sábado, 31 de diciembre de 2005

Desbordamiento de búfer y escalada de privilegios en Gentoo Linux

El equipo de desarrollo de Gentoo Linux ha diagnosticado y resuelto
recientemente dos graves problemas de seguridad que podrían comprometer
seriamente las máquinas donde corra esta distribución Linux.

Gentoo Linux es un proyecto de distribución Linux muy popular. Diseñado
para ser modular, fácil de mantener y sobre todo, para ajustarse a las
configuraciones específicas de cada máquina, ya que el producto está
pensado especialmente para compilarse a medida, alrededor del sistema
Portage de gestión de paquetes, sistema basado en los ports de BSD que
permite la descarga y compilación en el momento de los paquetes
seleccionados, así como el empleo de binarios precompilados.

El primero de los problemas es un desbordamiento de búfer está
catalogado como crítico y que afecta a todas las versiones de sys-block/nbd
inferiores a 2.8.2-r1s. Las herramientas NBD (Network Block Device)
permiten el uso de dispositivos remotos en redes TCP/IP, e incluyen
un servidor NBD cuyas versiones no actualizadas podrían permitir que
un atacante remoto enviara peticiones maliciosas que resultasen en la
ejecución de código arbitrario con los privilegios del servidor NBD.

El segundo problema catalogado también tiene un alto impacto, y afecta
a los paquetes app-shells/rssh inferiores a 2.3.0. RSSH es un servicio
SSH restringido (Restricted Secure SHell) que habitualmente complementa
a soluciones SSH completas como OpenSSH, proporciona acceso limitado
a los usuarios a través de la permisividad de sólo algunos tipos de
comando, como SCP o SFTP. Las versiones vulnerables permiten que los
usuarios locales puedan, a través de un defectuoso 'rssh_chroot_helper',
ejecutar chroot en directorios arbitrarios del sistema. Esto posibilita
que el atacante obtenga permisos de root mediante la oportuna escalada
de privilegios.

La solución a ambos problemas pasa por la actualización, se recomienda
el empleo del sistema de actualizaciones por consola:

NBD 2.8.2-r1
# emerge --sync
# emerge --ask --oneshot --verbose ">=sys-block/nbd-2.8.2-r1"

RSSH 2.3.0
# emerge --sync
# emerge --ask --oneshot --verbose ">=app-shells/rssh-2.3.0"


Sergio Hernando
shernando@hispasec.com


Más información:

Gentoo Linux
http://www.gentoo.org

NBD Tools: Buffer overflow in NBD server
http://www.gentoo.org/security/en/glsa/glsa-200512-14.xml

rssh: Privilege escalation
http://www.gentoo.org/security/en/glsa/glsa-200512-15.xml

viernes, 30 de diciembre de 2005

Nuevas consideraciones sobre la vulnerabilidad de proceso de WMFs

La criticidad de los problemas de seguridad es siempre proporcional al
alcance y peligrosidad de los mismos. Especialmente notorio en este
campo, sin menospreciar la importante seguridad doméstica, es la
seguridad de las corporaciones. Cuando lo que se pone en peligro es
una posible ruptura de la continuidad de un negocio, los problemas de
seguridad se convierten en problemas organizativos extremadamente
críticos.

Según la información aparecida en el NIST, John Herron ha descubierto
que todas las versiones 6.x y superiores de Lotus Notes son
vulnerables al exploit de gestión de archivos de metadatos WMF
recientemente aparecido. Es preciso informar que Lotus Notes es
vulnerable incluso después de aplicar el "workaround" sobre regsvr32,
en ausencia de parches, en el boletín de Microsoft (912840), lo que
convierte a una vulnerabilidad ya de por sí extremadamente crítica en
poco más o menos que dramática.

Lotus Notes es un software colaborativo cliente-servidor, muy popular
en entornos corporativos, propiedad de Lotus Software, perteneciente
al grupo de IBM Software.

En ausencia de parches, la recomendación que podemos transmitir a los
responsables de IT y seguridad de las corporaciones que empleen Lotus
Notes son filtrar en el perímetro las extensiones comunes asociadas a
formatos gráficos, como BMP, DIB, EMF, GIF, ICO, JFIF, JPE, JPEG, JPG,
PNG, RLE, TIF, TIFF y WMF, ya que las plataformas Microsoft Windows
manejan estos ficheros no por la extensión que se emplee, sino por la
información que exista en la cabecera de datos.

Por supuesto, es una recomendación igualmente válida es no abrir ni
visualizar documentos gráficos procedentes de fuentes no fiables, a la
espera de la puesta a disposición del público afectado de las
pertinentes contramedidas. IBM está al corriente del problema, y se
espera libere un boletín específico en las próximas horas, con lo que
recomendamos a los usuarios de Lotus Domino contacten a la mayor
brevedad posible con sus servicios técnicos y/o de atención al cliente
para recibir la información más actualizada posible, habida cuenta del
elevado riesgo de la problemática descrita.

Microsoft ha procedido a actualizar el boletín emitido en la jornada de
ayer. Lo más relevante en esta actualización es que están centrando la
investigación en la utilización de ficheros especialmente creados para ser
explotados por Internet Explorer, y que no tienen constancia de actividad de
explotación de ficheros maliciosos .WMF incrustados en documentos, como por
ejemplo, en documentos Word.

De momento la compañía tampoco confirma que MSN Desktop Search pueda
facilitar la explotación de la vulnerabilidad, tal y como sucede con Google
Desktop, si bien van a investigar el caso con profundidad. Del mismo modo,
confirman oficialmente que esta vulnerabilidad y la aparecida en Noviembre
"MS05-053 - Vulnerabilities in Graphics Rendering Engine Could Allow Code
Execution (896424)" son dos vulnerabilidades distintas, e invitan a los
usuarios de sistemas de detección de intrusos a que contacten con sus
proveedores IDS, para ver cómo pueden cooperar estos mecanismos en la
reducción a la exposición de esta hornada de malware.

Sobre IDS, han aparecido firmas específicas para SNORT, que pueden ser
introducidas a mano por los administradores del IDS para añadir un grado de
protección. Ninguna de estas firmas garantiza el 100% de detecciones, y por
tanto, deben considerarse como un mero apoyo a la infraestructura de
seguridad:

alert tcp $EXTERNAL_NET 80 -> $HOME_NET any (msg:"BLEEDING-EDGE EXPLOIT WMF
Exploit via Metasploit detected";content:"|01| |00| |09| |00| |00| |03| |52|
|1f| |00| |00| |06| |00| |3d| |00| |00|";offset:55;depth:40;content:"|00|
|09| |00| |04| |00| |04| |00|
|00|";offset:470;flow:to_client,established;dsize:>10955;reference:url,www.f
rsirt.com/exploits/20051228.ie_xp_pfv_metafile.pm.php;
classtype:attempted-user;rev:1;)

alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"BLEEDING-EDGE EXPLOIT WMF
Escape Record Exploit"; flow:established,from_server; content:"|01 00 09 00
00 03|"; depth:500; content:"|00 00|"; distance:10; within:12; content:"|26
06 09 00|"; within:5000; classtype:attempted-user;
reference:url,www.frsirt.com/english/advisories/2005/3086; sid:2002733;
rev:1;)

(chequea cabeceras WMF válidas, pero ignora variables como FileSize,
NumOfObjects y MaxRecordSize)

alert ip any any -> any any (msg: "COMPANY-LOCAL WMF Exploit"; content:"|01
00 09 00 00 03 52 1f 00 00 06 00 3d 00 00 00|"; content:"|00 26 06 0f 00 08
00 ff ff ff ff 01 00 00 00 03 00 00 00 00 00|"; reference:
url,www.frsirt.com/exploits/20051228.ie_xp_pfv_metafile.pm.php;
sid:2005122802; classtype:attempted-user; rev:1;)

Como nota anecdótica, los usuarios del Internet Storm Center de SANS están
respondiendo a una encuesta sobre qué acciones están tomando para tratar de
evitar los efectos colaterales del exploit. Los resultados, por el momento,
sobre un universo cercano a 1000 votantes, son estos:

26 % => Usar un antivirus actualizado
5 % => Activar DEP (Data Execution Prevention)
13 % => Formar a usuarios para evitar enlaces sospechosos
19 % => Filtrado de ficheros .WMF en el perímetro
3 % => Usar políticas de restricción inherentes al software de Microsoft
o equivalentes
24 % => Usar Sistemas Operativos no afectados por la vulnerabilidad
11 % => Otras medidas


