miércoles, 30 de noviembre de 2005

Apple corrige 13 fallos en Mac OS X

Apple ha publicado la actualización de seguridad 2005-009, destinada a
evitar hasta 13 vulnerabilidades en su sistema operativo Mac OS X y que
pueden ser empleadas por un atacante para evitar restricciones de
seguridad, conseguir acceso no autorizado a los sistemas, comprometer
información sensible o ejecutar código malicioso.

Se han corregido los siguientes problemas:

* Vulnerabilidad de cross-site scripting en Apache2 en determinadas
configuraciones. Afecta a Mac OS X Server v10.3.9 y Mac OS X Server
v10.4.3.

* Salto de autenticación SSL en el módulo apache_mod_ssl, por el que un
atacante sin autorización puede acceder a recursos configurados para
requerir autenticación SSL. Afecta a Mac OS X v10.3.9, Mac OS X Server
v10.3.9, Mac OS Xv10.4.3 y Mac OS X Server v10.4.3 con configuraciones
de Apache que incluyan la directiva "SSLVerifyClient require".

* Desbordamiento de búfer en CoreFoundation al recibir URLs
maliciosamente construidas, puede permitir la realización de ataques de
denegación de servicio o la ejecución de código remoto. Afecta a Mac OS
X v10.4.3 y Mac OS X Server v10.4.3.

* Vulnerabilidad en curl puede permitir la ejecución arbitraria de
código al visitar un servidor http malicioso y emplear autenticación
NTLM. Afecta a Mac OS X v10.4.3 y Mac OS X Server v10.4.3.

* Usuarios locales pueden elevar sus privilegios por error en
iodbcadmintool. Afecta a Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac
OS X v10.4.3 y Mac OS X Server v10.4.3.

* Aplicaciones que hagan uso de OpenSSL pueden ser obligadas a emplear
el protocolo SSLv2, que proporciona menor protección que SSLv3 o TLS.
Afecta a Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.3,
Mac OS X Server v10.4.3.

* Una vulnerabilidad en passwordserver puede permitir a usuarios
locales en Open Directory elevar sus privilegios. Afecta a Mac OS X
Server v10.3.9 y Mac OS X Server v10.4.3.

* Se corrigen también cuatro vulnerabilidades de diferente índole en
Safari, que pueden permitir la descarga de archivos en sitios
diferentes al directorio designado a tal efecto, la falsificación de
cuadros de diálogo JavaScript o incluso la ejecución de código
malicioso. Afectan a Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS
X v10.4.3 y Mac OS X Server v10.4.3.

* Usuarios locales pueden elevar sus privilegios en determinadas
configuraciones de sudo (la configuración por defecto no se ve
afectada). Afecta a Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X
v10.4.3 y Mac OS X Server v10.4.3.

* Por último, las entradas del log del sistema pueden ser falsificadas.
Afecta a Mac OS X v10.4.3 y Mac OS X Server v10.4.3.


Antonio Ropero
antonior@hispasec.com


Más información:

About Security Update 2005-009
http://docs.info.apple.com/article.html?artnum=302847

martes, 29 de noviembre de 2005

Actualización de seguridad para "fetchmail"

Las versiones de "fetchmail" no actualizadas contienen una
vulnerabilidad que permite que un atacante local tenga acceso a las
claves del servicio.

"fetchmail" es una herramienta utilizada para descargar correo
electrónico de servidores y repartirlo en diversas cuentas locales.
Se trata de un servicio utilizado con asiduidad por administradores
de sistemas con conexiones no permanentes a Internet.

Las versiones no actualizadas de "fetchmail" contienen una
vulnerabilidad en la herramienta "fetchmailconf", utilizada como
configurador gráfico de "fetchmail". Dicha vulnerabilidad consiste en
una ventana de tiempo durante la cual el fichero de configuración del
servicio, conteniendo las claves de acceso a los buzones, puede ser
accesible a otros usuarios del sistema.

Hispasec recomienda a todos los usuarios de "fechmail" que actualicen
a la versión 6.2.5.4, que soluciona esta vulnerabilidad.


Jesús Cea Avión
jcea@hispasec.com


Más información:

password exposure in fetchmailconf
http://fetchmail.berlios.de/fetchmail-SA-2005-02.txt

Fetchmail
http://fetchmail.berlios.de/

lunes, 28 de noviembre de 2005

Actualización de Sun por vulnerabilidad en tratamiento de imágenes jpeg

Sun ha publicado diferentes actualizaciones debido a la existencia
de una vulnerabilidad en la librería de tratamiento de imágenes JPEG
libexif, por la que un atacante remoto podría lograr la ejecución de
código en los sistemas afectados.

Muchas cámaras digitales producen archivos EXIF, que son archivos
JPEG (Joint Photographic Experts Group) con etiquetas adicionales
que contienen información sobre la imagen. La librería EXIF permite
tratar los archivos EXIF y leer los datos de las etiquetas adicionales.
El problema podrá reproducirse con cualquier aplicación que haga uso de
la librería libexif.

El atacante deberá crear una imagen jpeg maliciosamente modificada de
forma que cuando se visualice se producirá la ejecución de código con
los privilegios del usuario que abra la imagen. También es posible
producir ataques de denegación de servicio mediante está vulnerabilidad.

Sun ha publicado actualizaciones para los productos afectados:
Para Solaris 10 (plataforma SPARC):
http://sunsolve.sun.com/pub-cgi/pdownload.pl?target=121095-01&method=h
Para Java Desktop System (JDS) Release 2 (para Solaris 9) en plataforma x86:
http://sunsolve.sun.com/pub-cgi/pdownload.pl?target=121093-01&method=h
Para Solaris 10 (plataforma x86):
http://sunsolve.sun.com/pub-cgi/pdownload.pl?target=121096-01&method=h
Para Java Desktop System (JDS) Release 2 sobre Linux se han publicado
RPMs actualizados (patch-9996), que pueden descargarse e instalarse
seleccionando la siguiente secuencia desde el menú "launch":
Launch >> Applications >> System Tools >> Online Update.


Antonio Ropero
antonior@hispasec.com


Más información:

Security Vulnerability in the libexif JPEG Image Processing Library
http://sunsolve.sun.com/search/document.do?assetkey=1-26-102041-1

domingo, 27 de noviembre de 2005

Desbordamiento de búfer en traceroute de Sun Solaris 10

Se ha descubierto una vulnerabilidad en el comando traceroute de Sun
Solaris 10 que puede ser explotada por usuarios locales maliciosos
para realizar escaladas de privilegios en sistemas afectados.

La vulnerabilidad se debe a un error de tratamiento de tamaños de
variables en traceroute a la hora de manejarse con las opciones '-g' y
'-s' de la línea de comandos. Un atacante local puede explotar esta
circunstancia para provocar un desbordamiento de búfer al dar más de
10 parámetros '-g', o para corromper el heap al dar un dato malformado
en la opción '-s'.

La explotación con éxito de la vulnerabilidad permitiría provocar la
ejecución de código arbitrario, con un privilegio adicional al que ya
posea que le permite el uso de sockets raw.

Las direcciones para descargar los parches son las siguientes:
* Solaris 10 (sparc):
http://sunsolve.sun.com/pub-cgi/pdownload.pl?target=121012-01&method=h
* Solaris 10 (x86):
http://sunsolve.sun.com/pub-cgi/pdownload.pl?target=121013-01&method=h


Julio Canto
jcanto@hispasec.com


Más información:

Security Vulnerabilities in the traceroute(1M) Utility may Allow Elevated Privileges
http://sunsolve.sun.com/search/document.do?assetkey=1-26-102060-1

sábado, 26 de noviembre de 2005

Actualización de las "20 vulnerabilidades más críticas"

SANS Institute acaba de publicar al versión 6.0 de su guía sobre las 20
vulnerabilidades de seguridad más críticas.

Hace ahora cuatro años, SANS Institute conjuntamente con el FBI publicó
un documento donde se describían las diez vulnerabilidades de seguridad
más críticas. En él se resumían los principales problemas de seguridad,
aquellos que eran utilizados de forma más habitual en los ataques a
sistemas informáticos.

El objetivo que perseguía la publicación de esa guía era conseguir que
los administradores de sistemas hicieran los pasos necesarios para
solventar esas diez vulnerabilidades más críticas. Con esto, además de
mejorar el nivel global de seguridad de la red, se conseguiría evitar
un elevado porcentaje de los incidentes, muchos de los cuales sacaban
provecho de alguna de esas vulnerabilidades.

Pocos meses después, SANS actualizó la guía para incluir las 10
principales vulnerabilidades de los sistemas Windows y las 10
vulnerabilidades más habituales de los sistemas Unix. Así nació el
documento "Las 20 vulnerabilidades más críticas". Desde entonces,
periódicamente se ha ido actualizando el documento, ampliando la
información sobre los pasos a realizar para evitar las
vulnerabilidades.

La edición de este año marca un cambio en la filosofía del documento.
Ahora ya no se limita a las vulnerabilidades de Windows y Unix. Tampoco
se describen las vulnerabilidades que podríamos denominar clásicas. La
edición de este año informa sobre los problemas de seguridad que
requieren una actuación inmediata por parte de los administradores de
sistemas. A diferencia de otras versiones, no se describen
vulnerabilidades que hoy pueden considerarse obsoletas, sino aquellas
que realmente afectan a los sistemas informáticos, incluso si ya se
había revisado su seguridad con una versión anterior del documento.

Para todas las vulnerabilidades, se incluye una documentación de la
misma, explicando el alcance que puede tener en caso que un atacante
logre utilizarla para atacar los sistemas afectados. También se
describen las acciones a realizar para corregir la vulnerabilidad, que
habitualmente pasa por la instalación de actualizaciones o parches de
seguridad.


Las 20 vulnerabilidades

El documento de SANS Institute describe un total de 20 vulnerabilidades
críticas. Se entiende como tal, un problema de seguridad que afecta a
un número significativo de usuarios y/o sistemas. Además, para ser
considerara crítica, la vulnerabilidad ha sido utilizada en los últimos
meses de forma generalizada en algún tipo de ataque.

