lunes, 31 de marzo de 2003

Descubiertas tres vulnerabilidades en Ximian Evolution

Se ha descubierto tres vulnerabilidades en el cliente de correo Ximian
Evolution, que pueden ser usadas por usuario maliciosos para causar
denegaciones de servicio o la ejecución de código arbitrario.

La primera de las vulnerabilidades consiste en que cuando el programa
intenta analizar un mensaje de correo con una cabecera UUE especialmente
construida, genera un error de excepción que puede causar una denegación
de servicio (DoS). Cuando se recibe el mensaje Evolution deja de funcionar
y no puede ser reiniciado (hasta que el mensaje malicioso es borrado).

La segunda también puede llegar a generar un DoS cuando intenta
procesar un mensaje cuyo contenido ha sido codificado con UUE
múltiples veces. Esto lleva a un uso masivo de memoria que finalmente
hace dejar de funcionar a Evolution y deja el sistema en un estado
inestable.

La tercera consiste en la posibilidad de insertar datos arbitrarios en
la cabecera Content-ID, que son pasados a GTKHtml para ser procesados.
Esto puede terminar circunvalando la opción "No conectar a sitios
remotos para traer imágenes" y la ejecución de componentes Bonobo con
contenido arbitrario o la corrupción del heap, que puede hacer dejar
de funcionar el programa, o dejar abierta la posibilidad de ejecutar
código arbitrario (esto último no ha sido confirmado).

En cualquier caso, se recomienda actualizar a la versión 1.2.3,
disponible (para diversas distribuciones) en esta dirección:
ftp://ximian.netnitco.net/pub/mirrors/ximian/ximian-evolution/


Antonio Ropero
antonior@hispasec.com


Más información:

Multiple vulnerabilities in Ximian's Evolution Mail User Agent
http://www.coresecurity.com/common/showdoc.php?idx=309&idxseccion=10

domingo, 30 de marzo de 2003

Denegación de servicio en clientes Emule menor que 0.27c

Las versiones de Emule menores que la 0.27c son vulnerables a un
ataque de denegación de servicio mediante el envío de mensajes de
conversación sin nombre de usuario.

Emule es un popular programa de intercambio de archivos en código
libre, para windows, que usa el protocolo P2P de EDonkey, trabaja
sobre sus mismos servidores y añade nuevas características y
funcionalidades que mejoran la disponibilidad de los ficheros y
castigan a los usuarios que no comparten.

Se ha descubierto que existe una condición en Emule por la cual un
atacante puede enviar un mensaje de conversación a un cliente sin
especificar su nombre de usuario. En este caso, se intentará cargar
desde una posición de memoria vacía, lo que provoca que al intentar
acceder a la posición 0x0 el programa falle y se detenga.

Para evitar este problema se recomienda actualizar a la última versión
que podemos descargar desde la web del proyecto emule, directamente,
para instalar o en código fuente para compilarlo.


Francisco Javier Santos
fsantos@hispasec.com


Más información:

Emule Remote crash:
http://www.pivx.com/luigi/adv/emule-adv.txt

Official Homepage of eMule:
http://emule-project.net

sábado, 29 de marzo de 2003

Nueva vulnerabilidad en Sendmail

Se anuncia una nueva vulnerabilidad en Sendmail, presente en todas las
versiones anteriores a la 8.12.8 (inclusive).

Sendmail es el MTA (Mail Transfer Agent) más veterano y popular en
Internet, con una cuota de bastante más del 50% de los servidores de
correo.

Las versiones 8.12.8 y anteriores de Sendmail tienen una vulnerabilidad
como consecuencia de que el analizador de direcciones realiza, en
determinadas circunstancias, unas comprobaciones de límite insuficientes
debido a una conversión de tipo char a int. Esto puede ser utilizado por un
atacante para conseguir el control de la aplicación.

El impacto de esta vulnerabilidad puede estimarse en la obtención de
privilegios de root por parte del atacante. Se ha verificado que la
vulnerabilidad es explotable en local y aunque no se ha podido verificar
la posibilidad de que también se pueda explotar remotamente, tampoco se ha
podido descartar esta posibilidad. Aquellas instalaciones de Sendmail
configuradas con separación de privilegios también son vulnerables, dada
la posibilidad de comprometer la cuenta de smmsp y controlar la cola de
mensajes.

El problema se encuentra en la función prescan(), del archivo parseaddr.c
que, bajo ciertas circunstancias, sobrepasa los límites del búfer asignado
y sobreescribe las variables de la pila, alcanzando y sobrepasando el
puntero de la instrucción almacenada. La función prescan() se utiliza
ampliamente en todo el código de Sendmail durante el proceso de las
direcciones de correo.

El consorcio Sendmail ha publicado una nueva versión de Sendmail, que
elimina esta vulnerabilidad. También facilita indicaciones de como
parchear las versiones anteriores para evitar esta vulnerabilidad. Por su
parte, también pide disculpas por publicar este aviso un sábado, a
consecuencia de la distribución en una lista de correo de información
acerca esta vulnerabilidad.

Esto no deja de ser un recordatorio que las incidencias de seguridad no
descansan los fines de semana (ni cualquier otro día). Es por esto que
desde Hispasec recomendamos disponer de medidas de información sobre las
alertas de seguridad, que avisen por e-mail y SMS ante cualquier
incidencia destacada. Un ejemplo es el servicio SANA, que informa
instantáneamente de cualquier incidencia o actualización necesaria a
cualquier hora del día.


Xavier Caballé
xavi@hispasec.com



viernes, 28 de marzo de 2003

Antivirus: ¿especialización o navaja suiza?

Filtros de contenidos, firewalls, y ahora funcionalidades anti-spam
y detector de intrusiones. Cada vez son más los antivirus que dejan
de ser herramientas especializadas en la detección del malware y
amplían sus funciones.

La carrera por la integración de aplicaciones de seguridad ha
comenzado. Las casas antivirus están en una espiral de crecimiento a
la búsqueda de poder ofrecer soluciones completas, tanto productos
como servicios, que puedan abarcar todas las necesidades de seguridad
de empresas y usuarios finales. En este último sector es donde
aparecen en escena las suites de seguridad, partiendo del núcleo del
antivirus como herramienta con mayor implantación y éxito en el
mercado.

Que las amenazas de seguridad han aumentado y mutado con respecto a
épocas pasadas es evidente. Hoy día la instalación de un antivirus
clásico no garantiza la seguridad de un sistema, han surgido nuevas
amenazas que van más allá de los virus. De igual forma, la propia
evolución del malware, en estrecha relación con Internet, pone en
entredicho la detección basada en firmas y requiere nuevas estrategias
para detectar de forma más proactiva y genérica a los nuevos
especímenes con gran poder de propagación en apenas minutos.

Llegados a este punto surgen algunas dudas, partiendo de la relativa
necesidad de ciertas funcionalidades, o de la falta de otras, hasta
la pregunta de ¿solución integrada y compacta, o productos
especializados e independientes?.

Es un hecho que la incorporación de nuevas funcionalidades no siempre
responde a las necesidades reales de seguridad, en ocasiones vienen a
encarecer el producto, complicar su uso, a requerir más recursos de
sistema, y a perjudicar el rendimiento global.

A su favor, estas soluciones compactas de seguridad evitan problemas
de incompatibilidad e interferencias que pueden surgir entre productos
independientes y terceras marcas, además de ofrecer una verdadera
integración entre las diferentes funcionalidades desde un único
interfaz, y un precio más ajustado en el caso de adquirir todas
las funcionalidades en forma de productos independientes.

Si miramos a las redes corporativas se imponen los productos
especializados, tanto en servidores como estaciones de trabajo. Para
los servidores es vital contar con productos configurables según
requisitos específicos, de alto rendimiento, estabilidad, y demostrada
fiabilidad. En este perfil los productos "todo en uno" no encajan,
además que es preferible no hipotecar toda la seguridad corporativa
en un único producto o marca. Lo normal en estos casos es contar
con varios productos independientes de casas especializadas en las
distintas áreas: firewall, antivirus con más de un motor, IDS, etc.,
dotando al sistema de múltiples capas de protección independientes.
En estos casos las dificultades de integración quedan compensadas con
el resultado final, gracias a la labor de los administradores de
sistemas y personal especializado en seguridad.

En las estaciones de trabajo corporativas podría parecer en un
principio que encajan mejor las suites de seguridad compactas, si
bien el problema en este punto se sitúa en la necesidad de productos
sencillos, instalación distribuida, de configuración 0 para el usuario
final, y de total administración centralizada y remota. Las últimas
versiones de los antivirus con funciones extras dejan mucho que desear
en este apartado (por ejemplo los que incorporan firewall personal),
por lo que finalmente los administradores optan por la instalación de
motores antivirus muy ligeros, que consumen pocos recursos para no
tener problemas ante un parque heterogéneo de sistemas, y atendiendo
a las facilidades de gestión en red.

Parece claro que el destino de las soluciones compactas está más
ligado a los usuarios finales, si bien es necesario reinventar estos
productos, ya que las necesidades de un usuario de a pie no se
cubren adquiriendo e integrando tecnologías clásicas (firewalls,
IDS, etc.), aunque tal vez sea éste el camino más cómodo y seguro
para los desarrolladores, a corto plazo. Las casas de seguridad han
de ser conscientes que este tipo de tecnologías clásicas vienen a
requerir más conocimientos e interactividad por parte del usuario,
quienes demandan todo lo contrario: algo que apenas se note y que no
necesite de su atención.