Sergio Hernando
shernando@hispasec.com


Más información:

Lotus Notes vulnerable to MS Windows graphics rendering engine bug
http://www.nist.org/nist_plugins/content/content.php?content.25

Lotus Notes Vulnerable to WMF 0-Day Exploit
http://isc.sans.org/diary.php?rss&storyid=981

Vulnerability in Graphics Rendering Engine Could Allow Remote Code
Execution. (Actualizado)
http://www.microsoft.com/technet/security/advisory/912840.mspx

Microsoft confirma la vulnerabilidad al procesar .WMF
http://www.hispasec.com/unaaldia/2623

Vulnerabilidad en tratamiento de archivos WMF de Windows
http://www.hispasec.com/unaaldia/2622

jueves, 29 de diciembre de 2005

Microsoft confirma la vulnerabilidad al procesar .WMF

Microsoft publica un aviso de seguridad donde confirma la existencia
de una nueva vulnerabilidad en Windows, para la que aun no existe
parche, y que está siendo aprovechada para infectar los sistemas
automáticamente al visitar determinadas páginas webs.

Tal y como comentábamos en el una-al-día de ayer, están proliferando
los sitios webs que contienen archivos Windows MetaFile (WMF)
especialmente diseñados para explotar un desbordamiento de buffer
en la biblioteca que procesa, entre otros, los archivos de imágenes
WMF.

Microsoft amplía el número de sistemas afectados por la vulnerabilidad
a prácticamente la mayoría de versiones Windows, según su aviso entre
el software afectado se encuentra Windows 98, Windows 98SE, Windows ME,
Windows 2000 SP4, Windows XP SP1, Windows XP SP2, Windows XP x64
Edition, Windows 2003 y Windows 2003 SP1 en sus versiones Itanium y
x64.

En el apartado de prevención, se recomienda no visitar enlaces no
confiables que nos lleguen a través del correo electrónico, IRC,
mensajería instantánea, foros web, grupos de noticias, etc. que
podrían ser un cebo para que visitemos las páginas que contienen
los archivos WMF maliciosos.

Otro consejo genérico, que además puede prevenir de otro tipo de
ataques, como el phishing, pasa por configurar nuestro cliente de
correo para leer los mensajes sin formato, sólo en modo texto.

Adicionalmente, como medida de mitigación a la espera del parche
específico que corrija esta vulnerabilidad, Microsoft ha documentado
como puede desactivarse la biblioteca Shimgvw.dll utilizada por
el Visor de imágenes y Fax de Windows, y que está siendo aprovechada
por los archivos WMF maliciosos conocidos hasta la fecha.

Los pasos son los siguientes:

* Desde el menú Inicio, seleccionar Ejecutar, y teclear (sin las
comillas): "regsvr32 -u %windir%\system32\shimgvw.dll"

* Aparecerá una ventana informando de que la operación se ha
realizado con éxito. Aceptamos.

Como efecto colateral a esta medida de mitigación, el Visor de
Imágenes y Fax de Windows no funcionará cuando intentemos abrir
directamente un archivo asociado a esta aplicación, ni podremos
previsualizar los archivos WMF en Explorer.

Cuando Microsoft publique e instalemos el parche para corregir la
vulnerabilidad podremos reestablecer la funcionalidad de esta
aplicación con los mismos pasos descritos anteriormente, pero
ejecutando en esta ocasión el comando (sin las comillas)
"regsvr32 %windir%\system32\shimgvw.dll"

Desde Hispasec también debemos indicar que la mayoría de soluciones
antivirus están incorporando firmas para proteger a sus usuarios
contra los archivos WMF maliciosos, aunque la proliferación de
variantes es continua.

Como ejemplo, aquí podemos ver como detecta cada solución antivirus
una de las primeras versiones publicadas de archivo WMF que
explota la vulnerabilidad para descargar spyware:

AntiVir [TR/Dldr.WMF.Small]
Avast [Win32:Exdown]
AVG [Downloader.Agent.13.AJ]
Avira [TR/Dldr.WMF.Small]
BitDefender [Exploit.Win32.WMF-PFV.A]
CAT-QuickHeal [WMF.Exploit]
ClamAV [Exploit.WMF.A]
DrWeb [Exploit.MS05-053]
eTrust-Iris [Win32/Worfo.B!Trojan]
eTrust-Vet [Win32/Worfo]
Ewido [Not-A-Virus.Exploit.Win32.Agent.r]
Fortinet [W32/WMF-exploit]
F-Prot [security risk or a "backdoor" program]
Kaspersky [Trojan-Downloader.Win32.Agent.acd]
McAfee [Exploit-WMF]
NOD32v2 [Win32/TrojanDownloader.Wmfex]
Panda [Exploit/Metafile]
Sophos [Troj/DownLdr-LW]
Symantec [Download.Trojan]
TheHacker [Exploit/WMF]

Otra medida de mitigación, aunque evidentemente no es mencionada en
el aviso de Microsoft, es utiliza un navegador diferente a Internet
Explorer, como Firefox u Opera, que no procesan automáticamente los
archivos WMF y requieren la intervención del usuario para abrirlos.

Por último, esperar que Microsoft acelere, en la medida de lo posible,
la publicación del parche correspondiente, sin necesidad de esperar
al segundo martes del mes que viene según su política de publicación
periódica, ya que sin duda se trata de un caso excepcional: la
vulnerabilidad es crítica, está siendo explotada de forma activa, y
el número de ataques/variantes aumenta progresivamente.


Bernardo Quintero
bernardo@hispasec.com


Más información:

Microsoft Security Advisory (912840)
Vulnerability in Graphics Rendering Engine Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/advisory/912840.mspx

Microsoft Windows Metafile Handling Buffer Overflow
http://www.us-cert.gov/cas/techalerts/TA05-362A.html

28/12/2005 - Vulnerabilidad en tratamiento de archivos WMF de Windows
http://www.hispasec.com/unaaldia/2622

miércoles, 28 de diciembre de 2005

Vulnerabilidad en tratamiento de archivos WMF de Windows

A lo largo del día de hoy se ha detectado en la red un exploit que
aprovecha una vulnerabilidad de Microsoft Windows XP y 2003, para la que
de momento no existe parche, y que puede ser explotada por atacantes
remotos para comprometer los sistemas afectados.

Dicho código de explotación, localizado en el dominio
unionseek[PUNTO]com, aprovecha un problema de Windows XP y 2003
(concretamente, en el componente "Visor de imágenes y fax de Windows")
a la hora de tratar metaarchivos de Windows (WMF) para ejecutar código
arbitrario.

Si la víctima utiliza Internet Explorer, puede provocarse la ejecución
automática de código arbitrario al visitar la web maliciosa. Otros
navegadores como Firefox preguntarán sobre si se quiere cargar la imagen
en el componente vulnerable antes mencionado.

Este código malicioso se está utilizando para distribuir troyanos
como Trojan-Downloader.Win32.Agent.abs, Trojan-Dropper.Win32.Small.zp,
Trojan.Win32.Small.ga y Trojan.Win32.Small.ev.

En estos momentos varias soluciones antivirus presentes en VirusTotal
detectan el exploit, por lo que además conviene mantener actualizado
el antivirus que se utilice.

El problema se ha confirmado en sistemas XP y 2003 totalmente
parcheados, aunque no se descarta que pueda afectar a otras plataformas.

A la espera de un parche de actualización que solvente el problema, se
recomienda filtrar el acceso a dicho dominio, además de archivos en ese
formato a nivel aplicación (proxy web, servidor de correo, etc).


Julio Canto
jcanto@hispasec.com


Más información:

Microsoft Windows Graphics Rendering Engine WMF Format Unspecified Code
Execution Vulnerability
http://www.securityfocus.com/bid/16074/info

Windows WMF 0-day exploit in the wild (NEW)
http://isc.sans.org/diary.php?storyid=972

martes, 27 de diciembre de 2005

Estudio sobre la implantación del cifrado en corporaciones

Un estudio demuestra la poca o casi nula implantación de sistemas
de cifrado en las empresas. La encuesta,realizada por el Instuituto
Ponemon y patrocinado por PGP Corp, desvela que sólo un 4.2% de las
compañías que respondieron disponen de un plan de cifrado corporativo.

