sábado, 30 de abril de 2005

Vulnerabilidades en Lotus Notes y Domino

Se ha anunciado la existencia de diversas vulnerabilidades en Lotus
Notes y en Lotus Domino que afectan de forma local y remota con
diferentes resultados.

Respecto a Lotus Domino, el primero de los problemas reside en el
tratamiento del protocolo Notes (NRPC) y permitirá a usuarios remotos
provocar condiciones de denegación de servicio.

La segunda vulnerabilidad, también en Lotus Domino, se trata de un
error en la validación de entradas y permitirá a un usuario local con
ciertos privilegios construir ataques de desdoblamiento de respuestas
HTTP. Un usuario local con privilegios de instalación de aplicaciones
podrá crear código que llame a la función @SetHTTPHeader para inyectar
contenido arbitrario en las cabeceras HTTP devueltas por el servidor.
El atacante podrá explotar esto para falsificar contenido en el servidor
objetivo, intentar envenenamientos de cualquier cache intermedia, o
construir ataques de cross-site scripting.

Por último, también se ha anunciado un desbordamiento de búfer en el
cliente Lotus Notes que puede ser explotado de forma local mediante
la modificación del archivo "notes.ini". De esta forma un usuario
local podrá provocar la caída del cliente Notes.

IBM ha publicado actualizaciones para Lotus Notes y Domino 6.0.5 y 6.5.4.


Antonio Ropero
antonior@hispasec.com


Más información:

Lotus Domino Format String Flaw in Processing NRPC Protocol Lets Remote Users Deny Service
http://securitytracker.com/alerts/2005/Apr/1013842.html

Potential Denial of Service Vulnerability During Notes Authentication
http://www-1.ibm.com/support/docview.wss?rs=463&uid=swg21202525

Lotus Domino @SetHTTPHeader Permits HTTP Response Splitting Attacks
http://securitytracker.com/alerts/2005/Apr/1013839.html

CERT VU#699798 - Lotus Domino allows HTTP header injection
http://www-1.ibm.com/support/docview.wss?rs=463&uid=swg21202437

Potential Denial of Service Vulnerability in Notes Client
http://www-1.ibm.com/support/docview.wss?rs=463&uid=swg21202526

Lotus Notes Can Be Crashed By Local Users Via the 'notes.ini' File
http://securitytracker.com/alerts/2005/Apr/1013841.html

viernes, 29 de abril de 2005

Vulnerabilidad cross site scripting en BEA WebLogic 8.1

Se ha descubierto una vulnerabilidad en la consola de administración
de BEA WebLogic 8.1 que permitiría a un usuario malicioso realizar
ataques de tipo cross site scripting.

La función 'JndiFramesetAction' no valida de forma adecuada las
entradas del parámetro, por lo que un usuario remoto puede crear
una URL maliciosa que, una vez cargada por una víctima con perfil
de administrador, provocaría la ejecución de código script en su
navegador. El código se originaría desde el software de administración
de consola de Weblogic y se ejecutaría en el contexto de seguridad
de dicho sitio, con lo que el código podría acceder a las cookies
(incluyendo las de autenticación) y a información recientemente
enviada, además de poder realizar acciones en el sitio haciéndose
pasar por la víctima.

De momento BEA no ha publicado parches que corrijan este problema,
por lo que se recomienda filtrar las entradas que llegan a dicha
aplicación.


Julio Canto
jcanto@hispasec.com


Más información:

BEA WebLogic Administration Console Input Validation Hole in 'JndiFramesetAction' Permits Cross-Site Scripting Attacks
http://www.securitytracker.com/alerts/2005/Apr/1013829.html


jueves, 28 de abril de 2005

Vulnerabilidad en Adobe Acrobat Reader 6.0

Se ha descubierto una vulnerabilidad en la versión 6.0 y anteriores de
Adobe Acrobat Reader que podría ser explotada por atacantes para
ejecutar código arbitrario en la máquina de la víctima.

Adobe Acrobat reader es un software de uso muy extendido y popular,
utilizado para la visualización e impresión de documentos en formato PDF
(Portable Document Format).

El problema se debe a que un usuario malicioso remoto puede crear un
archivo PDF especialmente formado a tal efecto que, una vez cargado
por la víctima, provocará un error Invalid-ID-Handle-Error en
'AcroRd32.exe', lo que podría ser aprovechado para escribir ciertas
partes de memoria y ejecutar así código arbitrario.



Antonio Román
roman@hispasec.com


Más información:

Vulnerability in Adobe Acrobat Reader 6.0:
http://www.alphahackers.com/advisories/acrobat6.txt

Acrobat Reader Invalid-ID-Handle-Error Buffer Overflow May Let Remote Users
Execute Arbitrary Code
http://www.securitytracker.com/alerts/2005/Apr/1013774.html

Adobe Systems Incorporated
http://www.adobe.es

miércoles, 27 de abril de 2005

Repercusión de la actualización defectuosa de Trend Micro

Como informamos anteriormente, una actualización del patrón de firmas
de Trend Micro distribuida el pasado viernes causó que sistemas que
utilizan su antivirus se bloquearan por completo. Varios días después
del incidente ya se han publicado algunos datos sobre su repercusión.

Según datos estimados, ofrecidos por la propia central de Trend Micro,
más de 4.500 ordenadores se bloquearon, 652 compañías se han visto
afectadas por el problema, y su servicio de soporte ha recibido más
de 370.000 llamadas telefónicas en relación a la actualización
defectuosa.

Respecto a los detalles técnicos, el lunes Trend Micro ofreció más
información, además de reconocer que cometieron un doble error. Por
un lado a la hora de programar una rutina de descompresión que se
incluía en la actualización, y por otro lado en la ausencia de las
pertinentes pruebas de control que se deben realizar antes de su
publicación, precisamente para detectar este tipo de problemas.

En relación a los sistemas afectados, la lista se amplía:

Trend Micro Scan Engine 7.500 o superior
OfficeScan versiones 5.58 hasta la 7.0 en Windows XP SP2
OfficeScan versiones 6.5 hasta la 7.0 en Windows 2003 SP1
ServerProtect parar NT 5.58 en Windows 2000 SP4
ServerProtect for NT 5.58 Normal Server on Windows 2003 SP1
Client/Server/Messaging Suite 2.0 para SMB
Client/Server Suite 2.0 para SMB
PC-cillin (VirusBuster)
PC-cillin (VirusBuster) 2002 (PCC 9) en Windows ME y Windows XP SP2
PC-cillin (VirusBuster) 2003 (PCC 10) en Windows ME y Windows XP SP2
PC-cillin Internet Security (VirusBuster) 2004 (PCC 11) en Windows ME y Windows XP SP2
PC-cillin Internet Security (VirusBuster) 2005 en Windows XP SP2

Aunque la incidencia ha sido global, ha golpeado especialmente a
Japón, donde Trend Micro mantiene una mayor cuota de mercado. La
compañía de ferrocarriles y metro, hospitales, y varios medios de
comunicación, son algunos de los ejemplos de redes afectadas que han
salido a la luz pública.

Además de las críticas que pueden leerse por Internet, tanto de
profesionales corporativos como clientes particulares, y del daño
global a su imagen de marca, se especula sobre la repercusión directa
en las cuentas de Trend Micro. Aunque habrá que esperar para conocer
el impacto real, ya se ha observado que el incidente ha acentuado la
tendencia a la baja que las acciones de la compañía arrastraban desde
principios de año.

Dejando un lado el caso concreto de Trend Micro, supongo que el
incidente habrá hecho reflexionar al resto de casas antivirus sobre
las actualizaciones de sus productos. Ya no sólo al hecho de los
controles de calidad que deben pasar antes de su publicación, sino
a otros riesgos que acechan a este tipo de esquemas.

Imaginemos por un momento una actualización maliciosa, colocada por
un atacante que haya podido introducirse en sus servidores. En
cuestión de minutos ese código malicioso sería descargado por miles
y miles de sistemas. Evidentemente hay formas de mitigar este tipo
de ataques, por ejemplo utilizando criptografía de llave pública.
Pero, a día de hoy, ¿cuantos productos antivirus incluyen
comprobación de firma digital antes de instalar las actualizaciones?

Por el lado de los clientes también cabe alguna que otra reflexión.
Según publican, a la pregunta de si piensan compensar a los clientes
tanto corporativos como particulares por los daños ocasionados,
Trend Micro, dentro de lo previsible, ha contestado que no lo tienen
planeado.

¿Hasta que punto somos dependientes de un fallo de software?, y
sin embargo, ¿por qué somos tan poco exigentes?.

¿Se han leído alguna vez al completo la licencia de cualquier
producto de software?, algo que aceptamos automáticamente al
instalarlo en nuestros sistemas. Más o menos podemos encontrar
algo similar:

Se considera que acepta el Software. El Software se suministra
TAL CUAL sin garantías. En la medida permitida por la ley, "X"
rechaza toda posible garantía, incluyendo las concernientes a
la calidad, seguridad o utilidad del software. "X" no hace
representaciones o garantías en cuando a lo verídico, la
exactitud o lo completo de ningún estatuto, información o
material concerniente al software, En ningún caso podrá "X"
ser responsable por ningún daño indirecto, punitivo, especial
incidental o consecuencial.

En definitiva, firmamos un documento en blanco, aceptamos que
el programa, llegado el caso, nos formatee el disco duro.

Por otro lado, no se de que me extraño, al fin y al cabo la
mayoría de la gente ha aceptado como normal que de vez en
cuando el sistema le de un pantallazo azul, que si algo falla
la solución sea reiniciar, o que es normal que cada cierto
tiempo haya que formatear el sistema para "limpiarlo".

¿Debemos exigir más a la informática?

¿O no queda más remedio que aceptarla tal cual?


Bernardo Quintero
bernardo@hispasec.com


Más información:

Pattern File 2.594.00 may cause high CPU utilization
http://www.trendmicro.com/en/support/pattern594/overview.htm

Trend Micro: No Compensation for Faulty Update
http://www.pcworld.com/news/article/0,aid,120577,00.asp

Bug in antivirus software hits LANs at JR East, some media
http://www.japantimes.com/cgi-bin/getarticle.pl5?nn20050424a2.htm

Trend Micro antivirus fix wasn't tested before release
http://www.asahi.com/english/Herald-asahi/TKY200504260127.html

Actualización de TrendMicro bloquea los sistemas de sus clientes
http://www.hispasec.com/unaaldia/2375/

martes, 26 de abril de 2005

Dos problemas de seguridad en FreeBSD

Las versiones no actualizadas de FreeBSD contienen dos vulnerabilidades
que comprometen la estabilidad del sistema y la confidencialidad de los
datos contenidos en él.

