miércoles, 31 de octubre de 2007

Cross-site scripting a través de navigateTree.do en IBM WebSphere 6.x

Se ha descubierto una vulnerabilidad en IBM WebSphere que podría ser aprovechada por un atacante para realizar ataques por cross site scripting.

Esta vulnerabilidad se debe a un error en la comprobación de los parámetros keyField, nameField, valueField, y frameReturn en uddigui/navigateTree.do. Un atacante podría aprovechar esto para ejecutar código html y script arbitrario en el contexto del navegador a través de una página web especialmente manipulada.

IBM ha anunciado que esta vulnerabilidad será solventada en la actualización WebSphere Application Server 6.1.0 fix pack 13 (6.1.0.13).


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

PK50245: Validation needed for parameters that are passed to the navigatetree.do page in the uddi user console
http://www-1.ibm.com/support/docview.wss?uid=swg1PK50245

martes, 30 de octubre de 2007

Ejecución de código arbitrario en IBM Lotus Notes 7.x y 8.x

Se ha descubierto un problema de seguridad en IBM Lotus Notes que podría ser aprovechado por un atacante para ejecutar código arbitrario.

Esta vulnerabilidad se debe a un error de desbordamiento de buffer a la hora de procesar correos electrónicos en html. Cuando un usuario recibe un correo electrónico en html, el código html se convierte a un formato similar a rtf. Cuando los mensajes son reenviados o copiados al portapapeles, se convierten de nuevo al formato del correo utilizando Cstrcpy. Un atacante podría aprovechar esto para ejecutar código arbitrario enviando correos electrónicos especialmente manipulados.

El problema afecta a las versiones Lotus Notes 6.5.1, 6.5.3, 7.0.1 y 7.0.2, y ha sido solventado en las versiones 7.0.3 y 8.0 disponibles para su descarga desde:
http://www-306.ibm.com/software/lotus/support/upgradecentral/index.html


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

IBM Lotus Notes Client TagAttributeListCopy Buffer Overflow Vulnerability
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=604

Lotus Notes buffer overflow vulnerability with HTML message
http://www-1.ibm.com/support/docview.wss?rs=477&uid=swg21272930

lunes, 29 de octubre de 2007

Denegación de servicio a través de SCTP INIT en Sun Solaris 10

Se ha encontrado una vulnerabilidad en Sun Solaris 10 que podría ser explotada por un atacante remoto para causar una denegación de servicio.

La vulnerabilidad está causada por un error no especificado en SCTP INIT. Esto podría ser explotado por un atacante remoto para causar un kernel panic. Para poder explotarlo, se necesita que el socket SCTP esté en estado "listen"

Se recomienda actualizar a las siguientes versiones según plataforma:

Para plataforma SPARC:

Solaris 10 instalar 127716-01 o superior disponible desde:
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-127716-01-1

Para plataforma x86:
Solaris 10 instalar 127717-01 o superior disponible desde:
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-127717-01-1


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Security Vulnerability in Solaris 10 SCTP INIT Processing
http://sunsolve.sun.com/search/document.do?assetkey=1-26-103101-1

domingo, 28 de octubre de 2007

Salto de restricciones a través de objetos COM en PHP 5.x

Se ha encontrado una vulnerabilidad en PHP que podría ser explotada por un atacante local para saltarse ciertas restricciones de seguridad.

La vulnerabilidad está causada por una imposición incorrecta de restricciones de acceso en PHP cuando se manejan objetos COM. Esto podría ser explotado por un atacante local para saltarse ciertas restricciones de seguridad (como por ejemplo la directiva safe_mode) invocando directamente los métodos COM.

La vulnerabilidad está confirmada para la versión 5.2.4 de PHP y puede afectar a otras versiones.

Se recomienda dar permiso para ejecutar código PHP sólo a los usuarios confiables.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

PHP 5.x COM functions safe_mode and disable_function bypass
http://milw0rm.com/exploits/4553

sábado, 27 de octubre de 2007

Ejecución de código a través de IMAP en IBM Lotus Domino

Se ha descubierto un problema de seguridad en IBM Lotus Domino (versiones 6.x, 7.x y 8.x que podría ser aprovechado por un atacante para ejecutar código arbitrario.

Esta vulnerabilidad se debe a un error de desbordamiento de buffer en el servicio IMAP. Un atacante podría aprovechar esto para provocar un desbordamiento de buffer y ejecutar código arbitrario si un usuario se suscribiese a un buzón de correo con un nombre especialmente manipulado (de nombre muy largo).

Esta vulnerabilidad ha sido solventada en las versiones Lotus Domino 6.5.6 Fix Pack 2, 7.0.3 y 8.0 disponibles para su descarga desde:
http://www-306.ibm.com/software/lotus/support/upgradecentral/index.html


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

IBM Lotus Domino IMAP Buffer Overflow Vulnerability
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=605

Lotus Domino IMAP buffer overflow vulnerability
http://www-1.ibm.com/support/docview.wss?rs=477&uid=swg21270623

viernes, 26 de octubre de 2007

Múltiples vulnerabilidades en productos RealPlayer, RealOne y HelixPlayer

Se han encontrado múltiples vulnerabilidades en RealPlayer, RealOne y HelixPlayer que podrían ser explotadas por un atacante remoto para comprometer un sistema vulnerable.

Las vulnerabilidades están causadas por errores de límite al procesar archivos de diversos formatos: mp3, rm, SMIL, swf, ram y pls. Esto podría ser explotado por un atacante remoto para causar desbordamientos de buffer por medio de archivos especialmente manipulados.

Una o varias vulnerabilidades están confirmadas para las versiones y productos:
RealPlayer 10.x
RealOne Player v2
RealOne Player v1
RealPlayer 8
RealPlayer Enterprise
Mac RealPlayer 10.x
Mac RealOne Player
Linux RealPlayer 10.x
Helix Player 10.x

Se recomienda actualizar a las últimas versiones de cada producto, disponibles desde:
http://service.real.com/realplayer/security/10252007_player/en/


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

RealNetworks, Inc. Releases Update to Address Security Vulnerabilities
http://service.real.com/realplayer/security/10252007_player/en/

jueves, 25 de octubre de 2007

Archivos PDF aprovechan un fallo en Adobe Reader para infectar sistemas

Una vulnerabilidad en Adobe Reader (compartida en realidad con Microsoft Windows) está siendo aprovechada para ejecutar código con sólo abrir un archivo en PDF. Si bien se conoce esta vulnerabilidad desde hace algunas semanas, no ha sido hasta el día 22 de octubre que se han observado correos intentando explotar el fallo descargando e instalando malware alojado en (sorpresa, sorpresa) la Russian Bussines Network.

En junio se popularizó el spam a través de archivos PDF. Incrustaban una imagen apenas legible en archivos en este formato (en el que confían los usuarios) y los spammers se saltaron así todos los filtros hasta que éstos consiguieron adaptarse y contener la avalancha. Entonces avisábamos de que, al menos, este spam no intentaba aprovechar ninguna vulnerabilidad en el lector más popular Adobe Reader y que si el correo era abierto sólo se perdería el tiempo. Hasta ahora... pues se ha descubierto que se están enviando archivos PDF que si son abiertos en un Windows, aprovechan una vulnerabilidad en Adobe Reader y son capaces de descargar y ejecutar código.

El problema en sí se debe a un fallo de validación de entrada en el manejo de URIs y URLs. Direcciones (URIs) de protocolos como mailto:, nntp:, snews:, telnet:, news:... pueden ser modificadas para lanzar cualquier programa del sistema en vez del cliente de correo, por ejemplo. En la práctica, si un usuario de Windows abre un PDF especialmente manipulado, éste preparará a través de la consola una descarga por FTP del malware y lo ejecutará de forma transparente.

Para reproducir el problema, Internet Explorer 7 debe estar instalado en el sistema. Sólo funciona sobre Windows XP y 2003, no sobre Vista. Adobe Acrobat Reader es uno de los muchos programas salpicados por una vulnerabilidad original de Windows. Microsoft por su parte, ya reconoce el fallo y se supone publicará una actualización que atajará el problema de raíz.

El archivo detectado es un PDF que, al abrirlo con Adobe Reader, descarga un pequeño archivo de 30k por FTP de forma automática y lo ejecuta. El malware descargado es detectado hoy por un 68.75% de nuestros motores en VirusTotal.com, aunque el ejecutable puede ser reemplazado o modificado en cualquier momento. Lo interesante es que la dirección IP desde donde lo descarga lleva casi tres días activa, impunemente en pie y conocida por todos (se ve a simple vista incrustada en los archivos PDF con los que intentan infectar). Esta dirección IP (81.95.146.xyz ) pertenece a la RBN, Russian Bussines Network y quizás sea esta la razón por la que se mantiene online. Aunque para los atacantes, tampoco sería mayor problema que desapareciera. El exploit es sencillo, público y sólo habría que modificar la dirección IP y la ruta del archivo para comenzar otra oleada de spam con archivos PDF infectados y un nuevo malware para descargar.

Adobe ha lanzado un parche que subsana la vulnerabilidad para las versiones 8.x de Adobe Reader y Adobe Acrobat. Los enlaces se encuentra en la sección de más información. No existe aún parche para la rama 7.x. En cualquier caso la recomendación es clara: ignorar archivos PDF no solicitados o usar alternativas para abrirlos en el caso de que sea posible: Gsview para Windows, puede resultar una alternativa válida, pues no parece vulnerable. No así Foxit Reader, que sí que sufre también este fallo aunque necesita de interacción por parte del usuario. Con Adobe la ejecución sería automática.