Partiendo de la sencillez de instalación, configuración y uso de los
productos compactos, es de esperar de estas soluciones una mayor
adecuación a las necesidades reales de los usuarios finales (problemas
de configuración, instalación de parches, criptografía aplicada a los
mensajes y documentos, etc.), sin perder las posibilidades de
personalización según cada perfil. Por ejemplo, partiendo de la compra
de un antivirus, poder adquirir módulos adicionales, según necesidades,
a modo de plugins en línea. Lo que se traduciría en una configuración
más ajustada, tanto en requerimientos, funcionalidades y precio.


Bernardo Quintero
bernardo@hispasec.com



jueves, 27 de marzo de 2003

El principio del fin para Windows NT

Descubierta una vulnerabilidad en el servicio RCP Endpoint Mapper,
presente por defecto en el puerto TCP/135 en Windows NT 4.0, 2000 y
XP. Microsoft publica el parche para Windows 2000 y XP, mientras que
deja a todos los sistemas Windows NT vulnerables, con la única excusa
de que la solución en este sistema es muy complicada. A buen
entendedor, con pocas palabras bastan.

A continuación reproduzco parte del "una-al-día" de Hispasec del
30/12/2002, donde bajo el título de "Actualizaciones de Microsoft, un
arma de doble filo", vaticinaba este tipo de actuaciones:

>>>
Windows NT, crónica de una muerte anunciada

Ante este panorama algunos podrían decidir no migrar hacia los nuevos
sistemas de Microsoft y quedarse con plataformas como por ejemplo
Windows NT, sistemas con años en producción, bien conocidos por los
administradores, con múltiples Service Packs a sus espaldas que han
ido puliendo sus defectos y mejorándolo, que ya se encuentran bien
implantados, cumplen su cometido y no necesitan de las nuevas
funcionalidades que propone Microsoft.

Desgraciadamente Windows NT tiene sus días contados, y eso es fácil
de predecir, bien observando la historia reciente de Microsoft, bien
dejándose llevar por simples reglas de mercado: hay que vender los
nuevos productos. En este apartado la seguridad juega un papel
crítico, incluso como herramienta para forzar a la actualización.
Igual que no hay solución para ciertos problemas de seguridad en
Windows 95 o en Internet Explorer 5.0, obligando al usuario a
actualizar a Windows 98 o IE6.0 si quiere estar seguro. Es sólo
cuestión de tiempo que Microsoft deje de dar soporte a Windows NT.
<<<

Dicho y hecho. Con fecha 27/03/2003 Microsoft publica un boletín de
seguridad para advertir de una vulnerabilidad en el servicio RCP
Endpoint Mapper que podría ser explotada en ataques DoS (denegación
de servicios) contra plataformas Windows NT 4.0, 2000 y XP. Según
el criterio de Microsoft, se trata de una vulnerabilidad catalogada
como importante. La sorpresa viene en el apartado de actualizaciones,
donde se informa que sólo están disponibles los parches para las
versiones de Windows 2000 y XP.


La excusa oficial

Según informa Microsoft en su boletín de seguridad, no puede
proporcionar un parche para corregir la vulnerabilidad por las
propias limitaciones arquitectónicas de Windows NT 4.0, que es poco
robusta en comparación con Windows 2000, y que requeriría demasiadas
modificaciones para solucionar el problema. Es más, advierte que si
llevara a cabo dichas modificaciones, no podría asegurar que las
aplicaciones diseñadas para Windows NT pudieran seguir funcionando
una vez actualizado el sistema.

Por si no queda claro, podemos dirigirnos a la sección de
preguntas frecuentes (FAQ) del mencionado boletín de seguridad:

>>>
¿Publicará Microsoft en el futuro un parche para Windows NT 4.0?

Microsoft ha investigado exhaustivamente una solución y ha
determinado que la arquitectura de Windows NT 4.0 no soportará
un parche para este tema, ahora o en el futuro.
<<<


La lectura

Lo primero que tendríamos que preguntar a Microsoft es que hubiera
sucedido si esta vulnerabilidad llega a descubrirse hace unos años,
poco tiempo después de comenzar la distribución de Windows NT 4.0.
¿Tampoco hubiera existido parche, además de admitir que no puede
solucionarlo porque su arquitectura es poco robusta?

Según información oficial en la web de Microsoft, Windows NT 4.0
Server debe tener parches de seguridad hasta el 1 de enero de 2005.
http://www.microsoft.com/ntserver/ProductInfo/Availability/FAQ.asp#16

A falta de que la presión de los clientes hiciera cambiar el rumbo,
todo indica que Microsoft ha decidido acortar el ciclo de vida de
Windows NT 4.0 y jubilarlo antes de tiempo, forzando la migración
a Windows 2000.

Mientras tanto, a los administradores de sistemas de Windows NT 4.0
sólo les queda bloquear el acceso indiscriminado al puerto 135 en el
perímetro, cosa que ya deberían hacer con anterioridad, y esperar
a que no haya ataques internos mientras planean la migración a
Windows 2000. No en vano, esto es sólo el principio.


Bernardo Quintero
bernardo@hispasec.com


Más información:

Microsoft Security Bulletin MS03-010
Flaw in RPC Endpoint Mapper Could Allow Denial of Service Attacks
http://www.microsoft.com/technet/security/bulletin/MS03-010.asp

30/12/2002 - Actualizaciones de Microsoft, un arma de doble filo
http://www.hispasec.com/unaaldia/1527

miércoles, 26 de marzo de 2003

Marzo de lluvias cargado, hace el año desgraciado

Este mes de marzo nos ha traído un gran número de vulnerabilidades y
problemas de seguridad en productos muy populares. ¿Presagio de un año
especialmente complicado?

Si repasamos algunos de los boletines publicados durante el presente mes
de marzo, podemos comprobar que ha sido un mes especialmente cargado en
vulnerabilidades y problemas de seguridad en algunos productos
ampliamente utilizados:

* 3 de marzo: sendmail
* 5 de marzo: BIND
* 7 de marzo: Flash de Macromedia
* 8 de marzo: snort
* 10 de marzo: W32.HLLW.Deloder
* 11 de marzo: Internet Explorer
* 14 de marzo: Qpopper
* 18 de marzo: WebDAV
* 21 de marzo: Windows Script Engine
* 22 de marzo: Samba
* 23 de marzo: núcleo del sistema operativo Linux

Como vemos hay una gran variedad de productos, algunos de los cuales
pueden considerarse como básicos para el normal funcionamiento de
Internet (BIND, aunque no con una vulnerabilidad especialmente grave, y
en menor medida sendmail). Otros productos tiene una gran difusión
(Internet Explorer y Flash). Y, seguramente, también hemos asistido al
germen de lo que probablemente se convertirá en uno de los próximos
gusanos de propagación masiva: WebDAV.

Hace unos pocos días, Symantec presentaba un informe donde ya se recogía
el aumento de incidencias que hemos podido notar especialmente durante
este mes de marzo. Según Symantec, se registra una media de siete nuevas
vulnerabilidades diarias, lo que supone un incremento del 81,5 por
ciento respecto a las vulnerabilidades que se anunciaban durante el año
2001.

Esta elevada cantidad de incidencias puede atribuirse a diversos
factores: la no consideración de la seguridad durante el desarrollo de
los productos, la existencia de nuevos métodos para la identificación y
utilización de las vulnerabilidades, el mayor interés y el incremento en
el número de personas que buscan nuevas vulnerabilidades y, no podemos
olvidarlo, el mayor impacto que todos estos temas tienen en los diversos
medios de comunicación, especializados o no.

El informe de Symantec marca algunas de las tendencias de ataque durante
este año: una gran cantidad de los ataques pueden considerarse como un
'reconocimiento de terreno', una identificación de máquinas vulnerables.
Igualmente, el número de incidencias informáticos está directamente
relacionado con el crecimiento que tiene Internet en cada país. Así los
países en los que actualmente Internet tiene unas mayores tasas de
crecimiento, como China y Corea del Sur, son también los países que
sufren un mayor crecimiento de incidencias.

Hasta la fecha, Windows ha sido el entorno preferido para ser atacado.
En el futuro, y posiblemente este año empezaremos a notarlo, es posible
que exista una diversificación de plataformas: los teléfonos móviles,
los asistentes personales y los ordenadores de bolsillo, que cada día
aumentan su potencia informática, son algunos de dispositivos sobre los
que posiblemente veremos un incremente notable de incidencias.

Otras plataformas que seguramente podrán convertirse en plataformas para
las nuevas amenazas son los sistemas de mensajería instantánea y las
aplicaciones para la compartición de archivos "peer-to-peer", como ya
hemos apuntado en algunos boletines anteriores de "una-al-día".

Una última plataforma sobre la que seguramente también deberemos estar
atentos es el sistema operativo Linux. Este sistema operativo empieza a
ganar terreno entre los usuarios domésticos, muchos de los cuales no
conocen las prácticas necesarias de seguridad. También se está
popularizando como sistema operativo para múltiples sistemas
especializados (como teléfonos móviles y asistentes personales). No
deseo alarmar ni influenciar a nadie para que se aleje de Linux, todo lo
contrario. Sólo intuyo que, en un breve plazo de tiempo, veremos
proliferar los problemas de seguridad en este entorno (y ojalá me
equivoque).

En definitiva, para los afortunados que durante este mes no se hayan
visto afectados por ninguno de estos avisos, sólo nos queda recordarles
que "si en marzo oyes tronar, limpia tu era y barre el pajar".