La falta de uso de cifrado según revela el estudio realizado viene
dada en un 69% por una preocupación del funcionamiento del sistema,
en un 44% por su complejidad y en un 25% por el coste. Estos datos
contrastan sin embargo con la impresión recibida de los profesionales
entrevistados, que consideran un sistema de cifrado como una
herramienta muy importante para la seguridad de sus empresas.

Este mismo estudio revela que las pautas de comportamiento ante la
necesidad del cifrado se ven más agudizadas, según los entrevistados,
ante determinadas acciones, como el envío de información sensible
mediante medios electrónicos (con un 47%), un 31% cifra los datos
sobre los dispositivos como servidores, ordenadores portátiles, etc.
mientras que un 24% cifran las copias de seguridad antes de su
almacenamiento.

Las principales razones esgrimidas por los entrevistados para cifrar
los datos son prevenir la posible fuga de datos con un 55%, proteger
la imagen de marca un 40% y estar en conformidad con la ley
Sarbanes-Oxley un 29%.

Como se ve al mencionar la ley Sarbanes-Oxley este estudio está
realizado en el ámbito de los estados unidos, si bien puede ser
extrapolable a Europa. La conciencia del cifrado, según mi experiencia
personal en Hispasec, tiene un escollo importante entre los órganos de
dirección que lo ven como algo complejo y que puede complicarles el
trabajo diario. Algo que no es real, ya que con unas pocas horas de
formación podrían aprender a transmitir sus informaciones por medios
seguros.

A finales de julio de 2002, el congreso de los Estados Unidos y el
presidente Bush aprobaron la "Sarbanes-Oxley Act of 2002". Esta ley,
que afecta a todas las empresas y corporaciones que coticen en los
Estados Unidos, obliga al cumplimiento de una serie de disposiciones
financieras y contables, con el objeto de ofrecer una mayor protección
para el inversionista. El acta, implica no sólo a las compañías locales
americanas, sino también a las empresas extranjeras que emitan valores
en los mercados estadounidenses.


Antonio Román
roman@hispasec.com


Más información:

Encryption: A nice idea that few want to implement?
http://www.computerworld.com/securitytopics/security/story/0,10801,107280,00.html

Sarbanes-Oxley Act: Sus alcances y consecuencias para el mercado
http://www.ey.com/GLOBAL/content.nsf/Ecuador/Sarbanes-Oxley_Act_of_2002

lunes, 26 de diciembre de 2005

Escalada de privilegios en Sun Solaris PC NetLink

Se ha confirmado la existencia de dos vulnerabilidades en Sun Solaris
PC NetLink, que pueden ser empleadas por usuarios locales maliciosos
para elevar sus privilegios en los sistemas.

Las vulnerabilidades se deben a que los comandos '/etc/init.d/slsadmin'
y '/opt/lanman/sbin/slsmgr' de PC NetLink 2.0 abren los archivos en el
directorio '/tmp' de una forma insegura. Un usuario local podrá lograr
la escritura de datos arbitrarios en el sistema de archivos con los
permisos del usuario que ejecute los comandos afectados. Como resultado,
el atacante conseguirá la ejecución de código arbitrario.

Sun ha confirmado las vulnerabilidades en la versión 2.0 de PC NetLink
ejecutándose en sistemas Solaris 7, 8 y 9 bajo plataforma SPARC.

Se han publicado las siguientes actualizaciones:
PC NetLink 2.0 (para Solaris 7, 8 y 9 en plataforma SPARC):
http://sunsolve.sun.com/pub-cgi/pdownload.pl?target=121209-01&method=h
http://sunsolve.sun.com/pub-cgi/pdownload.pl?target=121332-01&method=h


Antonio Ropero
antonior@hispasec.com


Más información:

Security Vulnerability in PC Netlink 2.0 "slsmgr" May Allow Files to
be Opened Insecurely
http://sunsolve.sun.com/search/document.do?assetkey=1-26-102122-1

Security Vulnerability in PC Netlink 2.0 "slsadmin" May Allow Files to
be Opened Insecurely
http://sunsolve.sun.com/search/document.do?assetkey=1-26-102117-1

domingo, 25 de diciembre de 2005

Desbordamiento de búfer en Eudora WorldMail Server

Se ha anunciado la existencia de una vulnerabilidad en Eudora WorldMail
Server por la que un usuario remoto podrá lograr la ejecución de código
arbitrario en los sistemas afectados.

Eudora Qualcomm WorldMail 3.0 es un servidor de mensajería y correo para
entornos corporativos, con soporte para POP3, IMAP, SMTP características
webmail y herramientas para detener spam y virus.

Un atacante remoto podrá enviar comandos IMAP específicamente creados
para provocar un desbordamiento de búfer y causar con ello la caída del
sistema o la ejecución de código arbitrario. Se han publicado exploits
de demostración de los efectos de la vulnerabilidad.


Antonio Ropero
antonior@hispasec.com


Más información:

Eudora WorldMail Server Buffer Overflow in Processing IMAP Commands Lets
Remote Users Execute Arbitrary Code
http://securitytracker.com/alerts/2005/Dec/1015391.html

Qualcomm WorldMail IMAP Server String Literal Processing Overflow Vulnerability
http://www.idefense.com/intelligence/vulnerabilities/display.php?id=359

sábado, 24 de diciembre de 2005

Llamada a ponencias ACIS 2006

A continuación se reproduce la llamada a ponencias de las VI Jornadas
Nacionales de Seguridad Informática a celebrarse en Colombia en
junio de 2006.

Las Jornadas Nacionales de Seguridad Informática, como un escenario
para desarrollar y promover la investigación académica y científica en
el área de seguridad informática, invita a todos aquellos interesados
en presentar trabajos de investigación realizados o casos de la
industria sobre el tema, con el fin de compartir la experiencia,
implementación y hallazgos en los temas propuestos para este evento
expuestos a continuación (no pretende ser una lista exhaustiva):

· Modelos de Seguridad Informática
· Estándares de Seguridad Informática
· Seguridad en dispositivos móviles e inalámbricos
· Mecanismos de Autenticación y control
· Políticas y estándares de seguridad
· Mejores prácticas de seguridad informática
· Algoritmos de Encriptación, VPN, PKI
· Contingencia y recuperación de desastres
· Técnicas de Hacking y análisis de vulnerabilidades
· Seguridad en el perímetro
· Seguridad en Bases de Datos
· Seguridad en Sistemas Operacionales y redes
· Computación forense y atención de incidentes
· Evidencia Digital y procedimientos asociados.
· Análisis de riesgos de seguridad informática
· Consideraciones éticas y legales de la seguridad informática
· Dispositivos biométricos
· Seguridad en VoIP
· Seguridad en Telecomunicaciones

Para esta sexta versión de la Jornadas Nacionales de Seguridad
Informática, se cuenta con la participación de un comité de programa
internacional conformado por profesionales especialistas en el área,
quienes adelantarán la evaluación y análisis de los trabajos
presentados en este evento:

Profesor
Walter Baluja, M.Sc.
Instituto Superior Politécnico José A. Echeverría
CUBA

Profesora
Mirela Sechi Moreti, Ph.D
Barddal University
BRASIL

Experto en seguridad informática
Bernardo Quintero, M.Sc
Hispasec
ESPAÑA

Profesor
Jorge Ramio, Ph.D
Universidad Politécnica de Madrid
ESPAÑA

Profesora
Amparo Fúster, Ph.D
CONSEJO SUPERIOR DE INVESTIGACIONES CIENTÍFICAS
ESPAÑA

Profesora
Pino Caballero Gil, Ph.D
Universidad de la Laguna
ESPAÑA

Profesor
Arturo Ribagorda G, Ph.D
Universidad Carlos III de Madrid
ESPAÑA.

