sábado, 31 de diciembre de 2005

Desbordamiento de búfer y escalada de privilegios en Gentoo Linux

El equipo de desarrollo de Gentoo Linux ha diagnosticado y resuelto
recientemente dos graves problemas de seguridad que podrían comprometer
seriamente las máquinas donde corra esta distribución Linux.

Gentoo Linux es un proyecto de distribución Linux muy popular. Diseñado
para ser modular, fácil de mantener y sobre todo, para ajustarse a las
configuraciones específicas de cada máquina, ya que el producto está
pensado especialmente para compilarse a medida, alrededor del sistema
Portage de gestión de paquetes, sistema basado en los ports de BSD que
permite la descarga y compilación en el momento de los paquetes
seleccionados, así como el empleo de binarios precompilados.

El primero de los problemas es un desbordamiento de búfer está
catalogado como crítico y que afecta a todas las versiones de sys-block/nbd
inferiores a 2.8.2-r1s. Las herramientas NBD (Network Block Device)
permiten el uso de dispositivos remotos en redes TCP/IP, e incluyen
un servidor NBD cuyas versiones no actualizadas podrían permitir que
un atacante remoto enviara peticiones maliciosas que resultasen en la
ejecución de código arbitrario con los privilegios del servidor NBD.

El segundo problema catalogado también tiene un alto impacto, y afecta
a los paquetes app-shells/rssh inferiores a 2.3.0. RSSH es un servicio
SSH restringido (Restricted Secure SHell) que habitualmente complementa
a soluciones SSH completas como OpenSSH, proporciona acceso limitado
a los usuarios a través de la permisividad de sólo algunos tipos de
comando, como SCP o SFTP. Las versiones vulnerables permiten que los
usuarios locales puedan, a través de un defectuoso 'rssh_chroot_helper',
ejecutar chroot en directorios arbitrarios del sistema. Esto posibilita
que el atacante obtenga permisos de root mediante la oportuna escalada
de privilegios.

La solución a ambos problemas pasa por la actualización, se recomienda
el empleo del sistema de actualizaciones por consola:

NBD 2.8.2-r1
# emerge --sync
# emerge --ask --oneshot --verbose ">=sys-block/nbd-2.8.2-r1"

RSSH 2.3.0
# emerge --sync
# emerge --ask --oneshot --verbose ">=app-shells/rssh-2.3.0"


Sergio Hernando
shernando@hispasec.com


Más información:

Gentoo Linux
http://www.gentoo.org

NBD Tools: Buffer overflow in NBD server
http://www.gentoo.org/security/en/glsa/glsa-200512-14.xml

rssh: Privilege escalation
http://www.gentoo.org/security/en/glsa/glsa-200512-15.xml

viernes, 30 de diciembre de 2005

Nuevas consideraciones sobre la vulnerabilidad de proceso de WMFs

La criticidad de los problemas de seguridad es siempre proporcional al
alcance y peligrosidad de los mismos. Especialmente notorio en este
campo, sin menospreciar la importante seguridad doméstica, es la
seguridad de las corporaciones. Cuando lo que se pone en peligro es
una posible ruptura de la continuidad de un negocio, los problemas de
seguridad se convierten en problemas organizativos extremadamente
críticos.

Según la información aparecida en el NIST, John Herron ha descubierto
que todas las versiones 6.x y superiores de Lotus Notes son
vulnerables al exploit de gestión de archivos de metadatos WMF
recientemente aparecido. Es preciso informar que Lotus Notes es
vulnerable incluso después de aplicar el "workaround" sobre regsvr32,
en ausencia de parches, en el boletín de Microsoft (912840), lo que
convierte a una vulnerabilidad ya de por sí extremadamente crítica en
poco más o menos que dramática.

Lotus Notes es un software colaborativo cliente-servidor, muy popular
en entornos corporativos, propiedad de Lotus Software, perteneciente
al grupo de IBM Software.

En ausencia de parches, la recomendación que podemos transmitir a los
responsables de IT y seguridad de las corporaciones que empleen Lotus
Notes son filtrar en el perímetro las extensiones comunes asociadas a
formatos gráficos, como BMP, DIB, EMF, GIF, ICO, JFIF, JPE, JPEG, JPG,
PNG, RLE, TIF, TIFF y WMF, ya que las plataformas Microsoft Windows
manejan estos ficheros no por la extensión que se emplee, sino por la
información que exista en la cabecera de datos.

Por supuesto, es una recomendación igualmente válida es no abrir ni
visualizar documentos gráficos procedentes de fuentes no fiables, a la
espera de la puesta a disposición del público afectado de las
pertinentes contramedidas. IBM está al corriente del problema, y se
espera libere un boletín específico en las próximas horas, con lo que
recomendamos a los usuarios de Lotus Domino contacten a la mayor
brevedad posible con sus servicios técnicos y/o de atención al cliente
para recibir la información más actualizada posible, habida cuenta del
elevado riesgo de la problemática descrita.

Microsoft ha procedido a actualizar el boletín emitido en la jornada de
ayer. Lo más relevante en esta actualización es que están centrando la
investigación en la utilización de ficheros especialmente creados para ser
explotados por Internet Explorer, y que no tienen constancia de actividad de
explotación de ficheros maliciosos .WMF incrustados en documentos, como por
ejemplo, en documentos Word.

De momento la compañía tampoco confirma que MSN Desktop Search pueda
facilitar la explotación de la vulnerabilidad, tal y como sucede con Google
Desktop, si bien van a investigar el caso con profundidad. Del mismo modo,
confirman oficialmente que esta vulnerabilidad y la aparecida en Noviembre
"MS05-053 - Vulnerabilities in Graphics Rendering Engine Could Allow Code
Execution (896424)" son dos vulnerabilidades distintas, e invitan a los
usuarios de sistemas de detección de intrusos a que contacten con sus
proveedores IDS, para ver cómo pueden cooperar estos mecanismos en la
reducción a la exposición de esta hornada de malware.

Sobre IDS, han aparecido firmas específicas para SNORT, que pueden ser
introducidas a mano por los administradores del IDS para añadir un grado de
protección. Ninguna de estas firmas garantiza el 100% de detecciones, y por
tanto, deben considerarse como un mero apoyo a la infraestructura de
seguridad:

alert tcp $EXTERNAL_NET 80 -> $HOME_NET any (msg:"BLEEDING-EDGE EXPLOIT WMF
Exploit via Metasploit detected";content:"|01| |00| |09| |00| |00| |03| |52|
|1f| |00| |00| |06| |00| |3d| |00| |00|";offset:55;depth:40;content:"|00|
|09| |00| |04| |00| |04| |00|
|00|";offset:470;flow:to_client,established;dsize:>10955;reference:url,www.f
rsirt.com/exploits/20051228.ie_xp_pfv_metafile.pm.php;
classtype:attempted-user;rev:1;)

alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"BLEEDING-EDGE EXPLOIT WMF
Escape Record Exploit"; flow:established,from_server; content:"|01 00 09 00
00 03|"; depth:500; content:"|00 00|"; distance:10; within:12; content:"|26
06 09 00|"; within:5000; classtype:attempted-user;
reference:url,www.frsirt.com/english/advisories/2005/3086; sid:2002733;
rev:1;)

(chequea cabeceras WMF válidas, pero ignora variables como FileSize,
NumOfObjects y MaxRecordSize)

alert ip any any -> any any (msg: "COMPANY-LOCAL WMF Exploit"; content:"|01
00 09 00 00 03 52 1f 00 00 06 00 3d 00 00 00|"; content:"|00 26 06 0f 00 08
00 ff ff ff ff 01 00 00 00 03 00 00 00 00 00|"; reference:
url,www.frsirt.com/exploits/20051228.ie_xp_pfv_metafile.pm.php;
sid:2005122802; classtype:attempted-user; rev:1;)

Como nota anecdótica, los usuarios del Internet Storm Center de SANS están
respondiendo a una encuesta sobre qué acciones están tomando para tratar de
evitar los efectos colaterales del exploit. Los resultados, por el momento,
sobre un universo cercano a 1000 votantes, son estos:

26 % => Usar un antivirus actualizado
5 % => Activar DEP (Data Execution Prevention)
13 % => Formar a usuarios para evitar enlaces sospechosos
19 % => Filtrado de ficheros .WMF en el perímetro
3 % => Usar políticas de restricción inherentes al software de Microsoft
o equivalentes
24 % => Usar Sistemas Operativos no afectados por la vulnerabilidad
11 % => Otras medidas


Sergio Hernando
shernando@hispasec.com


Más información:

Lotus Notes vulnerable to MS Windows graphics rendering engine bug
http://www.nist.org/nist_plugins/content/content.php?content.25

Lotus Notes Vulnerable to WMF 0-Day Exploit
http://isc.sans.org/diary.php?rss&storyid=981

Vulnerability in Graphics Rendering Engine Could Allow Remote Code
Execution. (Actualizado)
http://www.microsoft.com/technet/security/advisory/912840.mspx

Microsoft confirma la vulnerabilidad al procesar .WMF
http://www.hispasec.com/unaaldia/2623

Vulnerabilidad en tratamiento de archivos WMF de Windows
http://www.hispasec.com/unaaldia/2622

jueves, 29 de diciembre de 2005

Microsoft confirma la vulnerabilidad al procesar .WMF

Microsoft publica un aviso de seguridad donde confirma la existencia
de una nueva vulnerabilidad en Windows, para la que aun no existe
parche, y que está siendo aprovechada para infectar los sistemas
automáticamente al visitar determinadas páginas webs.

Tal y como comentábamos en el una-al-día de ayer, están proliferando
los sitios webs que contienen archivos Windows MetaFile (WMF)
especialmente diseñados para explotar un desbordamiento de buffer
en la biblioteca que procesa, entre otros, los archivos de imágenes
WMF.

Microsoft amplía el número de sistemas afectados por la vulnerabilidad
a prácticamente la mayoría de versiones Windows, según su aviso entre
el software afectado se encuentra Windows 98, Windows 98SE, Windows ME,
Windows 2000 SP4, Windows XP SP1, Windows XP SP2, Windows XP x64
Edition, Windows 2003 y Windows 2003 SP1 en sus versiones Itanium y
x64.

En el apartado de prevención, se recomienda no visitar enlaces no
confiables que nos lleguen a través del correo electrónico, IRC,
mensajería instantánea, foros web, grupos de noticias, etc. que
podrían ser un cebo para que visitemos las páginas que contienen
los archivos WMF maliciosos.

Otro consejo genérico, que además puede prevenir de otro tipo de
ataques, como el phishing, pasa por configurar nuestro cliente de
correo para leer los mensajes sin formato, sólo en modo texto.

Adicionalmente, como medida de mitigación a la espera del parche
específico que corrija esta vulnerabilidad, Microsoft ha documentado
como puede desactivarse la biblioteca Shimgvw.dll utilizada por
el Visor de imágenes y Fax de Windows, y que está siendo aprovechada
por los archivos WMF maliciosos conocidos hasta la fecha.

Los pasos son los siguientes:

* Desde el menú Inicio, seleccionar Ejecutar, y teclear (sin las
comillas): "regsvr32 -u %windir%\system32\shimgvw.dll"

* Aparecerá una ventana informando de que la operación se ha
realizado con éxito. Aceptamos.