Xavier Caballé
xavi@hispasec.com



martes, 25 de marzo de 2003

Nuevo resumen trimestral del CERT

El CERT acaba de publicar su primer informe trimestral de incidentes de
seguridad en Internet del año 2003.

Según el CERT, los ataques de seguridad más habituales en este primer
trimestre de 2003 son:

* Desbordamiento de búfer en la librería MS Windows "ntdll.dll".

* Desbordamiento de búfer en Sendmail.

* Incremento de la actividad de exploración de "shares" (protocolo de
discos e impresoras compartidas de MS Windows) abiertos, a la caza
de vulnerabilidades.

* Desbordamiento de búfer en Samba.

* Vulnerabilidades en numerosas implementaciones del protocolo SIP.

* Vulnerabilidades en implementaciones SSH.

* Desbordamiento de búfer en "Microsoft Windows Shell".

* Vulnerabilidad en CVS.

* Desbordamiento de búfer en "Windows Locator Service".

* Gusano MS SQL.

Todas estas vulnerabilidades fueron publicadas por HispaSec a través de
este mismo boletín, por lo que los administradores de sistemas que
mantienen sus equipos actualizados no serán susceptibles a ninguno de
los ataques descritos que, como se refleja en el informe del CERT,
constituyen el grueso de ataques en Internet, en este momento.


Jesús Cea Avión
jcea@hispasec.com


Más información:

CERT® Summary CS-2003-01
http://www.cert.org/summaries/CS-2003-01.html

lunes, 24 de marzo de 2003

Los programas informáticos NO derriban aviones

El pasado 22 de Noviembre de 2002 un vuelo experimental del avión
europeo de combate, EuroFighter, sufrió un accidente achacado a un
presunto "fallo informático". Esa información no se corresponde con la
realidad.

El EuroFighter sufrió un apagado simultaneo de ambos motores, y los
pilotos fueron incapaces de reencenderlos, lo que provocó que el aparato
se estrellase en la provincia española de Toledo.

A los pocos minutos de producirse el accidente los medios de
comunicación se hicieron eco de la noticia, achacando el problema a un
"fallo informático". Aún sin conocer los detalles del caso, a algunos
nos resultó sospechoso que se ofreciese ya una explicación cuando los
restos del avión no habían tenido tiempo aún de enfriarse. Es más,
"fallo informático" suena a la excusa de todos los días.

Y, efectivamente, la investigación subsiguiente demostró que el problema
que originó el accidente radicaba en los propios motores y no en el
sistema informático, como se había adelantado en un inicio.
Lamentablemente, y como suele ser habitual, la noticia "corregida" distó
mucho de tener el impacto mediático de la información original. Es
decir, para el pueblo llano, la causa del accidente sigue siendo "un
fallo informático".

Para los profesionales que vivimos de la informática, noticias de esta
índole nos confirman, una vez más que:

- El público en general considera algo "normal" que los sistemas
informáticos fallen. Desde su perspectiva, la informática debe ser
el ámbito humano técnico menos fiable que existe.

¡Qué razón tenía aquella persona de IBM cuando dijo que el mayor
logro de Microsoft cara a la industria informática había sido el
reducir las expectativas de calidad, rendimiento y estabilidad que
los usuarios esperan de sus sistemas!.

Es irónico que se vea como "inevitable", como un "hecho de la vida"
que hay que aprender a aceptar, que un ordenador pierda un libro a
medio escribir o nuestra contabilidad de los últimos tres años por
un "fallo informático". Este conformismo debería ponernos los
pelos de punta a todos.

* La categoría de "error informático" es un "cajón de sastre" para
cualquier problema. Recordemos algunos casos famosos:

* El libro de Ana Rosa Quintana. Causa real: Plagio

* Iberia sin servicio de reservas. Causa real: Incendio en una
instalación no geográficamente redundante. Es decir, diseño
incorrecto de un servicio crítico.

* Pérdida de servicio de Vodafone: Aún no se conoce el informe
oficial, pero da la impresión de que se trata de un problema de
a) Dimensionamiento de los servidores restantes cuando se pierde
algún servidor y b) Procedimiento operativo.

* Pérdida de sonda a Marte. Causa real: Problema de comunicación entre
dos equipos de la NASA, uno hablando en millas y el otro en
kilómetros.

* EuroFighter. Causa real: Fallo mecánico en los motores.

La experiencia e infinidad de estudios nos muestran, una y otra vez, que
la seguridad o la fiabilidad no es algo que el mercado valore o por lo
que esté dispuesto a pagar.

No existe una bala de plata mágica para cambiar este tipo de percepción
por parte del público, de la noche a la mañana. Al igual que ocurre con
la formación científica de la población, no es una cuestión cultural que
esté en nuestras manos resolver. A todo lo que podemos aspirar es a
crear sistemas robustos y fiables y a no conformarnos, nosotros mismos,
con soluciones en las que no podamos permitirnos confiar.


Jesús Cea Avión
jcea@hispasec.com


Más información:

Eurofighter Typhoon DA6 Test Flight Incident/Accident Update
http://www.eurofighter.com/news/newsitem.asp?NewsItemID=116

Eurofighter Returns to Flight Status
http://www.eurofighter.com/news/newsitem.asp?NewsItemID=117

¿Los programas informáticos no derriban aviones?
http://barrapunto.com/article.pl?sid=03/01/12/110235

Los programas informáticos NO derriban aviones
http://www.ai2.as/ai2madrid/news/ai2m_news37.shtml

Confirmado: Los programas informáticos NO derribaron el Eurofighter.
http://www.ai2.as/ai2madrid/news/ai2m_news38txt.html#0

Los programas informáticos no derriban aviones
http://cancerbero.unileon.es/icubo/modules.php?op=modload&name=News&file=article&sid=196&mode=thread&order=0&thold=0

La joya aérea se estrella en Toledo
http://www.getafe.net/vernoticia.php?&numnoticia=260

Investigators probe Eurofighter crash mystery
http://www.newscientist.com/hottopics/tech/article.jsp?id=99993100&sub=Security%20and%20Defence

domingo, 23 de marzo de 2003

Fallo de seguridad (local) en los núcleos de Linux anteriores a 2.2.25 y 2.4.21

Detectada una vulnerabilidad en el núcleo del sistema operativo Linux
(versiones 2.2.* y 2.4.*) que permite a un usuario local elevar sus
privilegios en el sistema, convirtiéndose en root.
La vulnerabilidad únicamente es explotable cuando se producen estas tres
circunstancias:

1. El núcleo ha sido compilado para dar soporte a módulos y el cargador de
módulos del núcleo está habilitado.
2. /proc/sys/kernel/modprobe contiene la vía de acceso de un archivo
ejecutable.
3. No se bloquean las llamadas a ptrace()

En el momento en que un proceso solicita una función residente en un
módulo, el núcleo del sistema operativo inicia un proceso hijo,
estableciendo el euid (Effective UID, identificador de usuario efectivo) y
el egid (Effective Group ID, identificador de grupo efectivo) en 0 y
ejecuta la función execve("/sbin/modprobe").

La vulnerabilidad se encuentra en que, antes de cambiar el euid del
proceso hijo, es posible utilizar ptrace() para conectarse con el mismo.
En este momento, el usuario puede insertar código en el proceso, que será
ejecutado con los privilegios de root.

Se trata de un problema que afecta las versiones 2.2.* y 2.4.* del núcleo
del sistema operativo Linux, únicamente cuando se ha compilado el núcleo
para dar soporte a módulos utilizando kmod. Por tanto, las versiones del
núcleo compiladas de forma monolítica no son vulnerables. El problema no
puede ser explotado de forma remota, por lo que dependiendo del entorno
puede considerarse como un fallo menos grave.

Existen diversos exploits que permiten aprovecharse de esta vulnerabilidad
para que cualquier usuario del sistema obtenga privilegios de root.

La solución al problema pasa por aplicar el parche en el código fuente del
núcleo del sistema operativo, recompilarlo y aplicarlo o bien, cuando se
utiliza la versión estándar del núcleo incluida en una distribución de
GNU/Linux, instalar el paquete de distribución del núcleo actualizado.

Existen, también, una serie de arreglos temporales o factores para mitigar
el impacto de la vulnerabilidad: deshabilitar la utilización de
kmod/módulos, añadir un módulo que bloquee la utilización de ptrace() o
modificar el contenido de /proc/sys/kernel/modprobe para que contenga la
referencia a un archivo no existente en el sistema.


Xavier Caballé
xavi@hispasec.com



sábado, 22 de marzo de 2003

Vulnerabilidad en Samba

Las versiones no actualizadas de SAMBA contienen un desbordamiento de
búfer que permite que un atacante remoto ejecute código arbitrario en el
servidor, con privilegios de administrador o "root".

Samba es una implementación Unix "Open Source" del protocolo
SMB/NetBIOS, utilizada para la compartición de archivos e impresora en
entornos Windows. Gracias a este programa, se puede lograr que máquinas
Unix y Windows convivan amigablemente en una red local, compartiendo
recursos comunes. Incluso es factible utilizar un servidor Samba para,
por ejemplo, actuar como controlador de un dominio Windows.

Las versiones de Samba anteriores a la 2.2.8 contienen un desbordamiento
de búfer que permite que un atacante remoto ejecute código arbitrario en
el servidor, típicamente con privilegios de administrador o "root".

La vulnerabilidad reside en el demonio "smbd", concretamente en el
re-ensamblado de fragmentos "SMB/CIFS". Si un atacante envía datagramas
convenientemente formateados, puede producir sobreescritura de memoria y,
potencialmente, la ejecución de código arbitrario. El ataque puede
explotarse de forma remota y anónima.