Sergio de los Santos
ssantos@hispasec.com


Más información:

17/10/2007 ¿Es la Russian Business Network el centro de operaciones
mundial del malware?
http://www.hispasec.com/unaaldia/3280

21/09/2007 Posible ejecución de código arbitrario a través de archivos
PDF en Adobe Acrobat Reader
http://www.hispasec.com/unaaldia/3254

08/10/2007 La vulnerabilidad de manejo de direcciones también salpica a
Adobe Acrobat Reader
http://www.hispasec.com/unaaldia/3271

Se populariza el spam en formato PDF
http://www.hispasec.com/unaaldia/316726/06/2007

Actualizaciones:
http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows
http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows

miércoles, 24 de octubre de 2007

Actualización de kernel para Red Hat Enterprise Linux 5

Red Hat ha publicado una actualización del kernel que solventa varias vulnerabilidades.

Los errores corregidos son:

* Una vulnerabilidad está causada por un fallo en un parche anterior que podría ser explotada por un atacante remoto para provocar una denegación de servicio en los sistemas con plataforma AMD64 o Intel 64.

* Una vulnerabilidad está causada por un error en el manejo de las señales de la muerte de procesos. Podría ser explotada por un atacante local para mandar señales arbitrarias a los procesos-suid ejecutados por el usuario.

* Se ha encontrado un fallo en Distributed Lock Manager (DLM) en el cluster manager. Esto podría permitir a un atacante remoto causar una denegación de servicio si se conecta al puerto DLM.

* Se ha encontrado un fallo en el driver SCSI aacraid que podría permitir a un usuario local hacer llamadas ioctl al driver. Llamadas que debieran estar restringidas para el usuario.

* Se ha encontrado un fallo en el manejo de prio_tree en el soporte hugetlb que podría ser aprovechado por un atacante local para causar una denegación de servicio.

* Se ha encontrado un fallo en el driver eHCA para las arquitecturas powerPC que podría ser aprovechado por un atacante local para acceder a 60k de direcciones físicas que podría contener información sensible.

* Se ha encontrado un fallo en el soporte ptrace que permitiría a un usuario local poner un puntero a NULL y causar una denegación de servicio.

* Se ha encontrado un fallo en el driver usblcd que podría ser explotado por un atacante local para causar una denegación de servicio escribiendo datos en el nodo del dispositivo.

* Se ha encontrado un último error en la implementación del generador de números aleatorios que podría ser explotado por un atacante local para causar una denegación de servicio o escalar privilegios.

Se recomienda actualizar a través de las herramientas automáticas up2date.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Important: kernel security update
http://rhn.redhat.com/errata/RHSA-2007-0940.html

martes, 23 de octubre de 2007

La epidemia del "Storm Worm", algunas cifras

El "virus" Storm se ha posicionado desde enero como uno de los más pertinaces que se recuerdan desde la "época romántica". Si bien comenzó como una pequeña variante del virus Small, y aprovechó las inundaciones de enero en Europa para picar la curiosidad de sus víctimas, ha evolucionado mucho desde entonces, manejando unas cifras sorprendentes.

Hace tiempo que no se recordaba una epidemia tan duradera. Si bien no se percibe igual que en los tiempos del Klez, Code Red, Nimda o MyDoom, los niveles de infección pueden ser parecidos. Y no se percibe igual porque ya no es sólo que el Storm Worm mute con nuevas versiones, sino que se ha convertido en un complejo sistema multi-modular que se sirve de cientos de servidores comprometidos o no, una capacidad de mutación endiablada, y una modularidad que permite que sus funcionalidades cambien continua y radicalmente. Por tanto Storm Worm no se podría clasificar como un troyano sino como un complejo sistema perfectamente orquestado, cambiante y eficaz. Muy al estilo malware 2.0.

Muchos lo llaman Storm, otros Peacomm o Nuwar. Es difícil seguirle el juego cuando alguno de sus componentes han mutado más de 30 veces en un día durante meses. Una de sus capacidades (además de la del envío de correo basura, muy visible en los buzones) es la de recopilar sistemas zombis para control remoto (a través de HTTP, una técnica que deja atrás el IRC como protocolo de control). En los medios se ha hablado de millones de máquinas infectadas, y de una potencia equivalente que sacaría los colores a los superodenadores más caros del mundo.

Nunca lo sabremos de forma exacta. Hay que tener clara la diferencia entre infecciones totales y las concurrentes, teniendo presente la volatilidad de muchos sistemas infectados. Sin duda el número de infectados "históricos" es de millones, pero el número que compone la red zombi en un momento dado quizás no llegue a los 200.000 sistemas. Sin embargo podemos elucubrar cifras según algunos datos recopilados desde distintas fuentes. Symantec habla de que en agosto, observaron una operación de envío de spam motivada por el troyano que abarcaba 4.375 direcciones IP únicas en 24 horas. La mitad enviaba basura y la otra actuaba como "soporte", alojando malware, plantillas del spam, actuando como SMTP "relayers"... más tarde, en septiembre se observaron 6.000 en el mismo periodo de tiempo, y sólo un 25% coincidían.

IronPort Systems, una compañía especializada en antispam, contabilizó a principios de octubre el número de correos basura que contenían direcciones IP que se sabían pertenecientes a la red zombi. Unos 280.000 sistemas infectados enviaron 2.700 millones de spam que "promocionaban" esas direcciones. Sin ser de los días más ajetreados para el Storm Worm, fue responsable del 4% de la basura total mundial enviada ese día.

En septiembre, Microsoft incluyó la firma de un componente de Nuwar (como lo ha bautizado) en su "Malicious Software Removal Tool". En 15 días eliminó el troyano de 274.000 máquinas. Por otro lado, Brandon Enright, miembro del grupo de operaciones de red de la universidad de California en San Diego, afirmó en una presentación que llegó a contabilizar 200.000 miembros de la red activos concurrentemente en julio. Se valió de una herramienta que él mismo programó.

Quizás no sean números muy elevados, teniendo en cuenta las afirmaciones que se han dado anteriormente en muchos medios. Sin embargo son muy significativas. Se ha convertido en todo un "éxito" para los atacantes, su persistencia lo demuestra, y si bien no disponen de millones de máquinas en un mismo momento, el número de sistemas sobre el que tengan el control (ya sean 200.000 o 100.000) es más que suficiente para el impacto y los beneficios que obtienen. Con la capacidad de los ordenadores medios de sobremesa hoy día y el ancho de banda disponible en los hogares, parece más que suficiente.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Experts predict Storm Trojan's reign to continue
http://searchsecurity.techtarget.com/originalContent/0,289142,sid14_gci1278241,00.html

Just How Bad Is the Storm Worm?
http://blog.washingtonpost.com/securityfix/2007/10/the_storm_worm_maelstrom_or_te.html

Storm worm rivals world's best supercomputers
http://www.news.com/8301-10784_3-9774071-7.html

22/01/2007 El mediático troyano de la tormenta y las lecciones no aprendidas
http://www.hispasec.com/unaaldia/3012

lunes, 22 de octubre de 2007

Vulnerabilidad en RealPlayer permite ejecución de código

La semana pasada se alertaba de una vulnerabilidad en RealPlayer que era descubierta de la "peor" forma posible: A través de un exploit funcional. El fallo estaba siendo aprovechado para ejecutar código sin que oficialmente se tuviera constancia de su existencia.

El día 18 de octubre se daba la voz de alarma. RealPlayer en todas sus versiones y RealOne Player eran vulnerables a un problema desconocido hasta el momento y del que existía exploit. El código para explotar el fallo también era desconocido hasta el momento. El problema se daba en el control ActiveX del reproductor (ierpplug.dll), por tanto se limitaba a los usuarios de Internet Explorer bajo Windows. Esto permitía comprometer el sistema con sólo visitar con Internet Explorer una página web especialmente manipulada, con permisos de administrador, y sin necesidad de que el reproductor estuviese funcionando en el momento.

RealPlayer sufrió de un problema de denegación de servicio a finales de 2006. Al parecer, los atacantes podrían haber estudiado con más detalle el problema y conseguir no solo hacer que el programa dejase de funcionar, sino ejecutar código. Varias webs comprometidas o construidas expresamente estaban ya aprovechando el fallo para infectar sistemas. No se sabe durante cuánto tiempo han conocido este problema y han explotado sus posibilidades.

El código que aprovechaba de forma automática la vulnerabilidad para ejecutar código ya tiene nombre, que varía según cada casa antivirus, pero la mayoría es capaz de detectarlo y lo han ido añadiendo a sus firmas durante el fin de semana. Como viene siendo habitual en el malware, una vez se conseguía ejecutar código, éste se descargaba otro componente vírico desde un servidor.

De manera ejemplar, RealNetworks, la compañía detrás del popular reproductor, lanzó un parche apenas 24 horas después de darse a conocer la existencia de la grave vulnerabilidad. El enlace se encuentra en la sección de "más información" y actualiza la librería MPAMedia.dll.

Además, como contramedida, se recomienda activar el kill bit del control para evitar que sea llamado por Internet Explorer. Es posible hacerlo guardando este archivo con extensión .reg y ejecutándolo como administrador (se recomienda manipular con cuidado el registro):

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\
ActiveX Compatibility\{FDC7A535-4070-4B92-A0EA-D9994BCC0DC5} ]
"Compatibility Flags"=dword:00000400


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Parche RealPlayer:
http://service.real.com/realplayer/security/191007_player/en/securitydb.rnx

RealPlayer playlist name stack buffer overflow
http://www.kb.cert.org/vuls/id/871673

domingo, 21 de octubre de 2007

Grupo de parches de Octubre para diversos productos Oracle

Oracle ha publicado un conjunto de 51 parches para diversos productos de la firma que solventan una larga lista de vulnerabilidades sobre las que apenas han dado detalles concretos. Las consecuencias son que atacantes locales y remotos pueden provocar denegaciones de servicio, ejecutar código arbitrario, tener acceso de escritura y lectura a datos sensibles, perpetrar ataques de inyección SQL y eludir restricciones de seguridad. Los fallos se dan en varios componentes de los productos.

