martes, 31 de julio de 2007

Fallos "compartidos" y actualización de productos Mozilla

Mozilla (responsable de Firefox, Thunderbird y SeaMonkey) ha publicado una actualización para estas herramientas que soluciona un problema de seguridad que podría permitir la ejecución remota de código. Soluciona también en parte el famoso fallo "compartido" con Windows.

El primer fallo se debe al manejo de páginas "about:blank" que se crean en el contexto de "chrome" en un addon. Un atacante podría ejecutar código script arbitrario si se pulsa sobre un enlace abierto en una ventana "about:blank" creada por uno de estos addons, que deben estar instalados en el sistema.

Aparte de esta vulnerabilidad, la versión 2.0.0.6 parece solventar el problema de manejo de URIs que permitía la ejecución de código en Windows a través de Firefox. Posteriormente se ha demostrado que Firefox no es la única vía por la que se puede llegar a aprovechar la vulnerabilidad. También han reconocido los propios desarrolladores que el parche aplicado en la actualización 2.0.0.6 de Firefox no es del todo efectivo, y que no han filtrado todos los caracteres que permitirían explotar el fallo.

La semana pasada se alertó de una vulnerabilidad en principio "compartida" entre Microsoft Windows (en concreto Internet Explorer 7) y Firefox que podía ser aprovechada por atacantes para ejecutar código arbitrario en el sistema. El problema se creía compartido entre Microsoft Windows y la interacción con otros navegadores (Netscape entre ellos), con lo que resultaba complicado exigir "responsabilidades" y se dio cierta confusión.

El problema en sí se debe a un fallo de validación de entrada en el manejo de URIs. Direcciones (URIs) de protocolos como mailto:, nntp:, snews:, telnet:, news:... pueden ser modificadas para lanzar cualquier programa del sistema en vez del cliente de correo, por ejemplo. Esto puede ser aprovechado para ejecutar código arbitrario en vez del programa que debería gestionarlos si un usuario de Windows, a través de otro navegador, por ejemplo, visita una web especialmente manipulada con una URI que contenga el carácter "%" y termine con extensiones ejecutables como .bat y .cmd.

Para reproducir el problema, Internet Explorer 7 debe estar instalado en el sistema y (se creía en un principio) era necesario visitar la página con Firefox, Netscape o Mozilla. Sólo funciona sobre Windows XP y 2003, no sobre Vista. Ahora se sabe que el problema tiene otras dimensiones. Con el paso de los días, se ha ido demostrando que el fallo viene por parte de Microsoft, pues se ha conseguido reproducir la vulnerabilidad primero con otros programas (que no son navegadores, sino clientes de mensajería instantánea como Miranda o Skype) y más tarde con la sola ayuda del sistema operativo.

Firefox se apresuró a solucionar el fallo, aunque dice que todavía pueden existir vías de explotación. Por la parte de Microsoft, no existe parche oficial ni parece haber hecho ningún comunicado al respecto. El hecho de que Firefox y Microsoft "compartieran responsabilidades" ante una vulnerabilidad, ha dividido a muchos, que han culpado a unos u otros dependiendo de afinidades que a veces poco tienen que ver con la tecnología. En cualquier caso, parece que le toca a Microsoft mover ficha.

Se recomienda no seguir enlaces no confiables y actualizar a Firefox 2.0.0.6. En este caso, el no habilitar JavaScript en el navegador (a través de plugins como NoScript) no evita el problema. Será necesario que Microsoft solucione la forma de manejar este tipo de URIs.

Puesto que la vulnerabilidad no está totalmente solucionada, existe una contramedida para evitar que la ejecución sea automática. Esto hará que aparezca una ventana preguntando antes de lanzar cualquier programa cuando se pulse en uno de estos enlaces potencialmente peligrosos. Se recomienda desde about:config en Firefox, buscar "warn-external" y poner el valor de mailto, news, nntp, y snews a "true".


Sergio de los Santos
ssantos@hispasec.com


Más información:

Remote Command Execution in FireFox et al
http://xs-sniper.com/blog/2007/07/24/remote-command-execution-in-firefox-2005/

Remote Command Exec (FireFox 2.0.0.5 et al)
http://xs-sniper.com/blog/remote-command-exec-firefox-2005/

Some schemes with %00 launch unexpected handlers on windows
https://bugzilla.mozilla.org/show_bug.cgi?id=389580

Unescaped URIs passed to externalprograms
http://www.mozilla.org/security/announce/2007/mfsa2007-27.html

Skype also affected by supposed "Firefox vulnerability"
http://www.heise-security.co.uk/news/93565

lunes, 30 de julio de 2007

Múltiples vulnerabilidades de elevación de privilegios en IBM AIX 5.x

Se han encontrado múltiples vulnerabilidades en programas de IBM AIX que podrían permitir a un atacante local elevar privilegios, ejecutando código arbitrario con privilegios de root.

* Existe un fallo en el programa arp que permitiría a un atacante local ejecutar código arbitrario con privilegios de root. El fallo se debe a problemas de comprobación de límites en las funciones que componen el comando arp, instalado con devices.common.IBM.atm.rte, lo que permite desbordamientos de memoria intermedia y la posibilidad de ejecución de código con privilegios de root.

* Existe un fallo en el programa lpd que permitiría a un atacante local ejecutar código arbitrario con privilegios de root. El fallo se debe a problemas de comprobación de límites en las funciones que compnen el comando lpd, lo que permite desbordamientos de memoria intermedia y la posibilidad de ejecución de código con privilegios de root.

* Existe un fallo en numerosas llamadas a la función gets() en el cliente ftp. La función no proporciona forma de especificar el máximo tamaño del búfer que se está leyendo, por lo que permite desbordamientos de memoria intermedia y la posibilidad de ejecución de código. Se recomienda quitar el bit SETUID al programa.

* Existe un fallo en el programa capture que permitiría a un atacante local ejecutar código arbitrario con privilegios de root. El fallo se da en el código que interpreta secuencias de control de terminal. Una larga serie de control de terminales dispararía un desbordamiento de memoria intermedia basado en pila. Se recomienda quitar el bit SETUID al programa.

* Existe un fallo en el programa pioout que permitiría a un atacante local ejecutar código arbitrario con privilegios de root. El fallo se debe a que la aplicación puede cargar librerías compartidas arbitrarias (usando el argumento -R) proporcionadas por el atacante sin bajar los privilegios. El atacante tendría que crear una librería compartida que ejecutase una shell. Se recomienda quitar el bit SETUID al programa.

Las versiones AIX 5.3 (con service pack 6) y 5.2 son vulnerables, versiones anteriores también.

IBM ha proporcionado soluciones provisionales disponibles desde:
ftp://aix.software.ibm.com/aix/efixes/security/pioout_ifix.tar.Z
ftp://aix.software.ibm.com/aix/efixes/security/capture_ifix.tar.Z
ftp://aix.software.ibm.com/aix/efixes/security/ftpgets_ifix.tar.Z
ftp://aix.software.ibm.com/aix/efixes/security/lpd_ifix.tar.Z
ftp://aix.software.ibm.com/aix/efixes/security/pioinit_ifix.tar.Z
ftp://aix.software.ibm.com/aix/efixes/security/atm_ifix.tar.Z

Las actualizaciones finales están previstas para agosto, octubre y
noviembre de este año.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

IBM AIX Multiple Privilege Escalation Vulnerabilities
ftp://aix.software.ibm.com/aix/efixes/security/README

IBM AIX Multiple Privilege Escalation Vulnerabilities
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=569
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=570
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=571

domingo, 29 de julio de 2007

Denegación de servicio a través de ARP en Cisco Wireless LAN Controller

Se han encontrado varias vulnerabilidades en Cisco Wireless LAN Controller que pueden permitir a un atacante provocar una denegación de servicio.

El dispositivo no procesa correctamente ciertas peticiones Address Resolution Protocol (ARP). Un atacante remoto podría enviar paquetes especialmente manipulados y provocar una tormenta de paquetes ARP. Esto podría darse cuando dos dispositivo en el mismo conjunto de VLAN de capa dos tienen contexto para el cliente wireless.

Las plataformas afectadas son:
Cisco 4100 Series Wireless LAN Controllers
Cisco 4400 Series Wireless LAN Controllers
Cisco Airespace 4000 Series Wireless LAN Controller
Cisco Catalyst 6500 Series Wireless Services Module (WiSM)
Cisco Catalyst 3750 Series Integrated Wireless LAN Controllers

Cisco, a través de los canales habituales, ha puesto a disposición de sus clientes software para solucionar el problema. Se aconseja consultar la tabla de versiones vulnerables y contramedidas en:
http://www.cisco.com/warp/public/707/cisco-sa-20070724-arp.shtml


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Cisco Security Advisory: Wireless ARP Storm Vulnerabilities
http://www.cisco.com/warp/public/707/cisco-sa-20070724-arp.shtml

sábado, 28 de julio de 2007

Actualización de X11 para Sun Solaris 8, 9 y 10

Sun ha publicado la actualización para varias vulnerabilidades de X11 que podrían ser aprovechadas por un atacante local para acceder a información sensible, provocar denegaciones de servicio u obtener escaladas de privilegios.

* La primera se debe a un desbordamiento de entero que puede darse a la hora de analizar fuentes en formato BDF. Esto puede ser explotado para provocar desbordamientos de búffer con BDFs maliciosos.

* Otro desbordamiento de entero en los procedimientos de análisis de los archivos de información 'fonts.dir'. Esto puede ser explotado para provocar un desbordamiento de búffer si se crea un archivo de este tipo que especifique un recuento de más de 1.073.741.824 elementos en la primera línea.

* Un error de validación de entradas en la función ProcXCMiscGetXIDList() de la extensión XC-MISC puede ser provocado para provocar desbordamientos de buffer.