Como efecto colateral a esta medida de mitigación, el Visor de
Imágenes y Fax de Windows no funcionará cuando intentemos abrir
directamente un archivo asociado a esta aplicación, ni podremos
previsualizar los archivos WMF en Explorer.

Cuando Microsoft publique e instalemos el parche para corregir la
vulnerabilidad podremos reestablecer la funcionalidad de esta
aplicación con los mismos pasos descritos anteriormente, pero
ejecutando en esta ocasión el comando (sin las comillas)
"regsvr32 %windir%\system32\shimgvw.dll"

Desde Hispasec también debemos indicar que la mayoría de soluciones
antivirus están incorporando firmas para proteger a sus usuarios
contra los archivos WMF maliciosos, aunque la proliferación de
variantes es continua.

Como ejemplo, aquí podemos ver como detecta cada solución antivirus
una de las primeras versiones publicadas de archivo WMF que
explota la vulnerabilidad para descargar spyware:

AntiVir [TR/Dldr.WMF.Small]
Avast [Win32:Exdown]
AVG [Downloader.Agent.13.AJ]
Avira [TR/Dldr.WMF.Small]
BitDefender [Exploit.Win32.WMF-PFV.A]
CAT-QuickHeal [WMF.Exploit]
ClamAV [Exploit.WMF.A]
DrWeb [Exploit.MS05-053]
eTrust-Iris [Win32/Worfo.B!Trojan]
eTrust-Vet [Win32/Worfo]
Ewido [Not-A-Virus.Exploit.Win32.Agent.r]
Fortinet [W32/WMF-exploit]
F-Prot [security risk or a "backdoor" program]
Kaspersky [Trojan-Downloader.Win32.Agent.acd]
McAfee [Exploit-WMF]
NOD32v2 [Win32/TrojanDownloader.Wmfex]
Panda [Exploit/Metafile]
Sophos [Troj/DownLdr-LW]
Symantec [Download.Trojan]
TheHacker [Exploit/WMF]

Otra medida de mitigación, aunque evidentemente no es mencionada en
el aviso de Microsoft, es utiliza un navegador diferente a Internet
Explorer, como Firefox u Opera, que no procesan automáticamente los
archivos WMF y requieren la intervención del usuario para abrirlos.

Por último, esperar que Microsoft acelere, en la medida de lo posible,
la publicación del parche correspondiente, sin necesidad de esperar
al segundo martes del mes que viene según su política de publicación
periódica, ya que sin duda se trata de un caso excepcional: la
vulnerabilidad es crítica, está siendo explotada de forma activa, y
el número de ataques/variantes aumenta progresivamente.


Bernardo Quintero
bernardo@hispasec.com


Más información:

Microsoft Security Advisory (912840)
Vulnerability in Graphics Rendering Engine Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/advisory/912840.mspx

Microsoft Windows Metafile Handling Buffer Overflow
http://www.us-cert.gov/cas/techalerts/TA05-362A.html

28/12/2005 - Vulnerabilidad en tratamiento de archivos WMF de Windows
http://www.hispasec.com/unaaldia/2622

miércoles, 28 de diciembre de 2005

Vulnerabilidad en tratamiento de archivos WMF de Windows

A lo largo del día de hoy se ha detectado en la red un exploit que
aprovecha una vulnerabilidad de Microsoft Windows XP y 2003, para la que
de momento no existe parche, y que puede ser explotada por atacantes
remotos para comprometer los sistemas afectados.

Dicho código de explotación, localizado en el dominio
unionseek[PUNTO]com, aprovecha un problema de Windows XP y 2003
(concretamente, en el componente "Visor de imágenes y fax de Windows")
a la hora de tratar metaarchivos de Windows (WMF) para ejecutar código
arbitrario.

Si la víctima utiliza Internet Explorer, puede provocarse la ejecución
automática de código arbitrario al visitar la web maliciosa. Otros
navegadores como Firefox preguntarán sobre si se quiere cargar la imagen
en el componente vulnerable antes mencionado.

Este código malicioso se está utilizando para distribuir troyanos
como Trojan-Downloader.Win32.Agent.abs, Trojan-Dropper.Win32.Small.zp,
Trojan.Win32.Small.ga y Trojan.Win32.Small.ev.

En estos momentos varias soluciones antivirus presentes en VirusTotal
detectan el exploit, por lo que además conviene mantener actualizado
el antivirus que se utilice.

El problema se ha confirmado en sistemas XP y 2003 totalmente
parcheados, aunque no se descarta que pueda afectar a otras plataformas.

A la espera de un parche de actualización que solvente el problema, se
recomienda filtrar el acceso a dicho dominio, además de archivos en ese
formato a nivel aplicación (proxy web, servidor de correo, etc).


Julio Canto
jcanto@hispasec.com


Más información:

Microsoft Windows Graphics Rendering Engine WMF Format Unspecified Code
Execution Vulnerability
http://www.securityfocus.com/bid/16074/info

Windows WMF 0-day exploit in the wild (NEW)
http://isc.sans.org/diary.php?storyid=972

martes, 27 de diciembre de 2005

Estudio sobre la implantación del cifrado en corporaciones

Un estudio demuestra la poca o casi nula implantación de sistemas
de cifrado en las empresas. La encuesta,realizada por el Instuituto
Ponemon y patrocinado por PGP Corp, desvela que sólo un 4.2% de las
compañías que respondieron disponen de un plan de cifrado corporativo.

La falta de uso de cifrado según revela el estudio realizado viene
dada en un 69% por una preocupación del funcionamiento del sistema,
en un 44% por su complejidad y en un 25% por el coste. Estos datos
contrastan sin embargo con la impresión recibida de los profesionales
entrevistados, que consideran un sistema de cifrado como una
herramienta muy importante para la seguridad de sus empresas.

Este mismo estudio revela que las pautas de comportamiento ante la
necesidad del cifrado se ven más agudizadas, según los entrevistados,
ante determinadas acciones, como el envío de información sensible
mediante medios electrónicos (con un 47%), un 31% cifra los datos
sobre los dispositivos como servidores, ordenadores portátiles, etc.
mientras que un 24% cifran las copias de seguridad antes de su
almacenamiento.

Las principales razones esgrimidas por los entrevistados para cifrar
los datos son prevenir la posible fuga de datos con un 55%, proteger
la imagen de marca un 40% y estar en conformidad con la ley
Sarbanes-Oxley un 29%.

Como se ve al mencionar la ley Sarbanes-Oxley este estudio está
realizado en el ámbito de los estados unidos, si bien puede ser
extrapolable a Europa. La conciencia del cifrado, según mi experiencia
personal en Hispasec, tiene un escollo importante entre los órganos de
dirección que lo ven como algo complejo y que puede complicarles el
trabajo diario. Algo que no es real, ya que con unas pocas horas de
formación podrían aprender a transmitir sus informaciones por medios
seguros.

A finales de julio de 2002, el congreso de los Estados Unidos y el
presidente Bush aprobaron la "Sarbanes-Oxley Act of 2002". Esta ley,
que afecta a todas las empresas y corporaciones que coticen en los
Estados Unidos, obliga al cumplimiento de una serie de disposiciones
financieras y contables, con el objeto de ofrecer una mayor protección
para el inversionista. El acta, implica no sólo a las compañías locales
americanas, sino también a las empresas extranjeras que emitan valores
en los mercados estadounidenses.


Antonio Román
roman@hispasec.com


Más información:

Encryption: A nice idea that few want to implement?
http://www.computerworld.com/securitytopics/security/story/0,10801,107280,00.html

Sarbanes-Oxley Act: Sus alcances y consecuencias para el mercado
http://www.ey.com/GLOBAL/content.nsf/Ecuador/Sarbanes-Oxley_Act_of_2002

lunes, 26 de diciembre de 2005

Escalada de privilegios en Sun Solaris PC NetLink

Se ha confirmado la existencia de dos vulnerabilidades en Sun Solaris
PC NetLink, que pueden ser empleadas por usuarios locales maliciosos
para elevar sus privilegios en los sistemas.

Las vulnerabilidades se deben a que los comandos '/etc/init.d/slsadmin'
y '/opt/lanman/sbin/slsmgr' de PC NetLink 2.0 abren los archivos en el
directorio '/tmp' de una forma insegura. Un usuario local podrá lograr
la escritura de datos arbitrarios en el sistema de archivos con los
permisos del usuario que ejecute los comandos afectados. Como resultado,
el atacante conseguirá la ejecución de código arbitrario.

Sun ha confirmado las vulnerabilidades en la versión 2.0 de PC NetLink
ejecutándose en sistemas Solaris 7, 8 y 9 bajo plataforma SPARC.

Se han publicado las siguientes actualizaciones:
PC NetLink 2.0 (para Solaris 7, 8 y 9 en plataforma SPARC):
http://sunsolve.sun.com/pub-cgi/pdownload.pl?target=121209-01&method=h
http://sunsolve.sun.com/pub-cgi/pdownload.pl?target=121332-01&method=h


Antonio Ropero
antonior@hispasec.com


Más información:

Security Vulnerability in PC Netlink 2.0 "slsmgr" May Allow Files to
be Opened Insecurely
http://sunsolve.sun.com/search/document.do?assetkey=1-26-102122-1

Security Vulnerability in PC Netlink 2.0 "slsadmin" May Allow Files to
be Opened Insecurely
http://sunsolve.sun.com/search/document.do?assetkey=1-26-102117-1

domingo, 25 de diciembre de 2005

Desbordamiento de búfer en Eudora WorldMail Server

Se ha anunciado la existencia de una vulnerabilidad en Eudora WorldMail
Server por la que un usuario remoto podrá lograr la ejecución de código
arbitrario en los sistemas afectados.

Eudora Qualcomm WorldMail 3.0 es un servidor de mensajería y correo para
entornos corporativos, con soporte para POP3, IMAP, SMTP características
webmail y herramientas para detener spam y virus.

Un atacante remoto podrá enviar comandos IMAP específicamente creados
para provocar un desbordamiento de búfer y causar con ello la caída del
sistema o la ejecución de código arbitrario. Se han publicado exploits
de demostración de los efectos de la vulnerabilidad.


Antonio Ropero
antonior@hispasec.com


Más información:

Eudora WorldMail Server Buffer Overflow in Processing IMAP Commands Lets
Remote Users Execute Arbitrary Code
http://securitytracker.com/alerts/2005/Dec/1015391.html

Qualcomm WorldMail IMAP Server String Literal Processing Overflow Vulnerability
http://www.idefense.com/intelligence/vulnerabilities/display.php?id=359

sábado, 24 de diciembre de 2005

Llamada a ponencias ACIS 2006

A continuación se reproduce la llamada a ponencias de las VI Jornadas
Nacionales de Seguridad Informática a celebrarse en Colombia en
junio de 2006.

