lunes, 31 de enero de 2005

Niños, Internet y control parental

A muchos padres preocupa la facilidad con la que ciertos contenidos
y/o contactos pueden llegar a sus hijos a través de Internet, a la
que cada vez se accede desde una edad más temprana. Aunque no es un
problema intrínseco de la Red, no en vano peligros similares pueden
acechar en la puerta del colegio o desde la televisión sin ir más
lejos, no debemos por ello obviar la existencia de un riesgo real.

Hace unas semanas un conocido me comentaba indignado como la tarde
anterior sus hijas, que estaban navegando por Internet para obtener
información para un trabajo del colegio, le habían llamado alertadas
para que fuera a ver lo que había salido en la pantalla del
ordenador. El sobresalto fue mayúsculo al encontrarse con una imagen
pornográfica totalmente explícita.

- Pero hijas, ¿dónde os habéis metido?

- Papá, sólo estábamos buscando la palabra "enfermera", y al
pinchar salió ¡esto!

Apenas unos días antes otra amiga me había traído el ordenador
de su casa para que "investigara". Su hija adolescente pasaba
mucho tiempo en los chats, y quería saber con quién hablaba, ya
que había escuchado muchas historias macabras sobre gente que
había quedado por Internet. La verdad es que la situación era de
lo más embarazosa, por un lado estaba la preocupación natural de
una madre, y por el otro la privacidad de la hija. Supongo que en
esos casos lo mejor es la comunicación, aunque también supongo que
las relaciones no son siempre fáciles a ciertas edades.

De manera independiente a las experiencias de primera mano, que más
o menos pueden darte una idea global de la problemática, hoy he
leído unos datos más que preocupantes en la campaña iniciada por
Panda Software en colaboración con Save the Children sobre esta
problemática:

- "el 14% de los menores se ha citado con un desconocido a través de
Internet"

-"un 44% de los menores que navegan con regularidad se han sentido
acosados sexualmente"

Cuando me preguntan sobre como prevenir estos temas siempre comienzo,
seguramente por deformación profesional, hablando de soluciones
técnicas. Desde el asesor de contenido del navegador, pasando por
diversas herramientas de filtros, acceso, monitorización, y control
parental en general. Sin embargo, pese a que estas herramientas
pueden ser de ayuda desde el punto de vista de la restricción y
detección, estoy convencido que las medidas más importantes de
cara a prevenir este tipo de incidentes quedan fuera del ámbito
técnico, y pasa más por la educación, formación, y comunicación
entre padres e hijos.

En los siguientes enlaces podemos encontrar información sobre la
problemática, listado de herramientas, y recomendaciones en general
para prevenir los riesgos en la medida de lo posible.


Bernardo Quintero
bernardo@hispasec.com



domingo, 30 de enero de 2005

Estadísticas anuales del CERT

El CERT (Computer Emergency Response Team) acaba de publicar las
estadísticas de los incidentes tratados en el pasado año. En este
informe se ofrecen los datos comparativos desde el inicio de
funcionamiento del CERT en 1998 hasta la actualidad.

Desde enero hasta diciembre de 2004, el CERT/CC recibió 717.863
mensajes de correo y más de 795 llamadas informando de incidentes
de seguridad informática o solicitando información. Durante el 2004
el CERT publicó 102 documentos de Alerta Informática Nacional y 341
notas de vulnerabilidades.

El CERT recibió 3.780 avisos de vulnerabilidades, aunque al contrario
de años anteriores el organismo evita dar un número concreto de
incidentes comunicados dado el elevado número de estos y trabajar
en el desarrollo de nuevas métricas para medir la incidencia de los
ataques, como la encuesta sobre delito informático 2004. En este
estudio se cifraban las pérdidas por el delito informático en el 2003
en 666 millones de dólares.


Antonio Ropero
antonior@hispasec.com


Más información:

CERT/CC Statistics 1988-2004
http://www.cert.org/stats/cert_stats.html

2004 E-Crime Watch Survey Shows Significant Increase in Electronic
Crimes
http://www.cert.org/about/ecrime.html

sábado, 29 de enero de 2005

Actualización de seguridad 2005-01 de Apple Mac OS X

Apple acaba de publicar una actualización de seguridad para su sistema
OS X que soluciona diversas vulnerabilidades.

Los parches corrigen un problema en la familia de herramientas 'at',
al no liberar los privilegios adquiridos de forma adecuada, lo que puede
ser explotado para borrar archivos arbitrarios, ejecutar comandos con
privilegios escalados o leer el contenido de archivos arbitrarios.

Otro problema es un error de comprobación de tamaños de variables en
el componente ColorSync cuando se procesan perfiles de color ICC puede
ser explotado para provocar un desbordamiento de búfer basado en heap,
y con ello la ejecución de código arbitrario.

Igualmente el componente libxml2 se ve afectado por varias
vulnerabilidades que pueden ser también explotadas para comprometer
un sistema afectado.

Otro componente, en este caso, Mail, tiene una vulnerabilidad que
permitiría conocer desde que sistema en concreto se ha enviado un
mensaje. El problema está relacionado con una filtración de información
asociada al dispositivo Ethernet de la máquina.

Igualmente hay también diversas vulnerabilidades en PHP que podrían
ser explotadas para provocar denegaciones de servicio o la ejecución
remota de código arbitrario.

Safari no queda libre de problemas y se ve afectado por un problema de
seguridad que explotado por un atacante podría falsificar el contenido
de sitios web.

Y finalmente, una vulnerabilidad en SquirrelMail puede ser explotada
por usuarios maliciosos para realizar ataques de tipo cross site
scripting.

Se recomienda instalar la actualización de seguridad 2005-001 (según
versiones):

Mac OS X 10.2.8 Client:
http://www.apple.com/support/downloads/securityupdate2005001macosx1028client.html

Mac OS X 10.2.8 Server:
http://www.apple.com/support/downloads/securityupdate2005001macosx1028server.html

Mac OS X 10.3.7 Client:
http://www.apple.com/support/downloads/securityupdate2005001macosx1037client.html

Mac OS X 10.3.7 Server:
http://www.apple.com/support/downloads/securityupdate2005001macosx1037server.html


Antonio Román
roman@hispasec.com


Más información:

Mac OS X Security Update Fixes Multiple Vulnerabilities
http://netsecurity.about.com/cs/securityalerts/qt/aaalert0224b.htm

Original Advisory:
Apple:
http://docs.info.apple.com/article.html?artnum=300770

Immunity:
http://www.immunitysec.com/downloads/nukido.pdf

viernes, 28 de enero de 2005

Denegación de servicio en Cisco IOS por problemas con protocolo BGP

Cisco ha anunciado que se ha descubierto una vulnerabilidad en IOS
(Internetwork Operating System) cuando tiene activado BGP (Border
Gateway Protocol), y que podría explotarse por usuarios maliciosos
para provocar denegaciones de servicio.

La vulnerabilidad está presente en una versión no parcheada de Cisco
IOS, de los principios de soporte del protocolo BGP, y que incluye
versiones 9.x, 10.x, 11.x y 12.x. El problema afectaría a dispositivos
configurados para el rutado BGP y con el comando log-neighbor-changes.
Un atacante sólo tiene que enviar una serie de paquetes BGP
construidos especialmente a tal efecto para provocar un reinicio del
sistema.

La compañía recomienda descargar las actualizaciones desde el Software
Center de la web oficial: http://www.cisco.com


Antonio Román
roman@hispasec.com


Más información:

Cisco IOS Misformed BGP Packet Causes Reload
http://www.cisco.com/en/US/products/products_security_advisory09186a00803be7d9.shtml

jueves, 27 de enero de 2005

Nuevas variantes de Bagle

En las últimas horas han aparecido dos nuevas variantes del gusano
Bagle que han obtenido una elevada tasa de propagación. Aunque ambas
variantes pueden propagarse a través de recursos compartidos y redes
P2P, es en el correo electrónico donde tienen su principal vía de
distribución.

A continuación los datos de reacción de las diferentes soluciones
antivirus monitorizadas por el laboratorio de Hispasec. Todos los
tiempos son según hora peninsular española (GMT+1).

En primer lugar destacar a las soluciones antivirus que han sido
capaces de detectar de forma proactiva a ambas variantes de Bagle,
desde el primer momento y sin necesidad de actualizarse.