FreeBSD es un sistema operativo OpenSource gratuito y de alta calidad,
perteneciente a la familia *BSD, como NetBSD u OpenBSD.

Los sistemas FreeBSD sin actualizar se ven afectadas por dos problemas
de seguridad que ponen en peligro la estabilidad del sistema, e
incluso llegan a permitir el acceso a memoria privilegiada.

La primera vulnerabilidad es explotable en arquitecturas amd64 y
permite el acceso no controlado a los dispositivos hardware. Ello
facilita desde bloquear la máquina, al acceso incontrolado a la
información contenida en los diferentes dispositivos del ordenador,
pasando por la alteración o destrucción de dichos datos e, incluso,
hasta dañar físicamente el hardware.

La segunda vulnerabilidad, que afecta a todas las arquitecturas, permite
que cualquier usuario del sistema acceda a memoria kernel y obtenga,
potencialmente, acceso a datos sensibles. El problema radica en la
gestión de la función "sendfile()" del kernel ante truncamientos del
fichero a transmitir.

Para solucionar estas vulnerabilidades, Hispasec recomienda actualizar
los sistemas FreeBSD a versiones posteriores al 6 de Abril de 2005.


Jesús Cea Avión
jcea@hispasec.com


Más información:

sendfile kernel memory disclosure
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-05:02.sendfile.asc

unprivileged hardware access on amd64
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-05:03.amd64.asc

lunes, 25 de abril de 2005

Actualización de TrendMicro bloquea los sistemas de sus clientes

Una actualización del patrón de firmas de TrendMicro causó que
sistemas que utilizan su antivirus se bloquearan por completo. En
un primer momento muchos administradores de sistemas creyeron que
se trataba de algún tipo de virus que estaba afectando a sus redes.

La voz de alarma comenzó en foros y listas de correos. Administradores
de sistemas contaban como muchas estaciones de trabajo de sus redes
corporativas se encontraban totalmente bloqueadas, con un consumo de
CPU al 100% que impedía trabajar con ellas.

Tras unos primeros momentos de confusión, donde se especulaba sobre
un posible nuevo virus o gusano, al final se logró encontrar un punto
en común. Todos los sistemas afectados utilizaban un motor antivirus
de TrendMicro.

En efecto el problema había sido ocasionado por la actualización del
patrón de firmas 594 publicado por TrendMicro el pasado viernes
22 de abril. La compañía antivirus asegura que dicha actualización
fue retirada en apenas 1 hora y media tras ser publicada y
reemplazada de inmediato por un nuevo patrón de firmas que corregía
el problema. Sin embargo la solución no fue automática.

En muchos casos los sistemas bloqueados tenían tal consumo de recursos
que impedía al propio sistema de actualización de TrendMicro que
descargara e instalara el nuevo patrón de firmas que corregía el
problema. Por ello se hizo necesario una actuación manual que pasaba
por iniciar Windows en modo seguro, borrar el archivo de actualización
594, reiniciar el sistema, y asegurarse de que se actualizaba con el
patrón de firmas 596 o superior.

Si bien en los foros se comentó que el bloqueo afectaba tanto a
sistemas Windows 2000 como Windows XP y a diversos productos de Trend,
en el sitio de soporte de TrendMicro se documenta que los problemas se
localizaron en sus productos PC-cillin Internet Security 2005 y
OfficeScan Corporate Edition (OSCE) instalados en sistemas Windows XP
con SP2.

Sobra recodar que los laboratorios antivirus deben poner especial
énfasis en dotar de estrictos controles de calidad a las
actualizaciones antes de ser publicadas, para asegurar su
compatibilidad y buen funcionamiento en diferentes configuraciones.
De lo contrario la solución puede convertirse en el problema, como
ha ocurrido en este caso.


Bernardo Quintero
bernardo@hispasec.com


Más información:

Windows XP Service Pack 2 machines with critical patches and
PC-cillin Internet Security 2005 starts to experience high CPU
utilization after updating to Pattern 594
http://kb.trendmicro.com/solutions/search/main/search/solutionDetail.asp?solutionId=24264

Windows XP Service Pack 2 machines with critical patches and
OfficeScan Corporate Edition (OSCE) starts to experience high CPU
utilization after updating to Pattern 594
http://kb.trendmicro.com/solutions/search/main/search/solutionDetail.asp?solutionId=24263

domingo, 24 de abril de 2005

Dos nuevas actualizaciones de seguridad para Mac OS X

Apple ha publicado dos actualizaciones de seguridad para su sistema
operativo Mac OS X, con objeto de solucionar diversas vulnerabilidades.

Mac OS X es el último sistema operativo nativo de la compañía Apple,
que proporciona un entorno moderno y de calidad para plataformas
PowerPC.

Las dos actualizaciones son:

* Mac OS X 10.3.9:

Esta nueva versión del sistema operativo soluciona varios problemas de
seguridad:

* Una validación incorrecta en los parámetros de varias llamadas al
sistema pueden ocasionar la caída de la máquina, con un "Kernel Panic".

* Se elimina la posibilidad de ejecutar "scripts" SUID/SGID, lo que
permitía volar la seguridad del sistema.

* Un desbordamiento de pila en la función "semop()" del kernel permite
que un usuario local obtenga privilegios de administrador o "root".

* Un desbordamiento entero en la función "searchfs()" del kernel permite
que un usuario local ejecute código arbitrario con privilegios de
administrador o "root".

* Una gestión incorrecta en la función "setsockopt()" del kernel
permite que cualquier usuario local consuma toda la memoria de la
máquina, provocando la caída del sistema.

* La gestión incorrecta de ejecutables inválidos permite que un
atacante local pueda bloquear el sistema durante unos instantes. Los
intentos de ejecución repetida de los mismos pueden ocasionar la
indisponibilidad de la máquina.

* El navegador web "Safari", distribuido con Mac OS X, permite que
páginas web maliciosas ejecuten código JavaScript con privilegios locales.

Con posterioridad, Apple ha anunciado también la publicación de una
actualización de seguridad ("APPLE-SA-2005-04-19") para iSync. La
actualización soluciona un desbordamiento de búffer en el componente
"mRouter" de iSync, que permite que cualquier usuario local obtenga
privilegios de administrador o "root".


Jesús Cea Avión
jcea@hispasec.com


Más información:

Apple security updates
http://docs.info.apple.com/article.html?artnum=61798

Apple Downloads
http://www.apple.com/support/downloads/

sábado, 23 de abril de 2005

Nueva actualización de seguridad de Firefox

La fundación Mozilla ha publicado la versión 1.0.3 de su navegador web
Firefox, con la que soluciona varios problemas de seguridad.

Mozilla es un entorno de código abierto multiplataforma, de gran
calidad, nacido a partir de una iniciativa de Netscape. Firefox es el
componente navegador web del proyecto Mozilla, un producto de calidad
y popularidad creciente, con más de 25 millones de descargas.

Se acaba de publicar la versión 1.0.3 de Firefox, con la que se
solucionan los siguientes problemas de seguridad:

* Debido a un bug de programación del intérprete de JavaScript del
navegador, un script puede llegar a acceder a memoria interna del
navegador web, y revelar posiblemente información potencialmente
sensible.

* Un error en la gestión de "PLUGINSPAGE" cuando no tenemos instalado
el "plugin" correspondiente permite ejecutar código JavaScript con
privilegios locales.

* Si el usuario tiene filtrados los "popups", pero decide activar uno
puntualmente de forma manual, y dicho "Popup" contiene código
JavaScript, éste se ejecutará con privilegios locales.

* Una página web maliciosa puede instalar código JavaScript que será
ejecutado en el contexto de la próxima página cargada. Esto puede
utilizarse para acceder a información sensible (claves, "cookies") o
realizar operaciones maliciosas sobre dicha web, con las credenciales
del usuario.

* Una página web maliciosa puede ejecutar código JavaScript con
privilegios locales, a través de enlaces "favicon" (los pequeños iconos
en la barra y en la libreta de direcciones ).

* Un código JavaScript malicioso, instalado como "plugin" de búsqueda,
puede ejecutarse con los privilegios de la página cargada cuando se
realiza la búsqueda. Ello permite acceder a los datos de su contexto
(por ejemplo, "cookies"), filtrar información confidencial o realizar
operaciones maliciosas con las credenciales del usuario.

* Dos fallos de seguridad permiten que una página maliciosa ejecute
código con privilegios locales, a través de la modificación en tiempo
de ejecución de páginas privilegiadas (por ejemplo, "about:config").

* Los objetos que gestionan la instalación de extensiones aceptaban
objetos arbitrarios incorrectamente. Eso podría permitir la ejecución
de código arbitrario, en el peor de los casos.

* La sobreescritura de objetos DOM privilegiados en memoria puede
permitir la ejecución de código JavaScript con privilegios elevados.

Hispasec recomienda a todos los usuarios de Firefox que actualicen a
la versión 1.0.3.

Es de destacar la premura con la que la fundación Mozilla soluciona
los problemas de seguridad que le son comunicados. Y es de destacar,
también, que sigan manteniendo los "boletines Mozilla" para los
informes de fallos de seguridad de sus productos.