Profesor
Juan Guillermo Lalinde, Ph.D
Universidad EAFIT
COLOMBIA

Profesor
Nelson Remolina, LL.M
Universidad de los Andes
COLOMBIA

Profesor
Aurora Sánchez, Ph.D
Universidad Católica del Norte
CHILE

Profesora
Angela Cristina Carrillo, Ph.D(c)
Laboratorio LSR-IMAG
Equipo SIGMA, Grenoble.
FRANCIA

Profesor
Jeimy J. Cano, Ph.D
Coordinador Académico VI JNSI
COLOMBIA

Para la presentación de estos artículos (de investigación o de
experiencia o implementaciones en la industria) se requiere seguir
los siguientes parámetros:

* 15 paginas máximo, sin incluir figuras y referencias.
* En página aparte: Incluir titulo, Nombre del proponente(s),
Filiacion (Universidad/empresa), correo electrónico, teléfono o fax,
dirección física
* En primera página: Lo sugerido en formato de IEEE Transactions,
exceptuando nombre de los autores y su filiación
* Tamaño de letra Times New Roman 12 puntos
* Espacio sencillo
* Archivos Word 97 o RTF


Las preguntas sobre patrocinios, descuentos, inscripciones, en general
aspectos comerciales del evento, deben ser remitidos a Sra. Beatriz
Caicedo, Directora Ejecutiva de la Asociación Colombiana de Ingenieros
de Sistemas - ACIS a la dirección bcaicedo@acis.org.co

Las inquietudes sobre aspectos académicos deberán ser enviadas al
correo electrónico del Coordinador Académico del evento.

Todos los trabajos presentados serán tratados como propiedad
intelectual de los autores.

Fechas importantes:

* Marzo 24 de 2006 - Fecha límite de recepción de artículos
* Mayo 8 a Mayo 12 de 2006 - Notificación de Aceptación o Rechazo de
artículos y comentarios de los evaluadores

* Junio 2 de 2006 - Envío de artículos corregidos para publicación
final en las memorias.

* Junio 14, 15 y 16 de 2006 - Realización VI Jornadas Nacionales de
Seguridad Informática

NOTA: Los artículos corregidos que no lleguen en la fecha sugerida no
serán incluidos en las memorias del evento.

Los artículos deben ser enviados para su evaluación por parte del
comité de programa vía correo electrónico con asunto (subject)
"Articulo-VI JNSI" a:

Jeimy J. Cano, Ph.D
Coordinador Académico
VI Jornadas Nacionales de Seguridad Informática
Asociación Colombiana de Ingenieros de Sistemas - ACIS 2006
jcano@uniandes.edu.co


Bernardo Quintero
bernardo@hispasec.com


Más información:

VI Jornada de Seguridad Informática
http://www.acis.org.co/index.php?id=627

viernes, 23 de diciembre de 2005

Vulnerabilidad crítica en VMware

Un desbordamiento de búfer en el servicio NAT de VMware permite la
ejecución remota de código arbitrario. Están disponibles las
actualizaciones para corregir la vulnerabilidad.

VMware es un software que permite ejecutar diferentes sistemas
operativos en un mismo PC de forma virtual. Entre otras aplicaciones,
VMware es muy utilizado en seguridad informática por la versatilidad
que ofrece. Por ejemplo, se suele utilizar de forma habitual en la
investigación del malware, ya que permite ejecutar y analizar los
especímenes en entornos virtuales controlados.

Se ha detectado un desbordamiento de búfer en el servicio NAT de
VMware que puede ser explotado a través de peticiones FTP mediante
los comandos PORT y EPRT con parámetros excesivamente largos. A
efectos prácticos, es posible la ejecución de código arbitrario con
máximos privilegios y el consiguiente compromiso del sistema.

La vulnerabilidad afecta a las diferentes versiones de VMware
Workstation, GSX Server, ACE y Player para plataformas Windows, Linux
y Solaris.

Desde Hispasec recomendamos la actualización inmediata a las nuevas
versiones que corrigen la vulnerabilidad:

VMware Workstation 5.5.1
VMware GSX Server 3.2.1
VMware ACE 1.0.2
VMware Player 1.0.1

Disponibles para descarga en http://www.vmware.com/download/

Aunque se recomienda la actualización, también puede mitigarse la
vulnerabilidad desactivando el servicio NAT, tal y como se describe
en http://www.vmware.com/support/kb/enduser/std_adp.php?p_faqid=2002


Bernardo Quintero
bernardo@hispasec.com


Más información:

VMWare Workstation 5.5.0 <= build-18007 G SX Server Variants And Others
http://archives.neohapsis.com/archives/fulldisclosure/2005-12/1068.html

Security Response to BugTraq 15998: Vulnerability in NAT Networking
http://www.vmware.com/support/kb/enduser/std_adp.php?p_faqid=2000

VMware NAT Service vulnerable to buffer overflow via FTP PORT/EPRT commands
http://www.kb.cert.org/vuls/id/856689

jueves, 22 de diciembre de 2005

Desbordamiento de búfer en servidor web de Macromedia JRun 4

Se ha anunciado la presencia de una vulnerabilidad en el servidor web
de Macromedia JRun 4 que puede ser explotada por usuarios remotos
maliciosos para provocar denegaciones de servicio o ejecutar código
arbitrario en máquinas afectadas.

Macromedia JRun 4 es un servidor de aplicaciones utilizado para el
desarrollo y despliegue de aplicaciones basadas en la plataforma Java.

La vulnerabilidad en sí está localizada en el servidor web de JRun, y
puede aparecer concretamente a la hora de tratar cadenas de peticiones
de gran longitud. Con ciertas configuraciones de la plataforma, cuando
ésta recibe una URL muy larga (de aproximadamente 64.000 caracteres),
puede provocarse un desbordamiento de búfer que, además de ser
aprovechable para crear una condición de denegación de servicio,
potencialmente puede ser explotado por un atacante para ejecutar
código arbitrario en la máquina afectada.

Para que la vulnerabilidad pueda explotarse, dicho servidor web debe
estar activo, algo que no es recomendable en sistemas orientados a
producción y que sólo debería usarse en entornos de desarrollo.

Adobe ha confirmado que la vulnerabilidad afecta al servidor web de
JRun 4 en versiones anteriores a JRun 4 Updater 5, actualización
publicada en marzo de este mismo año, por lo que si no se ha aplicado
dicha actualización, se recomienda hacerlo ahora de forma urgente.


Julio Canto
jcanto@hispasec.com


Más información:

Macromedia JRun 4 Web Server URL Parsing Buffer Overflow Vulnerability
http://www.idefense.com/intelligence/vulnerabilities/display.php?id=360

miércoles, 21 de diciembre de 2005

Vulnerabilidades en cliente de correo Pegasus

Se ha anunciado la existencia de dos vulnerabilidades en el cliente
de correo Pegasus Mail, que pueden permitir a atacantes remotos la
ejecución de código.

El primero de los problemas anunciados consiste en un desbordamiento
de búfer al usar las respuestas de un servidor POP3 para construir los
mensajes de trazado que se muestran al usuario cuando se produce un
error al descargar el correo. Esto puede explotarse para lograr la
ejecución de código arbitrario a través de respuestas POP3 de gran
tamaño, si bien requiere engañar al usuario para que se conecte a
un servidor POP3 malicioso.

La segunda vulnerabilidad se trata de un error "Off by one" cuando
se muestran al usuario las cabeceras de mensaje RFC2822 de un e-mail.
Esto puede explotarse mediante cabeceras de mensaje de 1022 bytes (o
más) para sobreescribir el byte menos significativo del puntero EBP,
lo que puede llevar a lograr la ejecución de código en sistemas
Windows XP. El usuario atacado deberá ser engañado para que visualice
las cabeceras del mensaje malicioso.

Son vulnerables las versiones Pegasus Mail 4.21a, 4.21b, y 4.30PB1
(Beta Pública 1). Se recomienda evitar las situaciones bajo las que
se pueden explotar los problemas, como la conexión a servidores POP3
no confiables y la visualización de cabeceras de mensajes. En cualquier
caso, Pegasus Mail version 4.31 no se ve afectada por el problema por
lo que la actualización del programa evita todos los problemas:
http://www.pmail.com/downloads_de_t.htm


Antonio Ropero
antonior@hispasec.com


Más información:

Pegasus Mail Buffer Overflow and Off-by-One (POP3 reply, Email header)
http://www.securiteam.com/windowsntfocus/6B00N0AEUY.html

martes, 20 de diciembre de 2005

Denegación de servicio remota en HP WBEM Services para HP-UX

Se ha descubierto una vulnerabilidad de denegación de servicio remota
en un componente de las versiones 11.00, 11.11 y 11.23 de HP-UX.

