lunes, 22 de diciembre de 2003

Parches y actualizaciones, un problema común

En una-al-día no es la primera vez que hacemos referencia a los
parches, actualizaciones, Services Packs y similares publicados por
Microsoft, los problemas que estos pueden ocasionar, los problemas de
regresión, fallos que contienen, etc. Sin embargo este es un problema
común a todos los fabricantes, diferentes distribuciones Linux, Sun,
IBM, HP y en general todos los fabricantes se ven afectados por
problemas similares.

La experiencia que nos brinda nuestro servicio de alertas SANA, nos
ofrece la oportunidad de conocer de primera mano todos y cada uno de
los parches publicados para otros sistemas operativos no tan populares
como los de Microsoft, pero no por ello menos importantes, en algunos
casos al estar destinados a labores de gran importancia.

Sistemas como HP-UX destacan por llegar a publicar más de 15 parches y
actualizaciones a la semana, otros incluso más populares como Sun
Solaris también rondan el mismo número. Por no mencionar el número de
actualizaciones que pueden llegar a publicarse para aplicaciones de
estos sistemas, algunas como HP OpenView, Sun ONE, Sun Cluster, etc.
con números que aun pueden superar a los anteriores. IBM y su sistema
profesional más extendido como es AIX, también destaca por el número
de parches publicados que semanalmente puede llegar a superar los 30.

Una muestra de estos resultados se puede comprobar a través del una al
día del pasado 3 de diciembre, en la que se desvelaban los resultados
de nuestro servicio SANA. En un mes se publicaron un total de 202
alertas en torno a los sistemas y aplicaciones de IBM, mientras que de
los sistemas Sun recibieron 117 informaciones, HP llegó a un total de
109 publicaciones mientras que por su parte Microsoft contó con 41
alertas.

Otro problema destacable que se presenta en estos sistemas es la
tardanza en la publicación de parches para evitar problemas hechos
públicos con anterioridad. Un ejemplo, las vulnerabilidades de
desbordamiento de búfer anunciadas en junio del 2002, en torno a las
librerías de resolución de DNS (aviso del CERT CA-2002-19), fue
corregido de forma inmediata en la mayoría de los sistemas Linux,
mientras que HP en septiembre de este año aun publicaba parches para
corregir el problema en algunos de sus sistemas HP-UX. No deja de ser
cierto que no es habitual que los sistemas HP-UX cuenten con sistemas
DNS, pero es un ejemplo que se repite habitualmente en este tipo de
sistemas. Microsoft al no hacer uso de las librerías afectadas (libc,
libbind o glibc) no se vio atacada por este problema.

La revisión de boletines, parches, etc. también es algo habitual en
todos los fabricantes, recientemente Microsoft publicó la revisión
número 12 del boletín de seguridad MS02-050 debido a un problema de
regresión. La actualización que comentamos anteriormente para la
vulnerabilidad en el DNS de HP-UX, publicada en el boletín
HPSBUX0208-209, cuenta con 15 revisiones. Los problemas de regresión
también son habituales en todo tipo de sistemas y de igual forma
podríamos citar múltiples ejemplos.

En Julio de 2001 se detectaron diversos problemas de seguridad en
múltiples implementaciones del protocolo LDAP de múltiples productos
que permitían ataques de denegación de servicio y accesos no
autorizados. Lotus Domino R5.0.7 y anteriores estaban afectados por
estos problemas. Lotus corrigió estas graves vulnerabilidades en
Domino R5.0.7a publicado el 18 de Mayo de 2001. Sin embargo,
curiosamente en las versiones pre-release y beta de Lotus Domino R6 se
volvió a detectar estos mismos problemas en el protocolo LDAP, que
quedaron definitivamente corregidos en la versión R6.0 Gold o
superiores.

Por otra parte y como punto a favor hay que destacar a los sistemas
Linux en velocidad de reacción de resolución de las vulnerabilidades.
Además de disponer de diversos medios para corregir los problemas, en
este sentido las ideas Open Source ayudan mucho para la resolución de
problemas. En ocasiones disponemos de la solución en forma de código
fuente que será necesario compilar de forma inmediata a la publicación
del problema o disponer de los paquetes específicos publicados por el
creador del software afectado. Pero si el usuario lo prefiere, bastará
con esperar unos pocos días, para tener los paquetes específicos para
distribución que se tenga instalada.

También hay que destacar la compatibilidad como una de las grandes
ventajas del sistema de actualizaciones de los sistemas Solaris, es
decir se garantiza que no existen incompatibilidades. Si un programa
funciona, tras la actualización del sistema también funcionará. Aunque
también se producen múltiples casos en los que el parche no realiza
su cometido adecuadamente.