Jesús Cea Avión
jcea@hispasec.com


Más información:

Javascript "lambda" replace exposes memory contents
http://www.mozilla.org/security/announce/mfsa2005-33.html

PLUGINSPAGE privileged javascript execution
http://www.mozilla.org/security/announce/mfsa2005-34.html

Showing blocked javascript: popup uses wrong privilege context
http://www.mozilla.org/security/announce/mfsa2005-35.html

Cross-site Scripting through global scope pollution
http://www.mozilla.org/security/announce/mfsa2005-36.html

Code execution through javascript: favicons
http://www.mozilla.org/security/announce/mfsa2005-37.html

Search plugin cross-site scripting
http://www.mozilla.org/security/announce/mfsa2005-38.html

Arbitrary code execution from Firefox sidebar panel II
http://www.mozilla.org/security/announce/mfsa2005-39.html

Missing Install object instance checks
http://www.mozilla.org/security/announce/mfsa2005-40.html

Privilege escalation via DOM property overrides
http://www.mozilla.org/security/announce/mfsa2005-41.html

Mozilla Firefox JavaScript Engine Information Disclosure Vulnerability
http://secunia.com/advisories/14820/

Fixed in Firefox 1.0.3
http://www.mozilla.org/projects/security/known-vulnerabilities.html#Firefox

Firefox 1.0.3 and Mozilla Suite 1.7 Released
http://it.slashdot.org/article.pl?sid=05/04/16/054234

Mozilla Firefox 1.0.3 Release Notes
http://www.mozilla.org/products/firefox/releases/1.0.3.html

Firefox
http://www.mozilla.org/products/firefox/

viernes, 22 de abril de 2005

Parche de seguridad crítico para OpenOffice

El parche corrige un desbordamiento de buffer en el procesamiento de
documentos (.doc) que permite la ejecución de código arbitrario. Dada
la gravedad del problema, y que los detalles de la explotación se han
hecho públicos, se recomienda a todos los usuarios de OpenOffice
actualicen de forma urgente.

La vulnerabilidad afecta a OpenOffice 1.1.4 y versiones anteriores
en todas las plataformas, incluyendo Linux, Solaris, Windows y
Mac OS X.

El parche publicado está destinado a corregir el problema en la
versión 1.1.4, por lo que los usuarios de versiones anteriores deberán
en primer lugar actualizar a OpenOffice 1.1.4 y a continuación instalar
el mencionado parche.

Todos los detalles de la vulnerabilidad en la dirección
http://www.openoffice.org/issues/show_bug.cgi?id=46388

Instrucciones sobre la descarga e instalación del parche se encuentran
disponibles en http://download.openoffice.org/1.1.4/security_patch.html


Bernardo Quintero
bernardo@hispasec.com



jueves, 21 de abril de 2005

Virus y móviles, una tendencia al alza

Aunque aun son testimoniales, el número de nuevos virus, troyanos y
gusanos para dispositivos móviles va en claro aumento. De momento
no dejan de ser pruebas de concepto, con un poder de propagación
limitado, pero es un indicador claro de que estamos viviendo los
inicios de una nueva etapa/plataforma para el malware.

Lo que comenzó como una anécdota a mediados del pasado año, con
la aparición de Cabir, un gusano para Symbian que se propagaba
a través de Bluetooth, empieza a ser ya una constante este año con
la aparición de un nuevo espécimen o variantes prácticamente todos
los meses. En cualquier caso aun siguen siendo básicamente muestras
de laboratorio, con escasa incidencia en el mundo real, y con una
producción ínfima en comparación con la aparición de malware para
PCs.

Básicamente, hasta la fecha, la mayoría del malware destinado a
móviles se ha desarrollado para Symbian, no en vano es la plataforma
dominante con más del 90% del mercado, con Nokia como principal
"culpable" de ese dominio.

En cuanto a la tipología del malware, a principios de año apareció
Lasco, un virus capaz de infectar a otros ejecutables SIS del
dispositivo. El resto se puede dividir en dos grandes grupos, por
un lado tenemos a los troyanos que se hacen pasar por aplicaciones
legítimas y que incluyen algún código malicioso, normalmente
desactivando alguna de las funcionalidades de los móviles, y por
otro lado a los gusanos que intentan propagarse a través de
Bluetooth.

La propia tecnología Bluetooth ya supone una traba para las
propagaciones masivas, debido a que el alcance de la conexión
inalámbrica no supera los 10 metros. Es como si un gusano infectara
un PC en la oficina y sólo pudiera afectar a otros ordenadores que
estén a la escucha en un radio de 10 metros.

Si bien en el caso de los móviles ayuda el hecho de que no permanecen
fijos en una ubicación, sino que se trasladan con su dueño, este tipo
de estrategia queda lejos de la potencia de propagación que tiene
un gusano típico de Internet. Por ejemplo, a través del e-mail, puede
llegar a un parque potencial de millones de máquinas en cuestión de
minutos.

Sin embargo el pasado mes de marzo ya tuvimos un toque de atención
con la aparición de Comwar, un gusano que, además de propagarse por
Bluetooth, se enviaba a toda la lista de contactos del móvil
infectado a través de mensajes multimedia (MMS), con una estrategia
muy similar a la de los típicos gusanos de Internet por e-mail.

Afortunadamente el incidente no pasó a mayores, pero todos los
indicios apuntan a que la cuenta atrás ha comenzado en este nuevo
campo de batalla, y que la amenaza de una infección masiva empieza
a contemplarse como una posibilidad a medio plazo.


Bernardo Quintero
bernardo@hispasec.com



miércoles, 20 de abril de 2005

Ejecución de código por seleccionar un archivo en Windows 2000

Se ha descubierto una vulnerabilidad en el Explorador de Windows de
los sistemas Windows 2000 que puede ser explotada para ejecutar código
script arbitrario al seleccionar un archivo malicioso.

La vulnerabilidad se localiza concretamente en la librería 'webvw.dll'
y puede ser explotada por un usuario malicioso para ejecutar código
script arbitrario. El atacante deberá construir un archivo especialmente
creado para sus pretensiones y conseguir que la víctima lo seleccione en
el explorador (no es necesaria la ejecución propiamente dicha). Para que
dicha ejecución tenga efecto, la víctima tiene que tener activa la
visualización de contenido web en las carpetas (opción activa por
defecto en los sistemas Windows 2000).

En este caso la gravedad de la vulnerabilidad radica en que no es
necesaria la ejecución del archivo malicioso para que el atacante
logre sus objetivos, bastará con seleccionar el archivo para que
se explote la vulnerabilidad.

Se recomienda precaución debido a que no hay parche oficial y existen
varios ejemplos a modo de prueba de concepto que muestran los efectos
de la vulnerabilidad.

Como contramedida, se recomienda desactivar la visualización de
contenido web en las carpetas (Herramientas -> Opciones de Carpeta ->
Carpetas Clásicas de Windows).


Antonio Ropero
antonior@hispasec.com


Más información:

File Selection May Lead to Command Execution
http://www.greymagic.com/security/advisories/gm015-ie/

martes, 19 de abril de 2005

Desbordamiento de búfer en RealPlayer Enterprise

Se ha descubierto una vulnerabilidad en RealPlayer Enterprise
(versiones 1.1, 1.2, 1.5, 1.6 y 1.7) a la hora de procesar archivos
RAM que puede ser explotada por usuarios maliciosos para comprometer
un sistema afectado.

RealPlayer es un popular reproductor multimedia de la compañía Real
Networks (la versión Enterprise es configurable, diseñada y optimizada
para su implantación en entornos empresariales).

Los archivos RAM (archivo de metadatos propio de estos productos de
Real Networks) contienen información para que los datos de streaming
recibidos por el navegador se pasen adecuadamente a RealPlayer.

La vulnerabilidad detectada se debe a un error en el tratamiento de
tamaños de variables localizado en la librería pnen3260.dll y que se
da a la hora de procesar archivos RAM. Esta circunstancia puede
explotarse para provocar un desbordamiento de búfer construyendo a
tal efecto un archivo de este tipo y haciendo que la víctima lo
intente reproducir, lo que llevaría a la ejecución de código
arbitrario.

La compañía recomienda instalar una versión actualizada de la DLL
afectada, disponible en la siguiente dirección:
http://docs.real.com/docs/pnen3260.dll


Julio Canto
jcanto@hispasec.com


Más información:

Security Patch Update For Realplayer Enterprise
http://www.service.real.com/help/faq/security/security041905.html

lunes, 18 de abril de 2005

Cross-Site Scripting en RSA Authentication Agent for Web para IIS 5.2

Se ha descubierto una vulnerabilidad en RSA Authentication Agent for
Web para IIS 5.2 que puede ser explotada por usuarios maliciosos
para realizar ataques de tipo cross site scripting.

El problema se debe a que las entradas recibidas en el parámetro
'postdata' en '/WebID/IISWebAgentIF.dll' no es filtrada adecuadamente
antes de ser devuelta a los usuarios, por lo que se puede ejecutar
código HTML y script arbitrario en la sesión de un usuario en el
contexto de seguridad del sitio vulnerable.

Si bien la vulnerabilidad ha sido confirmada en la versión 5.2 de este
software, no se descarta que versiones anteriores se vean también
afectadas. Se recomienda la actualización a la versión 5.3 que se
puede bajar desde el sitio de la RSA, en la dirección:

http://www.rsasecurity.com/node.asp?id=2807&node_id=

Plataformas afectadas:
Microsoft: Microsoft IIS 5.0
Microsoft: Microsoft IIS 6.0
Microsoft: Windows 2000 SP4
Microsoft: Windows Server 2003
Microsoft: Windows Server 2003 Enterprise Edition
Microsoft: Windows Server 2003 Standard Edition
RSA Security: RSA Authentication Agent for Web 5.2


Antonio Román
roman@hispasec.com


Más información:

RSA Authentication Agent for Web - IISWebAgentIF.dll - Cross Site Scripting
Vulnerability
http://www.oliverkarow.de/research/rsaxss.txt

RSA Authentication Agent for Web for IIS Input Validation Bug Lets Remote
Users Conduct Cross-Site Scripting Attacks
http://www.securitytracker.com/alerts/2005/Apr/1013724.html

RSA Authentication Agent postdata parameter cross-site scripting
http://xforce.iss.net/xforce/xfdb/20098

RSA Authentication Agent 5.2 for Web
http://www.rsasecurity.com/node.asp?id=1176&node_id=

domingo, 17 de abril de 2005

Actualización de seguridad acumulativa para Internet Explorer

Dentro del conjunto de boletines de seguridad de abril publicado
por Microsoft se incluye una actualización acumulativa para Internet
Explorer debido a que se han detectado vulnerabilidades que podrían
ser explotadas por atacantes para conseguir el control total del
sistema afectado.

Se ha detectado una vulnerabilidad de ejecución remota de código en
Internet Esplorer debido a la forma en la que trata determinados
objetos DHTML. Un atacante podría explotar esta vulnerabilidad
construyendo una página web maliciosa que al ser visualizada por
la víctima, provocaría dicha ejecución remota de código.