Los productos afectados son:
Oracle Database 10g Release 2, versiones 10.2.0.2, 10.2.0.3
Oracle Database 10g, versión 10.1.0.5
Oracle Database 9i Release 2, versiones 9.2.0.8, 9.2.0.8DV
Oracle Application Server 10g Release 3 (10.1.3), versiones 10.1.3.0.0, 10.1.3.1.0, 10.1.3.2.0, 10.1.3.3.0
Oracle Application Server 10g Release 2 (10.1.2), versiones 10.1.2.0.1 - 10.1.2.0.2, 10.1.2.1.0, 10.1.2.2.0
Oracle Application Server 10g (9.0.4), versión 9.0.4.3
Oracle Collaboration Suite 10g, versión 10.1.2
Oracle E-Business Suite Release 12, versiones 12.0.0 - 12.0.3
Oracle E-Business Suite Release 11i, versiones 11.5.8 - 11.5.10 CU2
Oracle Enterprise Manager Database Control 10g Release 2, versiones 10.2.0.2, 10.2.0.3
Oracle Enterprise Manager Database Control 10g Release 1, versión 10.1.0.5
Oracle Enterprise Manager Grid Control 10g Release 1, versiones 10.1.0.5, 10.1.0.6
Oracle PeopleSoft Enterprise PeopleTools versiones 8.22, 8.47, 8.48, 8.49
Oracle PeopleSoft Enterprise Human Capital Management versiones 8.9, 9.0 (Absence Management Module)

De las 51 correcciones:

* 28 afectan a Oracle Database, 5 de las cuales no requieren un usuario y contraseña válidos para poder ser aprovechadas. Además se ha publicado una actualización para Oracle Internet Directory que no es instalado por defecto con Oracle database.

* 11 afectan a Oracle Application Server, 7 de las cuales no requieren un usuario y contraseña válidos para poder ser aprovechadas.

* 7 afectan a Oracle Application Server que están incluidas en el código de Oracle Collaboration Suite.

* 8 afectan a Oracle E-Business Suite. Una de ellas no requiere un usuario y contraseña válidos para poder ser aprovechadas. Una de ellas afecta a instalaciones client-only de Oracle E-Business Suite.

* 2 afectan a Oracle Enterprise Manager.

* Uno afecta a Oracle PeopleSoft Enterprise PeopleTools y 1 afecta a PeopleSoft Enterprise Human Capital Management. Ninguna de estas vulnerabilidades puede ser aprovechada remotamente sin autenticación.

Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial:

* Oracle Critical Patch Update - October 2007
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuoct2007.html

* Oracle Critical Patch Update October 2007 Documentation Map
http://metalink.oracle.com/metalink/plsql/ml2_documents.showDocument?p_database_id=NOT&p_id=455285.1


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Oracle Critical Patch Update - October 2007
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuoct2007.html

sábado, 20 de octubre de 2007

Varias vulnerabilidades en Cisco PIX 7.x y ASA 7.x

Se han descubierto varias vulnerabilidades en Cisco PIX y ASA que podrían ser aprovechadas por un atacante para provocar una denegación de servicio.

* Un error al procesar paquetes MGPC en PIX o ASA con la característica de inspección de capa de protocolo habilitada, que podría ser aprovechado por un atacante para provocar una denegación de servicio y que Firewall Services Module se reiniciase a través de paquetes mgpc especialmente manipulados. Esta vulnerabilidad sólo afecta a la aplicación MGCP for gateway (tráfico MGCP en el puerto UDP 2427).

* Un error en el manejo del protocolo TLS (Transport Layer Security) que podría ser aprovechado por un atacante para provocar una denegación de servicio a través de paquetes TLS especialmente manipulados.

Cisco, a través de los canales habituales, ha puesto a disposición de sus clientes soluciones para solventar el problema.

Se aconseja consultar la tabla de versiones vulnerables y contramedidas en:
http://www.cisco.com/warp/public/707/cisco-sa-20071017-asa.shtml


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Cisco Security Advisory: Multiple Vulnerabilities in Cisco PIX and ASA Appliances
http://www.cisco.com/warp/public/707/cisco-sa-20071017-asa.shtml

viernes, 19 de octubre de 2007

Varias vulnerabilidades en Opera 9.x

Se han descubierto dos vulnerabilidades en Opera que podrían ser aprovechadas por un atacante para realizar ataques por cross site scripting y comprometer el sistema.

* Un error al lanzar clientes de correo o lectores de noticias externos que podría ser aprovechado por un atacante para ejecuta comandos arbitrarios. Para ello el usuario tendría que tener configurados los mencionados clientes.

* Un error en el procesamiento de "frames" o marcos que podría ser aprovechado por un atacante para eludir ciertas restricciones de seguridad y ejecutar código html y script arbitrario.

Estas vulnerabilidades afectan a las versiones anteriores a la 9.24.
Se recomienda actualizar a la última versión disponible para su descarga desde:
http://www.opera.com/download/


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Advisory: External news readers and e-mail clients can be used to execute arbitrary code
http://www.opera.com/support/search/view/866/

Advisory: Scripts can overwrite functions on pages from other domains
http://www.opera.com/support/search/view/867/

jueves, 18 de octubre de 2007

Abiertas las inscripciones a DISI 2007

Esta semana se han abierto las inscripciones para el Segundo Día Internacional de la Seguridad de la Información DISI 2007, a celebrarse en Madrid en el Campus Sur de la UPM el lunes 3 de diciembre de 2007.

Puede acceder a la ficha de inscripción desde la página Web de la Cátedra UPM Applus+ de Seguridad y Desarrollo de la Sociedad de la Información en el cuerpo de la noticia de DISI 2007:
http://www.capsdesi.upm.es/

Se recuerda que la inscripción es gratuita, que se solicitará unos días antes del evento la confirmación de asistencia por email y que el aforo del Salón de Grados está limitado a 550 butacas.

Tanto si se accede con Firefox como con Internet Explorer, deberá aceptarse el Certificado Digital presentado por el servidor. Como es conocido, el navegador Internet Explorer presentará un mensaje de advertencia.

El programa de DISI 2007 puede descargarse desde esta dirección:
http://www.capsdesi.upm.es/file.php/1/descargas/Programa_2doCongreso_DISI_2007.pdf


Jorge Ramió
Director de la Cátedra



miércoles, 17 de octubre de 2007

¿Es la Russian Business Network el centro de operaciones mundial del malware?

Brian Krebs publica una serie de interesantes artículos sobre la Russian Business Network (más conocida como la RBN), una compañía que supuestamente proporciona alojamiento e infraestructura web a la creciente industria del malware, convirtiéndose así en una especie de centro de operaciones mundial desde donde se descargan los troyanos y hacia donde viaja la información robada.

La RBN se encuentra en St. Petersburg y proporciona alojamiento web. Su actividad parece estar íntimamente relacionada con la industria del malware, hasta el punto de que muchos han decidido bloquear directamente toda conexión con direcciones pertenecientes a esta red. Y no sólo malware. Se dice que la mitad del phishing mundial está alojado impunemente en alguno de sus servidores.

En los últimos años no es fácil encontrar un incidente criminal a gran escala en la que no aparezcan por algún sitio las siglas RBN (o "TooCoin" o "ValueDot", nombres anteriores con los que ha sido conocida). En 2005 se estaba aprovechando de forma masiva una vulnerabilidad en Internet Explorer para instalar un keylogger. Se demostró que la mayoría de datos robados iban a parar a un servidor de la RBN. Los servidores de la RBN estaban detrás del incidente contra la HostGator en 2006. Aprovechando un fallo en Cpanel, consiguieron tener acceso a cientos de webs de la compañía. En 2007, la empresa de hosting gratuito IPOWER también fue atacada y se instalaron en sus páginas "frames" que de forma transparente redirigían a sitios en la RBN donde se intentaban instalar troyanos. Malware como Gozi, Grab, Metaphisher, Ordergun, Pinch, Rustock, Snatch, Torpig... todos se han servido de los servidores de la RBN para "alojarse" o alojar datos. Los ejemplos son muchos y variados. Mpack la herramienta usada en varios ataques masivos durante 2007, es vendida desde uno de los servidores de la RBN.

Ante tanta evidencia, son muchos los administradores que han decidido bloquear por completo el acceso a los servidores alojados en la RBN. Pero no ha servido de mucho. Han aprendido a enrutar las conexiones a través de otras webs comprometidas en Estados Unidos y Europa de forma que, aunque sea dando un rodeo a través de otras IPs (habitualmente usuarios residenciales troyanizados o webs atacadas), siguen operando de forma normal. Por ejemplo, en el reciente ataque al Banco de la India, al seguir el rastro del malware que se intentaba instalar en los sistemas Windows que visitaban la web, se observó que tras pasar la información a través de varios servidores, finalmente acababa en un servidor de la RBN.

Tras las acusaciones publicadas en el Washinton Post, un tal Tim Jaret que decía pertenecer a la RBN lo negaba todo. Decía que no podía entender por qué se le acusaba basándose en suposiciones. El tal Jaret incluso se queja de que intentó colaborar con el grupo antispam Spamhaus (que tiene continuamente bloqueadas nada menos que más de 2.000 direcciones IP de la RBN clasificadas como origen de correo basura) sin éxito.

En SANS Internet Storm Center tienen una clara opinión al respecto, no van a tirar piedras sobre su tejado. Y es que según Verisign, la RBN cobra hasta 600 dólares mensuales por un alojamiento "a prueba de balas" lo que en este caso significa que no cederá a presiones legales ni será cerrado por muy inapropiado o "infeccioso" que sea su contenido. Aun así, el tal Jaret afirma que la RBN tiene el nivel de "criminalidad" habitual en cualquier proveedor web, y que habitualmente cierra las webs en menos de 24 horas, facilitando el trabajo a los profesionales de la seguridad. Sin embargo, es posible que la única acción de la RBN cuando recibe presiones para cerrar un sitio web, sea aumentar el "alquiler" a los delincuentes que se basan en ella para operar.

Por último, se le pidió al tal Jaret que ofreciera nombres de usuarios legítimos de sus redes, y contestó que razones legales se lo impedían.