Sun ha publicado varios parches que solventan estas vulnerabilidades. Se recomienda actualizar a los siguientes paquetes. Según versión y plataforma se encuentran disponibles desde:

Para SPARC :
* Solaris 8 parche 119067-07 o posterior para Xsun(1)
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-119067-07-1
* Solaris 8 parche 124420-02 o posterior para libfreetype
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-124420-02-1
* Solaris 9 parche 112785-61 o posterior para Xsun(1)
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-112785-61-1
* Solaris 9 parche 116105-07 o posterior para libfreetype
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-116105-07-1
* Solaris 10 parche 119059-25 o posterior para Xsun(1)
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-119059-25-1
* Solaris 10 parche 119812-03 o posterior para libfreetype
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-119812-03-1

Para x86 :
* Solaris 8 parche 119068-07 o posterior para Xsun(1)
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-119068-07-1
* Solaris 8 parche 124421-02 o posterior para libfreetype
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-124421-02-1
* Solaris 9 parche 112786-50 o posterior para Xsun(1)
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-112786-50-1
* Solaris 9 parche 124833-02 o posterior para Xorg(1)
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-124833-02-1
* Solaris 9 parche 116106-06 o posterior para libfreetype
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-116106-06-1
* Solaris 10 parche 119060-24 o posterior para Xsun(1)
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-119060-24-1
* Solaris 10 parche 125720-03 o posterior para Xorg(1)
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-125720-03-1
* Solaris 10 parche 119813-04 o posterior para libfreetype
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-119813-04-1


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Multiple vulnerabilities in libfreetype, Xsun(1) and Xorg(1)
http://sunsolve.sun.com/search/document.do?assetkey=1-26-102886-1

viernes, 27 de julio de 2007

Denegación de servicio y salto de restricciones en el Kernel 2.4.x de Linux

Se han reportado dos vulnerabilidades en el kernel de Linux que pueden ser aprovechadas por atacantes para provocar ataques de denegación de servicio o eludir restricciones de seguridad.

* Un fallo de límites debido al uso de RTA_MAX en vez de RTN_MAX en dn_fib_props dentro de dn_fib.c y fib_props dentro de fib_semantics.c, que puede ser aprovechado para provocar una denegación de servicio.

* La función xfer_secondary_pool en drivers/char/random.c utiliza datos incorrectos para realimentar semillas dentro del generador de números aleatorios. Esto puede suponer un problema para toda aplicación basada en este generador de números aleatorios.

Estas debilidades están solucionadas en la versión 2.4.35.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

ChangeLog-2.4.35
http://kernel.org/pub/linux/kernel/v2.4/ChangeLog-2.4.35

jueves, 26 de julio de 2007

Denegación de servicio en Cisco Wide Area Application Services 4.x

Se ha detectado un problema de denegación de servicio en el software de Cisco Wide Area Application Services (WAAS) que podría provocar que varios dispositivos que usan ese software (WAE appliance y el módulo NM-WAE-502) dejasen de responder ante todo tipo de tráfico (incluso el de administración).

El problema sólo es reproducible si el programa está configurado para Edge Services, que utiliza optimización de Common Internet File System (CIFS). Si bajo esta configuración recibe una inundación de paquetes TCP SYN en los puertos 139 y 445, podría dejar de responder.

El fallo ha sido corregido en la versión 4.0.11 de Cisco WAAS,
descargable desde la dirección:
http://www.cisco.com/pcgi-bin/tablebuild.pl/waas40?psrtdcat20e2.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Cisco Security Advisory: Denial of Service Vulnerability in Cisco Wide
Area Application Services (WAAS) Software
http://www.cisco.com/warp/public/707/cisco-sa-20070718-waas.shtml

miércoles, 25 de julio de 2007

Predicción de identificadores de transacción en BIND

Se ha descubierto una vulnerabilidad en BIND que podría ser aprovechada por un atacante para envenenar la caché DNS. Esto permitiría ataques de tipo phishing, por ejemplo, si el usuario realiza una consulta a un servidor BIND comprometido y es redirigido de forma transparente a un servidor que no corresponde realmente con el dominio.

BIND (también conocido como 'named') es el software servidor de nombres de dominio (DNS) más popular en las diferentes versiones y distribuciones de Unix. Se trata de un software desarrollado por el ISC (Internet Software Consortium), un consorcio donde se encuentran representadas algunas de las empresas más importantes del sector informático y que tiene como objetivo el desarrollo de las implementaciones de referencia de los principales protocolos básicos de Internet. Esto hace que muchos sistemas operativos incluyan, de forma nativa, BIND.

Esta vulnerabilidad se debe a identificadores predecibles en las consultas salientes, como por ejemplo las respuestas de resolución. Un atacante podría averiguar por análisis criptográfico aproximadamente un 10% de identificadores de consulta. Suficiente para realizar un ataque. El problema se basa en que los identificadores no son calculados con la suficiente aleatoriedad.

El ataque permite que un atacante lo aproveche de numerosas formas distintas. Si se pueden adivinar en cierta forma los números de identificación de transacciones DNS en el servidor, es posible engañarlos, de forma que resuelvan un dominio a una dirección IP que no le corresponde. Esto haría que si un servidor DNS es atacado y su caché envenenada, los usuarios que resuelvan a través de él envíen a los visitantes a máquinas distintas que adonde se supone deberían llegar al teclear un dominio en el navegador, por ejemplo. Así, este ataque permite realizar ataques phishing (si no se utiliza o el usuario no repara en el SSL con autenticación de servidor), entre muchos otros.

No es la primera vez que BIND, con un abultado historial de incidentes de seguridad, permite este tipo de vulnerabilidades. El envenenamiento de caché de servidores ha sido posible otras veces en el pasado. De hecho, esta vulnerabilidad es muy similar a otras ya expuestas en 2001 y 2003, pero la novedad de este fallo es que se ha descrito un método mucho más sencillo y con más probabilidades de tener éxito con menor "esfuerzo". El descubridor se pregunta cómo, después de tanto tiempo conociendo técnicas de este tipo, no se ha modificado el algoritmo para conseguir que los identificadores sean realmente impredecibles.

Esta vulnerabilidad afecta a las siguientes versiones:

* BIND 9.0 (todas las versiones).
* BIND 9.1 (todas las versiones).
* BIND 9.2.0, 9.2.1, 9.2.2, 9.2.3, 9.2.4, 9.2.5, 9.2.6, 9.2.7, 9.2.8.
* BIND 9.3.0, 9.3.1, 9.3.2, 9.3.3, 9.3.4.
* BIND 9.4.0, 9.4.1.
* BIND 9.5.0a1, 9.5.0a2, 9.5.0a3, 9.5.0a4, 9.5.0a5.

Se recomienda actualizar a las versiones BIND 9.2.8-P1, BIND 9.3.4-P1, BIND 9.4.1-P1 desde
http://www.isc.org/index.pl?/sw/bind/bind-security.php o desde los respositorios específicos de cada distribución.

También se ha descubierto que las listas de control de acceso por defecto permitirían a un atacante hacer peticiones recursivas o consultar la caché. Se recomienda establecer las ACL allow-query-cache y allow-recursion a:
{ localnets; localhost; };


Sergio de los Santos
ssantos@hispasec.com


Más información:

BIND 9: allow-query-cache/allow-recursion default acls not set.
BIND 9: cryptographically weak query ids.
http://www.isc.org/index.pl?/sw/bind/bind-security.php

"DNS Cache Poisoning - The Next Generation"
http://www.lurhq.com/cachepoisoning.html

Strange Attractors and TCP/IP Sequence Number Analysis
http://lcamtuf.coredump.cx/oldtcp/tcpseq/print.html

New version of BIND fixes cache poisoning vulnerability
http://www.heise-security.co.uk/news/93273

martes, 24 de julio de 2007

Entrevista con los creadores de Mpack: "Somos como los fabricantes de munición"

SecurityFocus publica una interesante entrevista con uno de los creadores de Mpack. Mpack es una infraestructura PHP creada para automatizar y centralizar ataques web. Genera exploits que, alojados en servidores web comprometidos, infecta a quien los visite eligiendo el fallo adecuado según el software que use la víctima. En un servidor centralizado monitoriza a los infectados y elabora estadísticas de éxito. La entrevista desvela algunos secretos sobre los creadores de esta herramienta de moda.

Mpack es la herramienta detrás del ataque a gran escala contra webs europeas que afectó a miles de usuarios (y webs) a mediados de junio. Hispasec tuvo acceso a este servidor y descubrió que una web española estaba infectando a un gran número de usuarios. SecurityFocus ha conseguido el contacto ICQ (a través de un anuncio en la web) de uno de los creadores de la herramienta, un tal DCT. Después de dos semanas de conversaciones, publica en forma de entrevista los detalles más significativos que aquí a su vez destacamos y resumimos. Nuestras aclaraciones aparecen entre corchetes.

Según DCT, el proyecto (llevado por tres personas fijas y algunos esporádicos) comenzó en junio de 2006 como herramienta personal, pero no fue hasta septiembre de ese año que se convirtió en producto comercial [la versión 0.90 se vende ya por 1.000 dólares]. Comenzó en ruso, pero cada vez son más los "clientes" de otros países interesados en él. En parte DCT "agradece" a las compañías antivirus la "publicidad gratuita" realizada a Mpack.

Para implementar su producto, mejoran los exploits públicos y estudian el material "in the wild" para incorporar nuevas formas de aprovechar vulnerabilidades. A veces incluso invierten, pagando por nuevas vulnerabilidades. Según DCT, un fallo en Internet Explorer con buena capacidad para ser aprovechado puede costar 10.000 dólares. Aun así Mpack es rentable, no demasiado comparado con otras actividades en la red, pero rentable. Mientras lo sea se mantendrá vivo, y lo mejorarán todo lo que puedan (haciendo que se infecte el mayor número de personas posible con mejores exploits). Además tienen otros proyectos en mente. En cualquier caso, se muestra preocupado por la fama del producto, que puede llevar a que sea cerrado algún día ante el mayor riesgo de ser detenidos.