También se ha detectado un problema en IE por la forma en la que trata
ciertas URLs. Un atacante podría crear una web maliciosa que una vez
visualizada por la víctima, provocaría la ejecución remota de código
arbitrario.

Finalmente, se ha descubierto otra vulnerabilidad debido a la forma
en la que trata ciertos archivos Content Advisor. Un atacante podría
crear uno especialmente a tal efecto de tal forma que provocaría la
ejecución remota de código arbitrario si la víctima visita un sitio
web malicioso o visualiza un email y acepta la instalación del
archivo.

Las direcciones para descargar las actualizaciones son las siguientes:

* Internet Explorer 5.01 SP3 en Microsoft Windows 2000 SP3:
http://www.microsoft.com/downloads/details.aspx?FamilyId=6CF45449-03D8-40B8-A4C0-09F413EE8EAB

* Internet Explorer 5.01 SP4 en Microsoft Windows 2000 SP4:
http://www.microsoft.com/downloads/details.aspx?FamilyId=627F8991-7717-4ADE-A5AE-169591B6AAE0

* Internet Explorer 6 SP1 en Microsoft Windows 2000 SP3 y SP4, Windows
XP SP1:
http://www.microsoft.com/downloads/details.aspx?FamilyId=92E5A83D-9131-4B20-915A-A444C51656DC

* Internet Explorer 6 SP1 en Microsoft Windows XP 64-Bit Edition SP1
(Itanium):
http://www.microsoft.com/downloads/details.aspx?FamilyId=87241BC0-E1E9-4EFC-A6EC-5413119D3100

* Internet Explorer 6 para Microsoft Windows Server 2003:
http://www.microsoft.com/downloads/details.aspx?FamilyId=88879B7A-3F4D-40D4-ADFD-4BBD8D4D865F

* Internet Explorer 6 para Microsoft Windows Server 2003 (Itanium),
Windows XP 64-Bit Edition Version 2003 (Itanium):
http://www.microsoft.com/downloads/details.aspx?FamilyId=FF80E80F-862A-4484-BC9D-FE05F966F1F4

* Internet Explorer 6 para Microsoft Windows XP SP2:
http://www.microsoft.com/downloads/details.aspx?FamilyId=974F9611-6352-4F9C-B258-346C317857C5


Julio Canto
jcanto@hispasec.com


Más información:

Boletín de seguridad de Microsoft MS05-020
Actualización de seguridad acumulativa para Internet Explorer
http://www.eu.microsoft.com/spain/technet/seguridad/boletines/MS05-020-IT.mspx

sábado, 16 de abril de 2005

Vulnerabilidades en el Kernel de Windows

Dentro del conjunto de boletines de abril publicado por Microsoft y
del que ya efectuamos un adelanto esta semana, se cuenta el anuncio
(en el boletín MS05-018) de la existencia de cuatro vulnerabilidades
en el núcleo (kernel) de diversos sistemas Windows que pueden permitir
la escalada de privilegios o denegaciones de servicio.

Los problemas afectan a Windows 2000, Windows XP, Windows Server
2003, Windows 98 y Windows Millennium Edition (ME). Las vulnerabilidades
corregidas son los siguientes:

Existe una vulnerabilidad de desbordamiento de búfer en la forma en
Windows procesa determinadas fuentes y que puede permitir la escalada
de privilegios. Esta vulnerabilidad puede permitir a un atacante
autenticado en el sistema tomar el control completo.

El proceso empleado por los sistemas Windows afectados para validar
determinadas peticiones de acceso se ve afectado por otra
vulnerabilidad, que puede dar lugar a que un atacante local eleve
sus privilegios.

Un desbordamiento de búfer en los sistemas afectados puede dar lugar a
un problema de denegación de servicio, provocando que el sistema deje
de responder y su reinicio automático.

Por último, una vulnerabilidad en el proceso empleado por el CSRSS
(Client Server Runtime System) para validar determinados mensajes
puede dar lugar a una escalada de privilegios. CSRSS es la parte que
corresponde al modo de usuario del subsistema Win32, mientras que
Win32.sys es la parte correspondiente al modo del núcleo del subsistema
Win32. El subsistema Win32 debe estar en ejecución en todo momento.
CSRSS es responsable de las ventanas de consola, de crear subprocesos
y de eliminarlos, además de encargarse de algunas partes del entorno
MS-DOS virtual de 16 bits.

Microsoft publica las siguientes actualizaciones:

Microsoft Windows 2000
http://www.microsoft.com/downloads/details.aspx?FamilyId=992C1BF9-A2C0-49D2-9059-A1DAD6703213

Microsoft Windows XP
http://www.microsoft.com/downloads/details.aspx?FamilyId=F0683E2B-8E8F-474F-B8D8-46C4C33FCE99

Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium)
http://www.microsoft.com/downloads/details.aspx?FamilyId=B52F9281-570F-4F7A-8DEF-5AEAB6E8E002

Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium)
http://www.microsoft.com/downloads/details.aspx?FamilyId=C51D6AD5-93BA-4717-A5DB-5CE78F70592E

Microsoft Windows Server 2003
http://www.microsoft.com/downloads/details.aspx?FamilyId=E66332D4-3952-428F-AC62-AC8124F8942A

Microsoft Windows Server 2003 for Itanium-based Systems
http://www.microsoft.com/downloads/details.aspx?FamilyId=C51D6AD5-93BA-4717-A5DB-5CE78F70592E

Microsoft no publica actualizaciones para Windows 98, Windows 98
Second Edition (SE) y Windows Millennium Edition (ME) ya que ninguno de los problemas son considerados de carácter crítico.


Antonio Ropero
antonior@hispasec.com


Más información:

Ocho boletines de seguridad de Microsoft en abril
http://www.hispasec.com/unaaldia/2363

Boletín de Seguridad de Microsoft MS05-018
Vulnerabilidades en el núcleo de Windows que podrían permitir la elevación de privilegios y una denegación de servicio
http://www.eu.microsoft.com/spain/technet/seguridad/boletines/MS05-018-IT.mspx

viernes, 15 de abril de 2005

Múltiples sistemas afectados por denegación de servicio por mensajes ICMP

Se ha publicado un documento que describe como el protocolo ICMP
(Internet Control Message Protocol) puede ser empleado para realizar
ataques de denegación de servicio contra el protocolo TCP. Este
documento se ha distribuido a través de la Internet Engineering Task
Force (IETF), y titulado como "ICMP Attacks Against TCP"
(draft-gont-tcpm-icmp-attacks-03.txt).

Estos ataques, que solo afectan a sesiones que terminan o se originan
en el propio dispositivo y pueden ser de tres tipos:

1. Ataques que usan mensajes ICMP de error fuerte
2. Ataques que usan mensajes ICMP tipo 3 código 4 falsificados
("fragmentación necesaria y sin fragmentar")
3. Ataques que usan mensajes ICMP "Source Quench"

Los ataques exitosos, en función de su tipo, pueden provocar la
pérdida de conexiones o la reducción del rendimiento de las conexiones
existentes.

Se ven afectados un gran número de productos de diversos fabricantes.

Entre otros, Cisco publicó esta semana un aviso en el que informaba
de la forma en que este tipo de ataques afectaba a un gran número
de sus dispositivos.

Se ven afectados todos los productos Cisco que ejecuten cualquier
versión de Cisco IOS y tengan habilitado PMTUD.
Los siguientes dispositivos Cisco IOS o software basedo en Cisco IOS
también son vulnerables:

* Switches Catalyst 4000 y 6000
* Puntos de acceso y bridges Cisco Aironet Wireless LAN
* Catalyst 2900XL, 2900XL-LRE, 3500XL, 2940, 2950, 2950-LRE, 2955 y
2970
* Catalyst 2948G-L3, 3550, 3560, 3750 y 3750-ME
* Communication Media Module (CMM)
* Cisco Optical Network Solutions (ONS)
* Cisco DistributedDirector.

También son vulnerables dispositivos Cisco que no ejecuten IOS como:
* Cisco CRS-1
* Cisco PIX Security Appliance
* Cisco IP Phones
* Cisco Catalyst 6608 Voice Gateway y Cisco 6000 FXS Analog
Interface Module (WS-X6624-FXS)
* Cisco 11000 y 11500 Content Services Switches (CSS).
* Global Site Selector (GSS).
* Cisco ONS products: ONS 15302 and ONS 15305.
* Cisco MDS 9000 Series Multilayer Switches.
* VPN 5000 concentrator.

Cisco ha publicado las actualizaciones necesarias para corregir este
problema.

Según ha confirmado Sun los sistemas Solaris 7, 8, 9 y 10 también se
ven afectados por este tipo de ataques, aunque por el momento no hay
ningún tipo de actualización disponible para evitar el problema.

Los sistemas operativos de Microsoft, (Windows 2000, Windows XP,
Windows Server 2003, Windows 98 y Windows ME) también se ven
afectados. Por ello, dentro de los boletines de seguridad de Microsoft
publicados esta semana, se distribuyo el MS05-019, en el que se informa
sobre este problema y se ofrecen las actualizaciones necesarias para
evitarlos.

Otros sistemas como IBM AIX, los routers Juniper Networks M-series y
T-series o los firewalls Watchward también se ven afectados por esta
vulnerabilidad.


Antonio Ropero
antonior@hispasec.com


Más información:

ICMP attacks against TCP
http://www.ietf.org/internet-drafts/draft-gont-tcpm-icmp-attacks-03.txt

Cisco Security Advisory: Crafted ICMP Messages Can Cause Denial of
Service
http://www.cisco.com/warp/public/707/cisco-sa-20050412-icmp.shtml

NISCC Vulnerability Advisory 532967/NISCC/ICMP
Vulnerability Issues in ICMP packets with TCP payloads
http://www.niscc.gov.uk/niscc/docs/re-20050412-00303.pdf?lang=en

Sun TCP Connections May Experience Performance Degradation If Certain
ICMP Error Messages Are Received
http://sunsolve.sun.com/search/document.do?assetkey=1-26-57746-1

Boletín de seguridad de Microsoft MS05-019
Vulnerabilidades en TCP/IP que podrían permitir la ejecución remota de
código y una denegación de servicio
http://www.eu.microsoft.com/spain/technet/seguridad/boletines/MS05-019-IT.mspx

WatchGuard Firebox ICMP Processing Errors Let Remote Users Deny Service
http://securitytracker.com/alerts/2005/Apr/1013698.html

jueves, 14 de abril de 2005

Oracle corrige 75 vulnerabilidades con su actualización trimestral

Oracle ha publicado su paquete de actualización crítica trimestral para
cubrir múltiples vulnerabilidades de seguridad. En esta ocasión hasta
un total de 75 problemas diferentes, aunque algunos afectan a diversas
familias de productos.

