martes, 30 de septiembre de 2003

Vulnerabilidades en OpenSSL en el análisis de ASN.1

Se han descubierto diversas vulnerabilidades en OpenSSL en el análisis
de codificaciones ASN.1.

La librería OpenSSL es un desarrollo "Open Source" que implementa los
protocolos SSL y TLS, y que es utilizada por multitud de programas,
tanto para implementar dichos protocolos (por ejemplo, HTTPS) como
para emplear sus componentes criptográficos individuales (funciones de
cifrado y "hash", generadores de claves, generadores pseudoaleatorios,
etc).

Determinadas codificaciones ASN.1 rechazadas como no válidas por el
analizador pueden provocar un bug en la liberación de la estructura de
datos correspondiente, provocando una degradación de la pila. Un
atacante puede emplear este problema para provocar una denegación de
servicio. Se desconoce si puede explotarse para ejecutar código
malicioso.

Valores raros de etiquetas ASN.1 pueden provocar un desbordamiento de
búfer, provocando una denegación de servicio.

Una llave pública mal construida en un certificado puede provocar la
caída del código de verificación si está configurada para ignorar los
errores de decodificación de llave pública. Este tipo de errores no se
ignoran habitualmente, excepto para propósitos de depuración, por lo
que no debería afectar a código en producción. Un atacante que logre
explotar exitosamente esta vulnerabilidad podrá provocar una
denegación de servicio.

Debido a un error el tratamiento del protocolo SSL/TLS, un servidor
podrá analizar un certificado cliente cuando este no sea
específicamente solicitado. Esto, propiamente hablando, no constituye
una vulnerabilidad por si mismo, pero implica que todos los servidores
SSL/TLS que usen OpenSSL podrán ser atacados con las anteriores
vulnerabilidades incluso si no tienen habilitada la autenticación del
cliente.

Se ven afectados todas las versiones de OpenSSL hasta la 0.9.6j y
0.9.7b (incluidas) y todas las versiones de SSLeay.

También se verán afectadas todas las aplicaciones que haga uso de la
librería ASN1 de OpenSSL para analizar datos inseguros. Esto incluye
todas las aplicaciones SSL o TLS, que usen S/MIME (PKCS#7) o rutinas
de generación de certificados.

Se recomienda la actualización a OpenSSL 0.9.7c o 0.9.6k. Disponibles
en:
http://www.openssl.org/source/openssl-0.9.7c.tar.gz
http://www.openssl.org/source/openssl-0.9.6k.tar.gz

De igual forma, Cisco también ha informado que los siguientes
dispositivos se ven afectados por estos problemas:
* Cisco IOS 12.1(11)E y posteriores
* Cisco PIX Firewall
* Cisco Firewall Services Module (FWSM) para el Cisco Catalyst serie
6500 y los Cisco serie 7600
* Cisco Network Analysis Modules (NAM) para los switches Cisco
Catalyst serie 6000 y 6500 y para los routers Cisco serie 7600
* Cisco Content Service Switch (CSS) serie 11000
* Cisco Global Site Selector (GSS) 4480
* Cisco Application & Content Networking Software (ACNS)
* Cisco SN 5428 Storage Router
* CiscoWorks 1105 Hosting Solution Engine (HSE)
* CiscoWorks 1105 Wireless LAN Solution Engine (WLSE)
* CiscoWorks Common Services (CMF)
* Cisco SIP Proxy Server (SPS)
* Cisco VPN


Antonio Ropero
antonior@hispasec.com


Más información:

Vulnerabilities in ASN.1 parsing
http://www.openssl.org/news/secadv_20030930.txt

Vulnerability Issues in OpenSSL
http://www.uniras.gov.uk/vuls/2003/006489/openssl.htm

Cisco Security Advisory: SSL Implementation Vulnerabilities
http://www.cisco.com/warp/public/707/cisco-sa-20030930-ssl.shtml

lunes, 29 de septiembre de 2003

Freenet, una red sin censura y escalable

Freenet es un proyecto que pretende crear una infraestructura de red
anónima y no censurable, y tan escalable como la propia Internet.

Freenet es un proyecto de Ian Clarke, y proporciona anonimato tanto a
los proveedores de datos como a los usuarios que se los descargan. Tanto
es así, que los nodos intermedios ni siquiera conocen el contenidos de
los archivos que están atravesando sus máquinas y se almacenan en sus
discos duros. El objetivo es lograr una red descentralizada y escalable,
que asegure la privacidad de las comunicaciones por Internet.

Aunque la tecnología está sirviendo de refugio para muchos usuarios P2P
preocupados por las denuncias de violación de copyright de la RIAA y
asociaciones similares, la motivación inicial de Freenet fue crear una
infraestructura en la cualquier usuario pudiese publicar información y
recibirla sin temor a represalias en regímenes políticos poco dados a la
libertad de expresión, como China o Cuba.

El proyecto Freenet distribuye su tecnología, disponible en lenguaje
java, de forma libre y gratuita a través de su página web. Se recomienda
echar un vistazo a la documentación de la tecnología, también disponible
online.


Jesús Cea Avión
jcea@hispasec.com


Más información:

The Free Network Project
http://www.freenetproject.org/

Freenet 0.5.2 Released
http://yro.slashdot.org/article.pl?sid=03/07/16/1931225

Documentación inspirada en Freenet
http://citeseer.nj.nec.com/context/1354204/420356

Giving Sharers Ears Without Faces
http://www.wired.com/news/culture/0,1284,59448,00.html

Hard for file swappers to hide identity
http://news.zdnet.co.uk/internet/0,39020369,2137474,00.htm

Interest in anonymous file-trading grows
http://www.newscientist.com/news/news.jsp?id=ns99993950

P2P's little secret
http://news.com.com/2100-1029-1023735.html

domingo, 28 de septiembre de 2003

Impacto del monopolio de Microsoft en la seguridad

El dominio aplastante en el mercado de las soluciones de Microsoft,
que se estima mantiene una cuota superior al 90% del parque mundial,
es en gran parte el responsable de que las infraestructuras
informáticas sean más vulnerables a virus y ataques. Esta es la
conclusión a la que han llegado siete reconocidos expertos en
seguridad, coautores de un informe que pone de relieve los peligros
intrínsecos de las prácticas monopolistas y la falta de
diversificación en los entornos informáticos.

Aunque el informe ha causado cierto revuelo en los medios de
comunicación, sobre todo en EE.UU., los argumentos utilizados son bien
conocidos en el mundo de la seguridad. Nada más conocer la publicación
del informe, recordé un ejemplo muy gráfico que mi compañero Jesús Cea
expuso hace 2 años en un congreso de seguridad, donde ambos
analizábamos en nombre de Hispasec el grado de "culpabilidad" de
Microsoft en la aparición de vulnerabilidades y epidemias de virus.
Entre otros aspectos, salió a colación como la falta de
diversificación aumentaba los riesgos de seguridad y facilitaba las
infecciones masivas.

El ejemplo de Jesús Cea se situaba en el terreno de la agricultura,
explicando como los monocultivos tenían importantes problemas cuando
eran atacados por plagas o enfermedades, ya que el agente dañino se
propaga rápidamente y afecta a la totalidad de la especie cultivada,
aprovechando que se trata de una plantación homogénea con las mismas
propiedades y puntos débiles. Por contra, los cultivos múltiples o
policultivos, que intercalan la plantación de diversas especies sobre
el terreno, son mucho más resistentes a las plagas y enfermedades,
además de proporcionar otras ventajas en términos de estabilidad,
rendimiento y productividad. La diversificación que establecen los
policultivos actúan minimizando el impacto de las plagas y
enfermedades, ya que el agente dañino se encuentra con especies a las
que no puede atacar ni permiten su propagación, y en cualquier caso
nunca afecta a toda la plantación.

A grandes rasgos, y en clave tecnológica, esta es una de las líneas
argumentativas principales del informe "CyberInsecurity: The Cost of
Monopoly". La analogía es tal que en una charla posterior, Will
Rodger, director de la Computer and Communications Industry
Association, comentaba que la situación actual, con Windows dominando
en la mayoría de los PCs, era similar a las condiciones que se
encontraron los granjeros durante el Hambre Irlandesa a mediados
del siglo XIX.

Para los que no estén al tanto de esta crisis, por aquellos tiempos
Irlanda tenía en la patata su principal fuente de alimentación. Una
devastadora plaga entre 1845 y 1848 asoló en varias ocasiones los
cultivos, lo que derivó en una época de hambre, enfermedades, muertes,
y la catástrofe sumió a Irlanda en una profunda depresión en todos
los ámbitos.

Como era de esperar la visión de Microsoft difiere totalmente. En
palabras de Sean Sundhall, portavoz de la compañía, este tipo de
analogías pueden ser más útiles para las patatas que para el software.
Sundhall critica que el informe sólo señale los aspectos negativos de
la monocultura en el sistema operativo, y sin embargo no mencione los
positivos como la facilidad de mantenimiento.


Parche sobre parche

El informe, que no se basa en analogías con la agricultura, sino en
hechos concretos y constatables de las políticas de Microsoft, también
señala como el grado de complejidad que cada vez es mayor en Windows
supone irremediablemente un aumento de los riesgos de seguridad.

Según este análisis, decisiones como la de incluir Internet Explorer
de forma nativa en el sistema operativo, y convertirlo en parte
integral y esencial del mismo, no responde a necesidades reales, sino
a planes estratégicos y de mercado para castigar cualquier competencia
en este terreno. Los riesgos de seguridad que esta decisión supone lo
sufrimos regularmente, sólo hay que repasar los históricos de
"una-al-dia" de Hispasec, incluido el último agujero crítico del
navegador de Microsoft que data de primeros de septiembre y del que
aun esperamos solución.

