domingo, 30 de abril de 2006

Ejecución de código en sendmail de Sun Cobalt

Sun ha confirmado la existencia de una vulnerabilidad en equipos
Sun Cobalt, que permitiría a un usuario local o remoto no privilegiado
podría ejecutar código arbitrario con privilegios elevados o provocar
una denegación de servicio.

Según el aviso de Sun, el problema reside en una vulnerabilidad en el
demonio sendmail relacionada con el manejo de señales.

El problema afecta a:
RaQ4 con versiones de sendmail 8.10.2-C4stackguard o anteriores.
RaQ550 con versiones de sendmail 8.11.6-1C6stackguard o anteriores.
RaQXTR con versiones de sendmail 8.11.6-1C6stackguard o anteriores.

Aunque por el momento no existe parche oficial, se recomienda como
contramedida bloquear el acceso al servicio afectado desde redes no
confiables como Internet, o desactivar el demonio sendmail si no se
hace uso de él. Se puede emplear un firewall o cualquier otro tipo de
tecnología de filtrado de paquetes para bloquear los puertos apropiados.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Sun Cobalt sendmail(8) Security Issue Involving Signal Handling Daemon
http://sunsolve9.sun.com/search/document.do?assetkey=1-26-102324-1&searchclause=

sábado, 29 de abril de 2006

Múltiples vulnerabilidades en LibTIFF 3.x

Se han encontrado varias vulnerabilidades en LibTIFF que pueden ser
aprovechadas por atacantes para provocar una denegación de servicio
y potencialmente comprometer el sistema afectado.

Existe varios errores no especificados en la función TIFFFetchAnyArray
que pueden ser aprovechados para que una aplicación enlazada a LibTIFF
deje de funcionar cuando se abre una imagen especialmente manipulada.

Existe un desbordamiento de enteros en la función TIFFFetchData en
tif_dirread.c que puede ser aprovechada para que una aplicación
enlazada con LibTIFF deje de funcionar. Podría ejecutarse además
código arbitrario al procesar imágenes especialmente manipuladas.

Por último, también se ha anunciado un error en tif_jpeg.c, concretamente
en los métodos setfield/getfield que pueden ser aprovechados para que
una aplicación enlazada a LibTIFF deje de funcionar al abrir una imagen
especialmente manipulada.

Los fallos se han confirmado en la versión 3.8.0. aunque versiones
previas también podrían verse afectadas.

Se recomienda actualizar a la versión 3.8.1 o posterior desde
http://www.remotesensing.org/libtiff/


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

LibTIFF Image Handling Multiple Buffer Overflow and Denial of Service Vulnerabilities
http://www.frsirt.com/english/advisories/2006/1563

CVE-2006-2024 multiple libtiff issues
https://bugzilla.redhat.com/bugzilla/show_bug.cgi?id=189933

CHANGES IN LIBTIFF
http://www.remotesensing.org/libtiff/v3.8.1.html

viernes, 28 de abril de 2006

Vulnerabilidad en diálogos de seguridad ActiveX de Internet Explorer

Se ha identificado una vulnerabilidad en Microsoft Internet Explorer
que puede ser aprovechada por atacantes para ejecutar código en un
sistema afectado.

El fallo se debe a una condición de carrera a la hora de mostrar y
procesar diálogos de seguridad relativos a controles ActiveX. Esto
podría ser aprovechado por atacantes remotos para manipular los
diálogos si se incita al usuario a que visite una página especialmente
manipulada, aunque requiere de cierta interactividad por parte del
usuario.

La explotación exitosa de este problema puede provocar la instalación,
de forma inadvertida para el usuario, de código ActiveX en el sistema.
No existe parche oficial por el momento. Se recomienda no navegar por
páginas no confiables.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Microsoft Internet Explorer Modal Security Dialog Race Condition May
Let Remote Users Install Code or Obtain Information
http://securitytracker.com/alerts/2006/Apr/1015720.html

jueves, 27 de abril de 2006

Múltiples vulnerabilidades en Ethereal

Se han identificado hasta 28 vulnerabilidades en Ethereal, que pueden
ser aprovechadas por atacantes remotos para provocar denegaciones de
servicio o comprometer los sistemas vulnerables.

Ethereal es una aplicación de auditoría orientada al análisis de tráfico
en redes, que goza de mucha popularidad, ya que está disponible en
múltiples plataformas, soporta una gran cantidad de protocolos y es
de fácil manejo.

Los fallos encontrados se deben a bucles infinitos, off-by-one, y
desbordamiento de búfer que afectan a los analizadores de protocolos
H.248, UMA, X.509if, SRVLOC, H.245, COPS, ALCAP, AIM, RPC, DCERPC,
ASN.1, SMB PIPE, BER, SNDCP, telnet, DCERPC NT, y PER, así como a la
impresión OID printing, al contador de estadísticas, Network Instruments,
y módulos NetXray/Windows Sniffer.

Estas vulnerabilidades pueden ser aprovechados para ejecutar código
arbitrario o provocar denegaciones de servicio a través de ficheros
de trazas malformados.

Las versiones afectadas son Ethereal 0.8.5 hasta la 0.10.14, se
recomienda actualizar a la versión 0.99.0 desde:
http://www.ethereal.com/download.html#releases


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Ethereal Protocol Dissectors Code Execution and Denial of Service Vulnerabilities
http://www.frsirt.com/english/advisories/2006/1501

miércoles, 26 de abril de 2006

Graves fallos de seguridad en Mozilla Firefox e Internet Explorer

Michal Zalewski ha descubierto un grave fallo para Internet Explorer.
Se ha identificado una vulnerabilidad que puede ser aprovechada por
atacantes para ejecutar código arbitrario. El fallo se debe a una
corrupción en la memora a la hora de procesar scripts HTML manipulados.
Si el código contiene etiquetas OBJECT especialmente formadas,
el navegador dejaría de funcionar y, probablemente, quedaría
en disposición de inyectar código y poder ser ejecutado.

Parece que hoy por hoy, el simple hecho de navegar por Internet puede
resultar un deporte de riesgo, y esta vez no se puede apuntar con el
dedo exclusivamente a los "sospechosos habituales". La principal
alternativa para la navegación, Mozilla Firefox acababa de solventar
unas veinte vulnerabilidades con su última versión 1.5.0.2 del 13 de
abril, cuando ya el día 24 se publica un nuevo fallo que provoca que el
navegador deje de funcionar (se provoque denegación de servicio). En
este caso, no está claro que el problema pueda resultar en la ejecución
de código, aunque es probable.

La vulnerabilidad se debe a un error de manejo de Javascript en
js320.dll y pcom_core.dll relacionado con la función
iframe.contentWindow.focus. Un usuario remoto podría crear una página
HTML especialmente manipulada tal que, al ser cargada, dispararía un
desbordamiento de memoria intermedia (búfer). Existe prueba de concepto
capaz de hacer que Firefox deje de funcionar abruptamente.

La popularidad del navegador de la fundación Mozilla se eleva cada día
y, aunque el porcentaje aún se vea superado con creces por Internet
Explorer, supone ya un jugoso número de usuarios en cifras totales.
Firefox puede estar pagando ya el precio de la fama. Cabía esperar que
ante el creciente interés por la aplicación, muchos más ojos lo
escudriñaran. El hecho de que su código sea visible facilita el estudio
e identificación de vulnerabilidades, además de encontrarse en una
versión todavía "joven". Estos factores influirán sin duda en que,
en lo sucesivo, sigan apareciendo errores.

Ante estas potenciales vulnerabilidades, habrá que estar atento a cómo
y en cuánto tiempo serán resueltas. También a un factor externo al
navegador pero importante: la (por ahora escasa) cantidad de malware
que phishers y demás fauna de Internet destinen específicamente a
aprovecharse de estos hipotéticos fallos. Estas serán condiciones
decisivas para seguir considerando a Firefox un software fiable y
razonablemente seguro en el futuro.

Para ninguno de los dos errores mencionados existe parche oficial por el
momento. Ante tan oscuro panorama, siempre quedarán alternativas como
Konqueror y Opera, navegadores con una cantidad de vulnerabilidades
(descubiertas) tan pequeña como su porcentaje de uso. Ventajas de
pertenecer a una minoría.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Firefox Javascript flaw:
http://www.milw0rm.com/exploits/1716

MSIE (mshtml.dll) OBJECT tag vulnerability
http://lists.grok.org.uk/pipermail/full-disclosure/2006-April/045422.html

martes, 25 de abril de 2006

10 claves para una adecuada recuperación ante desastres

En la gestión de la seguridad hay un capítulo de especial importancia.
Este capítulo es el que habla de recuperación ante desastres, un
concepto que tiene que ir asociado de una manera biyectiva a otro
concepto de igual interés en el gobierno de la seguridad. La continuidad
de los negocios.

Estos parámetros toman cada vez más cuerpo. Recientemente hemos visto
cómo se ha propuesto un modelo de normativa ISO cuya denominación será
ISO/IEC 27006 "Guidelines for information and communications technology
disaster recovery services", específicamente orientada a la continuidad
y a la recuperación, proporcionando guías específicas para los servicios
de recuperación ante desastres, bien sean propios o externos. Esto no
hace más que refrendar la teoría de que los modelos de gestión están
cada vez más orientados a la seguridad de la información, como único
mecanismo garante de que los procesos que reposan en las tecnologías
de la información posean el tratamiento óptimo, en aras del beneficio
conjunto de todo el mapa de procesos de la organización. Se prevé que
ISO/IEC 27006 aparezca en torno a noviembre de 2007, y por lo que se
puede ver en el borrador, se percibe una fuerte impregnación de la norma
SS507 - Singapore Standards for Business Continuity/Disaster Recovery
(BC/DR) Service Providers.

En Hispasec hemos hablado anteriormente sobre planes de recuperación y
continuidad. No vamos a extendernos más en las definiciones teóricas que
ya propusimos en nuestros boletines números 2278 y 2540, enlazados al
pie. El objetivo de este boletín es incidir en medidas prácticas
asociadas a los conceptos de recuperación y continuidad. Para ello hemos
preparado un decálogo de acciones que pueden ayudarle a plantear el
problema de una manera más cómoda y accesible. Son sólo algunas acciones
básicas, que deben siempre complementarse con un plan específico
diseñado y gestionado por expertos para cada caso, y están basadas en
los artículos propuestos en el capítulo de "más información"

1.- Probar las copias de seguridad. Por obvio que resulte, las copias
sólo tienen utilidad cuando pueden ser restauradas. Es recomendable que
las organizaciones dediquen al menos un equipo a modo de "sandbox" o
caja de arena de pruebas específicas de verificación de copias de
respaldo, y que eventualmente, con una periodicidad programada, se
verifiquen estas copias.