Como ya anunciamos anteriormente, Oracle cambió su política de
publicación de actualizaciones para realizarlas de forma trimestral.
Coincidiendo con la distribución de parches de Microsoft de ayer,
Oracle también publicó un macro-parche para cubrir hasta un total de 75
vulnerabilidades de muy diversa índole.

Como en anteriores ocasiones, Oracle no ha facilitado detalles sobre
los problemas corregidos, aunque sí se puede desprender que muchos de
ellos pueden permitir el acceso total de forma sencilla a los
servidores afectados, comprometiendo la confidencialidad, integridad y
disponibilidad de los datos.

Las versiones de los productos afectados son las siguientes:
* Oracle Database 10g Release 1, versiones 10.1.0.2, 10.1.0.3, 10.1.0.3.1
y 10.1.0.4
* Oracle9i Database Server Release 2, versiones 9.2.0.5, 9.2.0.6
* Oracle9i Database Server Release 1, versiones 9.0.1.4, 9.0.1.5 y 9.0.4
* Oracle8i Database Server Release 3, versión 8.1.7.4
* Oracle Application Server 10g Release 2 (10.1.2)
* Oracle Application Server 10g (9.0.4), versiones 9.0.4.0, 9.0.4.1
* Oracle9i Application Server Release 2, versiones 9.0.2.3, 9.0.3.1
* Oracle9i Application Server Release 1, versión 1.0.2.2
* Oracle Collaboration Suite Release 2, versiones 9.0.4.1, 9.0.4.2
* Oracle E-Business Suite and Applications Release 11i, versiones
11.5.0 a 11.5.10
* Oracle E-Business Suite and Applications Release 11.0
* Oracle Enterprise Manager Grid Control 10g, versiones 10.1.0.2 y
10.1.0.3
* Oracle Enterprise Manager versions 9.0.4.0, 9.0.4.1
* PeopleSoft EnterpriseOne Applications, versiones 8.9 SP2 y 8.93
* PeopleSoft OneWorldXe/ERP8 Applications, versiones SP22 y superiores

Lo que sí queda confirmado por parte de Oracle, es la fecha de las
próximas publicaciones de estos macro-parches, que para el 2005 son el
12 de julio y el 18 de octubre. Es decir, se publican de forma
estratégica los segundos martes de los meses enero, abril, julio y
octubre, coincidiendo con los boletines de seguridad de Microsoft. De
esta forma, Oracle consigue disimular en muchos medios los fallos de
sus productos, ya que cualquier posible anuncio queda acallado por las
noticias de los parches de Microsoft a los que se da mayor relevancia.

Sin embargo, hay que señalar que a pesar de haber corregido 75
vulnerabilidades en esta actualización, aun existen un elevado número
de problemas conocidos, que podrían superar la centena y que no han
sido corregidos en este parche, incluyendo vulnerabilidades de
inyección SQL y desbordamientos de búfer. Según la política de Oracle,
habrá que esperar al mes de julio para una nueva actualización.

La información para la descarga de esta actualización se encuentra
disponible en:
http://metalink.oracle.com/metalink/plsql/showdoc?db=Not&id=301040.1


Antonio Ropero
antonior@hispasec.com


Más información:

Oracle publicará sus parches de forma trimestral
http://www.hispasec.com/unaaldia/2217

Critical Patch Update - April 2005
http://www.oracle.com/technology/deploy/security/pdf/cpuapr2005.pdf

Oracle releases patches, but not for many known flaws
http://searchsecurity.techtarget.com/originalContent/0,289142,sid14_gci1079301,00.html?track=NL-102&ad=510752

miércoles, 13 de abril de 2005

Ocho boletines de seguridad de Microsoft en abril

Como cada segundo martes, y después del vacío de marzo, Microsoft ha
publicado los boletines de seguridad. Este mes se han publicado ocho
nuevos boletines (MS05-016 al MS05-023) y el relanzamiento de otro dos
(MS05-002 y MS05-009). Entre los nuevos boletines, según la propia
clasificación de Microsoft, hay cinco que presentan un nivel de
gravedad "crítico" y tres de nivel "importante".

Es por tanto, importante conocer la existencia de estas
actualizaciones, evaluar el impacto de los problemas y aplicar
las actualizaciones en la mayor brevedad posible. Este es un boletín
de urgencia en el que describimos superficialmente cada uno de los
nuevos boletines de seguridad de Microsoft. En los próximos días
publicaremos otros boletines donde analizaremos más detalladamente
las actualizaciones más importantes.

Los boletines afectan principalmente a diversos componentes de los
sistemas operativos Microsoft Windows, incluyendo Windows XP Service
Pack 2. También afectan a diferentes versiones de Exchange Server, MSN
Messenger, Word e Internet Explorer.

* MS05-016: Destinado a solucionar una vulnerabilidad en el shell de
Windows que podría permitir la ejecución remota de código y que podría
permitir a un atacante remoto tomar el control de los sistemas
afectados.
Según la calificación de Microsoft está calificado como "importante".
Afecta a Windows 2000, Windows XP (incluido SP2), Windows XP 64-Bit
Edition SP1 y 2003 (Itanium), Windows Server 2003, Windows 98, Windows
98 SE y Windows ME.

* MS05-017: Soluciona una vulnerabilidad en la cola de mensajes podría
permitir la ejecución remota de código. El problema reside en Message
Queuing (MSMQ) y podría permitir a un intruso tomar el control de un
sistema afectado.
Está calificado como "importante".
Afecta a Windows 2000, Windows XP, Windows 98 y Windows 98 SE.

* MS05-018: En este boletín se presentan cuatro vulnerabilidades en el
núcleo de Windows podrían permitir la elevación de privilegios y una
denegación de servicio.
Según la calificación de Microsoft recibe el nivel de "importante".
Afecta a Windows 2000, Windows XP (incluido SP2), Windows XP 64-Bit
Edition SP1 y 2003 (Itanium), Windows Server 2003, Windows 98, Windows
98 SE y Windows ME.

* MS05-019: Corrige cinco vulnerabilidades en TCP/IP que podrían
permitir la ejecución remota de código y una denegación de servicio.
Recibe una calificación de "crítico".
Afecta a Windows 2000, Windows XP (incluido SP2), Windows XP 64-Bit
Edition SP1 y 2003 (Itanium), Windows Server 2003, Windows 98, Windows
98 SE y Windows ME.

* MS05-020: En este boletín se presenta una actualización de seguridad
acumulativa para Internet Explorer. Además de corregir tres nuevas
vulnerabilidades en el navegador de Microsoft que incluso podrían
permitir a un intruso tomar el control de los sistemas afectados.
Está calificado como "crítico".
Afecta a Windows 2000, Windows XP (incluido SP2), Windows XP 64-Bit
Edition SP1 y 2003 (Itanium), Windows Server 2003, Windows 98, Windows
98 SE y Windows ME.

* MS05-021: Soluciona una vulnerabilidad en Exchange Server que podría
permitir la ejecución remota de código.
Según la calificación de Microsoft recibe un nivel de "crítico".
Afecta a Exchange 2000 Server y Exchange Server 2003.

* MS05-022: Soluciona una vulnerabilidad en MSN Messenger que podría
permitir a un atacante remoto lograr la ejecución de código arbitrario.
Está calificado como "crítico".
Afecta a MSN Messenger 6.2.

* MS05-023: Este boletín presenta una actualización destinada a
solucionar dos vulnerabilidades de Microsoft Word que pueden permitir
la ejecución remota de código arbitrario.
Está calificado como "crítico".
Afecta a Word 2000, 2002 y 2003, y a Works Suite 2001, 2002, 2003 y
2004.


Antonio Ropero
antonior@hispasec.com


Más información:

Vulnerabilities in Microsoft Word May Lead to Remote Code Execution: MS05-023
http://www.microsoft.com/technet/security/Bulletin/MS05-023.mspx

Vulnerability in MSN Messenger Could Lead to Remote Code Execution: MS05-022
http://www.microsoft.com/technet/security/Bulletin/MS05-022.mspx

Vulnerability in Exchange Server Could Allow Remote Code Execution: MS05-021
http://www.microsoft.com/technet/security/Bulletin/MS05-021.mspx

Cumulative Security Update for Internet Explorer (890923): MS05-020
http://www.microsoft.com/technet/security/Bulletin/MS05-020.mspx

Vulnerabilities in TCP/IP Could Allow Remote Code Execution and Denial of Service: MS05-019
http://www.microsoft.com/technet/security/Bulletin/MS05-019.mspx

Vulnerability in Windows Kernel Could Allow Elevation of Privilege and Denial of Service: MS05-018
http://www.microsoft.com/technet/security/Bulletin/MS05-018.mspx

Vulnerability in Message Queuing Could Allow Code Execution: MS05-017
http://www.microsoft.com/technet/security/Bulletin/MS05-017.mspx

Vulnerability in Windows Shell that Could Allow Remote Code Execution: MS05-016
http://www.microsoft.com/technet/security/Bulletin/MS05-016.mspx

martes, 12 de abril de 2005

Fuerza bruta contra creatividad, los gusanos buscan el dinero

En los últimos días estamos asistiendo a un goteo constante de nuevas
variantes del gusano Mytob. La estrategia de su creador o creadores,
a falta de nuevas ideas en la propagación de gusanos, parece ser
distribuir muchas variantes con pequeñas modificaciones para intentar
evitar a los antivirus durante las primeras horas, mientras que se
desarrolla la pertinente firma, y afectar al máximo número de
usuarios.