El número de vulnerabilidades en el que desemboca esta complejidad
artificial adquirida por el sistema de Microsoft, con la integración
de aplicaciones y funcionalidades en Windows que no obedece a
necesidades básicas ni a la elección de los usuarios, lleva consigo
una política de continuos parches para intentar corregir los
problemas de seguridad. El informe recoge que este año llevamos 39
parches de Microsoft a día 16 de septiembre, a razón de parche cada
6 días. Un ritmo frenético para los administradores y profesionales,
y casi una odisea para un usuario particular.

Además, el análisis mantiene que Windows ha llegado a tal punto de
complejidad que la instalación de un parche para corregir una
vulnerabilidad conocida tiene muchas probabilidades de introducir
una nueva vulnerabilidad desconocida, un hecho que también hemos
podido constatar en numerosos casos. A los riesgos de seguridad, hay
que unirle los problemas de compatibilidad y estabilidad que las
actualizaciones pueden acarrear, lo que a efectos prácticos supone
que muchos usuarios y profesionales, temerosos de los efectos
colaterales, retrasen la instalación de los parches hasta pasados
unos días.


Protocolos y formatos cerrados

Otro de los frentes que utiliza Microsoft para controlar el mercado,
también denunciado en el informe, es utilizar su posición de fuerza
para implantar de forma unilateral estándares de facto, cuyos detalles
mantienen ocultos, asegurándose su explotación.

Como ejemplos básicos que el usuario puede apreciar día a día, no
son pocas las páginas webs que sólo se visualizan de forma correcta
en Internet Explorer o que utilizan componentes que sólo pueden ser
ejecutados bajo Windows. También hoy día es difícil encontrar una
empresa privada u organismo público (lo que es más grave) que no
utilice Microsoft Word como procesador de textos, incluido su formato
propietario de documentos (.doc) tanto para el almacenamiento como
intercambio de los mismos, en vez de utilizar formatos abiertos no
dependientes de intereses privados.

En este tipo de situaciones los usuarios de otras plataformas no
Windows se encuentran discriminados, hasta tal punto que para acceder
a servicios de la administración pública se fuerza a utilizar las
soluciones de Microsoft. Afortunadamente se está avanzando algo en
este terreno, por ejemplo hoy día ya es posible acceder a los
programas de ayuda de la Agencia Tributaria de España desde otras
plataformas, aunque aun queda mucho camino por recorrer.


Polémicas sobre el informe

Algunas voces han querido poner de manifiesto una posible falta de
imparcialidad en el informe, basándose en la participación de la CCIA
(Computer and Communications Industry Association) en su presentación
y publicación. Esta asociación de empresas integra, entre otras, a
America Online, Oracle, o Sun microsystems, reconocidas competidoras
de Microsoft. Además, la propia asociación tiene como fin la promoción
de redes y sistemas abiertos, para garantizar la libre competencia,
en clara oposición a la política de soluciones cerradas y las
supuestas prácticas monopolistas de Microsoft.

Los autores han hecho hincapié en la independencia del informe,
alegando que su origen parte de una iniciativa totalmente personal,
que en ningún momento ha sido patrocinado por la CCIA o bajo los
intereses de terceros. El documento viene firmado por Daniel Geer de
@Stake (empresa a la que pertenecía hasta la publicación del informe),
Charles P. Pfleeger de Exodus Communications, John S. Quarterman de
Matrix NetSystems, Perry Metzger, consultor independiente, Rebecca
Bace de Infidel, Peter Gutmann investigador del departamento de
Ciencias de la Computación de la universidad de Auckland, y el
reconocido Bruce Schneier de Counterpane Internet Security.

La CCIA también mantiene que su participación se ha limitado a la
última fase, y que los autores se pusieron en contacto con ellos para
dar la máxima difusión al informe, en especial para aprovechar sus
recursos de cara a hacerlo circular en ambientes políticos y
legislativos de Washintong.

También ha desatado ríos de tinta la salida fulgurante de Daniel
Geer de @Stake, la que hasta ahora era su empresa, compañía de
seguridad que tiene en Microsoft una importante fuente de ingresos.
Desde @Stake aseguran que no han recibido ningún tipo de presión por
parte de Microsoft, aunque tampoco esconden el malestar porque uno
de sus trabajadores arremetiera públicamente contra un cliente tan
importante, y se han dado prisas en desmarcarse de la opinión del
mismo.


Buscando el equilibrio

Que Microsoft aprovecha su posición en el mercado es evidente, que
los intereses comerciales se superponen a la seguridad de sus
productos y que en la mayoría de las ocasiones son contrapuestos,
también es constatable. De ahí a demonizar a Microsoft como origen
y culpable de todos los males y problemas de seguridad que azotan
a la informática actual, no parece razonable.

Mi opinión personal al respecto es que Microsoft es tanto víctima
como culpable de la situación. Tener su sistema implantado en más
del 90% del parque informático actual lo sitúan en el punto de mira
de los atacantes o de cualquier creador de virus, que siempre busca
la plataforma más extendida para que su espécimen tenga un buen caldo
de cultivo y que pueda obtener los mayores índices de propagación.
Por tanto las vulnerabilidades de Microsoft, que en mayor o menor
medida también podemos encontrar en otras plataformas, siempre
tendrán una mayor repercusión en su caso.

Este papel de víctima no le exime de sus problemas específicos de
seguridad, más aun cuando muchos de ellos han sido originados por
la implantación de sus agresivas políticas de mercado que buscan
asegurarse la explotación frente a terceros.

Por otro lado, es responsabilidad de los estamentos públicos y
privados, sobre todo de los primeros, no someterse a la línea
marcada por Microsoft o cualquier otra iniciativa interesada que no
permita la libre competencia. Es muy importante ser conscientes de
la importancia de adoptar estándares abiertos, de forma que las
infraestructuras básicas, incluso el formato en que nuestros datos
están almacenados, no dependan en exclusividad de un tercero.

Desde la competencia a Microsoft, de nada sirve apuntarle y
criticarle de forma constante, si de forma paralela no se ofrecen
soluciones que cumplan todos los requerimientos de los usuarios
finales. No sólo de seguridad vive el usuario, la realidad es que
no suele ser un factor clave que incline la balanza de la elección
de un sistema operativo o aplicación, factores como la sencillez
de manejo son mucho más valoradas por el usuario final. Es
necesario un ejercicio de autocrítica que, al margen de las
prácticas monopolistas de mercado ejercidas por Microsoft, permita
reconocer sus aciertos y aplicarlos en las soluciones que se
ofrezcan al usuario como alternativa al dúo formado por Windows y
Office.

Con respecto al informe, es de lectura fácil y muy recomendable
para todos los usuarios, que en última instancia deberán formarse
su propia opinión. Se encuentra disponible en formato PDF en la
siguiente dirección http://www.ccianet.org/papers/cyberinsecurity.pdf


Bernardo Quintero
bernardo@hispasec.com


Más información:

CyberInsecurity: The Cost of Monopoly
How the Dominance of Microsoft's Products Poses a Risk to Security
http://www.ccianet.org/papers/cyberinsecurity.pdf

Report: Windows' Dominance a Hindrance to Security
http://www.eweek.com/article2/0,4149,1295774,00.asp

Microsoft dominance poses security risk
http://zdnet.com.com/2100-1105_2-5081214.html?tag=zdnnfd.main

Security Gurus Cite Dangers of Monopoly Monoculture
http://www.microsoft-watch.com/article2/0,0,1298823,00.asp?kc=MWRSS02129TX1K0000535

Security experts' warning Microsoft ubiquity leaves computers vulnerable to attack
http://www.sfgate.com/cgi-bin/article.cgi?file=/chronicle/archive/2003/09/25/BUGJC1TN981.DTL&type=tech

Microsoft Monoculture is a National Security Risk
http://www.wininformant.com/Articles/Index.cfm?ArticleID=40340

Windows dominance a threat to US security
http://star-techcentral.com/tech/story.asp?file=/2003/9/25/technology/6357755&sec=technology

Reliance on Microsoft called risk to US security
http://www.itweb.co.za/sections/computing/2003/0309250950.asp?A=HOME&O=FPW

Microsoft poses danger to national security, claims expert panel
http://www.desktoplinux.com/news/NS8330663645.html

OS monopoly poses security risk, report claims
http://www.computerweekly.com/articles/article.asp?liArticleID=125151&liArticleTypeID=1&liCategoryID=1&liChannelID=1&liFlavourID=1&sSearch=&nPage=1

Want PC Security? Diversify
http://www.wired.com/news/infostructure/0,1377,60579,00.html

Microsoft monopoly risks security
http://www.techworld.com/news/index.cfm?fuseaction=displaynews&NewsID=479

sábado, 27 de septiembre de 2003

Escalada de privilegios en db2licm y db2dart de IBM DB2

Se han descubierto dos vulnerabilidades en IBM DB2 Universal Data Base
que pueden permitir a usuarios locales maliciosos elevar sus privilegios
en los sistemas afectados.

El problema reside en que "db2dart" y "db2licm" no manejan
correctamente las cadenas largas de caracteres, permitiendo a usuarios
maliciosos provocar un desbordamiento de búfer. Esto puede ser
aprovechado por miembros de los grupos "db2iadm1" y "db2asgrp" para
ejecutar código con los privilegios de root.

La vulnerabilidad ha sido descubierta en la versión 7.2 del sistema
gestor de bases de datos, pero otras versiones anteriores podrían
mostrar también este problema.