Detección previa

BitDefender Win32.Bagle.10.Gen@mm
Clam Trojan.Downloader.Small-165
F-Prot could be infected with an unknown virus
NOD32 probably unknown NewHeur_PE
Norman W32/P2PWorm
Panda [TruPrevent]
Sophos W32/Bagle-Gen


A continuación los tiempos en suministrar las firmas específicas
para la primera variante:

Norman 26.01.2005 20:17 :: Bagle.AV@mm
Antivir 26.01.2005 21:34 :: Worm/Bagle.AV
Kaspersky 26.01.2005 22:06 :: Email-Worm.Win32.Bagle.ax
Panda 26.01.2005 22:59 :: W32/Bagle.BK.worm
F-Prot 26.01.2005 23:09 :: W32/Bagle.BB@mm
NOD32 26.01.2005 23:09 :: Win32/Bagle.AW
TrendMicro 26.01.2005 23:11 :: WORM_BAGLE.AY
eTrust-Iris 27.01.2005 00:11 :: Win32/Bagle.19731!Worm
Symantec 27.01.2005 01:37 :: W32.Beagle.AY@mm
eTrus-Vet 27.01.2005 07:29 :: Win32.Bagle.AT
DrWeb 27.01.2005 07:49 :: Win32.HLLM.Beagle.18336
McAfee 27.01.2005 10:52 :: W32/Bagle.bj@MM
Sophos 27.01.2005 12:19 :: W32/Bagle-AY

Y los correspondientes a las firmas específicas para la segunda
variante:


Kaspersky 27.01.2005 05:02 :: Email-Worm.Win32.Bagle.ay
eTrus-Vet 27.01.2005 07:29 :: Win32.Bagle.AU
DrWeb 27.01.2005 07:49 :: Win32.HLLM.Beagle.18336
NOD32 27.01.2005 08:05 :: Win32/Bagle.AX
Antivir 27.01.2005 08:51 :: Worm/Bagle.AX
TrendMicro 27.01.2005 09:24 :: WORM_BAGLE.AZ
Norman 27.01.2005 09:45 :: Bagle.BB@mm
Panda 27.01.2005 09:55 :: W32/Bagle.BK.worm
Symantec 27.01.2005 10:40 :: W32.Beagle.AZ@mm
McAfee 27.01.2005 10:52 :: W32/Bagle.bk@MM
eTrust-Iris 27.01.2005 11:18 :: Win32/Bagle.AU!Worm

A continuación ofrecemos algunas características comunes a ambas
variantes de Bagle.

En primer lugar atenderemos al formato del mensaje de correo
electrónico en el que se distribuye el gusano, ya que utiliza
cadenas fijas que permiten identificarlo por su aspecto más
externo:

Asunto del mensaje, a elegir entre:

Delivery by mail
Delivery service mail
Is delivered mail
Registration is accepted
You are made active


Cuerpo, a elegir entre:

Before use read the help
Thanks for use of our software.


Nombre del archivo adjunto, a elegir entre:

Jol03
guupd02
siupd02
upd02
viupd02
wsd01
zupd02

Extensión, a elegir entre:

.com
.cpl
.exe
.scr


En los equipos que infecta crea tres copias del gusano en la carpeta
de sistema de Windows con los siguientes nombres:

sysformat.exe
sysformat.exeopen
sysformat.exeopenopen

A continuación incluye la típica entrada en el registro de Windows
para asegurarse su ejecución en cada inicio de sistema:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"Sysformat" = "%System%\sysformat.exe"

Intenta finalizar los procesos correspondientes a determinados
antivirus y soluciones de seguridad:

APVXDWIN.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVENGINE.EXE
AVPUPD.EXE
AVWUPD32.EXE
AVXQUAR.EXE
Avconsol.exe
Avsynmgr.exe
CFIAUDIT.EXE
DRWEBUPW.EXE
DefWatch.exe
ESCANH95.EXE
ESCANHNT.EXE
FIREWALL.EXE
FrameworkService.exe
ICSSUPPNT.EXE
ICSUPP95.EXE
LUALL.EXE
LUCOMS~1.EXE
MCUPDATE.EXE
NISUM.EXE
NPROTECT.EXE
NUPGRADE.EXE
OUTPOST.EXE
PavFires.exe
Rtvscan.exe
RuLaunch.exe
SAVScan.exe
SHSTAT.EXE
SNDSrvc.exe
UPDATE.EXE
UpdaterUI.exe
VsStat.exe
VsTskMgr.exe
Vshwin32.exe
alogserv.exe
bawindo.exe
blackd.exe
ccApp.exe
ccEvtMgr.exe
ccProxy.exe
ccPxySvc.exe
mcagent.exe
mcshield.exe
mcvsescn.exe
mcvsrte.exe
mcvsshld.exe
navapsvc.exe
navapw32.exe
nopdb.exe
pavProxy.exe
pavsrv50.exe
symlcsvc.exe

Busca en el disco duro todas las carpetas que contengan la cadena
"shar", que suelen corresponder a los recursos compartidos por
las aplicaciones P2P, y realiza una copia del gusano con los
siguientes nombres:

1.exe
10.exe
2.exe
3.exe
4.exe
5.scr
6.exe
7.exe
8.exe
9.exe
ACDSee 9.exe
Adobe Photoshop 9 full.exe
Ahead Nero 7.exe
Matrix 3 Revolution English Subtitles.exe
Opera 8 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
WinAmp 6 New!.exe
Windown Longhorn Beta Leak.exe
XXX hardcore images.exe


Busca direcciones de correo electrónico a las que enviarse en el
interior de los archivos con extensión:

.adb
.asp
.cfg
.cgi
.dbx
.dhtm
.eml
.htm
.jsp
.mbx
.mdx
.mht
.mmf
.msg
.nch
.ods
.oft
.php
.pl
.sht
.shtm
.stm
.tbb
.txt
.uin
.wab
.wsh
.xls
.xml

Evitando enviarse a aquellas direcciones de correo electrónico que
contengan algunas de las siguientes cadenas:

@avp.
@foo
@iana
@messagelab
@microsoft
abuse
admin
anyone@
bsd
bugs@
cafee
certific
contract@
f-secur
feste
free-av
gold-certs@
google
help@
icrosoft
info@
kasp
linux
listserv
local
news
nobody@
noone@
noreply
ntivi
panda
pgp
postmaster@
rating@
root@
samples
sopho
spam
support
unix
update
winrar
winzip


Bernardo Quintero
bernardo@hispasec.com



miércoles, 26 de enero de 2005

Descontento sobre la gestión de seguridad de los núcleos Linux

Los últimos problemas de seguridad en los núcleos Linux han puesto sobre
la mesa el descontento en los procedimientos actuales de parcheo y
distribución de las versiones actualizadas del Kernel.

En los últimos meses se han descubierto diversas vulnerabilidades en los
núcleos Linux que, gracias a ser un sistema Open Source, han sido
solucionadas, en la mayor parte de los casos, en cuestión de horas. Es
decir, que los administradores preocupados han podido encontrar parches
solucionando las vulnerabilidades en un corto espacio de tiempo.

No obstante, en algunos casos, esas correcciones no han estado disponibles
en actualizaciones "oficiales" de los kernel hasta meses después. Esto es así
porque la tendencia hasta ahora ha sido el integrar esos parches en la versión
en desarrollo de los kernel, cuya fecha de publicación puede estar a semanas
o meses vista.

Muchos miembros de la comunidad, incluyendo Hispasec, reclamamos que:

1. Los problemas de seguridad del kernel Linux deben ser solucionados en
el menor plazo posible, una vez descubiertos. Tanto si se trata de
vulnerabilidades accesibles desde el exterior como si requieren acceso
local, ya que se utilizan muchos sistemas Linux para dar servicio
usuarios no confiables.

2. Las actualizaciones de seguridad deben aplicarse tanto a los kernel
en desarrollo en este momento, como a los kernel en producción.

3. Se debe publicar una actualización de los kernel en producción,
solucionando exclusivamente las vulnerabilidades descritas, en el menor
plazo posible.

Es decir, si se descubre un problema de seguridad en la versión 2.4.28
del núcleo Linux, no debe ser necesario esperar a la versión 2.4.29 del
mismo para solucionar el problema, que puede suponer semanas o meses.
Antes bien, debe publicarse una versión 2.4.28.1 del kernel,
solucionando exclusivamente el problema en cuestión, sin tener que
esperar un nuevo ciclo de desarrollo completo del núcleo.

El propio Linus Torvalds aboga porque los problemas de seguridad de los
kernel se discutan de forma pública, para reducir al mínimo los retrasos
y las "excusas" a la hora de publicar una actualización. En ese sentido,
Linus es un defensor a ultranza del "Full Disclosure" de vulnerabilidades.

Solo queda esperar ver cómo evolucionan los acontecimientos, a la luz de
futuras vulnerabilidades.


Jesús Cea Avión
jcea@hispasec.com


Más información:

Security Holes Draw Linux Developers' Ire
http://it.slashdot.org/article.pl?sid=05/01/10/035225

grsecurity 2.1.0 and kernel vulnerabilities
http://lwn.net/Articles/118251/

Críticas a la seguridad en Linux
http://barrapunto.com/journal.pl?op=display&uid=3721&id=9683

Torvalds on the Linux Security Process
http://linux.slashdot.org/article.pl?sid=05/01/14/1450219

Torvalds Criticizes Security Approaches
http://www.internetnews.com/dev-news/article.php/3458961

Local Root Exploit in Linux 2.4 and 2.6
http://linux.slashdot.org/article.pl?sid=05/01/07/2028203&tid=172

martes, 25 de enero de 2005

Múltiples vulnerabilidades en Ethereal

Se han descubierto una serie de vulnerabilidades en Ethereal que
podrían ser explotadas por usuarios maliciosos para provocar
denegaciones de servicio o, potencialmente, comprometer un sistema
ejecutando dicho software.

Ethereal es un popular analizador de tráfico de red que soporta gran
cantidad de protocolos y es de muy fácil manejo, además de estar
presente en diversas plataformas.

1. Un error sin especificar en el analizador de COPS (Common Open
Policy Service) puede ser explotado para provocar un bucle infinito
en el programa y consumir así grandes cantidades de recursos de CPU
(y con ello, una denegación de servicio). Este problema afectaría a
las versiones de la 0.10.6 a la 0.10.8.

2. Otro error sin especificar en el analizador de DLSw (Data-Link
Switching) puede ser explotado para tirar el proceso del programa. Este
error afecta a las versiones de la 0.10.6 a la 0.10.8.