Pese al bombardeo continuo, hay días que hemos contado hasta 5 nuevas
variantes, la propagación hasta el momento es discreta, no
protagonizando ningún pico especialmente relevante de infecciones. No
obstante está por ver si esta estrategia está dando realmente sus
frutos y si, sin necesidad de una propagación relámpago, poco a poco
está logrando un parque importante de sistemas infectados.

Las motivaciones por las que se crea un gusano pueden ser de lo más
variadas, pero en este caso apunta a que el interés se centra en
controlar el mayor número de sistemas de forma remota, probablemente
para realizar ataques distribuidos, desde envío de spam, hasta una
denegación de servicios, pasando por el robo de credenciales de
acceso a sistemas bancarios.

Y es que en los últimos tiempos se ha perdido el "romanticismo" en
la creación de virus y gusanos, si es que alguna vez pudo describirse
en esos términos, especialmente cuando, en el mejor de los casos,
terminan causando auténticos quebraderos de cabeza, sin contar
destrozos mayores.

Hoy día, hemos pasado de los experimentos de estudiantes a la mafia
organizada, a auténticos profesionales del malware que, por encima de
todo, buscan un rendimiento económico.

En un primer momento pudiera parecer que esta profesionalización,
con mayores recursos a sus espaldas, se traduciría en unos
especímenes más sofisticados. Sin embargo podemos observar que más
bien es al contrario, se ha pasado de la creatividad a la fuerza
bruta. Cada vez hay más proliferación de malware, pero se ha perdido
en "calidad" técnica.

Mientras para los creadores de virus de la vieja escuela parte de la
motivación venía dada por inventar y experimentar con nuevas
técnicas, hoy día la mayoría lo que busca son resultados
cuantitativos. Y todo parece indicar que resulta más rentable en esos
términos dedicarse a modificar continuamente el código del mismo
gusano más que a buscar nuevos enfoques que tal vez no tengan una
rentabilidad directa en número de infecciones.

En el caso de la avalancha actual de variantes de Mytob, por ejemplo,
podemos ver como se utiliza la típica estrategia del envío del archivo
infectado adjunto por e-mail junto a otras técnicas bien conocidas,
como es aprovechar la vulnerabilidad LSSAS que Microsoft parcheó el
año pasado, la misma que explotó el famoso gusano Sasser.

Y con esa estrategia bien conocida y para las que existen formas
básicas de prevención, ¿logran infectar sistemas?. Afirmativo. Internet
es enorme, y si bien mucha gente, como nuestros lectores, cumplen unas
normas básicas de seguridad que les permite prevenir este tipo de
gusanos, existe un gran número de sistemas y usuarios sin protección
alguna, a los que un gusano de e-mail les debe sonar a algo parecido
a un insecto.

Es para este parque de máquinas y usuarios desprotegidos para los que
se desarrolla este tipo de gusanos y otro tipo de malware que a nosotros
nos molesta más por el spam que pueden llegar a generar que por el
peligro de infectarnos.

Es tal la lucha de los creadores de este tipo de malware por controlar
ese parque de máquinas desprotegidas que es habitual ver guerras entre
ellos, por ejemplo que una determinada familia de gusanos desactive a
otros gusanos en la competición por hacerse con los sistemas más
débiles.

En definitiva, tal y como están las cosas, no nos queda más remedio que
sufrir la avalancha cotidiana de nuevas variantes y versiones con las
mismas técnicas más o menos reconocidas.

No obstante, nunca debemos bajar la guardia, cada cierto tiempo, al
menos ha sido así durante los últimos años, siempre ha surgido algún
nuevo espécimen especialmente virulento, y últimamente las aguas están
muy calmadas...


Bernardo Quintero
bernardo@hispasec.com



lunes, 11 de abril de 2005

Exposición de información sensible en Macromedia ColdFusion MX 6

Se ha descubierto un problema de seguridad en el Updater 1 de Macromedia
ColdFusion MX 6.1 para JRun4 que puede ser explotada por usuarios
maliciosos para acceder a información potencialmente sensible.

ColdFusion es un entorno de desarrollo de aplicaciones web que agrupa un
lenguaje propio, herramientas visuales de desarrollo y un servidor de
aplicaciones que funciona con muchos servidores web en plataformas como
Windows, Linux y Solaris.

El problema es que el componente Updater 1 de ColdFusion MX para JRun4
crea un directorio /WEB-INF/cfclasses en la raíz del servidor web en vez
de hacerlo en el directorio adecuado (en la raíz de la aplicación). En dicho
directorio pone archivos java compilados (.class, descargables por usuarios
finales) provenientes de otros .cfms y .cfcs.

La compañía recomienda los siguientes pasos para corregir el problema
(configuración J2EE de ColdFusion MX 6.1 para JRun4):
1. Parar los servidores ColdFusion MX 6.1.
2. Instalar el ColdFusion MX 6.1 Updater. Si dicho componente ya había
sido instalado, borrar el directorio /WEB-INF/ localizado en la raíz del
servidor web.
3. Crear el directorio
{jrun_root}/servers/cfusion/cfusion-ear/cfusion-war/WEB-INF/cfclasses
4. Arrancar de nuevo los servidores ColdFusion MX 6.1. Observar que
cuando se llamen a los .cfms, los archivos .class se queden en dicho
directorio.


Julio Canto
jcanto@hispasec.com


Más información:

MPSB05-02 - Workaround available for ColdFusion MX 6.1 Updater file
disclosure
http://www.macromedia.com/devnet/security/security_zone/mpsb05-02.html

domingo, 10 de abril de 2005

Actualización de seguridad de Zope


Las versiones no actualizadas de ZOPE contienen una vulnerabilidad que
puede permitir a un atacante con permisos suficientes que acceda a
recursos protegidos.

Zope es un servidor de aplicaciones, escrito en lenguaje Python.
Su extrema flexibilidad, características novedosas (base de datos de
"objetos", fácil extensibilidad, componentes) y su bajo precio (se
trata de una solución "open source") lo hacen especialmente atractivo
para desarrollos web.

Las versiones de ZOPE no actualizadas permiten acceder a recursos
protegidos a través de código Python. Es decir, un atacante con permisos
suficientes para instalar código Python en el servidor de aplicaciones
Zope, puede acceder a métodos protegidos disponibles para "import" desde
el código no confiable.

La instalación estándar de Zope no contiene ninguno de esos métodos, por
lo que no es vulnerable. Pero si el administrador instala código y
clases añadidas, puede verse comprometido.

Esta vulnerabilidad afecta a las versiones Zope actuales (2.7.5 y
previas, 2.8a2 y previas). Estará solucionado en las futuras versiones
2.7.6 y 2.8b1.

Mientras tanto, los administradores que gestionen servidores
potencialmente vulnerables pueden instalar el parche, ya disponible.
Dicho parche debe desinstalarse cuando se actualice Zope.


Jesús Cea Avión
jcea@hispasec.com


Más información:

Hotfix_20050405 Released
http://www.zope.org/Products/Zope/Hotfix-2005-04-05/announce-Hotfix_20050405

ZOPE
http://www.zope.org/

sábado, 9 de abril de 2005

Vulnerabilidad en PHP-Nuke

Se ha descubierto una vulnerabilidad en PHP-Nuke (versiones 6 y 7) que
puede ser explotada por usuarios maliciosos para realizar ataques de
inyección SQL.

PHP-Nuke es un sistema de gestión de contenidos de gran popularidad,
utilizado en cientos de sitios web de todo el mundo. Escrito en PHP, es
opensource, gratuito y cómodo de instalar y administrar, si bien ha
mostrado un historial bastante amplio de vulnerabilidades.

La vulnerabilidad descubierta se debe a la falta de filtrado adecuado
del parámetro 'querylang' en el módulo Top antes de ser utilizado en
peticiones SQL. Esta circunstancia puede ser explotada para manipular
peticiones de este tipo e inyectar código SQL arbitrario. Gracias a esta
técnica se podría, por ejemplo, acceder a los hashes md5 de las claves de
usuario de los administradores.

Si bien el problema ha sido confirmado en todas las versiones 6 y en las
7 hasta la versión 7.6 (última disponible para descarga), no se descarta
que pueda afectar a otras. A falta de un parche que solucione el
problema, se recomienda filtrar con un proxy peticiones maliciosas o
bien modificar el código para filtrar adecuadamente las entradas a dicho
parámetro.


Julio Canto
jcanto@hispasec.com


Más información:

Critical Sql Injection in PhpNuke 6.x-7.6 Top module
http://www.waraxe.us/advisory-41.html

PHP-Nuke
http://phpnuke.org

viernes, 8 de abril de 2005

Fin del bloqueo del Service Pack 2 para Windows XP

Microsoft distribuyó a mediados del año pasado una utilidad, SP2
Blocker Tool, que permitía bloquear temporalmente la instalación
automática del Service Pack 2 para Windows XP, en aras de evitar
posibles incompatibilidades con otras aplicaciones. El próximo
12 de abril finaliza el periodo de bloqueo y dejará de ser
efectivo.

Como nuestros lectores recordarán, las características del SP2 para
Windows XP podían suponer que ciertas aplicaciones dejaran de
funcionar y/o necesitaran de actualizaciones para adaptarse a los
nuevos requerimientos de Microsoft. Esta problemática cobraba
especial relevancia en entornos corporativos, ya que dependiendo de
la configuración de los clientes, o por acción directa de los
usuarios, podía llevarse a cabo la instalación del SP2 de forma
previa e independiente al despliegue oficial programado por los
administradores o el departamento de informática.

Para mitigar potenciales problemas por estas situaciones Microsoft
lanzó una herramienta, muy simple, que bloqueaba la instalación
automática a través de sus servicios Windows Update y Automatic
Updates. Básicamente la herramienta introducía una clave en el
registro de Windows para marcar a los servicios de actualización
automática que no instalaran el SP2, tal que así:

HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate
DoNotAllowXPSP2=1

Si el valor DWORD es 1, el bloqueo está activo. Si el valor es
distinto de 1 o la clave no existe, el sistema permite la instalación
del SP2.

En muchos entornos corporativos se procedió al despliegue de este
bloqueo, lo que permitía prolongar los estudios sobre compatibilidad
del SP2 con las aplicaciones corporativas de cara minimizar cualquier
problema.