La dirección para los parches de actualización es la siguiente:
ftp://ftp.software.ibm.com/ps/products/db2/fixes/english-us/db2linuxv7/FP10a_U495179


Julio Canto
jcanto@hispasec.com


Más información:

Multiple IBM DB2 Stack Overflow Vulnerabilities
http://www.coresecurity.com/common/showdoc.php?idx=366&idxseccion=10

viernes, 26 de septiembre de 2003

Denegación de servicio en Gauntlet Firewall

Se ha descubierto una vulnerabilidad en Gauntlet Firewall que permite
a usuarios maliciosos interrumpir la ejecución del servicio
SQL-Gateway / Oracle-Proxy.

El problema reside en que este producto sólo puede manejar una
cantidad limitada de peticiones inválidas al puerto 1521 del protocolo
TCP antes de que el proceso se interrumpa.

Esta vulnerabilidad ha sido confirmada en la versión 6 con Solaris 8.
Sin embargo, otras versiones podrían verse afectadas.

Ante la falta de parche de actualización, se recomienda que el
firewall sólo acepte peticiones de la máquina que se supone ha de
hacer las peticiones SQL. De esta manera, se limitará la 'superficie
expuesta' ante la vulnerabilidad.


Julio Canto
jcanto@hispasec.com


Más información:

[Full-Disclosure] Denial of Service against Gauntlet-Firewall / SQL-Gateway
http://lists.netsys.com/pipermail/full-disclosure/2003-September/010813.html

jueves, 25 de septiembre de 2003

Nueva actualización de Portable OpenSSH

Tras poco más de una semana desde la última actualización de seguridad
de OpenSSH, se publica una nueva versión de la edición "Portable".

OpenSSH es una implementación abierta y gratuita de la tecnología SSH.
Se trata de un protocolo muy popular, potente y basado en software
para la transmisión de datos de forma segura a través de las redes
informáticas. Cualquier dato transmitido en una sesión SSH es
automáticamente cifrado. La utilización habitual de SSH es como una
alternativa a "telnet", en la que ambos extremos de la conexión se
autentifican mutuamente y la conexión en sí va protegida
criptográficamente. Adicionalmente, SSH permite establecer túneles
para otros protocolos, de forma que puede utilizarse para cifrar
virtualmente cualquier conexión.

Esta tecnología hace posible, por ejemplo, la administración de
sistemas Unix de forma remota y segura, aunque las redes de
comunicaciones que se estén utilizando no nos merezcan confianza.

OpenSSH nació inicialmente como parte del proyecto OpenBSD, existiendo
dos equipos de desarrollo: el primero se centra en el desarrollo de la
versión para OpenBSD mientras que el segundo equipo se encarga de
portar la versión para OpenBSD a otros sistemas operativos.

Recientemente se ha anunciado la disponibilidad de una nueva versión
de la rama "portable", la 3.7.1p2, que sustituye a la versión 3.7.1p1
publicada la semana pasada. Esta actualización solo afecta a los
usuarios de la versión "portable", lo que incluye todos los sistemas
operativos Unix salvo "OpenBSD".

La recomendación es actualizar a OpenSSH 3.7.1p2 con la mayor brevedad
posible. Al igual que mi compañero Julio Canto, insisto en la
conveniencia de que los administradores de sistemas verifiquen
concienzudamente las firmas digitales del software que instalen, para
verificar su integridad y su autenticidad. Si ello no es posible, como
mal menor, se puede verificar la huella digital del fichero. En este
caso, la huella digital MD5 del fichero "openssh-3.7.1p2.tar.gz" es
61cf5b059938718308836d00f6764a94.


Jesús Cea Avión
jcea@hispasec.com


Más información:

New Vulnerabilities in Portable OpenSSH
http://developers.slashdot.org/article.pl?sid=03/09/23/1736243

OpenSSH
http://www.openssh.org/

Multiple PAM vulnerabilities in portable OpenSSH
http://www.securityfocus.com/archive/121/338617

Portable OpenSSH 3.7.1p2 released
http://www.securityfocus.com/archive/121/338616

16/09/2003 - Grave vulnerabilidad en OpenSSH
http://www.hispasec.com/unaaldia/1787

02/05/2003 - Nueva versión de Portable OpenSSH
http://www.hispasec.com/unaaldia/1650

miércoles, 24 de septiembre de 2003

Grave vulnerabilidad en sadmin en configuraciones por defecto de Solaris

Se ha lanzado la voz de aviso sobre la configuración por defecto de
sadmin (Solstice Administration Daemon) en sistemas Solaris, ya que se
ha detectado la existencia de exploits para aprovecharla remotamente y
conseguir acceso root.

Solstice AdminSuite es un conjunto de herramientas incluidas en los
sistemas operativos Solaris para ayudar a los administradores a
controlar los sistemas de forma remota, centralizar la información de
configuraciones y monitorizar el software empleado. Las aplicaciones
Solstice AdminSuite hacen uso del demonio sadmind para realizar estas
tareas de administración distribuida de sistemas. Generalmente, el
demonio sadmind se instala y habilita en las configuraciones por
defecto de Solaris.

El problema consiste en el uso por defecto del mecanismo de
autenticación "AUTH_SYS", utilizado normalmente en entornos
'confiables' por su inseguridad inherente debida a la facilidad de
falsificación de credenciales de clientes.

Esta vulnerabilidad puede ser explotada para ejecutar comandos
arbitrarios en el sistema con los privilegios que tenga el propio
demonio sadmind (que normalmente suelen ser los de root). El proceso
involucraría el envío de una secuencia de llamada a procedimiento
remoto especialmente construida a tal efecto para falsificar las
credenciales del cliente.

La compañía Sun no prevé el lanzamiento de ninguna actualización para
solucionar este problema. Por lo que se recomienda o bien desactivar
el demonio que presenta la vulnerabilidad (sadmind), o bien activar
la autenticación fuerte (AUTH_DES) añadiendo el parámetro "-S 2" a la
entrada sadmind del archivo inetd.conf.

En cualquier caso, los servicios de RPC no deberían ser accesibles a
sistemas a través de Internet, por lo que también sería recomendable
restringir el acceso a éstos al entorno local de red.


Julio Canto
jcanto@hispasec.com


Más información:

Security Issue Involving the Solaris sadmind(1M) Daemon
http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert/56740

Remote Root Exploitation of Default Solaris sadmind Setting
http://www.idefense.com/advisory/09.16.03.txt

sadmind(1M)
http://docs.sun.com/db/doc/816-0211/6m6nc676b?a=view

Sun Operating Systems Also Vulnerable to Security Attacks
http://www3.gartner.com/DisplayDocument?doc_cd=117483

[VulnWatch] iDEFENSE Security Advisory 09.16.03: Remote Root Exploitation of Default Solaris sadmind Setting
http://archives.neohapsis.com/archives/vulnwatch/2003-q3/0109.html

[VulnWatch] Solaris SADMIND Exploitation
http://archives.neohapsis.com/archives/vulnwatch/2003-q3/0115.html

rootdown.pl Remote command executiong via sadmind
http://www.metasploit.com/tools/rootdown.pl

Sun Solstice AdminSuite ships with insecure default configuration
http://www.kb.cert.org/vuls/id/41870

Sun Solaris SAdmin Client Credentials Remote Administrative Access Vulnerability
http://www.securityfocus.com/bid/8615

una-al-dia (27/12/1999) Desbordamiento de búffer en el demonio Sun Solstice AdminSuite "sadmind"
http://www.hispasec.com/unaaldia/426

martes, 23 de septiembre de 2003

Implicaciones de seguridad y privacidad en los cambios DNS realizados por Verisign

La semana pasada, Verisign realizó una serie de cambios en la
configuración de los dominios de primer nivel .COM y .NET consistentes
en la redirección de todas las peticiones erróneas de dominios a un
servicio ofrecido por esa compañía. Esta modificación en el
funcionamiento de la resolución de nombres tiene unas importantes
implicaciones de seguridad y privacidad.

El pasado día 15 de septiembre, Verisign realizó una serie de
modificaciones en la definición de los dominios de primer nivel .COM y
.NET. Estos cambios consistieron en añadir una entrada comodín para
que cualquier petición de resolución de un nombre de dominio erróneo
fuera automáticamente redirigida hacia un sistema
(sitefinder.verisign.com), donde hay un servicio de búsqueda y
directorio de páginas web.

Lo que hemos descrito en el párrafo anterior es, a grandes rasgos, la
descripción del servicio tal y como lo ha presentado Verisign. Pero
hay mucho más: las implicaciones de esta modificación realizada son
muchos mayores y afectan en gran medida al funcionamiento de la red.
De hecho, el cambio efectuado por Verisign puede calificarse como la
modificación más importante realizada en la arquitectura del servicio
de resolución de nombres desde la introducción del DNS.

La existencia de los comodines implica que cualquier petición de
resolución de nombres de un dominio .COM o .NET siempre resultará
satisfactoria, con independencia de la existencia real de dicho
dominio. Si el dominio está registrado, el cambio efectuado por
Verisign no afecta en absoluto a la resolución. Ésta continuará
delegada en los servidores de nombres asociados al dominio.

La diferencia de funcionamiento se encuentra cuando el dominio no esté
registrado. En este caso, desde la modificación realizada por
Verisign, en lugar de dar un error de resolución de nombre, la
existencia de los comodines implica que siempre será resuelto. Y esta
resolución siempre devolverá la misma IP y el mismo nombre de sistema:
64.94.110.11 o sitefinder.verisign.com.