Las Jornadas Nacionales de Seguridad Informática, como un escenario
para desarrollar y promover la investigación académica y científica en
el área de seguridad informática, invita a todos aquellos interesados
en presentar trabajos de investigación realizados o casos de la
industria sobre el tema, con el fin de compartir la experiencia,
implementación y hallazgos en los temas propuestos para este evento
expuestos a continuación (no pretende ser una lista exhaustiva):

· Modelos de Seguridad Informática
· Estándares de Seguridad Informática
· Seguridad en dispositivos móviles e inalámbricos
· Mecanismos de Autenticación y control
· Políticas y estándares de seguridad
· Mejores prácticas de seguridad informática
· Algoritmos de Encriptación, VPN, PKI
· Contingencia y recuperación de desastres
· Técnicas de Hacking y análisis de vulnerabilidades
· Seguridad en el perímetro
· Seguridad en Bases de Datos
· Seguridad en Sistemas Operacionales y redes
· Computación forense y atención de incidentes
· Evidencia Digital y procedimientos asociados.
· Análisis de riesgos de seguridad informática
· Consideraciones éticas y legales de la seguridad informática
· Dispositivos biométricos
· Seguridad en VoIP
· Seguridad en Telecomunicaciones

Para esta sexta versión de la Jornadas Nacionales de Seguridad
Informática, se cuenta con la participación de un comité de programa
internacional conformado por profesionales especialistas en el área,
quienes adelantarán la evaluación y análisis de los trabajos
presentados en este evento:

Profesor
Walter Baluja, M.Sc.
Instituto Superior Politécnico José A. Echeverría
CUBA

Profesora
Mirela Sechi Moreti, Ph.D
Barddal University
BRASIL

Experto en seguridad informática
Bernardo Quintero, M.Sc
Hispasec
ESPAÑA

Profesor
Jorge Ramio, Ph.D
Universidad Politécnica de Madrid
ESPAÑA

Profesora
Amparo Fúster, Ph.D
CONSEJO SUPERIOR DE INVESTIGACIONES CIENTÍFICAS
ESPAÑA

Profesora
Pino Caballero Gil, Ph.D
Universidad de la Laguna
ESPAÑA

Profesor
Arturo Ribagorda G, Ph.D
Universidad Carlos III de Madrid
ESPAÑA.

Profesor
Juan Guillermo Lalinde, Ph.D
Universidad EAFIT
COLOMBIA

Profesor
Nelson Remolina, LL.M
Universidad de los Andes
COLOMBIA

Profesor
Aurora Sánchez, Ph.D
Universidad Católica del Norte
CHILE

Profesora
Angela Cristina Carrillo, Ph.D(c)
Laboratorio LSR-IMAG
Equipo SIGMA, Grenoble.
FRANCIA

Profesor
Jeimy J. Cano, Ph.D
Coordinador Académico VI JNSI
COLOMBIA

Para la presentación de estos artículos (de investigación o de
experiencia o implementaciones en la industria) se requiere seguir
los siguientes parámetros:

* 15 paginas máximo, sin incluir figuras y referencias.
* En página aparte: Incluir titulo, Nombre del proponente(s),
Filiacion (Universidad/empresa), correo electrónico, teléfono o fax,
dirección física
* En primera página: Lo sugerido en formato de IEEE Transactions,
exceptuando nombre de los autores y su filiación
* Tamaño de letra Times New Roman 12 puntos
* Espacio sencillo
* Archivos Word 97 o RTF


Las preguntas sobre patrocinios, descuentos, inscripciones, en general
aspectos comerciales del evento, deben ser remitidos a Sra. Beatriz
Caicedo, Directora Ejecutiva de la Asociación Colombiana de Ingenieros
de Sistemas - ACIS a la dirección bcaicedo@acis.org.co

Las inquietudes sobre aspectos académicos deberán ser enviadas al
correo electrónico del Coordinador Académico del evento.

Todos los trabajos presentados serán tratados como propiedad
intelectual de los autores.

Fechas importantes:

* Marzo 24 de 2006 - Fecha límite de recepción de artículos
* Mayo 8 a Mayo 12 de 2006 - Notificación de Aceptación o Rechazo de
artículos y comentarios de los evaluadores

* Junio 2 de 2006 - Envío de artículos corregidos para publicación
final en las memorias.

* Junio 14, 15 y 16 de 2006 - Realización VI Jornadas Nacionales de
Seguridad Informática

NOTA: Los artículos corregidos que no lleguen en la fecha sugerida no
serán incluidos en las memorias del evento.

Los artículos deben ser enviados para su evaluación por parte del
comité de programa vía correo electrónico con asunto (subject)
"Articulo-VI JNSI" a:

Jeimy J. Cano, Ph.D
Coordinador Académico
VI Jornadas Nacionales de Seguridad Informática
Asociación Colombiana de Ingenieros de Sistemas - ACIS 2006
jcano@uniandes.edu.co


Bernardo Quintero
bernardo@hispasec.com


Más información:

VI Jornada de Seguridad Informática
http://www.acis.org.co/index.php?id=627

viernes, 23 de diciembre de 2005

Vulnerabilidad crítica en VMware

Un desbordamiento de búfer en el servicio NAT de VMware permite la
ejecución remota de código arbitrario. Están disponibles las
actualizaciones para corregir la vulnerabilidad.

VMware es un software que permite ejecutar diferentes sistemas
operativos en un mismo PC de forma virtual. Entre otras aplicaciones,
VMware es muy utilizado en seguridad informática por la versatilidad
que ofrece. Por ejemplo, se suele utilizar de forma habitual en la
investigación del malware, ya que permite ejecutar y analizar los
especímenes en entornos virtuales controlados.

Se ha detectado un desbordamiento de búfer en el servicio NAT de
VMware que puede ser explotado a través de peticiones FTP mediante
los comandos PORT y EPRT con parámetros excesivamente largos. A
efectos prácticos, es posible la ejecución de código arbitrario con
máximos privilegios y el consiguiente compromiso del sistema.

La vulnerabilidad afecta a las diferentes versiones de VMware
Workstation, GSX Server, ACE y Player para plataformas Windows, Linux
y Solaris.

Desde Hispasec recomendamos la actualización inmediata a las nuevas
versiones que corrigen la vulnerabilidad:

VMware Workstation 5.5.1
VMware GSX Server 3.2.1
VMware ACE 1.0.2
VMware Player 1.0.1

Disponibles para descarga en http://www.vmware.com/download/

Aunque se recomienda la actualización, también puede mitigarse la
vulnerabilidad desactivando el servicio NAT, tal y como se describe
en http://www.vmware.com/support/kb/enduser/std_adp.php?p_faqid=2002


Bernardo Quintero
bernardo@hispasec.com


Más información:

VMWare Workstation 5.5.0 <= build-18007 G SX Server Variants And Others
http://archives.neohapsis.com/archives/fulldisclosure/2005-12/1068.html

Security Response to BugTraq 15998: Vulnerability in NAT Networking
http://www.vmware.com/support/kb/enduser/std_adp.php?p_faqid=2000

VMware NAT Service vulnerable to buffer overflow via FTP PORT/EPRT commands
http://www.kb.cert.org/vuls/id/856689

jueves, 22 de diciembre de 2005

Desbordamiento de búfer en servidor web de Macromedia JRun 4

Se ha anunciado la presencia de una vulnerabilidad en el servidor web
de Macromedia JRun 4 que puede ser explotada por usuarios remotos
maliciosos para provocar denegaciones de servicio o ejecutar código
arbitrario en máquinas afectadas.

Macromedia JRun 4 es un servidor de aplicaciones utilizado para el
desarrollo y despliegue de aplicaciones basadas en la plataforma Java.

La vulnerabilidad en sí está localizada en el servidor web de JRun, y
puede aparecer concretamente a la hora de tratar cadenas de peticiones
de gran longitud. Con ciertas configuraciones de la plataforma, cuando
ésta recibe una URL muy larga (de aproximadamente 64.000 caracteres),
puede provocarse un desbordamiento de búfer que, además de ser
aprovechable para crear una condición de denegación de servicio,
potencialmente puede ser explotado por un atacante para ejecutar
código arbitrario en la máquina afectada.

Para que la vulnerabilidad pueda explotarse, dicho servidor web debe
estar activo, algo que no es recomendable en sistemas orientados a
producción y que sólo debería usarse en entornos de desarrollo.

Adobe ha confirmado que la vulnerabilidad afecta al servidor web de
JRun 4 en versiones anteriores a JRun 4 Updater 5, actualización
publicada en marzo de este mismo año, por lo que si no se ha aplicado
dicha actualización, se recomienda hacerlo ahora de forma urgente.


Julio Canto
jcanto@hispasec.com


Más información:

Macromedia JRun 4 Web Server URL Parsing Buffer Overflow Vulnerability
http://www.idefense.com/intelligence/vulnerabilities/display.php?id=360

miércoles, 21 de diciembre de 2005

Vulnerabilidades en cliente de correo Pegasus

Se ha anunciado la existencia de dos vulnerabilidades en el cliente
de correo Pegasus Mail, que pueden permitir a atacantes remotos la
ejecución de código.

El primero de los problemas anunciados consiste en un desbordamiento
de búfer al usar las respuestas de un servidor POP3 para construir los
mensajes de trazado que se muestran al usuario cuando se produce un
error al descargar el correo. Esto puede explotarse para lograr la
ejecución de código arbitrario a través de respuestas POP3 de gran
tamaño, si bien requiere engañar al usuario para que se conecte a
un servidor POP3 malicioso.

La segunda vulnerabilidad se trata de un error "Off by one" cuando
se muestran al usuario las cabeceras de mensaje RFC2822 de un e-mail.
Esto puede explotarse mediante cabeceras de mensaje de 1022 bytes (o
más) para sobreescribir el byte menos significativo del puntero EBP,
lo que puede llevar a lograr la ejecución de código en sistemas
Windows XP. El usuario atacado deberá ser engañado para que visualice
las cabeceras del mensaje malicioso.

Son vulnerables las versiones Pegasus Mail 4.21a, 4.21b, y 4.30PB1
(Beta Pública 1). Se recomienda evitar las situaciones bajo las que
se pueden explotar los problemas, como la conexión a servidores POP3
no confiables y la visualización de cabeceras de mensajes. En cualquier
caso, Pegasus Mail version 4.31 no se ve afectada por el problema por
lo que la actualización del programa evita todos los problemas:
http://www.pmail.com/downloads_de_t.htm


Antonio Ropero
antonior@hispasec.com


Más información:

Pegasus Mail Buffer Overflow and Off-by-One (POP3 reply, Email header)
http://www.securiteam.com/windowsntfocus/6B00N0AEUY.html

martes, 20 de diciembre de 2005

Denegación de servicio remota en HP WBEM Services para HP-UX

Se ha descubierto una vulnerabilidad de denegación de servicio remota
en un componente de las versiones 11.00, 11.11 y 11.23 de HP-UX.

Según la propia descripción de HP, Web-Based Enterprise Management (WBEM)
es una norma de la entidad Distributed Management Task Force (DMTF)
independiente de las plataformas y los recursos, que define un modelo
común (es decir, una descripción) y un protocolo (es decir, una interfaz)
para supervisar y controlar un conjunto variado de recursos.

El problema se debe a un error sin especificar en los servicios WBEM
(Web Based Enterprise Management) que puede ser aprovechado por
usuarios remotos malintencionados para provocar denegaciones de
servicio.

