viernes, 29 de febrero de 2008

La respuesta automática 'fuera de la oficina' de los correos, utilizada para envío de spam

McAfee dice haber detectado una nueva técnica para el envío de correo basura que, aunque a la larga sea sencilla de atajar y se convierta en una mera anécdota, no deja de ser curiosa. Se valen de los mensajes automáticos de "fuera de la oficina" que utilizan algunos servicios de webmail legítimos, para saltarse algunas características de los filtros que podrían hacer que el correo fuese tachado de spam.

El proceso en detalle es bastante ingenioso. Los spammers se dan de alta en una cuenta de correo (gratuita) que ofrezca la funcionalidad de "auto-responder". El uso "legítimo" de esta funcionalidad, una vez activada, es enviar un email automático a todo el que escriba a esa cuenta, avisando de que el dueño del correo está 'fuera de la oficina' y no podrá leer el mensaje. En esta notificación se suele añadir hasta qué fecha se estará fuera, teléfonos de contacto adicionales... etc. Son muy usados precisamente en las oficinas para indicar las vacaciones o periodos en los que no se revisará el correo.

Por tanto, cada correo enviado a esa cuenta con la funcionalidad activada, generará un correo de vuelta a quien lo envió con información en principio útil. Lo que han hecho los que envían spam es configurar la respuesta de 'fuera de la oficina' con el contenido basura y bombardear esa misma cuenta con emails con el campo 'desde' (from) falseado con listas de víctimas de spam. Así, será la propia cuenta abierta en un sitio legítimo, la que responda a esos correos que figuran en el campo 'from' con la información basura, convirtiéndose en víctimas del spam a través de una especie de rebote. En resumen, envían el spam a una sola cuenta de la que tienen control y esta se encarga de 'autoresponder' al 'from' falso.

Quien genera el correo realmente es el servidor web legítimo desde una cuenta válida, ahí reside la ventaja real para saltarse los filtros antispam y conseguir así que los correos basura lleguen al máximo número de buzones posible. El servidor usado es quien dice ser, la cuenta es válida, parece una respuesta a un correo previamente enviado... son factores usados habitualmente por los programas antispam para deducir si un correo es basura o no, y esta técnica consigue en buena parte engañarlos.

Uno de los servicios de webmail más populares, ha sufrido recientemente un ataque masivo para conseguir abrir cuentas de forma automática (sin necesidad de interacción humana), quizás relacionado con esta nueva técnica de envío de spam. Hace poco se anunciaba que los CAPCHAS de Google Mail habían sido 'rotos' de forma que un software era capaz de reconocer los caracteres y crear cuentas de forma automática y rápida, quizás con el fin de usar este tipo de tácticas descritas.

Ambos problemas son muy sencillos de atajar desde el punto de vista técnico, y ya les han dado solución. Lo preocupante es la imaginación que las mafias son capaces de volcar en la búsqueda de nuevas técnicas de envío de basura y evadir los filtros. De no ser así, no podrían mantener los niveles en los que se mueven (más del 90% del correo mundial no es más que basura), ni 'mejorar' sus cifras cada año, como llevan haciendo desde hace mucho, incluso a pesar de las cada vez más sofisticadas técnicas de reconocimiento de spam.


Sergio de los Santos
ssantos@hispasec.com


Más información:

'Out of office' messages turned into spam relays
http://www.techworld.com/security/news/index.cfm?newsID=11544

Google's CAPTCHA busted in recent spammer tactics
http://www.websense.com/securitylabs/blog/blog.php?BlogID=174

jueves, 28 de febrero de 2008

Ejecución de código a través de libc en AIX 5.x y 6.x

IBM ha publicado una actualización para AIX 5.x y 6.x que soluciona un fallo que podría permitir a un atacante ejecutar código arbitrario.

El fallo se debe a un error de off-by-one en la implementación de libc en la función inet_network. También serían vulnerables los programas que usen o llamen a esta función. Una atacante que aprovechase este fallo podría llegar a ejecutar código arbitrario.