La RBN (rusa, cómo la gran escuela creadora del malware 2.0) se ha convertido así en cómplice y centro de operaciones web para la industria del malware, que encuentra un aliado que sabe mantener la boca cerrada y las manos quietas si se le paga lo suficiente. Symantec lo llama "el refugio para todo tipo de actividades ilegales en la Red".

Por si queda alguna duda sobre su intención de permanecer "anónimos", basta con comprobar hacia qué IP apunta su dominio principal rbnnetwork.com


Sergio de los Santos
ssantos@hispasec.com


Más información:

Mapping the Russian Business Network
http://blog.washingtonpost.com/securityfix/2007/10/mapping_the_russian_business_n.html

Taking on the Russian Business Network
http://blog.washingtonpost.com/securityfix/2007/10/mapping_the_russian_business_n.html?nav=rss_blog

The Russian Business Network Responds
http://blog.washingtonpost.com/securityfix/2007/10/russian_business_network_respo.html?nav=rss_blog

01/09/2007 El Banco de la India, foco (involuntario) de infección
http://www.hispasec.com/unaaldia/3235

martes, 16 de octubre de 2007

Vulnerabilidad en la librería FLAC afecta al reproductor Winamp

Se ha identificado una vulnerabilidad en la librería FLAC (Free Lossless Audio Codec) que puede ser aprovechada por atacantes remotos para hacerse con un sistema vulnerable. Afecta a numerosos programas que utilizan la librería para reproducir sonido.

FLAC es un proyecto de código abierto alojado en Sourceforge. Muchas programas lo utilizan para poder reproducir audio en este formato, similar al MP3 pero con distintas cualidades.

Entre ellos se ve afectado Winamp, seguramente el reproductor de archivos multimedia más famoso para plataformas Windows. Entre sus cualidades está el soportar múltiples formatos, ser ligero, aceptar infinidad de plug-ins y la posibilidad de descarga de versiones gratuitas.

La vulnerabilidad está causada por múltiples desbordamientos de enteros en libFLAC, provocados por una reserva insuficiente de la memoria necesaria para alojar datos de un archivo. Esto podría ser explotado por un atacante remoto para ejecutar código arbitrario por medio de un archivo FLAC especialmente manipulado.

Winamp, al soportar este formato, se ve afectado por el problema. Precisamente por el hecho de soportar tantos formatos, el reproductor sufre cada cierto tiempo de un problema de seguridad en alguno de ellos y se convierte en un vector de ataque tan peligroso como cualquier otro. En la mayoría de las ocasiones, sólo necesita de la ejecución de un archivo con la aplicación vulnerable para ser aprovechado. Su popularidad lo convierte en un jugoso objetivo para atacantes.

Se recomienda actualizar a Winamp 5.5 o posterior desde
http://www.winamp.com/player/index.php


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Multiple Vendor FLAC Library Multiple Integer Overflow Vulnerabilities
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=608

lunes, 15 de octubre de 2007

Actualización de OpenSSL soluciona dos problemas de seguridad

OpenSSL ha publicado una actualización que soluciona dos problemas de seguridad. El más grave podría permitir ejecutar código arbitrario.

OpenSSL es un desarrollo "Open Source" que implementa los protocolos SSL y TLS, y que es utilizada por multitud de programas, tanto para implementar dichos protocolos (por ejemplo, HTTPS) como para emplear sus componentes criptográficos individuales (funciones de cifrado y "hash", generadores de claves, generadores pseudoaleatorios, etc).

Andy Polyakov ha descubierto un fallo en la implementación DTLS de OpenSSL que podría permitir comprometer clientes y servidores con esta funcionalidad habilitada. Se piensa que la vulnerabilidad podría llegar a permitir la ejecución de código. DTSL es una variante de TLS (la 'evolución' de SSL) pero basado en datagramas, para proteger por ejemplo tráfico UDP. Sólo los sistemas que utilicen específicamente DTLS pueden verse afectados por este fallo. OpenSSL introdujo esta funcionalidad hace relativamente poco, en su versión 0.9.8. Las versiones vulnerables son la anterior a la 0.9.8f.

Moritz Jodeit ha encontrado también un fallo "off by one" en la función SSL_get_shared_ciphers. No es habitual el uso de esta función fuera de entornos de depuración o pruebas. No se ha concretado el potencial impacto de esta vulnerabilidad. Se ven afectadas las versiones anteriores a la 0.9.8f y anteriores a 0.9.7m. Este fallo es distinto a otro especificado recientemente en la misma función.

Se recomienda actualizar a las últimas versiones desde www.openssl.org. Algunas distribuciones ya han comenzado a distribuir paquetes precompilados que solucionan las vulnerabilidades.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

OpenSSL Security Advisory [12-Oct-2007]
http://www.openssl.org/news/secadv_20071012.txt

domingo, 14 de octubre de 2007

Múltiples vulnerabilidades en CA BrightStor ARCserve Backup

Se han encontrado múltiples vulnerabilidades en CA BrightStor ARCserve Backup que podrían ser explotadas por un atacante remoto para causar una denegación de servicio, escalar privilegios o ejecutar código arbitrario.

* Las primeras vulnerabilidades están causadas por una comprobación de límites insuficiente en múltiples componentes. Podrían dar lugar a desbordamientos de buffer.

* Otra vulnerabilidad se debe a que ciertas funciones están disponibles para usuarios sin autorización. Esto podría ser explotado por un atacante local para escalar privilegios.

* Otras vulnerabilidades están causadas por una corrupción en memoria al procesar argumentos de procedimiento RPC en múltiples servicios. Ésta vulnerabilidad podría ser explotada por un atacante remoto para causar una denegación de servicio o ejecutar código arbitrario.

Se ha publicado una prueba de concepto.

Las vulnerabilidades están confirmadas para los siguientes productos:
BrightStor ARCserve Backup r11.5
BrightStor ARCserve Backup r11.1
BrightStor ARCserve Backup r11 para Windows
BrightStor Enterprise Backup r10.5
BrightStor ARCserve Backup v9.01
CA Server Protection Suite r2
CA Business Protection Suite r2
CA Business Protection Suite para Microsoft Small Business Server Standard Edition r2
CA Business Protection Suite para Microsoft Small Business Server Premium Edition r2

CA ha publicado los siguientes parches para las diferentes versiones afectadas:
BrightStor ARCserve Backup r11.5 - QO91094:
http://supportconnect.ca.com/sc/redir.jsp?reqPage=search&searchID=QO91094
BrightStor ARCserve Backup r11.1, - QO91097
http://supportconnect.ca.com/sc/redir.jsp?reqPage=search&searchID=QO91097
BrightStor ARCserve Backup r11.0 - Actualizar a 11.1 y aplicar los últimos parches.
BrightStor Enterprise Backup r10.5 - Actualizar a 11.5 y aplicar los últimos parches.
BrightStor ARCserve Backup v9.01 - QO91098
http://supportconnect.ca.com/sc/redir.jsp?reqPage=search&searchID=QO91098
CA Protection Suites r2 - QO91094
http://supportconnect.ca.com/sc/redir.jsp?reqPage=search&searchID=QO91094


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

BrightStor ARCserve Backup Security Notice
http://supportconnectw.ca.com/public/storage/infodocs/basb-secnotice.asp

sábado, 13 de octubre de 2007

Denegación de servicio a través de Line Printer Daemon en Cisco IOS

Se ha descubierto una vulnerabilidad en Cisco IOS que podría ser aprovechada por un atacante para provocar una denegación de servicio.

Esta vulnerabilidad se debe a un error de comprobación de la longitud del nombre de host del router en Line Printer Daemon antes de copiar dicho nombre a una zona fija de buffer de memoria. Un atacante podría aprovechar esto para provocar un desbordamiento de pila y hacer que el router se reiniciase y potencialmente ejecutar código arbitrario.

Line Printer Daemon no está habilitado por defecto en los routers Cisco. Esta vulnerabilidad ha sido solventada en las versiones 12.2(18)SXF11, 12.4(16a), 12.4(2)T6 y posteriores.

Cisco, a través de los canales habituales, ha puesto a disposición de sus clientes software para solucionar el problema.

Se aconseja consultar la tabla de versiones vulnerables y contramedidas en:

http://tools.cisco.com/Support/BugToolKit/search/getBugDetails.do?method=fetchBugDetails&bugId=CSCsj86725


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Cisco Security Response: Cisco IOS Line Printer Daemon (LPD) Protocol Stack Overflow
http://www.cisco.com/warp/public/707/cisco-sr-20071010-lpd.shtml

viernes, 12 de octubre de 2007

Múltiples vulnerabilidades en DB2JDS de IBM DB2 Universal Database 8.1 y 8.2

Se han encontrado tres vulnerabilidades en DB2 Universal Database 8.1 y 8.2 que podrían ser explotadas por un atacante remoto para causar una denegación de servicio o ejecutar código arbitrario.

Las vulnerabilidades descubiertas son:

* Hay un error en el servicio DB2JDS que escucha en el puerto TCP 6789. Algunos paquetes especialmente modificados podrían no ser procesados de forma adecuada en la llamada interna a sprintf(), lo que provoca un desbordamiento de buffer. Esto podría ser explotado por un atacante remoto para ejecutar código arbitrario usando un paquete especialmente modificado.

* Otra vulnerabilidad está causada por un desbordamiento resultante de un parámetro LANG inválido. Esto podría ser explotado por un atacante remoto para
causar una denegación de servicio.

* Por último, un desbordamiento de MemTree provocado por el envío de un paquete de más de 32768 bytes. Esto podría ser explotado por un atacante remoto para causar una denegación de servicio.

Se recomienda aplicar la siguientes actualizaciones según versión.