3. De nuevo un error sin especificar, localizado en el analizador de
DNP (Distributed Network Protocol) permite corromper partes de la
memoria. Esta vulnerabilidad afecta a las versiones de la 0.10.5 a
la 0.10.8.

4. Otro error más sin especificar, esta vez en el analizador de
Gnutella puede ser explotado también para tirar el proceso. Las
versiones de la 0.10.6 a la 0.10.8 se ven afectadas por este error.

5. Un error sin especificar en el analizador de MMSE (Multimedia
Messaging Service Encapsulation) puede ser explotado para liberar
memoria estática. Este problema afectaría a las versiones de la 0.10.4
a la 0.10.8.

6. Finalmente, un error con el tratamiento de tamaños de variables en
el analizador de X11 puede ser explotado para provocar un desbordamiento
de búfer y con ello, potencialmente, lograr la ejecución de código
arbitrario. Esta vulnerabilidad afecta a las versiones de la 0.8.10
a la 0.10.8.

Se recomienda actualizar a la versión 0.10.9, disponible en la
siguiente dirección:
http://www.ethereal.com/download.html


Julio Canto
jcanto@hispasec.com


Más información:

Ethereal 0.10.9 released
http://www.ethereal.com/news/item_20050120_01.html

lunes, 24 de enero de 2005

Denegación de servicio en Cisco IOS por problema con el protocolo SCCP

Se ha descubierto que Cisco IOS (Internetwork Operating System) en sus
release trains 12.1YD, 12.2T, 12.3 y 12.3T, y configurados para su uso
en Cisco IOS Telephony Service (ITS), Cisco CallManager Express (CME)
o Survivable Remote Site Telephony (SRST) puede contener una
vulnerabilidad a la hora de procesar ciertos mensajes del protocolo de
control mal construidos.

La explotación con éxito de esta vulnerabilidad - catalogada por cisco
con el código de identificación CSCee08584 - puede provocar el reinicio
del dispositivo afectado, proceso que puede usarse de forma repetida
para así provocar una denegación de servicio. Un atacante tan sólo tiene
que enviar mensajes especialmente construidos a tal efecto al servicio
SCCP (Skinny Call Control Protocol) para conseguir dicho efecto.

Para ver el listado completo de versiones afectadas y las
actualizaciones recomendadas para cada una ver sección 'Software
Versions and Fixes' de la alerta oficial:
http://www.cisco.com/warp/public/707/cisco-sa-20050119-itscme.shtml#software

La compañía recomienda descargarse las versiones actualizadas desde el
Software Center de su página web oficial:
http://www.cisco.com


Julio Canto
jcanto@hispasec.com


Más información:

Cisco Security Advisory: Vulnerability in Cisco IOS Embedded Call
Processing Solutions
http://www.cisco.com/warp/public/707/cisco-sa-20050119-itscme.shtml

domingo, 23 de enero de 2005

Múltiples vulnerabilidades en Mac OS X 10.3

Se han descubierto múltiples vulnerabilidades en las versiones 10.3.4 y
10.3.7 del sistema operativo Mac OS X, y que podrían ser explotadas por
usuarios locales maliciosos para acceder a información sensible,
provocar denegaciones de servicio o incluso realizar escaladas de
privilegios en un sistema afectado.

La primera vulnerabilidad descubierta es un desbordamiento de entero en
la llamada de sistema 'searchfs()'. Esta puede darse a la hora de tratar
con las variables sizeofsearchparams1 y sizeofsearchparams2 en una
estructura fssearchblock, y puede ser aprovechada para provocar un
desbordamiento de búfer.

La explotación con éxito de esta vulnerabilidad permitiría la ejecución
de código arbitrario con privilegios escalados. Esta vulnerabilidad ha
sido confirmada en la versión 10.3.4 del sistema, aunque no se descarta
que afecte a otras versiones. Hay también signos de que algunas
vulnerabilidades antiguas de NetBSD, incluyendo un error de signo en la
llamada de sistema 'semop()', afectarían también a OS X.

Una segunda vulnerabilidad en la utilidad 'at' (con setuid root) puede
ser explotada para acceder al contenido de archivos arbitrarios
marcándolos como un fichero de trabajo para la opción de línea de
comando -f.

Esta vulnerabilidad ha sido confirmada en Mac OS X 10.3.4 y 10.3.7,
aunque no se descarta que afecte a otras versiones.

Por último, más errores de signo en la función 'parse_machfile()' usada
dentro del cargador Mach-O, pueden ser explotados para tirar el sistema
creando una cabecera Mach-O maliciosa.

Esta vulnerabilidad afectaría a las versiones 10.3.7 y anteriores del
sistema.

A la espera de un parche de actualización de Apple, se recomienda
restringir el acceso a los sistemas de tal forma que sólo lo use
personal de confianza.


Julio Canto
jcanto@hispasec.com


Más información:

Immunity:
http://www.immunitysec.com/downloads/nukido.pdf

felinemenace.org:
http://www.felinemenace.org/advisories/macosx.txt

sábado, 22 de enero de 2005

Desbordamiento de búffer en Xpdf 3.00

Se ha descubierto recientemente una vulnerabilidad en Xpdf que puede ser
explotada por atacantes para comprometer la seguridad de sistemas
Unix/Linux que utilicen este software.

Xpdf es un visualizador de archivos PDF open-source, de amplio uso en
diversas distribuciones Linux (Red Hat, SuSE, Fedora, Debian, Gentoo,
etc), además de otros entornos como FreeBSD u OpenBSD.

La vulnerabilidad en sí se debe a la falta de comprobación de tamaños de
variables usadas en la función 'Decrypt::makeFileKey2()'. Un atacante
podría engañar a la víctima para que visualizase un archivo PDF
malicioso, con valores especialmente asignados a tal efecto en la
etiqueta "/Encrypt /Length", de tal forma que provocaría un
desbordamiento de búfer basado en stack. La explotación con éxito de
esta vulnerabilidad permitiría entonces la ejecución de código
arbitrario en la máquina de la víctima.

Si bien la vulnerabilidad ha sido confirmada en la versión 3.00 de este
software, no se descarta que pueda afectar a versiones anteriores.

Se recomienda actualizar a la versión 3.00pl3, disponible en la
siguiente dirección:
http://www.foolabs.com/xpdf/download.html

También hay disponible un parche corrector para no tener que hacer una
actualización:
ftp://ftp.foolabs.com/pub/xpdf/xpdf-3.00pl3.patch

Diversas distribuciones Linux ya han publicado paquetes actualizados
para corregir este problema.


Julio Canto
jcanto@hispasec.com


Más información:

Multiple Unix/Linux Vendor Xpdf makeFileKey2 Stack Overflow
http://www.idefense.com/application/poi/display?id=186&type=vulnerabilities

kpdf Buffer Overflow Vulnerability
http://www.kde.org/info/security/advisory-20050119-1.txt

viernes, 21 de enero de 2005

Reto forense sobre un sistema Linux comprometido

UNAM-CERT y el grupo de seguridad de RedIRIS han organizado el concurso
Reto Forense V2.0. Los participantes deberán analizar un sistema Linux
comprometido.

Los participantes tendrán acceso a las imágenes de un sistema Linux
que ha sido atacado y, tras realizar un análisis forense del mismo,
deberán presentar un informe detallado que conteste a preguntas
específicas planteadas en el reto, como por ejemplo desde donde se
ha llevado a cabo el ataque, de que forma, o que acciones ha realizado
el atacante una vez en el sistema.

Los interesados deberán inscribirse previamente, para recibir las
instrucciones detalladas del concurso, en la siguiente dirección
http://www.seguridad.unam.mx/eventos/reto/registro.dsc

En juego para los mejores análisis un primer premio consistente en
una Licencia de Encase Forensic Edition, asistencia con todos los
gastos pagados al congreso de Seguridad en Cómputo 2005 para el
segundo, y un curso en línea de SANS para el tercer puesto.

El reto está coordinado por Francisco Jesus Monserrat Coll de RedIRIS
y Juan Carlos Guel López de UNAM-CERT. Mientras que el jurado lo
componen Francisco Monserrat de RedIRIS, Jess Garcia de SANS Institute,
Rubén Aquino Luna de UNAM-CERT, Alejandro Núñez Sandoval de UNAM-CERT,
Jacomo Dimmit Boca Piccolini de CAIS, Guillerme Venhere de CAIS,
y Matias Bevilacqua de Cybex.


Bernardo Quintero
bernardo@hispasec.com


Más información:

Reto Forense V2.0
http://www.seguridad.unam.mx/eventos/reto/

jueves, 20 de enero de 2005

Actualización de seguridad para Java

La serie 1.4.2 de la máquina virtual Java de SUN Microsystem contiene
una vulnerabilidad que permite que un atacante ejecute código arbitrario
en la máquina víctima.

Java es un lenguaje de programación orientado a objetos,
multiplataforma, desarrollado por SUN Microsystems y de gran
popularidad. Aunque existen varias implementaciones Java, SUN dispone de
su propia máquina virtual gratuita para diferentes plataformas.

Las versiones 1.4.2 no actualizadas contienen una vulnerabilidad en su
interacción con el lenguaje javascript, utilizado en los navegadores
web, que le permite cargar clases Java sin las restricciones de
impuestas por la máquina virtual. Ello permite ejecutar código Java
libre de restricciones de seguridad.