IBM ha publicado una solución disponible desde:
ftp://aix.software.ibm.com/aix/efixes/security/libc_ifix.tar


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

AIX 6.1 : Security advisories (2008.02.27)
AIX libc inet_network buffer overflow
http://www.firmotech.com/2008/02/28/aix-61-security-advisories-20080227/

miércoles, 27 de febrero de 2008

Vulnerabilidades en Servidores http Apache afectan a Sun Solaris 8, 9 y 10

Sun ha reconocido dos problemas en el servidor HTTP Apache que podrían permitir a un atacante realizar ataques de cross site scripting o provocar una denegación de servicio:

Los dos problemas anunciados son:

* El primer error se debe a un fallo en el módulo mod_status del servidor HTTP Apache. En sitios donde la página de estado del servidor es públicamente accesible y la opción ExtendedStatus está activada, un atacante puede aprovechar este fallo para realizar un ataque de cross-site scripting.

* La segunda vulnerabilidad se debe a un error en el módulo mod_cache. Un atacante que aprovechara este fallo en sitios donde la cache estuviera activada, podría conseguir que los procesos hijos de Apache dejaran de funcionar. Esto resultaría en una denegación de servicio si se estuviera utilizando un módulo multiproceso basado en threads.

Según versión y plataforma, las actualizaciones están disponibles desde:

Para SPARC:
Solaris 8 instalar 116973-06 o posterior desde:
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-116973-06-1
Solaris 9 instalar 113146-09 o posterior desde:
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-113146-09-1
Solaris 10 instalar 120543-10 o posterior desde:
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-120543-10-1
y 122911-08 o posterior desde:
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-122911-08-1

Para x86:
Solaris 8 instalar 116974-06 o posterior desde:
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-116974-06-1
Solaris 9 instalar 114145-08 o posterior desde:
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-114145-08-1
Solaris 10 instalar 120544-1 o posterior desde:
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-120544-10-1
y 122912-08 o posterior desde:
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-122912-08-1


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Security Vulnerabilities in the Apache 1.3 and 2.0 Web Server Daemon and "mod_status" Module May Lead to Cross Site Scripting (XSS) or Denial of Service (DoS)
http://sunsolve.sun.com/search/document.do?assetkey=1-66-200032-1

martes, 26 de febrero de 2008

Actualización del kernel 2.6.x para Debian Linux 3.x

Debian ha publicado una actualización para el kernel de Debian Linux 3.x que soluciona múltiples problemas de seguridad en la rama 2.6 del kernel.

Las vulnerabilidades corregidas son:

* Denegación de servicio local al montar sistemas de ficheros cramfs, ext2, minix y smbfs.

* Fuga de memoria a través de Bluetooth podría permitir a atacantes obtener información sensible.

* Denegación local de servicio a través del protocolo DECnet.

* Fuga de memoria a través del subsistema PPPOE podría permitir a un atacante local consumir toda la memoria y provocar una denegación de servicio.

* Reducción de entropía de semillas en el cálculo aleatorio.

* Referencia a puntero nulo en plataformas PowerPC.

* Problema de permisos inadecuados en el sistema de ficheros CIFS con CAP_UNIX habilitado.

* Denegación de servicio local a través de hugetlbfs.

* El driver aacraid permitiría a usuarios no privilegiados hacer llamadas restringidas a usuarios administradores.

* Un fallo durante la emulación de llamada de función ia32 podría permitir la elevación de privilegios local.

* El driver pwc para ciertas webcam podría permitir una denegación de servicio.

* Desbordamientos de memoria intermedia en el manejo de isdn ioctl.

* Un atacante local podría tener acceso a los ficheros core que no le pertenecen.

* Referencia a puntero nulo en plataformas PowerPC.

* Denegación de servicio y potencial ejecución de código en el manejo de memoria de zonas mapeadas.

Se recomienda actualizar a través de las herramientas automáticas apt-get.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

DSA-1504-1 kernel-source-2.6.8 -- several vulnerabilities
http://www.debian.org/security/2008/dsa-1504

lunes, 25 de febrero de 2008

Actualización de BIND 8 para Sun Solaris 8 y 9

Sun ha publicado una actualización para BIND 8 que soluciona una vulnerabilidad que podría permitir a un atacante no privilegiado hacer que el demonio named devuelva una dirección incorrecta. Los usuarios podrían ser redirigidos a un servidor incorrecto.

El fallo se debe a una debilidad del algoritmo del sistema a la hora de calcular IDs para las transacciones. Un atacante remoto podría envenenar la caché de un servidor BIND 8 si estudia el tráfico de las transacciones y predecir así el siguiente valor.