Según la propia descripción de HP, Web-Based Enterprise Management (WBEM)
es una norma de la entidad Distributed Management Task Force (DMTF)
independiente de las plataformas y los recursos, que define un modelo
común (es decir, una descripción) y un protocolo (es decir, una interfaz)
para supervisar y controlar un conjunto variado de recursos.

El problema se debe a un error sin especificar en los servicios WBEM
(Web Based Enterprise Management) que puede ser aprovechado por
usuarios remotos malintencionados para provocar denegaciones de
servicio.

El fabricante recomienda actualizar a las siguientes versiones del
servicio según la versión del sistema:
HP-UX B.11.00: Actualizar a HP WBEM Services for HP-UX 1.5 o posterior
HP-UX B.11.11: Actualizar a HP WBEM Services for HP-UX 2.0 o posterior
HP-UX B.11.23: Actualizar a HP WBEM Services for HP-UX 2.0 o posterior


Julio Canto
jcanto@hispasec.com


Más información:

HP WBEM Services Unspecified Flaw Lets Remote Users Deny Service
http://www.securitytracker.com/alerts/2005/Dec/1015377.html

HPSBMA02088 SSRT051026 rev. 1 - HP-UX running WBEM Services Denial
of Service (DoS)
http://www2.itrc.hp.com/service/cki/docDisplay.do?docId=c00582373

HP WBEM Services for HP-UX
http://docs.hp.com/es/5991-1233/ch07s02.html

Distributed Management Task Force (DMTF)
http://www.dmtf.org/

lunes, 19 de diciembre de 2005

Denegación de servicio en Microsoft IIS 5.1

Se ha descubierto una vulnerabilidad en Microsoft IIS (Internet
Information Server) 5.1 que puede ser explotada por atacantes remotos
para provocar denegaciones de servicio.

La realización de peticiones anónimas maliciosas pueden cesar la
ejecución del proceso del servicio IIS (inetinfo.exe). Estas
peticiones sólo requieren que se envíen ciertas cadenas para provocar
la caída del servicio. Un ejemplo de petición maliciosa sería la
siguiente:
http://[direccion]/_vti_bin/.dll/*\~0

Este problema es explotable en instalaciones con carpetas virtuales
que tengan permisos de ejecución para scripts y ejecutables, como
puede ser "/_vti_bin".

Si bien el problema afecta a la versión 5.1 de IIS, se confirma que
las versiones 5.0 y 6.0 no se ven afectadas. Se informa además de que
IIS 5.1 arrancará automáticamente tras su caída, aunque la denegación
de servicio puede perpetuarse mediante la repetición continuada de
peticiones maliciosas.

A la espera de la publicación de un parche que solvente este problema,
se recomienda filtrar en las peticiones los caracteres maliciosos
("~0", "~1", "~2", "~3", "~4", "~5", "~6", "~7", "~8", o "~9", sin las
comillas) usando un proxy que ofrezca dicha funcionalidad.


Julio Canto
jcanto@hispasec.com


Más información:

Microsoft IIS Malformed URI DoS (_vti_bin, _sharepoint)
http://www.securiteam.com/windowsntfocus/6E00E2KEUS.html

Microsoft IIS Remote DoS .DLL Url exploit
http://ingehenriksen.blogspot.com/2005/12/microsoft-iis-remote-dos-dll-url.html

domingo, 18 de diciembre de 2005

Actualización acumulativa para servidor JRun 4.0

Macromedia ha publicado una actualización acumulativa, clasificada como
importante, de su servidor JRun 4.0 que además está destinada a evitar
dos nuevas vulnerabilidades.

El primero de los problemas puede permitir que un atacante remoto obtenga
el código fuente de las aplicaciones a través de URLs especialmente
construidas.

El segundo de los problemas reside en que el Servidor Web JRun no trata
de forma adecuada URLs y cabeceras de gran tamaño, lo que puede permitir
la realización de ataques de denegación de servicio.

La actualización publicada por Macromedia puede descargarse desde:
http://www.macromedia.com/go/jrun_updater


Antonio Ropero
antonior@hispasec.com


Más información:

MPSB05-13 Cumulative Security Updater for JRun 4.0 server
http://www.macromedia.com/devnet/security/security_zone/mpsb05-13.html

sábado, 17 de diciembre de 2005

Denegación de servicio en Cisco Clean Access

Se ha anunciado la existencia de una vulnerabilidad en Cisco Clean
Access, que podrá ser empleada por un atacante remoto para provocar
denegaciones de servicio.

El problema reside en diversos scripts del Secure Smart Manager debido
a que no realizan la autenticación de usuario de forma adecuada. De
tal forma que un usuario remoto podrá subir archivos arbitrarios al
directorio '/installer/windows' del sistema objetivo. Esto puede
emplearse para consumir todo el espacio de disco disponible y provocar
la caída del sistema.

Esta vulnerabilidad afecta al script '/admin/uploadclient.jsp', aunque
existen problemas similares en los scripts 'apply_firmware_action.jsp'
y 'file.jsp'.


Antonio Ropero
antonior@hispasec.com


Más información:

DoS possibilities in the Cisco Clean Access product line
http://www.awarenetwork.org/forum/viewtopic.php?p=223 6

Cisco Clean Access Lack of Authentication in Secure Smart Manager Lets Remote Users Deny Service
http://securitytracker.com/alerts/2005/Dec/1015375.html

viernes, 16 de diciembre de 2005

Diversas vulnerabilidades en Macromedia ColdFusion

Se han anunciado varias vulnerabilidades en Macromedia ColdFusion, que
pueden ser empleadas por usuarios maliciosos para saltar restricciones
de seguridad o para descubrir información sensible.

El primero de los problemas reside en un fallo silencioso de la
funcionalidad de seguridad en la Sandbox cuando ColdFusion se ejecuta
en un miembro de un cluster JRun 4 con Java SecurityManager desactivado.
Esto puede permitir el salto de controles de seguridad en aplicaciones
que confíen en la seguridad de la Sandbox.

Otro de los errores se presenta en el tratamiento del campo "Subject"
de la etiqueta CFMAIL. Esto podrá ser explotado en aplicaciones que
usen dicha etiqueta para adjuntar archivos y enviar mensajes de correo.

Existe un error en la implementación de la configuración
"CFOBJECT/CreateObject(Java)" en la funcionalidad Sandbox Security.
Esto puede explotarse para llamar a métodos restringidos.

Por último, el hash de la contraseña para autenticar al administrador
ColdFusion puede obtenerse por los desarrolladores a través de una
llamada a la API. Esto podría llegar a ser empleado por desarrolladores
maliciosos para obtener el hash y autenticarse como Administrator.

Las vulnerabilidades se han anunciado en la versión 7.0. ColdFusion MX
6.0, 6.1, y 6.1 con JRun, se ven afectados por las dos primeras
vulnerabilidades.

Se recomienda instalar las siguientes actualizaciones.

Para ColdFusion MX 7.0:
Actualizar a la versión 7.0.1.
http://www.macromedia.com/support/coldfusion/downloads_updates.html#mx7

Para ColdFusion MX 6.0:
Actualizar la versión 6.1 y aplicar el hotfix para dicha versión.

ColdFusion MX 6.1:
Instalar el hotfix:
http://download.macromedia.com/pub/security/mpsb05-12.zip


Antonio Ropero
antonior@hispasec.com


Más información:

MPSB05-12 Sandbox Security and CFMAIL Vulnerability in ColdFusion MX 6.X
http://www.macromedia.com/devnet/security/security_zone/mpsb05-12.html

MPSB05-14 Cumulative Security Updater for ColdFusion MX 7
http://www.macromedia.com/devnet/security/security_zone/mpsb05-14.html

jueves, 15 de diciembre de 2005

Desbordamiento de búfer en Apple QuickTime

Se ha anunciado la existencia de una vulnerabilidad en Apple QuickTime
que puede permitir a un usuario remoto la ejecución de código arbitrario
en los sistemas afectados.

QuickTime es el reproductor de Apple para su tecnología para manejar
vídeo, sonido, animaciones, gráficos y otros contenidos multimedia.

Un usuario remoto podrá provocar un desbordamiento de búfer en el
popular reproductor multimedia de Apple, lo que pude permitir la
realización de ataques de denegación de servicio o incluso llegar
a provocar la ejecución de código arbitrario.