En condiciones deseables, durante este periodo de bloqueo en los
entornos corporativos que desplegaron esta estrategia se habrán
finalizado los estudios de compatibilidad y corregido cualquier
problema o eventualidad detectada. En estos casos habrá bastado
eliminar la clave o modificar su valor en cualquier momento para
permitir la instalación automática del SP2 para Windows XP.

Si bien no se descarta que aun existan organizaciones o PCs de
usuarios finales que, dado el tiempo transcurrido, no se hayan
percatado de que el bloqueo de la utilidad dejará de ser efectivo
tras el próximo 12 de abril, la semana que viene. A partir de esa
fecha su sistema Windows XP podrá actualizarse automáticamente con
el SP2, de manera independiente a si ha hecho los "deberes" sobre
la compatibilidad de sus aplicaciones.

Sirva este recordatorio de Hispasec para los más rezagados de
cara a evitar sorpresas de última hora.


Bernardo Quintero
bernardo@hispasec.com


Más información:

Temporarily Disabling Delivery of Windows XP Service Pack 2
Through Windows Update and Automatic Updates
http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/sp2aumng.mspx

FAQ - Temporarily Blocking Windows XP SP2
http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/sp2aumngfaq.mspx

20/08/2004 - Retrasar la instalación del Service Pack 2 para Windows XP
http://www.hispasec.com/unaaldia/2126

jueves, 7 de abril de 2005

Nuevos contenidos en CriptoRed (marzo 2005)

Breve resumen de las novedades producidas durante el mes de marzo
de 2005 en CriptoRed, la Red Temática Iberoamericana de Criptografía
y Seguridad de la Información.

1. DOCUMENTOS NUEVOS PARA SU DESCARGA

- Criptografía Cuántica
http://www.criptored.upm.es/paginas/docencia.htm#gtletraC

- Criptosistemas Basados en Curvas Hiperelípticas
http://www.criptored.upm.es/paginas/docencia.htm#gtletraC

- La Ley Orgánica de Protección de Datos y su Aplicación
http://www.criptored.upm.es/paginas/docencia.htm#gtletraL

- Libro Electrónico: Versión v4.0 del Libro Electrónico de Seguridad
Informática y Criptografía
http://www.criptored.upm.es/paginas/docencia.htm#librose

2. CONGRESOS Y SEMINARIOS POR ORDEN CRONOLOGICO DE CELEBRACION

- Mayo 24 al 25 de 2005: Workshop on Security In Information Systems
WOSIS-2005 (Miami - USA)
http://www.iceis.org/workshops/wosis/wosis2005-cfp.html

- Mayo 31 a Junio 3 de 2005: Segunda Escuela Venezolana de Seguridad de
Cómputo (Mérida - Venezuela)
http://www.saber.ula.ve/eventos/evscm/

- Junio 6 al 8 de 2005: 7th Information Hiding Workshop IH2005
(Barcelona - España)
http://kison.uoc.edu/IH05

- Junio 9 al 10 de 2005: III Simposio Español de Comercio Electrónico
(Palma de Mallorca - España)
http://www.uib.es/congres/sce05/

- Junio 20 al 22 de 2005: Workshop on Mathematical Problems and
Techniques in Cryptology (Barcelona - España)
http://www.crm.es/Conferences/0405/Cryptology/Cryptology.htm

- Junio 22 al 24 de 2005: V Jornadas Jornadas Nacionales de Seguridad
Informática (Bogotá - Colombia)
http://www.acis.org.co/index.php?id=332

- Septiembre 14 al 16 de 2005: Simposio Seguridad Informática I Congreso
Español de Informática CEDI 2005 (Granada - España)
http://cedi2005.ugr.es/

- Septiembre 22 al 23 de 2005: Information Security Curriculum
Development INFOSECCD 2005 (Kennesaw Georgia, USA)
http://infosec.kennesaw.edu/

- Octubre 03 al 05 de 2005: Congreso CollECTeR LatAm 2005 (Talca - Chile)
http://ing.utalca.cl/collecter

- Noviembre 21 al 25 de 2005: Tercer Congreso Iberoamericano de
Seguridad Informática CIBSI '05 (Valparaíso - Chile)
http://cibsi05.inf.utfsm.cl/

- Diciembre 1 al 2 de 2005: IFIP TC-11 WG 11.1 & WG 11.5 Joint Working
Conference on Security Management, Integrity, and Internal Control in
Information Systems (Fairfax - USA)
http://www.cs.uvm.edu/ifip11.1.5/

Puedes encontrar más información en:
http://www.criptored.upm.es/paginas/eventos.htm#Congresos

- Convocatoria a Congresos en la IACR International Association for
Cryptologic Research
http://www.iacr.org/events/

3. CURSOS DE POSTGRADO, ESPECIALIDAD Y FORMACIÓN

- Máster en Auditoría y Seguridad Informática en la UPM (España)
- Máster en Tecnologías de Seguridad Informática esCERT-UPC (España)
- Máster Tecnologías Información y Seguridad en la UCLM (España)
- Máster en Auditoría y Seguridad de Sistemas de Información en la UAB
(España)
- Máster/Experto en Seguridad de la Información en la DU (España)
- Curso Experto en Seguridad Informática en la MU (España)
- Especialización en Criptografía y Seguridad Teleinformática en IESE
(Argentina)
- Diplomado en Seguridad Informática (Colombia)
- Diplomado Seguridad en Tecnología Informática (Venezuela)
- Diplomado en Seguridad Computacional en la Universidad de Chile (Chile)
- Diplomados en Seguridad Informática (México)
- Curso Criptosistemas de tipo RSA: Aplicaciones en el CSIC (España)
- Cursos de Seguridad Informática en el esCERT-UPC (España)
- Cursos de Seguridad Informática del Instituto para la Seguridad en
Internet ISI (España)
- Programa de Formación 2005 en Gestión de la Seguridad de la
Información de AENOR (España)
- Cursos de CYBSEC (Latinoamérica)
- Talleres de Seguridad Informática en la UNAM (México)
- Curso de Preparación para el Examen CISA en Barcelona (España)
-¨Seminario de Introducción a la Algorítmica y Criptografía Cuánticas en
la UPM (España)
- Ciclo de Conferencias Gratuitas en la Universidad Politécnica de
Madrid (España)
- Cursos de Seguridad Informática en Universidad Complutense de Madrid
(España)

Puedes encontrar los enlaces y más información en:
http://www.criptored.upm.es/paginas/eventos.htm#Cursos

4. NOTICIAS SELECCIONADAS DEL MES DE MARZO DE 2004

- Workshop on Mathematical Problems and Techniques in Cryptology (Barcelona)
http://www.crm.es/Conferences/0405/Cryptology/Cryptology.htm

- Segunda Escuela Venezolana de Seguridad de Cómputo (Mérida - Venezuela)
http://www.saber.ula.ve/eventos/evscm/

- Primer CFP para 1er Simposio Seguridad Informática CEDI 2005 (Granada)
http://cedi2005.ugr.es/
http://www.criptored.upm.es/descarga/CFP_CEDI2005_SI.zip

- Primer CFP para Congreso CollECTeR LatAm 2005 (Talca - Chile)
http://ing.utalca.cl/collecter

- CFP Information Security Curriculum Development INFOSECCD 2005 (Georgia)
http://infosec.kennesaw.edu/

- XVI Congreso de Seguridad en TICs Securmática 2005 (Madrid)
http://www.securmatica.com/

- Ciclo de Conferencias Gratuitas en la Universidad Politécnica de Madrid
http://www.lpsi.eui.upm.es/GANLESI/GANLESI.htm

- Jornadas de Protección de Datos y Seguridad (Barcelona)
http://www.apdcat.net/noticies/jornada150305.htm

- Jornada SANS Stay Sharp de Formación en Seguridad el 20 de Abril (España)
https://www.sans.org/staysharp/details.php?id=997 (Madrid)
https://www.sans.org/staysharp/details.php?id=998 (Barcelona)
https://www.sans.org/staysharp/details.php?id=1000 (Valencia)

- Calendario 2005 de Formación AENOR en Gestión de Seguridad (España)
http://www.adhoc-security.es/formacion.htm

- Activadas las Estadísticas del Servidor CriptoRed en Modo Estático
http://www.criptored.upm.es/estadisticas/awstats.www.criptored.upm.es.html

- Alta en la Red de la Universidad Antonio de Nebrija (España)
http://www.criptored.upm.es/paginas/instituciones.htm

5. OTROS DATOS DE INTERES EN LA RED

- Número actual de miembros en la red: 513
http://www.criptored.upm.es/paginas/particulares.htm

- 37.513 visitas, 120.015 páginas y 64,27 GBytes servidos en marzo de 2005
Las estadísticas del mes de AWStats se muestran en páginas estáticas
actualizadas cada día a las 00:05 horas
http://www.criptored.upm.es/estadisticas/awstats.www.criptored.upm.es.html

6. CONGRESO IBEROAMERICANO ORGANIZADO POR CRIPTORED

- Tercer Congreso Iberoamericano de Seguridad Informática CIBSI '05
Universidad Técnica Federico Santa María
21 al 25 de noviembre de 2005, Valparaíso (Chile)
http://cibsi05.inf.utfsm.cl/


Jorge Ramió Aguirre
Coordinador de CriptoRed



miércoles, 6 de abril de 2005

Publicada nueva versión de MySQL

La nueva versión 4.1.11 de MySQL ofrece nuevas funcionalidades y
soluciona diversos problemas, tanto de respuestas incorrectas a
consultas, como problemas de denegaciones de servicio o escalada
de privilegios.

MySQL es un servidor de bases de datos SQL, "open source", de altas
prestaciones, extremadamente difundido en el mundo Linux.

Entre los cambios o nuevas funcionalidades se incluyen:
* ONLY_FULL_GROUP_BY no será incluido en el modo ANSI SQL.
* mysqld_safe creará el directorio donde se localice el socket UNIX, en
el caso de que no exista el directorio. Esto solo se aplica al último
componente del nombre de ruta del directorio.
* Diversos cambios sobre COERCIBILITY(). Como el valor devuelto de
funciones como USER() o VERSION() que es "system constant" en vez de
"implicit" o NULL que se considera más coercible que cadenas
constantes.
* Se ha modificado el analizador para permitir declaraciones SELECT
tras un UNION para realizar subconsultas entre paréntesis.
* Se añade la variable de sesión SQL_NOTES para que no se registren las
alertas de nivel NOTES.
* Añadida nueva variable global de sistema slave_transaction_retries
* Añadida la opción de compilación --with-big-tables a configure.