Sun Microsystem ha publicado la versión 1.4.2_06 de su máquina virtual,
solucionando esta vulnerabilidad. Aunque dicha actualización lleva ya
disponible algunas semanas, muchas distribuciones Linux (por ejemplo,
SUSE) acaban de publicar sus actualizaciones oficiales.


Jesús Cea Avión
jcea@hispasec.com


Más información:

Arbitrary Code Execution in Sun Java 2 Platform, Standard Edition (J2SE)
1.4.2_01 and 1.4.2_04
http://www.windowsitpro.com/article/articleid/44645/44645.html

Download Java 2 Platform, Standard Edition, v 1.4.2 (J2SE)
http://java.sun.com/j2se/1.4.2/download.html

miércoles, 19 de enero de 2005

Múltiples vulnerabilidades en productos de Oracle

Oracle 'sorprendió' hace unos meses con un polémico comunicado en el
que anunciaba que su nueva política de publicación de actualizaciones
sería trimestral. Dejando aparte lo inteligente o conveniente de dicha
política para los administradores de sistemas afectados, ha sido fiel a
dicho anuncio y ha publicado 23 avisos de vulnerabilidades que han
sido detectadas en gran cantidad de productos de su compañía.

Si bien la mayor parte de las vulnerabilidades descubiertas permiten
el acceso a información sensible y la manipulación de datos, otras
permitirían también realizar ataques de inyección PL/SQL, denegación
de servicio o escalada de privilegios.

La compañía aplica el adjetivo potencial a la mayor parte de las
vulnerabilidades y especifica en gran cantidad de ellas requisitos
como permisos de ejecución sobre determinados paquetes, o estar
en una sesión válida.

En resumen, los componentes afectados (que no las vulnerabilidades
individuales) serían los siguientes, con sus vulnerabilidades asociadas:
* Networking (DoS)
* LOB Access (AIS)
* Spatial (AIS, MdI, DoS)
* UTL_FILE (MdI)
* Diagnostic (AIS, MdI, DoS)
* XDB (AIS, MdI)
* Dataguard (AIS, MdI)
* Log Miner (AIS, MdI)
* OLAP (AIS, MdI)
* Data Mining (AIS, MdI)
* Advanced Queuing (AIS, MdI)
* Change Data Capture (AIS, MdI)
* Database Core (AIS, MdI)
* OHS (AIS, MdI)
* Report Server (AIS, MdI)
* Forms (DoS)
* mod_plsql (AIS, MdI)
* Calendar (AIS, MdI, DoS)

Adicionalmente, se han detectado también errores en Oracle E-Business
Suite que podrían ser explotados para acceder a información sensible o
manipularla.

Los acrónimos usados para simplificar la enumeración son los siguientes:
AIS: Acceso a información sensible
MdI: Manipulación de información
DoS: Denegación de servicio

Los productos afectados por estas vulnerabilidades serían los siguientes:
* Oracle8 Database Release 8.0.6 (versión 8.0.6.3)
* Oracle8i Database Server Release 3 (versión 8.1.7.4)
* Oracle9i Database Server Release 1 (versiones 9.0.1.4, 9.0.1.5 y 9.0.4)
* Oracle9i Database Server Release 2 (versiones 9.2.0.4, 9.2.0.5 y 9.2.0.6)
* Oracle9i Application Server Release 1 (versión 1.0.2.2)
* Oracle9i Application Server Release 2 (versiones 9.0.2.3 y 9.0.3.1)
* Oracle Database 10g Release 1 (versiones 10.1.0.2, 10.1.0.3 y 10.1.0.3.1)
* Oracle Application Server 10g (9.0.4, versiones 9.0.4.0 y 9.0.4.1)
* Oracle Application Server 10g Release 2 (10.1.2)
* Oracle Collaboration Suite Release 2 (version 9.0.4.2)
* Oracle E-Business Suite and Applications Release 11i (11.5)
* Oracle E-Business Suite and Applications Release 11.0

El enlace para acceder a las actualizaciones pertinentes según
plataforma es el siguiente:
http://metalink.oracle.com/metalink/plsql/showdoc?db=NOT&id=293953.1

Tras esto, sólo recordar que las fechas programadas para repetir este
tipo de publicación son 12 de abril, 12 de julio y 18 de octubre.


Julio Canto
jcanto@hispasec.com


Más información:

Oracle:
http://otn.oracle.com/deploy/security/pdf/cpu-jan-2005_advisory.pdf

NGS Software:
http://www.nextgenss.com/advisories/oracle-02.txt

Pete Finnigan:
http://www.petefinnigan.com/directory_traversal.pdf

Red Database Security:
http://www.red-database-security.com/content6.html

Oracle publicará sus parches de forma trimestral
http://www.hispasec.com/unaaldia/2217

martes, 18 de enero de 2005

Planes de contingencia y continuidad

La gran dependencia actual de las tecnologías de la información han
situado a los planes de contingencia y de continuidad del negocio en
un requisito de primer orden a la hora de abordar cualquier proyecto
TI con garantías.

Hace unos años estos temas parecían coto privado de grandes
corporaciones o, en el mejor de los casos, todo se limitaba a aplicar
una cierta metodología en las copias de seguridad.

Hoy día nos encontramos con múltiples escenarios donde no sólo la
perdida de información, sino que basta con la simple interrupción
temporal de un servicio, puede ocasionar daños importantes, incluso
irremediables, a cualquier organización. La alta disponibilidad ha
pasado de ser un lujo de unos pocos a una necesidad de muchos.

Ya no basta con poder recurrir a las socorridas copias de seguridad
del servidor de antaño, son muchos los factores y agentes a tener
en cuenta en unos sistemas cada día más distribuidos y de los que
tenemos mayor dependencia, lo que sin duda aumenta la complejidad
a la hora de abordar el desarrollo y gestión de un plan de
continuidad.

Plan de continuidad del que nadie se suele acordar hasta que sucede
lo imprevisto, o tal vez deberíamos decir lo previsto si hemos hecho
bien los deberes. Casos para convencer de la necesidad sobran, sin
necesidad de recurrir al manido 11 de septiembre, al penúltimo
ataque DDoS sufrido por Amazon, o a la acción del gusano de moda.

Cualquiera de nosotros habremos sufrido incidentes en mayor o menor
medida en nuestras propias carnes, ya sea en forma de corte en el
suministro eléctrico, perdida de comunicaciones, fallo de hardware,
o en cualquiera de las múltiples formas en que se suelen presentar
de forma rutinaria.

Sin embargo, a día de hoy, ésta sigue siendo una asignatura pendiente
para muchas organizaciones, pese a que la inversión en muchos casos
está a todas luces justificada.

Aunque podemos encontrar mucha información en Internet
(http://www.google.com), la mayoría en inglés, ha llegado a mí un
libro en español que supone una interesante guía administrativa a
nivel de diseño y gestión de los planes de continuidad (no entra en
detalles técnicos ni casuísticas concretas), recomendable para todos
aquellos que de una u otra forma nos vemos inmersos en este tipo de
proyectos.

"Planes de Contingencia. La continuidad del negocio en las
organizaciones.", de Juan Gaspar Martínez, Ediciones Díaz de Santos,
ISBN: 84-7978-647-7

Capítulo 1. Iniciación y Gestión del Proyecto
Capítulo 2. Análisis de Riesgos
Capítulo 3. Análisis de Impacto
Capítulo 4. Desarrollo de las estrategias de continuidad
Capítulo 5. Operaciones de respuesta ante la emergencia
Capítulo 6. Desarrollo e implementación de los Planes de Continuidad
de Negocio
Capítulo 7. Entrenamiento, pruebas y mantenimiento de los Planes de
Continuidad del Negocio
Capítulo 8. Estrategias de Comunicación y Gestión de la Crisis
Anexo 1. Legislación y normativa


Bernardo Quintero
bernardo@hispasec.com


Más información:

The Business Continuity Institute
http://www.thebci.org/

globalcontinuty.com
http://www.globalcontinuity.com/

lunes, 17 de enero de 2005

WebCast Microsoft-Hispasec sobre malware y soluciones

Bajo el título "Defensa en profundidad contra software malintencionado
(Virus)" se celebrará el próximo 26 de enero un seminario virtual y
gratuito a través de Internet impartido por Microsoft e Hispasec.

Con un enfoque práctico e independiente, se discutirán las principales
formas de malware, su clasificación y características, las soluciones
antivirus, y la prevención tanto en clientes como en entornos
corporativos.

La sesión tendrá lugar el día 26 de enero de 17:00 a 19:00, hora
peninsular española. Para asistir a la sesión es necesario registrarse
previamente. Todos los detalles sobre los requisitos para acceder
al webcast están disponibles en la dirección:


Bernardo Quintero
bernardo@hispasec.com



domingo, 16 de enero de 2005

Miles de cámaras web accesibles con un simple click

Miles de cámaras web, muchas de ellas mostrando imágenes confidenciales
y delicadas, están accesibles a través de Internet, usando un vulgar
navegador.

Las cámaras web, o "web cam", son pequeñas cámaras conectadas a
Internet, típicamente, mediante un microsistema operativo integrado. En
la mayor parte de los casos este microsistema no dispone de ningún
mecanismo de control acceso, o el usuario simplemente desconoce su
existencia o no lo cree necesario, conformándose con la mera ocultación
de los detalles de la conexión. Muchas de esas cámaras están instaladas
en lugares públicos, como calles, comercios o playas, pero otras se
instalan como cámaras de seguridad en domicilios privados, guarderías
infantiles, vestuarios, gimnasios, etc.