Actualización DB2 UDB Versión 8.1 FixPak 15 (también conocida como Versión 8.2 FixPak 8):

* AIX:
32 bit DB2 UDB para AIX 4:
http://www.ibm.com/software/data/db2/udb/support/downloadv8_aix433.html
32 & 64 bit DB2 UDB para AIX 5L:
http://www.ibm.com/software/data/db2/udb/support/downloadv8_aix5.html
64 bit DB2 UDB para HP-UX 11i en HP Integrity Itanium-based Systems (IA64):
http://www.ibm.com/software/data/db2/udb/support/downloadv8_hpuxv11iv2ia64.html

* Linux:
32 bit DB2 UDB para Linux (2.6 kernel, 32 bit ):
http://www.ibm.com/software/data/db2/udb/support/downloadv8_linux2632bitintel.html
31 bit DB2 UDB para Linux en S/390® systems:
http://www.ibm.com/software/data/db2/udb/support/downloadv8_linuxs390z31bit.html
32 bit DB2 UDB para Linux en 32-bit Intel® y AMD systems (x86, 2.4 kernel):
http://www.ibm.com/software/data/db2/udb/support/downloadv8_linuxx8624kernel.html
64 bit DB2 UDB para Linux en Itanium-based systems (IA64):
http://www.ibm.com/software/data/db2/udb/support/downloadv8_linux64bitintel.html
64 bit DB2 UDB para Linux en zSeries® systems:
http://www.ibm.com/software/data/db2/udb/support/downloadv8_linuxs390z64bit.html
64 bit DB2 UDB para Linux (2.6 kernel) en AMD64 y Intel EM64T:
http://www.ibm.com/software/data/db2/udb/support/downloadv8_linuxamd2664bit.html
32 y 64 bit DB2 UDB para Linux en AMD64 y Intel EM64T systems:
http://www.ibm.com/software/data/db2/udb/support/downloadv8_linuxamd64bit.html
32 y 64-bit DB2 UDB para Linux en POWER™ (iSeries™ y pSeries):
http://www.ibm.com/software/data/db2/udb/support/downloadv8_linuxppc3264bit.html

* Solaris:
32 y 64-bit DB2 UDB para Solaris en SPARC systems:
http://www.ibm.com/software/data/db2/udb/support/downloadv8_solaris3264bit.html
64-bit DB2 Products para Solaris Operating Systems en x86-64 systems:
http://www.ibm.com/software/data/db2/udb/support/downloadv8_solarisamd64bit.html

* Windows:
32 bit DB2 UDB para Windows en 32-bit Intel y AMD systems:
http://www.ibm.com/software/data/db2/udb/support/downloadv8_windows32bit.html
64 bit DB2 UDB para Windows en Itanium-based systems (IA64):
http://www.ibm.com/software/data/db2/udb/support/downloadv8_windows64bit.html
64 bit DB2 UDB para Windows en 64 bit Extended systems (AMD 64 y Intel EM 64T):
http://www.ibm.com/software/data/db2/udb/support/downloadv8_windows64bitamd.html

* iSeries:
iSeries (DB2 Version 8 Warehouse Manager):
http://www.ibm.com/software/data/db2/udb/support/downloadv8_wm.html


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

DB2 UDB Version 8.1 FixPak 15 (also known as Version 8.2 FixPak 8)
http://www-1.ibm.com/support/docview.wss?rs=0&uid=swg24016650

IBM DB2 DB2JDS Multiple Vulnerabilities
http://www.zerodayinitiative.com/advisories/ZDI-07-056.html

jueves, 11 de octubre de 2007

Primer informe anual sobre phishing elaborado por PhishTank

PhishTank, en su primer aniversario, ha lanzado un informe que abarca un año con más de 300.000 casos registrados. Phishtank es una comunidad que ofrece uno de los mayores repositorios de direcciones sospechosas de realizar ataques phishing, donde cualquiera puede informar y colaborar referenciando enlaces potencialmente fraudulentos.

PhishTank es un referente en cuestión de phishing y su informe abarca su primer año de vida desde octubre de 2006. El sistema, además de recopilar direcciones, permite a los usuarios "votar" si el enlace suministrado por otros usuarios supone en realidad un caso de phishing o no. Esto sirve para evitar falsos positivos. Aun así se han equivocado al votar 8,760 casos, lo que supone sobre un 3% de error.

Las marcas más falsificadas, según el informe, son:

1. PayPal con 31.719 casos verificados.
2. eBay, Inc. con 31.718 casos verificados
3. Barclays Bank con PLC 6.515 casos verificados
4. Bank of America Corporation con 5.727 casos verificados
5. Fifth Third Bank con 4.191 casos verificados
6. JPMorgan Chase and Co. con 1.981 casos verificados
7. Wells Fargo con 1.643 casos verificados
8. Volksbanken Raiffeisenbanken con 1.341 casos verificados
9. Branch Banking and Trust Company con 824 casos verificados
10. Regions Bank con 774 casos verificados

La lista en el informe general numera 59 marcas. Hay que tener en cuenta que estos representan solo casos verificados, pero que existen otras muchas marcas (bancos, principalmente) muy atacadas cuyo número de "verificaciones" es menor, de ahí que no aparezcan en la lista. De hecho, de los 300.000 casos, 70,000 no han sido verificados y han afectado a toda clase de organizaciones incluso con insistentes campañas. Son muy pocas las instituciones en el mundo que se han librado de sufrir, al menos una vez, un ataque de este tipo. Lógicamente, marcas muy reconocibles para internautas de cualquier país (como eBay o PayPal) son muy corroboradas (votadas) por los usuarios, independientemente de que sean además las más atacadas.

El informe también permite conocer qué proveedores norteamericanos son los que más casos alojan:

1. SBC con 53.666 casos.
2. Comcast con 28.016 casos.
3. Road Runner con 25.925 casos.
4. Charter con 12.544 casos.
5. Internap Network Services con 10.332 casos.

Otros datos curiosos, son el número de casos que ha podido alojar una misma dirección IP:

* 221.143.234.20 con 23.366 casos.
* 85.105.190.151 con 18.821 casos.
* 200.120.67.245 con 12.931 casos.

Esto supone que un 18% de todos los casos verificados estaban alojados sólo en esas tres direcciones.

Con respecto a países, los dominios US (Estados Unidos de América, y KR (Corea) ganan por goleada con un 30% y 15% de los casos alojados en estos dominios, mientras que España tiene un 0.81% en la vigésima posición.

Como conclusión, anuncian que cada dos minutos, se lanza un nuevo ataque de phishing.


Sergio de los Santos
ssantos@hispasec.com


Más información:

PhishTank Annual Report: U.S. telecoms hosting phishes
http://www.phishtank.com/blog/2007/10/09/phishtank-annual-report/

miércoles, 10 de octubre de 2007

Actualización acumulativa para Microsoft Internet Explorer

Dentro del conjunto de boletines de octubre publicado ayer por Microsoft y del que ya efectuamos un resumen, se cuenta el anuncio (en el boletín MS07-057) de una actualización acumulativa para Internet Explorer, que además solventa un total de tres nuevas vulnerabilidades descubiertas en las versiones 5.01, 6 y 7 del navegador.

Los problemas resueltos son:

* Un problema de falsificación que podría permitir a un atacante mostrar contenido falsificado en el navegador. La barra de direcciones y otras partes del sistema podrían estar ya cerradas tras pasar por la web de un atacante, pero se podría mostrar el contenido de la página web del atacante.

* Un fallo en la forma en la que Internet Explorer maneja bajo ciertas circunstancias un error no contemplado. Esto podría permitir a un atacante ejecutar código arbitrario a través de una página web especialmente manipulada si esta es visitada por el sistema víctima. Si esto se realiza con privilegios de administrador, el atacante podría tomar completo control del sistema.

* Otro problema de falsificación que también podría permitir a un atacante mostrar contenido falsificado en el navegador. La barra de direcciones y otras partes del sistema podrían estar ya cerradas tras pasar por la web de un atacante, pero se podría mostrar el contenido de la página web maliciosa.

Actualice los sistemas afectados mediante Windows Update o descargando los parches según versión desde las siguientes direcciones:

* Microsoft Windows 2000 Service Pack 4:
Internet Explorer 5:
http://www.microsoft.com/downloads/details.aspx?FamilyId=95827F3F-A984-4E34-A949-D16A0614121A&displaylang=es
Internet Explorer 6:
http://www.microsoft.com/downloads/details.aspx?FamilyId=DF3BA596-7C5B-4151-9884-6957AA884AAB&displaylang=es

Internet Explorer 6:
* Windows XP Service Pack 2:
http://www.microsoft.com/downloads/details.aspx?FamilyId=513A8320-6D36-4FC9-A38A-867192B55B53&displaylang=es
* Windows XP Professional x64 Edition y Windows XP Professional x64
Edition Service Pack 2:
http://www.microsoft.com/downloads/details.aspx?FamilyId=AE8A26D8-1910-4B8C-8A73-6E2FA6B5B29F&displaylang=es
* Windows Server 2003 Service Pack 1 y Windows Server 2003 Service
Pack 2:
http://www.microsoft.com/downloads/details.aspx?FamilyId=4AEFAA38-8757-4E6E-8924-57CABD1C2FC3&displaylang=es
* Windows Server 2003 x64 Edition y Windows Server 2003 x64 Edition
Service Pack 2:
http://www.microsoft.com/downloads/details.aspx?FamilyId=88ABA9DD-653B-4CDF-A513-CCA32A7D7E41&displaylang=es
* Windows Server 2003 con SP1 para Itanium y Windows Server 2003 con
SP2 para Itanium:
http://www.microsoft.com/downloads/details.aspx?FamilyId=309A8F10-C7EA-4961-A969-092B0C4D7BBC&displaylang=es