Otro punto a considerar son las diferentes formas en que cada
fabricante actualiza o parchea sus sistemas. Mientras que Microsoft
tiende a realizar parches por producto además de, en ocasiones,
acumularlos para que formen un solo parche (tanto para el sistema
operativo como para otros como su famosa suite ofimática), otras
compañías utilizan otros sistemas, como el de paquetes (clásico en las
diferentes variantes de los sistema Unix), más pormenorizado y que
puede dar una sensación mayor de volumen.

La conveniencia o no de las diferentes filosofías de presentar
correcciones no es algo que queramos discutir. Si se observa el
panorama de una forma lo más global posible al final se descubre que,
como dice el refrán "en todas partes cuecen habas" y nadie está libre
de problemas. Aunque en teoría los modelos de desarrollo formales
definen unos pasos a seguir para asegurar en lo posible la calidad de
los programas realizados, la aplicación estricta de estos - a todos
los niveles, no sólo pensando en modelizar un sistema a grandes
rasgos - haría que el tiempo de desarrollo de un producto complejo se
extendiese de forma dramática.

No se pretende disculpar la existencia de fallos en los sistemas.
Debemos evitar caer en el conformismo que comentaba Bernardo Quintero
en su boletín del 12/11/2003 ("Microsoft distribuye los parches de
noviembre"), parece que todos asumimos que los fallos existen y debemos
convivir con ellos. Hasta llegar al punto de que a nadie le sorprende
ver un pantallazo azul en un sistema Windows 9x. Lo importante en el
fondo es que ciertas compañías adquieran un verdadero compromiso sobre
los productos que desarrollan, y que realicen un esfuerzo a la hora de
realizar los cambios necesarios en ellos cuando se detecten errores.
Este es quizá el factor determinante: la agilidad de respuesta ante
los errores que día a día aparecen en el mundo de la informática.

Respecto a los boletines que publica cada fabricante también se pueden
realizar diferentes análisis. En este punto cabe decir que los mejores
en todos los aspectos son, sin lugar a dudas, los publicados por
Microsoft. Posiblemente al tener que dirigirse a niveles tan
heterogéneos de público, desde los usuarios más noveles hasta los
administradores más avanzados, nos encontramos con boletines claros,
sencillos de asimilar, con toda la información necesaria para entender
los problemas claramente analizada y con facilidad para encontrar el
parche necesario.

Sin embargo, los boletines publicados por otros fabricantes, como IBM
o Sun, resultan complejos de asimilar, sin duda debido a que se
dirigen a un público mucho más experto por lo que se entiende que no
son necesarios grandes detalles, aunque ello impide que se facilite
una descripción completa de los problemas y no un mero telegrama
acerca de estos.

También es lamentable la actuación de algunos fabricantes al
dificultar el acceso a la información publicada, restringen los
accesos a la información únicamente a los usuarios registrados de sus
productos y obligan a los usuarios a acudir su web al no emitir
ninguna alerta por e-mail. Es totalmente lícito el ofrecer la
información solo a los usuarios de sus productos, pero todos los
usuarios también deberían poder conocer los problemas de los que
adolece cada producto antes de adquirirlo.


Antonio Ropero
antonior@hispasec.com


Más información:

una-al-dia (05/07/2002) Desbordamiento de búfer en varias librerías de
resolución de DNS
http://www.hispasec.com/unaaldia/1349

CERT® Advisory CA-2002-19 Buffer Overflow in Multiple DNS Resolver
Libraries
http://www.cert.org/advisories/CA-2002-19.html

SSRT2316 Potential Security Vulnerability in DNS and resolver lib's (rev.15)
http://www4.itrc.hp.com/service/cki/docDisplay.do?docId=HPSBUX0208-209
http://www.securityfocus.com/advisories/5768

Microsoft Security Bulletin MS02-050
Certificate Validation Flaw Could Enable Identity Spoofing
http://www.microsoft.com/technet/security/bulletin/MS02-050.asp

una-al-dia (24/10/2003) Fallos en los parches de Microsoft
http://www.hispasec.com/unaaldia/1825

una-al-dia (12/11/2003) Microsoft distribuye los parches de noviembre
http://www.hispasec.com/unaaldia/1844

Lotus Notes/Domino R6-beta PROTOS LDAP Denial of Service Regression
http://www.rapid7.com/advisories/R7-0012.html

una-al-dia (03/12/2003) Informe SANA de noviembre: 762 alertas en un mes
http://www.hispasec.com/unaaldia/1865

Servicio SANA de Hispasec Sistemas:
http://www.hispasec.com/directorio/servicios/sana

No hay comentarios:

Publicar un comentario