Encontrar una cámara web en particular manualmente puede ser una misión
imposible, pero los buscadores web (por ejemplo, "google") localizan e
indexan esos dispositivos sin apenas dificultad, merced a su capacidad
para investigar de forma metódica todos y cada uno de los enlaces
existentes en Internet, por oscuros y ocultos que sean. Una vez
indexados, un navegante curioso puede localizar cámaras "interesantes"
simplemente buscando patrones más o menos distintivos en las URLs de los
diferentes fabricantes de "webcams".

Ni que decir tiene que esta accesibilidad universal muy posiblemente sea
una sorpresa para la mayoría de los propietarios de las cámaras, que
confiaban en el "no me conoce nadie" para obviar cualquier medida de
seguridad en el acceso a dichos dispositivos. Al margen de situaciones
embarazosas, evidentes, no sería sorprendente que alguien utilizase las
cámaras de seguridad de un entorno determinado para espiar a sus mismos
propietarios.

En los enlaces que se incluyen al final de este boletín, el lector podrá
encontrar más información e infinidad de paisajes para visitar.

Hispasec recomienda a toda persona con una webcam conectada a Internet
que utilice un modelo con mecanismos de control de acceso (y que los
utilice correctamente, por supuesto), y si ello no fuera posible (e,
incluso, preferiblemente) que se conecte la cámara a través de un
ordenador que imponga restricciones de acceso, nunca conectar
directamente la cámara a Internet.

Esto, obviamente, se complica enormemente en el caso de las nuevas
cámaras web inalámbricas (Wi-Fi). Por ello recomendamos encarecidamente
que este tipo de tecnología se despliegue siendo plenamente consciente
de sus implicaciones.


Jesús Cea Avión
jcea@hispasec.com


Más información:

Googling unsecured webcams
http://www.boingboing.net/2005/01/04/googling_unsecured_w.html

Computers - Unsecure networks + Google = fun
http://www.graffe.com/forums/showthread.php?t=26886

More Googleable unsecured webcams
http://www.boingboing.net/2005/01/05/more_googleable_unse.html

Still more random Googleable webcams
http://www.boingboing.net/2005/01/10/still_more_random_go.html

Netizens eye Web-enabled surveillance cams
http://www.securityfocus.com/news/10251

Random webcams from the Net
http://www.opentopia.com/hiddencam.php

Network Camera Links
http://www.undertree.us/allcams.html

Googling Webcams
http://ming.tv/flemming2.php/__show_article/_a000010-001449.htm

Google y las cámaras de seguridad
http://edans.blogspot.com/2005/01/google-y-las-camaras-de-seguridad.html

Cámaras de seguridad a la vista global
http://suburbia.sindominio.net/article.php3?id_article=146

Cámaras de seguridad no demasiado seguras
http://mnm.uib.es/gallir/posts/2005/01/03/65/

sábado, 15 de enero de 2005

Actualización de seguridad de iTunes

Las versiones no actualizadas de iTunes contienen una vulnerabilidad en
la gestión de listas de reproducción, mediante la cual un atacante
malicioso puede matar la aplicación y, siendo cuidadoso, ejecutar código
arbitrario en la máquina víctima

iTunes es una aplicación de Apple para la reproducción y gestión de
archivos de sonido, grabación de CDs, compartición de música y, también,
un "frontal" para la tienda de música "online" de Apple. Desarrollada
originariamente para el entorno Mac OS X de Apple, la compañía la ha
portado también a Microsoft Windows.

Las versiones de iTunes previas a la 4.7.1 contienen un desbordamiento
de búfer en la gestión de las listas de reproducción, mediante el cual
el atacante puede matar la aplicación y, bajo ciertas circunstancias,
ejecutar código arbitrario en la máquina víctima. La vulnerabilidad se
explota mediante el uso de nombres anormalmente largos en los ficheros
".m3u" o ".pls", a través de un fichero de reproducción proporcionado
por un atacante malicioso.

Apple ha publicado una actualización (4.7.1) para iTunes, disponible
para Mac OS X y y Microsoft Windows.

Hispasec aconseja a todos los usuarios de iTunes que actualicen sus
sistemas, y que eviten -en lo posible- utilizar listas de reproducción
de origen dudoso.


Jesús Cea Avión
jcea@hispasec.com


Más información:

iTunes
http://www.apple.com/itunes/download/

Apple security updates
http://docs.info.apple.com/article.html?artnum=61798

Apple iTunes Playlist Parsing Buffer Overflow Vulnerability
http://www.idefense.com/application/poi/display?id=180&type=vulnerabilities

viernes, 14 de enero de 2005

Estadísticas de diciembre e incorporación de AVG a VirusTotal

VirusTotal es un servicio gratuito de análisis de malware creado por
Hispasec Sistemas, y que permite a un usuario que dude sobre la
inocuidad de un determinado archivo analizarlo con una gran cantidad de
productos antivirus que unen sus poderes de detección para reforzar
dicha tarea.

Este servicio beneficia por una parte al usuario, ya que puede detectar
posibles amenazas que su producto no haya identificado, o clarificar
posibles problemas con el variopinto nombrado del malware. Por otra
parte, también ayuda a las casas antivirus participantes ya que reciben
muestras de malware que no detectan (lo que a su vez redunda de nuevo en
beneficio de los usuarios ya que actualizan más rápido sus archivos de
definiciones). Finalmente, el servicio ayuda a nuestro laboratorio, ya
que nos dota de un conocimiento íntimo de las capacidades de dichos
productos Antivirus que posteriormente utilizamos a la hora de realizar
tareas de consultoría en ese campo.

VirusTotal ha experimentado un importante aumento de actividad desde su
lanzamiento el pasado mes de junio. Si bien en julio el número de
archivos analizados fue de 4.997, éste pasado mes de diciembre esa cifra
ha subido a 12.556 (más de un 150% de aumento de actividad).

De dicha cantidad de archivos analizados, un 63,3% (7951) dio positivo
avisando a los usuarios de que contenían algún tipo de código malicioso.
El alto porcentaje de muestras que no dieron positivo muestran que el
servicio está siendo utilizado por muchos usuarios para hacer
comprobaciones rutinarias de los archivos que reciben, en un gesto
rápido y sencillo para asegurar en lo posible su inocuidad.

Sobre el número de muestras que dieron positivo, una abrumadora mayoría
del 92,2% no fue detectada por todos los motores integrados. Esto apunta
tanto a un posible problema resuelto si el usuario utilizaba uno de esos
productos que no lo detectó, como a una tendencia general a utilizar el
servicio ante muestras menos comunes que los típicos gusanos de
distribución masiva, ya que estos suelen ser detectados por todos los
productos a las pocas horas de su aparición (como ejemplo, ver
referencias [1] y [2]).

Lo anteriormente expuesto y la gran heterogeneidad de las muestras
recibidas se refleja perfectamente en el top 10 del malware detectado:
el porcentaje mayor es para una muestra detectada solamente por la
heurística de un producto ('probably unknown NewHeur_PE', con 215
muestras que hacen un porcentaje del 2,7%), mientras que las cuatro
siguientes son detecciones genéricas de ejemplares maliciosos ('Trojan
Horse', 'W32/Backdoor' con porcentajes sobre el total del 2,5%, 2,1%,
1,8% y 1,6% respectivamente). Siguiendo este top 10, nos encontramos
también con 'Zafi.d', que tan velozmente se expandió estas pasadas
navidades (un 1,5%), 'TrojanSpy.Win32.Banbra.q', un troyano diseñado
para el robo de credenciales bancarias (1,3%), 'Backdoor.SDBot.Gen',
orientado al control remoto de la víctima (1,1%) y a Netsky.P y Sober.I
(1,2% y 1,0%), cuya persistencia aún hoy día resulta sorprendente.

Bajando más en dicha lista, comprobaremos que hay un protagonismo
bastante importante de los troyanos en general, más proclives a no ser
detectados por determinados productos que se centran más en las amenazas
de virus y gusanos.

Los productos integrados en VirusTotal se actualizaron un total de 1763
veces, lo que hace una media de 2,36 actualizaciones por hora. Este
estadístico en concreto es uno de los que mejor muestra la utilidad de
este servicio, en especial a la hora de la identificación temprana de
malware recién publicado.

Siguiendo la filosofía de mejorar constantemente este servicio
gratuito, se ha procedido a incorporar el motor del antivirus AVG de
Grisoft [3], producto gratuito muy utilizado por usuarios domésticos.
Esta nueva entrada sube el número de productos integrados a 14, y el de
motores a 16 (dado que Sybari incorpora dos motores más que no figuran
entre los usados para analizar las muestras de los usuarios).

Por lo demás, seguimos a la espera de las centrales de McAfee y
TrendMicro para poder volver a utilizar sus productos (hemos recibido
muchas consultas de usuarios al respecto) y seguimos también en
conversaciones con otras casas antivirus para integrar sus productos al
servicio y así reforzarlo aún más.