Sun ha publicado una actualización para Sun Solaris 10 que solventa el problema. Según plataforma se recomienda actualizar a las siguientes versiones.

Plataforma SPARC:
Sun Solaris 8 instalar 109326-20 o superior desde:
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-109326-20-1
Sun Solaris 9 instalar 112837-14 o superior desde:
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-112837-14-1

Plataforma x86:
Sun Solaris 8 instalar 109327-20 o superior desde:
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-109327-20-1
Sun Solaris 9 instalar 114265-13 o superior desde:
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-114265-13-1


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Security Vulnerability in BIND 8 May Allow Cache Poisoning Attack
http://sunsolve.sun.com/search/document.do?assetkey=1-26-103063-1

Vulnerability Note VU#927905
BIND version 8 generates cryptographically weak DNS query identifiers
http://www.kb.cert.org/vuls/id/927905

domingo, 24 de febrero de 2008

Elevación de privilegios en WebLogic Server y WebLogic Express

BEA ha publicado una actualización para WebLogic Server y WebLogic Express que soluciona un fallo que podría permitir a un atacante elevar privilegios.

Un atacante podría falsificar cierta información en cabeceras de petición que podría permitirle tener acceso a servlets de aplicación que se basan en esa información para su autenticación.

Según versión y plataforma, las actualizaciones recomendadas son:

* WebLogic Server 10.0
Se recomienda actualizar a WebLogic Server y WebLogic Express 10.0
Maintenance Pack 1.

* WebLogic Server 9.2
Se recomienda actualizar aWebLogic Server y WebLogic Express 9.2
Maintenance Pack 2.

* WebLogic Server 9.1
Se recomienda utilizar Smart Update tool para instalar el parche 9.1
para CR318807.

* WebLogic Server 9.0
Instalar 9.0 GA Combo desde support.bea.com con el Bug ID CR239280.
Instalar el parche desde
ftp://anonymous:dev2dev%40bea.com@ftpna.bea.com/pub/releases/security/CR358541_900.jar

* WebLogic Server 8.1
Instalar WebLogic Server y WebLogic Express 8.1 Service Pack 6.
Instalar el parche dese:
ftp://anonymous:dev2dev%40bea.com@ftpna.bea.com/pub/releases/security/CR318807_810sp6.jar

* WebLogic Server 7.0
Instalar WebLogic Server y WebLogic Express 7.0 Service Pack 7
Instalar el parche desde:
ftp://anonymous:dev2dev%40bea.com@ftpna.bea.com/pub/releases/security/CR358544_700sp7.jar

* WebLogic Server 6.1
Instalar WebLogic Server y WebLogic Express 6.1 Service Pack 7.
Instalar el parche desde:
ftp://anonymous:dev2dev%40bea.com@ftpna.bea.com/pub/releases/security/CR358542_610sp7.jar


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Security Advisory (BEA08-191.00)
Minor Subject:Tampering HTML request headers could lead to an elevation of privileges
http://dev2dev.bea.com/pub/advisory/265

sábado, 23 de febrero de 2008

Ejecución remota de código a través de GLib en GNOME

Se ha encontrado una vulnerabilidad en GNOME GLib, que podría ser aprovechada por un atacante remoto para causar una denegación de servicio o ejecutar código arbitrario.

GNOME es un conjunto de paquetes informáticos "open source" que proporcionan un entorno gráfico de alta calidad y abundante infraestructura a nivel de librerías y servicios. Aunque GNOME se emplea fundamentalmente en entorno Linux, se puede utilizar también, por ejemplo, bajo las plataformas Solaris modernas.

El problema está causado por un error de desbordamiento de búfer en PCRE al manejar una clase de caracteres que contenga un número demasiado largo de caracteres, con una codificación mayor que 255 (modo UTF-8). Esto podría ser aprovechado por un atacante remoto para causar que GNOME deje de responder o para comprometer un sistema vulnerable.