Para quien compra y usa Mpack, sí que es una herramienta muy rentable. Según DCT sus clientes consiguen grandes beneficios con él. Se cuentan por cientos de miles los servidores infectados (con el famoso iframe que apunta al servidor Mpack central) que, al ser visitados, infectan a su vez a los usuarios vulnerables.

A DCT no le gusta que le llamen "cibermafia". Se definen como un grupo de personas que trabajan juntos y que hacen algunos negocios ilegales. Tienen trabajos legítimos, y se ocupan de proyectos como Mpack en sus ratos libres. [Otra historia es quiénes sean los que utilizan este pack para atacar, que sí que pueden pertenecer a la industria del malware]

Ante la pregunta de si se "compadecía" de los usuarios infectados gracias a su herramienta, responde: "Bueno, siento que somos como una fábrica que produce munición".

Por último, ofrece un sabio consejo: el uso de Opera sin scripts ni plugins activos [cabe recordar que Mpack aprovecha (sobre Windows) vulnerabilidades en IE, en plugins de Firefox y plugins en versiones antiguas de Opera] puede librarte de caer infectado ante alguna vulnerabilidad distribuida a través de Mpack.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Newsmaker: DCT, MPack developer
http://www.securityfocus.com/news/11476/1

21/06/2007 Resaca del ataque masivo a través de webs comprometidas
http://www.hispasec.com/unaaldia/3162

19/06/2007 Alerta: Ataque a gran escala contra webs europeas afecta a
miles de usuarios
http://www.hispasec.com/unaaldia/3160

lunes, 23 de julio de 2007

Ejecución de código través de imágenes Targa en DirectX de Microsoft Windows

Existe un problema de validación de entrada en las librerías DirectX de Microsoft que podrían permitir a un atacante ejecutar código arbitrario en el sistema víctima. Aunque el problema ha sido solucionado, Microsoft no ha publicado boletín de seguridad al respecto.

DirectX es una colección de APIs creadas para facilitar tareas relacionadas con la programación de juegos en Windows. El kit de desarrollo de DirectX (SDK) y el EndUser Runtime se distribuyen gratuitamente por Microsoft y también adjunto a muchos programas que lo utilizan.

El fallo se da en la forma en la que se abren formatos de imagen Targa comprimidos con RLE (run-length encoding). No se comprueba si se ha sobrepasado el límite del búfer reservado para datos como la anchura, altura y profundidad de color, almacenados en la imagen. Si la codificación especifica más datos de los que han sido reservados, ocurre un desbordamiento de heap.

Las librerías DirectX SDK de Microsoft de febrero de 2006 son vulnerables, también DirectX End User Runtime de febrero de 2006 y DirectX 9.0c End User Runtime y anteriores.

El fallo fue notificado a Microsoft en agosto de 2006. El investigador español Rubén Santamarta lo ha reportado a iDefense a través del programa Vulnerability Contributor Program. DirectX no sufría de un problema de seguridad de gravedad similar desde julio de 2003.

El fallo ha sido corregido en la versión de junio de 2007 de SDK y End User Runtime, descargable desde:
DirectX End-User Runtime Web Installer:
http://www.microsoft.com/downloads/details.aspx?FamilyID=2da43d38-db71-4c1b-bc6a-9b6652cd92a3

DirectX Software Development Kit:
http://www.microsoft.com/downloads/details.aspx?FamilyID=371f6ba4-2737-46ab-b275-0dcab31459b5


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Microsoft DirectX RLE Compressed Targa Image File Heap Overflow Vulnerability
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=562

domingo, 22 de julio de 2007

Revelación de contraseñas de usuario en Lotus Notes

Se ha descubierto una vulnerabilidad en Lotus Notes 5 y posteriores que podría ser aprovechada por un atacante para revelar información del sistema.

La función debug puede ser utilizada para escribir un fichero que contenga la nueva contraseña de usuario en texto claro añadiendo las dos siguientes líneas al archivo Notes.ini

KFM_ShowEntropy=1
Debug_Outfile=c:\testvowe.txt

Si un atacante tuviera acceso físico al fichero Notes.ini y al fichero Notes.id, que es cifrado y descifrado con la contraseña del usuario, podría suplantar la identidad de un usuario y autenticarse contra el servidor.

No se ha publicado ninguna solución oficial a este problema. Como contramedida se recomienda:

Para la versión 7 y posteriores se recomienda establecer las configuraciones de Notes.ini en la política de la máquina.

En la versión 6 debería añadirse un campo $PrefKFM_ShowEntropy con valor 0 en el documento de la política.

Con el siguiente script configurado para que se ejecute siempre que un usuario abra la base de datos del correo también se conseguiría el mismo efecto que con la contramedida anterior.

Dim s As New NotesSession
Call s.SetEnvironmentVar("KFM_ShowEntropy","0", true)


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Password exposure in Lotus Notes
http://www.heise-security.co.uk/news/92958/from/rss09

sábado, 21 de julio de 2007

Ejecución de código a través de tráfico BGP en tcpdump

Se ha encontrado una vulnerabilidad en la herramienta tcpdump que puede ser potencialmente aprovechada por un atacante para ejecutar código arbitrario si la víctima procesa tráfico manipulado.

Tcpdump, es un programa que coloca la tarjeta de red en modalidad promiscua y captura los paquetes que circulan por la red. Se trata de una herramienta muy versátil, especialmente utilizada en tareas de seguridad informática (por ejemplo, en la evaluación de la seguridad de una red) así como en el análisis del funcionamiento de las redes.

El fallo se debe a un uso incorrecto el valor de retorno snprinf en la función decode_labeled_vpn_l2() dentro del código de print-bgp.c. Esto puede provocar un desbordamiento de memoria intermedia si se envían paquetes BGP especialmente manipulados y son tratados con esta herramienta. Eso podría derivar en ejecución de código arbitrario.

El fallo se ha confirmado en la versión 3.9.6, aunque otras podrían verse afectadas. El descubridor ha publicado el código de una prueba de concepto que permite aprovechar la vulnerabilidad.

No se ha publicado versión oficial que lo solucione, pero la vulnerabilidad se ha corregido en el repositorio SVN:
http://cvs.tcpdump.org/cgi-bin/cvsweb/tcpdump/print-bgp.c?r1=1.91.2.11&r2=1.91.2.12


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

BGP (print-bgp.c) remote integer overflow POC for linux
http://www.digit-labs.org/files/exploits/private/tcpdump-bgp.c

viernes, 20 de julio de 2007

Grupo de parches de julio para diversos productos Oracle

Oracle ha publicado un conjunto de 45 parches para diversos productos de la casa que solventan una larga lista de vulnerabilidades sobre las que apenas han dado detalles concretos. Las consecuencias son que atacantes locales y remotos pueden provocar denegaciones de servicio, ejecutar código arbitrario, tener acceso de escritura y lectura a datos sensibles, perpetrar ataques de inyección SQL y eludir restricciones de seguridad. Los fallos se dan en varios componentes de los productos.

Parece que el número de actualizaciones por trimestre desciende para Oracle en los últimos tiempos. En abril, Oracle publicó 36 actualizaciones de seguridad. En enero, el total ascendió a 50. En octubre batió todos los records y publicó más de 100 parches. Hace justo un año, en julio de 2006, publicó 65 actualizaciones.

Los productos afectados son:
* Oracle Database 10g Release 2, versiones 10.2.0.2, 10.2.0.3
* Oracle Database 10g, versión 10.1.0.5
* Oracle9i Database Release 2, versiones 9.2.0.7, 9.2.0.8, 9.2.0.8DV
* Oracle Application Express (HTML DB), versiones 1.5 - 2.2
* Oracle Secure Enterprise Search 10g, versiones 10.1.6, 10.1.8
* Oracle Application Server 10g Release 3 (10.1.3), versiones 10.1.3.0.0, 10.1.3.1.0, 10.1.3.2.0, 10.1.3.3.0
* Oracle Application Server 10g Release 2 (10.1.2), versiones 10.1.2.0.1 - 10.1.2.0.2, 10.1.2.1.0, 10.1.2.2.0
* Oracle Application Server 10g (9.0.4), versión 9.0.4.3
* Oracle10g Collaboration Suite, versión 10.1.2
* Oracle E-Business Suite Release 11i, versiones 11.5.8 - 11.5.10 CU2
* Oracle E-Business Suite Release 12, versiones 12.0.0, 12.0.1
* Oracle PeopleSoft Enterprise PeopleTools versiones 8.22, 8.47, 8.48, 8.49
* Oracle PeopleSoft Enterprise Human Capital Management versiones 8.9, 9.0
* Oracle PeopleSoft Enterprise Customer Relationship Management versiones 8.9, 9.0

De las 45 correcciones, 19 afectan a Oracle Database, Dos de ellas no requieren un usuario y contraseña válidos para poder ser aprovechadas. Cuatro afectan a Oracle Application Server, tres de las cuales no requieren un usuario y contraseña válidos para poder ser aprovechadas. Una afecta a Oracle Collaboration Suite. Este parche incluye una solución para 4 vulnerabilidades de Oracle Application Server. 14 afectan a Oracle E-Business Suite. Seis de ellas no requieren un usuario y contraseña válidos para poder ser aprovechadas. Siete afectan a Oracle PeopleSoft Enterprise. Una de ellas no requieren un usuario y contraseña válidos para poder ser aprovechadas.

Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial:

* Oracle Critical Patch Update - July 2007
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujul2007.html

* Critical Patch Update - July 2007 Documentation Map
http://metalink.oracle.com/metalink/plsql/ml2_documents.showDocument?p_database_id=NOT&p_id=432868.1


Laboratorio Hispasec
laboratorio@hispasec.com



jueves, 19 de julio de 2007

Un investigador anónimo dice haber programado un gusano para Apple

Un investigador anónimo dice haber programado un gusano para Mac OS X, el sistema operativo de Apple. El gusano aprovecharía una vulnerabilidad todavía no parcheada que él mismo ha descubierto. El código no se ha hecho público, por lo que parece que Rape.osx (nombre con el que se ha bautizado el supuesto gusano) tiene más de mediático que de proeza técnica.