2. Escoja su software de backup con criterio. Elegir un sistema de copia
y restauración puede requerir la intervención de un experto, sobre todo
en entornos heterogéneos. Piense en la disponibilidad y en los tiempos
cortos de recuperación como un activo rentable y extremadamente
interesante. No tenga miedo a invertir en estos conceptos, bien sea en
licencias, bien sea en servicios o en ambos.

3. Con una periodicidad adecuada, por ejemplo, semanalmente, desplace
las copias de seguridad a sitios externos a la organización, de modo que
prevenga así incidentes localizados, como robos, incendios,
inundaciones, etc. Dentro de la organización opte por armarios ignífugos
para la conservación como medida mínima de protección de las copias.
Dejarlas en lo alto del servidor o de una mesa no es la elección más
adecuada en ninguno de los casos

4. Una medida interesante para prevenir la indisponibilidad y la gran
mayoría de los problemas puede ser el aislamiento de las máquinas.
Disponer de cuartos específicos bajo llave donde ubicar los sistemas
reduce mucho el riesgo de daños accidentales o intencionados. Las
máquinas deben estar preferentemente en entornos climatizados y
controlados, y a ser posible, en armarios tipo rack o equivalentes
homologados, con un grado de protección adecuado en lo relativo a
incendios, humedades y otros parámetros de catástrofe similares.

5. Escoger la ubicación de la sala de máquinas puede ser tan sencillo
como contemplar que no haya en las cercanías redes de fontanería ni
desagüe, y que las tomas eléctricas existentes sean seguras y cercanas a
la acometida, por si fuera necesario ampliar o sustituir el
abastecimiento. Otro factor de interés, siempre que sea posible, es la
proximidad a los sistemas contraincendios. La proximidad a sistemas de
evacuación de emergencia, climatización y ventilación son también
interesantes para ubicar la sala de máquinas. Procure por último que la
sala sea fácilmente accesible por métodos de transporte, como
carretillas y elevadores, y que el/los montacargas, en caso de altura,
no estén lejos

6. A la hora de mesurar potenciales riesgos, no escatime ninguno. Por
desgracia en su oficina puede pasar de todo. Puede incendiarse,
inundarse o puede ser forzada por vándalos. Evite pensar que incidentes
como los acontecidos en el edificio Windsor o los sufridos por multitud
de ISPs en Nueva Orleans (véase el caso Directnic) con el huracán
Katrina son imposibles en su ubicación. Cualquier daño que pueda
imaginar por cualquier causa imaginable es una fuente de riesgo ante la
recuperación. Obviamente, corresponde al gestor de seguridad balancear
probabilidades y asignar pesos y probabilidades. Es obvio que el impacto
de un avión en un edificio de oficinas no es igual de probable (por
fortuna) que la rotura de una cañería, ni tampoco es probable que si
ubica un ISP en un lugar con fuerte desertización acabe con problemas de
humedades, pero de entrada no descarte absolutamente nada.

7. Comunique las acciones a tomar para todos los posibles incidentes. No
sirve de nada tener los planes guardados en un cajón, y no sirve de nada
un plan que no sea conocido por todos los estamentos implicados. La
recuperación ante incidentes es un trabajo en equipo y es absolutamente
necesario que todos los elementos de la cadena estén perfectamente
documentados sobre las tareas a realizar en cada caso.

8. La recuperación requiere obligatoriamente que el personal implicado
en todas y cada una de las fases conozca todas las metodologías y
tecnologías disponibles para tales efectos. Es un campo donde la
formación continua de los asalariados es una garantía de éxito. Muchas
veces el material de estudio de este tipo de sistemas está en lengua
foránea. Debe tenerse la mínima formación por parte de todos para
comprender estos términos foráneos, en lengua inglesa principalmente,
por ejemplo, para interpretar correctamente referencias en un memorando
o email sobre BC/DR para hacer alusión al Business Continuity/Disaster
Recovery (Continuidad del negocio/Recuperación ante el desastre)

9. Si sus recursos se lo permiten, ejecute de vez en cuando simulacros.
Los simulacros que aportan información útil son aquellos en los que no
se avisa, y donde es factible obtener información sobre el proceso de
recuperación. Tirar del cable de un servidor en producción puede ser una
prueba muy directa para verificar si la rueda de recuperación está bien
engrasada.

10. Tome todos los datos anteriores, y elabore una posible secuencia
temporal. Pongamos un ejemplo: Si se rompe una tubería y se moja un
servidor, puede que la placa madre se queme. Tanto si se quema como si
aparentemente no hay daños, hay que avisar a cierta persona, cuyo
teléfono de urgencia es A, cuya responsabilidad es el mantenimiento de
las máquinas. En caso de quemado, se debe localizar en el almacén una
placa equivalente, cuyo modelo es B. Si no hay placas en el almacén,
debemos llamar al proveedor C, el cual está informado de nuestro
inventario, para proceder a su pronta adquisición. Es preciso igualmente
avisar al servicio de mantenimiento del edificio, localizables 24 horas
en el teléfono D y dar parte de la avería. Por último, el equipo E
levantará el equipo que ha quedado inutilizado y hará las verificaciones
oportunas que certifiquen que la recuperación es un éxito. La incidencia
la catalogaremos completa y la almacenaremos en nuestro catálogo de
incidencias, para reutilizaciones futuras. Con todos estos datos, el
gestor de seguridad analizará lo sucedido y buscará maneras de optimizar
el procedimiento de recuperación, informando igualmente de las
responsabilidades que deriven del incidente a la alta dirección.

Una vez haya unido todas las posibles fuentes de problemas y sus
soluciones, habrá elaborado un plan de recuperación. Priorice las partes
del negocio sujetas a potencial indisponibilidad o ruptura para
ordenarlas en importancia, ya que debe recuperarse primero lo que más
rentable o vital sea para la organización. Esto es lo que hace
indispensable que el plan emane de la alta dirección, porque es la alta
dirección la que sabe qué es más necesario para mantener la continuidad
y qué componentes del esquema tienen más peso en la rentabilidad global
de la empresa. La alta dirección es la única cualificada para establecer
este tipo de prioridades, con lo que estos planes deben surgir de los
altos estratos para ser diseminados posteriormente por la organización,
al igual que se hace con cualquier sistema de gestión.

Un plan de recuperación es, a fin de cuentas, un instrumento para
ofrecer respuestas metódicas, congruentes y frías en situaciones
anárquicas, incongruentes y muy calientes, situaciones en las que a
veces la prioridad es salvar la vida y preocuparse después de qué ha
pasado con los racks, los monitores y los ordenadores. El ser humano,
humano es, y si tenemos la mala fortuna de estar envueltos en humo, o si
tenemos que salir de la oficina con el agua por las rodillas a causa de
una inundación, lo menos probable es que estemos al 100% para poder
tomar las decisiones adecuadas para la salvaguarda de la continuidad.

Para eso está el plan de recuperación.


Sergio Hernando
shernando@hispasec.com


Más información:

Seis consejos básicos para recuperarse frente a contingencias
http://seguridad-de-la-informacion.blogspot.com/2006/04/seis-consejos-bsicos-para-recuperarse.html

Top six steps toward disaster recovery
http://www.computerworld.com/securitytopics/security/recovery/story/0,10801,110604,00.html

Planes de recuperación ante desastres
http://www.hispasec.com/unaaldia/2540

Planes de contingencia y continuidad
http://www.hispasec.com/unaaldia/2278

lunes, 24 de abril de 2006

Sexo, troyanos, y phishing

Ya lo decía Nietzsche, "el sexo es una trampa de la naturaleza para
no extinguirse". Ahora son los phishers los que están utilizando esta
trampa como reclamo para infectar a los usuarios con troyanos y
capturar sus claves de acceso a la banca electrónica.

El phishing tradicional se presenta en forma de correo electrónico
simulando provenir de la empresa suplantada, la mayoría de las veces
una entidad financiera, e instando al usuario con cualquier excusa a
introducir sus claves en un formulario que realmente envía los datos
al phisher.

Aunque simple, llega a ser efectivo. El hecho de que continúen con
esa estrategia lo demuestra por si sólo, sin necesidad de contar con
estadísticas o datos concretos de incidentes reales, tema tabú por
otro lado.

Dejando claro que el phishing tradicional es un tema importante, que
mueve mucho dinero, no es menos cierto que en muchas ocasiones es más
el ruido que las nueces. Ruido que suele traducirse en daño a la
imagen corporativa, publicidad negativa difícil de cuantificar, si
bien no son pocas las veces que ese efecto colateral supera a la
pérdida directa del ataque, ya que el phisher no obtiene ningún
resultado.

Por una causa u otra, en ocasiones por ambas, el phishing tradicional
es sin duda temido y bien conocido. Sin embargo, pese a su
popularidad, no es ni el único ni, tal vez, el método más efectivo de
ataque que utilizan los phishers. Existe una amenaza oculta, casi
fantasma, de la que apenas se tienen datos globales, y que lleva ya
tiempo siendo explotada de forma efectiva por los phishers: troyanos.

A diferencia del phishing tradicional, los troyanos permiten diversidad
de ataques una vez la máquina del usuario está comprometida. El
phishing tradicional es efectivo en el caso de contraseñas estáticas,
requiere que el usuario se crea que el e-mail fraudulento proviene de
su banco, y que meta las claves en una página cuya dirección no
corresponde a la web de su entidad. Amén de que son rápidamente
detectados y su desactivación varía entre pocas horas y, en el
peor de los casos, algunos días.

Por su parte, los troyanos pasan mucho más desapercibidos y pueden
capturar los datos sin levantar sospechas al usuario, no necesitan
exponerse al conocimiento público a través de un spam, y su esperanza
de vida es mucho mayor, suelen descubrirse semanas o meses después de
haber iniciado su actividad.

Además, los troyanos no tienen las limitaciones de una página web
falsa y pueden burlar las protecciones más habituales. Un troyano
puede capturar tanto las pulsaciones de teclado, como pequeñas áreas
de pantalla alrededor del cursor en el caso de teclados virtuales, o
capturar los datos del formulario en claro, antes de que el navegador
lo pase por SSL. Pueden modificar las páginas que la web del banco
presenta al usuario, o los datos que el usuario envía al servidor
seguro de la entidad, llevar a cabo ataques tipo hombre en medio,
vulnerar los sistemas basados en clave única, tokens, SMS, DNI
electrónico, etc.

Una vez una máquina está comprometida, no se puede garantizar la
seguridad de una transacción realizada a través de ella.

En el laboratorio de Hispasec llegamos a analizar más de 50 muestras
diarias distintas de troyanos bancarios, que son enviadas al servicio
VirusTotal. Distinguimos principalmente dos escuelas, internamente
las denominamos rusa y brasileña, que difieren bastante en la
estrategia, técnicas utilizadas, y programación.

Si bien, además del fin común que persiguen (robar claves de acceso
a la banca electrónica), hemos encontrado otro punto en común que
suele aparecer con asiduidad en ambas escuelas: el sexo como reclamo
para infectar usuarios.

