vulnerabilidad
dependerá del script instalado por el usuario.

Para evitar esta vulnerabilidad se debe actualizar el cliente mIRC
a la versión 6.03.



Antonio Ropero
antonior@hispasec.com


Más información:

mIRC $asctime overflow
http://www.uuuppz.com/research/adv-002-mirc.htm



domingo, 1 de septiembre de 2002

Problemas de seguridad en Webmin 0.92 y 0.921

Webmin en sus versiones 0.92 y 0.91 se ve afectado por una vulnerabilidad
que permitiría la ejecución de comandos arbitrarios.
Webmin es un interfaz web para administración de sistemas Linux/Unix.
Mediante el uso de un navegador el administrador podrá entre otras
funciones configurar cuentas de usuario, Apache, DNS o los archivos
compartidos.

El problema referido permite a un atacante la ejecución de comandos
arbitrarios y la lectura de cualquier archivo del sistema atacado. Para
explotar la vulnerabilidad se aprovecha un fallo en el CGI que procesa
las peticiones remote_foreign_require y remote_foreign_call
provenientes de otros servidores Webmin debido a que no realiza las
adecuadas comprobaciones de permisos.



Antonio J. Román Arrebola
roman@hispasec.com


Más información:

Webmin Vulnerability Leads to Remote Compromise (RPC CGI)
http://www.securiteam.com/unixfocus/5CP0R1P80G.html

Webmin
http://www.webmin.com