El protagonista dice haber desarrollado un nuevo gusano a partir de una vulnerabilidad en Mac OS X que permitiría ejecución remota de código sin necesidad de que la víctima hiciese nada. Además lo haría con privilegios de root, tomando completo control del sistema. Dice haber hecho ya pruebas en redes de 1500 Mac OS X donde el gusano se habría esparcido a sus anchas. El fallo en concreto parece estar en el servicio Bonjour (mDNS).

Esta prueba de concepto ha despertado de nuevo la susceptibilidad de muchos que piensan que no es posible la existencia de malware para un sistema operativo distinto al de Microsoft. En el momento en el que exista una vulnerabilidad aprovechable de forma remota sin interacción del usuario, sea el sistema operativo que sea, existe la posibilidad de programar un gusano. Que éste tenga cierta capacidad de expansión (y por tanto repercusión fuera de un laboratorio) o no, eso es otra historia. Si el malware necesita (no siempre ocurre) de una vulnerabilidad en el sistema para poder ejecutarse en él, no será por ausencia de ellas. Todos los sistemas tienen problemas de seguridad, pero Mac OS X además, está sufriendo una pequeña crisis en este sentido. Más de cien fallos corregidos en lo que llevamos de año. Microsoft, por ejemplo, no llega a los 50 corregidos este año para sus productos.

La eterna discusión de quién "está a salvo" y quién no según su sistema operativo favorito vuelve a muchos foros. Pero ante el panorama actual... ¿a salvo de quién? cabría preguntar. El problema quizás es tanto el número de fallos como quién los quiera aprovechar.

Si existe una vulnerabilidad, sea cual sea en una plataforma cualquiera, los atacantes puntuales que necesiten hacerse con un sistema específico podrán aprovecharla con gran probabilidad de éxito si se centran en ese fallo concreto y usan una herramienta (exploit) programada con ese único fin. No importa la plataforma, el ataque es posible si la víctima no ha parcheado convenientemente o no utiliza técnicas de seguridad en profundidad. Esto sí es un riesgo de igual magnitud para todos y del que nadie "está a salvo". El espionaje industrial específico funciona, y no se centra precisamente en plataformas Windows.

Por otro lado, los sistemas ajenos a Microsoft están relativamente "a salvo" del malware como industria especializada. La industria del malware ha ignorado (hasta ahora) el mundo ajeno a Windows. Así que el riesgo que debe gestionar el usuario de Microsoft para controlar esta amenaza del malware en concreto como industria (masiva, consolidada, especializada y lucrativa) es superior al esfuerzo que debe invertir cualquier otro.

Por tanto, si se está en el punto de mira de la industria del malware o de un atacante específico el riesgo será mayor o menor, pero las amenazas estarán ahí para todos por igual.

En concreto, el gusano Rape.osx, fuera claramente de una floreciente industria vírica enfocada a Windows y al robo de credenciales bancarias, ajeno a la posibilidad de expansión masiva a través de una fuerte infraestructura (formada por botnets, spammers y otros canales fraudulentos de difusión), no pasará de la pura anécdota.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Mac OS X with 100 bugs: Still safer than Windows?
http://news.zdnet.co.uk/security/0,1000000189,39287981,00.htm

Mac OS X worm maker raps Apple on security
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9027216&intsrc=hm_list

miércoles, 18 de julio de 2007

Último CFP para CISBI 2007 Argentina y Workshop en Hacking y Forensia

Del 26 al 28 de noviembre de 2007 se celebrará en el Hotel 13 de Julio (http://www.hotel13dejuliomdq.com.ar/) en Mar del Plata, Argentina, el Cuarto Congreso Iberoamericano de Seguridad Informática CIBSI 2007, organizado en esta ocasión por la Universidad Nacional del Centro de la Provincia de Buenos Aires, conjuntamente con la Universidad Politécnica de Madrid a través de la Red Temática Iberoamericana de Criptografía y Seguridad de la Información CriptoRed.


El llamado a envío de trabajos termina este 31 de julio de 2007. Toda la información de interés para investigadores y autores (formato, plantillas, fechas, etc.) así como para los asistentes a este importante evento pionero en Iberoamérica en materia de seguridad informática, se encuentra en su servidor Web: http://www.cibsi2007.org/.

Además de la presentación de aquellas las ponencias aceptadas por un selecto Comité de Programa compuesto por 43 doctores de diversos países y las conferencias invitadas de los Doctores Paulo Barreto de Brasil, Alejandro Hevia de Chile y Hugo Scolnik de Argentina, el evento contará con un Workshop sobre técnicas de hacking y forensia cuya información se detalla más abajo.

WORKSHOP EN TÉCNICAS DE HACKING Y FORENSIA INFORMÁTICA
Fecha: martes 27 de noviembre de 2007
Seminario práctico de 4 horas

Parte 1 (2 horas)
"Técnicas de Inyección en Hacking de Aplicaciones Web"
Ponente: D. José María Alonso Cebrián
CV: Ingeniero y Dr. en Informática, a falta de la lectura de tesis en este año 2007. Es Microsoft MVP Windows Security desde Julio de 2004.
Consultor de Seguridad Informática durante los últimos años. Ha participado en las últimas 7 giras de seguridad de Microsoft y los Security Days. Participa activamente con los cuerpos de seguridad del estado y realiza en Informática64 test de intrusión para grandes compañías. Ponente en decenas de conferencias de seguridad al año.
Temario
* Introducción a las técnicas de inyección.
* SQL injection, XPath injection, LDAP injection, HTML injection.
* Análisis de exploits
* Explotación mediante técnicas a ciegas.
* Herramientas y caso práctico.

Parte 2 (2 horas)
"Utilización de Patrones de Comportamiento en el Análisis Forense Informático"
Ponente: D. Julio César Ardita
CV: Licenciado en Sistemas y Máster en Gestión de las Telecomunicaciones.
Es fundador del CISIar, Centro de Investigación en Seguridad Informática Argentina. Consultor de Seguridad Informática, es ponente invitado en decenas de congresos nacionales e internacionales. Desde Cybsec Security Systems S.A. es director de proyectos de investigación sobre sistemas de detección de intrusiones y penetration test, así como profesor en decenas de cursos de seguridad en Latinoamérica.
Temario
* Características de los incidentes de seguridad internos.
* Análisis forense informático.
* Metodología de análisis de patrones de comportamiento del intruso.
* Aplicación real y resultados obtenidos.


Laboratorio Hispasec
laboratorio@hispasec.com



martes, 17 de julio de 2007

Múltiples vulnerabilidades en (y a través de) los navegadores

Durante estos días, se han descubierto varias vulnerabilidades en (casi) todos los navegadores, además de problemas en conectores (plugins) tan habituales en ellos como Java y Flash Player. Esto permite a los atacantes continuar con una de las actividades con más auge en los últimos meses, ataques a través del navegador.

El pasado día 16 se daba a conocer un error que afectaba al navegador Opera y también a Konqueror. El fallo se debe a errores a la hora de mostrar la barra de direcciones cuando se encuentra con URLs de tipo "data:". Esto permitiría a un atacante mostrar páginas con URLs arbitrarias, y facilitar así ataques tipo phishing. Es posible actualizar Konqueror a través de SVN. Opera no ha publicado actualización.

A Firefox se le descubrieron dos graves problemas el día 10 de julio. El primer fallo se debe al manejo de URIs tipo “wyciwyg://" que podría permitir a un atacante obtener información sensible de una web previa en caché.

El otro error en Firefox permite ejecución de código, y se basa en el manejo de URIs tipo "firefoxurl://". Esto permitiría a un usuario que visite una página especialmente manipulada con Internet Explorer (o quizás otras aplicaciones Windows), enviar código JavaScript arbitrario usando el parámetro "-chrome" a Firefox. Parece que estos fallos y algunos otros serán corregidos en la inminente versión 2.0.0.5.

Internet Explorer 7 también es vulnerable a un problema de falsificación de barra de direcciones por un error en el manejo del método document.open. No se ha publicado tampoco parche. El primer fallo descrito de Firefox y esta vulnerabilidad, han sido descubiertos por Michal Zalewski.

Por si fuera poco, dos de los plugins más usados en cualquier navegador, el reproductor de Flash y Java, también han sufrido serios problemas de seguridad, por lo que han publicado nuevas versiones.

Adobe ha publicado una actualización para Flash Player que solventa varias vulnerabilidades. La más grave podría ser aprovechada por un atacante para inyectar código arbitrario a través de ficheros FLV en cualquier sistema operativo. Para este problema se ha dado a conocer un exploit público.

Por su parte, Sun ha publicado también Java 6 SE Update 2 que soluciona varios problemas de seguridad. Destacar además que con cada actualización de Java es necesario desinstalar a mano la versión anterior, que quedaría accesible en el sistema y por tanto, vulnerable.

Semana especialmente crítica en cuestión de seguridad para los navegadores. Recomendamos actualizar el software cuando esté disponible, y en cualquier caso, trabajar con los mínimos privilegios posibles en el sistema cuando se navegue por Internet.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Java Downloads for All Operating Sytems
http://java.com/en/download/manual.jsp?locale=en&host=java.com

Flash Player update available to address security vulnerabilities
http://www.adobe.com/support/security/bulletins/apsb07-12.html

Cross Browser Scripting Demo (with remote command execution)
http://www.xs-sniper.com/sniperscope/IE-Pwns-Firefox.html

Firefox wyciwyg:// cache zone bypass
http://www.securityfocus.com/archive/1/archive/1/473191/100/0/threaded

MSIE7 entrapment again (+ FF tidbit)
http://lists.grok.org.uk/pipermail/full-disclosure/2007-July/064636.html

lunes, 16 de julio de 2007

Denegación de servicio a través de ficheros RAR en ClamAV

Se ha anunciado la existencia de una vulnerabilidad en ClamAV que podría llegar a ser aprovechada por atacantes para provocar una denegación de servicio en el sistema víctima. Por ejemplo, a través de un correo adjunto que sea procesado por el motor antivirus.