El fabricante recomienda actualizar a las siguientes versiones del
servicio según la versión del sistema:
HP-UX B.11.00: Actualizar a HP WBEM Services for HP-UX 1.5 o posterior
HP-UX B.11.11: Actualizar a HP WBEM Services for HP-UX 2.0 o posterior
HP-UX B.11.23: Actualizar a HP WBEM Services for HP-UX 2.0 o posterior


Julio Canto
jcanto@hispasec.com


Más información:

HP WBEM Services Unspecified Flaw Lets Remote Users Deny Service
http://www.securitytracker.com/alerts/2005/Dec/1015377.html

HPSBMA02088 SSRT051026 rev. 1 - HP-UX running WBEM Services Denial
of Service (DoS)
http://www2.itrc.hp.com/service/cki/docDisplay.do?docId=c00582373

HP WBEM Services for HP-UX
http://docs.hp.com/es/5991-1233/ch07s02.html

Distributed Management Task Force (DMTF)
http://www.dmtf.org/

lunes, 19 de diciembre de 2005

Denegación de servicio en Microsoft IIS 5.1

Se ha descubierto una vulnerabilidad en Microsoft IIS (Internet
Information Server) 5.1 que puede ser explotada por atacantes remotos
para provocar denegaciones de servicio.

La realización de peticiones anónimas maliciosas pueden cesar la
ejecución del proceso del servicio IIS (inetinfo.exe). Estas
peticiones sólo requieren que se envíen ciertas cadenas para provocar
la caída del servicio. Un ejemplo de petición maliciosa sería la
siguiente:
http://[direccion]/_vti_bin/.dll/*\~0

Este problema es explotable en instalaciones con carpetas virtuales
que tengan permisos de ejecución para scripts y ejecutables, como
puede ser "/_vti_bin".

Si bien el problema afecta a la versión 5.1 de IIS, se confirma que
las versiones 5.0 y 6.0 no se ven afectadas. Se informa además de que
IIS 5.1 arrancará automáticamente tras su caída, aunque la denegación
de servicio puede perpetuarse mediante la repetición continuada de
peticiones maliciosas.

A la espera de la publicación de un parche que solvente este problema,
se recomienda filtrar en las peticiones los caracteres maliciosos
("~0", "~1", "~2", "~3", "~4", "~5", "~6", "~7", "~8", o "~9", sin las
comillas) usando un proxy que ofrezca dicha funcionalidad.


Julio Canto
jcanto@hispasec.com


Más información:

Microsoft IIS Malformed URI DoS (_vti_bin, _sharepoint)
http://www.securiteam.com/windowsntfocus/6E00E2KEUS.html

Microsoft IIS Remote DoS .DLL Url exploit
http://ingehenriksen.blogspot.com/2005/12/microsoft-iis-remote-dos-dll-url.html

domingo, 18 de diciembre de 2005

Actualización acumulativa para servidor JRun 4.0

Macromedia ha publicado una actualización acumulativa, clasificada como
importante, de su servidor JRun 4.0 que además está destinada a evitar
dos nuevas vulnerabilidades.

El primero de los problemas puede permitir que un atacante remoto obtenga
el código fuente de las aplicaciones a través de URLs especialmente
construidas.

El segundo de los problemas reside en que el Servidor Web JRun no trata
de forma adecuada URLs y cabeceras de gran tamaño, lo que puede permitir
la realización de ataques de denegación de servicio.

La actualización publicada por Macromedia puede descargarse desde:
http://www.macromedia.com/go/jrun_updater


Antonio Ropero
antonior@hispasec.com


Más información:

MPSB05-13 Cumulative Security Updater for JRun 4.0 server
http://www.macromedia.com/devnet/security/security_zone/mpsb05-13.html

sábado, 17 de diciembre de 2005

Denegación de servicio en Cisco Clean Access

Se ha anunciado la existencia de una vulnerabilidad en Cisco Clean
Access, que podrá ser empleada por un atacante remoto para provocar
denegaciones de servicio.

El problema reside en diversos scripts del Secure Smart Manager debido
a que no realizan la autenticación de usuario de forma adecuada. De
tal forma que un usuario remoto podrá subir archivos arbitrarios al
directorio '/installer/windows' del sistema objetivo. Esto puede
emplearse para consumir todo el espacio de disco disponible y provocar
la caída del sistema.

Esta vulnerabilidad afecta al script '/admin/uploadclient.jsp', aunque
existen problemas similares en los scripts 'apply_firmware_action.jsp'
y 'file.jsp'.


Antonio Ropero
antonior@hispasec.com


Más información:

DoS possibilities in the Cisco Clean Access product line
http://www.awarenetwork.org/forum/viewtopic.php?p=223 6

Cisco Clean Access Lack of Authentication in Secure Smart Manager Lets Remote Users Deny Service
http://securitytracker.com/alerts/2005/Dec/1015375.html

viernes, 16 de diciembre de 2005

Diversas vulnerabilidades en Macromedia ColdFusion

Se han anunciado varias vulnerabilidades en Macromedia ColdFusion, que
pueden ser empleadas por usuarios maliciosos para saltar restricciones
de seguridad o para descubrir información sensible.

El primero de los problemas reside en un fallo silencioso de la
funcionalidad de seguridad en la Sandbox cuando ColdFusion se ejecuta
en un miembro de un cluster JRun 4 con Java SecurityManager desactivado.
Esto puede permitir el salto de controles de seguridad en aplicaciones
que confíen en la seguridad de la Sandbox.

Otro de los errores se presenta en el tratamiento del campo "Subject"
de la etiqueta CFMAIL. Esto podrá ser explotado en aplicaciones que
usen dicha etiqueta para adjuntar archivos y enviar mensajes de correo.

Existe un error en la implementación de la configuración
"CFOBJECT/CreateObject(Java)" en la funcionalidad Sandbox Security.
Esto puede explotarse para llamar a métodos restringidos.

Por último, el hash de la contraseña para autenticar al administrador
ColdFusion puede obtenerse por los desarrolladores a través de una
llamada a la API. Esto podría llegar a ser empleado por desarrolladores
maliciosos para obtener el hash y autenticarse como Administrator.

Las vulnerabilidades se han anunciado en la versión 7.0. ColdFusion MX
6.0, 6.1, y 6.1 con JRun, se ven afectados por las dos primeras
vulnerabilidades.

Se recomienda instalar las siguientes actualizaciones.

Para ColdFusion MX 7.0:
Actualizar a la versión 7.0.1.
http://www.macromedia.com/support/coldfusion/downloads_updates.html#mx7

Para ColdFusion MX 6.0:
Actualizar la versión 6.1 y aplicar el hotfix para dicha versión.

ColdFusion MX 6.1:
Instalar el hotfix:
http://download.macromedia.com/pub/security/mpsb05-12.zip


Antonio Ropero
antonior@hispasec.com


Más información:

MPSB05-12 Sandbox Security and CFMAIL Vulnerability in ColdFusion MX 6.X
http://www.macromedia.com/devnet/security/security_zone/mpsb05-12.html

MPSB05-14 Cumulative Security Updater for ColdFusion MX 7
http://www.macromedia.com/devnet/security/security_zone/mpsb05-14.html

jueves, 15 de diciembre de 2005

Desbordamiento de búfer en Apple QuickTime

Se ha anunciado la existencia de una vulnerabilidad en Apple QuickTime
que puede permitir a un usuario remoto la ejecución de código arbitrario
en los sistemas afectados.

QuickTime es el reproductor de Apple para su tecnología para manejar
vídeo, sonido, animaciones, gráficos y otros contenidos multimedia.

Un usuario remoto podrá provocar un desbordamiento de búfer en el
popular reproductor multimedia de Apple, lo que pude permitir la
realización de ataques de denegación de servicio o incluso llegar
a provocar la ejecución de código arbitrario.

El problema se ha confirmado en Apple Quicktime 7.0.3, aunque cabe
señalar que iTunes 6.0.1 también se ve afectado por el mismo problema,
tanto en plataformas OS X y Win32.


Antonio Ropero
antonior@hispasec.com


Más información:

Apple QuickTime Unspecified Heap Overflow May Let Remote Users Execute Arbitrary Code
http://securitytracker.com/alerts/2005/Dec/1015356.html

Upcoming Release: Apple Quicktime/iTunes Heap Overflow
http://www.security-protocols.com/modules.php?name=News&file=article&sid=3109

miércoles, 14 de diciembre de 2005

Vulnerabilidad de Cross-Site Scripting en Nortel SSL VPN

Se ha anunciado la existencia de una vulnerabilidad en Nortel SSL VPN
que puede ser empleada por usuarios remotos para construir ataques de
cross-site scripting.

Nortel SSL VPN es una solución de seguridad destinada a proporcionar
conectividad y acceso remoto a través de Internet mediante el uso de
SSL (Secure Sockets Layer).

El problema reside en el interfaz web incluido, debido a que no valida
adecuadamente los datos suministrados por los usuarios. De tal forma,
que un usuario remoto podrá crear una URL maliciosa que cuando sea
cargada por el usuario atacado provocará la ejecución de comandos
arbitrarios por su navegador.

El código se originará desde el sitio que ejecute el software servidor
SSL VPN y se ejecutará el contexto de seguridad de dicho sitio. Como
resultado, el código tendrá acceso a las cookies del usuario asociadas
con el sitio (incluidas las de autenticación), acceder a datos
introducidos por el usuario en formularios del sitio, o llevar a cabo
acciones en el sitio como si fuera el usuario atacado.

Nortel ha publicado una corrección como parte de la versión de
mantenimiento 5.1.5 del Gateway VPN.


Antonio Ropero
antonior@hispasec.com


Más información:

Nortel SSL VPN Input Validation Flaw Lets Remote Users Conduct Cross-Site Scripting and Command Execution Attacks
http://securitytracker.com/alerts/2005/Dec/1015341.html

Nortel SSL VPN Cross Site Scripting/Command
http://www.sec-consult.com/247.html

Nortel
http://www.nortel.com/

martes, 13 de diciembre de 2005

Dos boletines de seguridad de Microsoft en diciembre

Como cada segundo martes, Microsoft ha publicado sus boletines de
seguridad. Este mes, para finalizar el año se han publicado dos nuevos
boletines (MS05-054 y MS05-055). El primero de ellos referente a
Internet Explorer y el segunda al kernel de Windows 2000.

* MS05-054: Se trata de una actualización acumulativa para Internet
Explorer, que además soluciona cuatro nuevas vulnerabilidades en el
navegador de Microsoft, que pueden llegar a permitir la ejecución
remota de código. Está calificado como "crítico".

* MS05-055: Soluciona una vulnerabilidad de elevación de privilegios en
el modo en que se procesan en el núcleo de Windows 2000 las llamadas
a procedimientos asincrónicos. Esta vulnerabilidad podría permitir que
un usuario local con una sesión abierta tomara control completo del
sistema. Microsoft lo califica como "Importante".

De esta forma, si Microsoft no publica ningún boletín con carácter de
urgencia se cierra el año con 55 boletines de seguridad, diez más que
en el pasado año.


Antonio Ropero
antonior@hispasec.com


Más información:

Microsoft Security Bulletin MS05-054
Cumulative Security Update for Internet Explorer
http://www.microsoft.com/technet/security/bulletin/ms05-054.mspx

Microsoft Security Bulletin MS05-055
Vulnerability in Windows Kernel Could Allow Elevation of Privilege
http://www.microsoft.com/technet/security/bulletin/ms05-055.mspx

lunes, 12 de diciembre de 2005

Desbordamiento de búfer en Ethereal

Se ha anunciado la existencia de una vulnerabilidad en Ethereal, que
puede ser explotada por usuarios maliciosos para provocar denegaciones
de servicio e incluso lograr la ejecución de código y comprometer los
sistemas remotos.