Las vulnerabilidades se dividen en cuatro grandes apartados:
vulnerabilidades específicas de los ordenadores que utilizan el sistema
operativo Windows, vulnerabilidades que pueden afectar a cualquier
ordenador, vulnerabilidades específicas de sistemas Unix (incluyendo
aquí los equipos con Mac OS X) y, por último, los problemas específicos
de los productos de infraestructura de redes, como routers,
cortafuegos, etc.


Vulnerabilidades de Windows

En los equipos que ejecutan Windows se describen un total de cinco
apartados: servicios de Windows con problemas de seguridad,
vulnerabilidades específicas de Internet Explorer, vulnerabilidades en
bibliotecas DLL, vulnerabilidades de Microsoft Office y Outlook Express
y debilidades ocasionadas por una configuración errónea del sistema
operativo o de alguno de sus componentes.


Vulnerabilidades genéricas

Este apartado describe un total de 10 vulnerabilidades y cubre aspectos
que pueden afectar, en teoría, a cualquier equipo con independencia del
sistema operativo utilizado. Muchas de estas vulnerabilidades son
producto de algunas tendencias del sector informático en los últimos
años, tales como la consolidación de las copias de seguridad en
servidores dedicados y la centralización de las defensas contra virus
informáticos.

Otros problemas descritos en este apartado son aquellos provocados por
la utilización de aplicaciones desarrolladas en PHP que heredan los
problemas de seguridad identificados en la implementación del lenguaje;
vulnerabilidades en los gestores de bases de datos o en servidores de
servicios de Internet tales como el DNS.

El tercer grupo de vulnerabilidades analizado en esta sección incluye
los problemas de algunas aplicaciones que se han convertido en
habituales de los usuarios de Internet: reproductores multimedia,
mensajería instantánea, navegadores web derivados de Mozilla.
Finalmente se tratan vulnerabilidades de otras aplicaciones que pueden
ejecutarse en diversos sistemas operativos.


Vulnerabilidades de Unix y Mac OS X

El tercer apartado describe las vulnerabilidades específicas de los
sistemas Unix/Linux provocadas habitualmente por una configuración
errónea o la utilización de versiones antiguas.

En este apartado se describen también las vulnerabilidades de Mac OS X,
al considerar que el núcleo de este sistema operativo comparte
problemática con el resto de sistemas Unix.


Vulnerabilidades de equipos de infraestructura de redes

Por último se documentan los principales problemas de seguridad de
productos de electrónica de red, como routers y switches. También se
incluyen las vulnerabilidades que afectan a sistemas de protección
periférica, como cortafuegos y servidores de acceso remoto.


Identificación de las vulnerabilidades

El último apartado del documento indica una serie de productos y
tecnologías existentes que pueden ayudar en la identificación de estas
vulnerabilidades y la protección ante los posibles ataques.


Xavier Caballé
xavi@hispasec.com


Más información:

The Twenty Most Critical Internet Security Vulnerabilities (Updated) -
The Experts Consensus
http://www.sans.org/top20/

Una-al-día (15-10-2004) Nueva edición de "Las 20
vulnerabilidades de seguridad más críticas en Internet" (I)
http://www.hispasec.com/unaaldia/2183

Una-al-día (16-10-2004) Nueva edición de "Las 20 vulnerabilidades de
seguridad más críticas en Internet" (I)
http://www.hispasec.com/unaaldia/2184

Una-al-día (10/10/2003) Las 20 vulnerabilidades más críticas en
Internet
http://www.hispasec.com/unaaldia/1811

Una-al-día (07/10/2002) Actualización de las "20 vulnerabilidades de
seguridad más críticas en Internet"
http://www.hispasec.com/unaaldia/1443

Una-al-día (03/10/2001) Las 20 vulnerabilidades de seguridad más
críticas
http://www.hispasec.com/unaaldia/1074

viernes, 25 de noviembre de 2005

Google soluciona un grave problema de seguridad en su plataforma "gmail"

Google informa haber solucionado un grave problema de seguridad en su
plataforma "gmail", que permitiría que un atacante malicioso pueda
acceder a la cuenta de otro usuario.

"gmail" es la plataforma de correo electrónico de Google, gratuita, que
fue pionera en ofrecer capacidades de buzón sin precedentes. En este
momento "gmail" cuenta con más de cinco millones de usuarios en todo el
mundo.

La semana pasada Google notificó haber solucionado un problema de
seguridad que permitía a un atacante acceder a buzones de otros
usuarios, explotando una vulnerabilidad en el mecanismo de
autentificación de "gmail".

La gravedad era crítica ya que era posible aprovechar la vulnerabilidad
sin necesidad de que el atacante tuviera acceso a la máquina de la
víctima o a su tráfico de red, tan sólo bastaba con conocer la
dirección de correo electrónico de la víctima, un dato evidentemente
público.

Es de señalar que Google ha solucionado el problema en apenas cuatro
días. El descubridor del ataque es español (alias "Anelkaos"), quién
reportó el problema a Google de forma responsable y evitó dar detalles
hasta la resolución del mismo. En la web de elhacker.net se pueden
leer en español todos los pasos para explotar la vulnerabilidad, que,
naturalmente, ya no funcionan.

Jesús Cea Avión
jcea@hispasec.com


Más información:

Google Corrects Gmail Security Flaw
http://slashdot.org/article.pl?sid=05/11/18/1522236

Hackers Cracked Gmail
http://www.redherring.com/Article.aspx?a=14525&hed=Hackers+Cracked+Gmail§or=Industries&subsector=InternetAndServices

Gmail Bug
http://www.elhacker.net/gmailbug/
http://www.elhacker.net/gmailbug/english_version.htm

jueves, 24 de noviembre de 2005

Actualizaciones de seguridad en los kernel Linux

La comunidad Linux ha publicado actualizaciones de sus kernels para las
ramas 2.4 y 2.6, lo que soluciona varios problemas de seguridad.

Aunque la rama de desarrollo actual del Kernel Linux es la 2.6, existen
aún infinidad de sistemas basados en kernel 2.4, por su probado buen
funcionamiento y estabilidad. Por otro lado, muchos administradores
consideran la rama 2.6 demasiado joven aún para reemplazar con confianza
sistemas que llevan en producción mucho tiempo, con fiabilidad demostrada.
Debido a ello, la rama 2.4 tendrá aún soporte de nuevo hardware,
estabilidad y seguridad durante varios años más.

La versión del Kernel Linux 2.4.32 soluciona diversos problemas de
seguridad e inestabilidades, fundamentalmente en los módulos de
cortafuegos y NAT'ing. También se resuelven problemas de seguridad en
la librería ZLIB, que deberían haberse parcheado hace tiempo.

La versión del Kernel Linux 2.6.14.1 soluciona una grave vulnerabilidad
que permite a un usuario local el inestabilizar el sistema y, si las
circunstancias son proclives, obtener privilegios de administrador o
"root". Los administradores que decidan actualizar deberían hacerlo a
la versión 2.6.14.2, ya que soluciona varios problemas de estabilidad
y regresiones, aunque no están relacionados con la seguridad.

Hispasec recomiendo a los administradores de máquinas Linux que
actualicen sus kernels apropiadamente. Los administradores que dependan
de una distribución Linux determinada pueden ponerse en contacto con el
fabricante.


Jesús Cea Avión
jcea@hispasec.com


Más información:

ChangeLog 2.6.14.1
http://www.kernel.org/pub/linux/kernel/v2.6/ChangeLog-2.6.14.1

ChangeLog 2.4.32
http://www.kernel.org/pub/linux/kernel/v2.4/ChangeLog-2.4.32

The Linux Kernel Archives
http://www.kernel.org/

miércoles, 23 de noviembre de 2005

Avalancha de la nueva variante del gusano Sober

El pasado lunes comenzó la distribución de la enésima variante del
gusano Sober. Transcurridas las horas, lejos de cesar, el número de
mensajes infectados en tránsito aumenta considerablemente.

Los ratios alcanzados por el spam inicial son muy importantes, en
estos momentos están llegando muestras de manera constante, lo que
ha hecho saltar las alarmas de varias casas antivirus.

Sin embargo, es previsible que la propagación comience a disminuir,
ya que todos los antivirus lo detectan, y el gusano no incorpora
ninguna novedad destacable que lo diferencie del resto.

Tal vez el aspecto que más infecciones pueda provocar no es otro que
la ingeniería social, los mensajes que utiliza para intentar engañar
al usuario e inducirlo a que abra el archivo infectado. El factor
humano sigue siendo el principal talón de Aquiles.

Muchos no se podrán reprimir al recibir un mensaje del FBI o de la CIA
donde se le acusa de que su dirección IP ha sido registrada en más de
30 sitios webs ilegales, y le insten a contestar un cuestionario
adjunto.

Otras excusas que utiliza esta nueva variante de Sober son más
clásicas, como por ejemplo ver vídeos y fotos de las televisivas
Paris Hilton y Nicole Richie.

En el aspecto técnico la nueva variante de Sober no destaca en nada
especial respecto a sus antecesores, sigue las pautas de cualquier
gusano de correo similar: se copia en el directorio de Windows con
varios nombre, incluye las entradas pertinentes en la clave Run del
registro de Windows para asegurarse su ejecución en cada inicio de
sistema, recolecta direcciones de correo a las que enviarse buscando
en los archivos del sistema infectado con determinadas extensiones,
etc.

A efectos prácticos, la recomendación como siempre es mantener
actualizados los antivirus y no abrir archivos adjuntos que no se
han solicitado explícitamente.

En este caso concreto Sober llega como adjunto en un archivo ZIP
de unos 55,6KB, e incluye en su interior el ejecutable infectado
file-packed_datainfo.exe de 55,390 bytes.

Como más de uno habrá apreciado el ZIP no comprime el ejecutable.
Eso es debido a que el EXE original ya ha sido tratado con la
utilidad de compresión UPX.