Julio Canto
jcanto@hispasec.com


Más información:

[1] Alerta: Gusano Zafi.D aparenta ser una felicitación navideña
http://www.hispasec.com/unaaldia/2242

[2] Comentarios sobre el gusano Pawur (Tasin/Inzae/Anzae)
http://www.hispasec.com/unaaldia/2223

[3] Grisoft: AVG Free
http://free.grisoft.com/freeweb.php/doc/2/

VirusTotal
http://www.virustotal.com/

VirusTotal aumenta su poder de detección e incorpora nuevas funcionalidades
http://www.hispasec.com/unaaldia/2228

Finding a second opinion: Using free Web-based AV scanning resources
http://searchsecurity.techtarget.com/tip/1,289483,sid14_gci1022311,00.html

When a Zero-Day Visits You
http://www.enterpriseitplanet.com/security/features/article.php/11321_3440311_2

Submitting Malware - Unpatched IE Hole Being Exploited - eJihad or
iHysteria?
http://isc.sans.org/diary.php?date=2004-08-24

jueves, 13 de enero de 2005

Nuevos contenidos en CriptoRed (diciembre 2004)

Breve resumen de las novedades producidas durante el mes de diciembre
de 2004 en CriptoRed, la Red Temática Iberoamericana de Criptografía
y Seguridad de la Información.

1. DOCUMENTOS NUEVOS PARA SU DESCARGA

- Criptosistema Rijndael. A Fondo
http://www.criptored.upm.es/paginas/docencia.htm#gtletraC

- Concientización en Seguridad de la Información
http://www.criptored.upm.es/paginas/docencia.htm#gtletraC

Puedes encontrar otros documentos en:
http://www.criptored.upm.es/paginas/docencia.htm#gteoria

- Libro electrónico Sistemas de Detección de Intrusiones
http://www.criptored.upm.es/paginas/docencia.htm#librose

2. CONGRESOS Y SEMINARIOS POR ORDEN CRONOLOGICO DE CELEBRACION:

- Enero 31 a Febrero 4 de 2005: Sesión Tendencias Actuales en la
Criptología en Congreso MAT.es (España)
http://www.uv.es/mat.es2005/Cripto/mates2005/index.html

- Febrero 16 al 18 de 2005: X edición del Congreso Nacional de Internet,
Telecomunicaciones y Sociedad de la Información (España)
http://www.aui.es/mundointernet/

- Abril 11 al 13 de 2005: Track on e-gaming, International Conference on
Information Technology ITCC 2005 (Estados Unidos)
http://crises.etse.urv.es/itcc2005/

- Mayo 24 al 25 de 2005: Workshop on Security In Information Systems
WOSIS-2005 (Estados Unidos)
http://www.iceis.org/workshops/wosis/wosis2005-cfp.html

- Junio 6 al 8 de 2005: 7th Information Hiding Workshop IH2005 (España)
http://www.uoc.edu/symposia/ih05/

- Septiembre 14 al 16 de 2005: Simposio Seguridad Informática I Congreso
Español de Informática CEDI 2005 (España)
http://cedi2005.ugr.es/simposios.shtml

Puedes encontrar más información en:
http://www.criptored.upm.es/paginas/eventos.htm#Congresos

3. CURSOS DE POSTGRADO, ESPECIALIDAD Y FORMACIÓN:

- Especialización en Criptografía y Seguridad Teleinformática en IESE
(Argentina)
- Cursos de CYBSEC (Argentina - Ecuador)
- Diplomado en Seguridad Computacional en la Universidad de Chile (Chile)
- Master en Auditoría y Seguridad Informática en la UPM (España)
- Master en Administración y Gestión de Seguridad de la Información en
la UCM (España)
- Master en Tecnologías de Seguridad Informática esCERT-UPC (España)
- Master Tecnologías Información y Seguridad en la UCLM (España)
- Máster en Auditoría y Seguridad en la UAB (España)
- Curso Experto en Seguridad Informática en la MU (España)
- Cursos de Seguridad Informática en el esCERT-UPC (España)
- Diplomados en Seguridad Informática (México)
- Cursos de Seguridad Informática del Instituto para la Seguridad en
Internet ISI (España)
- Programa de Formación en Gestión de la Seguridad de la Información de
AENOR (España)
- Criptosistemas de tipo RSA. Aplicaciones (España)
- Curso Gratuito de Seguridad Informática en Madrid del FSE en la UPM
(España)
- Talleres de Seguridad Informática en la UNAM (México)

Puedes encontrar los enlaces y más información en:
http://www.criptored.upm.es/paginas/eventos.htm#Cursos

4. NOTICIAS SELECCIONADAS DEL MES DE DICIEMBRE DE 2004:

- CriptoRed Cumple Cinco Años
- CriptoRed se presenta en Universidades de República Dominicana y Cuba
http://www.criptored.upm.es/paginas/historico2004.htm#dic04

- Curso "Criptosistemas de tipo RSA. Aplicaciones" en el CSIC (España)
http://www.csic.es/postgrado/cursos/cursos_2005.html#area5_espec_1

- Primera Conferencia ISSA/FIST en Madrid (España)
http://www.fistconference.org/madrid.php

- Jornadas Aplicación Ley Orgánica de Protección de Datos en Sevilla,
España (Enero 2005)
http://www.puntoesformacion.com

- Web Tercer Congreso Iberoamericano de Seguridad Informática CIBSI '05
http://cibsi05.inf.utfsm.cl

- Segunda Edición del Máster en Auditoría y Seguridad en la UAB (España)
Documento: http://www.criptored.upm.es/descarga/Fulleto_MASSI_0405_v.3.zip

5. OTROS DATOS DE INTERES EN LA RED:

- Número actual de miembros en la red: 492
http://www.criptored.upm.es/paginas/particulares.htm

- 16.762 visitas, 157.247 hits, 13.174 archivos zip descargados y 18,80
GBytes servidos en diciembre de 2004
http://www.criptored.upm.es/cgi-bin/awstats.pl?month=12&year=2004&output=main&config=www.criptored.upm.es&framename=index

- CIBSI '05: 21 al 25 de noviembre de 2005, Valparaíso (Chile)
http://cibsi05.inf.utfsm.cl/
Organizador: Universidad Técnica Federico Santa María
http://www.utfsm.cl/
Próximamente se enviará el primer CFP


Jorge Ramio
Coordinador General CriptoRed



miércoles, 12 de enero de 2005

Vulnerabilidad en los kernel Linux

Las versiones no actualizadas de los kernel Linux permiten que un
usuario local obtenga privilegios de administrador o "root".

Las versiones no actualizadas de las series 2.4 y 2.6 del kernel Linux
contienen un error que permite que cualquier usuario local del sistema
obtenga provilegios de administrador o "root".

El problema reside en la función "uselib()" del kernel, utilizada para
cargar y ejecutar código binario en memoria. En dicha función se
realizan llamadas de gestión de memoria sin la protección de semáforos,
pudiendo así corromper el sistema provocando su caída o la obtención de
privilegios suplementarios. En algunos casos el problema incluso puede
presentarse bajo condiciones no maliciosas; por ejemplo, bajo presiones
extremas en el uso de memoria RAM.

Hasta el momento no se ha publicado ninguna actualización oficial de las
series 2.4 y 2.6 del kernel Linux. Es de destacar, también, que existen
"exploits" ya en circulación, y que este ataque permite también escapar
a sistemas virtuales del tipo UML (User Mode Linux).

La recomendación de Hispasec es actualizar en cuando se publique una
nueva versión de la serie del kernel que se use. En caso de sistemas con
usuarios locales no confiables, es conveniente aplicar alguno de los
parches no oficiales disponibles, siempre siendo consciente de los
riesgos que ello implica.

La versión "2.4.29-rc1" soluciona el problema, pero se trata de una
versión de evaluación. No se ha publicado ninguna actualización oficial
para la serie 2.6.


Jesús Cea Avión
jcea@hispasec.com


Más información:

Linux kernel uselib() privilege elevation
http://isec.pl/vulnerabilities/isec-0021-uselib.txt

Vulnerabilidad en los núcleos 2.4 y 2.6
http://barrapunto.com/article.pl?sid=05/01/11/0023248

Local Root Exploit in Linux 2.4 and 2.6
http://linux.slashdot.org/article.pl?sid=05/01/07/2028203

The Linux Kernel Archives
http://kernel.org/

martes, 11 de enero de 2005

Microsoft publica tres boletines de seguridad en enero

Como todos los segundos martes de mes, Microsoft ha publicado sus
boletines de seguridad. Para comenzar el año han sido tres los
boletines, todos ellos en relación a sistemas Windows y dos de ellos
con un nivel de gravedad "crítico" y otro de "importante" según la
propia Microsoft.

A continuación un listado de las vulnerabilidades y el software
afectado, en el apartado más información puede encontrarse las
direcciones para acceder a los avisos originales de Microsoft y la
descarga de los parches.

* Vulnerabilidad en Ayuda HTML que podría permitir la ejecución remota
de código. (MS05-001)
Está calificado como crítico.
Afecta a Internet Explorer 6.0 SP1 en Windows NT Server 4.0, Windows
2000, Windows XP, Windows Server 2003, Windows 98 y Windows Millennium
Edition (Me).

* Vulnerabilidad en el formato de iconos y cursores que podría permitir
la ejecución remota de código. (MS05-002)
Está calificado como crítico.
Afecta a Windows NT Server 4.0, Windows 2000, Windows XP, Windows
Server 2003, Windows 98 y Windows Millennium Edition (Me).

* Vulnerabilidad en el servicio de Index Server que podría permitir la
ejecución remota de código y el aumento de privilegios en un sistema
afectado. Como el servicio Index Server no está habilitado de forma
predeterminada en los sistemas afectados la calificación que recibe es
de "importante".
Afecta a Windows 2000, Windows XP y Windows Server 2003.