Ethereal es una aplicación de auditoría orientada al análisis de tráfico
en redes, que goza de mucha popularidad, ya que está disponible en
múltiples plataformas, soporta una gran cantidad de protocolos y es
de fácil manejo

La vulnerabilidad está provocada por un error en el analizador del
protocolo OSPF (packet-ospf.c), concretamente por la ausencia de
las adecuadas comprobaciones en la función dissect_ospf_v3_address_prefix().
Esta función se encarga de convertir datos recibidos en formato
binario a cadenas legibles por humanos. Esto puede ser empleado
para provocar desbordamientos de búfer y la consiguiente ejecución
de código.

En el repositorio SVN de ethereal, se encuentra la corrección de este
problema, en:
http://anonsvn.ethereal.com/viewcvs/viewcvs.py/trunk/epan/dissectors/packet-ospf.c?rev=16507&view=markup


Antonio Ropero
antonior@hispasec.com


Más información:

Ethereal OSPF Protocol Dissector Buffer Overflow Vulnerability
http://www.idefense.com/application/poi/display?id=349&type=vulnerabilities

domingo, 11 de diciembre de 2005

Actualización de xpdf para Red Hat Enterprise Linux

Red Hat ha publicado paquetes actualizados de xpdf para diversas
versiones de su Enterprise Linux, debido a que se han detectado algunas
vulnerabilidades en dicha utilidad que pueden ser explotadas por
usuarios maliciosos para provocar denegaciones de servicio y
potencialmente comprometer sistemas afectados.

* Un problema de tratamiento de tamaños de variables en la función
"DCTStream::readBaselineSOF()" puede ser explotado para provocar
desbordamientos de búfer basado en heap.
* Otro problema de tratamiento de tamaños de variables en la función
"DCTStream::readProgressiveSOF()" puede ser explotado para provocar
desbordamientos de búfer basado en heap.
* Un error en la función "StreamPredictor::StreamPredictor()" puede
ser explotado también para provocar desbordamientos de búfer basados
en heap.
* Un error en la función "JPXStream::readCodestream()" también puede
ser explotada para provocar desbordamientos de búfer basados en heap.

La compañía recomienda actualizar los sistemas vulnerables vía Red Hat
Network:
http://rhn.redhat.com/


Julio Canto
jcanto@hispasec.com


Más información:

Important: xpdf security update
http://rhn.redhat.com/errata/RHSA-2005-840.html

sábado, 10 de diciembre de 2005

Salto de restricciones de seguridad en Check Point VPN-1 SecureClient

Se ha descubierto una vulnerabilidad en Check Point VPN-1 SecureClient
que puede ser explotada potencialmente por usuarios maliciosos para
saltarse ciertas restricciones de seguridad.

La vulnerabilidad se debe a que SecureClient se fia de la copia local
del archivo 'lcal.scv' descargado del servidor de políticas para
realizar comprobaciones de integridad del cliente antes de permitir
que éste se conecte a redes internas vía VPN. Esta comprobación puede
ser saltada por usuarios con acceso de escritura al archivo mediante
un reemplazo continuo con uno modificado.

Este problema potencialmente permite saltarse la funcionalidad SVC
(Secure Configuration Verification) del producto, que facilita a
clientes que no encajen con las políticas de seguridad de la
organización conectarse a la red interna.

A la espera de un parche que solvente el problema, se recomienda no
fiarse de SVC como método único para asegurar que un cliente esté
configurado de acuerdo con las políticas de seguridad.


Julio Canto
jcanto@hispasec.com


Más información:

Check Point VPN-1 SecureClient Lets Local Users Bypass Security Policy
http://securitytracker.com/alerts/2005/Dec/1015326.html

viernes, 9 de diciembre de 2005

Exposición de información sensible en Sun Solaris 10

Sun ha anunciado la existencia de una vulnerabilidad en Sun Update
Connection, que puede ser explotada por usuarios locales maliciosos
para descubrir información sensible.

La vulnerabilidad está provocada por un error, del que no se han
facilitado detalles, que permite a usuarios locales conseguir la
contraseña del proxy web configurado. La contraseña del proxy también
es visible en los archivos de log del proxy web en el servidor.

La explotación exitosa requiere que Sun Update Connection esté
configurado para usar un proxy web con contraseña de autenticación.

Sun ha confirmado el problema en plataformas Solaris 10 tanto en
SPARC como x86. Se han publicado los siguientes parches para
solucionarlo:
Para plataforma SPARC:
http://sunsolve.sun.com/pub-cgi/pdownload.pl?target=119107
Para plataforma x86:
http://sunsolve.sun.com/pub-cgi/pdownload.pl?target=119108-04


Antonio Ropero
antonior@hispasec.com


Más información:

Solaris 10 Sun Update Connection Web Proxy Password Disclosure Vulnerability
http://sunsolve.sun.com/search/document.do?assetkey=1-26-102090-1

jueves, 8 de diciembre de 2005

Salto de restricciones de seguridad en diversos productos Cisco

Cisco ha anunciado una vulnerabilidad que afecta a varios de sus
productos y que puede ser explotada por usuarios maliciosos para
saltarse ciertos mecanismos de seguridad.

La lista de productos afectados por el problema son los siguientes:
* Cisco PIX versiones de la 7.0.1 a la 7.0.4.2
* Cisco ASA 5500 versión 7.0.4.2. y anteriores
* CiscoWorks Common Services (CWCS) versión 2.2
* CiscoWorks Common Services (CWCS) versión 3.0
* Cisco Mainframe Channel Connection (CMCC) versión 28-22 y anteriores
* Cisco Global Site Selector (4480, 4490, 4491) versión 1.2 y
anteriores
* Cisco Wireless Control System Software versión 4.0 y anteriores
* Cisco IOS-XR versión 3.3 y anteriores

La vulnerabilidad se debe a un error en el tratamiento de la opción
SSL_OP_MSIE_SSLV2_RSA_PADDING. El uso de esta opción provoca una
comprobación que evita deshabilitar ataques de retroceso de versión de
protocolo. Esta circunstancia puede ser explotada por atacantes para
provocar que las comunicaciones se hagan con SSL 2.0 en vez de SSL 3.0
o TLS 1.0. Esta opción se usa también cuando se activa la opción
SSL_OP_ALL. Para que se pueda explotar la vulnerabilidad es necesario
que SSL 2.0 esté activado, y que o bien SSL_OP_MSIE_SSLV2_RSA_PADDING
o SSL_OP_ALL estén activados.

Las actualizaciones publicadas por Cisco son las siguientes:
* Cisco ASA 5500 y Cisco PIX con software 7.x: solventado en la
versión interina 7.0.4.3
* CiscoWorks Common Services (CWCS) versión 2.2: un parche puntual se
publicará el 2005-12-07
* CiscoWorks Common Services (CWCS) versión 3.0: un parche puntual se
publicará el 2005-12-16
* Cisco Mainframe Channel Connection (CMCC): la versión corregida
28-23 está programado para su publicación en diciembre del 2006
* Cisco Global Site Selector (4480, 4490, 4491): solventado en la
versión 1.2(2.2.0)
* Cisco Wireless Control System Software: se publicará una versión
corregida en febrero del 2006
* Cisco IOS-XR: se publicará una versión corregida en abril del 2006


Julio Canto
jcanto@hispasec.com


Más información:

Cisco Security Notice: Response to OpenSSL - Potential SSL 2.0 Rollback
http://www.cisco.com/warp/public/707/cisco-response-20051202-openssl.shtml

miércoles, 7 de diciembre de 2005

Actualización de seguridad para cURL

Las versiones de "cURL" no actualizadas contienen una vulnerabilidad que
permite que un atacante ejecute código arbitrario bajo los privilegios
del proceso que utilice "cURL".

"cURL" es una librería y herramienta para descargar ficheros por Gopher,
FTP, FTPs, HTTP, HTTPs, telnet, DICT, FILE y LDAP.

El problema reside en la rutina de gestión de URLs. Si un atacante
proporciona a la librería una URL excesivamente larga, puede provocar un
desbordamiendo de búfer y la ejecución de código arbitrario con los
privilegios del proceso atacado.

El ataque puede desarrollarse de dos maneras posibles, compatibles, por
lo que pueden utilizarse de forma simultanea. Aunque el desbordamiento
de búfer es muy limitado y parece difícil de explotar para provocar la
ejecución de código arbitrario, no debe descartarse. Por ello, Hispasec
recomienda a todos los usuarios de "cURL" que actualicen cuanto antes a
la versión 7.15.1, sobre todo si utilizan plataformas "little endian",
como x86.

La vulnerabilidad afecta, por supuesto, a los programas que utilicen la
librería "libcurl". Los programas enlazados de forma dinámica con la
librería deben ser reiniciados, para que empleen la versión correcta.
Los programas que se enlacen de forma estática deben ser
recompilados/reenlazados.

Las versiones afectadas son de la 7.11.2 a la 7.15.0, inclusive.


Jesús Cea Avión
jcea@hispasec.com


Más información:

libcurl URL Buffer Overflow
http://curl.haxx.se/docs/security.html#20051207

Security Advisory December 7th 2005
http://curl.haxx.se/docs/adv_20051207.html

cURL
http://curl.haxx.se/

martes, 6 de diciembre de 2005

Desbordamiento de búfer en Symantec pcAnywhere 9, 10 y 11

Se ha descubierto una vulnerabilidad en Symantec pcAnywhere
(versiones 11.0.1, 11.5.1 y todas las versiones de 32 bit) que
puede ser explotada por usuarios maliciosos para provocar
denegaciones de servicio.

La vulnerabilidad se debe a un error de tratamiento de tamaños de
variables sin especificar que puede ser explotado para provocar un
desbordamiento de búfer antes de la autenticación, lo que provoca el
cese de la ejecución del componente pcAnywhere.

Si bien las vulnerabilidades han sido confirmadas en las versiones
anteriormente nombradas, no se descarta que afecten también a otras
anteriores que ya no están soportadas por la compañía.

Las actualizaciones para los productos afectados pueden descargarse
desde las siguientes direcciones:
* Symantec pcAnywhere (versiones para consumidor):
http://www.symantec.com/techsupp/files/pca/index.html
* Symantec pcAnywhere (versiones corporativas):
http://www.symantec.com/techsupp/enterprise/products/spca/files.html

Symantec recomienda que los usuarios con versiones anteriores a la
11.0.1 actualicen a versiones soportadas.


Julio Canto
jcanto@hispasec.com


Más información:

Symantec pcAnywhere Denial of Service
http://securityresponse.symantec.com/avcenter/security/Content/2005.11.29.html

lunes, 5 de diciembre de 2005

Denegación de servicio en navegador Opera

Se ha anunciado una vulnerabilidad en el navegador Opera que puede
permitir a usuarios remotos la realización de ataques de denegación
de servicio.

Es posible provocar la caída de Opera 8.50 con un applet de Java. La
vulnerabilidad reside en un error en una rutina JNI implementando la
clase com.opera.JSObject.