La recomendación es que todos los administradores de sistemas SAMBA
actualicen con la mayor urgencia a la versión 2.2.8 del servidor,
disponible desde hace días. Adicionalmente, los puertos SMB (UDP/137,
UDP/138, TCP/139 y TCP/445) deberían ser accesibles, exclusivamente, a
los usuarios y redes que lo necesiten. En particular, no deberían ser
accesibles desde Internet.


Jesús Cea Avión
jcea@hispasec.com


Más información:

Samba News
http://samba.org/samba/samba.html

The Samba Team announces Samba 2.2.8
http://samba.org/samba/whatsnew/samba-2.2.8.html

[Sorcerer-spells] SAMBA-SORCERER2003-03-17
http://www.securityfocus.com/archive/1/315337

Samba 'smbd' Buffer Overflow May Let Remote Users Gain Root Access
http://www.securitytracker.com/alerts/2003/Mar/1006290.html

viernes, 21 de marzo de 2003

Denegación de servicio en Microsoft ISA Server

Existe un problema en el filtro de aplicación de detección de
intrusiones DNS de ISA Server, resultante de que el filtro no analiza
adecuadamente un tipo específico de petición cuando se analizan
peticiones DNS entrantes. Este fallo permitirá a un usuario malicioso
la realización de ataques de denegación de servicio.

Microsoft Internet Security and Acceleration (ISA) Server 2000 tiene
la capacidad de aplicar filtros de aplicación al tráfico entrante. Los
filtros de aplicación permiten a ISA Server analizar una secuencia de
datos para una aplicación particular y proporcionar el tratamiento
específico a la aplicación lo que incluye inspección, filtrado o
bloqueo, redirección, o la modificación de los datos mientras pasan a
través del cortafuegos. Este mecanismo se utiliza para proteger contra
URLs no válidas de forma que pueda indicar el número de intentos de
ataque así como ataques contra servidores DNS internos.

Un atacante podrá explotar la vulnerabilidad anunciada en ISA Server
mediante el envío de una petición especialmente creada al sistema ISA
Server que publica un servidor DNS, de forma que provocará una
denegación de servicio en el servidor DNS. Las peticiones del DNS que
llegan al servidor de ISA serían paradas en el firewall, y no pasarán
al servidor interno de DNS. El resto de la funcionalidades del servidor
ISA no se verán afectadas.

Microsoft ha publicado actualizaciones para evitar los efectos de esta
vulnerabilidad disponibles para descarga desde:

Inglés:
http://microsoft.com/downloads/details.aspx?FamilyId=F62127C5-51E3-4B34-A6D3-B9CF840358BD&displaylang=en
Español:
http://microsoft.com/downloads/details.aspx?FamilyId=F62127C5-51E3-4B34-A6D3-B9CF840358BD&displaylang=es


Antonio Ropero
antonior@hispasec.com


Más información:

Microsoft Security Bulletin MS03-009
Flaw In ISA Server DNS Intrusion Detection Filter Can Cause Denial Of Service
http://www.microsoft.com/technet/security/bulletin/MS03-009.asp

What You Should Know About Microsoft Security Bulletin MS03-009
Security Update for Microsoft Internet Security and Acceleration (ISA) Server 2000
http://www.microsoft.com/security/security_bulletins/ms03-009.asp

jueves, 20 de marzo de 2003

Fallo en Windows Script Engine puede permitir la ejecución de código

Se ha anunciado la existencia de una vulnerabilidad en Windows Script
Engine por la que un atacante remoto podrá lograr la ejecución de código
arbitrario a través de un JavaScript malicioso que sea visualizado por
Internet Explorer (IE), Outlook u Outlook Express.

Windows Script Engine proporciona a los sistemas Windows la capacidad
de ejecutar código script. Se ha anunciado un fallo en la forma en que
Windows Script Engine procesa la información de scripts creados en
JavaScript. Un atacante remoto podrá explotar un desbordamiento de
entero en Windows Script Engine que permitirá la ejecución de código
arbitrario. Concretamente, la vulnerabilidad reside en la implementación
de JScript de Windows Script Engine realizada por jscript.dll
(localizada en %SystemRoot%\system32).

Un atacante podrá explotar la vulnerabilidad mediante la construcción de
una página html que cuando sea visualizada por un usuario se ejecute el
código introducido con los privilegios del usuario. La página web podrá
estar hospedada en un sitio web o bien ser enviada a través de un
e-mail.

Microsoft ha publicado un parche para evitar esta vulnerabilidad y
recomienda a todos los usuario la instalación de esta actualización. El
parche publicado puede descargarse desde Windows Update o desde las
siguientes direcciones:
Windows 98 and Windows 98 SE:
http://www.microsoft.com/windows98/downloads/contents/WUCritical/q814078
/default.asp
Windows Me:
Windows Update.
Windows NT 4.0:
http://microsoft.com/downloads/details.aspx?FamilyId=C6504FD9-5E2C-45BF-
9424-55D7C5D2221B&displaylang=en
Windows NT 4.0, Terminal Server Edition:
http://microsoft.com/downloads/details.aspx?FamilyId=C6504FD9-5E2C-45BF-
9424-55D7C5D2221B&displaylang=en
Windows 2000:
http://microsoft.com/downloads/details.aspx?FamilyId=824B1BD4-B4D6-49D5-
8C58-199BDC731B64&displaylang=en
Windows XP Home Edition y Professional Edition:
http://microsoft.com/downloads/details.aspx?FamilyId=824B1BD4-B4D6-49D5-
8C58-199BDC731B64&displaylang=en


Antonio Ropero
antonior@hispasec.com


Más información:

Microsoft Security Bulletin MS03-008
Flaw in Windows Script Engine Could Allow Code Execution
http://www.microsoft.com/technet/security/bulletin/MS03-008.asp

What You Should Know About Microsoft Security Bulletin MS03-008
http://www.microsoft.com/security/security_bulletins/ms03-008.asp

Heap Overflow in Windows Script Engine
http://www.idefense.com/advisory/03.19.03.txt

miércoles, 19 de marzo de 2003

Desarrollador antivirus pide que Internet sea regulada por los gobiernos

Policías, licencias para poder utilizar Internet, y estrictas reglas
de uso bajo el control de los gobiernos, son las medidas propuestas
por el desarrollador de antivirus Kaspersky para evitar que los
gusanos y ataques informáticos acaben con Internet.

Según informan diversos medios, estas fueron las propuestas a las
que Kaspersky hizo alusión el pasado jueves, durante una reunión con
la prensa en el CeBIT. Aun hay más, según se desprenden de estas
noticias, Kaspersky alertó de una nueva era en la cual las compañías
antivirus no podrán proteger a los usuarios de los ataques a Internet.

Al hilo de estas informaciones, y sin conocer cuanto hay de convicción
y cuanto de frase sacada de contexto (no es muy normal que Kaspersky,
técnico y padre de una casa antivirus, tire piedras sobre su tejado),
las conclusiones me parecen bastante desafortunadas.

Algunos comentarios al respecto:

- Una hipotética "licencia de navegar" para Internet no protegerá
de ningún ataque en ninguna de las vertientes. Los virus y ataques
pueden afectar a todo tipo de usuarios (no es un problema
exclusivo de los "novatos"). Tampoco supondrá impedimento alguno
para los atacantes, ya que la posesión de una licencia no
garantiza la integridad de las personas, por no mencionar aquellos
que simplemente actuarán sin licencia. En definitiva, requerir una
"licencia de navegar" puede ser una traba más para aquellos que
quieren acercarse a Internet, pero poca o nula repercusión puede
tener sobre la seguridad de la Red.

- Las leyes son respetadas por los usuarios de a pie, no por los
criminales. Entiendo que deben existir reglas para proteger a los
usuarios y perseguir a los que provocan daños, pero en ningún
caso estas normas deben suponer un recorte en las libertades de
los usuarios legítimos. Un ejemplo puede ser las regulaciones en
materia de criptografía. Desde algunos frentes, con la excusa de
que criminales puedan utilizar la criptografía para ocultar sus
transmisiones, piden que se impida el uso de criptografía fuerte.
De darse el caso, los perjudicados serían los usuarios legítimos
que acatando las normas perderían su derecho a la privacidad y
seguridad, mientras que los criminales seguirían utilizando
criptografía fuerte al margen de la ley.

- Internet tiene muchas peculiaridades que escapan al control
clásico que puede realizar un gobierno, aun más desde el punto
de vista de la seguridad. Por ejemplo, de poco serviría que
EE.UU. imponga estrictas leyes si al final el virus que infecta
sus redes se creó en China. Las mayoría de las soluciones a los
problemas de Internet vendrán de la propia comunidad Internet,
como hasta la fecha ha venido sucediendo. En la tecnología, y
ciencias como la criptografía, será donde los usuarios
encontrarán mayores garantías de seguridad.

En definitiva, no entro en la conveniencia o no de regular ciertos
aspectos de Internet por parte de los gobiernos, si bien estoy
en total desacuerdo en que se utilicen argumentos alarmistas
sobre la inseguridad que originan los virus, gusanos o ataques
remotos como excusa para hacerlo. Estos problemas deben ser
abordados en primer lugar desde una perspectiva puramente
tecnológica, donde se encontrarán soluciones reales y efectivas,
de manera independiente a las reglas, normas o leyes adicionales
que desde otros ámbitos puedan reforzar la seguridad y los
derechos de los usuarios.