Antonio Ropero
antonior@hispasec.com


Más información:

Microsoft Security Bulletin MS05-001
Vulnerability in HTML Help Could Allow Code Execution (890175)
http://www.microsoft.com/technet/security/Bulletin/MS05-001.mspx

Microsoft Security Bulletin MS05-002
Vulnerability in Cursor and Icon Format Handling Could Allow Remote
Code Execution (891711)
http://www.microsoft.com/technet/security/Bulletin/MS05-002.mspx

Microsoft Security Bulletin MS05-003
Vulnerability in the Indexing Service Could Allow Remote Code Execution
(871250)
http://www.microsoft.com/technet/security/Bulletin/MS05-003.mspx

lunes, 10 de enero de 2005

Tres nuevas vulnerabilidades críticas en Internet Explorer 6

Descritas tres nuevas vulnerabilidades de seguridad críticas que
afectan a todas las versiones de Internet Explorer 6, incluso la
incluida en el Service Pack 2 de Windows XP.

Secunia ha publicado un boletín donde informa del descubrimiento
de tres vulnerabilidades de seguridad en Internet Explorer 6:

* Validación no adecuada de los eventos de arrastrar y soltar
para elementos multimedia insertados dentro del código HTML
(imágenes, animaciones, películas.) entre la zona "Internet" y
los recursos locales. La vulnerabilidad puede ser aprovechada por
una sede web malévola para copiar archivos en el ordenador del
usuario, que en caso de ejecutarse lo harían en la zona local.

* Un error en la restricción de zonas que puede ser utilizada, a
través de archivos .HHK, para ejecutar archivos HTML locales o
inyectar código que se ejecutará en la zona local.

* Otro error en la restricción de ejecución a partir del enlace
"Temas similares" dentro de un archivo .HHK. Esta vulnerabilidad
también puede ser utilizada para ejecutar código en la zona
local.

Todas estas vulnerabilidades pueden ser utilizadas, conjuntamente
con otros problemas, por parte de atacantes remotos para acceder
al sistema de archivos de los usuarios permitiendo, por ejemplo,
el borrado de archivos.

En el momento de escribir este boletín, Microsoft no ha
confirmado la existencia de estas vulnerabilidades ni ha
anunciado la disponibilidad de ningún parche. Secunia dispone de
una prueba de concepto que permite verificar si se es vulnerable
a estos nuevos problemas.

Hoy por hoy la única solución efectiva pasa por la utilización de
un navegador diferente a Internet Explorer, como puede ser
Firefox 1.0

Otras medidas de prevención pasan por desactivar el soporte de
las funciones de arrastrar y soltar y el contenido activo en
Internet Explorer 6. No obstante, esto puede afectar la
funcionalidad del producto, especialmente cuando se utiliza para
la ejecución de las aplicaciones que habitualmente se encuentran
en las intranets de las empresas.


Xavier Caballé
xavi@hispasec.com


Más información:

Microsoft Internet Explorer Multiple Vulnerabilities
http://secunia.com/advisories/12889/

Prueba de concepto
http://secunia.com/internet_explorer_command_execution_vulnerability_test/

Deshabilitar el soporte de las funciones de arrastrar y soltar
http://support.microsoft.com/kb/888534

Deshabilitar el soporte de contenido activo
http://support.microsoft.com/default.aspx?scid=kb;en-us;q154036

Microsoft Internet Explorer HTML Help Control bypasses Local
Machine Zone Lockdown
http://www.kb.cert.org/vuls/id/939688

Extremely Critical IE6/SP2 Exploi Found
http://it.slashdot.org/article.pl?sid=05/01/09/073728

Importants vulnerabilitats a l'Internet Explorer 6
http://www.quands.info/2005/01/09.html#a4467

Vulnerabilidad crítica en Internet Explorer 6 y Windows XP-SP2
http://barrapunto.com/article.pl?sid=05/01/09/1833253

domingo, 9 de enero de 2005

Vulnerabilidades en SOLDNER

Recientemente se han conocido tres vulnerabilidades que afectan al
popular juego de táctica militar, SOLDNER.

La primera de ellas permite a un atacante hacer caer el servidor al
enviarle un paquete UDP especialmente malformado con 1401 o más bytes.
Esta acción conseguirá dejarlo fuera de servicio sin que el
administrador reciba ningún tipo de información al respecto.

La segunda vulnerabilidad puede explotarse simplemente con el envío de
un mensaje que contenga los caracteres (%n%n%n). Con este ataque se
conseguiría hacer caer el servidor de juego y la posterior ejecución de
código en la máquina afectada.

La tercera de las vulnerabilidades se puede explotar a través del
interfaz web que posee este juego para su administración remota, y que
escucha en el puerto 7890. Al mencionado interfaz lo acompaña una
pantalla para charlas entre usuarios. Los mensajes en este chat no son
filtrados lo que permite la ejecución de código HTML o Javascript.


Antonio Román
roman@hispasec.com


Más información:

SÖLDNER - Secret Wars
http://aluigi.altervista.org/adv/soldnerx-adv.txt

SOLDNER Multiple Vulnerabilities
http://www.securiteam.com/windowsntfocus/5DP051FEKC.html

SOLDNER
http://soldner.jowood.com/

sábado, 8 de enero de 2005

Escalada de directorios en WinAce 2.5

Se ha descubierto una vulnerabilidad en la versión 2.5 de WinAce que
podría ser explotada por un atacante para comprometer un sistema que
utilice dicho software.

WinAce es un completo gestor de archivos comprimidos que soporta gran
cantidad de formatos, aporta muchas funcionalidades de información y
organización de archivos y se integra fácilmente en el entorno Windows.

El problema detectado es de escalada de directorios, y se debe a un
error de validación de entradas a la hora de descomprimir archivos en
formato GZIP (.gz) o ZIP (.zip). Utilizando secuencias de cadenas
clásicas de escalada de directorios ('../'), un atacante podría
aprovechar esta circunstancia para extraer archivos en localizaciones
arbitrarias fuera del directorio especificado para realizar dicha
operación.

Si bien la vulnerabilidad ha sido confirmada en la versión 2.5, no se
descarta que pueda afectar a otras.

A la espera de un parche de actualización, se puede optar o bien por
usarlo sólo con archivos de fuentes de total confianza, cesar el uso
de este software o actualizar a la versión 2.6, que actualmente se
encuentra en fase Beta 4.


Julio Canto
jcanto@hispasec.com


Más información:

WinAce & WinHKI - ZIP File Directory Transversal
http://lists.netsys.com/pipermail/full-disclosure/2005-January/030603.html
http://theinsider.deep-ice.com/texts/advisory65.txt

WinAce - GZIP File Directory Transversal
http://lists.netsys.com/pipermail/full-disclosure/2005-January/030604.html
http://theinsider.deep-ice.com/texts/advisory66.txt

WinAce:
http://www.winace.com/

viernes, 7 de enero de 2005

Grave problema de seguridad en versiones no actualizadas de Mozilla

Las versiones no actualizadas de Mozilla contienen una vulnerabilidad
que permite que un atacante remoto ejecute código arbitrario en la
máquina víctima.

Mozilla es un entorno de código abierto multiplataforma, de gran
calidad, nacido a partir de una iniciativa de Netscape. Su mayor
exponente es el propio Mozilla, el entorno web sobre el que se basa el
reciente Netscape 7.2. Pero también hay muchos otros productos que
se basan en Mozilla, tales como otros navegadores, entornos de
desarrollo, sistemas de navegación...

Las versiones de Mozilla anteriores a la 1.7.5 contiene una
vulnerabilidad en la gestión del protocolo NNTP que permite que un
atacante remoto ejecute código arbitrario en la máquina víctima, con
los privilegios de su usuario.

Una página web o un mensaje de correo electrónico malicioso puede
contener un enlace "news://", que indique un servidor NNTP a su antojo. Si
el servidor en cuestión es asimismo malicioso y envía una respuesta NNTP
especialmente formateada, puede ocasionar un desbordamiento de búfer en
Mozilla, matando el proceso o, si el atacante es cuidadoso, puede
ejecutar código arbitrario en la máquina del usuario.

Hispasec recomienda a todos los usuarios de Mozilla que actualicen a la
versión 1.7.5, disponible ya hace días.

Las versiones 1.0 de Firefox y Thunderbird no se ven afectadas por este
problema.


Jesús Cea Avión
jcea@hispasec.com


Más información:

NNTP Security Flaw in Mozilla 1.7.3 and Below
http://www.mozillazine.org/talkback.html?article=5844

A critical security vulnerability has been found in Mozilla Project code
handling NNTP protocol
http://www.isec.pl/vulnerabilities/isec-0020-mozilla.txt

jueves, 6 de enero de 2005

Desbordamientos de búfer en Exim 4.x

Se han descubierto dos vulnerabilidades en las versiones 4.43 y
anteriores de Exim que permitirían a usuarios locales maliciosos
realizar escaladas de privilegios, mientras que atacantes remotos
podrían incluso comprometer la seguridad del sistema.

Exim es un servidor SMTP desarrollado en la universidad de Cambridge
para su uso en sistemas Unix.

El primer error detectado está contenido en la función 'host_aton()' y
se da cuando se procesan direcciones IPv6 especialmente formadas a tal
efecto de tal forma que se puede provocar un desbordamiento de búfer.
Esto puede provocarse usando una opción de línea de comando no
especificada en el aviso original.

Otro problema de desbordamiento de búfer se ha detectado en la función
'spa_base64_to_bits()' a la hora de procesar autenticaciones SPA (por lo
que para explotar esta vulnerabilidad es necesario que esta opción esté
activada).