Justamente es este cambio el que tiene unas muy importantes
connotaciones en la seguridad y la privacidad. A diferencia del
comportamiento de la resolución de nombres antes del 15 de septiembre,
las aplicaciones no recibirán un error de dominio inexistente. Para
ellas, el dominio resolverá satisfactoriamente y estará asociado a la
dirección IP de la máquina de Verisign.

Así, a partir de ahora, cuando una persona cometa un error en la
escritura del nombre de dominio (por ejemplo, en lugar de escribir
Hispasec.com escriba Hispesac.com) accederá al servicio sitefinder de
Verisign. Si esto lo hace con un navegador web, posiblemente no tenga
mayor importancia. En lugar del mensaje de error del navegador
aparecerá otro. Éticamente puede ser cuestionable hasta que punto
Verisign tiene el derecho de presentar esta información, pero a nivel
de seguridad no tiene mayores implicaciones.

El problema es cuando el error en la escritura se utiliza en otros
servicios tales como el correo electrónico, por citar un ejemplo de
servicio especialmente crítico. Siguiendo con el ejemplo anterior, si
en el momento de enviar un mensaje a mi dirección de email
(xavi@hispasec.com) se comete un error en la escritura del dominio
(xavi@hispesac.com), el servidor de correo no detectará este error. Al
contrario, como el dominio inexistente hispesac.com resuelve
satisfactoriamente intentará conectar con la dirección IP asociada y
entregar el mensaje. En el momento de redactar este boletín,
sitefinder.verisign.com tiene abierto el servicio de correo
electrónico, por lo que todos los mensajes escritos con una dirección
errónea son entregados satisfactoriamente en la máquina de Verisign.

Otro escenario posible es que Verisign detenga el servidor de correo
en sitefinder.verisign.com. En este caso, el mensaje quedaría en la
cola de envíos pendientes y no se informará al emisor del error hasta
que transcurra el período configurado en el servidor SMTP para los
intentos de entrega, que pueden ser varios días.

¿Hasta que punto es lícito que Verisign intercepte los mensajes de
correo electrónico dirigidos a dominios escritos de forma incorrecta?
Sinceramente, yo no tengo ningún interés que esos mensajes pasen por
la máquina de Verisign, donde no conozco que se hace con los mismos.

Simplemente, el servicio sitefinder.verisign.com no pinta nada, no me
aporta nada y si que abre muchas dudas razonables sobre el uso que se
pueda hacer de la información que le llega.

A raíz de la entrada en producción de este servicio de Verisign, la
comunidad no ha tardado en responder. Además de las iniciativas para
pedir la inmediata suspensión del servicio, se ha planteado el
desarrollo de sistemas para la circunvalación de los comodines en los
dominios de primer nivel. Así el ISC (Internet Software Consortium),
que desarrolla el servidor de nombres BIND ya ha anunciado que en
breve facilitará un parche para inhabilitar el cambio efectuado por
Verisign. También otros grupos han decidido aplicar medidas
adicionales, como la redirección del tráfico dirigido a
sitefinder.verisign.com.

Esto nos lleva a una razón más para estar en contra del cambio
introducido por Verisign. De forma innecesaria se añade un nivel
adicional de complejidad a la red y al sistema de resolución de
nombres. Este tipo de cambios, predecible y comprensible, no puede ser
considerado bueno para el funcionamiento de la red. Representan añadir
un nivel adicional de complejidad en los sistemas o la existencia de
medidas individualizadas para la resolución de un problema que,
sinceramente, nunca debería haber existido.


Xavier Caballé
xavi@hispasec.com



lunes, 22 de septiembre de 2003

Vulnerabilidad de Cross-Site Scripting en Macromedia ColdFusion

Se ha anunciado la existencia de una vulnerabilidad en ColdFusion, que
puede ser explotada por usuarios maliciosos para construir ataques de
Cross-Site Scripting contra los visitantes del web.

La vulnerabilidad está provocada por un problema de validación de
entradas en los procesos por defecto de tratamiento de errores. Esto
podrá ser explotado a través de la inclusión de código script
arbitrario en el campo "Referer" de la cabecera HTTP.

El sitio web estará vulnerable ante esta vulnerabilidad si emplea las
páginas por defecto ColdFusionMX Site-Wide Error Handler o
ColdFusionMX Missing Template Handler.

Esta vulnerabilidad afecta a las siguientes versiones:
* ColdFusion MX 6.0 y 6.1 (Todas las ediciones)
* ColdFusion MX 6.0 J2EE (Todas las ediciones)
* ColdFusion MX 6.1 J2EE (Todas las ediciones)
* ColdFusion 5.0 y versiones anteriores

Macromedia ha publicado los siguientes parches para evitar esta
vulnerabilidad:
Para ColdFusion MX 6.1
http://download.macromedia.com/pub/security/coldfusion/61/mpsb03-06_6_1.zip
Para ColdFusion MX 6.0
Actualizar a la versión 6.1 y aplicar el parche anterior:
ColdFusion 5.0 y anteriores
http://download.macromedia.com/pub/security/coldfusion/mpsb03-06_errorpage.zip


Antonio Ropero
antonior@hispasec.com


Más información:

Security Patch available for ColdFusion MX/ColdFusion cross-site scripting vulnerability with default error handlers
http://www.macromedia.com/devnet/security/security_zone/mpsb03-06.html

domingo, 21 de septiembre de 2003

Versión 2.1 de la metodología OSSTMM para verificación de la seguridad

La organización ISECOM publica la versión 2.1 de su manual con la
metodología para la verificación de la seguridad de los sistemas.
OSSTMM (Open Source Security Testing Methodology Manual) es el estándar
más completo existente en la actualidad con una metodología para la
verificación de la seguridad de los sistemas y las redes que disponen de
una conexión a Internet.

Esta metodología, desarrollada por la Organización ISECOM (Institute for
Security and Open Methodologies), se encuentra en constante evolución y
es fruto de la colaboración de más de 150 colaboradores de todo el
mundo. Gracias a este número de colaboradores, el documento incorpora
los más recientes cambios y nuevos desarrollos relacionados con la
seguridad informática.

OSSTMM es una de las metodologías utilizadas por Hispasec Sistemas en
las auditorías de seguridad solicitadas por nuestros clientes. Hay que
señalar, no obstante, que una metodología de calidad es solo un
ingrediente más de una buena auditoría de seguridad. La experiencia,
intuición, conocimientos, familiaridad tecnológica y "saber hacer" de un
buen auditor son componentes imprescindibles, mucho más importantes.

El manual, disponible como documento PDF de 128 páginas, puede
descargarse gratuitamente del web de ISECOM. Nuestro compañero Xavi
Caballé publicó un buen artículo sobre las versión 2.0 de la OSSTMM hace
año y medio, de recomendada lectura.


Jesús Cea Avión
jcea@hispasec.com


Más información:

OSSTMM - Open Source Security Testing Methodology Manual
http://www.isecom.org/projects/osstmm.htm

27/02/2002 - Versión 2.0 de la metodología OSSTMM para verificación de
la seguridad
http://www.hispasec.com/unaaldia/1221

sábado, 20 de septiembre de 2003

Ataque de denegación de servicio local en FreeBSD

Las versiones no actualizadas de FreeBSD son susceptibles a un ataque
por medio del cual un usuario local puede provocar un "kernel panic" y
la subsiguiente caída del sistema.

FreeBSD es un sistema operativo OpenSource gratuito y de alta calidad,
perteneciente a la familia *BSD, como NetBSD u OpenBSD.

La vulnerabilidad reside en la función "kill", que permite enviar una
"señal" o "interrupción" a un proceso. Debido a una comprobación
incorrecta de límites, es posible indicar un número de señal "negativo",
algo inválido, provocando la caída del sistema. En algunas variantes del
sistema podría ser posible alterar memoria kernel, con resultados
imprevisibles (caídas, corrupción u obtención de privilegios
especiales).

El ataque puede realizarlo cualquier usuario con acceso local a la
máquina.

Se recomienda a todos los administradores de FreeBSD que actualicen su
kernel a la última versión del mismo.


Jesús Cea Avión
jcea@hispasec.com


Más información:

FreeBSD Security Advisory FreeBSD-SA-03:09.signal
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-03:09.signal.asc

viernes, 19 de septiembre de 2003

Gusano simula ser una actualización de Microsoft

Swen o Gibe, nombres con el que ha sido bautizado por las casas
antivirus, ha irrumpido con fuerza en las últimas horas. Hispasec
lo sitúa en estos momentos como el gusano con mayores índices de
propagación. Entre otras vías de infección, destaca los mensajes
que envía simulando proceder de un servicio de Microsoft, donde
informa al usuario de que debe instalar el ejecutable que adjunta
(el gusano) para proteger su sistema contra las últimas amenazas de
seguridad.

Swen está desarrollado en Microsoft Visual C++, tiene un tamaño de
105KB, y afecta a los sistemas Windows. Usuarios, profesionales, y
entornos que utilicen otros sistemas operativos, como Linux o Mac
OS, están fuera de peligro.

Lo primero que destaca de Swen es el cuidado formato del mensaje donde
simula un envío de Microsoft, que sin duda está logrando engañar
a muchos usuarios. Desde las direcciones de remite, con nombres como
MS Technical Assistance o Microsoft Internet Security Section, hasta
el cuerpo del mensaje en formato HTML con el mismo aspecto que la
página web de Microsoft, incluido logotipos. El texto también aparece
muy cuidado y bien formateado, con referencias a las versiones de
Internet Explorer y Outlook Express que supuestamente el parche
corrige, así como enlaces a direcciones reales de la web de Microsoft.