Se recomienda actualizar a la versión 2.14.6 de GNOME GLib, disponible
desde:
http://ftp.gnome.org/pub/gnome/sources/glib/2.14/


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

GNOME GLib Security Update Fixes PCRE Buffer Overflow Vulnerability
http://www.frsirt.com/english/advisories/2008/0592/solution

GNOME
http://www.gnome.org/

viernes, 22 de febrero de 2008

Diversas vulnerabilidades en IBM DB2 9.x

Se han encontrado varias vulnerabilidades en IBM DB2 9.x, algunas de impacto desconocido y otras que podrían ser aprovechadas por un atacante local o remoto para causar una denegación de servicio.

Los problemas anunciados por IBM son, entre otros:

* Se ha encontrado un error no durante el procesado de CONNECT/ATTACH
que podría ser aprovechado para causar una denegación de servicio.

* Hay unos errores no especificados en SYSPROC.ADMIN_SP_C, SYSPROC.NNSTAT y Rutinas de administración de ficheros JAR. No se ha suministrado mayor información.

Existen otros problemas corregidos en la actualización que no están directamente relacionados con la seguridad del producto, sino con rendimientos, funcionalidades, etc.

Se recomienda aplicar el fixpack 4a, disponible desde:
http://www-1.ibm.com/support/docview.wss?rs=71&uid=swg21255572


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

DB2 Version 9.1 for Linux, UNIX and Windows APARs by fix pack
http://www-1.ibm.com/support/docview.wss?rs=71&uid=swg21255607

jueves, 21 de febrero de 2008

Ejecución remota de código en IBM Lotus Notes 6.x y 7.x

Se ha encontrado una vulnerabilidad en IBM Lotus Notes que podría ser explotada por un atacante para saltarse restricciones de seguridad o ejecutar código arbitrario.

La vulnerabilidad está causada por un error en el plugin de Java al procesar código JavaScript especialmente manipulado. Esto podría ser aprovechado por un atacante remoto para comprometer un sistema vulnerable si un usuario abre un email especialmente manipulado que contenga un applet de Java malicioso.

La vulnerabilidad sólo afecta si la opción "Enable Java access from JavaScript" está activada en las preferencias de usuario.

Para Lotus Notes 6.x y 7.x se recomienda actualizar a IBM Lotus Notes versión 7.0.2, disponible desde:
http://www.ibm.com/software/lotus/support/upgradecentral/index.html


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

IBM Lotus Notes Java Plugin Sandbox Security Bypass Vulnerability
http://www.frsirt.com/english/advisories/2008/0599/solution

miércoles, 20 de febrero de 2008

Opera 9.26 corrige múltiples vulnerabilidades

Se han encontrado múltiples vulnerabilidades en Opera que podrían ser explotadas por un atacante remoto para saltarse restricciones de seguridad, revelar información sensible o perpetrar ataques de cross-site scripting.

* La primera vulnerabilidad (calificada como moderada en nivel de riesgo) está causada por un error en el manejo de valores de atributos DOM (Document Object Model) cuando se importa XML a un documento. Se podría dar la circunstancia de que los valores se saltaran los filtros de limpieza, lo que podría ser explotado por un atacante remoto para perpetrar ataques de cross-site scripting si los valores son usados como contenido del documento.

* Otra vulnerabilidad (calificada como moderada en nivel de riesgo) está causada por un fallo de diseño al manejar las entradas de archivo en campos de formularios, y podría ser aprovechada por un atacante remoto para engañar a un usuario para que subiera archivos arbitrarios a la red, revelando así información sensible.

* La última vulnerabilidad (calificada como alta en nivel de riesgo) está causada por un fallo en el manejo de comentarios “a medida” (custom comments) contenidos en las propiedades de una imagen. Cuando se muestran las propiedades de la imagen, Opera podría tratar por error los comentarios como un script, lo que podría ser aprovechado por un atacante remoto para ejecutar código JavaScript arbitrario en un contexto de seguridad incorrecto cuando se muestran los comentarios de una imagen especialmente manipulada.

Opera fue informado del segundo de los problemas por parte del equipo de Mozilla, puesto que afectaba también a Firefox. Según eWeek, la vulnerabilidad ha sido objeto de una pequeña controversia entre los desarrolladores de ambos navegadores, puesto que desde Mozilla se hicieron públicos los datos técnicos del fallo antes de que Opera tuviera tiempo de lanzar una actualización para subsanar el error. En cualquier caso, esta vulnerabilidad está emparentada directamente con el problema de la función 'OnKeyDown' que ya sufría Mozilla Firefox desde su versión 2.0.0.7 a principios de 2007.