El desarrollador ha publicado parches que corrigen el problema,
disponibles en las siguientes URLs:
ftp://ftp.csx.cam.ac.uk/pub/software/email/exim/Testing/exim-snapshot.tar.gz
ftp://ftp.csx.cam.ac.uk/pub/software/email/exim/Testing/exim-snapshot.tar.gz.sig

También hay disponibles versiones corregidas a través del repositorio CVS.


Julio Canto
jcanto@hispasec.com


Más información:

2 smallish security issues
http://www.exim.org/mail-archives/exim-announce/2005/msg00000.html

miércoles, 5 de enero de 2005

Falsificación de cuadro de dialogo de descarga en Mozilla Firefox

Se ha anunciado la existencia de una vulnerabilidad en el cuadro de
dialogo de las descargas del navegador Mozilla Firefox por la que un
usuario remoto podrá falsificar la fuente que se muestra.

El problema radica en que el navegador no muestra adecuadamente los
nombres de subdominios y rutas demasiado largas. Un usuario malicioso
con un servidor con el nombre de dominio especialmente creado y una
ruta modificada adecuadamente podrá falsificar la fuente que se muestra
en el cuadro de dialogo.

La vulnerabilidad ha sido confirmada en Mozilla 1.7.3 para Linux y
Mozilla Firefox 1.0. En la actualidad no existe solución disponible,
aunque Mozilla ha anunciado que será corregida en futuras versiones
de los productos afectados.


Antonio Ropero
antonior@hispasec.com


Más información:

Mozilla Firefox Download Dialog Source Can Be Spoofed By Remote Users
http://www.securitytracker.com/alerts/2005/Jan/1012766.html

Bugzilla Bug 275417
https://bugzilla.mozilla.org/show_bug.cgi?id=275417

martes, 4 de enero de 2005

Más de 5.900 alertas de seguridad en el 2004 a través de SANA

El Servicio de Análisis, Notificación y Alertas (SANA) de Hispasec
distribuyó durante el pasado año un total de 5.916 alertas de
seguridad.

A través de este servicio a medida, que puede considerarse como una
versión profesional de una-al-dia, se documentaron y distribuyeron más
de 5.900 alertas durante el año 2004, lo que ofrece una media de 16
diarias.

Los fabricantes que han destacado por el número de actualizaciones y
parches publicados han sido IBM del que se han notificado hasta 845 (un
14,2%) alertas en el 2004 y Sun con 652 alertas, un 11%, el tercer
lugar lo ocupa Microsoft con 466 alertas (un 7,8 por ciento).

Hay que señalar como dato significativo que aunque Microsoft solo
publicó 45 boletines de seguridad a lo largo del año, a través de este
servicio se documentaron 466 alertas de este fabricante incluyendo
parches, vulnerabilidades, actualizaciones, service packs, etc.

Según la clasificación de SANA, 889 (un 15%) de las alertas se han
considerado de riesgo alto, el 12,7% medio-alto, 1.745 de ellas (el
29,4%) de nivel medio, mientras que el resto recibió una calificación
de riesgo medio-bajo y bajo.

Una gran mayoría de las alertas, 4.807 en concreto (un 81,2%), trataban
de parches propiamente dichos o de vulnerabilidades que contaban con
actualizaciones para corregirlas. Mientras que para el resto Hispasec
documentó contramedidas y acciones preventivas adicionales a la espera
de la solución oficial.

El Servicio SANA de Hispasec Sistemas, nació como una versión profesional
de una-al-dia, al ofrecer un servicio de información sobre seguridad
informática personalizado según el perfil de cada cliente, sin ningún
tipo de limitaciones de horario o cantidad de información, siendo el
primer servicio de estas características que se presta en español. Los
suscriptores de SANA reciben puntualmente, en tiempo real, la información
sobre nuevas vulnerabilidades que realmente puedan afectar a los sistemas
de su empresa, junto con las medidas preventivas y/o parches para
subsanarlas.

Un servicio como SANA puede ayudar a todos los administradores a
tener actualizados al día todos sus sistemas. Todos los lectores de
una-al-dia pueden realizar, desde la portada de la web de Hispasec
(http://www.hispasec.com), un seguimiento en tiempo real del número de
alertas publicadas por SANA.


Antonio Ropero
antonior@hispasec.com


Más información:

Servicio SANA de Hispasec Sistemas:
http://www.hispasec.com/directorio/servicios/sana

una-al-dia (20/05/2002) ¿Gastan los profesionales de seguridad mucho
tiempo buscando información?
http://www.hispasec.com/unaaldia/1303

lunes, 3 de enero de 2005

Escalada de directorios en descargas FTP con Internet Explorer

Se ha anunciado la existencia de una vulnerabilidad en Internet
Explorer por la que un atacante puede llegar a comprometer el sistema
de un usuario.

El problema reside en un error de validación de entradas en el
tratamiento de transferencias de archivos por FTP. Esto puede ser
explotado por un servidor FTP malicioso para crear archivos en
localizaciones arbitrarias del sistema del usuario a través de ataques
de escalada de directorios, induciendo al usuario a descargar un
archivo malicioso.

Cuando se descarga un archivo existen tres formas de indicar dicha
acción, sin embargo sólo dos se ven afectados por este fallo: con
"botón-derecho" y "salvar-como" o arrastrando el fichero a la
localización deseada. Si la descarga se inicia con un doble-click no se
ve afectada por la vulnerabilidad.

La vulnerabilidad ha sido confirmada en sistemas totalmente parcheados
con Internet Explorer 6.0 y Microsoft Windows 2000 SP4 / XP SP1, sin
embargo no afecta en los sistemas Windows XP con SP2.


Antonio Ropero
antonior@hispasec.com


Más información:

7a69Adv#17 - Ineternet Explorer FTP download path disclosure
http://www.7a69ezine.org/node/view/176

domingo, 2 de enero de 2005

Desbordamiento de búfer en Kpdf versiones 3.2 hasta 3.2.3 y 3.3.x

El visualizador de documentos pdf que incluye KDE se ve afectado por
un problema de seguridad por el que un atacante remoto puede ocasionar
un desbordamiento de búfer en los sistemas afectados.

Xpdf es un visor PDF que funciona bajo X en plataformas UNIX, VMS y
OS/2. KDE es un entorno de escritorio gráfico e infraestructura de
desarrollo para sistemas Unix y Linux. La versión estable más reciente
de KDE en estos momentos es la 3.3.2 publicada el 8 de diciembre de
2004.

El problema en cuestión está relacionado con una vulnerabilidad dada
a conocer este mismo mes y que afecta a xpdf 3.0 y anteriores, con el
que comparte código y funciones Kpdf.

Para conseguir explotar esta vulnerabilidad el atacante deberá crear
un documento pdf manualmente que se encargue de aprovechar el fallo
y posteriormente convencer de que el usuario víctima lo ejecute.

En estos momentos existen parches que corrigen este problema y que se
pueden descargar en:

KDE 3.2.3 ftp://ftp.kde.org/pub/kde/security_patches:
6f345c4b89f0bc27522f5d62bfd941cd post-3.2.3-kdegraphics-2.diff

KDE 3.3.2 ftp://ftp.kde.org/pub/kde/security_patches:
0ac92868d3b84284e54877e32cde521f post-3.3.2-kdegraphics.diff


Antonio Román
roman@hispasec.com


Más información:

kpdf Buffer Overflow Vulnerability
http://www.securiteam.com/unixfocus/6Z00M2KC0O.html

kpdf Buffer Overflow Vulnerability
http://www.kde.org/info/security/advisory-20041223-1.txt

Multiple Vendor xpdf PDF Viewer Buffer Overflow Vulnerability
http://www.securiteam.com/unixfocus/6U00T0AC0S.html

sábado, 1 de enero de 2005

Desbordamientos de búfer en IBM DB2

Los gestores de bases de datos DB2 de IBM, se ven afectados por dos
problemas de desbordamiento de búfer por los que un atacante podría
llegar a conseguir la ejecución de código en los sistemas afectados.

Los servidores DB2 utilizan la función "rec2xml" para pasar una cadena
a XML. Esta función ve afectada por un problema de desbordamiento de
búfer si el tercer parámetro es excesivamente largo con lo que podría
permitir la ejecución de código en la máquina atacada.

Por otra parte el procedimiento generate_distfile, implementado como
una función en C y exportado por db2dbappext.dll, también es vulnerable
a un desbordamiento de búfer si como tercer parámetro si pasa un nombre
de archivo de 255 bytes de longitud. Al igual que el anterior, este
problema también podría permitir a un atacante lograr la ejecución
de código en los sistemas vulnerables.

Las versiones afectadas por estos problemas de seguridad son las 8.1
y las 7.x, que quedan corregidas con los últimos fixpack publicados
por IBM y disponibles en las siguientes direcciones:

Para DB2 v8.1:
http://www-306.ibm.com/software/data/db2/udb/support/downloadv8.html
Para DB2 v7.x:
http://www-306.ibm.com/software/data/db2/udb/support/downloadv7.html


Antonio Román
roman@hispasec.com


Más información:

IBM DB2 rec2xml Buffer Overflow Vulnerability
http://www.net-security.org/vuln.php?id=3938

IBM DB2 Generate_distfile Buffer Overflow Vulnerability
http://www.net-security.org/vuln.php?id=3939

IBM
http://www.ibm.com