El hecho de distribuir el gusano como ZIP no viene motivado por
comprimir su tamaño, sino que con toda probabilidad la intención
del creador es poder atravesar los filtros básicos que algunos
administradores tienen configurados en sus servidores de correo
para rechazar ejecutables atendiendo a su extensión.


Bernardo Quintero
bernardo@hispasec.com



martes, 22 de noviembre de 2005

Nueva vulnerabilidad crítica en Internet Explorer

Publicados los detalles de una vulnerabilidad crítica que
afecta a todas las versiones de Internet Explorer en Windows
98, ME, 2000 y XP (así como 2003 si se ha modificado la
configuración estándar). La vulnerabilidad se considera
crítica debido a que permite la ejecución remota de programas,
sin intervención por parte del usuario. En el momento de
redactar este boletín, no hay disponible ningún parche para
evitar esta vulnerabilidad.

Durante el día de ayer, la empresa inglesa ComputerTerrorism
anunció la existencia de una vulnerabilidad crítica de
seguridad en todas las versiones de Internet Explorer. De
hecho, no se trata de una vulnerabilidad nueva ya que
inicialmente fue descrita en mayo del presente año, aunque
en su momento no se evaluó todo su potencial. Inicialmente
descrita como una vulnerabilidad que podía ser utilizada en
ataques de denegación de servicio, el aviso de ayer indicaba
como podía provocar la ejecución automática de código en los
sistemas de los usuarios.

La vulnerabilidad se encuentra en la forma en que Internet
Explorer ejecuta la función Window() de JavaScript cuando se
ejecuta automáticamente en el momento que se abre un documento
(a través de . Tal como se describió en mayo,
esta vulnerabilidad provocaba el cierre inesperado de Internet
Explorer, generando la condición de denegación de servicio.

Hasta ahora no se había conseguido explotar esta
vulnerabilidad para conseguir la ejecución remota de código.
Ayer, ComputerTerrorism describió una forma simple de sacar
provecho del problema para permitir la ejecución de código.
Y para demostrarlo, ha publicado una prueba de concepto
donde se ejecuta automáticamente la calculadora de Windows,
sin ninguna intervención por parte del usuario.

Microsoft ha reconocido la existencia de esta vulnerabilidad,
explotable en todas las versiones de Internet Explorer en
Windows 98 Second Edition, Windows ME, Windows 2000 con
Service Pack 4 y Windows XP Service Pack 2. Según Microsoft,
Windows Server 2003 no es vulnerable, siempre que se mantenga
la configuración por defecto de seguridad (lo que en la
mayoría de casos no es posible debido a las limitaciones
operativas de esa configuración por defecto).

También están afectados por esta vulnerabilidad aquellos
programas que utilizan el motor de Internet Explorer para la
visualización de contenido HTML. Entre estos programas se
encuentra Outlook Express, Outlook 2002 y Outlook 2003 cuando
visualizan los mensajes HTML.

En el caso de Outlook, Microsoft recomienda una serie de
medidas para mitigar el alcance de la vulnerabilidad, como la
utilización de zonas restringidas donde no se permita la
utilización de Active Scripting. No obstante, esto no impide
que un usuario se vea afectado por la vulnerabilidad si hace
clic en un enlace contenido dentro de un mensaje HTML.

La forma más eficiente de evitar esta vulnerabilidad pasa por
desactivar el soporte de JavaScript en Internet Explorer. Otra
forma, igualmente eficiente de evitar esta vulnerabilidad
consiste en utilizar un navegador diferente, como por ejemplo
Firefox.


Xavier Caballé
xavi@hispasec.com


Más información:

Internet Explorer JavaScript Window() Remote Code Execution
http://www.computerterrorism.com/research/ie/ct21-11-2005

Prueba de concepto
http://www.computerterrorism.com/research/ie/poc.htm

Internet Explorer 0-day exploit
http://isc.sans.org/diary.php?storyid=874

Microsoft Internet Explorer - Crash on JavaScript "window()"-
calling
http://marc.theaimsgroup.com/?l=bugtraq&m=111746394106172&w=2

Microsoft Internet Explorer "Window()" Remote Code Execution
http://www.frsirt.com/exploits/20051121.IEWindow0day.php

Aviso de seguridad de Microsoft: Vulnerability in the way
Internet Explorer Handles onLoad Events Could Allow Remote
Code Execution
http://www.microsoft.com/technet/security/advisory/911302.mspx

lunes, 21 de noviembre de 2005

Salto de restricciones de seguridad en Qualcomm WorldMail

Se ha anunciado una vulnerabilidad en Qualcomm WorldMail que puede
permitir a atacantes remotos autenticados el acceso a mensajes de
otros usuarios o mover carpetas del sistema.

Qualcomm WorldMail es un servidor de correo de la compañía Qualcomm
(conocida por el lector de correo Eudora), que incluye soporte para
IMAP, POP3, SMTP, y correo web.

Se han confirmado como vulnerables los sistemas Qualcomm Worldmail
Server 3.0. El problema reside en el soporte de diversos comandos
del protocolo IMAP, que permiten especificar carpetas fuera del
buzón del usuario actual. Mediante la habitual secuencia de "../"
el atacante podrá escapar de su directorio de trabajo actual, para
leer mensajes de otros usuarios o mover carpetas del sistema.

Para la explotación exitosa es necesario que el usuario esté
autenticado en el servicio IMAP. Como contramedida se recomienda
desactivar el protocolo IMAP y emplear POP3 en su lugar.


Antonio Ropero
antonior@hispasec.com


Más información:

Qualcomm WorldMail IMAP Server Directory Traversal Vulnerability
http://www.idefense.com/application/poi/display?id=341&type=vulnerabilities&flashstatus=true

domingo, 20 de noviembre de 2005

Ejecución remota de código en Novell NetMail

Se ha anunciado la existencia de una vulnerabilidad en Novell NetMail
por la que un usuario remoto podría llegar a ejecutar código arbitrario
en los sistemas afectados.

El problema reside en un desbordamiento de búfer en el servicio IMAP,
de forma que un usuario remoto que logre la conexión podrá explotarlo
para ejecutar código arbitrario en el sistema.

Novell ha publicado una corrección Field Test File (3.52e FTF 1),
disponible en las siguientes direcciones (según plataforma):
Para NetWare:
http://support.novell.com/servlet/filedownload/sec/ftf/nm352e_ftf1_nw.zip
Para Linux:
http://support.novell.com/servlet/filedownload/sec/ftf/nm352e_ftf1_lx.tgz
Para Windows:
http://support.novell.com/servlet/filedownload/sec/ftf/nm352e_ftf1_win.zip


Antonio Ropero
antonior@hispasec.com


Más información:

NetMail 3.52e FTF 1 for Linux
http://support.novell.com/cgi-bin/search/searchtid.cgi?/2972665.htm

NetMail 3.52e FTF 1 for Windows
http://support.novell.com/cgi-bin/search/searchtid.cgi?/2972673.htm

NetMail 3.52e FTF 1 for NetWare
http://support.novell.com/cgi-bin/search/searchtid.cgi?/2972672.htm

sábado, 19 de noviembre de 2005

Dos vulnerabilidades en Cisco 7920 Wireless IP Phone

Se han descubierto dos vulnerabilidades en Cisco 7920 Wireless IP
Phone con firmware 2.0 y anteriores que puede ser explotables por
usuarios maliciosos para acceder a información potencialmente
sensible, modificar ciertos datos o provocar denegaciones de
servicio en dichos dispositivos.

El primero de los problemas se debe a que el servicio SNMP que se
ejecuta en el teléfono utiliza cadenas predeterminadas de solo
lectura y de lectura y escritura 'public' y 'private' que no
pueden ser cambiadas por el usuario. Esto puede ser explotado
por atacantes para acceder y modificar datos de configuración
del dispositivo (como datos almacenados por el usuario como
entradas de la agenda telefónica) utilizando peticiones
GetRequest y SetRequest SNMP al teléfono.

La segunda vulnerabilidad reside en que el teléfono IP escucha
en el puerto 17185/udp para recibir conexiones del debugger
VxWorks, lo que puede ser explotado por un atacante remoto
para acceder a información de debug o para provocar
denegaciones de servicio.

Las actualizaciones están disponibles en la siguiente dirección:
http://www.cisco.com/warp/public/707/cisco-sa-20051116-7920.shtml#software


Julio Canto
jcanto@hispasec.com


Más información:

Cisco Security Advisory: Fixed SNMP Communities and Open UDP Port in Cisco 7920 Wireless IP Phone
http://www.cisco.com/warp/public/707/cisco-sa-20051116-7920.shtml

viernes, 18 de noviembre de 2005

Múltiples actualizaciones para SCO Openserver

Santa Cruz Operation (SCO) ha anunciado la disponibilidad de un pack de mantenimiento, bastante voluminoso, que corrige un número muy elevado de vulnerabilidades explotables remotamente en la rama 5.x de SCO Openserver, que confieren a la actualización carácter extremadamente crítico.

SCO Openserver es una solución UNIX propietaria, conocida anteriormente como SCO UNIX y SCO ODT. Originalmente, SCO UNIX nació como derivado de la combinación de AT&T System V 3.2 y la inclusión de controladores y aplicaciones de SCO Xenix. Se da la circunstancia de que Xenix es a su vez un producto desarrollado originalmente por Microsoft Corporation en la década de los 80, y cuyos derechos de explotación fueron adquiridos por SCO, con lo que trayectoria de Openserver es cuando menos, curiosa e inusual.

Las actualizaciones propuestas, aglutinadas en el Pack 4, solventan problemas que podrían implicar, en equipos no actualizados, ataques basados en multitud de técnicas en extremo peligrosas: Denegación de servicio como mal menor, siendo factible el acceso no autorizado a los sistemas, la revelación de información sensible, la adulteración de datos, la conducción de ataques spoofing, el salto de restricciones de seguridad y los ataques basados en Cross-Site scripting.