El problema se ha confirmado en Apple Quicktime 7.0.3, aunque cabe
señalar que iTunes 6.0.1 también se ve afectado por el mismo problema,
tanto en plataformas OS X y Win32.


Antonio Ropero
antonior@hispasec.com


Más información:

Apple QuickTime Unspecified Heap Overflow May Let Remote Users Execute Arbitrary Code
http://securitytracker.com/alerts/2005/Dec/1015356.html

Upcoming Release: Apple Quicktime/iTunes Heap Overflow
http://www.security-protocols.com/modules.php?name=News&file=article&sid=3109

miércoles, 14 de diciembre de 2005

Vulnerabilidad de Cross-Site Scripting en Nortel SSL VPN

Se ha anunciado la existencia de una vulnerabilidad en Nortel SSL VPN
que puede ser empleada por usuarios remotos para construir ataques de
cross-site scripting.

Nortel SSL VPN es una solución de seguridad destinada a proporcionar
conectividad y acceso remoto a través de Internet mediante el uso de
SSL (Secure Sockets Layer).

El problema reside en el interfaz web incluido, debido a que no valida
adecuadamente los datos suministrados por los usuarios. De tal forma,
que un usuario remoto podrá crear una URL maliciosa que cuando sea
cargada por el usuario atacado provocará la ejecución de comandos
arbitrarios por su navegador.

El código se originará desde el sitio que ejecute el software servidor
SSL VPN y se ejecutará el contexto de seguridad de dicho sitio. Como
resultado, el código tendrá acceso a las cookies del usuario asociadas
con el sitio (incluidas las de autenticación), acceder a datos
introducidos por el usuario en formularios del sitio, o llevar a cabo
acciones en el sitio como si fuera el usuario atacado.

Nortel ha publicado una corrección como parte de la versión de
mantenimiento 5.1.5 del Gateway VPN.


Antonio Ropero
antonior@hispasec.com


Más información:

Nortel SSL VPN Input Validation Flaw Lets Remote Users Conduct Cross-Site Scripting and Command Execution Attacks
http://securitytracker.com/alerts/2005/Dec/1015341.html

Nortel SSL VPN Cross Site Scripting/Command
http://www.sec-consult.com/247.html

Nortel
http://www.nortel.com/

martes, 13 de diciembre de 2005

Dos boletines de seguridad de Microsoft en diciembre

Como cada segundo martes, Microsoft ha publicado sus boletines de
seguridad. Este mes, para finalizar el año se han publicado dos nuevos
boletines (MS05-054 y MS05-055). El primero de ellos referente a
Internet Explorer y el segunda al kernel de Windows 2000.

* MS05-054: Se trata de una actualización acumulativa para Internet
Explorer, que además soluciona cuatro nuevas vulnerabilidades en el
navegador de Microsoft, que pueden llegar a permitir la ejecución
remota de código. Está calificado como "crítico".

* MS05-055: Soluciona una vulnerabilidad de elevación de privilegios en
el modo en que se procesan en el núcleo de Windows 2000 las llamadas
a procedimientos asincrónicos. Esta vulnerabilidad podría permitir que
un usuario local con una sesión abierta tomara control completo del
sistema. Microsoft lo califica como "Importante".

De esta forma, si Microsoft no publica ningún boletín con carácter de
urgencia se cierra el año con 55 boletines de seguridad, diez más que
en el pasado año.


Antonio Ropero
antonior@hispasec.com


Más información:

Microsoft Security Bulletin MS05-054
Cumulative Security Update for Internet Explorer
http://www.microsoft.com/technet/security/bulletin/ms05-054.mspx

Microsoft Security Bulletin MS05-055
Vulnerability in Windows Kernel Could Allow Elevation of Privilege
http://www.microsoft.com/technet/security/bulletin/ms05-055.mspx

lunes, 12 de diciembre de 2005

Desbordamiento de búfer en Ethereal

Se ha anunciado la existencia de una vulnerabilidad en Ethereal, que
puede ser explotada por usuarios maliciosos para provocar denegaciones
de servicio e incluso lograr la ejecución de código y comprometer los
sistemas remotos.

Ethereal es una aplicación de auditoría orientada al análisis de tráfico
en redes, que goza de mucha popularidad, ya que está disponible en
múltiples plataformas, soporta una gran cantidad de protocolos y es
de fácil manejo

La vulnerabilidad está provocada por un error en el analizador del
protocolo OSPF (packet-ospf.c), concretamente por la ausencia de
las adecuadas comprobaciones en la función dissect_ospf_v3_address_prefix().
Esta función se encarga de convertir datos recibidos en formato
binario a cadenas legibles por humanos. Esto puede ser empleado
para provocar desbordamientos de búfer y la consiguiente ejecución
de código.

En el repositorio SVN de ethereal, se encuentra la corrección de este
problema, en:
http://anonsvn.ethereal.com/viewcvs/viewcvs.py/trunk/epan/dissectors/packet-ospf.c?rev=16507&view=markup


Antonio Ropero
antonior@hispasec.com


Más información:

Ethereal OSPF Protocol Dissector Buffer Overflow Vulnerability
http://www.idefense.com/application/poi/display?id=349&type=vulnerabilities

domingo, 11 de diciembre de 2005

Actualización de xpdf para Red Hat Enterprise Linux

Red Hat ha publicado paquetes actualizados de xpdf para diversas
versiones de su Enterprise Linux, debido a que se han detectado algunas
vulnerabilidades en dicha utilidad que pueden ser explotadas por
usuarios maliciosos para provocar denegaciones de servicio y
potencialmente comprometer sistemas afectados.

* Un problema de tratamiento de tamaños de variables en la función
"DCTStream::readBaselineSOF()" puede ser explotado para provocar
desbordamientos de búfer basado en heap.
* Otro problema de tratamiento de tamaños de variables en la función
"DCTStream::readProgressiveSOF()" puede ser explotado para provocar
desbordamientos de búfer basado en heap.
* Un error en la función "StreamPredictor::StreamPredictor()" puede
ser explotado también para provocar desbordamientos de búfer basados
en heap.
* Un error en la función "JPXStream::readCodestream()" también puede
ser explotada para provocar desbordamientos de búfer basados en heap.

La compañía recomienda actualizar los sistemas vulnerables vía Red Hat
Network:
http://rhn.redhat.com/


Julio Canto
jcanto@hispasec.com


Más información:

Important: xpdf security update
http://rhn.redhat.com/errata/RHSA-2005-840.html

sábado, 10 de diciembre de 2005

Salto de restricciones de seguridad en Check Point VPN-1 SecureClient

Se ha descubierto una vulnerabilidad en Check Point VPN-1 SecureClient
que puede ser explotada potencialmente por usuarios maliciosos para
saltarse ciertas restricciones de seguridad.

La vulnerabilidad se debe a que SecureClient se fia de la copia local
del archivo 'lcal.scv' descargado del servidor de políticas para
realizar comprobaciones de integridad del cliente antes de permitir
que éste se conecte a redes internas vía VPN. Esta comprobación puede
ser saltada por usuarios con acceso de escritura al archivo mediante
un reemplazo continuo con uno modificado.

Este problema potencialmente permite saltarse la funcionalidad SVC
(Secure Configuration Verification) del producto, que facilita a
clientes que no encajen con las políticas de seguridad de la
organización conectarse a la red interna.

A la espera de un parche que solvente el problema, se recomienda no
fiarse de SVC como método único para asegurar que un cliente esté
configurado de acuerdo con las políticas de seguridad.


Julio Canto
jcanto@hispasec.com


Más información:

Check Point VPN-1 SecureClient Lets Local Users Bypass Security Policy
http://securitytracker.com/alerts/2005/Dec/1015326.html

viernes, 9 de diciembre de 2005

Exposición de información sensible en Sun Solaris 10

Sun ha anunciado la existencia de una vulnerabilidad en Sun Update
Connection, que puede ser explotada por usuarios locales maliciosos
para descubrir información sensible.

La vulnerabilidad está provocada por un error, del que no se han
facilitado detalles, que permite a usuarios locales conseguir la
contraseña del proxy web configurado. La contraseña del proxy también
es visible en los archivos de log del proxy web en el servidor.

La explotación exitosa requiere que Sun Update Connection esté
configurado para usar un proxy web con contraseña de autenticación.