Bernardo Quintero
bernardo@hispasec.com


Más información:

Antivirus Vendor Urges Net Regulation
http://www.pcworld.com/news/article/0,aid,109814,00.asp

martes, 18 de marzo de 2003

Desbordamiento de búfer en el componente de WebDAV de Internet Information Server

Existe una importante vulnerabilidad en el componente WebDAV del servidor
web de Internet Information Server (IIS) de Microsoft. Esta vulnerabilidad
se considera crítica ya que permite la ejecución de código arbitrario en
el servidor. Además se tiene constancia que está siendo activamente
explotada, por lo que se hace necesaria una actuación inmediata por parte
de los administradores de servidores vulnerables.

WebDAV (World Wide Web Distributed Authoring and Versioning) es una
extensión del protocolo HTTP versión 1.1, descrita en el RFC 2518, que
proporciona un estándar para la edición y administración de archivos entre
ordenadores vía Internet.

Se ha descubierto la existencia de una vulnerabilidad de seguridad en un
componente de Windows utilizado por WebDAV, provocada por la existencia de
búfer sin analizar. WebDAV es un componente incluido en la instalación por
defecto de IIS.

La vulnerabilidad puede ser aprovechada por un atacante remoto mediante el
envío de una petición HTTP especialmente construida a una máquina que
ejecute Internet Information Server (IIS). La petición podrá provocar la
caída del servidor o incluso la ejecución del código enviado por el
atacante. El código se ejecutará en el contexto de seguridad del servicio
IIS (por defecto, LocalSystem).

Como la vulnerabilidad es fácilmente explotable, es de prever que en breve
aparecerán gusanos con capacidad de autopropagación que hagan uso de esta
vulnerabilidad.

El problema de seguridad afecta a IIS 5.0 cuando se ejecuta en cualquier
versión de Windows 2000 (Service Pack 3 inclusive). Las instalaciones de
IIS en Windows XP o Windows Server 2003 no están afectadas.

Microsoft publica una actualización para evitar este problema, disponible
en:
http://microsoft.com/downloads/details.aspx?FamilyId=C9A38D45-5145-4844-B62E-C69D32AC929B&displaylang=en

Esta actualización sólo puede instalarse en equipos Windows 2000 donde se
haya aplicado el Service Pack 2 ó 3. La versión 4.0 de IIS no instala
WebDAV en la configuración por defecto.

En el caso de que no sea posible aplicar de inmediato la actualización,
debido a la gravedad de la vulnerabilidad y a la existencia de exploits
que se aprovechan de esta vulnerabilidad, existen una serie de medidas
temporales:

* En aquellas máquinas que no se utilice el IIS, es conveniente
deshabilitarlo. La versión 5.0 de ISS puede deshabilitarse a través del
panel de control Añadir/Quitar programas.

* Si la máquina debe ejecutar IIS, es conveniente verificar la
configuración del mismo. Microsoft ofrece una herramienta, IIS Lockdown
que fortalece la configuración del servidor.

* Valorar la posibilidad de instalar URLScan, una herramienta de Microsoft
que permite bloquear las peticiones contra el servidor utilizadas para
explotar esta vulnerabilidad.

* Para aquellos administradores que no puedan utilizar el IIS Lockdown o
URLScan, Microsoft facilita una tercera herramienta (URL Buffer Size
Registry Tool 1.0) que permite restringir el tamaño del búfer utilizado
por IIS para recibir las peticiones que pueden utilizarse para explotar
esta vulnerabilidad).

* Si nuestro servidor web no utiliza los servicios WebDAV, es preciso
deshabilitarlo. En el apartado de más información se facilita el enlace a
un boletín de Microsoft que explica como deshabilitar este soporte.

Debido a la importancia del problema y a la existencia de exploits, la
recomendación que hacemos desde Hispasec es que todos los administradores
de servidores IIS den la máxima prioridad a solucionar este problema. De
esta forma no sólo se evitará que sus máquinas puedan verse comprometidas,
sino que se actuará como buenos ciudadanos de Internet evitando que futuros
gusanos puedan tener una incidencia global en la red.


Antonio Ropero
antonior@hispasec.com

Xavier Caballé
xavi@hispasec.com



lunes, 17 de marzo de 2003

Problemas con los accesos directos de Windows

Se ha detectado un problema en el manejo de accesos directos de Windows.
Si se crea uno de forma maliciosa, puede provocarse la caída del
explorer.exe (shell32.dll). Esta vulnerabilidad ha sido probada en 98,
2000 Server y 2000 Professional.

Pongamos un ejemplo para explicar el problema. Se crea un acceso directo
A que apunte a otro llamado B y se modifica B para que apunte al
primero. Una vez realizado este procedimiento, basta con visualizar la
carpeta que contiene estos archivos para provocar el fallo del
explorador. Windows, en sí, no permite la creación de estos archivos con
esas características. Sin embargo, se puede utilizar un editor
hexadecimal para crearlos y ajustarlos a las propiedades deseadas.

Este procedimiento puede ser especialmente peligroso si esos accesos
directos se dejan en la carpeta del escritorio. Esto puede agravarse si
se utilizan técnicas de creación remota de archivos (lo que permitirá
realizar un DoS en toda regla). Además, podría ser utilizada para
proteger ciertos directorios que contuviesen malware que se quiere
proteger.

En la mayoría de las ocasiones, el explorer.exe se reiniciará cuando
falla (afectando así a todas las instancias del iexplore.exe que haya
cargadas), pero en algunos casos, la máquina se colgará y tendrá que ser
reinicializada.

Aunque Microsoft trata este problema como un bug no considera que
constituya una vulnerabilidad de seguridad. En este momento, no ha
publicado ninguna actualización de SHELL32.DLL que solucione este
problema. Por tanto, en caso de que de una forma u otra nos lleguen
estos archivos a nuestro disco la única forma de evitar el problema es
la de borrarlos desde la línea de órdenes de DOS


Julio Canto
jcanto@hispasec.com


Más información:
http://www.securityfocus.com/archive/1/315151

domingo, 16 de marzo de 2003

Vulnerabilidades en los antivirus Norton de Symantec y Dr.Web

Dos desbordamientos de búfer en los antivirus Symantec Norton y
Dr.Web permiten ejecutar código de forma arbitraria y conseguir el
control del sistema afectado.

En el caso de Symantec afecta a Norton AntiVirus 2002 (versión
8.07.17C) y el desbordamiento puede ser explotado de forma remota.
La vulnerabilidad puede reproducirse mediante el envío por e-mail
de un archivo adjunto comprimido que incluya un fichero con un
nombre especialmente largo. El problema ya ha sido solucionado
y los usuarios pueden actualizarse a través de la funcionalidad
LiveUpdate.

Por su lado, Dr.Web en sus versiones 4.28 y anteriores, contiene
un desbordamiento de búfer en el escáner que puede ser provocado
al intentar analizar en el disco un subdirectorio/carpeta con un
nombre especialmente largo. La vulnerabilidad ha sido corregida en
la versión 4.29b.


Bernardo Quintero
bernardo@hispasec.com


Más información:

Symantec Norton AntiVirus 2002 Buffer Overflow Vulnerability
http://securityresponse.symantec.com/avcenter/security/Content/2003.02.28.html

Dr.Web version 4.29b
http://www.sald.com/

sábado, 15 de marzo de 2003

Disponible versión 3.1 del libro electrónico "Seguridad y Criptografía"

Con fecha 3 de marzo de 2003, se ha puesto en CriptoRed la nueva
versión 3.1 del libro electrónico "Seguridad Informática y
Criptografía" del profesor Jorge Ramió Aguirre de la Universidad
Politécnica de Madrid, documento de libre distribución en Internet.

El libro puede también adquirirse por 16 Euros en formato libro
editado por el Departamento de Publicaciones de la EUI - UPM tal y
como se indica en el archivo SIpresen.ppt de presentación del libro,
con su correspondiente ISBN y Depósito Legal.

Esta nueva versión de marzo de 2003 es una ampliación y actualización
de la correspondiente a febrero de 2002, que alcanzó hasta el 28 de
febrero de 2003 un total de 40.065 descargas desde el servidor de la
Red Temática CriptoRed.

Toda la información sobre este nuevo libro electrónico ahora con 905
diapositivas, y su descarga puede encontrarse en la siguiente
dirección: http://www.criptored.upm.es/guiateoria/gt_m001a.htm

Asimismo, pueden descargarse otros libros electrónicos de libre
distribución sobre seguridad y criptografía en dicha red desde la
sección: http://www.criptored.upm.es/paginas/docencia.htm#librose


Bernardo Quintero
bernardo@hispasec.com


Más información:

11/02/2002 - Curso de seguridad informática en formato PowerPoint
http://www.hispasec.com/unaaldia/1205

viernes, 14 de marzo de 2003

Grave vulnerabilidad en Qpopper permite la ejecución de código

Las versiones de QPOPPER previas a la 4.0.5 son susceptibles a un
desbordamiento de búfer que permite la ejecución de código arbitrario en
el servidor POP3.

QPOPPER es un servidor POP3 (protocolo de recepción de correo
electrónico en las máquinas de los usuarios) muy popular, distribuido de
forma gratuita y con código fuente.

Las versiones de QPOPPER anteriores a la 4.0.5 son susceptibles a un
ataque de desbordamiento de búfer que permite que un usuario malicioso
ejecute código arbitrario en el servidor POP3. El atacante debe disponer
de un nombre de usuario y contraseña válida, y el código se ejecutará
con los privilegios de dicho usuario y, dependiendo de la configuración
del sistema, con los privilegios adicionales del grupo "mail".