La solución para administradores Openserver pasa por la instalación del pack de mantenimiento 4, que incluye parches para la totalidad de los problemas resueltos. Destacan las actualizaciones de diferentes productos Mozilla, Squid, zlib, gzip, WU-FTPD, Perl, PHP, libTIFF, bzip2, NetScreen-IDP y libpng, entre otras.


Sergio Hernando
shernando@hispasec.com


Más información:

Aviso original
ftp://ftp.sco.com/pub/updates/OpenServer/SCOSA-2005.49/SCOSA-2005.49.txt

Parche de actualización Pack 4 for SCO OpenServer 5.0.7.
ftp://ftp.sco.com/pub/openserver5/507/mp/osr507mp4/osr507mp4_vol.tar

jueves, 17 de noviembre de 2005

Sony abandona el rootkit anticopia

Tras detectarse más problemas de seguridad relacionados con el
software anticopia de Sony, incluyendo una vulnerabilidad grave en el
ActiveX que ofreció a sus clientes para corregir el problema original,
Sony abandona la producción de CDs que incluyen el rootkit.

La situación comenzaba a ser insostenible. A todo lo dicho sobre las
posibilidades de ocultación que ofrecía al malware se sucedió la
detección de una vulnerabilidad, en el driver del rootkit, que permite
a cualquier usuario local escalar privilegios, ejecutar código
en modo kernel, y conseguir el control total del sistema afectado.

La gota que colmaba el vaso apareció publicada, otra vez, en un blog.
En este caso Edward Felten, profesor de la universidad de Princenton,
confirmaba, incluyendo una prueba de concepto, que la utilidad
facilitada por Sony para desinstalar el rootkit introducía un nuevo
agujero de seguridad en los sistemas.

El problema es que el ActiveX ofrecido como solución por Sony podía
ser llamado desde cualquier web, no sólo desde el servidor de Sony
BMG. Un atacante podía diseñar una web que al ser visitada,
aprovechándose del ActiveX instalado por Sony en el sistema del
usuario, descargara y ejecutara cualquier programa de forma
transparente.

A efectos prácticos, y como efecto colateral, los clientes de Sony
que utilizaron el ActiveX ofrecido para desinstalar el rootkit
abrían la puerta de sus sistemas a un atacante externo.

A todo el aluvión de críticas, en aumento por la serie de nuevos
descubrimientos que afectaban a la seguridad de los sistemas, Sony
también comenzaba a sufrir la presión judicial a base de demandas,
y las casas de seguridad se animaban a identificar como malicioso
su software.

Aunque le ha costado reaccionar, Sony por fin comienza a rectificar.
En primer lugar ha anunciado que abandona la producción de nuevos
CDs con el sistema anticopia que incluye el rootkit.

Tras este anuncio, el problema son los cuatro millones de CDs que
según Sony han sido producidos con el citado sistema anticopia, y
los más de dos millones de esos CDs que ya han sido adquiridos por
sus clientes. Aunque aun no ha dado detalles, Sony afirma que
retirará los CDs y los afectados podrán cambiar los ya adquiridos
por unos nuevos sin el sistema anticopia.

El de Sony no es un caso aislado, no es el primero ni será el último
que utilice este tipo de estrategias intrusivas, si bien ha sido el
que más repercusión mediática ha levantado. En parte por ser quién es,
llamarse Sony tiene un precio, y en parte por no haber tenido reflejos
a tiempo para amainar el temporal.

Es importante que la presión ejercida desde todos los ámbitos haya
forzado, de momento, a una rectificación. A falta de saber la
repercusión final que pueda tener en las cuentas de Sony, sirva el
incidente como aviso a navegantes para aquellas otras empresas que
puedan utilizar estrategias similares.


Bernardo Quintero
bernardo@hispasec.com


Más información:

Sony BMG Bundled Software Vulnerabilities
http://xforce.iss.net/xforce/alerts/id/208

Sony's Web-Based Uninstaller Opens a Big Security Hole
http://www.freedom-to-tinker.com/?p=927

Muzzy's research about Sony's XCP DRM system
http://hack.fi/~muzzy/sony-drm/

Sony to pull controversial CDs, offer swap
http://www.usatoday.com/tech/news/computersecurity/2005-11-14-sony-cds_x.htm?csp=34

Sony utiliza un rootkit que pone en riesgo la seguridad de sus clientes
http://www.hispasec.com/unaaldia/2566

Primer troyano que aprovecha el rootkit de Sony
http://www.hispasec.com/unaaldia/2574

miércoles, 16 de noviembre de 2005

Desbordamiento de búfer en Veritas Storage Foundation

Se ha anunciado la existencia de una vulnerabilidad de desbordamiento
de búfer en el popular software de almacenamiento Veritas Storage
Foundation.

Veritas Storage Foundation combina Veritas Volume Manager y Veritas
File System para proporcionar una solución completa para la gestión
de almacenamiento online.

Los problemas se han encontrado en las diferentes versiones para
plataformas UNIX, exceptuando la versión 4.1 y todas las versiones
para Windows. Concretamente se trata de un desbordamiento de búfer,
explotable localmente, en la variable de entorno VCSI18N_LANG,
empleada por diversas aplicaciones setuid root en Storage Foundation.

Se recomienda la aplicación de los parches publicados y disponibles
desde http://support.veritas.com/docs/279870. Symantec también ha
confirmado la existencia de código que permite la explotación
efectiva de la vulnerabilidad.


Antonio Ropero
antonior@hispasec.com


Más información:

Veritas Storage Foundation VCSI18N_LANG buffer overflow
http://www.digitalmunition.com/DMA%5B2005-1112a%5D.txt

VERITAS Cluster Server for UNIX: Local Access Buffer Overflow Vulnerability
http://www.symantec.com/avcenter/security/Content/2005.11.08a.html

VERITAS Storage Foundation Buffer Overflow
http://www.securiteam.com/unixfocus/6A00H15EKK.html

martes, 15 de noviembre de 2005

Denegación de Servicio en diversos productos Cisco

Cisco ha anunciado que una cierta cantidad de sus productos se ven
afectados por una vulnerabilidad en el procesamiento de mensajes IPSec
IKE (Internet Key Exchange). Un atacante que explote adecuadamente
este problema provocaría denegaciones de servicio en los dispositivos
afectados.

Los dispositivos Cisco que utilicen las siguientes versiones de
software y estén configurados para usar IKE son vulnerables al
problema:
* Cisco IOS versiones basadas en 12.2SXD, 12.3T, 12.4 y 12.4T
* Cisco PIX Firewall versiones anteriores a la 6.3(5)
* Cisco PIX Firewall/ASA versiones anteriores a la 7.0.1.4
* Cisco Firewall Services Module (FWSM) versiones anteriores a la 2.3(3)
* Cisco VPN 3000 Series Concentrators versiones anteriores a las
4.1(7)H y 4.7(2)B
* Cisco MDS Series SanOS versiones anteriores a la 2.1(2)

El problema se debe a que los dispositivos Cisco vulnerables no
procesan adecuadamente paquetes IKE malformados, lo que provoca la
reinicialización del proceso IKE en el caso de los Cisco MDS Series, y
la del dispositivo en sí en el resto de productos afectados.

Las vulnerabilidades identificadas pueden ser fácilmente reproducibles
utilizando la suite de pruebas para IKE OUSPG 'PROTOS'.

La matriz de actualizaciones para las distintas versiones afectadas
puede encontrarse en la notificación oficial de Cisco:
http://www.cisco.com/warp/public/707/cisco-sa-20051114-ipsec.shtml


Julio Canto
jcanto@hispasec.com


Más información:

Cisco Security Advisory: Multiple Vulnerabilities Found by PROTOS IPSec Test Suite
http://www.cisco.com/warp/public/707/cisco-sa-20051114-ipsec.shtml

lunes, 14 de noviembre de 2005

Actualización de in.named para Sun Solaris 9

Se ha descubierto una vulnerabilidad en Sun Solaris 9 que
potencialmente puede ser explotada por usuarios maliciosos para
provocar denegaciones de servicio.

La vulnerabilidad se debe a errores localizados en 'in.named' a la
hora de tratar cierto tipo de peticiones. Esto puede ser explotado
para provocar que el servidor haga peticiones DNS innecesarias a
servidores DNS raíz buscando direcciones IPv6 que en realidad ya
estaban cacheadas.

Las direcciones para descargar los paquetes actualizados (según
plataforma) son las siguientes:
Solaris 9 (sparc):
http://sunsolve.sun.com/pub-cgi/pdownload.pl?target=112970-09&method=f
Solaris 9 (x86):
http://sunsolve.sun.com/pub-cgi/pdownload.pl?target=114354-08&method=f


Julio Canto
jcanto@hispasec.com


Más información:

The in.named(1M) Process May Make Unnecessary Queries Causing a Denial of Service
http://sunsolve.sun.com/search/document.do?assetkey=1-26-102030-1

domingo, 13 de noviembre de 2005

Desbordamiento de búfer en tratamiento de archivos de RealPlayer

Se han descubierto dos vulnerabilidades en RealPlayer, RealOne y
HelixPlayer que pueden ser explotadas por usuarios maliciosos para
comprometer sistemas afectados.

La primera se debe a un error en el tratamiento de signos cuando se
trata con información contenida en archivos en formato Real Media
(.rm), lo que puede ser explotado por un atacante para provocar un
desbordamiento de búfer si la víctima lo reproduce con algunos de los
siguientes productos:
* RealPlayer 10.5 (6.0.12.1040-1235) (Windows)
* RealPlayer 10 (Windows)
* RealOne Player v1 (Windows)
* RealOne Player v2 (Windows)
* RealPlayer 8 (Windows)
* RealPlayer Enterprise versions 1.1, 1.2, 1.5, 1.6 y 1.7 (Windows)
* RealPlayer 10 (10.0.0.305 - 331) (Mac)
* RealPlayer 10 (10.0.0 - 10.0.5) (Linux)
* Helix Player (10.0.0 - 10.0.5) (Linux)

La explotación con éxito de la vulnerabilidad permitiría ejecutar
código arbitrario en la máquina afectada.