ClamAV es un motor antivirus de código abierto muy popular en el mundo del software libre, empleado con frecuencia en servidores de correo derivados de UNIX a modo de defensa perimetral primaria.

El fallo se debe a un problema de manejo de punteros con valor nulo en libclamav/unrar/unrarvm.c a la hora de manejar ficheros comprimidos en formato RAR. Esto puede ser aprovechado por un atacante para hacer que el servicio deje de funcionar si se envía un fichero RAR especialmente manipulado.

El problema fue notificado el 25 de junio y solucionado oficialmente el día 11 de julio con la publicación de la versión 0.91 del programa.

Se recomienda actualizar a esta última versión desde
http://sourceforge.net/project/showfiles.php?group_id=86638


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

RAR Files Handling Denial of Service vulnerability.
https://wwws.clamav.net/bugzilla/show_bug.cgi?id=555

domingo, 15 de julio de 2007

Ejecución de código en Sun Java JDK 1.6.x y JRE 1.6.x

Se ha descubierto una vulnerabilidad en Sun JDK y JRE que podría ser aprovechada para comprometer un sistema vulnerable.

El error se produce en la forma en que Sun JDK y JRE procesan hojas de estilo XSLT contenidas en firmas XML. Un atacante, de forma remota, podría aprovechar esta vulnerabilidad engañando a una aplicación para que procesara firmas XML debidamente manipuladas.

La vulnerabilidad ha sido descubierta en las versiones JDK y JRE 6 Update 1 y anteriores. Se recomienda actualizar a las versiones JDK y JRE 6 Update 2 o posteriores, disponibles desde:
http://java.sun.com/javase/downloads/index.jsp

Java SE 6 Update 2 para Solaris está disponible a través de los siguientes parches:

Java SE 6 update 2:
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-125136-02-1

Java SE 6 update 2 (64bit):
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-125137-02-1

Java SE 6_x86 update 2:
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-125138-02-1

Java SE 6_x86 update 2 (64bit):
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-125139-02-1


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Java Runtime Environment Does Not Securely Process XSLT Stylesheets Contained in XML Signaturas
http://sunsolve.sun.com/search/document.do?assetkey=1-26-102993-1

sábado, 14 de julio de 2007

Actualización para Flash Player de Adobe

Adobe ha publicado una actualización para Flash Player que solventa varias vulnerabilidades que podrían ser aprovechadas por un atacante para inyectar código arbitrario.

Estas vulnerabilidades se deben a errores en la validación de los datos de entrada. Un atacante podría aprovechar estas vulnerabilidades para ejecutar código arbitrario a través de páginas web o correos electrónicos especialmente manipulados.

Se han publicado soluciones oficiales para las versiones afectadas. Así mismo Adobe recomienda actualizar a la última versión de Flash Player.
http://www.adobe.com/support/flashplayer/downloads.html
http://www.adobe.com/shockwave/download/download.cgi?P1_Prod_Version=ShockwaveFlash


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Flash Player update available to address security vulnerabilities
http://www.adobe.com/support/security/bulletins/apsb07-12.html

viernes, 13 de julio de 2007

Actualización de Quicktime 7.x de Apple

Apple ha publicado una actualización para Quicktime que solventa múltiples vulnerabilidades.

Un atacante podría aprovechar estas vulnerabilidades para ejecutar código arbitrario, causar denegaciones de servicio o comprometer un sistema vulnerable.

Estas vulnerabilidades afectan a las versiones anteriores a la 7.2. Se recomienda actualizar a la versión 7.2, disponible para su descarga desde:
QuickTime 7.2 para Mac:
http://www.apple.com/support/downloads/quicktime72formac.html
QuickTime 7.2 para Windows:
http://www.apple.com/support/downloads/quicktime72forwindows.html


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

About the security content of QuickTime 7.2
http://docs.info.apple.com/article.html?artnum=305947

Apple QuickTime SMIL File Processing Integer Overflow Vulnerability
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=556

jueves, 12 de julio de 2007

Vulnerabilidad en WinPcap permite escalada de privilegios

Se ha descubierto una vulnerabilidad en WinPcap que podría ser aprovechada por un atacante local para ejecutar código arbitrario con privilegios de sistema. Existe exploit público para esta vulnerabilidad. Programas muy populares como Snort, tcpdump o WireShark se ven afectados por esta escalada de privilegios.

WinPcap es la herramienta estándar para acceder a la conexión entre capas de red en entornos Windows. Se trata de un "port" para Windows de la librería libpcap y es necesaria para ejecutar programas de tipo "sniffer" que modifican el comportamiento de la interfaz de red para actuar en modo promiscuo, entre otras posibilidades. Algunos programas muy populares como Snort, tcpdump y WireShark (antiguo Ethereal) necesitan de esta librería para funcionar.

El fallo se da en el controlador npf.sys a la hora de validar los datos manejados en los parámetros Irp pasados a IOCTL 9031 (BIOCGSTATS). Un atacante podría aprovechar esta vulnerabilidad enviando parámetros especialmente manipulados y sobrescribiendo la memoria del núcleo.

Si un usuario local sin privilegios encuentra que el dispositivo ha sido utilizado y no se ha descargado el módulo (por ejemplo después de que un administrador ejecute WireShark, o ha sido programado para estar disponible en el inicio de sistema), el atacante podría ejecutar la prueba de concepto publicada y obtener privilegios totales sobre la máquina víctima.

Esta vulnerabilidad afecta a las versiones 3.1 y 4.1beta de WinPcap sobre cualquier sistema Windows. Existe exploit público. La vulnerabilidad ha sido solventada en la versión 4.0.1 de WinPcap. Su descarga se encuentra disponible desde:

http://www.winpcap.org/install/bin/WinPcap_4_0_1.exe
El fallo fue descubierto 16 de mayo por iDefense y su revelación pública se programó para el 9 de julio.


Sergio de los Santos
ssantos@hispasec.com


Más información:

WinPcap NPF.SYS Local Privilege Escalation Vulnerability
http://seclists.org/bugtraq/2007/Jul/0065.html

miércoles, 11 de julio de 2007

Nueva imagen para VirusTotal.com

VirusTotal.com se presenta con nueva imagen. Desde su estreno en junio de 2004, el portal no había sufrido cambios estéticos destacables. Si bien su sistema de funcionamiento ha evolucionado considerablemente desde sus comienzos, VirusTotal.com se renueva desde hoy además con una imagen mucho más limpia, sencilla y moderna.

VirusTotal.com es un servicio gratuito de análisis de malware creado por Hispasec Sistemas, y que permite a un usuario que dude sobre la inocuidad de un determinado archivo analizarlo con una gran cantidad (32 actualmente) de productos antivirus que unen sus poderes de detección para ofrecer una idea mucho más aproximada sobre la amenaza que pueda llegar a suponer.

El servicio VirusTotal.com, desarrollado íntegramente por Hispasec, ha alcanzado en solo tres años un puesto muy reconocido entre los profesionales de la seguridad. Son muchos los CERTs, laboratorios, portales y usuarios en general que hacen uso diario de VirusTotal.com para el análisis de muestras sospechosas. Se ha convertido en el estándar "de facto" como herramienta para comprobar el estado de detección del malware por parte de los diferentes motores antivirus.

VirusTotal.com no ha parado de crecer desde su estreno en junio de 2004. Comenzó como un sistema de análisis por correo electrónico, para poco después ofrecer la posibilidad de enviar muestras por web. En julio de ese mismo año, en su primer mes, recibió casi 5.000 muestras. A comienzos de 2005 ya se rozaban las 20.000 muestras mensuales, en una escalada "sin control" que todavía hoy sigue experimentando. El número de casas antivirus no ha parado de crecer tampoco. De apenas una decena cuando comenzó a los 32 motores actuales, y todavía quedan algunos por incorporar.

Para mediados de 2006, la cifra alcanzaba las 100.000 muestras mensuales recibidas. Esto requiso un aumento y modificación de infraestructura interna, además de una ampliación importante de los recursos utilizados por el servicio en sí. También se facilitó el uso por web, mostrando el resultado de los motores en tiempo real, según ofrecían sus análisis.

Hoy, y desde principios de 2007, estamos recibiendo una media de 600.000 muestras al mes, lo que implica 20.000 muestras al día procesadas por lo que se ha convertido ya en una granja de servidores. Hace solo unos meses, dentro de los premios a los 100 Mejores Productos del Año 2007, la edición americana de PC World premió a VirusTotal.com como el mejor sitio web de seguridad, prestigioso galardón que avalaba sus buenos resultados y reconocía mundialmente el valor del servicio.

Curiosamente desde sus inicios, e independientemente del número de muestras, los porcentajes se han mantenido estables. El 70% de las muestras son detectadas como malware. Desde hace casi un año, además, un 30% de esa cantidad es detectado como malware específico para robar contraseñas de banca electrónica.

VirusTotal.com sigue creciendo, el número de muestras recibidas sigue aumentando, y esto nos ha permitido posicionar a Hispasec como importante referencia en el mundo del malware. Gracias a todos los usuarios que nos han permitido llegar hasta este punto.