El sexo es un tema utilizado recurrentemente en ingeniería social
(término utilizado en seguridad informática a las técnicas para
engañar al usuario), así como otras temáticas mucho más románticas.
No olvidemos el famoso "iloveyou", gusano que hiciera aparición en
mayo de 2000, y que se propagó por todo el mundo gracias a que pocos
se resistieron a abrir una supuesta carta de amor que llegaba a su
buzón de correo.

En el caso de los troyanos bancarios que nos ocupa las temáticas
suelen ser menos románticas y más explícitas. Pueden llegar adjuntos
en un e-mail como una supuesta foto algo subida de tono, hasta ahora
siempre de una fémina, o un mensaje, tipo spam, que nos invita a
visitar una página con contenidos para adultos.

En ambos casos, y como norma general, el usuario logra visualizar el
contenido que esperaba, lo que minimiza las sospechas de que algo
irregular ha ocurrido.

En el caso de los adjuntos el archivo suele ser un ejecutable, con
la extensión real ofuscada y que aparece representado en Windows con
el icono utiliza para los formatos gráficos. Al ser abierto el
ejecutable muestra la esperada foto, pero al mismo tiempo que el
usuario se recrea en su visualización, de forma oculta, el troyano
es instalado en su sistema.

En la otra variante ampliamente utilizada, la del mensaje que incita
al usuario a visitar una página, también se muestran los contenidos
adultos. En esta ocasión la página web suele incluir además algún
exploit que aprovecha vulnerabilidades conocidas del navegador, la
mayoría de veces contra Internet Explorer por ser el que mayor cuota
de mercado tiene y por tanto, a priori, augura mayor número de
infecciones al atacante.

En el caso de que el usuario no mantenga su sistema actualizado con
los últimos parches de seguridad, el troyano es descargado e instalado
en su sistema de forma oculta mientras visualiza el contenido adulto.

Algunos ejemplos de los contenidos utilizados por los últimos troyanos
pueden encontrarse en: http://blog.hispasec.com/laboratorio/118

Las recomendaciones para prevenir este tipo de infecciones son
básicas, por un lado debemos ignorar todos los mensajes de spam, no
abrir sus archivos adjuntos ni visitar sus enlaces, directamente
borrarlos. Las soluciones antispam también minimizarán el riesgo
de recibir este tipo de mensajes.

Por otro lado es fundamental que mantengamos el sistema operativo
puntualmente actualizado con los últimos parches de seguridad.
Especial atención a disponer de la última versión de nuestro
navegador. En el caso de Windows, sistema al que de momento se
dirigen este tipo de troyanos, se recomienda activar las
actualizaciones automáticas y/o visitar periódicamente el sitio
http://windowsupdate.microsoft.com

Un buen antivirus también será de gran ayuda para prevenir estas
vías de infección y otras estrategias de distribución seguidas por
los troyanos bancarios y el resto del malware.

Como hemos visto, en el terreno virtual también es necesario tomar una
serie de precauciones para disfrutar del sexo de forma segura. Por
terminar como empezamos, con una cita, debemos ser más críticos con
lo que nos ofrecen en Internet y no dejarse ofuscar como Woody Allen,
que llegó a decir, "Solo existen dos cosas importantes en la vida. La
primera es el sexo y la segunda no me acuerdo".


Bernardo Quintero
bernardo@hispasec.com



domingo, 23 de abril de 2006

Elevación de privilegios en Sun Java Studio Enterprise 8

Se ha anunciado la existencia de una vulnerabilidad en Sun Java Studio
Enterprise, que puede ser empleada por usuarios locales para elevar sus
privilegios en los sistemas afectados.

Según informa el aviso de Sun, el problema puede permitir a usuarios
locales no privilegiados ejecutar comandos bajo la cuenta del usuario
que ejecuta Sun Java Studio debido a que cuando el usuario "root"
instala el producto se crean ciertos archivos con permisos de lectura
para todo el mundo.

Se recomienda actualizar a los paquetes correspondientes:
Sun Java Studio Enterprise 8 para Solaris 8 y 9 en plataforma Sparc y X86:
http://sunsolve.sun.com/pub-cgi/pdownload.pl?target=121045-04&method=h


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Sun Java Studio Enterprise 8 May Create World-Writable Files When Installed by Root
http://sunsolve.sun.com/search/document.do?assetkey=1-26-102292-1

Sun[tm] Java Studio Enterprise 8 Patch4
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-121045-04-1

sábado, 22 de abril de 2006

Microsoft publica el Service Pack 1 para Microsoft SQL Server 2005

Microsoft ha publicado el Service Pack 1 para MS SQL Server 2005. Este
paquete acumulativo incluye múltiples mejoras en el sistema y corrige
problemas de programación y rendimiento.

El nuevo Service Pack 1 para SQL Server 2005 incluye un gran número de
mejoras y correcciones en diferentes aspectos de la aplicación, como en
los Analysis Services, programación de datos, SQL Server 2005 Integration
Services (SSIS), en el Generador de perfiles y reproducción, en el Agente
SQL Server, los Objetos de administración (SMO), Planes de mantenimiento
y Estudio de administración (SSMS) de SQL Server. El motor de base de
datos de SQL Server también sufre un gran número de mejoras y optimización

En general un paquete de actualización y mejora que permitirá a los
usuarios y administradores de SQL Server 2005 disfrutar de nuevas
características y servicios, así como de un gran número de mejoras
y optimización del rendimiento del gestor de base de datos.

El Service Pack puede descargarse desde:
http://www.microsoft.com/downloads/details.aspx?FamilyID=cb6c71ea-d649-47ff-9176-e7cac58fd4bc&DisplayLang=es


Antonio Ropero
Antonior@hispasec.com


Más información:

Service Pack 1 de SQL Server 2005
http://www.microsoft.com/downloads/details.aspx?displaylang=es&FamilyID=cb6c71ea-d649-47ff-9176-e7cac58fd4bc

Una lista de las características y de las mejoras nuevas incluidas en SQL Server 2005 Service Pack 1
http://support.microsoft.com/default.aspx/kb/916940

viernes, 21 de abril de 2006

Denegación de servicio MPLS de Cisco IOS XR

Se han encontrado varias vulnerabilidades en Cisco IOS XR relacionadas
con Multiple Multi Protocol Label Switching (MPLS). Cisco IOS XR sólo
funciona en CRS-1 y los routers de la serie 12000 de Cisco

La primera vulnerabilidad puede provocar que MSC deje de funcionar
abruptamente a la recepción de paquetes MPLS específicos. Este fallo
sólo afecta a CRS-1

También se han detectado problemas con el manejo de paquetes MPLS.
Este fallo sólo afecta a CRS-1

La última vulnerabilidad se refiere a un bloqueo de la tarjeta de
línea a la recepción de paquetes MPLS específicos. Este fallo
afecta a CRS-1 y Cisco 12000.

El aprovechamiento de estas vulnerabilidades puede resultar en la
recarga de Modular Services Card (MSC) en un CRS-1 o de las tarjetas
de línea en routers Cisco 12000, lo que puede llevar a un ataque de
denegación de servicio.

Cisco facilita a sus clientes software para corregir esta
vulnerabilidad. Los detalles para conocer versiones vulnerables
y parches correspondientes están disponibles desde:
http://www.cisco.com/warp/public/707/cisco-sa-20060419-xr.shtml


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Cisco Security Advisory: Cisco IOS XR MPLS Vulnerabilities
http://www.cisco.com/warp/public/707/cisco-sa-20060419-xr.shtml

jueves, 20 de abril de 2006

Múltiples actualizaciones de productos Oracle

Oracle Corporation, fiel a su ciclo de actualizaciones, ha publicado
recientemente las correspondientes al mes de Abril. Recordemos que el
modelo de Oracle consiste en publicar actualizaciones críticas con
cercanía a los días 15 de los meses de Enero, Abril, Julio y Octubre.

En esta ocasión, como no podía ser de otro modo, el gran volumen de
actualizaciones para diversos productos confiere al paquete de
actualizaciones un estatus de urgente, puesto que el carácter global de
los problemas solucionados es de nivel crítico o muy crítico en la gran
mayoría de los casos.

El ramillete de productos que han sufrido correcciones es muy amplio: el
conjunto base lo componen Oracle Database 10g Release 2, versiones
10.2.0.1 y 10.2.0.2; Oracle Database 10g Release 1, versiones 10.1.0.4,
10.1.0.5; Oracle9i Database Release 2, versiones 9.2.0.6, 9.2.0.7;
Oracle8i Database Release 3, versión 8.1.7.4; Oracle Enterprise Manager
10g Grid Control, versiones 10.1.0.3, 10.1.0.4, 10.2.0.1; Oracle
Application Server 10g Release 2, versiones 10.1.2.0.0 - 10.1.2.0.2,
10.1.2.1.0, 10.1.3.0.0; Oracle Application Server 10g Release 1 (9.0.4),
versiones 9.0.4.1, 9.0.4.2 ; Oracle Collaboration Suite 10g Release
1, versiones 10.1.1, 10.1.2.0, 10.1.2.1; Oracle9i Collaboration Suite
Release 2, versión 9.0.4.2; Oracle E-Business Suite Release 11i,
versiones 11.5.1 - 11.5.10 CU2; Oracle E-Business Suite Release 11.0;
Oracle Pharmaceutical Applications versiones 4.5.0 - 4.5.2; Oracle
PeopleSoft Enterprise Tools, versiones 8.47GA - 8.47.04; Oracle
PeopleSoft Enterprise Tools, versiones 8.46GA - 8.46.12 y JD Edwards
EnterpriseOne Tools, OneWorld Tools, versiones 8.95 - 8.95.eJ1.

Adicionalmente, la compañía informa que algunos productos empaquetados
dentro de alguno de los productos listados anteriormente disponen de
actualizaciones igualmente. Es el caso de Oracle Database 10g Release 1,
versión 10.1.0.4.2; Oracle Developer Suite, versiones 6i, 9.0.4.2;
Application Server y Oracle Workflow, versiones entre la 11.5.1 y la
11.5.9.5.

También informa Oracle que hay productos que no están soportados como
productos independientes, pero sí lo están cuando forman parte de alguno
de los productos citados en el conjunto base. Es el caso de Oracle9i
Database Release 1, versión 9.0.1.4; Oracle9i Database Release 1,
versiones desde la 9.0.1.5 a la 9.0.1.5 FIPS; Oracle8 Database Release
8.0.6, versión 8.0.6.3 y Oracle9i Application Server Release 1, versión
1.0.2.2.

Por último, como casos especiales, Oracle Database 10g Release 1,
versión 10.1.0.3 y Oracle9i Database Release 2, versión 9.2.0.5 sólo
están soportados en ciertas plataformas, con lo que los administradores
deben consultar las guías de instalación para cada caso particular.