La segunda vulnerabilidad se debe a un error a la hora de extraer el
contenido de archivos "skin" de RealPlayer (.rjs). Esto puede ser
explotado por el atacante si la víctima intenta utilizar un archivo
malicioso de este tipo, al provocar un desbordamiento de búfer basado
en heap dentro de la librería DUNZIP32.DLL. Los productos afectados
por esta vulnerabilidad son los siguientes:
* RealPlayer 10.5 (6.0.12.1040-1235) (Windows)
* RealPlayer 10 (Windows)
* RealOne Player v1 (Windows)
* RealOne Player v2 (Windows)
* RealPlayer 8 (Windows)

Se recomienda actualizar a las siguientes versiones según producto y
plataforma:

Plataforma Windows:
* RealPlayer 10.5 / RealOne Player v1 (en inglés) / RealOne Player v2
/ RealPlayer 10:
Actualizar con la opción 'Comprobar actualizaciones' en el menú de
herramientas, o bien descargar el parche pertinente desde la siguiente
dirección:
http://service.real.com/help/faq/security/051110_player/EN/
* RealPlayer 8 (versión 6.0.9.584):
Actualizar con la opción 'Comprobar actualizaciones' en el menú de
herramientas, o bien descargar el parche pertinente desde la siguiente
dirección:
http://service.real.com/help/faq/security/051110_player/EN/
* RealPlayer Enterprise:
Aplicar el siguiente parche:
http://service.real.com/help/faq/security/security111005.html

Plataforma Mac OS X:
* RealPlayer 10:
Actualizar con la opción 'Comprobar actualizaciones' en el menú
"RealPlayer".
Los usuarios de RealOne Player para Mac OS X tienen que actualizar a
RealPlayer 10 para Mac OS X para después aplicar la actualización.

Plataforma Linux:
* RealPlayer 10 para Linux:
Descargar la actualización desde la siguiente dirección:
http://www.real.com/linux
* Helix Player para Linux:
Descargar la actualización desde la siguiente dirección:
https://player.helixcommunity.org/2005/downloads/


Julio Canto
jcanto@hispasec.com


Más información:

RealPlayer Zipped Skin File Buffer Overflow II
http://www.eeye.com/html/research/advisories/AD20051110b.html

RealPlayer Data Packet Stack Overflow
http://www.eeye.com/html/research/advisories/AD20051110a.html

sábado, 12 de noviembre de 2005

Gusano Lupper/Lupii, malware diseñado para sistemas Linux

Ningún sistema está a salvo del malware. Pese a que en este caso
particular la severidad del troyano ha sido calificada por los
laboratorios como escasa, no deja de ser relevante que el troyano
explote vulnerabilidades ajenas a Microsoft Windows, objetivo habitual
del malware. En esta ocasión, el troyano está orientado a la explotación
de los problemas XML-RPC en servidores de PHP en máquinas Linux.

La vulnerabilidad que ha dado origen a este espécimen data originalmente
del 29 de junio de 2005, fecha en la que James Bercegay notificó que
existía un problema de seguridad en XML-RPC para PHP, y que explotada
exitosamente podría conducir al atacante a comprometer un sistema
vulnerable. Los datos de entrada de un documento XML que no estuvieran
correctamente saneados antes de ser empleados en la función de evaluación
"eval()" podrían ser, en ausencia del saneado, empleados para inyectar
código arbitrario a través de documentos XML especialmente preparados.

Pese a que el problema lleva resuelto desde hace tiempo, bien es sabido
que no todo el mundo actualiza sus sistemas con la conveniente celeridad
y no menos cierto es que la administración de sistemas es compleja y a
veces los usuarios se conforman con que aquello que han instalado,
simplemente, funcione. De hecho, hay multitud de servidores PHP con
soporte XML-RPC no actualizados en la actualidad, lo que faculta al
troyano a poder explotar la vulnerabilidad.

Los investigadores de SANS han realizado análisis del troyano y han
determinado que realiza operaciones de escucha y comunicación empleando
el puerto UDP 7111 a través de la función "audp_listen", función invocada
habitualmente para la creación de sockets. Los valores de socket, número
de puerto y la información genérica del socket se almacenan en la variable
global "udpserver". El gusano instala un troyano usando wget, y permite
en caso de vulnerabilidad, tal y como se ha especificado, la ejecución de
código arbitrario con los privilegios del usuario del servidor web, lo
cual resta importancia al problema. El troyano efectúa peticiones a
servidores Web, y según los investigadores, los sistemas sin actualizar
podrían necesitar una purga completa y una reinstalación del sistema
operativo para su vuelta a la normalidad.

El troyano ya ha sido bautizado por los distintos laboratorios antivirus:
A las 12:10 p.m del día 9 de noviembre de 2005, los motores antivirus
denominan al espécimen tal y como sigue (resultados tomados de
VirusTotal.com)

AntiVir: Worm/Linux.Lupper.A
Avira: Worm/Linux.Lupper.A
ClamAV: Exploit.Linux.Lupii
DrWeb: Linux.Lupii
eTrust-Vet: Linux/Lupper.B
Fortinet: Linux/Lupper.X-exploit
F-Prot: Unix/Lupii.A
Kaspersky: Net-Worm.Linux.Lupper.a
McAfee: Linux/Lupper.worm
NOD32v2: Linux/Lupper.A
Norman: Linux/Lupper.A
Sophos: Linux/Lupper-B
Symantec: Linux.Plupii

La cantidad enorme de sistemas y aplicaciones susceptibles de sufrir los
efectos del troyano, es amplísima: todos aquellos productos que en su
día eran susceptibles de la vulnerabilidad XML-RPC descrita, y que no
hayan sido actualizados hasta la fecha, podrían ser víctimas del troyano:
Debian, SuSe, Redhat, Ubuntu, Trustix, Gentoo, Red Hat Enterprise, Fedora
Core, Conectiva, Mandriva, Turbolinux, Sun Cobalt, Xoops, Wordpress,
Tikiwiki, Postnuke, phpWebsite, PHPHGroupWare, Drupal ...

Se recomienda a los administradores de soluciones que aparezcan como
vulnerables (consúltese enlace al pie del mensaje) que actualicen las
mismas de modo inmediato.


Sergio Hernando
shernando@hispasec.com


Más información:

XML-RPC for PHP Vulnerability Attack
http://isc.sans.org/diary.php?storyid=823

XML-RPC for PHP Remote Code Injection Vulnerability
http://www.securityfocus.com/bid/14088/

Listado de aplicaciones vulnerables
http://www.securityfocus.com/bid/14088/info

viernes, 11 de noviembre de 2005

Múltiples vulnerabilidades en SAP Web Application Server

Se han diagnosticado tres fallos en el servidor de aplicaciones Web de
SAP, todas confirmadas por el fabricante, que ha emitido los parches
correspondientes.

SAP AG (Systeme, Anwendungen und Produkte) (Sistemas, Aplicaciones y
Productos) es un importante proveedor de aplicaciones de gestión
empresarial, sólo superado en capitalización de mercado por Microsoft,
IBM y Oracle.

El servidor de aplicaciones web de SAP (WAS, Web Application Server) es
un componente que permite interactuar con el software de gestión a través
de un servidor Web. La plataforma está basada en estándares abiertos, y
constituye un elemento crucial en la tecnología mySAP.

El primero de los problemas, detectados por el equipo de investigación de
CYBSEC, es un vector de phishing en WAS que afecta a las versiones SAP WAS
6.10, 6.20, 6.40 y 7.00, explotable de modo remoto. Este fallo se debe a
que el parámetro "sap-exiturl" permite URLs absolutas, lo que combinado
con el parámetro "sap-sessioncmd", habilitaría la posibilidad de conducir
un ataque phishing.

El segundo de los problemas, de criticidad media, es un conjunto de
múltiples vulnerabilidades Cross-Site Scripting, también explotables de
modo remoto, y afecta a las mismas versiones citadas anteriormente. Los
ataques XSS posibles se basan en inyección de código JavaScript. Se han
detectado tres vectores de ataque posibles: páginas de error, el parámetro
"syscmd" y SYSTEM PUBLIC.

Por último, el servidor WAS es susceptible de un problema crítico en el
parámetro sap-exiturl, que posibilitaría un ataque remoto basado en la
fragmentación en la respuestas http. Fragmentación que haría que a partir
de una sola cabecera se considerasen dos cabeceras distintas. Al igual que
en los dos casos anteriores, las versiones afectadas son SAP WAS 6.10, 6.20,
6.40 y 7.00

La recomendación más lógica ante estos problemas es que los administradores
SAP actualicen mediante los parches liberados. Es igualmente aconsejable
seguir los protocolos de acción descritos por el equipo de CYBSEC y que
aparecen bajo el epígrafe "más información".


Sergio Hernando
shernando@hispasec.com


Más información:

CYBSEC Security Advisory - Phishing Vector in SAP WAS
http://www.cybsec.com/vuln/CYBSEC_Security_Advisory_Phishing_Vector_in_SAP_WAS.pdf

CYBSEC Security Advisory - Multiple XSS in SAP WAS
http://www.cybsec.com/vuln/CYBSEC_Security_Advisory_Multiple_XSS_in_SAP_WAS.pdf

CYBSEC Security Advisory - HTTP Response Splitting in SAP WAS
http://www.cybsec.com/vuln/CYBSEC_Security_Advisory_HTTP_Response_Splitting_in_SAP_WAS.pdf

jueves, 10 de noviembre de 2005

Primer troyano que aprovecha el rootkit de Sony

Detectado, tal y como era previsible, el primer troyano que se
aprovecha del rootkit instalado por el sistema anticopia de Sony para
ocultarse en los sistemas.