Es sin duda este aspecto del gusano lo que está logrando engañar a
muchos usuarios, que terminan instalando el ejecutable que adjunta
al mensaje creyendo que se trata de un parche oficial de Microsoft,
provocando en realidad la infección de sus sistemas.

Desde Hispasec recordamos de nuevo, como norma básica y general, que
no se deben ejecutar los archivos adjuntos y, en el caso concreto de
Microsoft, que nunca distribuye actualizaciones o parches por e-mail.


Otras técnicas y vías de propagación

Swen también intenta explotar una vieja y conocida vulnerabilidad de
Internet Explorer para lograr ejecutarse de forma automática sin
necesidad de que el usuario abra el archivo de forma manual. Esta
vulnerabilidad (iframe/mime), que data de marzo del 2001, es la misma
que aprovechan gusanos como Klez, y se estima que la mayoría de los
usuarios no son vulnerables a la misma. De forma que el "éxito"
alcanzado por Swen debe achacarse más a los engaños que está
provocando su forma de presentarse que a motivos puramente técnicos o
de vulnerabilidades concretas.

Otras vías de propagación utilizadas por Swen son el IRC, las redes
P2P, los grupos de noticias, y los recursos compartidos.

En el caso del IRC, el gusano modifica el archivo script.ini en los
sistemas que cuenten con el popular cliente mIRC. Esta modificación
provocará que el usuario infectado envíe automáticamente una copia
del gusano a otros usuarios que se encuentren en el mismo canal de
IRC a través de DCC.

En cuanto a las redes P2P, Swen intenta localizar en los sistemas la
carpeta de archivos compartidos del programa KaZaa (cliente P2P),
y realiza varias copias del gusano con distintos nombres simulando
ser utilidades, programas de hacking, salvapantallas, etc. Estos
archivos, además de los que crea en la carpeta temporal de Windows,
pasarán a estar compartidos en la red P2P, y cualquier usuario de
la misma puede descargar el gusano creyendo que se trata de un
programa legítimo.

La propagación a través de las redes locales la realiza copiándose en
las carpeta de inicio de todas las unidades de red mapeadas. El código
del gusano también incluye un listado de servidores de news a los que
se envía.

Por último, tampoco debemos olvidar que además de los mensajes
en los que simula ser una actualización de Microsoft, Swen también
se presenta de otras formas por e-mail. Por ejemplo, finge ser un
mensaje rechazado por el servidor de correo, tipo:
Remite: Email Delivery Service
Asunto: Returned Response
Cuerpo: Undeliverable mail to [dirección de correo]


Instalación en el sistema

Una vez que se ejecuta el gusano, Swen sigue con sus técnicas de
engaño, o Ingenieria Social, y simula la aplicación del parche.
Despliega una ventana bajo el título Microsoft Internet Update
Pack, pregunta al usuario si desea continuar con la instalación,
y a continuación muestra una barra de progresión y aparenta
la actualización de diferentes componentes del sistema.

Debajo de toda estas ventanas, de apariencia legítima, el gusano
va ejecutando su código malicioso. En primer lugar se copia en
la carpeta de Windows con un nombre al azar, y añade una entrada
en el registro de Windows para ejecutarse cada vez que se inicie
el sistema (en HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run).

Modifica también diversas entradas en el registro de Windows
para provocar que el gusano se ejecute en primer lugar cada vez
que el usuario intenta ejecutar un archivo con extensión .EXE,
.REG, .SCR, .COM, .BAT o .PIF.

Además previene el uso de REGEDIT, en lo que parece un intento de
dificultar que el usuario pueda editar el registro para limpiar las
modificaciones realizadas por el gusano. Esto lo consigue con la
siguiente entrada:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies\System "DisableRegistryTools" = 01 00 00 00

Para propagarse por e-mail a otros usuarios, el gusano busca
direcciones de correo a las que enviarse en los archivos con
extensión HT*, .ASP, .EML, .WAB, .DBX y .MBX.

De forma periódica presenta al usuario una ventana que simula ser
un error de MAPI32, donde informa al usuario que algunos datos
han sido dañados y necesita restaurarlos para poder reconfigurar
su cuenta de correo para recibir y enviar mensajes. De nuevo el
gusano hace gala de una interfaz muy cuidada, donde solicita entre
otros datos la dirección de correo del usuario, nombre de usuario,
contraseña y servidores smtp y pop3.

Swen también intenta desactivar todas las protecciones con las que
cuente el sistema. Para ello contiene en su código un amplio listado
de nombres de procesos que finalizará si encuentra en memoria, la
mayoría correspondiente a antivirus, firewalls y otras utilidades
de seguridad.

El creador de este gusano también ha querido llevar una estadística
del número de sistemas que consigue infectar. Para ello Swen, la
primera vez que se ejecuta en un sistema, envía una petición HTTP
a un servidor web donde mantiene un contador de visitas.


Bernardo Quintero
bernardo@hispasec.com


Más información:

Win32.Swen.A@mm (Sven)
http://www.bitdefender.com/bd/site/virusinfo.php?menu_id=1&v_id=158

Win32.Swen.A
http://www3.ca.com/solutions/collateral.asp?CT=27081&CID=50601

W32/Swen.A@mm
http://www.f-prot.com/virusinfo/descriptions/swena.html

Swen
http://www.f-secure.com/v-descs/swen.shtml

Win32/Swen.A
http://www.enciclopediavirus.com/virus/vervirus.php?id=560&alerta=1

Swen.A
http://www.norman.com/virus_info/w32_swen_a_mm.shtml

I-Worm.Win32.Swen.106496
http://www.globalhauri.com/html/support/virus_read.html?code=IWW3000440

I-Worm.Swen
http://www.viruslist.com/eng/viruslist.html?id=88029

Gibe.C
http://www.pandasoftware.es/virus_info/enciclopedia/verficha.aspx?idvirus=40
743

W32/Swen@MM
http://vil.nai.com/vil/content/v_100662.htm

W32/Gibe-F
http://www.sophos.com/virusinfo/analyses/w32gibef.html

W32.Swen.A@mm
http://www.sarc.com/avcenter/venc/data/w32.swen.a@mm.html

WORM_SWEN.A
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SWEN.A

W32/Swen.A
http://www.vsantivirus.com/swen-a.htm

jueves, 18 de septiembre de 2003

Múltiples vulnerabilidades en Nokia Electronic Documentation

Se han descubierto recientemente múltiples vulnerabilidades en NED (Nokia Electronic Documentation, un interfaz basado en web para acceso a documentación de sus productos de redes telefónicas). Éstas permitirían a un usuario malicioso visualizar información sensible, realizar ataques del tipo cross site scripting o utilizar el programa como proxy abierto.
El ataque XSS (cross site scripting) se puede realizar mediante una petición con una URL especialmente construida a tal efecto. Un ejemplo de esto sería el siguiente:
http://[servidor]/docs/

El parámetro "location" no se comprueba de forma adecuada, lo que deja abierto a usuarios maliciosos acceder a recursos arbitrarios. Este fallo de WebLogic - su servidor interno de aplicaciones - puede ser utilizado tanto para acceder a directorios (podemos acceder al listado del directorio raíz del web), como para utilizar el software en sí como proxy. Un ejemplo de explotación del primer problema es el siguiente:
http://[servidor]/docs/NED?action=retrieve&location=.
Este sencillo procedimiento también devolverá la localización de la instalación física del programa, que por defecto es la siguiente:
:\menu\platform\active\docs\ned\Web-inf\special\

La utilización del programa como proxy abierto se realizaría de la siguiente manera:
http://[servidor]/docs/NED?action=retrieve&location=http://[otro-servidor]/

Esta vulnerabilidad ha sido confirmada en la versión 5.0 del software de la compañía finlandesa, que no se ha planteado lanzar una actualización para eliminar este problema de su software. Nokia afirma que estas vulnerabilidades sólo podrían tener efecto en circunstancias excepcionales, ya que NED no debería ser accesible más que a personal de confianza, y que debería estar en una red separada (lo que reduciría el ámbito del ataque a la red de área local).

Si bien es cierto que las instalaciones de este producto suelen realizarse dentro de las redes internas de mantenimiento y operación del la compañía de móviles, éstos entornos pueden verse expuestos a riesgos que no se han tenido en cuenta en sus perfiles normales de operación. Como regla general, al hablar de seguridad no podemos descuidar ningún aspecto. En cualquier caso, Nokia ha anunciado que lanzará una nueva versión del software a principios del 2004.


Julio Canto
jcanto@hispasec.com


Más información:

Nokia Electronic Documentation - Multiple Vulnerabilities
http://atstake.com/research/advisories/2003/a091503-1.txt

GPRS Wireless Security: Not Ready for Prime Time
http://www.atstake.com/research/reports/acrobat/atstake_gprs_security.pdf

miércoles, 17 de septiembre de 2003

Actualización urgente de Sendmail

Detectada una nueva vulnerabilidad crítica en sendmail que permite a
un atacante conseguir acceso no autorizado con máximos privilegios. Se
recomienda a todos los afectados la actualización urgente a la nueva
versión 8.12.10 de sendmail o, en su defecto, la aplicación del
correspondiente parche.

Sendmail es el MTA (Mail Transfer Agent) más veterano y popular en
Internet, con una cuota de bastante más del 50% de los servidores de
correo.

El nuevo problema de seguridad ha sido identificado en la función
prescan(), del archivo parseaddr.c, que fue también origen de la
última vulnerabilidad grave reportada en marzo de este mismo año, y
afecta a la versiones de sendmail 8.12.9 y anteriores.