La vulnerabilidad radica en la función "Qvsnprintf()", utilizada a modo
de "vsnprintf()" en todos los sistemas, incluso aquellos en los que se
dispone de la función "vsnprintf()" nativa. Esta función construye una
cadena, recortándola apropiadamente si supera un tamaño determinado. La
vulnerabilidad radica, precisamente, en el "recorte" incorrecto de las
cadenas demasiado largas, dejando el búfer sin finalizar correctamente.
Si se intenta concatenar una nueva cadena en dicho búfer mal finalizado,
se produce una sobreescritura de memoria que, dependiendo de la
plataforma, la compilación y demás circunstancias del entorno, puede
utilizarse para ejecutar código arbitrario en el servidor POP3.

Existe, al menos, un ataque factible a través del comando "MDEF", cuyo
"exploit" está disponible desde hace días.

La recomendación de Hispasec es actualizar cuanto antes a la versión
4.0.5 del servidor QPOPPER, disponible desde hace unas horas en el FTP
del fabricante.


Jesús Cea Avión
jcea@hispasec.com


Más información:

Qpopper buffer overflow
http://www.securitybugware.org/mUNIXes/6051.html

QPOPPER
http://www.eudora.com/qpopper_general/

QPOPPER
ftp://ftp.qualcomm.com/eudora/servers/unix/popper/

CAMBIOS QPOPPER
ftp://ftp.qualcomm.com/eudora/servers/unix/popper/Changes

jueves, 13 de marzo de 2003

Tres vulnerabilidades en Webcams Axis

Se han confirmado tres vulnerabilidades en las webcams Axis versiones
2100 y 2400. Todas están localizadas en el servidor de vídeo empotrado
que utilizan (versiones 2.33 y anteriores).

La primera vulnerabilidad está originada por un error en el control de
acceso. Cualquier persona puede hacer una petición del archivo
"http://[servidor]/support/messages", que devuelve
"/var/log/messages". Esto puede poner al descubierto información
sensible.

Las otras dos son a causa de un error de validación de entradas en el
archivo "command.cgi". Un usuario malicioso puede explotarlas para
crear archivos arbitrarios o sobrescribir archivos del sistema
causando así un ataque de denegación de servicio (DoS).

Se recomienda filtrar las entradas al servidor web, de tal forma que
sólo usuarios autorizados se conecten a él.


Julio Canto
jcanto@hispasec.com


Más información:

Axis Webcams Three Vulnerabilities:
http://www.secunia.com/advisories/8217/

miércoles, 12 de marzo de 2003

Inyección SQL y escalada de directorios en PostNuke

PostNuke es un sistema de administración de contenidos Web escrito en
PHP que se apoya en bases de datos mysql para su funcionamiento. Se
han detectado vulnerabilidades de inyección SQL y de escalada de
directorios que pueden permitir a un atacante llegar a comprometer el
sistema.

La vulnerabilidad de inyección SQL reside en el módulo Members_List al
no comprobar de forma adecuada la variable $sortby empleada por las
consultas SQL para seleccionar la lista de miembros de PostNuke. Esto
puede reproducirse mediante una simple URL y puede permitir al
atacante extraer toda la información de las bases de datos e incluso
llegar a lograr la ejecución de comandos.
http://[victima]/modules.php?op=modload&name=Members_List&file=index&letter=[nombre_usuario]&sortby=[consulta sql]

El problema de escalada de directorios permitirá a un usuario
malicioso acceder a cualquier archivo del sistema escapando de la raíz
del web. La vulnerabilidad se encuentra en la variable theme, el
atacante podrá construir una URL de la siguiente forma para acceder a
los archivos deseados y conseguir ejecutar comandos en el sistema.
http://[victima]/index.php?theme=../../../../../../../../tmp&cmd=[comando]

El equipo de desarrollo de PostNuke ha publicado un parche para la
versión 7.2.3 que corrige este problema. Se recomienda a todos los
administradores actualicen sus sistemas a la v7.2.3 y apliquen la
actualización disponible en:

Actualización de seguridad para PostNuke Phoenix 0.723 (zip):
http://download.hostnuke.com/pafiledb.php?action=file&id=17

Actualización de seguridad para PostNuke Phoenix 0.723 (tar.gz):
http://download.hostnuke.com/pafiledb.php?action=file&id=18


Antonio Ropero
antonior@hispasec.com


Más información:

PostNuke Security Fix (SQL injection and directory traversal)
http://news.postnuke.com/modules.php?op=modload&name=News&file=article&sid=2378

martes, 11 de marzo de 2003

Desbordamiento de búfer .MHT en Internet Explorer

Se ha anunciado al existencia de una vulnerabilidad en las últimas
versiones de Internet Explorer por la que un atacante puede provocar
la caída del navegador e incluso lograr la ejecución de código
malicioso.

Con Internet Explorer 5 se introdujo el formato 'Web Archive' para
almacenamiento de páginas web, que tiene extensión MHT. El 'Web
Archive' graba una página web como un simple documento completo con
todas las imágenes.

El formato es un mensaje e-mail estándar mime/multipart, un programa
decodificador mime como un decodificador 7bit, 8bit y Base 64 debe ser
capaz de convertirlo en algo utilizable por el sistema operativo y el
navegador.

Sin embargo se ha encontrado un problema potencial en este formato si
dentro del 'Web Archive' se emplea un ejecutable codificado con una
cabecera MIME mal construida. Si los datos codificados son ejecutables
o simplemente tiene la palabra "MZP" codificada y el Content-Type no
está designado, se producirá un desbordamiento de búfer en Internet
Explorer.

Se producirá una caída del navegador e incluso la posible ejecución de
código malicioso


Antonio Ropero
antonior@hispasec.com


Más información:

.MHT Buffer Overflow in Internet Explorer
http://archives.neohapsis.com/archives/vulnwatch/2003-q1/0118.html

lunes, 10 de marzo de 2003

W32.HLLW.Deloder, un nuevo gusano que busca máquinas Windows en Internet

Durante las últimas horas del domingo, diversos servicios de vigilancia
de incidencias de seguridad en la red han notado un incremento en el
tráfico con destino al puerto tcp/445. Se trata de un nuevo gusano,
W32.HLWW.Deloder, que busca máquinas Windows 2000/XP conectadas a
Internet que permitan conexiones NetBIOS.

Se trata de un gusano que intenta conectar contra la máquina a través
del puerto tcp/445, como "Administrator" y utilizando una serie fija de
contraseñas. Si consigue introducirse en un ordenador, instala una copia
del servidor de control remoto VNC. Estos programas son instalados de
forma que no aparezca ningún icono en la barra de tareas de Windows.

Una vez conseguido el acceso a la máquina, el gusano se copia él mismo
como DVLDR32.EXE e intenta copiar el archivo INST.EXE en los siguientes
directorios:

\WINNT\All Users\Start Menu\Programs\Startup\
\WINDOWS\Start Menu\Programs\Startup\
\Documents and Settings\All Users\Start Menu\Programs\Startup\

que corresponden a las posibles carpetas de inicio en las diferentes
versiones de Windows. INST.EXE corresponde al servidor VNC.

A continuación suprime todos los recursos compartidos existentes en la
máquina y ejecuta el programa servidor de VNC (inst.exe).

Como puede observarse, el daño potencial que puede provocar este gusano
es realmente muy difícil de valorar, aunque puede llegar a ser
catastrófico al abrir una puerta secreta para el control remoto de la
máquina, con privilegios de administrador.

Recordamos, una vez más, que no existe ninguna razón que justifique
permitir el tráfico NetBIOS procedente desde Internet y con destino a
nuestras máquinas. Los sistemas de protección perimetrales deben filtrar
cualquier intento de conexión remoto. Para protegernos ante posibles
máquinas de la red local infectadas por este gusano, deberemos proceder
a la actualización del archivo de firmas de nuestro programa antivirus.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/1597/comentar


Xavier Caballé
xavi@hispasec.com


Más información:

W32.HLLW.Deloder
http://www.symantec.com/avcenter/venc/data/w32.hllw.deloder.html

W32/Deloder.Worm
http://vil.nai.com/vil/content/v_100127.htm

Worm.Deloder.A
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_DELODER.A
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?Vname=BKDR_DELODER.A

W32.HLLW.Deloder
http://www.alerta-antivirus.es/virus/detalle_virus.html?cod=2341

W32/Deloder-A
http://www.sophos.com/virusinfo/analyses/w32delodera.html

W32.Deloder
http://www.quands.info/alertes/html/w32deloder.html

Deloder
http://www.f-secure.com/v-descs/deloader.shtml

domingo, 9 de marzo de 2003

Problema de inyección de código SQL en PHPNuke

PHP-Nuke 6 y posiblemente superiores es vulnerable a varios ataques de
inyección de código que permitiría el acceso a datos sensibles y/o la
manipulación de la base de datos.

PHP-Nuke es un sistema de publicación basado en PHP muy popular entre
los portales de Internet. La vulnerabilidad, detectada en la versión 6.0,
está causada por un error de validación de entrada en los módulos
"Members_List" y "Your_Account" y será únicamente explotable cuando php
esté configurado con "magic_quotes_gpc=OFF" (normalmente en php.ini).