Habida cuenta de la cantidad de productos que necesitan actualización, y
la varianza de los métodos en función de la plataforma en la que corran
estos productos (incluso hay productos y versiones en los que la
compañía recomienda no tomar acciones de ningún tipo por considerarlas
innecesarias), los administradores Oracle deben, no sin antes armarse de
paciencia, hacer buena lectura de la matriz de preinstalación disponible
en
http://www.oracle.com/technology/deploy/security/pdf/cpuapr2006.html#PIN,
mediante la cual conocerán el riesgo inherente a cada operación, en
términos de integridad, confiabilidad y disponibilidad, así como las
notas de preinstalación más apropiadas para cada familia de producto,
según versiones.

Es igualmente recomendable que además de hacer lectura del boletín de la
compañía, los administradores de soluciones Oracle, ante posibles dudas
o conflictos, hagan uso del soporte de la compañía para obtener
asistencia en los complejos procedimientos de actualización. Es
imperativo en todos los casos realizar copias de seguridad previas a
cualquier intento de actualizar, con vistas a garantizar la continuidad
del negocio en caso de incidencias.


Sergio Hernando
shernando@hispasec.com


Más información:

Oracle Corporation
http://www.oracle.com

Oracle Critical Patch Update - April 2006
http://www.oracle.com/technology/deploy/security/pdf/cpuapr2006.html

Matriz de disponibilidad de parches
http://www.oracle.com/technology/deploy/security/pdf/cpuapr2006.html#PIN

Matrices de riesgo
http://www.oracle.com/technology/deploy/security/pdf/cpuapr2006.html#AppendixA

miércoles, 19 de abril de 2006

Nueva prueba de concepto capaz de infectar a Windows y GNU/Linux

Karpersky anunciaba la semana pasada un virus (o, mejor dicho, prueba
de concepto) capaz de infectar tanto a sistemas operativos Windows
de Microsoft como GNU/Linux en general. Lo ha llamado
Virus.Linux.Bi.a/Virus.Win32.Bi.a, y vuelve a alertar sobre la
posibilidad de que el mercado de los virus se abra para ambas
plataformas.

Virus.Linux.Bi.a/Virus.Win32.Bi.a es bastante inofensivo. Sólo se
extiende sobre los archivos en el directorio donde se haya ejecutado, no
causa daño alguno y no se auto-propaga a otros sistemas. Su peculiaridad
es que es capaz de infectar dos tipos de ejecutables distintos, los PE
(Portable Executable) que son los ejecutables que usa Windows, y los ELF
(Executable and Linkable Format) que es el formato estándar binario para
Linux.

Está escrito expresamente (no es producto de un programa automático
ni deriva de ningún otro malware) en ensamblador, y no es más que
el intento de alguien por demostrar que puede existir este tipo de
"bichos". De hecho, el supuesto virus introduce en los archivos
"infectados" una referencia a "Immortal Riot" un publicación online
donde autores de virus hablaban de código vírico y pruebas de concepto
a mediados de los 90.

Aunque algunos medios aprovechen esta curiosidad que supone Bi.a para
poco menos que anunciar el principio del fin para usuarios de Linux o la
proliferación masiva de virus multiplataforma, no es la primera vez que
aparecen este tipo de virus. Smile fue un virus complejo para Windows y
Linux que llegó a tener varias versiones. No hacía tampoco daño alguno,
tan solo mostraba algunos mensajes en ciertas fechas. Esto ocurría a
mediados de 2002.

Incluso, ya a principios de 2001 se anunciaba la aparición de un espécimen
extremadamente parecido al que ahora anuncia Karpersky. Winux infectaba
ejecutables tanto en Windows como Linux. Se trataba igualmente de una
prueba de concepto bastante primitiva no optimizada para su propagación
que no poseía ningún tipo de efecto destructivo. Para asemejar aún más
ambos casos tan distantes en el tiempo, en el interior de Winux ya se
podía encontrar una cadena con el apodo del autor, Benny, y con
referencias a 29A, el famoso grupo de creadores también del primer virus
multiplataforma y multiprocesador (PC/Mac) aun más antiguo que Winux.

Si ya entonces se hablaba de una posible futura aparición de nuevas
formas de malware capaces de fantásticas catástrofes que afectasen a
mundos tan distintos como Windows y Linux, esto no ha ocurrido hasta
la fecha. Como ocurre en estos casos más o menos curiosos, las alarmas
se disparan junto con una cierta confusión sobre el verdadero alcance
de este supuesto virus. Si bien estos especímenes interesarán a
investigadores y programadores y es posible que otros creadores copien
la idea en el futuro, no se espera que cambie el panorama vírico o de
malware en general en lo sucesivo. Como se ha visto, ya se demostró que
era posible la creación de este tipo de virus. Varios años después,
incluso cuando el parque de sistemas operativos Linux de escritorio ha
aumentado considerablemente, todavía no resulta rentable la creación de
este tipo de malware, entre otras razones porque los usuarios de Linux
no suponen unas víctimas tan jugosas.

El diseño y la potencial personalización de Linux impide casi por
definición que un virus pueda reproducirse fácilmente o que pueda
ser ejecutado de forma inadvertida por el usuario. Igual que los
multiplataforma, los virus que se han dado a conocer para Linux han
sonado más por representar curiosidades que por su capacidad de
infección o propagación real. Entre estas pocas curiosidades que se han
descubierto en los últimos años habría que contar despropósitos como
ELF_FAKEPATCH.A que a finales de 2004 pedía a la potencial víctima a
través de un correo descargar el código malicioso y realizar poco a poco
todas las acciones necesarias para infectarse uno mismo. Pocos usuarios
de este sistema operativo, mucho más concienciados con respecto a la
seguridad, consideraron esto como amenaza que pudiese ser tomada en serio.

En general, se espera que la situación a corto y medio plazo siga igual
que hasta ahora. El código maligno y el número de virus exclusivos para
Windows seguirá creciendo hasta pronto superar los 300.000 ejemplares a
cuál más dañino. Exclusivos para Linux, seguirán existiendo apenas unas
decenas de virus pocos activos, menos agresivos y la mayoría, casi
anecdóticos.

Los virus para ambas plataformas continuarán suponiendo una curiosa
excepción ocasional, si bien los usuarios de ambos sistemas operativos,
ante cualquier circunstancia e independientemente, deberán seguir cada
vez más atentos a las nuevas amenazas.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Alerta ante un virus que infecta sistemas Windows y Linux (2006)
http://www.idg.es/pcworld/noticia.asp?idn=47018

29/03/2001 - Winux, primer virus para ejecutables de Windows y Linux
http://www.hispasec.com/unaaldia/886

Experts warn of Linux/Windows virus (2002)
http://www.vnunet.com/vnunet/news/2118983/experts-warn-linux-windows-virus

Virus para Linux recurre a la ingeniería social
http://www.diarioti.com/gate/n.php?id=7757

Smile.D
http://www.symantec.com/avcenter/venc/data/linux.simile.html

martes, 18 de abril de 2006

Múltiples vulnerabilidades críticas en Mozilla (Firefox/Thunderbird)

Actualización de seguridad crítica para los productos Mozilla, como
Firefox o Thunderbird, al detectarse múltiples vulnerabilidades de
diversa consideración. La mayoría son consideradas críticas, es decir,
permitirían a un atacante remoto ejecutar código arbitrario y
comprometer los sistemas afectados.

Según el aviso de US-CERT, 11 de las vulnerabilidades confirmadas
podrían permitir la ejecución remota de código arbitrario. A la lista
habría que sumar otras vulnerabilidades de diversa consideración,
hasta un total que ronda la veintena, que podrían ser explotadas para
acceder a información sensible o en ataques de tipo cross-site
scripting y phishing.

Se recomienda a todos los usuarios de productos Mozilla actualicen
a la mayor brevedad posible a las últimas versiones publicadas, que
corrigen las vulnerabilidades detectadas y previenen de potenciales
ataques derivados.

Ya disponibles Firefox 1.5.0.2 y SeaMonkey 1.0.1, mientras que
Thunderbird 1.5.0.2 se espera se publique hoy mismo.

Firefox 1.5.0.2
http://www.mozilla.com/firefox/

SeMonkey 1.0.1
http://www.mozilla.org/projects/seamonkey/

Thunderbird 1.5.0.2 (prevista publicación 18 abril 2006)
http://www.mozilla.com/thunderbird/releases/1.5.0.2.html


Bernardo Quintero
bernardo@hispasec.com


Más información:

Mozilla Products Contain Multiple Vulnerabilities
http://www.us-cert.gov/cas/techalerts/TA06-107A.html

Firefox Multiple Vulnerabilities
http://secunia.com/advisories/19631/

Mozilla Firefox 1.5.0.2 Release Notes
http://www.mozilla.com/firefox/releases/1.5.0.2.html

Mozilla Thunderbird 1.5.0.2 Release Notes
http://www.mozilla.com/thunderbird/releases/1.5.0.2.html

SeaMonkey 1.0.1
http://www.mozilla.org/projects/seamonkey/releases/seamonkey1.0.1/

lunes, 17 de abril de 2006

Los secretos del éxito del phishing

Mientras el phishing sigue haciendo estragos a todo lo largo y ancho del
planeta, son cada día más habituales distintos informes y estudios para
tratar de explicar el fenómeno y analizar sus causas de éxito, en un
intento de atajar la frenética actividad del crimen organizado en este
campo.

Algunas entidades de gran tamaño experimentan o planean experimentar
contramedidas contra el fraude. Es el caso de Postbank, uno de los más
importantes bancos alemanes, con más de 12 millones de clientes, que
está siendo literalmente asolado por los ataques phishing. Los gestores
de seguridad de la entidad van a poner en marcha una iniciativa
experimental para ver hasta qué punto reducen la devastación económica
a la que se ven sometidos prácticamente a diario.

Con ese propósito, van a recurrir a la firma digital en los mensajes de
correo, aprovechando que es una entidad con fuerte contenido en cuanto
a correspondencia electrónica en detrimento de la correspondencia por
papel. La idea de este mecanismo es sencilla, conocida y nada novedosa:
se trata de acostumbrar a los clientes que todos los mensajes del banco
y la correspondencia legítima en general irá firmada, y que cualquier
mensaje que no lo esté o que falle en la verificación de las firmas,
debe ser considerado como no fiable y por tanto, debe ser desechado.

Postbank ya trató de reducir los impactos de los ataques mediante la
introducción de un número de transacción adicional al que llamaron
iTAN, si bien los troyanos bancarios y en general los de captura de
credenciales tardaron bastante poco en hacer inútil la medida.
Aprovechando que en opinión de la entidad los usuarios tienen un
perfil tecnológico suficiente, pretenden que los mensajes firmados
digitalmente ayuden a distinguir lo real de lo fraudulento.