Internet Explorer 7:
* Windows XP Service Pack 2:
http://www.microsoft.com/downloads/details.aspx?FamilyId=309A8F10-C7EA-4961-A969-092B0C4D7BBC&displaylang=es
* Windows XP Professional x64 Edition y Windows XP Professional x64
Edition Service Pack 2:
http://www.microsoft.com/downloads/details.aspx?FamilyId=4CA0AC93-BF51-40FE-A1BA-CB3E0A36D8B5&displaylang=es
* Windows Server 2003 Service Pack 1 y Windows Server 2003 Service
Pack 2:
http://www.microsoft.com/downloads/details.aspx?FamilyId=0A31C451-32F4-4551-AE45-D600F8B3B11B&displaylang=es
* Windows Server 2003 x64 Edition y Windows Server 2003 x64 Edition
Service Pack 2:
http://www.microsoft.com/downloads/details.aspx?FamilyId=C1915633-D181-4CA1-A4F0-7CA0F865AA72&displaylang=es
* Windows Server 2003 con SP1 para Itanium y Windows Server 2003 con
SP2 para Itanium:
http://www.microsoft.com/downloads/details.aspx?FamilyId=093A2250-3BE3-494F-80E0-89CA7217030F&displaylang=es
* Windows Vista:
http://www.microsoft.com/downloads/details.aspx?FamilyId=86392E8D-098C-427F-A233-699CDB9375AE&displaylang=es
* Windows Vista x64 Edition:
http://www.microsoft.com/downloads/details.aspx?FamilyId=62490E6D-0A21-4A15-90BD-63CA8F8886B6&displaylang=es


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Boletín de seguridad de Microsoft MS07-057 - Crítico
Actualización de seguridad acumulativa para Internet Explorer (939653)
http://www.microsoft.com/spain/technet/security/Bulletin/ms07-057.mspx

martes, 9 de octubre de 2007

Boletines de seguridad de Microsoft en octubre

Tal y como adelantamos, este semana Microsoft ha publicado seis (en principio se anunciaron siete) boletines de seguridad (MS07-055 al MS07-060) dentro de su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft cuatro de los boletines presentan un nivel de gravedad "crítico", mientras que los dos restantes se catalogan como "importantes".

Los catalogados por Microsoft como críticos:

* MS07-055: Resuelve una vulnerabilidad en Microsoft Kodak Image Viewer que puede permitir a un atacante ejecutar código arbitrario en Windows 2000 o sistemas actualizados desde éste.

* MS07-056: Se trata de una actualización acumulativa de seguridad para Outlook Express y Windows Mail, que además resuelve una vulnerabilidad debida a un manejo incorrecto de respuestas NNTP y que podría permitir a un atacante ejecutar código arbitrario.

* MS07-057: Actualización acumulativa para Microsoft Internet Explorer que además soluciona tres nuevas vulnerabilidades que podrían permitir la ejecución remota de código arbitrario. Afecta a Internet Explorer 5.01, 6 y 7.

* MS07-060: Existe un fallo en la forma en la que Word maneja archivos especialmente manipulados que podrían provocar una corrupción de memoria. Si este fallo es aprovechado, el atacante podría conseguir ejecutar código en el sistema con los permisos del usuario víctima. Afecta a Microsoft Office 2000, 2002, XP y Microsoft Office V. X for Mac.

Los catalogados por Microsoft como importantes:

* MS07-058: Una actualización para Remote Procedure Call (RPC) que solventa un fallo en las conexiones con NTLM a la hora de autenticar las peticiones RPC, que podría ser aprovechada por un atacante para provocar una denegación de servicio. Afecta a Microsoft Windows Vista, Windows 2000 Server, Windows Server 2003 y Windows XP.

* MS07-059: Actualización para Microsoft Windows SharePoint Services 3.0 y Microsoft Office SharePoint Server 2007 que solventa una vulnerabilidad que podría ser aprovechada por un atacante para obtener una escalada de privilegios en el sitio de SharePoint y para ejecutar scripts abritrarios.

Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible.


Antonio Ropero
antonior@hispasec.com


Más información:

Microsoft Security Bulletin MS07-055
Vulnerability in Kodak Image Viewer Could Allow Remote Code Execution (923810)
http://www.microsoft.com/technet/security/bulletin/ms07-055.mspx

Microsoft Security Bulletin MS07-056
Security Update for Outlook Express and Windows Mail (941202)
http://www.microsoft.com/technet/security/bulletin/ms07-056.mspx

Microsoft Security Bulletin MS07-057
Cumulative Security Update for Internet Explorer (939653)
http://www.microsoft.com/technet/security/bulletin/ms07-057.mspx

Microsoft Security Bulletin MS07-058
Vulnerability in RPC Could Allow Denial of Service (933729)
http://www.microsoft.com/technet/security/bulletin/ms07-058.mspx

Bulletin Identifier Microsoft Security Bulletin MS07-059
Vulnerability in Windows SharePoint Services 3.0 and Office SharePoint Server 2007 Could Result in Elevation of Privilege Within the SharePoint Site (942017)
http://www.microsoft.com/technet/security/bulletin/ms07-059.mspx

Microsoft Security Bulletin MS07-060
Vulnerability in Microsoft Word Could Allow Remote Code Execution (942695)
http://www.microsoft.com/technet/security/bulletin/ms07-060.mspx

lunes, 8 de octubre de 2007

La vulnerabilidad de manejo de direcciones también salpica a Adobe Acrobat Reader

A mediados de julio se alertó de una vulnerabilidad en principio "compartida" entre Microsoft Windows (en concreto Internet Explorer 7) y Firefox que podía ser aprovechada por atacantes para ejecutar código arbitrario en el sistema. El problema se creía compartido entre Microsoft Windows y la interacción con otros navegadores. Ahora se sabe que la vulnerabilidad es más compleja, y que salpica a programas tan populares como Adobe Acrobat Reader e incluso mIRC.

El problema en sí se debe a un fallo de validación de entrada en el manejo de URIs y URLs. Direcciones (URIs) de protocolos como mailto:, nntp:, snews:, telnet:, news:... pueden ser modificadas para lanzar cualquier programa del sistema en vez del cliente de correo, por ejemplo. Desde hace poco se sabe que incluso el protocolo http puede ser modificado para que, al visitar una dirección manipulada, se ejecute código. En la práctica, si un usuario de Windows, visita un enlace (en un PDF, o a través de la ventana de conversación de Skype, entre otros) especialmente manipulado que contenga el carácter "%" y termine con extensiones ejecutables como .bat y .cmd, un atacante podría lanzar código arbitrario.

Para reproducir el problema, Internet Explorer 7 debe estar instalado en el sistema. Sólo funciona sobre Windows XP y 2003, no sobre Vista. Con el paso de las semanas, se ha ido demostrando que aunque se lance a través de otros programas, el origen del fallo está en Microsoft, pues se ha conseguido reproducir la vulnerabilidad con Firefox (que lo ha solucionado en parte), Miranda, Netscape, Skype (que ha publicado un parche), Adobe Acrobat Reader e incluso el popular cliente de IRC mIRC.

Probablemente se encontrará con el tiempo más software que permita aprovechar la vulnerabilidad. Se ha demostrado que incluso con sólo abrir un documento PDF con Adobe Reader, sin necesidad de pulsar sobre un enlace, es posible ejecutar código alojado en el sistema.

Microsoft mantiene que el fallo no es un problema en sí de su sistema o navegador, y por tanto por ahora no se publicará ninguna actualización. Ante la discusión exigiendo responsabilidades, se critica que este fallo no se da en un XP con IE6 instalado, por lo tanto ha sido introducido con la nueva versión del navegador y debe ser reparado.

Como todo software nuevo, IE7 debe mejorar la seguridad de su predecesor (y lo hace en algunos aspectos), pero también debe incluir mejoras o cambios que son susceptibles de contener nuevas vulnerabilidades o convertirse en vectores de ataque, y el fallo de manejo de direcciones constituye el mejor ejemplo. Aunque en la práctica, desde que apreció IE7, nos hemos encontrado con vulnerabilidades que afectan solo a IE6, sólo a IE7 y a ambos.

Esto ocurre la misma semana en la que Microsoft ha decidido, después de un año, hacer que la versión 7 de su navegador esté disponible libremente para todo el mundo, independientemente de que su Windows demuestre ser "genuino" y original. El número de potenciales usuarios aumenta.

Mientras tanto, se recomienda no seguir enlaces no confiables y esperar a que los distintos programas afectados vayan creando parches o nuevas versiones que impidan que se conviertan en un vector de ataque. Adobe por su parte ha publicado una contramedida que implica cambios en el registro, disponible en el apartado de más información.


Sergio de los Santos
ssantos@hispasec.com


Más información:

31/07/2007 Fallos "compartidos" y actualización de productos Mozilla
http://www.hispasec.com/unaaldia/3202

URI problem also affects Acrobat Reader and Netscape
http://www.heise-security.co.uk/news/96982

Workaround available for vulnerability in versions 8.1 and earlier of
Adobe Reader and Acrobat
http://www.adobe.com/support/security/advisories/apsa07-04.html

domingo, 7 de octubre de 2007

Vulnerabilidades en OpenVMS 8.x

Se han encontrado dos vulnerabilidades en OpenVMS 8.x que podrían ser explotadas por un atacante local para causar una denegación de servicio.

* Una vulnerabilidad está causada por un error de límite en la imagen NET$CSMACD.EXE. Un atacante podría explotar este problema para provocar un desbordamiento de buffer al ejecutar el comando: MCR MCL SHOW CSMA-CD Port * All.

* La segunda vulnerabilidad reside en un error en las imágenes SYS$EI1000.EXE y SYS$EI1000_MON.EXE al tratar paquetes de red. Esto podría ser explotado por un atacante, para provocar que el sistema deje de responder mediante el envío de paquetes de red especialmente modificados de gran tamaño.

Se recomienda actualizar a las siguientes versiones:

Para OpenVMS ALPHA V8.3 aplicar VMS83A_LAN-V0200 disponible desde:
ftp://ftp.itrc.hp.com/openvms_patches/alpha/V8.3/

Para OpenVMS for Integrity Servers V8.3 aplicar VMS83I_LAN-V0600
disponible desde:
ftp://ftp.itrc.hp.com/openvms_patches/i64/V8.3/


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

VMS83I_LAN-V0600, ECO Kit Release
http://mail.openvms.org:8100/Lists/alerts/Message/583.html

VMS83A_LAN-V0200, ECO Kit Release
http://mail.openvms.org:8100/Lists/alerts/Message/582.html

sábado, 6 de octubre de 2007

Múltiples vulnerabilidades en Borland InterBase

Se han encontrado varias vulnerabilidades en Borland InterBase 5.x, 6.x, 7.x y 2007 que podrían ser explotadas por un atacante local para ejecutar código arbitrario.