Unos ejemplos de como explotar esta problema:

* Listado de moderadores:
http://[victima]/modules.php?name=Members_List&letter='%20OR%20user_level='2'/*

* Listado de administradores:
http://[victima]/modules.php?name=Members_List&letter='%20OR%20user_level='4'/*

* Creación de un archivo con todas los claves encriptadas:
http://[victima]/modules.php?name=Your_Account&op=mailpasswd&uname=')%20OR%201=1%20INTO%20OUTFILE%20'/[directorio]/Claves.txt'/*
http://[victima]/Claves.txt

* Elevación de privilegios:
http://[victima]/modules.php?name=Your_Account&op=savehome&broadcast=',user_level='4&uid=[NUESTRO_UID]

* Revelación de directorio local:
http://[victima]/modules/Forums/bb_smilies.php

Una solución rápida a esté problema, si tienes acceso a la configuración de php,
sería editar el php.ini y activar la opción "magic_quotes_gpc=ON". En caso
contrario en estos momentos ya existen parches en el web oficial.


Francisco Javier Santos
fsantos@hispasec.com


Más información:

PHP-Nuke:
http://www.phpnuke.org

Parches de seguridad para PHP-Nuke 6.0:
http://www.phpnuke.org/modules.php?name=Downloads&d_op=viewdownloaddetails&lid=342&ttitle=Security_Fixes_for_PHP-Nuke_6.0

Vulnerabilidades en PHP-Nuke:
http://www.frog-man.org/tutos/PHP-Nuke6.0-Members_List-Your_Account.txt

sábado, 8 de marzo de 2003

Desbordamiento de búfer en Snort

Se ha descubierto un error muy grave de desbordamiento de búfer en el
popular sistema de detección de intrusos (IDS) open-source Snort.

El búfer sin comprobar reside en el código que realiza el preproceso
de RPCs. El problema consiste en que Snort no comprueba el tamaño de
paquetes fragmentados con el que queda disponible en el buffer de
preprocesamiento.

Un usuario malicioso podría explotar este problema mediante el envío
de paquetes RPC especialmente modificados a un sistema monitorizado
por este IDS, lo que provocará el citado desbordamiento. Además,
permite la ejecución de código arbitrario con los mismos privilegios
que tenga Snort (con frecuencia suele ser root).

La explotación con éxito de la vulnerabilidad no generará entradas en
el archivo log. Se ha comprobado que mecanismos de protección como la
implementación de una pila no ejecutable es ineficaz para proteger
contra la explotación de esta vulnerabilidad.

Como medida de protección temporal, se puede desactivar el
preprocesador RPC comentando la siguiente línea del archivo
"snort.conf": preprocessor rpc_decode

Sería conveniente que, además, Snort corriese como un usuario con
privilegios bajos en el entorno chroot. Esto reduciría el posible
impacto en una vulnerabilidad explotada con éxito, dando a los
administradores de sistema mas tiempo para reaccionar si un sistema
se ve afectado.

Se recomienda actualizar a la versión 1.9.1 disponible en:
http://www.snort.org/dl/snort-1.9.1.tar.gz. De igual forma las
principales distribuciones de Linux ya han publicado paquetes
con la versión actualizada de Snort.


Julio Canto
jcanto@hispasec.com


Más información:

Snort RPC Preprocessing Vulnerability
http://www.iss.net/issEn/delivery/xforce/alertdetail.jsp?oid=21951

Snort RPC Preprocessing Buffer Overflow
http://www.secunia.com/advisories/8195/

Vulnerability Note VU#916785
Snort RPC preprocessing buffer overflow when decoding fragmented RPC records
http://www.kb.cert.org/vuls/id/916785

viernes, 7 de marzo de 2003

Macromedia avisa de un problema crítico en el reproductor Flash

Macromedia ha publicado un aviso indicando la existencia de una
vulnerabilidad de seguridad crítica en la versión 6 del reproductor Flash
(que se estima está instalado en el 75% de los ordenadores existentes en
todo el mundo con capacidad de conexión a Internet).

Según las estadísticas publicadas por la propia empresa fabricante,
actualmente existen en el mundo más de 512 millones de ordenadores donde
está instalado el reproductor Flash, en alguna de sus versiones.

El pasado lunes Macromedia anunció la existencia de diversos problemas de
seguridad en las versiones del reproductor Flash anteriores a la 6.0.79.0.
Esta vulnerabilidad afecta a los usuarios de los principales navegadores
web (Internet Explorer, Neoplanet, Netscape, Opera y potencialmente
cualquier otro navegador que disponga de un reproductor Flash). Estos
problemas de seguridad pueden ser aprovechados por un atacante remoto para
forzar la ejecución de código arbitrario o bien acceder al contenido de
los archivos presentes en el ordenador del usuario.

El primer problema es un desbordamiento de búfer que puede ser explotado
a través de un código Flash que en el momento de ser cargado por el
reproductor Flash provoque la ejecución de código arbitrario en el
ordenador del usuario. Este código se ejecutará con los privilegios del
usuario que esté cargando el código (habitualmente, el usuario activo del
sistema).

El segundo problema es la posibilidad de que código Flash especialmente
creado pueda comprometer los mecanismos de integridad de la sandbox del
reproductor Flash. La sandbox es un área restringida para la ejecución del
código Flash de forma que cualquier anomalía en la misma quede contenida
dentro de esa área, sin afectar al resto del sistema. Esta vulnerabilidad
puede ser aprovechada para acceder a los objetos presentes en el ordenador
del usuario.

En ambos casos, Macromedia no ha publicado detalles específicos sobre la
naturaleza de las vulnerabilidades.

Para evitar ambas vulnerabilidades es preciso instalar la versión 6.0.79.0
o posterior del reproductor Flash. Desgraciadamente no existe ninguna
forma fiable de determinar la presencia del reproductor Flash en una
máquina ni la versión del mismo. Por lo tanto, lo único que podemos hacer
es sugerir a todos aquellos usuarios que visiten páginas web con contenido
Flash que procedan a la actualización del reproductor. Para ello, sólo es
necesario visitar esta URL:
http://www.macromedia.com/go/getflashplayer/


Xavier Caballé
xavi@hispasec.com



jueves, 6 de marzo de 2003

Un protocolo de telefonía por Internet plagado de problemas de seguridad

Hace unos días, el CERT emitió un aviso acerca la existencia de un gran
número de problemas de seguridad en el protocolo SIP, utilizado en los
sistemas de telefonía vía Internet y voz sobre IP (VoIP).

SIP (Session Inititation Protocol) es un protocolo a nivel de aplicación
para la creación, modificación o finalización de sesiones donde existan
uno o más participantes. Estas sesiones pueden ser llamadas telefónicas,
distribución multimedia, videoconferencia... Se trata de un estándar de
importancia para los sistemas de telefonía vía Internet de nueva
generación.

La universidad de Oulu (Finlandia) ha desarrollado un conjunto de pruebas
contra diversos productos que utilizan el protocolo SIP, con el objetivo
de estudiar desde el punto de vista de la seguridad cual es su grado de
robustez. Como resultado, se han identificado un gran número de
vulnerabilidades de seguridad, habitualmente relacionadas con el mensaje
INVITE utilizado en el establecimiento de la conexión.

Estas vulnerabilidades son fácilmente reproducibles en los equipos
vulnerables, utilizando el paquete de pruebas PROTOS de la universidad de
Oulu. Como efectos de las vulnerabilidades es posible provocar, de forma
remota, la denegación del servicio, dejar el dispositivo en un estado
inestable o, en determinadas circunstancias, obtener acceso no autorizado
con privilegios de administrador.

Numerosos fabricantes de equipos que implementan el protocolo SIP han
emitido sendos avisos sobre la existencia de estos problemas que afectan a
sus equipos: Cisco, universidad de Columbia, DynamicSoft, IPTel y Nortel
Networks. Otros fabricantes todavía están evaluando el impacto de estas
vulnerabilidades en sus equipos, por lo que aconsejamos a los
administradores de cualquier sistema de telefonía vía Internet o VoIP
consultar con el fabricante de sus sistemas la posible existencia de
actualizaciones.


Xavier Caballé
xavi@hispasec.com



miércoles, 5 de marzo de 2003

Nueva versión de BIND: 9.2.2

El Internet Software Consortium acaba de publicar una nueva versión de
BIND, la 9.2.2. BIND es el software más popular para la realización de la
resolución de nombres de dominio.

Uno de los aspectos más básicos para el correcto funcionamiento de
Internet, en especial para los usuarios finales, es la resolución de
nombres de dominio. Como humanos que somos, nos es mucho más fácil asociar
un nombre más o menos legible que una sucesión de números. En cambio, los
ordenadores prefieren trabajar directamente con las direcciones numéricas.
Que todo el proceso de traducción de nombres a direcciones, y viceversa,
funcione depende básicamente del servicio de resolución de nombres.

BIND (también conocido como 'named') es el software servidor de nombres de
dominio (DNS) más popular en las diferentes versiones y distribuciones de
Unix. Se trata de un software desarrollado por el ISC (Internet Software
Consortium), un consorcio donde se encuentran representadas algunas de las
empresas más importantes del sector informático y que tiene como objetivo
el desarrollo de las implementaciones de referencia de los principales
protocolos básicos de Internet. Esto hace que muchos sistemas operativos
incluyan, de forma nativa, BIND.

Se acaba de publicar una nueva versión de una de las tres ramas de
versiones de BIND existentes en la actualidad, la 9.2.2. Básicamente es
una versión de mantenimiento, que soluciona algunos problemas funcionales
de la versión anterior. No obstante, se ha aprovechado esta nueva versión
para actualizar el soporte de OpenSSL y de libbind.

El principal cambio relativo a la seguridad se encuentra en que esta nueva
versión de BIND requiere como mínimo la versión 0.9.6e de OpenSSL, para
evitar los desbordamientos de memoria intermedia de las versiones
anteriores. Igualmente se ha unificado la biblioteca libbind con la
incluida en la versión 8.3.3 de BIND, al ser un nivel de código posterior.