Sergio de los Santos
ssantos@hispasec.com


Más información:

08/07/2004 Estadísticas mensuales de VirusTotal (junio'04)
http://www.hispasec.com/unaaldia/2083/estadisticas-mensuales-virustotal-junio

http://www.hispasec.com/unaaldia/3132
22/05/2007 La edición americana de PC World premia a VirusTotal

29/11/2004 VirusTotal aumenta su poder de detección e incorpora nuevas
funcionalidades
http://www.hispasec.com/unaaldia/2228

01/06/2004 El mayor antivirus público de Internet
http://www.hispasec.com/unaaldia/2046/mayor-antivirus-publico-internet

martes, 10 de julio de 2007

Seis boletines de seguridad de Microsoft en julio

Tal y como adelantamos, este martes Microsoft ha publicado seis boletines de seguridad (MS07-036 al MS07-041) dentro de su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft tres de los boletines presentan un nivel de gravedad "crítico", otros dos son "importantes" y un último está calificado como "moderado".

* MS07-036: Evita tres vulnerabilidades en Microsoft Excel que pueden ser explotadas por atacantes remotos para comprometer los sistemas afectados. Está considerado como "crítico".

* MS07-037: Se trata de una actualización para evitar una vulnerabilidad en Microsoft Office Publisher que podría permitir a un atacante remoto ejecutar código arbitrario. Tiene una clasificación de "importante".

* MS07-038: Se trata de una actualización para corregir una vulnerabilidad en Windows Vista Firewall que podría permitir la obtención de información sensible. Afecta a Windows Vista y está considerado como "moderado".

* MS07-039: Esta actualización resuelve dos vulnerabilidades en Active Directory de Microsoft Windows Server 2003 y 2000, que podrían permitir a atacantes remotos ejecutar código arbitrario y provocar una denegación de servicio. Está calificado de gravedad "crítica".

* MS07-040: Actualización considerada "crítica" para evitar tres vulnerabilidades en .NET Framework 1.x y 2.x, que podrían permitir la ejecución remota de código arbitrario en sistemas cliente.

* MS07-041: Se trata de una actualización de nivel "importante" para Internet Information Services (IIS) 5.1 en Windows XP Professional Service Pack 2, que podría permitir la ejecución remota de código si un atacante envía peticiones de URLs específicamente construidas.

Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible.


Antonio Ropero
antonior@hispasec.com


Más información:

Microsoft Security Bulletin Summary for July 2007
http://www.microsoft.com/technet/security/bulletin/ms07-jul.mspx

Microsoft Security Bulletin MS07-036 - Critical
Vulnerabilities in Microsoft Excel Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/Bulletin/ms07-036.mspx

Microsoft Security Bulletin MS07-037 - Important
Vulnerability in Microsoft Office Publisher 2007 Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/bulletin/ms07-037.mspx

Microsoft Security Bulletin MS07-038 - Moderate
Vulnerability in Windows Vista Firewall Could Allow Information Disclosure
http://www.microsoft.com/technet/security/Bulletin/ms07-038.mspx

Microsoft Security Bulletin MS07-039 - Critical
Vulnerability in Windows Active Directory Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/Bulletin/ms07-039.mspx

Microsoft Security Bulletin MS07-040 - Critical
Vulnerabilities in .NET Framework Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/bulletin/ms07-040.mspx

Microsoft Security Bulletin MS07-041 - Important
Vulnerability in Microsoft Internet Information Services Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/bulletin/ms07-041.mspx

lunes, 9 de julio de 2007

Los estafadores en Internet, más solidarios que nunca

Symantec publica una noticia que puede resultar chocante en un principio. Los estafadores en Internet donan parte del dinero conseguido con sus fraudes a proyectos de caridad. Es una tendencia que se está observado y que, aunque parezca extraño, tiene una explicación razonable.

La industria del malware y la estafa en Internet mueve un volumen importante de números de tarjetas de crédito, con los que trafican y de los que se benefician directa o indirectamente. En los ambientes adecuados, no es complicado conseguir números de tarjetas de crédito por algunas decenas de dólares. El "excedente" de información de algunas mafias es tal que, aparte de usarlos en beneficio propio, pueden permitirse el vender algunos números de tarjeta (con sus pins y códigos de seguridad adicionales), robados a través de phishing o malware.

La pregunta es: ante tanto número de tarjeta comprado y vendido, ¿cómo saber cuál es válido? ¿cuál se mantiene operativo y permite comprar realmente a través de la red? Comprobar la validez de los códigos de una tarjeta comprando cualquier producto puede hacer saltar las alarmas. Para un atacante que necesita pasar lo más inadvertido posible, las donaciones de caridad se han convertido en buenas aliadas

Los poseedores de los códigos robados traspasan pequeñas cantidades de dinero a páginas de caridad como por ejemplo, la Cruz Roja. Con esto se aseguran que, si la operación se realiza con éxito, la tarjeta puede volver a ser usada en compras más "lucrativas" o revendida. Existen otras ventajas, según Symantec. Los bancos pueden llegar a monitorizar las transacciones habituales de una tarjeta, y obtener un perfil de actuación "habitual" de su dueño. Donar cantidades a instituciones sin ánimo de lucro no es un movimiento "normal" para la mayoría de las personas, y precisamente ese carácter extraordinario lo hace pasar por movimiento perfectamente posible y ocasional para muchos. Sería complicado determinar si una donación concreta es "sospechosa" tanto en un usuario que la realice a menudo como para quien no lo tenga por norma.

Además, con este tipo de donaciones, voluntarias, pueden donar cantidades ridículas (desde algunos céntimos a un dólar) sin necesidad de comprar realmente nada y optimizar así los recursos invertidos en la comprobación real de la validez de la tarjeta.

El Washinton Post no opina que esto sea una nueva tendencia, y recuerda algunas situaciones similares anteriores. Hace dos años, las páginas que recolectaban donaciones para los damnificados por el Huracán Katrina ya obtuvo una buena inyección de dinero a través de este sistema. También recuerda que un administrador de una campaña presidencial en 2004 recibió durante varios días miles de pequeños pagos voluntarios (de cinco centavos) realizados con números de tarjeta distintos y automatizados a través de sistemas situados en Europa del este. Gracias a este "efecto colateral", recolectaron hasta 60.000 dólares que finalmente no pudieron quedarse.

Al menos, entre tanto tráfico de datos y dinero ganado de forma fraudulenta, reconforta saber que algunas ONG e instituciones de caridad sacan algún partido de esta "necesidad" de los estafadores... aunque a los dueños legítimos de las tarjetas seguro que no les hace ninguna gracia.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Scammers make friends with charities
http://www.symantec.com/enterprise/security_response/weblog/2007/07/scammers_make_friends_with_cha.html

Scammers Play Robin Hood to Test Stolen Credit Cards
http://blog.washingtonpost.com/securityfix/2007/07/odd_charity_donations_could_pr.html?nav=rss_blog

domingo, 8 de julio de 2007

Múltiples vulnerabilidades en productos SAP

Se han descubierto múltiples vulnerabilidades productos SAP. Todos los fallos han sido descubiertos por Mark Litchfield de NGSSoftware, conocido por su cruzada contra la seguridad de Oracle en particular y bases de datos en general.

SAP (Systeme, Anwendungen und Produkte, "Sistemas, Aplicaciones y Productos") es un importante proveedor de aplicaciones de gestión empresarial, sólo superado en capitalización de mercado por Microsoft, IBM y Oracle.

* Se han descubierto dos vulnerabilidades en EnjoySAP que podrían ser aprovechadas por un atacante para comprometer un sistema vulnerable. Un error de límite en el Control ActiveX kweditcontrol.kwedit.1 a la hora de manejar el método PrepareToPostHTML. Un atacante podría aprovechar esto para provocar un desbordamiento de pila enviando una cadena excesivamente larga, de más de 1.000 bytes, como argumento del método.

Un error de límite en el Control ActiveX rfcguisink.rfcguisink a la hora de manejar el método LaunchGui. Un atacante podría aprovechar esto para provocar un desbordamiento de heap mediante el envío de una cadena excesivamente larga, de más de 1.700 bytes, como argumento del método.

* Se ha descubierto una vulnerabilidad en SAP Web Application Server que podría ser aprovechada por un atacante para causar una denegación de servicio. Esta vulnerabilidad se debe a un fallo en Internet Communication Manager. Un atacante podría aprovechar esta vulnerabilidad para provocar que el proceso ICM dejase de responder a través de una URL excesivamente larga, de más de 250 bytes.

* Otra de las vulnerabilidades reside en SAP Message Server que podría ser aprovechada por un atacante para comprometer un sistema vulnerable o ejecutar código arbitrario. Esta vulnerabilidad se debe a un error de límite al procesar peticiones HTTP. Un atacante podría aprovechar esta vulnerabilidad para provocar un desbordamiento de heap a través de peticiones GET especialmente manipuladas enviadas a /msgserver/html/group.

* Se ha descubierto una vulnerabilidad en SAP Internet Graphics Service que podría ser aprovechada por un atacante para realizar ataques por cross site scripting. Esa vulnerabilidad se debe a que las entradas pasadas al parámetro params a través de adm:getlogfile no son debidamente comprobadas antes de ser devueltas al usuario.

* Por último, un error en waHTTP.exe de la versión 7.x de SAP DB podría provocar un desbordamiento de memoria intermedia si se envía una petición http especialmente manipulada al puerto TCP por defecto 9999.

Todos los fallos han sido solucionados en la última versión de cada producto.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

High Risk Vulnerability in Internet Communication Manager (DoS)
http://www.ngssoftware.com/advisories/high-risk-vulnerability-in-internet-communication-manager-dos/

Critical Risk Vulnerability in SAP Message Server (Heap Overflow)
http://www.ngssoftware.com/advisories/critical-risk-vulnerability-in-sap-message-server-heap-overflow/

Medium Risk Vulnerability in SAP Internet Graphics Server
http://www.ngssoftware.com/advisories/medium-risk-vulnerability-in-sap-internet-graphics-server/

Critical Risk Vulnerability in SAP DB Web Server (Stack Overflow)
http://www.ngssoftware.com/advisories/critical-risk-vulnerability-in-sap-db-web-server-stack-overflow/

High Risk Vulnerability in EnjoySAP (Stack Overflow)
http://www.ngssoftware.com/advisories/high-risk-vulnerability-in-enjoysap-stack-overflow/

sábado, 7 de julio de 2007

Cross site scripting en Oracle Rapid Install

Se ha descubierto una vulnerabilidad en Oracle Rapid Install que podría ser aprovechada por un atacante para realizar un ataque por cross site scripting.