Sin entrar a valorar la efectividad de esta medida, lo realmente
significativo es que la compañía TNS Infratest, también alemana y
orientada a la prestación de asesoramiento empresarial, ha cuantificado
en un 80% el porcentaje de clientes de banca electrónica que no sabría
distinguir entre un mensaje de correo legítimo y uno fraudulento. Estas
cifras son muy apetitosas para los integrantes de los grupos organizados
de estafa, y suponen el primer factor de éxito de los ataques de robo de
credenciales.

También al hilo del éxito del phishing, recientemente los analistas
Rachna Dhamija de las prestigiosa Universidad de Berkeley y Marti Hearst
y J.D. Tygar, de la no menos popular Harvard, condujeron un estudio en
el que sometieron a análisis a un pequeño universo de sujetos con el fin
de analizar las causas de éxito del phishing.

Las cifras no distan mucho de las ofrecidas por TNS Infratest. Para las
pruebas se tomaron algunos ejemplos de phishing altamente efectivo,
especialmente un ejemplar destinado a la entidad Bank of the West, que
invitaba a los usuarios a dirigirse al sitio
http://www.bankofthevest.com (nótese la sustitución de la w del dominio
legítimo por la v del fraudulento). Adicionalmente, se dotó al sitio
de un certificado Verisign fraudulento y un popup advirtiendo de los
problemas de seguridad que acarreaba el phishing. Ante este ataque, el
91% de los participantes dedujo que el correo y el sitio web eran
legítimos.

A lo largo de las pruebas se comprobó que en torno al 25% de los
participantes ni se fijó en la barra de direcciones, ni en la de estado
del navegador ni en otros indicadores de seguridad de las páginas.
Resulta también muy llamativo que, en opinión de los investigadores, la
gran mayoría de las personas no son capaces de discernir y comprender
algo tan básico como los nombres de dominio.

La situación es preocupante no sólo por las pérdidas económicas, sino
por la posible desconfianza que se pueda generar. A mayor número de
ataques y concienciación, se está produciendo, en opinión de muchos
expertos, una creciente sensación de desconfianza que hace que muchos
usuarios, ante las dudas, opten por evitar el uso de los servicios
electrónicos de banca, así como otros servicios que impliquen
transacciones, como la compraventa online, o las relaciones con las
Instituciones Públicas.

Donde no hay consenso es en el capítulo dedicado a repartir las
responsabilidades. Opiniones hay para todos los gustos y colores. Las
menos habituales son las que apuntan a la responsabilidad final del
usuario, como la vertida por Bernhard Otupal, uno de los agentes
responsables de la unidad de delitos tecnológicos de Interpol, que
aseguró recientemente en la conferencia E-Crime de Londres que los
consumidores no sólo están cayendo constantemente en la trampa, sino que
además, están facilitando enormemente las cosas a los atacantes, por la
escasa formación en seguridad que posee por término medio la comunidad
de internautas. Otupal argumentó que Interpol había notado que muchos
usuarios, que ni tan siquiera eran clientes de las entidades sometidas a
intento de estafa, habían rellenado datos en los formularios de captura.

Entre tanto, los phishing kits siguen en auge, los troyanos orientados
al robo de credenciales son cada día mas numerosos e incontrolables y
los ataques segmentados por perfiles demográficos son una práctica
extendida y habitual.

El phishing es rentable y mientras siga siéndolo, los buzones rebosarán
intentos de estafa. Los canales electrónicos de comercio y banca tienen
más agentes involucrados que los usuarios finales. Quizás sea más
sensato buscar soluciones, aunando los esfuerzos de todos los
integrantes, que buscar culpables para evadir responsabilidades.

Porque en todo caso, los principales culpables y responsables de estas
lacras son siempre, en primera instancia, los atacantes.


Sergio Hernando
shernando@hispasec.com


Más información:

Why phishing works?
http://people.deas.harvard.edu/~rachna/papers/why_phishing_works.pdf

The secret of phishers' success
http://www.first.org/newsroom/globalsecurity/15157.html

German Postbank uses e-signatures to curb phishing
http://www.theregister.co.uk/2006/04/07/postbank_curbs_phishing/

Phishing kits, ataques segmentados y negocios en auge
http://www.hispasec.com/unaaldia/2690

Bernhard Otupal: Interpol demands secure PCs
http://software.silicon.com/security/0,39024655,39157721,00.htm

domingo, 16 de abril de 2006

Denegación de servicio en sh de Sun Solaris 8, 9 y 10

Sun ha confirmado la existencia de una vulnerabilidad de denegación
de servicio en el shell sh. Se han publicado actualizaciones que
corrigen el problema.

La vulnerabilidad detectada reside en Bourne shell y puede permitir
a un usuario no privilegiado provocar que los procesos sh dejen de
funcionar a la hora de crear ficheros temporales. Esto puede llevar a
la denegación de servicio para scripts o usuarios que utilicen sh.

Sun no ha facilitado más detalles del problema y ha publicado los
siguientes parches:

Para la plataforma SPARC:
Solaris 8:
http://sunsolve.sun.com/pub-cgi/pdownload.pl?target=109324-09&method=h
Solaris 9:
http://sunsolve.sun.com/pub-cgi/pdownload.pl?target=118535-03&method=h
Solaris 10:
http://sunsolve.sun.com/pub-cgi/pdownload.pl?target=121004-01&method=h

Para la plataforma x86:
Solaris 8:
http://sunsolve.sun.com/pub-cgi/pdownload.pl?target=109325-09&method=h
Solaris 9:
http://sunsolve.sun.com/pub-cgi/pdownload.pl?target=118536-03&method=h
Solaris 10:
http://sunsolve.sun.com/pub-cgi/pdownload.pl?target=121005-01&method=h


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Security Vulnerability May Allow 'sh' Process to be Crashed Causing a Denial of Service
http://sunsolve.sun.com/search/document.do?assetkey=1-26-102282-1

sábado, 15 de abril de 2006

Modificación remota de datos en tablas de Oracle 9 y 10

Se ha encontrado una vulnerabilidad en Oracle por la que un usuario
remoto autenticado podría realizar cambios no autorizados en el
contenido de una base de datos.

Si un usuario remoto posee privilegios de SELECT, es posible que pueda
insertar, actualizar o borrar datos de la tabla mediante la creación o
uso de una vista especialmente formada. El impacto específico en la
base de datos depende en gran medida del diseño de la aplicación.

Existe prueba de concepto que aprovecha la vulnerabilidad. El fallo
afecta a las versiones 9.2.0.0 y 10.2.0.3 aunque otras podrían verse
afectadas. Por otra parte, Oracle no ha publicado ningún parche o
actualización oficial.

Se recomienda depurar el rol "connect" y quitar los privilegios de
"CREATE VIEW" o "CREATE DATABASE LINK". También es posible mitigar el
problema quitando la primary key de la tabla base, pero esto influiría
en el rendimiento. Oracle recomienda además crear vistas con la opción
"WITH CHECK OPTION".


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Oracle Database Lets Remote Authenticated Low Privilege Users Make Unauthorized Modifications on a Base Table
http://securitytracker.com/alerts/2006/Apr/1015886.html

viernes, 14 de abril de 2006

Revelación de información en clientes LDAP2 para Sun Solaris 8 y 9

Se ha descubierto una vulnerabilidad en Sun Solaris por la que
usuarios no privilegiados podrían descubrir la contraseña de
root de Distinguished Name (rootDN) en un Directory Server
si un usuario privilegiado utiliza el comando idsconfig.

La contraseña rootDN también podría ser observada si un usuario
privilegiado utiliza cualquiera de los siguientes comando de forma
insegura.

ldapadd
ldapdelete
ldapmodify
ldapmodrdn
ldapsearch

Se recomienda limitar a usuarios confiables el acceso al servidor. Sun
ha publicado los parches correspondientes (algunos de ellos solo accesibles
a usuarios registrados de SunSolve con plan de soporte):

Para SPARC:
Solaris 8 aplicar 108993-51 o posterior.
Solaris 9 aplicar 115677-02 o posterior y 121321-01 o posterior.
http://sunsolve.sun.com/pub-cgi/pdownload.pl?target=115677-02&method=h

Para x86:
Solaris 8 aplicar 108994-51 o posterior.
Solaris 9 aplicar 115678-02 o posterior y 121322-01 o posterior.
http://sunsolve.sun.com/pub-cgi/pdownload.pl?target=115678-02&method=h


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Security Vulnerability in LDAP2 Client Commands
http://sunsolve.sun.com/search/document.do?assetkey=1-26-102113-1

jueves, 13 de abril de 2006

Vulnerabilidad de ejecución de código en Microsoft MDAC

Dentro del conjunto de boletines de abril publicado por Microsoft este
pasado martes, también se cuenta el anuncio (en el boletín MS06-014) de
una actualización para MDAC (Microsoft Data Access Components).

El problema se debe a la existencia de una vulnerabilidad en el control
ActiveX RDS.Dataspace que forma parte de los objeto ActiveX Data Objetcs
(ADO) que de distribuye con MDAC. La vulnerabilidad está considerada por
la propia Microsoft como "crítica", ya que puede ser explotado para
provocar la ejecución remota de código arbitrario.

Microsoft señala que esta actualización contiene cambios en la
funcionalidad del control ActiveX RDS.Dataspace que se incluye en
MDAC, al contener restricciones adicionales que influyen en el modo
en que interactúa en Internet Explorer. Estas restricciones podrían
interferir en el funcionamiento normal de algunas aplicaciones si
éstas cargan el control ActiveX RDS.Database en Internet Explorer.