El consorcio Sendmail ha publicado una nueva versión de Sendmail,
8.12.10, que elimina esta vulnerabilidad y soluciona otros problemas
adicionales, por lo que recomienda su actualización de forma
inmediata.

La nueva versión puede ser descargada desde:

ftp://ftp.sendmail.org/pub/sendmail/sendmail.8.12.10.tar.gz
ftp://ftp.sendmail.org/pub/sendmail/sendmail.8.12.10.tar.gz.sig
ftp://ftp.sendmail.org/pub/sendmail/sendmail.8.12.10.tar.Z
ftp://ftp.sendmail.org/pub/sendmail/sendmail.8.12.10.tar.Z.sig

Recordamos la importancia de comprobar la validez de los archivos
descargados, antes de proceder a su instalación, a través de la
firma digital (detalles en http://www.sendmail.org/pgp.html).

MD5:

393f5d09d462f522c8288363870b2b42 sendmail.8.12.10.tar.gz
345042839dec70f0a0b5aaeafcf3a0e3 sendmail.8.12.10.tar.gz.sig
36b2b74577a96f79c242ff036321c2ff sendmail.8.12.10.tar.Z
1b9cd61e1342207148d950feafab0f07 sendmail.8.12.10.tar.Z.sig

También se encuentra disponible un parche específico para la
vulnerabilidad en http://www.sendmail.org/parse8.359.2.8.html


Bernardo Quintero
bernardo@hispasec.com


Más información:

Sendmail 8.12.10
http://www.sendmail.org/8.12.10.html

29/03/2003 Nueva vulnerabilidad en Sendmail
http://www.hispasec.com/unaaldia/1616

martes, 16 de septiembre de 2003

Grave vulnerabilidad en OpenSSH

Se ha descubierto una grave vulnerabilidad en OpenSSH que podría ser
explotada por usuarios maliciosos para provocar un ataque de
denegación de servicio o incluso comprometer un sistema vulnerable.

El problema está causado por el manejo indebido de búfers de la
función "buffer_append_space()". Cuando OpenSSH recibe un paquete más
grande de lo que es capaz de almacenar en el espacio libre del que
dispone y falla a la hora de localizar un búfer más amplio, se llama a
la función "fatal()". En ciertas circunstancias, esta función
intentará liberar memoria fuera del espacio asociado al búfer, lo que
lleva a una corrupción del heap. Aún no se sabe concretamente si la
vulnerabilidad es explotable o no, pero se recomienda actuar de forma
preventiva ante la posibilidad de que empiecen a circular códigos de
explotación de este problema.

Todas las versiones anteriores a la 3.7.1 (publicada el día 16 de
septiembre) son vulnerables, por lo que se recomienda actualizar a esa
versión a la mayor brevedad posible. Hay una gran cantidad de
aplicaciones y sistemas que hacen uso de este producto, por lo que es
importante comprobar el estado de actualización de estos según empresa
(ver nota de vulnerabilidad del CERT). En cualquier caso, se
recomienda restringir el acceso al puerto de este servicio sólo a
sistemas de confianza.

Recordamos además la importancia de comprobar la firma digital del
fichero antes de instalarlo, para lo que tan sólo hace falta la firma
en sí, además de la llave pública del que realizó esa firma. La
comprobación varía según el software utilizado, así el
parámetro: --verify será el adecuado en una versión de línea de
comandos de GnuPG (comprobando que el archivo firmado y la firma están
en el mismo directorio), mientras que esa comprobación con un PGP con
entorno gráfico para Windows tan sólo requerirá un doble click sobre
el archivo en el que hayamos guardado la firma.

La dirección para acceder a esta actualización es la siguiente:
http://www.openssh.org/


Julio Canto
jcanto@hispasec.com


Más información:

OpenSSH Security Advisory: buffer.adv
http://www.openssh.com/txt/buffer.adv

Vulnerability Note VU#333628
OpenSSH contains a buffer management error
http://www.kb.cert.org/vuls/id/333628

CERT® Advisory CA-2003-24 Buffer Management Vulnerability in OpenSSH
http://www.cert.org/advisories/CA-2003-24.html

Vulnerabilidad en el manejador de Buffer en OpenSSH
http://www.unam-cert.unam.mx/Boletines/Boletines2003/boletin-UNAM-CERT-2003-024.html

ChangeLog
ftp://ftp.ca.openbsd.org/pub/OpenBSD/OpenSSH/portable/ChangeLog

Cisco Security Advisory: OpenSSH Server Vulnerabilities
http://www.cisco.com/warp/public/707/cisco-sa-20030917-openssh.shtml

lunes, 15 de septiembre de 2003

Graves vulnerabilidades en Eudora

Se han descubierto dos vulnerabilidades graves en el recientemente
publicado Eudora 6. Estas pueden permitir a usuarios maliciosos
ejecutar código arbitrario mediante un desbordamiento de búfer o
falsificar el nombre de ficheros adjuntos.

Eudora es un cliente de correo clásico, popular debido entre otras
cosas a tener disponible una versión gratuita y por no soler compartir
muchas de las vulnerabilidades que muestra su principal competidor en
el mundo Windows (Outlook de Microsoft).

Uno de los problemas consiste en que no está preparado para trabajar
con nombres de archivos muy largos (250 caracteres o más), lo que
puede ser explotado para provocar un desbordamiento de búfer. Esto no
solo colgará el cliente de correo, sino que además deja abierta la
puerta a la ejecución de código arbitrario. También se puede
falsificar el nombre de los archivos adjuntos, de tal manera que se
podría engañar al usuario para que ejecute archivos con carga
maliciosa (algunos virus usan una técnica similar intentando camuflar
su naturaleza con una doble extensión). Se han descubierto más
problemas de seguridad, pero al reproducirse, el cliente muestra una
ventana de diálogo de alerta.

El problema está en que vulnerabilidades similares ya se vieron en la
versión 5 del programa, y aunque han pasado meses desde que salieron a
la luz, la nueva versión del cliente de correo aún no dispone de
parches para evitarlas.

Por ello se recomienda filtrar los mensajes a nivel servidor de correo
o sencillamente cambiar de cliente hasta que Qualcomm solucione el
problema.


Julio Canto
jcanto@hispasec.com


Más información:

Eudora 6.0 attachment spoof, exploit
http://www.securityfocus.com/archive/1/337429
http://www.securityfocus.com/archive/1/322837

domingo, 14 de septiembre de 2003

Publicada nueva versión de MySQL

La nueva versión 4.0.15 de MySQL ofrece nuevas funcionalidades y
soluciona diversos problemas entre los que destaca una vulnerabilidad
de desbordamiento de búfer.

MySQL es un servidor de bases de datos SQL, "open source", de altas
prestaciones, extremadamente difundido en el mundo Linux.

Entre los múltiples problemas corregidos en la nueva versión destaca
una vulnerabilidad de desbordamiento de búfer, que permite la escalada
de privilegios a usuarios maliciosos.

El problema se debe a un desbordamiento de búffer en el proceso de
comprobación de claves antes de hacerles el hash y almacenarla en la
tabla "User". Para ello, es necesario dar un valor mayor de 16
caracteres al utilizar "set password".

Este desbordamiento da a usuarios maliciosos la capacidad potencial de
ejecutar código arbitrario con los derechos que posea el servidor MySQL.
La vulnerabilidad ha sido detectada en las versiones 4.0.14 y 3.0.57,
pero las versiones anteriores también podrían verse afectadas.

Se recomienda actualizar a la versión 4.0.15, disponible en la
siguiente dirección:
http://www.mysql.com/downloads/mysql-4.0.html


Julio Canto
jcanto@hispasec.com


Más información:

MySQL 4.0.15 has been released
http://lists.mysql.com/list.php?list=announce&post=168

sábado, 13 de septiembre de 2003

Vulnerabilidad en validación de peticiones en ASP.NET de Microsoft

ASP.NET es una colección de tecnologías de Microsoft destinadas a
ayudar a los desarrolladores a construir aplicaciones web. Se ha
descubierto en ésta una vulnerabilidad que puede ser explotada
por usuarios maliciosos para esquivar el mecanismo de seguridad
"Request Validation".

Este mecanismo de validación de peticiones, nuevo en la versión 1.1 de
ASP.NET, teóricamente sirve como protección a la hora de aceptar
valores de controles, de tal manera que puede servir como primer
bastión de defensa contra posibles ataques de tipo Cross-Site
Scripting o inyección de código SQL.

El problema consiste en que permite que se puedan introducir etiquetas
restringidas con un byte nulo. Esto es un problema debido a que
algunos navegadores (Internet Explorer, de la misma compañía sin ir
más lejos) ignora esos bytes nulos cuando está comprobando las
entradas, así que puede provocarse la ejecución del contenido de esas
entradas teóricamente restringidas.

Un ejemplo para comprobar el alcance del problema sería el siguiente:
<%00script>alert("¡Sorpresa!")

Obviamente, esta es una prueba inocua, pero al igual que se puede
optar por mostrar un inocente mensaje en un dialogo, se puede
introducir un contenido más elaborado que nos permita comprometer la
seguridad del sitio web al que se está accediendo.

Si bien es buena idea la inclusión de mecanismos de seguridad como del
que se ha hablado aquí, a la vista de problemas como este, siempre es
recomendable realizar una comprobación interna más exaustiva de las
entradas que se van a utilizar las aplicaciones web.