Sun ha confirmado el problema en plataformas Solaris 10 tanto en
SPARC como x86. Se han publicado los siguientes parches para
solucionarlo:
Para plataforma SPARC:
http://sunsolve.sun.com/pub-cgi/pdownload.pl?target=119107
Para plataforma x86:
http://sunsolve.sun.com/pub-cgi/pdownload.pl?target=119108-04


Antonio Ropero
antonior@hispasec.com


Más información:

Solaris 10 Sun Update Connection Web Proxy Password Disclosure Vulnerability
http://sunsolve.sun.com/search/document.do?assetkey=1-26-102090-1

jueves, 8 de diciembre de 2005

Salto de restricciones de seguridad en diversos productos Cisco

Cisco ha anunciado una vulnerabilidad que afecta a varios de sus
productos y que puede ser explotada por usuarios maliciosos para
saltarse ciertos mecanismos de seguridad.

La lista de productos afectados por el problema son los siguientes:
* Cisco PIX versiones de la 7.0.1 a la 7.0.4.2
* Cisco ASA 5500 versión 7.0.4.2. y anteriores
* CiscoWorks Common Services (CWCS) versión 2.2
* CiscoWorks Common Services (CWCS) versión 3.0
* Cisco Mainframe Channel Connection (CMCC) versión 28-22 y anteriores
* Cisco Global Site Selector (4480, 4490, 4491) versión 1.2 y
anteriores
* Cisco Wireless Control System Software versión 4.0 y anteriores
* Cisco IOS-XR versión 3.3 y anteriores

La vulnerabilidad se debe a un error en el tratamiento de la opción
SSL_OP_MSIE_SSLV2_RSA_PADDING. El uso de esta opción provoca una
comprobación que evita deshabilitar ataques de retroceso de versión de
protocolo. Esta circunstancia puede ser explotada por atacantes para
provocar que las comunicaciones se hagan con SSL 2.0 en vez de SSL 3.0
o TLS 1.0. Esta opción se usa también cuando se activa la opción
SSL_OP_ALL. Para que se pueda explotar la vulnerabilidad es necesario
que SSL 2.0 esté activado, y que o bien SSL_OP_MSIE_SSLV2_RSA_PADDING
o SSL_OP_ALL estén activados.

Las actualizaciones publicadas por Cisco son las siguientes:
* Cisco ASA 5500 y Cisco PIX con software 7.x: solventado en la
versión interina 7.0.4.3
* CiscoWorks Common Services (CWCS) versión 2.2: un parche puntual se
publicará el 2005-12-07
* CiscoWorks Common Services (CWCS) versión 3.0: un parche puntual se
publicará el 2005-12-16
* Cisco Mainframe Channel Connection (CMCC): la versión corregida
28-23 está programado para su publicación en diciembre del 2006
* Cisco Global Site Selector (4480, 4490, 4491): solventado en la
versión 1.2(2.2.0)
* Cisco Wireless Control System Software: se publicará una versión
corregida en febrero del 2006
* Cisco IOS-XR: se publicará una versión corregida en abril del 2006


Julio Canto
jcanto@hispasec.com


Más información:

Cisco Security Notice: Response to OpenSSL - Potential SSL 2.0 Rollback
http://www.cisco.com/warp/public/707/cisco-response-20051202-openssl.shtml

miércoles, 7 de diciembre de 2005

Actualización de seguridad para cURL

Las versiones de "cURL" no actualizadas contienen una vulnerabilidad que
permite que un atacante ejecute código arbitrario bajo los privilegios
del proceso que utilice "cURL".

"cURL" es una librería y herramienta para descargar ficheros por Gopher,
FTP, FTPs, HTTP, HTTPs, telnet, DICT, FILE y LDAP.

El problema reside en la rutina de gestión de URLs. Si un atacante
proporciona a la librería una URL excesivamente larga, puede provocar un
desbordamiendo de búfer y la ejecución de código arbitrario con los
privilegios del proceso atacado.

El ataque puede desarrollarse de dos maneras posibles, compatibles, por
lo que pueden utilizarse de forma simultanea. Aunque el desbordamiento
de búfer es muy limitado y parece difícil de explotar para provocar la
ejecución de código arbitrario, no debe descartarse. Por ello, Hispasec
recomienda a todos los usuarios de "cURL" que actualicen cuanto antes a
la versión 7.15.1, sobre todo si utilizan plataformas "little endian",
como x86.

La vulnerabilidad afecta, por supuesto, a los programas que utilicen la
librería "libcurl". Los programas enlazados de forma dinámica con la
librería deben ser reiniciados, para que empleen la versión correcta.
Los programas que se enlacen de forma estática deben ser
recompilados/reenlazados.

Las versiones afectadas son de la 7.11.2 a la 7.15.0, inclusive.


Jesús Cea Avión
jcea@hispasec.com


Más información:

libcurl URL Buffer Overflow
http://curl.haxx.se/docs/security.html#20051207

Security Advisory December 7th 2005
http://curl.haxx.se/docs/adv_20051207.html

cURL
http://curl.haxx.se/

martes, 6 de diciembre de 2005

Desbordamiento de búfer en Symantec pcAnywhere 9, 10 y 11

Se ha descubierto una vulnerabilidad en Symantec pcAnywhere
(versiones 11.0.1, 11.5.1 y todas las versiones de 32 bit) que
puede ser explotada por usuarios maliciosos para provocar
denegaciones de servicio.

La vulnerabilidad se debe a un error de tratamiento de tamaños de
variables sin especificar que puede ser explotado para provocar un
desbordamiento de búfer antes de la autenticación, lo que provoca el
cese de la ejecución del componente pcAnywhere.

Si bien las vulnerabilidades han sido confirmadas en las versiones
anteriormente nombradas, no se descarta que afecten también a otras
anteriores que ya no están soportadas por la compañía.

Las actualizaciones para los productos afectados pueden descargarse
desde las siguientes direcciones:
* Symantec pcAnywhere (versiones para consumidor):
http://www.symantec.com/techsupp/files/pca/index.html
* Symantec pcAnywhere (versiones corporativas):
http://www.symantec.com/techsupp/enterprise/products/spca/files.html

Symantec recomienda que los usuarios con versiones anteriores a la
11.0.1 actualicen a versiones soportadas.


Julio Canto
jcanto@hispasec.com


Más información:

Symantec pcAnywhere Denial of Service
http://securityresponse.symantec.com/avcenter/security/Content/2005.11.29.html

lunes, 5 de diciembre de 2005

Denegación de servicio en navegador Opera

Se ha anunciado una vulnerabilidad en el navegador Opera que puede
permitir a usuarios remotos la realización de ataques de denegación
de servicio.

Es posible provocar la caída de Opera 8.50 con un applet de Java. La
vulnerabilidad reside en un error en una rutina JNI implementando la
clase com.opera.JSObject.

Se ha publicado una prueba de concepto disponible en:
http://www.illegalaccess.org/exploit/opera85/OperaApplet.html

Se recomienda la actualización a Opera 8.51 que corrige el problema,
disponible en: http://www.opera.com/download/


Antonio Ropero
antonior@hispasec.com


Más información:

Opera Java Applet DoS
http://www.securiteam.com/windowsntfocus/6Y0010AEUA.html

domingo, 4 de diciembre de 2005

Denegación de servicio en Avaya Media Gateway

Se ha anunciado la existencia de una vulnerabilidad en Avaya Media
Gateway TN2602AP IP Media Resource 320, que puede ser explotada por
usuarios maliciosos para provocar denegaciones de servicio.

Hay que señalar que el circuito TN2602AP IP Media Resource 320 es
un componente opcional de Avaya G650 Media Gateway.

El problema se debe a un error no detallado, pero que puede ser
explotado para provocar fugas de memoria, lo que podría llegar a
emplearse para llevar a cabo ataques de denegación de servicio a
través de paquetes específicamente creados.

La vulnerabilidad se ha confirmado en las versiones del firmware
anteriores a la 9, que puede descargarse desde:
http://support.avaya.com/japple/css/japple?temp.documentID=236667&temp.productID=136527&temp.releaseID=228560&temp.bucketID=108025&PAGE=Document#TN2602


Antonio Ropero
antonior@hispasec.com


Más información:

Talkpath issue for TN2602AP IP Media Resource 320
http://support.avaya.com/elmodocs2/security/ASA-2005-231.pdf

sábado, 3 de diciembre de 2005

Nuevos contenidos en CriptoRed (noviembre de 2005)

Breve resumen de las novedades producidas durante el mes de noviembre
de 2005 en CriptoRed, la Red Temática Iberoamericana de Criptografía
y Seguridad de la Información.