Si bien esta actualización en principio sólo es imprescindible para
aquellos que utilicen DNSSEC (extensión de DNS para verificar la
integridad y la identidad de los servidores durante las transferencias de
zonas), debido al número de problemas funcionales corregidos desde la
versión 9.2.1 el resto de administradores aprovechar la ocasión para
instalar esta nueva versión y así utilizar el nivel código más
actualizado.


Xavier Caballé
xavi@hispasec.com



martes, 4 de marzo de 2003

Curso Seguridad en aplicaciones .NET

El Instituto Seguridad Internet ha organizado un nuevo curso práctico
sobre seguridad en aplicaciones .NET.

El desarrollo de aplicaciones web seguras se está convirtiendo en una
tarea cada vez más difícil debido a la creciente complejidad y
variedad de servicios ofrecidos a través de Internet. La seguridad de
las aplicaciones web no es sólo responsabilidad del administrador de
sistemas, encargado de la infraestructura y redes, sino también del
desarrollador. ASP.NET y .NET Framework ofrecen una gran variedad y
riqueza de funcionalidades de seguridad, como la seguridad de acceso a
código y la seguridad basada en roles, soporte nativo para
autenticación basada en formularios, herramientas para creación de
servicios web seguros, acceso seguro a bases de datos y un largo
etcétera tratado en profundidad a lo largo de este curso.

El curso está dirigido a programadores, desarrolladores y arquitectos
de aplicaciones, encargados de diseñar y desarrollar sistemas y, por
lo tanto, de incorporar la seguridad desde el principio. También se
dirige a jefes de proyecto, ya que el diseño y desarrollo de una
aplicación segura requiere un esfuerzo y unos tiempos de realización
mayores, que deben ser tenidos en cuenta en la planificación y
elaboración de plazos de entrega.

A diferencia de los cursos tradicionales que suelen tener una
orientación teórica, este curso centra sus contenidos en la
realización de numerosas prácticas sobre los conceptos tratados. Para
ello cada alumno dispone de un ordenador con un servidor con la
plataforma .NET, un manual y un CD con todos los ejemplos, ejercicios
y herramientas.

Después de la realización del curso, los asistentes habrán obtenido
una amplia visión de las amenazas y riesgos a los que las aplicaciones
web están sometidas. Además, serán capaces de implantar las medidas
oportunas y utilizar los mecanismos proporcionados por .NET Framework
para frustrar los ataques, minimizar los riesgos y realizar un
correcto seguimiento de los posibles incidentes.

Como requisitos para un máximo aprovechamiento del curso se recomienda
contar con conocimientos sobre programación en VB.NET o C#, ASP.NET,
COM+ y SQL Server.

El curso ha sido creado y será impartido por Gonzalo Álvarez Marañón,
doctor ingeniero de telecomunicación e investigador del CSIC. Creador
del sitio de seguridad CRIPTONOMICON (www.iec.csic.es/criptonomicon)
ha presentado sus trabajos sobre seguridad en Internet en numerosos
congresos y revistas especializadas y es autor del libro "Los mejores
trucos para Internet".

El temario puede consultarse en la dirección:

http://www.hispasec.com/directorio/servicios/formacion/SeguridadAplicaciones.NET/programa.html

Formulario de inscripción:

http://www.hispasec.com/directorio/servicios/formacion/SeguridadAplicaciones.NET/inscripcion.html




Más información:

Curso de Seguridad en aplicaciones .NET
http://www.hispasec.com/directorio/servicios/formacion/SeguridadAplicaciones.NET

Catálogo de cursos (2003)
http://www.hispasec.com/directorio/servicios/formacion/

lunes, 3 de marzo de 2003

Grave vulnerabilidad en Sendmail

Las versiones de Sendmail anteriores a la 8.12.8, recién publicada, son
susceptibles a un ataque que permite que un usuario remoto ejecute
código arbitrario en el servidor de correo, con privilegios de
administrador.

Sendmail es el MTA (Mail Transfer Agent) más veterano y popular en
Internet, con una cuota de bastante más del 50% de servidores de correo.

La vulnerabilidad radica en la verificación de cabeceras de correo,
debido a un desbordamiento de búfer durante la evaluación de las
direcciones de correo electrónico. Aunque Sendmail realiza varias
comprobaciones para detectar e ignorar ataques, una de ellas es
incorrecta y puede explotarse.

Esta vulnerabilidad se está explotando ya en entornos x86, aunque son
vulnerables todas las arquitecturas. El ataque tiene éxito aunque se
disponga de un sistema sin "stack" (pila de CPU) ejecutable. Un ataque
exitoso no deja constancia en los logs del servidor. Un cortafuegos no
puede evitar el ataque, si el servidor de correo es accesible desde el
exterior.

La recomendación es actualizar, con carácter de extrema urgencia, la
versión de Sendmail a 8.12.8, que acaba de ser publicada para hacer
frente a este grave problema de seguridad. Los administradores que no
puedan actualizar a dicha versión, deben aplicar un parche de seguridad
disponible en la web de sendmail. Los administradores con versiones de
sendmail distribuidas por el fabricante del sistema operativo (por
ejemplo, Solaris), deben ponerse en contacto con el fabricante de forma
urgente.

La gravedad de este problema, que puede afectar a una gran mayoría de las instalaciones de Internet, hace pensar en la necesidad de medidas de información de alertas adecuadas, con soporte por e-mail y SMS, como el servicio SANA, que informa instantáneamente de cualquier incidencia o actualización necesaria a cualquier hora del día.


Jesús Cea Avión
jcea@hispasec.com


Más información:

Remote Sendmail Header Processing Vulnerability
http://www.iss.net/issEn/delivery/xforce/alertdetail.jsp?oid=21950

Sendmail 8.12.8
http://www.sendmail.org/8.12.8.html

Patching Sendmail
http://www.sendmail.org/patchcr.html

Sendmail Home Page
http://www.sendmail.org/

Servicio SANA
http://www.hispasec.com/directorio/servicios/sana

domingo, 2 de marzo de 2003

Proposición de la Agencia de Seguridad Europea (NISA)

La comisión europea acaba de presentar la constitución de lo que
podría ser la nueva agencia de seguridad europea cuyas siglas NISA
corresponden a 'European Network and Information Security Agency'
(Agencia de seguridad Europea en redes e información).

La concienciación de la comisión europea en seguridad informática es
un proceso que surge a raíz de septiembre de 2001 y cuyos principios
podemos ver plasmados en el plan de acción eEurope 2002, donde se dan
los primeros pasos en pro de la seguridad en redes y acceso seguro a
través de smart-cards, así como la apreciación del daño económico de
las interrupciones de servicio (virus, ataques DoS, etc).

Todo esto, unido a la carencia actual de una organización a nivel
europeo que sea capaz de recopilar, analizar y coordinar estas
materias ha dado lugar a la proposición que pretende tener operativa
la agencia, cuya actividad comenzaría el 1 de enero de 2004, con una
duración inicial de cinco años.

Los objetivos que pretende acometer son:
* Obtener un consenso en materia de seguridad informática en Europa
que permita mantener la disponibilidad y seguridad necesarias en
las redes y sistemas de información.
* Proveer asistencia para la aplicación de nuevas normativas en este
campo.
* Dirigir el desarrollo en estas materias.
* Avisar y coordinar acerca de la información recopilada y analizada.
* Dar soporte a la certificación y estandarización del mercado.
* Facilitar el contacto con terceros países.

Podemos considerar la creación de la agencia un buen acicate, por
parte de la comisión Europea, a la seguridad informática. En estos
últimos años ha estado promocionado el desarrollo e implantación de
plataformas de seguridad de código abierto así como una respuesta
europea coordinada al cibercrimen.


Francisco Javier Santos
fsantos@hispasec.com


Más información:

Europe plans its own NSA to 'boost cyber-security'
http://www.theregister.co.uk/content/6/29269.html

eEurope 2002 Action Plan
http://europa.eu.int/information_society/eeurope/action_plan/pdf/actionplan_en.pdf

eEuropeTargets 2001/2002
http://europa.eu.int/information_society/eeurope/action_plan/cheap_fast_secure/secure/eu/targets_2001_2002/index_en.htm

eEurope 2005 un nuevo marco para seguridad de la información
http://www.hispasec.com/unaaldia/1313

Informe de la Comisión Europea sobre el cibercrimen
http://www.hispasec.com/unaaldia/949

sábado, 1 de marzo de 2003

Denegación de servicio por SMS en teléfonos Nokia 6210

Se ha anunciado una vulnerabilidad en los teléfonos móviles
Nokia 6210 que puede ser explotada por un atacante para realizar
un ataque de denegación se servicios mediante el envío de un SMS
maliciosamente creado.

La vulnerabilidad está provocada por un error de formatos de cadena
en el código de tratamiento de Multi-Part vCards. Un atacante podrá
explotar este problema para bloquear el teléfono o forzar al usuario
a reiniciarlo al enviar un mensaje con una vCard maliciosa.

Nokia ha anunciado que no existen planes para corregir este problema.
Tampoco existen contramedidas para evitar los ataques, por lo que si
la vulnerabilidad es explotada el usuario deberá reiniciar el teléfono
quitando y poniendo la batería.


Antonio Ropero
antonior@hispasec.com


Más información:

Nokia 6210 DoS SMS Issue
http://www.atstake.com/research/advisories/2003/a022503-1.txt

Nokia 6210 vCard Denial of Service
http://www.secunia.com/advisories/8156/