Julio Canto
jcanto@hispasec.com


Más información:

Microsoft ASP.NET Request Validation Null Byte Filter Bypass Vulnerability
http://www.securityfocus.com/bid/8562

Vulnerabilidad en el componente ASP.NET de Microsoft
http://www.hispasec.com/unaaldia/1320

Curso de seguridad .NET
http://www.hispasec.com/unaaldia/1591

viernes, 12 de septiembre de 2003

Desbordamiento de búfer en soporte MIDI de WinAMP

Recientemente se ha dado a conocer una vulnerabilidad en Winamp,
por la que un atacante podría comprometer el sistema de un usuario
que utilice el programa para reproducir un archivo MIDI.

Winamp es seguramente el más famoso reproductor de archivos multimedia
para plataformas Win32, ya que entre sus cualidades está el soportar
múltiples formatos y aceptar infinidad de plug-ins escritos por sus
usuarios.

Las versiones afectadas por esta vulnerabilidad son la 2.91 y 3. En
el caso de la versión 3,aunque se ve afectado por la vulnerabilidad el
atacante sólo conseguiría realizar un desbordamiento de buffer no
llegando a ejecutar código.

La vulnerabilidad está causada por un problema en el plug-in
"IN_MID.DLL" que permite a un atacante realizar un desbordamiento de
buffer y la posterior ejecución de código en el sistema afectado. Para
ello bastará la modificación del parámetro "Track data size" con el
valor "0xFFFFFFFF".


Antonio Román
roman@hispasec.com


Más información:

Code execution through malformed MIDI files
http://aluigi.altervista.org/adv/winamp-midi-adv.txt

Winamp
http://www.winamp.com

NullSoft Winamp MIDI Plugin IN_MIDI.DLL Track Data Size Buffer Overflow
Vulnerability
http://www.securityfocus.com/bid/8567

jueves, 11 de septiembre de 2003

Vulnerabilidades por desbordamiento de búfer en Pine

Se han descubierto dos vulnerabilidades en el popular cliente de
correo Pine, que pueden ser explotadas por usuarios maliciosos para
comprometer el sistema del usuario.

Pine es un programa cuya finalidad es el manejo de email y news de
Internet destaca por su fácil uso al ofrecer menús en pantalla que
liberan de memorizar comandos. Este cliente de correo creado por la
Universidad de Washington se incluye en la mayor parte de las
distribuciones de Linux.

La primera de las vulnerabilidades está causada por la falta de una
comprobación correcta cuando se trata el tipo "message/external-body".
Si en este campo se envía un nombre de más de 20 KB de longitud, se
provocará un desbordamiento de búfer.

La segunda, es provocada por un desbordamiento de entero en la función
"rfc2231_get_param()" mientras se analizan las cabeceras del mensaje.

Ambas vulnerabilidades pueden llegar a utilizarse para ejecutar código
arbitrario en la máquina remota. Esto tan sólo requiere que el usuario
abra un mensaje de correo especialmente construido a tal efecto.

Éstas vulnerabilidades afectan a la versión 4.56 y anteriores, por lo
que se recomienda actualizar a la versión 4.58 a la mayor brevedad.

La dirección para conseguir esa nueva versión es la siguiente:
http://www.washington.edu/pine/getpine/


Julio Canto
jcanto@hispasec.com


Más información:

Two Exploitable Overflows in PINE
http://www.idefense.com/advisory/09.10.03.txt

Pine:
http://www.washington.edu/pine/

miércoles, 10 de septiembre de 2003

Nueva vulnerabilidad crítica en Windows

Cuando todavía no hemos digerido el agujero crítico del Internet
Explorer, el gusano MS-Blaster todavía colapsa algunas redes, Sobig.F
acaba de autodestruirse y cada vez que abrimos un documento con Word
cabe la posibilidad de que entre un virus en nuestro ordenador, se
anuncia una nueva vulnerabilidad crítica en todas las versiones de
Windows derivadas de NT, incluidos Windows 2000, XP y 2003.

Microsoft acaba de publicar un boletín de seguridad para informar de
la existencia de diversas vulnerabilidades de seguridad en la
implementación RPC de los sistemas operativos Windows (NT Workstation
4.0, NT Server 4.0, NT Server 4.0 edición servidor de terminales,
Windows 2000, Windows XP y Windows Server 2003). Algunas de estas
vulnerabilidades son especialmente críticas, ya que pueden ser
utilizadas para la ejecución de código arbitrario en los sistemas
vulnerables.

En primer lugar conviene aclarar que, a pesar de que a primera vista
pueda parecer que nos encontramos con el mismo problema anunciado hace
escasamente un par de meses y de sobra conocida por ser la
vulnerabilidad utilizada por el gusano MS-Blaster, en realidad son dos
vulnerabilidades totalmente diferentes y que, por tanto, requiere la
instalación del nuevo parche publicado por Microsoft.

Las nuevas vulnerabilidades se encuentran en los mensajes RPC
utilizados para la activación de DCOM. Utilizando la función
CoGetInstanceFromFile de la API de Windows, es posible enviar el
mensaje de activación de DCOM. Si se manipulan la longitud de
determinados campos de este mensaje, es posible sobrescribir porciones
de la memoria utilizada por la pila con código definido por el
usuario. El envío de únicamente cuatro o cinco secuencias de mensajes
es suficiente para provocar una excepción del sistema. En el momento
que se produce la excepción, controlando los valores de los registros
eax y ecx, es posible escribir un dword arbitrario que apunte a
cualquier dirección de la memoria.

Llegados a este punto, el atacante dispone de la posibilidad de
ejecutar cualquier código en el ordenador de la víctima. Esto puede (o
podrá) ser utilizado por futuros gusanos de distribución masiva al
estilo del MS-Blaster.

Existen diversas medidas que pueden tomarse para evitar esta
vulnerabilidad, aunque sólo una de ellas es (en principio y hasta que
no se demuestre lo contrario) totalmente efectiva: la instalación del
nuevo parche publicado por Microsoft y que ya está disponible en
Windows Update así como a través del boletín publicado por Microsoft
(ver la dirección en el apartado "Más información"). Desde Hispasec
recomendamos que, siempre que sea posible, se instale este parche.


Las otras medidas no evitarán que el sistema sea vulnerable, pero si
pueden evitar que un atacante remoto pueda aprovechar esta
vulnerabilidad. Estas medidas adicionales pasan por el filtrado del
tráfico RPC (puertos UDP 135, 137, 138 y 445 y los puertos TCP 135,
139, 445 y 593) procedente de redes en las que no confiamos,
desactivar el servicio COM Internet Services, utilizar un cortafuegos
personal o anular el servicio DCOM en el sistema operativo. Todas
estas medidas tienen sus efectos secundarios y pueden provocar que
determinados servicios o aplicaciones dejen de funcionar.

Por último destacar que tanto Microsoft como eEye han publicado sendas
herramientas que permiten identificar los equipos de la red que son
vulnerables a este problema. La herramienta de Microsoft funciona
directamente desde la línea de órdenes del sistema operativo, mientras
que la de eEye es una aplicación Windows con un interfaz gráfico.


Xavier Caballé
xavi@hispasec.com



martes, 9 de septiembre de 2003

Ejecución de código sin firma en PlayStation 2

Los usuarios de la videoconsola Sony PlayStation 2 pueden ejecutar
cualquier software en su máquina, sin necesidad de que esté "firmado"
por Sony.

Tradicionalmente los fabricantes de videoconsolas construyen sus
máquinas de forma que solo se pueda ejecutar en ellas software
"autorizado". Para conseguir dicha "autorización", los fabricantes de
videojuegos deben pagar una cantidad monetaria al fabricante de la
consola, en concepto de licencia. De esta forma el fabricante original
consigue una fuente extra de financiación y un control total a nivel de
software.

Con la potencia y el bajo precio de las consolas actuales, resulta
atractivo poder ejecutar programas alternativos para, por ejemplo,
convertir la máquina en un servidor web o en un componente adicional en
una red de "rendering" distribuido.

Habitualmente los usuarios que requieren esas funcionalidades deben
recurrir a una modificación física de la consola, operación delicada,
relativamente cara y, en algunos países, incluso ilegal.

Se acaba de descubrir, no obstante, un mecanismo por el que un usuario
sin recursos especiales (en particular, con una videoconsola sin
modificar) puede superar las barreras de seguridad y ejecutar código
arbitrario en su consola PlayStation 2.

El descubridor del procedimiento aprovecha una vulnerabilidad en el
código de compatibilidad PS1 en la PS2. Se requiere un disco legítimo de
PlayStation 1, y una tarjeta de memoria. Cuando se enciende la consola
con un disco de PS1, la consola accede a la tarjeta de memoria, buscando
un archivo "mc0:/BXDATA-SYSTEM/TITLE.DB" (la X es el número de región de
la consola). Las rutinas de carga de dicho fichero contienen un
desbordamiento de búfer que permite la ejecución de código arbitrario en
el equipo. Dicho código toma el control del proceso de arranque de la
consola y puede lanzar, por ejemplo, un sistema operativo propio.

Las posibilidades que abre esta vulnerabilidad son inconmensurables.
Desde arrancar una versión adaptada de Linux hasta poder ejecutar
nuestros propios videojuegos, escritos por nosotros.


Jesús Cea Avión
jcea@hispasec.com


Más información:

PS2 Exploit Allows Running of Unsigned Code
http://slashdot.org/article.pl?sid=03/08/16/1621211

PlayStation 2 Independence: The PS1DRV Hack
http://www.0xd6.org/ps2-independence.html

lunes, 8 de septiembre de 2003

Nuevo informe trimestral del CERT

El CERT acaba de publicar su tercer informe trimestral de incidentes de
seguridad en Internet del año 2003.

Según el CERT, los ataques de seguridad más habituales en este tercer
trimestre de 2003 son:

* Gusano "W32/Sobig.F".