Se ha publicado una prueba de concepto disponible en:
http://www.illegalaccess.org/exploit/opera85/OperaApplet.html

Se recomienda la actualización a Opera 8.51 que corrige el problema,
disponible en: http://www.opera.com/download/


Antonio Ropero
antonior@hispasec.com


Más información:

Opera Java Applet DoS
http://www.securiteam.com/windowsntfocus/6Y0010AEUA.html

domingo, 4 de diciembre de 2005

Denegación de servicio en Avaya Media Gateway

Se ha anunciado la existencia de una vulnerabilidad en Avaya Media
Gateway TN2602AP IP Media Resource 320, que puede ser explotada por
usuarios maliciosos para provocar denegaciones de servicio.

Hay que señalar que el circuito TN2602AP IP Media Resource 320 es
un componente opcional de Avaya G650 Media Gateway.

El problema se debe a un error no detallado, pero que puede ser
explotado para provocar fugas de memoria, lo que podría llegar a
emplearse para llevar a cabo ataques de denegación de servicio a
través de paquetes específicamente creados.

La vulnerabilidad se ha confirmado en las versiones del firmware
anteriores a la 9, que puede descargarse desde:
http://support.avaya.com/japple/css/japple?temp.documentID=236667&temp.productID=136527&temp.releaseID=228560&temp.bucketID=108025&PAGE=Document#TN2602


Antonio Ropero
antonior@hispasec.com


Más información:

Talkpath issue for TN2602AP IP Media Resource 320
http://support.avaya.com/elmodocs2/security/ASA-2005-231.pdf

sábado, 3 de diciembre de 2005

Nuevos contenidos en CriptoRed (noviembre de 2005)

Breve resumen de las novedades producidas durante el mes de noviembre
de 2005 en CriptoRed, la Red Temática Iberoamericana de Criptografía
y Seguridad de la Información.

1. DOCUMENTOS NUEVOS PARA SU DESCARGA

* Equivocaciones Comunes en la Gestión Corporativa de la Seguridad
Telemática
http://www.criptored.upm.es/paginas/docencia.htm#gtletraE

* Libro Electrónico: Estado del Arte. Sistemas de Detección de Intrusos
http://www.criptored.upm.es/paginas/docencia.htm#librose

Desde otros sitios:

* Trabajos Presentados en V Jornada de Seguridad Informática de Bogotá
(Colombia)
http://www.acis.org.co/index.php?id=527

2. CONGRESOS Y SEMINARIOS POR ORDEN CRONOLOGICO DE CELEBRACION

* Diciembre 1 al 2 de 2005: IFIP TC-11 WG 11.1 & WG 11.5 Joint Working
Conference on Security Management, Integrity, and Internal Control in
Information Systems (Fairfax - USA)
http://www.cs.uvm.edu/ifip11.1.5/

* Diciembre 14 al 16 de 2005: IV Congreso Internacional de Auditoría y
Seguridad de la Información en (Madrid - España)
http://www.ciasi.info/principal.htm

* Diciembre 16 al 18 de 2005: Special Session Trust Access, Privacy
And Security ISCOCO 2005 (Tenerife - España)
http://www.worldses.org/conferences/2005/tenerife/iscoco/index.html

* Abril de 2006: Segunda Escuela Venezolana de Seguridad de Cómputo
(Mérida - Venezuela)
http://www.saber.ula.ve/eventos/evscm/

* Abril 19 al 21 de 2006: CFP 7th Smart Card Research and Advanced
Application IFIP Conference CARDIS 2006 (Tarragona - España)
http://www.cardis.org/

* Abril 20 al 22 del 2006: The First International Conference on
Availability, Reliability and Security (Austria)
http://www.ares-conf.org/?q=node

* Mayo 23 al 24 de 2006: Fourth International Workshop on Security
in Information Systems WOSIS 2006 (Paphos - Chipre)
http://www.iceis.org/

* Agosto 20 al 25 de 2006: 19th IFIP World Computer Congress 2006
(Santiago - Chile)
http://www.wcc-2006.org/

* Calendario de congresos en IACR International Association for
Cryptologic Research:
http://www.iacr.org/events/

3. CURSOS DE POSTGRADO, ESPECIALIDAD Y FORMACIÓN

Puedes encontrar los enlaces en:
http://www.criptored.upm.es/paginas/eventos.htm#Cursos

4. NOTICIAS SELECCIONADAS DEL MES DE NOVIEMBRE DE 2005

* CFP TC11 para WCC 2006 Security Stream IFIP (Chile)
http://www.wcc-2006.org/

* CFP The First International Conference on Availability, Reliability
and Security (Austria)
http://www.ares-conf.org/?q=node

* Clausurado CIBSI '05 en Valparaíso (Chile). La Próxima Cita en 2007
será en Buenos Aires (Argentina)
http://cibsi05.inf.utfsm.cl/

* Conferencias FIST sobre Seguridad en Aplicaciones Web en el CSIC de
Madrid (España)
http://www.fistconference.org/madrid.php

5. OTROS DATOS DE INTERES EN LA RED

* Número actual de miembros en la red: 543
(152 universidades; 189 empresas)
http://www.criptored.upm.es/paginas/particulares.htm

* 36.533 visitas, con 96.773 páginas solicitadas y 36,41 GBytes servidos
en noviembre de 2005
Las estadísticas AWStats del mes se muestran en páginas estáticas
actualizadas cada día a las 00:05 horas
http://www.criptored.upm.es/estadisticas/awstats.www.criptored.upm.es.html


Jorge Ramió Aguirre
Coordinador de CriptoRed


Más información:

Noviembre de 2005
http://www.criptored.upm.es/paginas/historico2005.htm#nov05

viernes, 2 de diciembre de 2005

Actualización del lenguaje de programación PHP

Se acaba de publicar la versión 5.1.1 del lenguaje de programación PHP,
solucionando varios problemas de seguridad.

PHP (PHP: Hypertext Preprocessor) es un popular lenguaje de scripting
de código abierto, muy utilizado para el desarrollo de pequeñas
aplicaciones web.

La rama 5.1.*, además de nuevas librerías y retoques en el lenguaje
en sí, soluciona diversos problemas de seguridad:

* Nuevas comprobaciones de seguridad en las funciones "image*".

* Nuevas comprobaciones de seguridad en la librería "cURL".

* Nuevas comprobaciones de seguridad en la gestión de subida de ficheros
al servidor PHP.

* Actualización de seguridad de varios componentes integrados, como las
librerías zlib, openssl, curl, y otros.

* Corrupción de memoria en "ImageTTFText()".

* Corrupción de memoria en "pg_copy_from()".

* Corrupción de memoria en "stristr()".

* Varias sobreescrituras posibles de variables globales, bajo ciertas
circunstancias.

* Varios problemas de liberación múltiple de memoria.

De momento el equipo de desarrollo PHP no ha indicado si va migrar o no
los parches de seguridad a la rama 5.0 pero, juzgando por eventos
semejantes anteriores, nos parece dudoso.

Las instalaciones que hayan sido actualizadas a la versión 5.1.0 de PHP
deberán realizar una nueva actualización a la 5.1.1, publicada apenas
cuatro días después, que soluciona un problema de seguridad en el módulo
"cURL" y numerosas regresiones y problemas de estabilidad.

Por lo tanto, Hispasec recomienda la actualización a PHP 5.1.1. Debemos
destacar, no obstante, que esta versión puede no ser enteramente
compatible con los "scripts" programados para la versión 5.0. Entre los
enlaces al final de este boletín encontrarán uno en el que se detallan los
cambios necesarios para solucionar incompatibilidades.


Jesús Cea Avión
jcea@hispasec.com


Más información:

Changelog version 5.1.1
http://www.php.net/ChangeLog-5.php#5.1.1

Changelog version 5.1.0
http://www.php.net/ChangeLog-5.php#5.1.0

UPGRADE NOTES - PHP 5.1
http://www.php.net/README_UPGRADE_51.php

PHP
http://www.php.net/

jueves, 1 de diciembre de 2005

Escalada de privilegios en Cisco Security Agent 4.x para Windows

Se ha descubierto una vulnerabilidad local en diversas versiones de
Cisco Security Agent que puede ser explotada por atacantes para
realizar escaladas de privilegios.

La vulnerabilidad ha sido detectada en las siguientes versiones:
* Cisco CSA 4.5.0 (agentes centralizados o individuales)
* Cisco CSA 4.5.1 (agentes centralizados o individuales)
* Cisco CSA 4.5.0 (build 573) para CallManager
* Cisco CSA 4.5.1 (build 628) para CallManager
* Cisco CSA 4.5.1 (build 616) para Intelligent Contact Management
(ICM), IPCC Enterprise e IPCC Hosted
* Cisco CSA 4.5.0 (build 573) para Cisco Voice Portal (CVP) 3.0 y 3.1

El problema se debe a un error sin especificar de esta herramienta
sobre la plataforma Windows, y que puede ser explotada por usuarios
maliciosos para conseguir privilegios a nivel SYSTEM en sistemas
vulnerables.

La compañía recomienda actualizar a la versión 4.5.1.639:
* Management Center para Cisco Security Agents:
http://www.cisco.com/pcgi-bin/tablebuild.pl/csa
* CSA para CallManager:
http://www.cisco.com/pcgi-bin/tablebuild.pl/cmva-3des
* CSA para ICM, IPCC Enterprise, e IPCC Hosted:
http://www.cisco.com/pcgi-bin/tablebuild.pl/csa10-crypto
* CSA para CVP 3.0 y 3.1:
http://www.cisco.com/pcgi-bin/tablebuild.pl/csa-cvp-20


jcanto@hispasec.com
Julio Canto


Más información:

Cisco Security Advisory: Cisco Security Agent Vulnerable to Privilege Escalation
http://www.cisco.com/warp/public/707/cisco-sa-20051129-csa.shtml

miércoles, 30 de noviembre de 2005

Apple corrige 13 fallos en Mac OS X

Apple ha publicado la actualización de seguridad 2005-009, destinada a
evitar hasta 13 vulnerabilidades en su sistema operativo Mac OS X y que
pueden ser empleadas por un atacante para evitar restricciones de
seguridad, conseguir acceso no autorizado a los sistemas, comprometer
información sensible o ejecutar código malicioso.

Se han corregido los siguientes problemas:

* Vulnerabilidad de cross-site scripting en Apache2 en determinadas
configuraciones. Afecta a Mac OS X Server v10.3.9 y Mac OS X Server
v10.4.3.

* Salto de autenticación SSL en el módulo apache_mod_ssl, por el que un
atacante sin autorización puede acceder a recursos configurados para
requerir autenticación SSL. Afecta a Mac OS X v10.3.9, Mac OS X Server
v10.3.9, Mac OS Xv10.4.3 y Mac OS X Server v10.4.3 con configuraciones
de Apache que incluyan la directiva "SSLVerifyClient require".

* Desbordamiento de búfer en CoreFoundation al recibir URLs
maliciosamente construidas, puede permitir la realización de ataques de
denegación de servicio o la ejecución de código remoto. Afecta a Mac OS
X v10.4.3 y Mac OS X Server v10.4.3.

* Vulnerabilidad en curl puede permitir la ejecución arbitraria de
código al visitar un servidor http malicioso y emplear autenticación
NTLM. Afecta a Mac OS X v10.4.3 y Mac OS X Server v10.4.3.

* Usuarios locales pueden elevar sus privilegios por error en
iodbcadmintool. Afecta a Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac
OS X v10.4.3 y Mac OS X Server v10.4.3.