1. DOCUMENTOS NUEVOS PARA SU DESCARGA

* Equivocaciones Comunes en la Gestión Corporativa de la Seguridad
Telemática
http://www.criptored.upm.es/paginas/docencia.htm#gtletraE

* Libro Electrónico: Estado del Arte. Sistemas de Detección de Intrusos
http://www.criptored.upm.es/paginas/docencia.htm#librose

Desde otros sitios:

* Trabajos Presentados en V Jornada de Seguridad Informática de Bogotá
(Colombia)
http://www.acis.org.co/index.php?id=527

2. CONGRESOS Y SEMINARIOS POR ORDEN CRONOLOGICO DE CELEBRACION

* Diciembre 1 al 2 de 2005: IFIP TC-11 WG 11.1 & WG 11.5 Joint Working
Conference on Security Management, Integrity, and Internal Control in
Information Systems (Fairfax - USA)
http://www.cs.uvm.edu/ifip11.1.5/

* Diciembre 14 al 16 de 2005: IV Congreso Internacional de Auditoría y
Seguridad de la Información en (Madrid - España)
http://www.ciasi.info/principal.htm

* Diciembre 16 al 18 de 2005: Special Session Trust Access, Privacy
And Security ISCOCO 2005 (Tenerife - España)
http://www.worldses.org/conferences/2005/tenerife/iscoco/index.html

* Abril de 2006: Segunda Escuela Venezolana de Seguridad de Cómputo
(Mérida - Venezuela)
http://www.saber.ula.ve/eventos/evscm/

* Abril 19 al 21 de 2006: CFP 7th Smart Card Research and Advanced
Application IFIP Conference CARDIS 2006 (Tarragona - España)
http://www.cardis.org/

* Abril 20 al 22 del 2006: The First International Conference on
Availability, Reliability and Security (Austria)
http://www.ares-conf.org/?q=node

* Mayo 23 al 24 de 2006: Fourth International Workshop on Security
in Information Systems WOSIS 2006 (Paphos - Chipre)
http://www.iceis.org/

* Agosto 20 al 25 de 2006: 19th IFIP World Computer Congress 2006
(Santiago - Chile)
http://www.wcc-2006.org/

* Calendario de congresos en IACR International Association for
Cryptologic Research:
http://www.iacr.org/events/

3. CURSOS DE POSTGRADO, ESPECIALIDAD Y FORMACIÓN

Puedes encontrar los enlaces en:
http://www.criptored.upm.es/paginas/eventos.htm#Cursos

4. NOTICIAS SELECCIONADAS DEL MES DE NOVIEMBRE DE 2005

* CFP TC11 para WCC 2006 Security Stream IFIP (Chile)
http://www.wcc-2006.org/

* CFP The First International Conference on Availability, Reliability
and Security (Austria)
http://www.ares-conf.org/?q=node

* Clausurado CIBSI '05 en Valparaíso (Chile). La Próxima Cita en 2007
será en Buenos Aires (Argentina)
http://cibsi05.inf.utfsm.cl/

* Conferencias FIST sobre Seguridad en Aplicaciones Web en el CSIC de
Madrid (España)
http://www.fistconference.org/madrid.php

5. OTROS DATOS DE INTERES EN LA RED

* Número actual de miembros en la red: 543
(152 universidades; 189 empresas)
http://www.criptored.upm.es/paginas/particulares.htm

* 36.533 visitas, con 96.773 páginas solicitadas y 36,41 GBytes servidos
en noviembre de 2005
Las estadísticas AWStats del mes se muestran en páginas estáticas
actualizadas cada día a las 00:05 horas
http://www.criptored.upm.es/estadisticas/awstats.www.criptored.upm.es.html


Jorge Ramió Aguirre
Coordinador de CriptoRed


Más información:

Noviembre de 2005
http://www.criptored.upm.es/paginas/historico2005.htm#nov05

viernes, 2 de diciembre de 2005

Actualización del lenguaje de programación PHP

Se acaba de publicar la versión 5.1.1 del lenguaje de programación PHP,
solucionando varios problemas de seguridad.

PHP (PHP: Hypertext Preprocessor) es un popular lenguaje de scripting
de código abierto, muy utilizado para el desarrollo de pequeñas
aplicaciones web.

La rama 5.1.*, además de nuevas librerías y retoques en el lenguaje
en sí, soluciona diversos problemas de seguridad:

* Nuevas comprobaciones de seguridad en las funciones "image*".

* Nuevas comprobaciones de seguridad en la librería "cURL".

* Nuevas comprobaciones de seguridad en la gestión de subida de ficheros
al servidor PHP.

* Actualización de seguridad de varios componentes integrados, como las
librerías zlib, openssl, curl, y otros.

* Corrupción de memoria en "ImageTTFText()".

* Corrupción de memoria en "pg_copy_from()".

* Corrupción de memoria en "stristr()".

* Varias sobreescrituras posibles de variables globales, bajo ciertas
circunstancias.

* Varios problemas de liberación múltiple de memoria.

De momento el equipo de desarrollo PHP no ha indicado si va migrar o no
los parches de seguridad a la rama 5.0 pero, juzgando por eventos
semejantes anteriores, nos parece dudoso.

Las instalaciones que hayan sido actualizadas a la versión 5.1.0 de PHP
deberán realizar una nueva actualización a la 5.1.1, publicada apenas
cuatro días después, que soluciona un problema de seguridad en el módulo
"cURL" y numerosas regresiones y problemas de estabilidad.

Por lo tanto, Hispasec recomienda la actualización a PHP 5.1.1. Debemos
destacar, no obstante, que esta versión puede no ser enteramente
compatible con los "scripts" programados para la versión 5.0. Entre los
enlaces al final de este boletín encontrarán uno en el que se detallan los
cambios necesarios para solucionar incompatibilidades.


Jesús Cea Avión
jcea@hispasec.com


Más información:

Changelog version 5.1.1
http://www.php.net/ChangeLog-5.php#5.1.1

Changelog version 5.1.0
http://www.php.net/ChangeLog-5.php#5.1.0

UPGRADE NOTES - PHP 5.1
http://www.php.net/README_UPGRADE_51.php

PHP
http://www.php.net/

jueves, 1 de diciembre de 2005

Escalada de privilegios en Cisco Security Agent 4.x para Windows

Se ha descubierto una vulnerabilidad local en diversas versiones de
Cisco Security Agent que puede ser explotada por atacantes para
realizar escaladas de privilegios.

La vulnerabilidad ha sido detectada en las siguientes versiones:
* Cisco CSA 4.5.0 (agentes centralizados o individuales)
* Cisco CSA 4.5.1 (agentes centralizados o individuales)
* Cisco CSA 4.5.0 (build 573) para CallManager
* Cisco CSA 4.5.1 (build 628) para CallManager
* Cisco CSA 4.5.1 (build 616) para Intelligent Contact Management
(ICM), IPCC Enterprise e IPCC Hosted
* Cisco CSA 4.5.0 (build 573) para Cisco Voice Portal (CVP) 3.0 y 3.1

El problema se debe a un error sin especificar de esta herramienta
sobre la plataforma Windows, y que puede ser explotada por usuarios
maliciosos para conseguir privilegios a nivel SYSTEM en sistemas
vulnerables.

La compañía recomienda actualizar a la versión 4.5.1.639:
* Management Center para Cisco Security Agents:
http://www.cisco.com/pcgi-bin/tablebuild.pl/csa
* CSA para CallManager:
http://www.cisco.com/pcgi-bin/tablebuild.pl/cmva-3des
* CSA para ICM, IPCC Enterprise, e IPCC Hosted:
http://www.cisco.com/pcgi-bin/tablebuild.pl/csa10-crypto
* CSA para CVP 3.0 y 3.1:
http://www.cisco.com/pcgi-bin/tablebuild.pl/csa-cvp-20


jcanto@hispasec.com
Julio Canto


Más información:

Cisco Security Advisory: Cisco Security Agent Vulnerable to Privilege Escalation
http://www.cisco.com/warp/public/707/cisco-sa-20051129-csa.shtml