Como ya comentamos en una nota anterior, entre las diversas funciones
que el sistema anticopia de Sony instala, a modo de rootkit, destaca
que oculta por defecto todas las entradas del registro, procesos,
carpetas y archivos cuyo nombre comiencen por "$sys$".

Tal y como ya fue advertido, pese a la negativa de Sony, esa
característica suponía una brecha en la seguridad de Windows. Ya que
cualquier malware podría utilizar un nombre que comience por "$sys$"
para, automáticamente, permanecer oculto en los sistemas que hubieran
utilizado un CD original con el sistema de protección de Sony.

Hoy se ha detectado el envío mediante spam de un malware que utiliza
exactamente esa técnica, hospedándose en el directorio de sistema de
Windows bajo el nombre de "$sys$drv.exe". El troyano se conecta a un
servidor IRC donde puede recibir diferentes órdenes de los atacantes,
hasta el punto de poder instalar otros programas maliciosos y obtener
el control total del sistema infectado.

Las características de este troyano y su incidencia son irrelevantes.
De hecho, un error del creador del troyano hace que no se ejecute
tras reiniciar el sistema, al no introducir correctamente la entrada
en el la clave RUN del registro de Windows. Detalles sobre el error
del creador del troyano en http://blog.hispasec.com/laboratorio/72

Lo destacado de este caso es que pone en evidencia la táctica
intrusiva utilizada por Sony en su sistema anticopia, que además
pone en un riesgo innecesario a sus clientes.

Lo cierto es que, lejos de rectificar, Sony está realizando una
gestión nefasta de este caso, que va en contra de sus propios
intereses y los de la industria discográfica en general.

En primer lugar negando el peligro de su sistema anticopia, que ya
era evidente y que a día de hoy está demostrado con un incidente
real. Mientras que siempre se ha defendido que las copias originales
protegían al usuario contra problemas de seguridad, Sony acaba de
demostrar que también se puede dar el caso inverso.

En segundo lugar poniendo trabas y alimentando especulaciones con
el método para permitir desinstalar el rootkit, desde solicitar la
dirección de e-mail, hasta capturar de forma oculta información
sobre el hardware del ordenador del cliente. Para los que quieran
ahondar en este tema no se pierdan la segunda entrega de Mark
Russinovich (en inglés):
http://www.sysinternals.com/blog/2005/11/sony-you-dont-reeeeaaaally-want-to_09.html

Con estas acciones no ha hecho más que aumentar el desconcierto y
la indignación de los usuarios. En los foros de Internet se puede
leer comentarios de clientes que aseguran no volverán a comprar
CDs con sistemas anticopia, y algunos van más allá y rechazan los
productos de Sony.

El incidente no sólo ha quedado en protestas más o menos encendidas
de usuarios particulares, sino que ya están emprendiendo
investigaciones y acciones legales contra Sony en, al menos,
California, New York e Italia.


Bernardo Quintero
bernardo@hispasec.com


Más información:

Sony utiliza un rootkit que pone en riesgo la seguridad de sus clientes
http://www.hispasec.com/unaaldia/2566

Bug en el primer troyano que aprovecha el rootkit de Sony
http://blog.hispasec.com/laboratorio/72

Sony: You don't reeeeaaaally want to uninstall, do you?
http://www.sysinternals.com/blog/2005/11/sony-you-dont-reeeeaaaally-want-to_09.html

Calif. Lawsuit Targets Sony
http://blogs.washingtonpost.com/securityfix/2005/11/calif_ny_lawsui.html

Italian Police Asked to Investigate Sony DRM Code
http://www.pcworld.com/news/article/0,aid,123454,00.asp

miércoles, 9 de noviembre de 2005

Spyware comercial: ¿deben ser detectados?

Uno de tantos spyware que se venden para espiar sistemas Windows,
que permite capturar contraseñas y visualizar en tiempo real el
escritorio de la víctima, intenta escapar de los antivirus y
antispyware al incluir en su copyright una cláusula específica.

A continuación reproducimos un extracto del original:


This software package is a copyrighted product. As such the owner of
the copyright expressly forbids any use, disassembly, examinination
and/or modification by anyone who works for or has any relationship or
link to an AntiSpy or AntiVirus software house or related company.

If you do produce a program that will affect this softwares ability to
perform its function then you may have to prove in criminal court that
you have not infringed this warning.

Infingement of a copyright licence is a criminal offence.



Básicamente viene a decir que ni permite el análisis de su programa
ni que sea detectado/eliminado por parte de las soluciones antivirus
y antispyware, amenazando con llevar a juicio a quién lo haga.

De los motores antivirus que tenemos en VirusTotal, en el momento
de escribir estas líneas sólo detectan a este spyware:

AntiVir [Heuristic/Trojan.PwdStealer]
Avira [Heuristic/Trojan.PwdStealer]
Fortinet [suspicious]
McAfee [BackDoor-CTQ]
VBA32 [suspected of Malware.Agent.32]

Tampoco lo detectan ni Microsoft AntiSpyware ni Spybot.

Aunque hemos tenido conocimiento de que el autor del spyware escribe
amenazando con acciones legales a los productos que lo incluyen en
sus firmas, es de suponer y esperar que la no detección explícita
por parte de muchos productos no se deba al intento de chantaje, y
que en breve el resto de motores lo incorporarán con el mismo
tratamiento que al resto del malware.

Lo cierto es que es un terreno farragoso, el spyware o malware
comercial existe, las presiones entre antivirus y empresas que no
quieren ver su software identificado como malware también.

Uno de los casos más llamativos ha sido el incidente protagonizado
por el sistema anticopia de Sony, que al instalar un rootkit en
los sistemas de los clientes legítimos que abría una brecha en la
seguridad de Windows.

Por desgracia no siempre pesa más la balanza de los derechos del
usuario y su protección.


Bernardo Quintero
bernardo@hispasec.com


Más información:

Sony utiliza un rootkit que pone en riesgo la seguridad de sus clientes
http://www.hispasec.com/unaaldia/2566

martes, 8 de noviembre de 2005

Vulnerabilidades en motor de proceso de gráficos de sistemas Windows

Hoy segundo martes de noviembre Microsoft ha publicado las
actualizaciones desarrolladas desde el pasado mes. En esta ocasión
sólo se ha publicado una nueva actualización calificada como crítica.
El problema, que podría permitir la ejecución remota de código, afecta
a los sistemas Windows 2000, Windows XP y Windows Server 2003.

Microsoft ha publicado el boletín MS05-053, en el que alerta de tres
vulnerabilidades que podrían llegar a permitir que un atacante remoto
consiga control total en los sistemas afectados.
123456789012345678901234567890123456789012345678901234567890123456789012
La primera vulnerabilidad anunciada reside en el tratamiento de los
formatos de imagen de metarchivos de Windows (WMF) y metarchivos
mejorados (EMF), concretamente un desbordamiento de búfer en la
presentación de los formatos de imagen afectados. Cualquier aplicación
que presente imágenes WMF o EMF en los sistemas afectados podría ser
vulnerable a este tipo de ataques, que podrían permitir la ejecución
remota de código en un sistema afectado.

El segundo problema consiste en un desbordamiento de búfer en el
tratamiento de los formatos de imagen de metarchivos de Windows (WMF).
Igualmente puede producir la ejecución remota de código en un sistema
afectado.

Por último, una vulnerabilidad de denegación de servicio en el
tratamiento del formato de imagen de metarchivos mejorados (EMF)
que podría hacer que cualquier programa que procese imágenes EMF
quedara vulnerable a ataques. Un atacante que aprovechara esta
vulnerabilidad podría provocar que el programa afectado dejara
de responder

Microsoft ha publicado las siguientes actualizaciones:
Microsoft Windows 2000 Service Pack 4:
http://www.microsoft.com/downloads/details.aspx?FamilyId=F361FCCB-B273-47E7-BB15-BC9C27073446
Microsoft Windows XP:
http://www.microsoft.com/downloads/details.aspx?FamilyId=E38372B2-3BF6-4393-B9A4-F34248C8073E
Microsoft Windows XP Professional x64 Edition:
http://www.microsoft.com/downloads/details.aspx?FamilyId=086C6878-916C-4A4F-8CA8-A4C0E304FDA4
Microsoft Windows Server 2003:
http://www.microsoft.com/downloads/details.aspx?FamilyId=CEE3DD3B-3C20-47A9-8BBD-1EA2FBB4AF96
Microsoft Windows Server 2003 para sistemas con Itanium:
http://www.microsoft.com/downloads/details.aspx?FamilyId=CCFF22BB-ADC4-4974-813C-7721BDB842C0
Microsoft Windows Server 2003 x64 Edition:
http://www.microsoft.com/downloads/details.aspx?FamilyId=F1ADB6E4-0A08-496C-B94C-A1B37178914A


Antonio Ropero
antonior@hispasec.com


Más información:

Microsoft Security Bulletin MS05-053
Vulnerabilities in Graphics Rendering Engine Could Allow Code Execution
http://www.microsoft.com/technet/security/Bulletin/MS05-053.mspx

lunes, 7 de noviembre de 2005

Grave vulnerabilidad en Macromedia Flash Player

El equipo de desarrollo de Macromedia ha informado de la existencia de
un problema de seguridad en el reproductor Flash Player catalogado como
altamente crítico.

Macromedia Flash Player es un popular reproductor multimedia, creado
y distribuido por Macromedia, de ficheros Shockwave Flash(SWF), con
soporte para numerosas plataformas: Microsoft Windows, Linux, Mac OS,
Solaris, HP-UX y OS/2 entre otras.

El problema, descubierto en primera instancia por el personal de
investigación de eEye Digital Security, radica en que un atacante
malintencionado podría lograr, de modo remoto, la ejecución de código
arbitrario, y por tanto, comprometer seriamente los equipos con
versiones no actualizadas.