* Explotación de vulnerabilidades en la interfaz RPC de Microsoft.

* Gusano "W32/Blaster".

* Gusano "W32/Welchia".

* Denegación de servicio sobre interfaces IPv4 de CISCO.

* Desbordamiento de búfer en la librería de conversión HTML de Microsoft
Windows.

* Desbordamiento entero en la librería MIDI DirectX de Microsoft
Windows.

* Diversas vulnerabilidades en Microsoft Internet Explorer.

Todas estas vulnerabilidades han sido publicadas por Hispasec a través
de este mismo boletín y el servicio de alertas SANA, por lo que los
administradores de sistemas que mantienen sus equipos actualizados no
serán susceptibles a ninguno de los ataques descritos que, como se
refleja en el informe del CERT, constituyen el grueso de ataques en
Internet, en este momento.

Es de señalar, también, que el CERT ha publicado una nueva clave pública
PGP/GPG. Se puede obtener a través de las URLs adjuntas al final de este
boletín. Su huella digital es:

pub 1024R/3D2BFD15 2003-08-28 CERT Coordination Center
Key fingerprint = 89 93 B9 43 33 26 A3 F1 DE 7A 04 BE 73 83 B0 57


Jesús Cea Avión
jcea@hispasec.com


Más información:

CERT® Summary CS-2003-03
http://www.cert.org/summaries/CS-2003-03.html

Clave Pública del CERT
https://www.cert.org/pgp/cert_pgp_key.asc

domingo, 7 de septiembre de 2003

Alerta: Agujero crítico en Internet Explorer

Con tan sólo visitar una página con Internet Explorer el usuario
puede sufrir la infección de un virus, el formateo de todas sus
unidades, o la instalación de un "dialer" que realice llamadas de
tarificación especial. No existe de momento solución por parte de
Microsoft. Compruebe con Hispasec si su sistema es vulnerable y
descubra como evitar el problema.

El último parche acumulativo de Microsoft para su navegador, del
pasado mes de agosto, no soluciona por completo un agujero crítico
que permite ejecutar código arbitrario en los sistemas con Internet
Explorer. Las implicaciones en materia de seguridad son máximas,
si tenemos en cuenta lo crítico de la vulnerabilidad y la sencillez
con la que puede ser explotada.

Tal y como ya avanzamos entonces en Hispasec, el problema reside
en que es posible hacer creer a Internet Explorer que cualquier
ejecutable es seguro y lanzarlo de forma automática sin pedir
autorización alguna al usuario. La forma de explotación es sencilla,
todo se debe a que Internet Explorer no chequea realmente la
naturaleza del contenido que establece la localización del ActiveX
a descargar en la etiqueta Object.

El parche de Microsoft, publicado en agosto, corrige el problema
cuando la explotación se lleva a cabo de forma directa mediante
contenido estático, pero no ha tenido en cuenta que es posible
explotarlo igualmente a través de scripts. En definitiva, ha dejado
el agujero en su navegador, con el agravante de que ahora se conocen
los detalles de como explotarlo.

Hispasec proporciona algunas demostraciones reales de como la
vulnerabilidad sigue existiendo, aun teniendo instaladas todas las
actualizaciones disponibles hasta la fecha, y como puede ser
explotada para ejecutar código en su sistema a través de la última
versión de Internet Explorer.


Ejemplo 1 (descarga y ejecución de una aplicación)

En este caso se utiliza el agujero para descargar una aplicación y
ejecutarla de forma transparente. Hemos escogido una pequeña broma
gráfica inofensiva, de Robert Salesas, que da la vuelta a la pantalla.
Con tan sólo visitar la página web, la aplicación se copiará en el
disco duro del usuario como C:\prueba_ie_hispasec.exe y la ejecutará.

http://www.hispasec.com/directorio/laboratorio/Software/tests/odrev3.html

Después de completar el test, si se ha llevado a cabo con éxito, se
recomienda eliminar el archivo C:\prueba_ie_hispasec.exe

En lugar de una aplicación inofensiva, que algunos antivirus pueden
detectar como "joke" (broma), un atacante podría utilizar una página
web, o un mensaje con formato HTML, para distribuir virus, gusanos
o troyanos que infectarían de forma automática y transparente al
usuario.


Ejemplo 2 (Windows 2000/XP e Internet Explorer 6):

En esta página abrimos una ventana DOS en el sistema del usuario
en la que se demuestra la posibilidad de ejecutar cualquier comando.
Podríamos, por ejemplo, borrar archivos o formatear la unidad, en su
lugar solo hemos realizado un listado de la unidad C: y mostramos
un mensaje de advertencia.

http://www.hispasec.com/directorio/laboratorio/Software/tests/odrev.html


Solución para evitar este tipo de exploit:

A la espera del nuevo parche por parte de Microsoft, la única
solución para este tipo de exploits pasa por desactivar la "Secuencia
de comandos ActiveX" en Internet Explorer.

Desde el menú Herramientas, Opciones de Internet, pestaña Seguridad,
Nivel personalizado, Secuencias de comandos ActiveX, señalar la
opción de Desactivar.

El problema es que el navegador será incapaz de visualizar muchas
páginas que utilizan scripts de forma correcta. Sin ir más lejos,
por ejemplo, no podremos acceder a www.hotmail.com


Ejemplo 3 (Windows 2000/XP e Internet Explorer 6)

Esta es otra variante del exploit con los mismos efectos que el
anterior, pero que es capaz de ejecutarse aun teniendo desactivada
la opción de "Secuencias de comandos ActiveX".

http://www.hispasec.com/directorio/laboratorio/Software/tests/odrev2.html


Solución para evitar este tipo de exploit:

Desde el menú Herramientas, Opciones de Internet, pestaña Seguridad,
Nivel personalizado, Controles y complementos de ActiveX, Ejecutar
controles y complementos de ActiveX, señalar la opción de Desactivar.

Evidentemente, con esta nueva restricción que configuramos en el
navegador, aumenta la seguridad proporcionalmente a la posibilidad
de que no podamos visualizar muchas páginas que necesitan de estas
funcionalidades.


Solución genérica:

Otra opción, que permite visualizar páginas con scripts como Hotmail
y a su vez estar libres de este tipo de vulnerabilidades que suelen
afectar a Internet Explorer, consiste en utilizar otro navegador por
defecto.

Uno de los que últimamente se encuentra más en boga, consiguiendo
día a día nuevos adeptos gracias a sus funcionalidades y fiabilidad,
es Mozilla Firebird: http://www.mozilla.org/products/firebird/


Otra capa de seguridad adicional la pueden proporcionar las casas
antivirus, incluyendo firmas para reconocer de forma genérica el
código de estos exploits, detectando y deteniendo cualquier página
que intente aprovechar esta vulnerabilidad. Nos consta de que
algunas casas antivirus se encuentran en estos momentos analizando
el problema y actualizarán sus productos en breve. Recomendamos a
los usuarios que, en el caso de que no lo hagan, exijan a sus
productos antivirus que incluyan la protección necesaria.


Bernardo Quintero
bernardo@hispasec.com


Más información:

22/08/2003 - Internet Explorer: actualización urgente
http://www.hispasec.com/unaaldia/1762

Microsoft Security Bulletin MS03-032
Cumulative Patch for Internet Explorer (822925)
http://www.microsoft.com/technet/security/bulletin/MS03-032.asp

BAD NEWS: Microsoft Security Bulletin MS03-032
http://lists.netsys.com/pipermail/full-disclosure/2003-September/009639.html

Internet Explorer Object Data Remote Execution Vulnerability
http://www.eeye.com/html/Research/Advisories/AD20030820.html

Tests OnLine Hispasec
http://www.hispasec.com/directorio/laboratorio/Software/

sábado, 6 de septiembre de 2003

Diversas vulnerabilidades en WebCalendar 0.9.x

WebCalendar en sus versiones 0.9.x se ve afectado por diversos
problemas de seguridad que pueden permitir a un atacante la realización
de cross site scripting o la inyección de código SQL.

WebCalendar es una aplicación desarrollada en PHP empleada para
mantener un calendario y agenda para una o más personas

El problema reside en la validación incorrecta de diversos módulos php
de WebCalendar, en concreto los afectados son view_t.php, view_w.php,
view_v.php, y login.php
http://www.sistema_vulnerable.com/webcalendar/view_m.php?id=comando sql adicional
http://www.sistema_vulnerable.com/webcalendar/login.php?user='comando%20sql%20adicional
http://www.sistema_vulnerable.com/webcalendar/login.php?password='comando%20sql%20adicional

Un usuario que consiga explotar exitosamente esta vulnerabilidad podrá
lograr acceso a información sensible almacenada en la base de datos de
la aplicación. Esta información podrá ser empleada para construir
ataques posteriores contra el sistema vulnerable.

También se ha anunciado la existencia de vulnerabilidades de
cross-site scripting en diversos módulos. En este caso el problema se
encuentra en includes/js/colors.php, week.php, day.php, month.php,
week_details.php, view_l.php, view_m.php, view_t.php, view_v.php,
view_w.php, y week_details.php. Las vulnerabilidades pueden permitir
al atacante la creación de un enlace malicioso que contenga código
HTML o script que se ejecutará en el navegador del usuario.

Entre los ejemplos de cross-site scripting:
http://www.sistema_vulnerable.com/webcalendar/colors.php?color=
">http://www.sistema_vulnerable.com/webcalendar/week.php?user=">
http://www.sistema_vulnerable.com/webcalendar/week.php?eventinfo=
http://www.sistema_vulnerable.com/webcalendar/week.php?eventinfo=