Las descargas están disponibles desde Windows Update o desde las
siguientes direcciones:
* Windows XP SP1 con MDAC 2.7 SP1
http://www.microsoft.com/downloads/details.aspx?FamilyId=2F9E772C-8122-4027-A117-E93227B2C79F
* Windows XP SP2 con MDAC 2.8 SP1
http://www.microsoft.com/downloads/details.aspx?FamilyId=2F9E772C-8122-4027-A117-E93227B2C79F
* Windows XP Professional x64 Edition con MDAC 2.8 SP2
http://www.microsoft.com/downloads/details.aspx?FamilyId=9C8B645D-0F01-4B79-B6B3-55279BEDB944
* Windows Server 2003 con MDAC 2.8
http://www.microsoft.com/downloads/details.aspx?FamilyId=39B29ED4-9B95-4593-BCB6-4BB03CA5F8F1
* Windows Server 2003 SP1 con MDAC 2.8 SP2
http://www.microsoft.com/downloads/details.aspx?FamilyId=39B29ED4-9B95-4593-BCB6-4BB03CA5F8F1
* Windows Server 2003 para sistemas Itanium con MDAC 2.8
http://www.microsoft.com/downloads/details.aspx?FamilyId=4D2FE426-E34E-4192-8A0F-35E440E948E2
* Windows Server 2003 SP1 para sistemas Itanium con MDAC 2.8 SP2
http://www.microsoft.com/downloads/details.aspx?FamilyId=4D2FE426-E34E-4192-8A0F-35E440E948E2
* Windows Server 2003 x64 Edition con MDAC 2.8 SP2
http://www.microsoft.com/downloads/details.aspx?FamilyId=E237C2C7-9819-437B-AB70-298BA62AC285
* Windows 2000 SP4 con MDAC 2.5 SP3
http://www.microsoft.com/downloads/details.aspx?FamilyId=1B3E6CB9-1EF2-4BA1-A2F2-F87B717372FB
* Windows 2000 SP4 con MDAC 2.7 SP1
http://www.microsoft.com/downloads/details.aspx?FamilyId=0AA7C8B7-8417-42D8-8E73-5466C03B8C65
* Windows 2000 SP4 con MDAC 2.8
http://www.microsoft.com/downloads/details.aspx?FamilyId=2494B25D-452F-4025-8B67-41A5C840F7E2
* Windows 2000 SP4 con MDAC 2.8 SP1
http://www.microsoft.com/downloads/details.aspx?FamilyId=7358DA31-959C-4E3E-8115-51DC6D441365
* Windows XP SP1 con MDAC 2.8
http://www.microsoft.com/downloads/details.aspx?FamilyId=2494B25D-452F-4025-8B67-41A5C840F7E2


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Boletín de seguridad de Microsoft MS06-013
Una vulnerabilidad en la función de Microsoft Data Access Components (MDAC) puede permitir la ejecución de código
http://www.microsoft.com/spain/technet/seguridad/boletines/MS06-014-IT.mspx

Microsoft Security Bulletin MS06-013
Vulnerability in the Microsoft Data Access Components (MDAC) Function Could Allow Code Execution
http://www.microsoft.com/technet/security/Bulletin/MS06-014.mspx

miércoles, 12 de abril de 2006

Actualización acumulativa para Internet Explorer

Dentro del conjunto de boletines de abril publicado por Microsoft
y del que ayer efectuamos un adelanto, se cuenta el anuncio (en el
boletín MS06-013) de una actualización acumulativa para el navegador
Internet Explorer.

Esta actualización está destinada a evitar un total de diez
vulnerabilidades:

* Vulnerabilidad de ejecución de código remoto en la forma en la que
Internet Explorer muestra una página Web que contiene ciertas
inesperadas llamadas a objetos HTML. Como resultado la memoria puede
corromperse de forma que un atacante puede ejecutar código.

* Vulnerabilidad de ejecución de código remoto en la forma en la que
Internet Explorer maneja múltiples eventos en elementos HTML.

* Vulnerabilidad de ejecución de código remoto en Internet Explorer a
través de HTML Application (HTA) que puede ser iniciada de forma que
elude los controles de seguridad dentro de Internet Explorer. Esto
permite que aplicaciones HTA se ejecuten sin que Internet Explorer
muestre el cuadro de diálogo de seguridad.

* Vulnerabilidad de ejecución de código remoto en la forma en la que
Internet Explorer maneja páginas HTML especialmente formadas no
válidas.

* Vulnerabilidad de ejecución de código remoto en la forma en la que
Internet Explorer instancia objetos COM que no deben ser instanciados
por el navegador.

* Vulnerabilidad de ejecución de código remoto en la forma en la que
Internet Explorer maneja elementos HTML que contienen etiquetas
especialmente construidas.

* Vulnerabilidad de ejecución de código remoto en la forma en la que
Internet Explorer maneja caracteres doble-byte en URLs especialmente
formadas.

* Vulnerabilidad en la forma en la que Internet Explorer devuelve
información IOleClientSite cuando un objeto embebido es creado
dinámicamente. Un atacante podría aprovechar esto para ejecutar código
remoto.

* Vulnerabilidad de revelación de información sensible en la forma en la
que Internet Explorer maneja métodos de navegación.

* Vulnerabilidad de falsificación de la dirección podría permitir a un
atacante mostrar información de un atacante en Internet Explorer
mientras que se muestra contenido legítimo en el navegador.

Las descargas están disponibles desde Windows Update o desde las
siguientes direcciones:

Internet Explorer 5.01 Service Pack 4 en Microsoft Windows 2000
Service Pack 4:
http://www.microsoft.com/downloads/details.aspx?FamilyId=594E7B87-AF8F-4346-9164-596E3E5C22B1&displaylang=es

Internet Explorer 6 Service Pack 1 en Microsoft Windows 2000 Service
Pack 4 o en Microsoft Windows XP Service Pack 1:
http://www.microsoft.com/downloads/details.aspx?FamilyId=033C41E1-2B36-4696-987A-099FC57E0129&displaylang=es

Internet Explorer 6 para Microsoft Windows XP Service Pack 2:
http://www.microsoft.com/downloads/details.aspx?FamilyId=F05FFB31-E6B4-4771-81F1-4ACCEBF72133&displaylang=es

Internet Explorer 6 para Microsoft Windows Server 2003 y Microsoft
Windows Server 2003 Service Pack 1:
http://www.microsoft.com/downloads/details.aspx?FamilyId=EE566871-D217-41D3-BECC-B27FAFA00054&displaylang=es

Internet Explorer 6 para Microsoft Windows Server 2003 para Itanium y
Microsoft Windows Server 2003 con SP1 para Itanium:
http://www.microsoft.com/downloads/details.aspx?FamilyId=E584957C-0ABE-4129-ABAF-AA2852AD62A3&displaylang=es

Internet Explorer para Microsoft Windows Server 2003 x64 Edition;
http://www.microsoft.com/downloads/details.aspx?FamilyId=5A1C8BE3-39EE-4937-9BD1-280FC35125C6&displaylang=es

Internet Explorer 6 para Microsoft Windows XP Professional x64
Edition:
http://www.microsoft.com/downloads/details.aspx?FamilyId=C278FE3E-620A-4BBC-868B-CA2D9EFF7AC3&displaylang=es


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Boletín de seguridad de Microsoft MS06-013
Actualización de seguridad acumulativa para Internet Explorer
http://www.microsoft.com/spain/technet/seguridad/boletines/MS06-013-IT.mspx

Microsoft Security Bulletin MS06-013
Cumulative Security Update for Internet Explorer
http://www.microsoft.com/technet/security/Bulletin/MS06-013.mspx

martes, 11 de abril de 2006

Cinco boletines de seguridad de Microsoft en abril

Tal y como adelantamos la pasada semana, hoy como segundo martes de
mes, Microsoft siempre fiel a su cita ha publicado cinco boletines de
seguridad.

Se han publicado los boletines MS06-013 al MS06-017 y las
actualizaciones publicadas, según la propia clasificación de
Microsoft, tres que presentan un nivel de gravedad "crítico", uno
"importante" y un último como "moderado".

* MS06-013: Se trata de una actualización de seguridad acumulativa
para Internet Explorer. Esta actualización resuelve además hasta diez
vulnerabilidades en el navegador. Afecta a Microsoft Windows 2000, XP
y Windows Server 2003. Está calificado como "crítico".

* MS06-014: Destinado a solucionar una vulnerabilidad en MDAC
(Microsoft Data Access Components) que podría permitir la ejecución
remota de código. Afecta a Microsoft Data Access Components, Microsoft
Windows 2000, Windows Server 2003 y Windows XP. Según la calificación
de Microsoft tiene un nivel "crítico".

* MS06-015: Evita una vulnerabilidad en el explorador de Windows que
podría permitir la ejecución remota de código. Afecta a Windows 2000,
Windows XP y Windows Server 2003. Está calificado como "crítico".

* MS06-016: Actualización acumulativa para Outlook Express. Corrige
una vulnerabilidad que puede permitir la ejecución remota de código.
Afecta a Windows 2000, XP y 2000. Está calificado como "Importante".

* MS06-017: Soluciona una vulnerabilidad de cross-site scripting en
las extensiones FrontPage de servidor que puede permitir a un atacante
la ejecución de código script en el contexto del usuario. Microsoft
Windows SharePoint Services, FrontPage 2002, FrontPage Server
Extensions 2000, Windows 98 y Microsoft Windows Millennium Edition.
Recibe un nivel de gravedad "moderado".

Las actualizaciones publicadas pueden descargarse a través de Windows
Update y Office Update o consultando los boletines de Microsoft donde
se incluyen las direcciones de descarga directa de cada parche.


Antonio Ropero
antonior@hispasec.com


Más información:

Microsoft Security Bulletin MS06-013
Cumulative Security Update for Internet Explorer
http://www.microsoft.com/technet/security/Bulletin/MS06-013.mspx

Microsoft Security Bulletin MS06-014
Vulnerability in the Microsoft Data Access Components (MDAC) Function Could Allow Code Execution
http://www.microsoft.com/technet/security/Bulletin/MS06-014.mspx

Microsoft Security Bulletin MS06-015
Vulnerability in Windows Explorer Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/bulletin/ms06-015.mspx

Microsoft Security Bulletin MS06-016
Cumulative Security Update for Outlook Express
http://www.microsoft.com/technet/security/Bulletin/MS06-016.mspx

Microsoft Security Bulletin MS06-017
Vulnerability in Microsoft FrontPage Server Extensions Could Allow Cross-Site Scripting
http://www.microsoft.com/technet/security/Bulletin/MS06-017.mspx


lunes, 10 de abril de 2006

Denegación de servicio en sysfs del kernel 2.6 de Linux

Se ha encontrado una vulnerabilidad en el kernel de Linux que puede
ser aprovechada para que usuarios locales provoquen una denegación
de servicio.

El fallo se debe a un error de límites en memora en la función
fill_write_buffer dentro de sysfs/file.c. El problema puede ser
explotado de forma local al escribir una cantidad igual a PAGE_SIZE
sin ceros en el fichero sysfs.

La vulnerabilidad ha sido solucionada en la versión 2.6.16.2 y en la
2.6.17-rc1.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Linux kernel sysfs/file.c fill_write_buffer() denial of service
http://xforce.iss.net/xforce/xfdb/25693

domingo, 9 de abril de 2006

Diversas vulnerabilidades en PHP

Se ha anunciado la existencia de diversas vulnerabilidades en funciones
PHP en versiones anteriores a 4.4.2 y 5.1.2. Los problemas de diversa
índole pueden permitir realizar ataques de denegación de servicio,
cross-site scripting o evitar restricciones de seguridad.

PHP (PHP: Hypertext Preprocessor) es un popular lenguaje de scripting
de propósito general, idóneo para el desarrollo web al ser posible su
integración dentro del HTML. Se trata de un proyecto de código abierto
muy utilizado para la confección de páginas web dinámicas (gracias a la
capacidad de lanzar consultas a bases de datos).

El primero de los problemas, reside en que código PHP que contenga
funciones auto-referenciadas puede provocar que el servicio deje de
funcionar. Un usuario local podría cargar este código PHP y al ser
interpretado por Apache a través de la petición de un usuario remoto,
causaría que el proceso hijo del servidor dejase de funcionar. Si es
llamado localmente, el proceso PHP dejaría de funcionar.