Cuando el navegador o aplicación lectora de Flash carga un fichero
Shockwave SWF, obtiene un parámetro identificador del tipo de marco
utilizado. Un error de diseño provoca que no se valide el parámetro
leído, y dado que ese valor se utiliza como índice en el componente
Flash.ocx para referir a una matriz de punteros, sería posible, a
través de un SWF especialmente creado, hacer referencias a porciones
de memoria que estén bajo el control del atacante, asumiendo Flash
Player el uso de los valores suministrados por el usuario malicioso.

Las versiones afectadas confirmadas son las pertenecientes las ramas
7.x y 6.x, sin descartárse problemas en ramas anteriores. Dado que el
origen del problema es el componente ActiveX Flash.ocx, sólo están
afectados los sistemas Microsoft Windows, así como los sistemas
clásicos Macintosh, en los que exista el citado componente.

Macromedia ha publicado una versión 8.0.22.0 que corrige el problema
de seguridad. Hispasec recomienda instalar esta versión con la máxima
premura. Para los sistemas donde no se soporte esta versión 8, caso de
algunas versiones Macintosh clásicas así como Microsoft Windows 95 y NT,
se puede instalar un parche corrector 7r61, que garantiza la estanqueidad
ante ficheros SWF de origen malicioso.


Sergio Hernando
shernando@hispasec.com


Más información:

SANS Internet Store Center - Macromedia Flash Player Vulnerability
http://isc.sans.org/diary.php?storyid=826

MPSB05-07 Flash Player 7 Improper Memory Access Vulnerability
http://www.macromedia.com/devnet/security/security_zone/mpsb05-07.html

Descargar Macromedia Flash Player
http://www.macromedia.com/go/getflash

Parche corrector para sistemas que no soportan Flash Player 8.x
http://www.macromedia.com/cfusion/knowledgebase/index.cfm?id=d9c2fe33

domingo, 6 de noviembre de 2005

Actualización de OpenSSL para Red Hat Enterprise Linux 2.1

Red Hat ha publicado una actualización de openssl para sus Enterprise
Linux 2.1 debido a que se han detectado en dicho componente
vulnerabilidades que pueden ser explotadas por usuarios maliciosos
para provocar denegaciones de servicio.

* Una asignación de puntero nulo en la función
'do_change_cipher_spec()' utilizada durante la negociación SSL/TLS
puede ser explotada para provocar la caída de OpenSSL.
* Un error sin especificar en un parche añadido a OpenSSL 0.9.6d hace
un tiempo puede ser utilizado para provocar bucles infinitos.
* Un error de lectura fuera de límites puede darse en una rutina usada
durante la negociación SSL/TLS cuando se usan las ciphersuites
Kerberos.

Red Hat recomienda actualizar los sistemas afectados vía Red Hat
Network:
http://rhn.redhat.com/


Julio Canto
jcanto@hispasec.com


Más información:

openssl security update
http://rhn.redhat.com/errata/RHSA-2005-829.html

sábado, 5 de noviembre de 2005

Desbordamiento de búfer en temporizadores de sistema de Cisco IOS

Cisco ha anunciado la presencia de un error en su IOS (Internetwork
Operating System) que permitiría a un atacante remoto ejecutar código
arbitrario al provocar un desbordamiento de búfer en el heap del
sistema afectado.

La compañía argumenta que en muchos casos, un desbordamiento de este
tipo en Cisco IOS simplemente corromperá la memoria y activará una
recarga del sistema cuando es detectada por el proceso 'Check Heaps'
que monitoriza constantemente este tipo de situaciones.

Sin embargo, un ataque con éxito permitiría la ejecución remota
de código en el dispositivo sin que este caiga o se reinicie. En
cualquier caso, Cisco ha incluido chequeos adicionales de integridad
en el software para reducir la posibilidad de ejecución de código
mediante estas técnicas.

Esta alerta se aplica a los productos Cisco que ejecuten IOS.
Cualquier versión de IOS inferior a las dadas en la matriz de
actualizaciones están afectadas por el problema:
http://www.cisco.com/warp/public/707/cisco-sa-20051102-timers.shtml#software


Julio Canto
jcanto@hispasec.com


Más información:

Cisco Security Advisory: IOS Heap-based Overflow Vulnerability in System Timers
http://www.cisco.com/warp/public/707/cisco-sa-20051102-timers.shtml

viernes, 4 de noviembre de 2005

Múltiples vulnerabilidades en Apple QuickTime 6 y 7

Se ha anunciado la existencia de múltiples vulnerabilidades en Apple
Quicktime, tanto en versiones Windows como para Mac OS X, y que pueden
ser explotadas por usuarios maliciosos para provocar denegaciones de
servicio o incluso, en última instancia, comprometer los sistemas
afectados.

QuickTime es el reproductor de Apple para su tecnología para manejar
vídeo, sonido, animaciones, gráficos y otros contenidos multimedia.

Las versiones afectadas son las 7 para Windows (anteriores a la 7.0.3)
y las 6.5.2 y 7.0.1 para Mac OS X.

Las cuatro vulnerabilidades descubiertas son las siguientes:

* Un problema asociado con una cadena estilo 'Pascal' termina provocando
una extensa copia de memoria, lo que puede ser explotado para provocar
desbordamientos de entero si la víctima reproduce contenidos remotos
maliciosos.

* La falta de un atributo de un archivo de vídeo es interpretado como
una extensión, aunque la falta de extensión no es marcado como error.
Esto lleva a un problema de referencia errónea de punteros, y con ello
la posibilidad de una denegación de servicio si la víctima reproduce
contenido remoto malicioso.

* Otro problema en el tratamiento de atributos de archivos de vídeo
puede resultar en una extensa copia de memoria, explotable para provocar
desbordamientos de entero si la víctima reproduce contenidos maliciosos
remotos.

* Un problema con el tratamiento de tamaños de variables durante el
tratamiento de datos PICT puede ser explotado para provocar
desbordamientos de búfer. Con ello se abre la puerta a la ejecución
remota de código arbitrario si la víctima reproduce contenidos remotos
maliciosos.

Se recomienda actualizar a la versión 7.0.3, disponible en la siguiente
dirección:
http://www.apple.com/support/downloads/quicktime703.html


Julio Canto
jcanto@hispasec.com


Más información:

Piotr Bania
http://pb.specialised.info/all/adv/quicktime-mov-io1-adv.txt
http://pb.specialised.info/all/adv/quicktime-mov-io2-adv.txt
http://pb.specialised.info/all/adv/quicktime-mov-dos-adv.txt
http://pb.specialised.info/all/adv/quicktime-pict-adv.txt

About the security content of QuickTime 7.0.3
http://docs.info.apple.com/article.html?artnum=302772

jueves, 3 de noviembre de 2005

Exposición local de información sensible en traza de sesiones de IBM WebSphere

Se ha identificado una vulnerabilidad en las versiones 5.1.1.3 y
5.1.1.4 de IBM WebSphere que puede ser explotada por usuarios locales
maliciosos para acceder a información sensible.

El problema se debe a un error en el que se pasa información sensible
como parte de URLs codificadas, lo que hace que quede almacenada en
archivos de trazas cuando el el trazador del manager de sesiones se
activa. Esto puede ser explotado por usuarios locales maliciosos para
acceder a dicha información.

La dirección para descargar el parche de actualización que solventa
este problema es la siguiente:
ftp://ftp.software.ibm.com/software/websphere/appserv/support/fixes/PK11017/PK11017_5113.jar

La compañía también informa de que este parche será incluido en los
acumulativos 5.02.15, 5.1.1.8 y el fixpack 6.0.2.5.


Julio Canto
jcanto@hispasec.com


Más información:

PK11017; 5.1.1.4: sensitive info is showing in session trace via session context
http://www-1.ibm.com/support/docview.wss?uid=swg24010781

IBM WebSphere Session Manager Tracing Information Disclosure Issue
http://www.frsirt.com/english/advisories/2005/2291

miércoles, 2 de noviembre de 2005

Sony utiliza un rootkit que pone en riesgo la seguridad de sus clientes

La técnica utilizada por el software anticopia distribuido en algunos
CDs de Sony BMG es similar a la empleada por especímenes de malware
avanzados para evitar ser descubiertos por los antivirus. El problema
se agrava debido a que la instalación de dicho software, que se lleva
a cabo sin informar previamente al usuario que compra y utiliza
legalmente el CD, abre en Windows una brecha de seguridad que pueden
aprovechar virus, gusanos y troyanos.

El término rootkit proviene del mundo Unix, y se emplea para
referirse a un conjunto de herramientas (kit) que tienen como
objetivo que un atacante pueda conseguir y mantener acceso con
máximos privilegios (root), intentando pasar desapercibido para
los administradores del sistema.

En su vertiente en plataformas Windows, el término rootkit se emplea
como adjetivo de aquellas técnicas que permiten a una aplicación
permanecer oculta ante el sistema y las soluciones de seguridad que
se ejecuten en él. A efectos prácticos, las técnicas de rootkit suelen
ser utilizadas para evitar o dificultar que los antivirus detecten
troyanos y spyware, o como aplicaciones independientes ocultas que
una vez instaladas en el sistema descargan otro tipo de malware.

Normalmente los rootkit llevan a cabo su tarea interfiriendo a nivel
de kernel del sistema, por ejemplo mediante la instalación de drivers,
y también pueden actuar reemplazando o modificando aplicaciones
críticas. El fin último del rootkit suele ser que el propio sistema
y el resto de aplicaciones no puedan acceder al rootkit y a los
programas instalados por el atacante, permaneciendo ocultos y
evitando ser detectados.

Por ejemplo, una función básica de un rootkit consiste en que la
carpeta y los programas del atacante no sean visibles cuando el
usuario lista el contenido de su unidad con el Explorador de Windows
o mediante el comando «dir» en línea de comandos. Pero además, esa
función del rootkit puede también evitar que los archivos del
atacante sean analizados cuando le decimos a nuestro antivirus que
analice todo el contenido de nuestras unidades, lo que evita su
detección.