* Aplicaciones que hagan uso de OpenSSL pueden ser obligadas a emplear
el protocolo SSLv2, que proporciona menor protección que SSLv3 o TLS.
Afecta a Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.3,
Mac OS X Server v10.4.3.

* Una vulnerabilidad en passwordserver puede permitir a usuarios
locales en Open Directory elevar sus privilegios. Afecta a Mac OS X
Server v10.3.9 y Mac OS X Server v10.4.3.

* Se corrigen también cuatro vulnerabilidades de diferente índole en
Safari, que pueden permitir la descarga de archivos en sitios
diferentes al directorio designado a tal efecto, la falsificación de
cuadros de diálogo JavaScript o incluso la ejecución de código
malicioso. Afectan a Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS
X v10.4.3 y Mac OS X Server v10.4.3.

* Usuarios locales pueden elevar sus privilegios en determinadas
configuraciones de sudo (la configuración por defecto no se ve
afectada). Afecta a Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X
v10.4.3 y Mac OS X Server v10.4.3.

* Por último, las entradas del log del sistema pueden ser falsificadas.
Afecta a Mac OS X v10.4.3 y Mac OS X Server v10.4.3.


Antonio Ropero
antonior@hispasec.com


Más información:

About Security Update 2005-009
http://docs.info.apple.com/article.html?artnum=302847

martes, 29 de noviembre de 2005

Actualización de seguridad para "fetchmail"

Las versiones de "fetchmail" no actualizadas contienen una
vulnerabilidad que permite que un atacante local tenga acceso a las
claves del servicio.

"fetchmail" es una herramienta utilizada para descargar correo
electrónico de servidores y repartirlo en diversas cuentas locales.
Se trata de un servicio utilizado con asiduidad por administradores
de sistemas con conexiones no permanentes a Internet.

Las versiones no actualizadas de "fetchmail" contienen una
vulnerabilidad en la herramienta "fetchmailconf", utilizada como
configurador gráfico de "fetchmail". Dicha vulnerabilidad consiste en
una ventana de tiempo durante la cual el fichero de configuración del
servicio, conteniendo las claves de acceso a los buzones, puede ser
accesible a otros usuarios del sistema.

Hispasec recomienda a todos los usuarios de "fechmail" que actualicen
a la versión 6.2.5.4, que soluciona esta vulnerabilidad.


Jesús Cea Avión
jcea@hispasec.com


Más información:

password exposure in fetchmailconf
http://fetchmail.berlios.de/fetchmail-SA-2005-02.txt

Fetchmail
http://fetchmail.berlios.de/

lunes, 28 de noviembre de 2005

Actualización de Sun por vulnerabilidad en tratamiento de imágenes jpeg

Sun ha publicado diferentes actualizaciones debido a la existencia
de una vulnerabilidad en la librería de tratamiento de imágenes JPEG
libexif, por la que un atacante remoto podría lograr la ejecución de
código en los sistemas afectados.

Muchas cámaras digitales producen archivos EXIF, que son archivos
JPEG (Joint Photographic Experts Group) con etiquetas adicionales
que contienen información sobre la imagen. La librería EXIF permite
tratar los archivos EXIF y leer los datos de las etiquetas adicionales.
El problema podrá reproducirse con cualquier aplicación que haga uso de
la librería libexif.

El atacante deberá crear una imagen jpeg maliciosamente modificada de
forma que cuando se visualice se producirá la ejecución de código con
los privilegios del usuario que abra la imagen. También es posible
producir ataques de denegación de servicio mediante está vulnerabilidad.

Sun ha publicado actualizaciones para los productos afectados:
Para Solaris 10 (plataforma SPARC):
http://sunsolve.sun.com/pub-cgi/pdownload.pl?target=121095-01&method=h
Para Java Desktop System (JDS) Release 2 (para Solaris 9) en plataforma x86:
http://sunsolve.sun.com/pub-cgi/pdownload.pl?target=121093-01&method=h
Para Solaris 10 (plataforma x86):
http://sunsolve.sun.com/pub-cgi/pdownload.pl?target=121096-01&method=h
Para Java Desktop System (JDS) Release 2 sobre Linux se han publicado
RPMs actualizados (patch-9996), que pueden descargarse e instalarse
seleccionando la siguiente secuencia desde el menú "launch":
Launch >> Applications >> System Tools >> Online Update.


Antonio Ropero
antonior@hispasec.com


Más información:

Security Vulnerability in the libexif JPEG Image Processing Library
http://sunsolve.sun.com/search/document.do?assetkey=1-26-102041-1

domingo, 27 de noviembre de 2005

Desbordamiento de búfer en traceroute de Sun Solaris 10

Se ha descubierto una vulnerabilidad en el comando traceroute de Sun
Solaris 10 que puede ser explotada por usuarios locales maliciosos
para realizar escaladas de privilegios en sistemas afectados.

La vulnerabilidad se debe a un error de tratamiento de tamaños de
variables en traceroute a la hora de manejarse con las opciones '-g' y
'-s' de la línea de comandos. Un atacante local puede explotar esta
circunstancia para provocar un desbordamiento de búfer al dar más de
10 parámetros '-g', o para corromper el heap al dar un dato malformado
en la opción '-s'.

La explotación con éxito de la vulnerabilidad permitiría provocar la
ejecución de código arbitrario, con un privilegio adicional al que ya
posea que le permite el uso de sockets raw.

Las direcciones para descargar los parches son las siguientes:
* Solaris 10 (sparc):
http://sunsolve.sun.com/pub-cgi/pdownload.pl?target=121012-01&method=h
* Solaris 10 (x86):
http://sunsolve.sun.com/pub-cgi/pdownload.pl?target=121013-01&method=h


Julio Canto
jcanto@hispasec.com


Más información:

Security Vulnerabilities in the traceroute(1M) Utility may Allow Elevated Privileges
http://sunsolve.sun.com/search/document.do?assetkey=1-26-102060-1

sábado, 26 de noviembre de 2005

Actualización de las "20 vulnerabilidades más críticas"

SANS Institute acaba de publicar al versión 6.0 de su guía sobre las 20
vulnerabilidades de seguridad más críticas.

Hace ahora cuatro años, SANS Institute conjuntamente con el FBI publicó
un documento donde se describían las diez vulnerabilidades de seguridad
más críticas. En él se resumían los principales problemas de seguridad,
aquellos que eran utilizados de forma más habitual en los ataques a
sistemas informáticos.

El objetivo que perseguía la publicación de esa guía era conseguir que
los administradores de sistemas hicieran los pasos necesarios para
solventar esas diez vulnerabilidades más críticas. Con esto, además de
mejorar el nivel global de seguridad de la red, se conseguiría evitar
un elevado porcentaje de los incidentes, muchos de los cuales sacaban
provecho de alguna de esas vulnerabilidades.

Pocos meses después, SANS actualizó la guía para incluir las 10
principales vulnerabilidades de los sistemas Windows y las 10
vulnerabilidades más habituales de los sistemas Unix. Así nació el
documento "Las 20 vulnerabilidades más críticas". Desde entonces,
periódicamente se ha ido actualizando el documento, ampliando la
información sobre los pasos a realizar para evitar las
vulnerabilidades.

La edición de este año marca un cambio en la filosofía del documento.
Ahora ya no se limita a las vulnerabilidades de Windows y Unix. Tampoco
se describen las vulnerabilidades que podríamos denominar clásicas. La
edición de este año informa sobre los problemas de seguridad que
requieren una actuación inmediata por parte de los administradores de
sistemas. A diferencia de otras versiones, no se describen
vulnerabilidades que hoy pueden considerarse obsoletas, sino aquellas
que realmente afectan a los sistemas informáticos, incluso si ya se
había revisado su seguridad con una versión anterior del documento.

Para todas las vulnerabilidades, se incluye una documentación de la
misma, explicando el alcance que puede tener en caso que un atacante
logre utilizarla para atacar los sistemas afectados. También se
describen las acciones a realizar para corregir la vulnerabilidad, que
habitualmente pasa por la instalación de actualizaciones o parches de
seguridad.


Las 20 vulnerabilidades

El documento de SANS Institute describe un total de 20 vulnerabilidades
críticas. Se entiende como tal, un problema de seguridad que afecta a
un número significativo de usuarios y/o sistemas. Además, para ser
considerara crítica, la vulnerabilidad ha sido utilizada en los últimos
meses de forma generalizada en algún tipo de ataque.

Las vulnerabilidades se dividen en cuatro grandes apartados:
vulnerabilidades específicas de los ordenadores que utilizan el sistema
operativo Windows, vulnerabilidades que pueden afectar a cualquier
ordenador, vulnerabilidades específicas de sistemas Unix (incluyendo
aquí los equipos con Mac OS X) y, por último, los problemas específicos
de los productos de infraestructura de redes, como routers,
cortafuegos, etc.


Vulnerabilidades de Windows

En los equipos que ejecutan Windows se describen un total de cinco
apartados: servicios de Windows con problemas de seguridad,
vulnerabilidades específicas de Internet Explorer, vulnerabilidades en
bibliotecas DLL, vulnerabilidades de Microsoft Office y Outlook Express
y debilidades ocasionadas por una configuración errónea del sistema
operativo o de alguno de sus componentes.


Vulnerabilidades genéricas

Este apartado describe un total de 10 vulnerabilidades y cubre aspectos
que pueden afectar, en teoría, a cualquier equipo con independencia del
sistema operativo utilizado. Muchas de estas vulnerabilidades son
producto de algunas tendencias del sector informático en los últimos
años, tales como la consolidación de las copias de seguridad en
servidores dedicados y la centralización de las defensas contra virus
informáticos.

Otros problemas descritos en este apartado son aquellos provocados por
la utilización de aplicaciones desarrolladas en PHP que heredan los
problemas de seguridad identificados en la implementación del lenguaje;
vulnerabilidades en los gestores de bases de datos o en servidores de
servicios de Internet tales como el DNS.

El tercer grupo de vulnerabilidades analizado en esta sección incluye
los problemas de algunas aplicaciones que se han convertido en
habituales de los usuarios de Internet: reproductores multimedia,
mensajería instantánea, navegadores web derivados de Mozilla.
Finalmente se tratan vulnerabilidades de otras aplicaciones que pueden
ejecutarse en diversos sistemas operativos.


Vulnerabilidades de Unix y Mac OS X

El tercer apartado describe las vulnerabilidades específicas de los
sistemas Unix/Linux provocadas habitualmente por una configuración
errónea o la utilización de versiones antiguas.

En este apartado se describen también las vulnerabilidades de Mac OS X,
al considerar que el núcleo de este sistema operativo comparte
problemática con el resto de sistemas Unix.


Vulnerabilidades de equipos de infraestructura de redes

Por último se documentan los principales problemas de seguridad de
productos de electrónica de red, como routers y switches. También se
incluyen las vulnerabilidades que afectan a sistemas de protección
periférica, como cortafuegos y servidores de acceso remoto.


Identificación de las vulnerabilidades

El último apartado del documento indica una serie de productos y
tecnologías existentes que pueden ayudar en la identificación de estas
vulnerabilidades y la protección ante los posibles ataques.