Las vulnerabilidades se presentan en múltiples funciones y están causadas por un error de validación de datos cuando se copian a un buffer, lo que podría causar su desbordamiento. Esto podría ser explotado por un atacante remoto para comprometer el sistema vulnerable.

Las funciones afectadas por la vulnerabilidad son:
INET_connect, SVC_attach, isc_attach_database, jrd8_attach_database, isc_create_database, jrd8_create_database, PWD_db_aliased, expand_filename2 y open_marker_file (sólo UNIX)

Los problemas están confirmados en las siguientes versiones aunque otras
pueden verse también afectadas:
WI-V8.1.0.257, WI-V8.0.0.123, WI-V7.5.1.80, WI-V7.5.0.129, WI-V7.0.1.1, WI-V6.5.0.28, WI-V6.0.1.6, WI-O6.0.2.0, WI-O6.0.1.6, WI-V6.0.1.0, WI-V6.0.0.627, WI-V5.5.0.742, WI-V5.1.1.680, LI-V8.1.0.253, LI-V8.0.0.54 y LI-V8.0.0.53.

No existe ningún parche disponible por el momento. Se recomienda restringir el acceso al los sistemas vulnerables.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Borland InterBase Multiple Buffer Overflow Vulnerabilities
http://risesecurity.org/advisory/RISE-2007002/

viernes, 5 de octubre de 2007

Microsoft publicará siete boletines de seguridad el próximo martes

En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan siete boletines de seguridad, cinco dedicados a su sistema operativo Windows, uno para Microsoft Office y otro compartido entre ambos.

Si en septiembre fueron cuatro boletines de seguridad que salieron a la luz (aunque en un principio se anunciaron cinco), este mes Microsoft prevé publicar siete actualizaciones el día 9 de octubre. Cuatro de los dedicados a Windows (que parecen afectar a toda la gama de versiones) alcanzan la categoría de crítico, así como el compartido entre Office y Windows. El resto es considerado como "importante".

Adicionalmente, y como viene siendo habitual, Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool. Además, se publicará una actualización de alta prioridad no relacionada con la seguridad.

A principios de septiembre se anunció una vulnerabilidad en Visual Studio, de la que apareció exploit público. Se trataba de una posible ejecución de código a través de ficheros VBP (Visual Basic Project) especialmente manipulados. No fue corregida en septiembre y parece que tampoco lo será en esta ocasión.

No se sabe si la dedicada a Office puede corresponder con el boletín anunciado en septiembre para Sharepoint. El viernes anterior al día de publicación de los boletines del mes pasado se anunció uno dedicado a este componente de Office, que finalmente no vio la luz.

Hispasec Sistemas publicará puntualmente a través de este boletín información detallada sobre los nuevos parches.


Sergio de los Santos
ssantos@hispasec.com



jueves, 4 de octubre de 2007

Múltiples vulnerabilidades en JRE (Java Runtime Environment) de Sun

Sun han publicado actualizaciones para JDK, JRE y SDK debido a que se han encontrado numerosos problemas de seguridad no especificados que afectan a diferentes versiones. Estas herramientas también se engloban dentro del producto Java 2 Platform, Standard Edition

JDK (Java Development Kit) y SDK (Software Development Kit) son productos destinados a los desarrolladores de programas Java. JRE (Java Runtime Environment) es un entorno que permite a las aplicaciones Java ejecutarse en el sistema e interpretar gran cantidad de contenido web.

JRE es además un producto presente en la mayoría de clientes, que lo usan como plugin del navegador, de ahí la importancia de mantener actualizado el sistema. Se han dado bastantes casos de malware que ha intentado aprovechar vulnerabilidades en JRE para ejecutar código arbitrario en el sistema. Sin embargo, el hecho de que existan varias ramas en desarrollo (1.4.x, 5.x, 6.x...) con saltos de versiones y cambios en la nomenclatura, unido al hecho de que pueden convivir varias ramas en un mismo sistema de forma que necesiten actualización por separado, hacen que el mantenimiento de esta máquina virtual resulte confuso para muchos usuarios.

Las vulnerabilidades, de los que no se han dado detalles técnicos, son:

* Cuando los applets o aplicaciones no confiables muestran una ventana, Java Runtime Environment muestra además un mensaje de advertencia. Un defecto en JRE permitiría que un applet o aplicación especialmente manipulada mostrara una ventana con un tamaño mayor que ocultaría la advertencia al usuario.

* Una aplicación Java Web Start o un applet especialmente manipulado permitiría mover o copiar ficheros arbitrarios en el sistema en el que se ejecuten. Para que la vulnerabilidad pueda ser aprovechada, el usuario de la aplicación o applet debe arrastrarlo y soltarlo a otra aplicación que tenga permisos de acceso a los archivos objetivo.

* Un fallo en el tratamiento de applets permitiría realizar conexiones de red a otros servicios o máquinas que no fueran desde donde se descargó el applet. Esto podría ser aprovechado por un atacante para obtener acceso a ciertas vulnerabilidades o recursos de red que normalmente no serían accesibles.

* Se han encontrado varias vulnerabilidades en la interpretación de Javascript de JRE que podrían causar un salto de restricciones de red y podrían ser aprovechadas por un atacante para obtener acceso a ciertas vulnerabilidades o recursos de red que normalmente no serían accesibles.

* Se ha encontrado una vulnerabilidad en Java Runtime Environment (JRE) que permitiría que código Javascript hiciera conexiones de red vía Java APIs a otros servicios o máquinas que no fueran desde donde se descargó el código Javascript.

* Se ha encontrado otra vulnerabilidad en Java Runtime Environment (JRE) que permitiría a un applet, descargado a través de un proxy, realizar conexiones de red a otros servicios o máquinas que no fueran desde donde se descargó el applet.

Estas dos últimas vulnerabilidades no afectan a Internet Explorer.

* Múltiples vulnerabilidades en Java Web Start podrían permitir a una aplicación maliciosa leer archivos locales accesibles desde la aplicación, determinar la localización de la caché de Java Web Start o leer y escribir archivos locales accesibles desde la aplicación.

Los problemas han sido solucionados en las siguientes versiones para
Windows, Solaris, y Linux:

JDK y JRE 6 Update 3 o posterior.
JDK y JRE 5.0 Update 13 o posterior.
SDK y JRE 1.4.2_16 o posterior.

Para Solaris 8 y Windows:
SDK y JRE 1.3.1_21 o posterior.

Disponibles desde:
http://java.sun.com/javase/downloads/index.jsp
http://java.com

JDK 6 Update 3 para Solaris está disponible desde:
* Java SE 6 update 3 (que viene con el parche 125136-04 o posterior)
* Java SE 6 update 3 (que viene con el parche 125137-04 o posterior
(64bit))
* Java SE 6_x86 update 3 (que viene con el parche 125138-04 o posterior)
* Java SE 6_x86 update 3 (que viene con el parche 125139-04 o posterior
(64bit))

JDK y JRE 5.0 Update 13 están disponibles desde:
http://java.sun.com/javase/downloads/index_jdk5.jsp

JDK 5.0 Update 13 para Solaris está disponible desde:
* J2SE 5.0 update 13 (que viene con el parche 118666-14)
* J2SE 5.0 update 13 (que viene con el parche 118667-14 (64bit))
* J2SE 5.0_x86 update 13 (que viene con el parche 118668-14)
* J2SE 5.0_x86 update 13 (que viene con el parche 118669-14 (64bit))

SDK y JRE 1.4.2 están disponibles desde:
http://java.sun.com/j2se/1.4.2/download.html

SDK y JRE 1.3.1 para Solaris 8 están disponibles desde:
http://java.sun.com/j2se/1.3/download.html


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Security Vulnerability in Java Runtime Environment With Applet Caching May Allow Network Access Restrictions to be Circumvented
http://sunsolve.sun.com/search/document.do?assetkey=1-26-103079-1
http://sunsolve.sun.com/search/document.do?assetkey=1-26-103078-1

Multiple Security Vulnerabilities in Java Web Start Relating to Local File Access
http://sunsolve.sun.com/search/document.do?assetkey=1-26-103073-1

An Untrusted Java Web Start Application or Java Applet May Move or Copy Arbitrary Files by Requesting the User to Drag and Drop a File from Application or Applet Window to a Desktop Application
http://sunsolve.sun.com/search/document.do?assetkey=1-26-103072-1

Java Runtime Environment (JRE) May Allow Untrusted Applets or Applications to Display An Oversized Window so that the Warning Banner is Not Visible to User
http://sunsolve.sun.com/search/document.do?assetkey=1-26-103071-1

miércoles, 3 de octubre de 2007

Actualización de múltiples paquetes para productos Suse Linux

Suse Linux ha publicado diversas actualizaciones para múltiples paquetes que solventan varias vulnerabilidades que podrían ser aprovechadas por un atacante para provocar una denegación de servicio, ejecutar código arbitrario o sobrescribir ficheros arbitrarios.
* Una actualización para star que solventa un error que podría ser aprovechado por un atacante para realizar ataques por escalada de directorios.

* Un error en la función saber_name_suffix en cpio que podría ser aprovechado por un atacante para provocar una denegación de servicio. No se ha confirmado la ejecución de código, pero podría ser posible.

* Un fallo en el análisis de imágenes gif en emacs que podría ser aprovechado para provocar una denegación de servicio.

* Una actualización para krb5 que mejora una actualización de seguridad publicada con anterioridad.

* Un error encontrado en tests de regresión a la hora de procesar código de secuencias de número fuera de orden en ciertas implementaciones mppe. Este error sólo afecta a openSUSE 10.2

* Varios fallos en MySQL que podrían ser aprovechados por un atacante para provocar una denegación de servicio desde remoto, hacer consultas a tablas sin autorización y potencialmente obtener una escalada de privilegios.