Esta técnica de ocultación ante el sistema es la que utiliza el
sistema anticopia de algunos CDs y DVDs de Sony BMG. Al utilizar uno
de estos CD/DVDs en Windows se instala un reproductor multimedia que
permite disfrutar de sus contenidos y, sin previo aviso al usuario,
instala al mismo tiempo y de forma oculta el software que limitará la
realización de copias de ese CD, evitará que puedan crearse MP3 de
las pistas de audio, etc., todo ello mediante técnicas rootkit.

Este software, Extended Copy Protection (XCP), ha sido desarrollado
por First 4 Internet, y además de Sony es utilizado por otras
compañías para proteger los contenidos de CDs y DVDs.

El problema se agrava si tenemos en cuenta que no se incluye un
software para desinstalar el rootkit del sistema. Aunque desinstalemos
el reproductor multimedia que distribuye Sony el sistema seguirá
estando interceptado por el software anticopia. Además, si un usuario
avanzado consigue encontrar los archivos de este software y los
elimina provocará que su unidad de CD o DVD deje de funcionar bajo
Windows.

Pero aun hay más. Entre las diversas funciones del sistema anticopia,
y como característica destacada de rootkit, oculta por defecto todas
las entradas del registro, carpetas y archivos cuyo nombre comiencen
por "$sys$".

De esta forma los archivos que instala el software de Sony en la
carpeta "$sys$filesystem" dentro del directorio de sistema de Windows
permanecen ocultos para el usuario y las aplicaciones de seguridad,
como por ejemplo los antivirus.

El problema es que esta funcionalidad se convierte en toda una
vulnerabilidad para los sistemas Windows que hayan utilizado algún
CD o DVD con el sistema de protección anticopia de Sony y por tanto
mantengan activo el rootkit. Cualquier virus, gusano, troyano, spyware
o demás malware puede ocultarse en esos sistemas, sin que puedan ser
analizados por los antivirus, si utiliza un nombre que comience por
"$sys$", probabilidad que aumenta ahora considerablemente al haberse
publicado todos estos detalles.

Ante la avalancha de críticas, Sony BMG insiste en que su software no
es malicioso ni compromete la seguridad de sus clientes, sin embargo
reconoce que puede plantear vulnerabilidades potenciales y se ha visto
forzada a ofrecer una utilidad, mediante un ActiveX, para
desinstalarlo: (http://cp.sonybmg.com/xcp/english/updates.html)

Aunque estas técnicas intrusivas ya han sido discutidas con
anterioridad, de hecho durante el pasado verano se comentó en algunos
foros el caso concreto de Sony, ha saltado de nuevo a la palestra
gracias a Mark Russinovich, un reconocido gurú de Windows famoso por
sus utilidades para esta plataforma, que ha publicado con todo lujo
de detalles la investigación que llevó a cabo al detectar con asombro
el rootkit en su propio sistema. Lectura muy recomendable (en inglés)
para los que quieran profundizar en el análisis forense del caso:
(http://www.sysinternals.com/blog/2005/10/sony-rootkits-and-digital-rights.html)

También hay que destacar la cobertura sobre el caso realizado por
F-secure, que sin embargo plantea otro interrogante. En su análisis
concluye que el software de Sony no se autoreproduce (como si fuera
un virus), ni incluye funcionalidades dañinas, por lo que no debería
ser tenido en cuenta por una solución antivirus, no debería ser
detectado con una firma.

Sin embargo, dada las posibilidades de que pueda ser aprovechado por
otros virus, troyanos, spyware, para permanecer ocultos en el sistema,
F-Secure considera que es "muy inapropiado" que el software comercial
utilice estas técnicas de rootkit.

En definitiva, no termina de "mojarse" en el asunto. De hecho, todos
los antivirus de hoy día detectan algunas muestras que son menos
intrusivas y peligrosas que el caso del rootkit de Sony BMG. De momento
no hemos tenido noticia de que algún antivirus lo detecte.

¿Quién protegerá a los miles de usuarios que han comprado y utilizado
un CD con el sistema anticopia de Sony u otra compañía, no se han
enterado de estas noticias, no van a utilizar la utilidad para eliminar
el rootkit, y por tanto permanecerán vulnerables?

¿Hay trato de favor cuando el software que puede ser perjudicial para
el sistema y el usuario proviene de una gran empresa? ¿Simplemente
es preferible evitar meterse en un juicio con Sony donde probablemente
tengan las de perder? ¿Vacío legal?

¿Quién se atreve a ponerle el cascabel al gato?


Bernardo Quintero
bernardo@hispasec.com


Más información:

Sony, Rootkits and Digital Rights Management Gone Too Far
http://www.sysinternals.com/blog/2005/10/sony-rootkits-and-digital-rights.html

F-Secure Virus Descriptions : XCP DRM Software
http://www.europe.f-secure.com/v-descs/xcp_drm.shtml

Remove XCP Technology used on SONY BMG
http://cp.sonybmg.com/xcp/english/updates.html

First 4 Internet
http://www.first4internet.co.uk

XCP
http://www.xcp-aurora.com
http://cp.sonybmg.com/xcp/

martes, 1 de noviembre de 2005

Nuevos contenidos en CriptoRed (octubre de 2005)

Breve resumen de las novedades producidas durante el mes de octubre
de 2005 en CriptoRed, la Red Temática Iberoamericana de Criptografía y
Seguridad de la Información.

1. DOCUMENTOS NUEVOS PARA SU DESCARGA

* Desarrollo y Perspectiva de la Formación en Seguridad Informática en
las Ingenierías y el Papel que Cumplen las Redes Temáticas
http://www.criptored.upm.es/paginas/docencia.htm#gtletraD

* Infraestructura de Clave Pública PKI con Software Libre
http://www.criptored.upm.es/paginas/docencia.htm#gtletraI

2. CONGRESOS Y SEMINARIOS POR ORDEN CRONOLOGICO DE CELEBRACION

* Noviembre 07 al 08 de 2005: Workshop on Specification and Automated
Processing of Security Requirements SAPS ’05 (Long Beach - USA)
http://www.ase-conference.org/Workshops.html

* Noviembre 9 al 10 de 2005: Segundo Congreso CONSECRI y Primer Congreso
CONSETIC (Buenos Aires - Argentina)
http://www.consetic.com.ar/

* Noviembre 21 al 25 de 2005: Tercer Congreso Iberoamericano de Seguridad
Informática CIBSI '05 (Valparaíso - Chile)
http://cibsi05.inf.utfsm.cl/

* Diciembre 1 al 2 de 2005: IFIP TC-11 WG 11.1 & WG 11.5 Joint Working
Conference on Security Management, Integrity, and Internal Control in
Information Systems (Fairfax - USA)
http://www.cs.uvm.edu/ifip11.1.5/

* Diciembre 14 al 16 de 2005: IV Congreso Internacional de Auditoría y
Seguridad de la Información en (Madrid - España)
http://www.ciasi.info/principal.htm

* Diciembre 16 al 18 de 2005: Special Session Trust Access, Privacy
And Security ISCOCO 2005 (Tenerife - España)
http://www.worldses.org/conferences/2005/tenerife/iscoco/index.html

* Abril de 2006: Segunda Escuela Venezolana de Seguridad de Cómputo
(Mérida - Venezuela)
http://www.saber.ula.ve/eventos/evscm/

* Abril 19 al 21 de 2006: CFP 7th Smart Card Research and Advanced
Application IFIP Conference CARDIS 2006 (Tarragona - España)
http://www.cardis.org/

* Mayo 23 al 24 de 2006: Fourth International Workshop on Security
in Information Systems WOSIS 2006 (Paphos - Chipre)
http://www.iceis.org/

Puedes encontrar más información en:
http://www.criptored.upm.es/paginas/eventos.htm#Congresos

3. CURSOS DE POSTGRADO, ESPECIALIDAD Y FORMACIÓN

Puedes encontrar los enlaces en:
http://www.criptored.upm.es/paginas/eventos.htm#Cursos

4. NOTICIAS SELECCIONADAS DEL MES DE OCTUBRE DE 2005

* CFP IV Congreso Internacional de Auditoría y Seguridad de la
Información en Madrid (España)
http://www.ciasi.info/principal.htm (plazo final 7 de noviembre)

* Segundo Congreso CONSECRI y Primer Congreso CONSETIC
(Buenos Aires - Argentina)
http://www.consetic.com.ar/

* 3a Edición Diplomado Seguridad en Tecnología Informática y
Telecomunicaciones (Venezuela)
http://mipagina.cantv.net/ius-opg/STIT/index.html

* Jornadas Técnicas de Disaster Recovery Organizadas por Puntoes
y UPM en Madrid (España)
http://www.puntoes.es/docs/agenda_ponentes.pdf

* Presentada la Red Temática en Universidades de Panamá a Través
del Proyecto UPM
http://www.up.ac.pa/

* Alta Oficial de la Universidad de Panamá en la Red
http://www.criptored.upm.es/paginas/instituciones.htm#panama

5. OTROS DATOS DE INTERES EN LA RED

* Número actual de miembros en la red: 543
(152 universidades; 189 empresas)
http://www.criptored.upm.es/paginas/particulares.htm

* 41.500 visitas, con 120.000 páginas solicitadas y 41,00 GBytes
servidos en octubre de 2005 (valores estimados el 28/10/05)
Las estadísticas del mes (AWStats) se muestran en páginas estáticas
actualizadas cada día a las 00:05 horas
http://www.criptored.upm.es/estadisticas/awstats.www.criptored.upm.es.html

6. CIBSI: CONGRESO IBEROAMERICANO DE SEGURIDAD INFORMÁTICA

* Programa Tercer Congreso Iberoamericano de Seguridad Informática
CIBSI '05
Universidad Técnica Federico Santa María
Del 21 al 25 de noviembre de 2005 (Valparaíso, Chile)
http://cibsi05.inf.utfsm.cl/programa.htm


Jorge Ramió Aguirre
Coordinador de CriptoRed


Más información:

Octubre de 2005
http://www.criptored.upm.es/paginas/historico2005.htm#oct05