Xavier Caballé
xavi@hispasec.com


Más información:

The Twenty Most Critical Internet Security Vulnerabilities (Updated) -
The Experts Consensus
http://www.sans.org/top20/

Una-al-día (15-10-2004) Nueva edición de "Las 20
vulnerabilidades de seguridad más críticas en Internet" (I)
http://www.hispasec.com/unaaldia/2183

Una-al-día (16-10-2004) Nueva edición de "Las 20 vulnerabilidades de
seguridad más críticas en Internet" (I)
http://www.hispasec.com/unaaldia/2184

Una-al-día (10/10/2003) Las 20 vulnerabilidades más críticas en
Internet
http://www.hispasec.com/unaaldia/1811

Una-al-día (07/10/2002) Actualización de las "20 vulnerabilidades de
seguridad más críticas en Internet"
http://www.hispasec.com/unaaldia/1443

Una-al-día (03/10/2001) Las 20 vulnerabilidades de seguridad más
críticas
http://www.hispasec.com/unaaldia/1074

viernes, 25 de noviembre de 2005

Google soluciona un grave problema de seguridad en su plataforma "gmail"

Google informa haber solucionado un grave problema de seguridad en su
plataforma "gmail", que permitiría que un atacante malicioso pueda
acceder a la cuenta de otro usuario.

"gmail" es la plataforma de correo electrónico de Google, gratuita, que
fue pionera en ofrecer capacidades de buzón sin precedentes. En este
momento "gmail" cuenta con más de cinco millones de usuarios en todo el
mundo.

La semana pasada Google notificó haber solucionado un problema de
seguridad que permitía a un atacante acceder a buzones de otros
usuarios, explotando una vulnerabilidad en el mecanismo de
autentificación de "gmail".

La gravedad era crítica ya que era posible aprovechar la vulnerabilidad
sin necesidad de que el atacante tuviera acceso a la máquina de la
víctima o a su tráfico de red, tan sólo bastaba con conocer la
dirección de correo electrónico de la víctima, un dato evidentemente
público.

Es de señalar que Google ha solucionado el problema en apenas cuatro
días. El descubridor del ataque es español (alias "Anelkaos"), quién
reportó el problema a Google de forma responsable y evitó dar detalles
hasta la resolución del mismo. En la web de elhacker.net se pueden
leer en español todos los pasos para explotar la vulnerabilidad, que,
naturalmente, ya no funcionan.

Jesús Cea Avión
jcea@hispasec.com


Más información:

Google Corrects Gmail Security Flaw
http://slashdot.org/article.pl?sid=05/11/18/1522236

Hackers Cracked Gmail
http://www.redherring.com/Article.aspx?a=14525&hed=Hackers+Cracked+Gmail§or=Industries&subsector=InternetAndServices

Gmail Bug
http://www.elhacker.net/gmailbug/
http://www.elhacker.net/gmailbug/english_version.htm

jueves, 24 de noviembre de 2005

Actualizaciones de seguridad en los kernel Linux

La comunidad Linux ha publicado actualizaciones de sus kernels para las
ramas 2.4 y 2.6, lo que soluciona varios problemas de seguridad.

Aunque la rama de desarrollo actual del Kernel Linux es la 2.6, existen
aún infinidad de sistemas basados en kernel 2.4, por su probado buen
funcionamiento y estabilidad. Por otro lado, muchos administradores
consideran la rama 2.6 demasiado joven aún para reemplazar con confianza
sistemas que llevan en producción mucho tiempo, con fiabilidad demostrada.
Debido a ello, la rama 2.4 tendrá aún soporte de nuevo hardware,
estabilidad y seguridad durante varios años más.

La versión del Kernel Linux 2.4.32 soluciona diversos problemas de
seguridad e inestabilidades, fundamentalmente en los módulos de
cortafuegos y NAT'ing. También se resuelven problemas de seguridad en
la librería ZLIB, que deberían haberse parcheado hace tiempo.

La versión del Kernel Linux 2.6.14.1 soluciona una grave vulnerabilidad
que permite a un usuario local el inestabilizar el sistema y, si las
circunstancias son proclives, obtener privilegios de administrador o
"root". Los administradores que decidan actualizar deberían hacerlo a
la versión 2.6.14.2, ya que soluciona varios problemas de estabilidad
y regresiones, aunque no están relacionados con la seguridad.

Hispasec recomiendo a los administradores de máquinas Linux que
actualicen sus kernels apropiadamente. Los administradores que dependan
de una distribución Linux determinada pueden ponerse en contacto con el
fabricante.


Jesús Cea Avión
jcea@hispasec.com


Más información:

ChangeLog 2.6.14.1
http://www.kernel.org/pub/linux/kernel/v2.6/ChangeLog-2.6.14.1

ChangeLog 2.4.32
http://www.kernel.org/pub/linux/kernel/v2.4/ChangeLog-2.4.32

The Linux Kernel Archives
http://www.kernel.org/

miércoles, 23 de noviembre de 2005

Avalancha de la nueva variante del gusano Sober

El pasado lunes comenzó la distribución de la enésima variante del
gusano Sober. Transcurridas las horas, lejos de cesar, el número de
mensajes infectados en tránsito aumenta considerablemente.

Los ratios alcanzados por el spam inicial son muy importantes, en
estos momentos están llegando muestras de manera constante, lo que
ha hecho saltar las alarmas de varias casas antivirus.

Sin embargo, es previsible que la propagación comience a disminuir,
ya que todos los antivirus lo detectan, y el gusano no incorpora
ninguna novedad destacable que lo diferencie del resto.

Tal vez el aspecto que más infecciones pueda provocar no es otro que
la ingeniería social, los mensajes que utiliza para intentar engañar
al usuario e inducirlo a que abra el archivo infectado. El factor
humano sigue siendo el principal talón de Aquiles.

Muchos no se podrán reprimir al recibir un mensaje del FBI o de la CIA
donde se le acusa de que su dirección IP ha sido registrada en más de
30 sitios webs ilegales, y le insten a contestar un cuestionario
adjunto.

Otras excusas que utiliza esta nueva variante de Sober son más
clásicas, como por ejemplo ver vídeos y fotos de las televisivas
Paris Hilton y Nicole Richie.

En el aspecto técnico la nueva variante de Sober no destaca en nada
especial respecto a sus antecesores, sigue las pautas de cualquier
gusano de correo similar: se copia en el directorio de Windows con
varios nombre, incluye las entradas pertinentes en la clave Run del
registro de Windows para asegurarse su ejecución en cada inicio de
sistema, recolecta direcciones de correo a las que enviarse buscando
en los archivos del sistema infectado con determinadas extensiones,
etc.

A efectos prácticos, la recomendación como siempre es mantener
actualizados los antivirus y no abrir archivos adjuntos que no se
han solicitado explícitamente.

En este caso concreto Sober llega como adjunto en un archivo ZIP
de unos 55,6KB, e incluye en su interior el ejecutable infectado
file-packed_datainfo.exe de 55,390 bytes.

Como más de uno habrá apreciado el ZIP no comprime el ejecutable.
Eso es debido a que el EXE original ya ha sido tratado con la
utilidad de compresión UPX.

El hecho de distribuir el gusano como ZIP no viene motivado por
comprimir su tamaño, sino que con toda probabilidad la intención
del creador es poder atravesar los filtros básicos que algunos
administradores tienen configurados en sus servidores de correo
para rechazar ejecutables atendiendo a su extensión.


Bernardo Quintero
bernardo@hispasec.com



martes, 22 de noviembre de 2005

Nueva vulnerabilidad crítica en Internet Explorer

Publicados los detalles de una vulnerabilidad crítica que
afecta a todas las versiones de Internet Explorer en Windows
98, ME, 2000 y XP (así como 2003 si se ha modificado la
configuración estándar). La vulnerabilidad se considera
crítica debido a que permite la ejecución remota de programas,
sin intervención por parte del usuario. En el momento de
redactar este boletín, no hay disponible ningún parche para
evitar esta vulnerabilidad.

Durante el día de ayer, la empresa inglesa ComputerTerrorism
anunció la existencia de una vulnerabilidad crítica de
seguridad en todas las versiones de Internet Explorer. De
hecho, no se trata de una vulnerabilidad nueva ya que
inicialmente fue descrita en mayo del presente año, aunque
en su momento no se evaluó todo su potencial. Inicialmente
descrita como una vulnerabilidad que podía ser utilizada en
ataques de denegación de servicio, el aviso de ayer indicaba
como podía provocar la ejecución automática de código en los
sistemas de los usuarios.

La vulnerabilidad se encuentra en la forma en que Internet
Explorer ejecuta la función Window() de JavaScript cuando se
ejecuta automáticamente en el momento que se abre un documento
(a través de . Tal como se describió en mayo,
esta vulnerabilidad provocaba el cierre inesperado de Internet
Explorer, generando la condición de denegación de servicio.

Hasta ahora no se había conseguido explotar esta
vulnerabilidad para conseguir la ejecución remota de código.
Ayer, ComputerTerrorism describió una forma simple de sacar
provecho del problema para permitir la ejecución de código.
Y para demostrarlo, ha publicado una prueba de concepto
donde se ejecuta automáticamente la calculadora de Windows,
sin ninguna intervención por parte del usuario.

Microsoft ha reconocido la existencia de esta vulnerabilidad,
explotable en todas las versiones de Internet Explorer en
Windows 98 Second Edition, Windows ME, Windows 2000 con
Service Pack 4 y Windows XP Service Pack 2. Según Microsoft,
Windows Server 2003 no es vulnerable, siempre que se mantenga
la configuración por defecto de seguridad (lo que en la
mayoría de casos no es posible debido a las limitaciones
operativas de esa configuración por defecto).

También están afectados por esta vulnerabilidad aquellos
programas que utilizan el motor de Internet Explorer para la
visualización de contenido HTML. Entre estos programas se
encuentra Outlook Express, Outlook 2002 y Outlook 2003 cuando
visualizan los mensajes HTML.

En el caso de Outlook, Microsoft recomienda una serie de
medidas para mitigar el alcance de la vulnerabilidad, como la
utilización de zonas restringidas donde no se permita la
utilización de Active Scripting. No obstante, esto no impide
que un usuario se vea afectado por la vulnerabilidad si hace
clic en un enlace contenido dentro de un mensaje HTML.

La forma más eficiente de evitar esta vulnerabilidad pasa por
desactivar el soporte de JavaScript en Internet Explorer. Otra
forma, igualmente eficiente de evitar esta vulnerabilidad
consiste en utilizar un navegador diferente, como por ejemplo
Firefox.


Xavier Caballé
xavi@hispasec.com


Más información:

Internet Explorer JavaScript Window() Remote Code Execution
http://www.computerterrorism.com/research/ie/ct21-11-2005

Prueba de concepto
http://www.computerterrorism.com/research/ie/poc.htm

Internet Explorer 0-day exploit
http://isc.sans.org/diary.php?storyid=874

Microsoft Internet Explorer - Crash on JavaScript "window()"-
calling
http://marc.theaimsgroup.com/?l=bugtraq&m=111746394106172&w=2

Microsoft Internet Explorer "Window()" Remote Code Execution
http://www.frsirt.com/exploits/20051121.IEWindow0day.php

Aviso de seguridad de Microsoft: Vulnerability in the way
Internet Explorer Handles onLoad Events Could Allow Remote
Code Execution
http://www.microsoft.com/technet/security/advisory/911302.mspx