Un usuario con privilegios para cargar código PHP podría crear uno
con la función copy y un argumento especialmente manipulado para la
ruta fuente. Cuando la función es ejecutada, no se comprobarán las
restricciones de seguridad. Un usuario local puede aprovechar esto
para tener acceso no autorizado a ficheros en el sistema.

Un usuario con privilegios para cargar código PHP puede crear uno
con la función tempname y un argumento especialmente manipulado.
Esto permitiría que cuando la función es ejecutada, el sistema
crease un archivo temporal en un directorio arbitrario fuera de
la especificación base, pero todavía sujeto a los permisos de
sistema. Esto puede ser aprovechado para crear numerosos ficheros
en el sistema y potencialmente, provocar una denegación de servicio.

Por último, la función phpinfo() no filtra adecuadamente código HTML
desde la entrada proporcionada por el usuario cuando se le introduce
un array de más de 4096 caracteres. Un usuario remoto puede crear una
URL especialmente formada que, cuando sea cargada por la víctima
causaría que código script arbitrario fuese ejecutado en el contexto
del navegador del usuario. Esto permitiría, por ejemplo, el robo de
credenciales a través de scripts.

Se recomienda restringir el acceso a usuarios locales o actualizar a
la versión 5.1.3RC3 disponible desde www.php.net


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

copy() Safe Mode Bypass PHP 4.4.2 and 5.1.2
http://securityreason.com/achievement_securityalert/37

tempnam() open_basedir bypass PHP 4.4.2 and 5.1.2
http://securityreason.com/achievement_securityalert/36

function *() php/apache Crash PHP 4.4.2 and 5.1.2
http://securityreason.com/achievement_securityalert/35

phpinfo() Cross Site Scripting PHP 5.1.2 and 4.4.2
http://securityreason.com/achievement_securityalert/34

sábado, 8 de abril de 2006

Múltiples vulnerabilidades en Cisco Optical Networking System series 15000

Se han encontrado múltiples vulnerabilidades en el sistema Cisco
Optical Networking System (ONS) de los dispositivos de la serie 15000.
Un atacante remoto puede provocar una denegación de servicio en las
tarjetas de control común (Common Control Cards).

ONS 15310 Multi-service Provisioning Platforms (MSPP), ONS 15327 MSPP,
ONS 15454 MSPP, ONS 15454 Multi-service Transport Platform, y ONS
15600 MSPP se ven afectadas por estas vulnerabilidades.

Los nodos ópticos que tegan las Common Control Cards conectadas a la
Data Communications Network (DCN) y estén habilitadas para IPv4
también se ven afectadas.

Para las entidades de red (NEs) con IP configurada en la interfaz LAN,
un usuario remoto puede realizar un ataque TCP ACK contra un puerto
de control para causar que las tarjetas de control consuman toda la
memoria disponible y dejen de aceptar conexiones de red y,
potencialmente, reiniciar el dispositivo.

Para las entidades de red (NEs) configuradas en la interfaz LAN y con
el modo seguro habilitado para sistema de manejos de elementos
(EMS)-to-NE access, un atacante remoto puede enviar un paquete IP
especialmente manipulado y provocar que la tarjeta de control se
reinicie.

También pueden ser enviados a entidades de red otros paquetes OSPF e
IP que pueden provocar el reinicio de la tarjeta.

Además es software Cisco Transport Controller (CTC) sufre de una
vulnerabilidad que puede permitir la ejecución de código arbitrario si
se conecta a una página maliciosa.

Se recomienda consultar el aviso publicado por Cisco y actualizar los
dispositivos afectados, el software necesario se puede descargar desde:
http://www.cisco.com/public/sw-center/sw-usingswc.shtml


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Cisco ONS 15000 Series Common Control Cards Can Be Reset By Remote Users
http://www.cisco.com/warp/public/707/cisco-sa-20060405-ons.shtml

viernes, 7 de abril de 2006

Microsoft publicará cinco actualizaciones de seguridad el próximo martes

En su ciclo habitual de actualizaciones los segundos martes de cada mes,
Microsoft ha anunciado que en esta ocasión se esperan cinco parches de
seguridad, cuatro destinados a su sistema operativo Windows y otro a su
suite ofimática Office.

Si en marzo fueron sólo dos los boletines de seguridad, este mes han
aumentado hasta cinco las actualizaciones que prevé publicar Microsoft
el día 11 de abril. De los cuatro para el sistema operativo, alguno
alcanza el estado de crítico, lo que supone que la vulnerabilidad es
aprovechable sin interacción del usuario y permite tomar el control
del sistema. El destinado a Microsoft Office, se describe como de
peligrosidad moderada. Como es habitual, las actualizaciones requerirán
reiniciar el sistema.

Una de estas actualizaciones será un parche acumulativo para Internet
Explorer que incluirá solución para el fallo CreateTextRange, que lleva
varios días siendo aprovechado para instalar todo tipo de malware y
código indeseable. Aunque conocido y con exploit público, su impacto no
ha llegado a ser tan salvaje como el de otras vulnerabilidades, por lo
que Microsoft no se ha visto tan presionada como para romper su ciclo de
actualizaciones mensuales, tal como ocurrió con la vulnerabilidad WMF.

Es de esperar además que la actualización acumulativa contenga solución
para otra importante vulnerabilidad de Internet Explorer. Esta ha sido
llevada de forma mucho más discreta por su descubridor y la propia
Microsoft, de forma que no se han dado a conocer demasiados detalles
sobre el problema ni se tiene constancia de que esté siendo aprovechado
de forma masiva. El fallo se debe a un error no especificado en el
manejo de aplicaciones .HTA que permite la ejecución automática de
programas ".HTA" (HTML Applications).

Hispasec Sistemas publicará puntualmente a través de este boletín
información detallada sobre los nuevos parches.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Microsoft Security Bulletin Advance Notification
http://www.microsoft.com/technet/security/bulletin/advance.mspx

jueves, 6 de abril de 2006

Múltiples vulerabilidades en ClamAV

Los administradores de ClamAV tienen, nuevamente, trabajo pendiente. Se
trata de la segunda actualización del año, tras haberse publicado el
pasado 9 de enero la última actualización del motor a la versión 0.88

El equipo de analistas de seguridad de Debian en EEUU ha detectado tres
vulnerabilidades en el producto, que confieren un carácter de altamente
crítico a la suma de los fallos detectados.

ClamAV es un motor antivirus de código abierto, empleado con cierta
frecuencia en servidores de correo derivados de UNIX a modo de defensa
perimetral primaria.

El desarrollador Damian Put ha verificado que existe un desbordamiento
de búfer en el parser de cabeceras PE "libclamav/pe.c" únicamente
explotable cuando está desactivada la directiva de tamaño máximo de
archivo ArchiveMaxFileSize.

Adicionalmente, se ha comprobado que en el código de autenticación
presente en "shared/output.c" hay algunas erratas en las cadenas de
formato, que podrían, en condiciones no detalladas, la ejecución de
código arbitrario.

Por último, David Luyer ha descubierto que la función cli_bitset_set()
ubicada en "libclamav/others.c" permite provocar un acceso no válido a
memoria, lo que podría ser aprovechado por un atacante para denegar el
servicio en la máquina vulnerable.

Tras una inspección del "Changelog", los desarrolladores han paliado
otros problemas. Algunos son, por ejemplo, el soporte al actualizador de
ClamAV "freshclam" para LocalIPAddress, modificaciones para la detección
de Worm.Bagle.CT, cambios en "libclamav/matcher.c" para gestionar
adecuadamente lecturas parciales de la función cli_scandesk(), un cambio
menor en el valor de retorno de vsnprintf en "shared/output.c", así como
correcciones ante la posibilidad de colapso en la función build() de
"sigtool/sigtool.c". Los usuarios FreeBSD ven finalmente atendidas
demandas anteriores al corregirse un problema en "libclamav/zziplib" que
provocaba el colapso del motor bajo ciertas condiciones de operación del
servicio.

Todos los fallos documentados quedan resueltos con la versión 0.88.1, la
cual puede ser obtenida, como es habitual, en el servidor de descargas
de ClamAV.net, que enlaza a la página del proyecto alojada en Sourceforge.

Habida cuenta de la criticidad del problema, instamos a los
administradores de soluciones ClamAV actualicen con la máxima premura.
A efectos de verificación de integridad, la suma MD5 del paquete
clamav-0.88.1.tar.gz es 9fe8c47037051e350077513dd94fb76a.
Si se opta por verificar con SHA-1, la suma resultante es
8205cb0f3ab5e625ada1413fc6cdcc6c9ee77691.


Sergio Hernando
shernando@hispasec.com


Más información:

DSA-1024-1 clamav -- several vulnerabilities
http://www.us.debian.org/security/2006/dsa-1024

Descargas ClamAV "Stable"
http://www.clamav.net/stable.php#pagestart

ClamAV 0.88.1
http://sourceforge.net/project/showfiles.php?group_id=86638&release_id=407078

ClamAV
http://www.clamav.net

miércoles, 5 de abril de 2006

Denegación de servicio en switches Cisco 11500 Content Services

Cisco ha anunciado una vulnerabilidad de denegación de servicio en
los dispositivos Cisco CSS 11500 Series Content Services Switches.

El problema únicamente se presenta en los dispositivos vulnerables
cuando se encuentran configurados para compresión http y reside en
un error el tratamiento de peticiones http válidas pero obsoletas
o contruidas específicamente. Los dispositivos Cisco CSS 11500 con
compresión habilitada se reiniciarán tras recibir una peticion http
de tales características. Una repetición de ataque podrá provocar
una denegación de servicio continuada.

Los dispositivos Cisco CSS11500 configurados con compresión http
muestran una configuración similar a la siguiente, al emplear el
comando "show running-config":
service compression_service_name
....
....
compress enable
....
....

Cisco ha publicado una actualización del software gratuita (versión
8.10.1.6) para corregir este problema disponible en
http://www.cisco.com/cgi-bin/tablebuild.pl/css11500-maint?psrtdcat20e2
Como contramedida se puede desactivar la compresión http.


Antonio Ropero
antonior@hispasec.com


Más información:

Cisco Security Advisory: Cisco 11500 Content Services Switch HTTP
Request Vulnerability
http://www.cisco.com/warp/public/707/cisco-sa-20060405-css.shtml

martes, 4 de abril de 2006

Vulnerabilidad en software de impresoras HP Color LaserJet

Una utilidad incluida con las impresoras HP Color LaserJet 2500 y 4600
se ve afectada por una vulnerabilidad que puede permitir a usuarios
remotos visualizar archivos arbitrarios alojados en el sistema.

El software afectado es el Color LaserJet 2500 y 4600 Toolbox para
sistemas Windows, se trata de una vulnerabilidad no detallada por
HP que puede permitir a usuarios remotos y acceso y la lectura de
cualquier archivo alojado en el sistema que tenga instalado el
programa.