Entre los múltiples fallos corregidos se encuentran los siguientes:
* Corregido una caída del servidor provocada por el uso de NOW() en una
subconsulta.
* Corregidos problemas con variables estáticas en Fedora Core 3.
* Corregidos diversos problemas de coercibilidad.
* Corregido un problema con el comando tee que provoca la caída de
mysql.
* El empaquetado zlib de la distribución de fuentes se ha actualizado a
la versión 1.2.2.
* Corregida caída del servidor con consultas que combinen SELECT
DISTINCT, SUM(), y ROLLUP.
* Resultados incorrectos en consultas que combinen SELECT DISTINCT,
GROUP BY , y ROLLUP.
* Corregido un fallo que bajo determinadas circunstancias puede
permitir la escalada de privilegios a través de comodines en GRANT.
* Se devuelven columnas excesivas en consultas que combinen ROLLUP y
LIMIT cuando se usa SQL_CALC_FOUND_ROWS.
* mysqldump interpreta mal los caracteres '_' y '%' en los nombres de
tablas a volcar cuando se usan caracteres comodín.
* Caída del servidos cuando se usa GROUP_CONCAT(x) en una subconsulta,
donde x es un alias a una columna de una consulta exterior.
* Las funciones CHARSET(), COLLATION(), y COERCIBILITY() en ocasiones
devuelven NULL.
* Expresiones que incluyan llamadas CONCAT() anidadas y conversión de
caracteres de cadenas constantes pueden dar un resultado incorrecto.
* La función CHAR() no ignora los argumentos NULL al contrario de los
indicado en la documentación.
* HAVING trataba las columnas sin signo como con signo.

Se recomienda actualizar a la versión 4.1.11, disponible en la
siguiente dirección:
http://dev.mysql.com/downloads/mysql/4.1.html


Antonio Ropero
antonior@hispasec.com


Más información:

Changes in release 4.1.11
http://dev.mysql.com/doc/mysql/en/news-4-1-11.html

martes, 5 de abril de 2005

Denegación de servicio en motor Quake3

Se ha anunciado una vulnerabilidad en el motor de Quake3 que puede ser
explotada por usuarios maliciosos para contruir ataques de denegación
de servicio.

La vulnerabilidad está provocada por un error en el motor cuando analiza
comandos de más de 1022 caracteres. De hecho, los comandos se truncan de
forma automática a dicho tamaño y el resto de los caracteres se tratan
como datos de red lo que confunde al motor. Esto puede se explotado por
usuarios maliciosos para desconectas a todos los clientes al enviar un
mensaje de gran tamaño.

Debido al uso del motor por diferentes juegos, la vulnerabilidad se
encuentra presente en el siguiente software:
* Call of Duty 1.5 y anteriores.
* Call of Duty: United Offensive 1.51 y anteriores.
* Quake III Arena 1.32 y anteriores.
* Return to Castle Wolfenstein 1.41 y anteriores.
* Soldier of Fortune II: Double Helix 1.03 y anteriores.
* Star Wars Jedi Knight II: Jedi Outcast 1.04 y anteriores.
* Star Wars Jedi Knight: Jedi Academy 1.0.1.0 y anteriores.
* Wolfenstein: Enemy Territory 1.02 / 2.56 y anteriores.


Antonio Ropero
antonior@hispasec.com


Más información:

Luigi Auriemma. Quake 3 engine
http://aluigi.altervista.org/adv/q3msgboom-adv.txt

lunes, 4 de abril de 2005

Vulnerabilidad Cisco IPSec con paquetes IKE mal construidos

Cisco ha informado de una vulnerabilidad de denegación de servicio
que afecta a sus dispositivos Cisco Catalyst 6500 Series Switch o
Cisco 7600 Series Internet Router.

Un paquete Internet Key Exchange (IKE) maliciosamente construido puede
provocar el reinicio de los switches de la serie Cisco Catalyst 6500 o
de los routers de la serie Cisco 7600 Internet Router. Solo se ven
afectados los dispositivos que ejecuten el software Cisco IOS con
soporte de cifrado (Crypto). La vulnerabilidad solo está presente si
la característica Crypto está en uso.

La vulnerabilidad ha sido corregida en las siguientes versiones de
Cisco IOS para los switches Cisco Catalyst de la serie 6500 y los
Cisco 7600 Internet Router
12.2(17b)SXA:
http://www.cisco.com/en/US/products/sw/iosswrel/ps5014/prod_bulletin09186a00801df1dd.html
* 12.2(17d)SXB:
http://www.cisco.com/en/US/products/sw/iosswrel/ps5012/prod_bulletin09186a00802078b5.html
* 12.2(14)SY3:
http://www.cisco.com/univercd/cc/td/doc/product/lan/cat6000/relnotes/ol_3975.htm


Antonio Ropero
antonior@hispasec.com


Más información:

Cisco IPSec Malformed IKE Packet Vulnerability
http://www.cisco.com/warp/public/707/cisco-sa-20040408-vpnsm.shtml

domingo, 3 de abril de 2005

Vulnerabilidad en Microsoft Jet permite la ejecución remota de código

Se ha descubierto una vulnerabilidad en el motor de base de datos
Microsoft Jet que puede ser explotada por usuarios remotos maliciosos
para ejecutar código arbitrario.

El componente 'msjet40.dll' no valida de forma adecuada la entrada
dada por el usuario cuando está analizando archivos de bases de datos.
Un usuario remoto puede crear un archivo '.mdb' especialmente formado
a tal efecto de tal forma que si se abre por el usuario, se provocará
la ejecución de código arbitrario con los privilegios de la víctima.

Microsoft JetDB OLE Provider (msjetoledb40.dll) no se ve afectado por
este problema.


Julio Canto
jcanto@hispasec.com


Más información:

Microsoft Jet Database Buffer Overflow in 'msjet40.dll' Lets Remote Users Execute Arbitrary Code
http://www.securitytracker.com/alerts/2005/Mar/1013618.html

sábado, 2 de abril de 2005

Desbordamiento de búfer en Tincat 2.0.28

Se ha descubierto una vulnerabilidad en la librería Tincat (versiones
2.0.28 y anteriores de la versión 2) que permitiría a un atacante
comprometer la máquina de un usuario.

Tincat es una librería de funciones de red para juegos desarrollada
por la alemana Instance Four, y es utilizada por juegos conocidos como
Sacred o The Settlers: Heritage of the Kings.

La vulnerabilidad se debe a un desbordamiento de búfer en una función
implicada en el proceso de conexión de los jugadores al servidor del
juego en sí. La vulnerabilidad permitiría la ejecución remota de
código arbitrario.

En el caso de los dos juegos nombrados, la versión 1.8.2.6 y
anteriores de Sacred y la 1.02 y anteriores de Settlers: Heritage of
the Kings se verían afectadas por dicha vulnerabilidad.

Luigi Auriemma, además de dar el aviso sobre la vulnerabilidad, ha
publicado también código de prueba de concepto, por lo que se
recomienda extremar las precauciones a la hora de participar en
partidas en red con los programas afectados.


Antonio Román
roman@hispasec.com


Más información:

Luigi Auriemma
http://aluigi.altervista.org/adv/tincat2bof-adv.txt

[EXPL] Tincat Buffer Overflow
http://www.networksecurityarchive.org/html/Exploits-HackingTools/2005-03/msg00148.html

The Settlers - Heritage of Kings
http://www.thesettlers.com/uk/home.php

Sacred
http://sacred-game.com/

viernes, 1 de abril de 2005

Nueva actualización de seguridad para PHP

Las versiones no actualizadas de PHP permiten que un atacante con
permiso para ejecutar código PHP pueda burlar los mecanismos de
seguridad de este lenguaje.

PHP (PHP: Hypertext Preprocessor) es un popular lenguaje de scripting
de propósito general, idóneo para el desarrollo web al ser posible su
integración dentro del HTML. Se trata de un proyecto de código abierto
muy utilizado para la confección de páginas web dinámicas (gracias a la
capacidad de lanzar consultas a bases de datos).

Las versiones no actualizadas de PHP (tanto en su versión 4 como 5)
permiten que un atacante con permisos para ejecutar código PHP en el
servidor pueda burlar los mecanismos de seguridad de este lenguaje, en
concreto los mecanismos "safe_mode".

No han transcendido demasiados detalles sobre las vulnerabilidades
resueltas. Algunas de las mismas son:

* Desbordamiento entero en "pack()" y "unpack()", que permite la
ejecución de código arbitrario en el servidor.

* Desbordamiento de búfer en "shmop_write()", igualmente permite
ejecutar código arbitrario en el servidor.

* A través de metacaracteres en la llamada a "virtual_popen()", es
posible vulnerar los mecanismos de seguridad de PHP.

* Múltiples vulnerabilidades en el módulo EXIF.

* Múltiples vulnerabilidades en el módulo CURL.

Y otros problemas de seguridad no especificados.

Hispasec recomienda a los administradores de sistemas PHP que actualicen
con urgencia a la versión 4.3.11 o 5.0.4.

Como siempre, Hispasec recomienda también verificar la integridad de los
ficheros, sobre todo si se bajan de "mirrors" en vez de servidor
original. Los "hashes" criptográficos de los ficheros de código fuente
son:

PHP 4.3.11 (tar.bz2) [3,919Kb] - md5: fbc67d240812136a9842bc1f2a217b7a
PHP 4.3.11 (tar.gz) [4,761Kb] - md5: 5de2ba1aababb5868d55ea43cf3bebef
PHP 5.0.4 (tar.bz2) [4,618Kb] - md5: 47727afde39329d5cebda4cb5e5ecee0
PHP 5.0.4 (tar.gz) [5,700Kb] - md5: c8f5fa441fd99c1b363bd2a071a0bd97


Jesús Cea Avión
jcea@hispasec.com


Más información:

Version 5.0.4
http://www.php.net/ChangeLog-5.php#5.0.4

Version 4.3.11
http://www.php.net/ChangeLog-4.php#4.3.11

PHP: Hypertext Preprocessor
http://www.php.net/