Oracle Rapid Install se incluye con Oracle Applications 11i y Oracle E-Business Suite 11i. El problema reside en que las entradas pasadas a la url del servidor Oracle Rapid Install no son debidamente comprobadas al ser devueltas al usuario. Un atacante podría aprovechar esto para ejecutar código html o script arbitrario.

A continuación se exponen dos ejemplos de posibles ataques.
http://[host]:8004/pls/MSBEP004/[código].
http://[host]:8004/pls/[código].

No se ha publicado una solución oficial para este problema. Se recomienda filtrar los caracteres potencialmente peligrosos a través de un proxy.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Oracle E-Business Suite Input Validation Hole in Rapid Install Permits Cross-Site Scripting Attacks
http://www.securitytracker.com/alerts/2007/Jul/1018329.html

viernes, 6 de julio de 2007

Microsoft publicará seis boletines de seguridad el próximo martes

En su ciclo habitual de actualizaciones los segundos martes de cada mes,Microsoft ha anunciado que en esta ocasión se esperan seis boletines de seguridad, tres dedicados a su sistema operativo Windows, dos a Office y uno a Microsoft .NET Framework.

Si en junio fueron seis boletines de seguridad que salieron a la luz, este mes Microsoft prevé publicar de nuevo seis actualizaciones el día 10 de julio. Al menos uno para Windows alcanza la categoría de crítico. Igual para Office, donde al menos uno resulta crítico. También el de Microsoft .NET Framework.

Adicionalmente, y como viene siendo habitual, Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool. Además, se publicarán cuatro actualizaciones de alta prioridad no relacionadas con la seguridad.

Microsoft Office sigue presentándose como un vector de ataque potencial muy utilizado. En los últimos meses, el número de vulnerabilidades encontradas en la suite ofimática suele estar a la altura de los fallos corregidos en el sistema operativo. Incluso en enero de 2007 llegaron a publicarse tres parches para Office y sólo uno para Windows.

Hace solo un par de años, no resultaba tan habitual encontrar parches específicos para Office suministrados a través de Windows Update junto con las actualizaciones para el sistema operativo. Desde que los documentos Office se posicionaron como un vector de ataque muy usado en la industria del malware, el número de problemas encontrados y corregidos se ha disparado, en detrimento quizás de las vulnerabilidades aprovechables de forma remota en el sistema.

Por último, existen varios problemas en Visual Studio y Microsoft Help Workshop conocidos desde finales de enero que no han sido solucionados y parece que tampoco lo serán en esta ocasión. No se sabe si entre las actualizaciones anunciadas, se publicará parche para el módulo ActiveX de Office 2003 que permitía ejecución de código y que fue descubierto en junio.

Hispasec Sistemas publicará puntualmente a través de este boletín información detallada sobre los nuevos parches.


Sergio de los Santos
ssantos@hispasec.com


Más información:

July 2007 Bulletin Release Advance Notification
http://www.microsoft.com/technet/security/bulletin/ms07-jul.mspx

jueves, 5 de julio de 2007

MessageLabs presenta su informe mensual sobre el correo electrónico

MessageLabs ha publicado un informe en el que asegura que los ataques por email dirigidos a responsables de gerencia de empresa han aumentado considerablemente desde el año pasado. También destaca el spam por PDF, que irrumpe salvajemente en los buzones.

En su Intelligence Report de junio de 2007, MessageLabs destaca a grandes rasgos los titulares siguientes:

* El spam supone el 72.4% del correo en junio (aunque hubo momentos peores a principios de 2005).

* Es posible encontrar malware (virus, según ellos) en una media de uno de cada 127 correos. La tendencia es a la baja, teniendo en cuenta que a finales de 2005, uno de cada 20 correos contenía virus. Esto se debe principalmente al aumento de infecciones por web.

* Uno de cada 123.6 correos suponía un ataque phishing en junio. Una cifra muy superior a la de finales de 2005. Es posible que el envío de phishing haya "usurpado" el nicho copado por el envío de virus de infección masiva en aquel momento.

Estas estadísticas confirman que el phishing "tradicional" sigue todavía muy activo en los buzones de los usuarios, casi en la misma proporción que el malware, que de alguna forma "le ha ofrecido el hueco" del correo mientras los virus se "trasladan" a servidores web. El phishing tradicional (el que consiste en el envío de enlaces en correos que simulan una entidad bancaria), aunque mucho menos "efectivo" para el atacante que los troyanos bancarios, parece que sigue dando buenos resultados y es muy utilizado.

El estudio de MessageLabs analiza además algunas nuevas tendencias en el correo observadas en el último mes. Introducir imágenes distorsionadas dentro de adjuntos en formato PDF, es la última moda entre spammers. Se ha detectado una verdadera avalancha de basura de este tipo en las últimas semanas. En principio, no parece que esos correos intenten aprovechar vulnerabilidades en Adobe Reader (el lector de PDF estándar "de facto" para Windows). Si así fuese, el hecho de abrir un adjunto de este tipo con un lector vulnerable (pues los usuarios no suelen actualizarlo tan a menudo como el sistema operativo) podría causar un gran problema.

Otra tendencia curiosa es la cada vez más utilizada técnica del ataque específico a grandes cargos de las compañías. Solo el día 26 de junio, MessageLabs detectó más de 500 ataques dirigidos específicamente a personal de gerencia de empresas, perfectamente detallados con nombre, cargo y datos en general que lo hacían parecer legítimo. El correo consistía en un archivo en formato DOC con un ejecutable incrustado que no era más que un troyano. Ya se habló en estas líneas de esta nueva fórmula para conseguir infectar sistemas "valiosos" dentro de una compañía, pertenecientes a un alto cargo. A finales de abril, SecureWorks trazó la actividad de un malware distribuido de esta forma hasta llegar al servidor (comprometido) donde se alojaban datos robados de un ataque similar. Estimaron que existían unas 1.400 víctimas. Se trataba de un ataque poco difundido pero con un porcentaje de "éxito" mucho mayor que los habituales que se envían de forma indiscriminada. Los nombres de usuarios y sus compañías habían sido cuidadosamente recopilados por los atacantes antes del envío del spam y la posterior infección.

Como curiosidad, también se habla en el informe de ataques dirigidos específicamente (se detallaban nombres, apellidos y otros datos en el cuerpo del correo) a familiares y personas relacionadas en general con los altos cargos de estas empresas, en un intento quizás, de infectar además los equipos en casa y no sólo los de la oficina.

Por último, el informe habla de que para atacar a algunas empresas específicas, se ha "duplicado" un conocido correo en cadena pidiendo ayuda en la búsqueda de la pequeña Madeleine McCann. En esta mutación, se añadía un PPT especialmente manipulado que permitía al atacante descargar malware en el sistema víctima.


Sergio de los Santos
ssantos@hispasec.com


Más información:

MessageLabs Intelligence: June 2007 and Q2 in Review
“From ‘Charging at the Walls’ to ‘Target Acquired’”
http://www.messagelabs.com/download.get?filename=MessageLabs%20Intelligence%20-%20Jun%20Q2%20Report%20-%20FINAL.pdf

04/06/2007 Un elaborado intento de infección por email engaña a 1.400
directivos
http://www.hispasec.com/unaaldia/3145/elaborado-intento-infeccion-por-email-engana

26/06/2007 Se populariza el spam en formato PD
http://www.hispasec.com/unaaldia/3167

miércoles, 4 de julio de 2007

Salto de restricciones de seguridad a través de .htacces en PHP 4.x y 5.x

Se ha descubierto una vulnerabilidad en PHP que podría ser aprovechada por un atacante para eludir ciertas restricciones de seguridad.

El problema se debe a la posibilidad de establecer directivas PHP a través del archivo de configuración .htaccess de Apache. Un atacante podría eludir ciertas restricciones de seguridad, por ejemplo, la establecidas a través de open_basedir y safe_mode.

Esta vulnerabilidad afecta a las versiones 5.2.3 y anteriores y 4.4.7 y anteriores. En la versión 5.x además es posible la ejecución de código. Para aumentar la gravedad existe exploit público.

No se ha publicado una solución oficial para este problema.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

PHP 5.2.3 PHP 4.4.7, htaccess safemode and open_basedir Bypass
http://securityreason.com/achievement_securityalert/45

martes, 3 de julio de 2007

Actualización de Wireshark soluciona varios problemas de seguridad

Se han descubierto varias vulnerabilidades en Wireshark que podrían ser aprovechadas por un atacante para causar una denegación de servicio y potencialmente ejecutar código arbitrario. Los fallos están solucionados en la prerelease 2 de la versión 0.99.6 de Wireshark.

Wireshark (todavía muy conocido por su nombre anterior Ethereal) es una aplicación de auditoría orientada al análisis de tráfico en redes. Su popularidad es muy elevada, puesto que está disponible para múltiples plataformas, soporta una gran cantidad de protocolos, es de fácil manejo y gratuita.

Los problemas (entre otros) que soluciona esta nueva versión son:

* Un desbordamiento de buffer en el disector iSeries.

* Un fallo en los disectores DCP, ETSI, SSL y MMS que podrían ser aprovechados por un atacante para causar bucles infinitos y provocar una denegación de servicio.

* Un desbordamiento de buffer en el disector DHCP/BOOTP.

* Fallos de denegación de servicio con respuestas HTTP "partidas".

Estas vulnerabilidades han sido confirmadas para las versiones anteriores a la 0.99.6.

Se puede actualizar a la última versión prerelease 2, disponible para su descarga desde:

http://www.wireshark.org/download/prerelease/wireshark-setup-0.99.6pre2.exe

La versión estable será publicada a mediados de julio.