* Un desbordamiento de buffer en qt3 a la hora de manejar caracteres utf8. Se desconocen las consecuencias de esta vulnerabilidad.

* Un desbordamiento de buffer en balsa (programa de correo GNOME) al leer datos desde un servidor imap que podría ser aprovechado por un atacante para ejecutar código arbitrario con los privilegios del usuario de balsa.

* Una actualización que mejora el manejo de archivos temporales en id3lib al impedir que atacantes locales puedan sobrescribir ficheros a través de ficheros temporales con privilegios de otros usuarios.

Queda pendiente de publicación una actualización para el Kernel que solventaría un error que podría ser aprovechado por un atacante local para provocar una escalada de privilegios en plataformas de 64 bits.

SuSE ha publicado dos contramedidas para esta vulnerabilidad del kernel:
* Deshabilitar el inicio de sesión a usuarios no confiables.
* Aplicar el parche http://lkml.org/lkml/2007/9/21/513.

Se recomienda actualizar a través de las herramientas automáticas YoU (Yast Online Update).


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

SUSE Security Summary Report SUSE-SR:2007:019
http://lists.opensuse.org/opensuse-security-announce/2007-09/msg00003.html

martes, 2 de octubre de 2007

Nuevos contenidos en CriptoRed (septiembre de 2007)

Breve resumen de las novedades producidas durante el mes de septiembre de 2007 en CriptoRed, la Red Temática Iberoamericana de Criptografía y Seguridad de la Información.

1. DOCUMENTOS NUEVOS PARA DESCARGA EN CRIPTORED (por orden alfabético)

* Actualización Archivo Solución Exámenes Asignatura Seguridad Informática EUI-UPM (España)
http://www.criptored.upm.es/paginas/docencia.htm#examenes

2. DOCUMENTOS NUEVOS PARA DESCARGA DESDE OTROS SERVIDORES

* Informe RESCATA de Alerta Virus de julio 2007 (INTECO - España)
http://alerta-antivirus.red.es/documentos/rescata/Informe_mensual_200707.pdf

* Informe RESCATA de Alerta Virus de agosto 2007 (INTECO - España)
http://alerta-antivirus.red.es/documentos/rescata/Informe_mensual_200708.pdf

3. CONGRESOS Y SEMINARIOS POR ORDEN CRONOLOGICO DE CELEBRACION

* Octubre 3 al 5 de 2007: 2nd International Workshop on Critical Information Infrastructures Security CRITIS '07 (Málaga - España)
http://critis07.lcc.uma.es/

* Octubre 3 al 5 de 2007: Segundo Encuentro Internacional de Seguridad Informática (Manizales - Colombia)
http://www.umanizales.edu.co/encuentroseguridad

* Octubre 9 al 12 de 2007: 10th Information Security Conference ISC 2007 (Valparaíso - Chile)
http://www.isc07.cl/

* Octubre 16 al 19 de 2007: 7th International Symposium on Communications and Information Technologies (Sydney - Australia)
http://www.elec.uow.edu.au/ISCIT2007/

* Octubre 24 al 26 de 2007: I Congreso Internacional de Informática y Telecomunicaciones CIIT '07 (San Juan de Pasto - Colombia)
http://www.umariana.edu.co/ciit07/

* Noviembre 5 al 9 de 2007: 18th International Workshop on Combinatorial Algorithms IWOCA2007 (Newcastle - Australia)
http://www.eng.newcastle.edu.au/~iwoca2007

* Noviembre 6 al 9 de 2007: V Collaborative Electronic Commerce Technology and Research CollECTeR 2007 (Córdoba - Argentina)
http://www.collecter.org.ar/

* Noviembre 21 al 23 de 2007: Primeras Jornadas Científicas sobre RFID (Ciudad Real - España)
http://mami.uclm.es/JornadasRFID07/

* Noviembre 25 al 28 de 2007: IV Congreso Iberoamericano de Seguridad Informática CIBSI 2007 (Mar del Plata - Argentina)
http://www.cibsi2007.org/

* Diciembre 3 al 6 de 2007: IASK International Conference E-Activity and Leading Technologies 2007 (Oporto - Portugal)
http://www.iask-web.org/e-alt07/e-alt2007.html

* Enero 22 al 25 de 2008: Australasian Information Security Conference AISC 2008 (Wollongong - Australia)
http://www.eng.newcastle.edu.au/~aisc2008/

* Junio 25 al 27 de 2008: Sexto Congreso Collaborative Electronic Commerce Technology and Research (Madrid - España)
http://www.collecter.euitt.upm.es/

* Septiembre 2 al 5 de 2008: X Reunión Española de Criptología y Seguridad de la Información RECSI 2008 (Salamanca - España)
http://www.usal.es/~xrecsi/

* Septiembre 10 al 12 de 2008: EATIS 2008 Euro American Conference on Telematics and Information Systems (Aracajú - Brasil)
http://eatis.org/eatis2008/

CONGRESOS ANUNCIADOS EN LA IACR:
International Association for Cryptologic Research IACR Calendar of Events in Cryptology:
http://www.iacr.org/events/

4. CURSOS DE POSTGRADO, ESPECIALIDAD Y FORMACIÓN

Puedes encontrar los enlaces en:
http://www.criptored.upm.es/paginas/eventos.htm#Cursos

5. NOTICIAS SELECCIONADAS DEL MES DE SEPTIEMBRE DE 2007 (ordenadas por fecha de publicación)

Ampliar las noticias:
http://www.criptored.upm.es/paginas/historico2007.htm#sep07

* Página Web de la X Reunión Española de Criptología y Seguridad de la Información (España)
http://www.usal.es/xrecsi

* Convocatoria Beca Predoctoral en TI, Criptología y Seguridad de la Información en CSIC (España)
http://www.iec.csic.es/

* Comienzo del Curso de Preparación para la Certificación CISA en la UAB (España)
Archivo: http://www.criptored.upm.es//descarga/CISA_2007_2-UAB_v1.0.zip

* Segundo Encuentro Internacional de Seguridad Informática en la U. Manizales (Colombia)
http://www.umanizales.edu.co/encuentroseguridad

* Programa de la Primera Convención Ibérica en Continuidad del Negocio en Marbella (España)
http://90plan.ovh.net/~storagei/bcciberia/conference-sp.php

* Conferencias FIST el 27 de Septiembre en la EUITT de la UPM (España)
http://www.fistconference.org/madrid.php

* Celebrado Seminario Internacional de Informática y Computación en la UPB de Bucaramanga (Colombia)
http://siic.upbbga.edu.co/

6. OTROS DATOS DE INTERES EN LA RED

* Número actual de miembros en la red: 650
(183 universidades; 236 empresas)
http://www.criptored.upm.es/paginas/particulares.htm

* Estadísticas: 33.687 visitas, con 74.098 páginas solicitadas y 30,68 GigaBytes servidos en septiembre de 2007.
Las estadísticas del mes (AWStats) se muestran en páginas estáticas actualizadas cada día a las 00:05 horas.
http://www.criptored.upm.es/estadisticas/awstats.www.criptored.upm.es.html

* Listado de Trabajos Aceptados en CISI 2007 (Mar del Plata - Argentina)
http://www.cibsi2007.org/pon_trab_acept.html


Jorge Ramió Aguirre
Coordinador de CriptoRed


Más información:

septiembre de 2007
http://www.criptored.upm.es/paginas/historico2007.htm#sep07

lunes, 1 de octubre de 2007

Un fallo en OpenSSL de hace un año podría no estar completamente reparado

Hace ahora justo un año, aparecían las versiones 0.9.7l y 0.9.8d de OpenSSL para paliar cuatro problemas de seguridad. Tavis Ormandy y Will Drewry, de Google se acreditaban como descubridores de un serio problema en la función SSL_get_shared_ciphers que permitía la ejecución de código arbitrario. Se ha descubierto que el problema podría no estar completamente solucionado.

OpenSSL es un desarrollo "Open Source" que implementa los protocolos SSL y TLS, y que es utilizada por multitud de programas, tanto para implementar dichos protocolos (por ejemplo, HTTPS) como para emplear sus componentes criptográficos individuales (funciones de cifrado y "hash", generadores de claves, generadores pseudoaleatorios, etc).

Entre los cuatro errores de seguridad solucionados hace un año, existía un desbordamiento de memoria intermedia en la función SSL_get_shared_ciphers, utilizada por exim y mysql, por ejemplo. Un atacante podría enviar datos especialmente manipulados que harían que la memoria se desbordara, cabiendo la posibilidad de inyección ilimitada y ejecución de código. Moritz Jodeit afirma que el parche aplicado entonces no soluciona por completo el problema.

Al parecer, el investigador ha descubierto que aunque efectivamente se ha eliminado la posibilidad de provocar un desbordamiento de bufer ilimitado, el parche todavía permite un desbordamiento "off by one", que (aunque de forma más compleja) todavía podría permitir la ejecución remota de código si la aplicación utiliza la función vulnerable SSL_get_shared_ciphers.

Moritz Jodeit se puso en contacto con la organización responsable de openSSL en junio, y el desde el día 19 de septiembre existe una solución en el CVS, para la rama OpenSSL_0_9_8-stable, aunque todavía no se ha publicado una nueva versión oficial que solucione el fallo. Algunas distribuciones ya han comenzado a distribuir paquetes precompilados que solucionan la vulnerabilidad.

Las aplicaciones vulnerables son las que utilicen la función SSL_get_shared_ciphers de la librería OpenSSL hasta la versión 0.9.7m y 0.9.8e, incluyendo ambas.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

30/09/2006 Cuatro problemas de seguridad en OpenSSL
http://www.hispasec.com/unaaldia/2898

OpenSSL SSL_get_shared_ciphers() off-by-one buffer overflow
http://www.securityfocus.com/archive/1/480855/30/0/threaded