HP ha publicado una actualización "HP Color LaserJet 2500/4600
Software Update" versión 3.1 para evitar la vulnerabilidad,
disponible en:
Para HP Color LaserJet 2500:
http://www.hp.com/go/clj2500_software
Para HP Color LaserJet 4600:
http://www.hp.com/go/clj4600_software


Antonio Ropero
antonior@hispasec.com


Más información:

HP Color LaserJet 2500 and 4600 Toolbox Running on Microsoft Windows
Remote Unauthorized Disclosure of Information
http://www5.itrc.hp.com/service/cki/docDisplay.do?admit=552267591+1144185594238+28353475&docId=c00634759

lunes, 3 de abril de 2006

Cross Site Scripting en MediaWiki

Se ha diagnosticado un fallo de seguridad que podría permitir a un
atacante la ejecución de ataques XSS (Cross-Site Scripting) en
MediaWiki.

MediaWiki es un proyecto de código abierto que porporciona un motor
libre de carácter colaborativo editable por los usuarios, lo que se
conoce habitualmente como un wiki. El principal baluarte y ejemplo
más representativo de esta plataforma es la enciclopedia libre, la
Wikipedia, si bien muchos usuarios emplean MediaWiki para conformar
sus propios motores colaborativos, con lo que este problema de
seguridad afecta a toda la comunidad de usuarios de la solución.

Según los parches liberados, los insumos de los enlaces codificados
no se comprueban y sanean adecuadamente antes de ser mostrados al
usuario, lo que podría facilitar que un atacante malicioso ejecutase
código HTML y/o de script de carácter arbitrario en el contexto de la
sesión de navegación de un usuario que circule por un servidor con una
versión MediaWiki vulnerable. Esto permitiría a un atacante mostrar
contenidos ilegítimos en páginas legítimas, y por tanto, engañar al
visitante.

El problema, de carácter moderadamente crítico, requiere la
actualización a las versiones liberadas para tal efecto, que no sólo
corrigen el fallo descrito, sino que además incorporan "fixes" de
mantenimiento menores. El problema afecta a las dos ramas de MediaWiki
en funcionamiento, la 1.4.x y la 1.5.x, con lo que la recomendación
natural que trasladamos a los administradores de esta solución es la
actualización con carácter inmediato. Habida cuenta de que este
producto es frecuente encontrarlo en proveedores de hospedaje con
soluciones de instalación rápida mediante paquetes prealmacenados del
tipo "Installatron", los administradores de hospedaje con servicios
de valor añadido de este tipo deberían actualizar igualmente.

Se recuerda a los usuarios que desde la versión 1.2.0, MediaWiki no
necesita la directiva de PHP register_globals operativa, con lo que lo
más prudente es desactivarla. Cuando los proveedores de hospedaje la
tengan activada por causas justificadas, o bien no atiendan a nuestras
peticiones de desactivación, es posible neutralizar la directiva
incluyendo la línea "php_flag register_globals off" en el fichero
.htaccess del directorio considerado.

En caso de requerir asistencia, los administradores MediaWiki pueden
acudir al soporte comunitario a través de IRC, en el canal #mediawiki
de irc.freenode.net


Sergio Hernando
shernando@hispasec.com


Más información:

MediaWiki 1.5.8 and 1.4.15 asecurity and bugfix maintenance releases
http://mail.wikipedia.org/pipermail/mediawiki-announce/2006-March/000040.html

MediaWiki 1.5.8
http://prdownloads.sourceforge.net/wikipedia/mediawiki-1.5.8.tar.gz

MediaWiki 1.4.15
http://prdownloads.sourceforge.net/wikipedia/mediawiki-1.4.15.tar.gz

MediaWiki
http://es.wikipedia.org/wiki/MediaWiki

Sites that use MediaWiki
http://meta.wikimedia.org/wiki/Sites_using_MediaWiki

domingo, 2 de abril de 2006

Nuevos contenidos en CriptoRed (marzo de 2006)

Breve resumen de las novedades producidas durante el mes de marzo
de 2006 en CriptoRed, la Red Temática Iberoamericana de Criptografía
y Seguridad de la Información.

1. DOCUMENTOS NUEVOS PARA SU DESCARGA

* Auditoría de Seguridad Informática: Abstract (actualizado)
http://www.criptored.upm.es/paginas/docencia.htm#gtletraA

* Cuarta edición versión 0.7.0 del Libro Electrónico de Criptografía
y Seguridad en Computadores
http://www.criptored.upm.es/guiateoria/gt_m027a.htm

* Sexta edición versión 4.1 del Libro Electrónico de Seguridad
Informática y Criptografía
http://www.criptored.upm.es/guiateoria/gt_m001a.htm

2. SOFTWARE NUEVO PARA SU DESCARGA

* La Máquina Enigma y 'Las Bombes' de Turing
http://www.criptored.upm.es/software/sw_m006a.htm

* Thot
http://www.criptored.upm.es/software/sw_m006b.htm

3. CONGRESOS Y SEMINARIOS POR ORDEN CRONOLOGICO DE CELEBRACION

* Abril 04 al 07 de 2006: Segunda Escuela Venezolana de Seguridad de
Cómputo (Mérida - Venezuela)
http://www.saber.ula.ve/eventos/evscm/

* Abril 19 al 21 de 2006:7th Smart Card Research and Advanced
Application IFIP Conference CARDIS 2006 (Tarragona - España)
http://www.cardis.org/

* Abril 20 al 22 de 2006: The First International Conference on
Availability, Reliability and Security (Viena - Austria)
http://www.ares-conf.org/?q=node

* Abril 25 al 27: XVII edición de Securmática del 25 al 27 de Abril
(Madrid - España)
http://www.securmatica.com/

* Abril 25 a Noviembre 16 de 2006: InfoSecurity 2006 en Varios Países
de Latinoamérica (Venezuela, Ecuador, Argentina, Perú, Bolivia, Chile,
Puerto Rico, Colombia, Uruguay)
http://www.infosecurityonline.org/

* Mayo 23 al 24 de 2006: Fourth International Workshop on Security in
Information Systems WOSIS 2006 (Paphos - Chipre)
http://www.iceis.org/

* Junio 14 al 16 de 2006: VI Jornada Nacional de Seguridad Informática
ACIS 2006 (Bogotá - Colombia)
http://www.acis.org.co/index.php?id=627

* Junio 19 al 23 de 2006: YACC'06 Yet Another Conference on Cryptography
(Porquerolles Island - Francia)
http://grim.univ-tln.fr/YACC06/

* Junio 26 al 29 de 2006: International Conference on Security and
Management SAM '06 (Las Vegas - USA)
http://www.world-academy-of-science.org/worldcomp06/ws/SAM/index_html

* Junio 29 al 30 de 2006: Workshop on Mathematical Cryptology WMC 2006
(Santander - España)
http://grupos.unican.es/amac

* Julio 13 al 19 de 2006: Seventeenth Australasian Workshop on
Combinatorial Algorithms AWOCA 2006 (Uluru - Australia)
http://www.ballarat.edu.au/conferences/awoca2006/

* Agosto 7 al 10 de 2006: International Conference on Security and
Cryptography SECRYPT 2006 (Setúbal - Portugal)
http://www.secrypt.org/

* Agosto 20 al 25 de 2006: Security Stream World Computer Congress de
IFIP (Santiago - Chile)
http://www.wcc-2006.org/

* Septiembre 7 al 9 de 2006: IX RECSI Reunión Española de Criptología y
Seguridad de la Información (Barcelona - España)
https://www.recsi2006.org/

* Octubre 4 al 6 de 2006: Segundo Encuentro Internacional de Hackers
U-Manizales Con 2 (Manizales - Colombia)
http://www.umanizales.edu.co/umc2/

* Noviembre 20 al 24 de 2006: Primer Congreso Mexicano de Seguridad
Informática COMSI 2006 (Oaxaca - México)
http://lssd.esimecu.ipn.mx/comsi/

Puedes encontrar más información sobre estos eventos en:
http://www.criptored.upm.es/paginas/eventos.htm#Congresos

OTROS SERVIDORES:

International Association for Cryptologic Research IACR Calendar of
Events in Cryptology:
http://www.iacr.org/events/

4. CURSOS DE POSTGRADO, ESPECIALIDAD Y FORMACIÓN

Puedes encontrar los enlaces en:
http://www.criptored.upm.es/paginas/eventos.htm#Cursos

5. NOTICIAS SELECCIONADAS DEL MES DE MARZO DE 2006

* XVII edición de Securmática del 25 al 27 de Abril en Madrid (España)
http://www.securmatica.com/

* Seventeenth Australasian Workshop on Combinatorial Algorithms AWOCA
2006 (Australia)
http://www.ballarat.edu.au/conferences/awoca2006/

* Segundo Encuentro Internacional de Hackers U-Manizales Con 2
(Colombia)
http://www.umanizales.edu.co/umc2/

* IV Seminario de Pruebas Electrónicas en Madrid (España)
http://www.cybex.es/es/detalle.asp?id=74

* IV Foro de Seguridad REDIRIS Seguridad en Redes Inalámbricas en San
Sebastián (España)
http://www.rediris.es/cert/doc/reuniones/fs2006/

* Primer Congreso Mexicano de Seguridad Informática COMSI 2006 (México)
http://lssd.esimecu.ipn.mx/comsi/

* Workshop on Mathematical Cryptology WMC 2006 en Universidad de
Cantabria (España)
http://grupos.unican.es/amac

* YACC'06 Yet Another Conference on Cryptography (Francia)
http://grim.univ-tln.fr/YACC06/

* Primer Congreso Europeo de Protección de Datos en Madrid (España)
https://www.agpd.es/index.php?idSeccion=548

* Cursos de Seguridad en Escuela Complutense de Verano 2006
(Madrid - España)
Seguridad Práctica en Internet e Intranet. Comercio Electrónico
http://www.ucm.es/info/fgu/escuelacomplutense/cursos/g16.htm
Redes Inalámbricas 802.11 (Wi-Fi) y Redes 802.16 (Wi-Max)
http://www.ucm.es/info/fgu/escuelacomplutense/cursos/g03.htm

6. OTROS DATOS DE INTERES EN LA RED

* Pésame por el fallecimiento del compañero Andreu Riera Jorba

* Número actual de miembros en la red: 574
(161 universidades; 201 empresas)
http://www.criptored.upm.es/paginas/particulares.htm

* Estadísticas: 61.329 visitas, 147.360 páginas solicitadas y 91,75
GigaBytes servidos en marzo de 2006
Las estadísticas del mes (AWStats) se muestran en páginas estáticas
actualizadas cada día a las 00:05 horas.
http://www.criptored.upm.es/estadisticas/awstats.www.criptored.upm.es.html


Jorge Ramió Aguirre
Coordinador de CriptoRed


Más información:

marzo de 2006
http://www.criptored.upm.es/paginas/historico2006.htm#mar06