Si no es posible actualizar a esta nueva versión, se pueden deshabilitar los disectores afectados como contramedida, aunque se perderá funcionalidad. En el menú "analyze", "enabled protocols", desactivar "HTTP", "DCP (ETSI)", "SSL", "BOOTP/DHCP", y "MMS" y guardar la configuración.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Multiple problems in Wireshark (formerly Ethereal)
http://www.wireshark.org/security/wnpa-sec-2007-02.html

lunes, 2 de julio de 2007

Nuevos contenidos en CriptoRed (junio de 2007)

Breve resumen de las novedades producidas durante el mes de junio de 2007 en CriptoRed, la Red Temática Iberoamericana de Criptografía y Seguridad de la Información.

1. DOCUMENTOS NUEVOS PARA DESCARGA EN CRIPTORED (por orden alfabético)

* Experiencias en Fraudes Informáticos
http://www.criptored.upm.es/guiateoria/gt_m241d.htm

* La Seguridad en Internet para los Menores
http://www.criptored.upm.es/guiateoria/gt_m531c.htm

2. DOCUMENTOS NUEVOS PARA DESCARGA DESDE OTROS SERVIDORES

* Informe RESCATA de Alerta Virus de mayo 2007 (INTECO - España)
http://alerta-antivirus.red.es/documentos/rescata/Informe_mensual_200705.pdf

* Presentaciones Conferencias FIST Mayo 2007
http://www.fistconference.org/archivos.php

* Presentaciones del Workshop on Practical Aspects of Cryptography Universidad de Oviedo mayo 2007
1) Hermite's constant and lattice algorithms
http://orion.ciencias.uniovi.es/cripto/talks/PNguyen-Talk-Oviedo-2007.pdf
2) Authentication via passwords
http://orion.ciencias.uniovi.es/cripto/talks/MAbdalla-Talk-Oviedo-2007.pdf
3) The Enemy at home: Malicious insiders in Key Exchange protocols
http://orion.ciencias.uniovi.es/cripto/talks/MIGVasco-Talk-Oviedo-2007.ppt
4) Applications of Combinatorics and Linear Algebra to Unconditionally Secure Cryptographic Protocols
http://orion.ciencias.uniovi.es/cripto/talks/CPadro-Talk-Oviedo-2007.pdf
5) Consejos para no sufrir fraudes informáticos
http://orion.ciencias.uniovi.es/cripto/talks/JRilo-Seguridad-Oviedo-2007.pdf

3. CONGRESOS Y SEMINARIOS POR ORDEN CRONOLOGICO DE CELEBRACION

* Julio 10 al 11 de 2007: 2nd ESFORS Workshop, European Security Forum for Web Services, Software and Systems (Maribor - Eslovenia)
http://www.esfors.org/ESFORS_2ndWS_Announcement.pdf

* Julio 11 al 13 de 2007: Conference on RFID Security 07 en Universidad de Málaga (Málaga - España)
http://rfidsec07.etsit.uma.es/

* Agosto 31 de 2007: 2007 International Workshop on Computational Forensics (Manchester - Gran Bretaña)
http://www.nislab.no/events/iwcf_2007

* Septiembre 11 al 14 de 2007: II Simposio sobre Seguridad Informática en CEDI 2007 (Zaragoza - España)
http://www.congresocedi.es/2007/si_descripcion.html

* Septiembre 17 al 19 de 2007: 2nd International Conference on Ambient Intelligence Developments AmI.d 2007 (Riviera Francesa - Francia)
http://www.amidconference.org/

* Septiembre 21 al 23 de 2007: 21st International Conference on Systems for Automation of Engineering and Research (Varna - Bulgaria)
http://www.criptored.upm.es/descarga/Call_for_Paper-IT-2007.zip

* Octubre 3 al 5 de 2007: 2nd International Workshop on Critical Information Infrastructures Security CRITIS '07 (Málaga - España)
http://critis07.lcc.uma.es/

* Octubre 9 al 12 de 2007: 10th Information Security Conference ISC 2007 (Valparaíso - Chile)
http://www.isc07.cl/

* Octubre 16 al 19 de 2007: 7th International Symposium on Communications and Information Technologies (Sydney - Australia)
http://www.elec.uow.edu.au/ISCIT2007/

* Octubre 24 al 26 de 2007: I Congreso Internacional de Informática y Telecomunicaciones CIIT '07 (San Juan de Pasto - Colombia)
http://www.umariana.edu.co/ciit07/

* Noviembre 5 al 9 de 2007: 18th International Workshop on Combinatorial Algorithms IWOCA2007 (Newcastle - Australia)
http://www.eng.newcastle.edu.au/~iwoca2007

* Noviembre 6 al 9 de 2007: V Collaborative Electronic Commerce Technology and Research CollECTeR 2007 (Córdoba - Argentina)
http://www.collecter.org.ar/

* Noviembre 21 al 23 de 2007: Primeras Jornadas Científicas sobre RFID (Ciudad Real - España)
http://mami.uclm.es/JornadasRFID07/

* Noviembre 26 al 28 de 2007: IV Congreso Iberoamericano de Seguridad Informática CIBSI 2007 (Mar del Plata - Argentina)
http://www.cibsi2007.org/

* Enero 22 al 25 de 2008: Australasian Information Security Conference AISC 2008 (Wollongong - Australia)
http://www.eng.newcastle.edu.au/~aisc2008/

* Junio 25 al 27 de 2008: Sexto Congreso Collaborative Electronic Commerce Technology and Research (Madrid - España)
http://www.collecter.euitt.upm.es/

CONGRESOS ANUNCIADOS EN LA IACR:
International Association for Cryptologic Research IACR Calendar of Events in Cryptology:
http://www.iacr.org/events/

4. CURSOS DE POSTGRADO, ESPECIALIDAD Y FORMACIÓN

Puedes encontrar los enlaces en:
http://www.criptored.upm.es/paginas/eventos.htm#Cursos

5. NOTICIAS SELECCIONADAS DEL MES DE JUNIO DE 2007 (ordenado por fecha)
Ampliar las noticias:
http://www.criptored.upm.es/paginas/historico2007.htm#jun07

* Call For Papers Symposium Cryptology and Information Security en ICCMSE 2007 (Grecia)
http://www.iccmse.org/Sessions_Minisymposia.htm

* Call For Papers Australasian Information Security Conference AISC 2008 (Australia)
http://www.eng.newcastle.edu.au/~aisc2008/

* Disponible el Informe Rescata de Alerta-Antivirus correspondiente al Mes de Abril de 2007 (España)
http://alerta-antivirus.red.es/documentos/rescata/Informe_mensual_200705.pdf

* Call For Participation para 2nd ESFORS Workshop, European Security Forum (Eslovenia)
http://www.esfors.org/ESFORS_2ndWS_Announcement.pdf

* CriptoRed Colaborador Apartado Ámbito Universitario en Alerta-Antivirus (España)
http://alerta-antivirus.red.es/acercade/ver_pag.html?tema=A&articulo=10&pagina=2

* CFP 2nd International Workshop on Critical Information Infrastructures Security CRITIS'07 (España)
http://critis07.lcc.uma.es/

* Alta Oficial en la Red del Instituto Universitario Autónomo (Uruguay)
http://www.criptored.upm.es/paginas/instituciones.htm#uruguay

* CFP Primeras Jornadas Científicas sobre RFID en la Universidad Castilla - La Mancha (España)
http://mami.uclm.es/JornadasRFID07/

* Alta de la Universidad ICESI en la Red Temática (Colombia)
http://www.criptored.upm.es/paginas/instituciones.htm#colombia

* Tercer y Último Call For Papers para el IV Congreso Iberoamericano de Seguridad Informática
Mar del Plata, Argentina, del 26 al 28 de noviembre de 2007 (se envíará la primera semana de julio)
http://www.cibsi2007.org/

6. OTROS DATOS DE INTERES EN LA RED

* Número actual de miembros en la red: 647
(183 universidades; 234 empresas)
http://www.criptored.upm.es/paginas/particulares.htm

* Estadísticas: 58.656 visitas, con 108.557 páginas solicitadas y 33,05 GigaBytes servidos en junio de 2007
Las estadísticas del mes (AWStats) se muestran en páginas estáticas actualizadas cada día a las 00:05 horas.
http://www.criptored.upm.es/estadisticas/awstats.www.criptored.upm.es.html


Jorge Ramió Aguirre
Coordinador de CriptoRed


Más información:

junio de 2007
http://www.criptored.upm.es/paginas/historico2007.htm#jun07

domingo, 1 de julio de 2007

Actualización de múltiples paquetes para productos SuSE Linux

SuSE ha publicado varias actualizaciones que solventan varios problemas de seguridad.

Los problemas corregidos son:

* Posibilidad de realizar ataques de cross site scripting a través de squirrelmail.

* Errores en Blackdown JDK/JRE a la hora de decodificar imágenes.

* Denegación de servicio a través del reproductor flash gnash.

* Denegación de servicio a través de libpng. Esta vulnerabilidad se debe a un error en el manejo de crc corruptos en imágenes png en escala de grises. Un atacante podría aprovechar esto para, engañando a un usuario para que abriese un archivo png especialmente manipulado, provocar que la aplicación que use libefix dejase de responder.

* Leak de memoria a través de la función PyLocale_strxfrm de Python.

* Denegación de servicio a través de pulseaudio.

* Denegación de servicio a través de libgd a la hora de procesar imágenes debidamente manipuladas.

* Posibilidad de realizar ataques de cross site scripting a través de OTRS.

* Denegación de servicio a través de net-snmp cuando se recibe un paquete con un único byte.

Se recomienda actualizar a través de las herramientas automáticas YoU (Yast Online Update).


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

SUSE Security Summary Report SUSE-SR:2007:013
http://lists.opensuse.org/opensuse-security-announce/2007-Jun/msg00006.html