Las vulnerabilidades están confirmadas para las versiones anteriores a
la 9.26.

Se recomienda actualizar a la versión 9.26 de Opera, disponible desde:
http://www.opera.com/download/


Pablo Molina
pmolina@hispasec.com


Más información:

Advisory: Representation of DOM attribute values could allow cross-site scripting
http://www.opera.com/support/search/view/880/

Advisory: Simulated text inputs can trick users into uploading arbitrary files
http://www.opera.com/support/search/view/877/

Advisory: Image properties can be used to execute scripts
http://www.opera.com/support/search/view/879/

Serious Browser Bugs Spoil Opera Tune
http://www.eweek.com/c/a/Security/Serious-Browser-Bugs-Spoil-Opera-Tune/

martes, 19 de febrero de 2008

Detalles sobre la vulnerabilidad en Firefox descubierta por Hispasec

El pasado día 8 de febrero se publicaba la nueva actualización del popular navegador Firefox. La versión 2.0.0.12 de Firefox corregía (entre otras) una vulnerabilidad descubierta por Hispasec. En ese momento no se dieron detalles sobre el fallo, por petición expresa de algunos desarrolladores de otros navegadores afectados.

El problema afectaba a FireFox 2.0.0.11, Opera 9.50 y otros navegadores. El fallo permite revelar información sensible del usuario por parte de un atacante que crease una página web especialmente manipulada. También, bajo ciertas circunstancias, podría permitir provocar una denegación de servicio.

El problema se basa en un manejo incorrecto de ficheros en formato BMP con paleta de colores parcial. El código vulnerable permite que, al manejar un fichero BMP especialmente manipulado, se filtre información al heap, y estos datos pueden ser enviados a un servidor remoto con ayuda de la etiqueta canvas de HTML y JavaScript.

En realidad, el problema afecta a otros navegadores también, pero el impacto es distinto. Al no soportar completamente el uso de etiquetas canvas, el envío de datos no puede ser llevado a cabo. Sin embargo, el manejo de ficheros BMP sigue siendo erróneo en ellos. Internet Explorer no es vulnerable en ningún sentido. Safari por ejemplo, tiene problemas similares además con el formato GIF.

El problema en concreto se da en el campo biClrUsed de las cabeceras de un fichero BMP. Los navegadores reservan la cantidad justa de memoria en ese campo, o no lo ponen todo a cero a la hora de usarlo.

Con este método se puede conseguir todo tipo de información sensible del navegador: Cookies, la historia, favoritos... Existe prueba de concepto que será publicada más adelante. En el apartado de más información, se proporciona un enlace al Laboratorio donde se ha colgado un vídeo demostrativo.


Sergio de los Santos
ssantos@hispasec.com


Más información:

La versión 2.0.0.12 de Firefox corregía (entre otras) una vulnerabilidad descubierta por Hispasec
http://www.hispasec.com/unaaldia/3394/version-firefox-corrige-entre-otras-una-vuln

Video demostración:
http://blog.hispasec.com/lab/

lunes, 18 de febrero de 2008

Salto de restricciones a través del analizador sintáctico de XML en JRE y JDK 6.x

Se ha encontrado una vulnerabilidad en Sun JRE y JDK que podría ser aprovechada por un atacante para saltarse restricciones de seguridad, permitiéndole el acceso a los recursos URL.

El problema está causado por un defecto en JRE que podría permitir que referencias a entidades externas fueran procesadas, incluso cuando la propiedad "external general entities" está puesta a falso. Esto podría ser aprovechado por un atacante remoto para acceder a recursos URL o para causar una denegación de servicio en el sistema que ejecuta JRE.

Para que la vulnerabilidad pueda ser explotada, se requiere que una aplicación confiable procese datos XML con contenido malicioso. La vulnerabilidad no puede ser explotada a través de applets no confiables o aplicaciones Java Web Start.

Se ha publicado un parche oficial. Según versión y plataforma las actualizaciones se encuentran disponibles desde:

JDK y JRE 6 Update 4 está disponible desde:
http://java.sun.com/javase/downloads/index.jsp

JDK 6 Update 4 para Solaris está disponible en los siguientes parches:
Java SE 6 update 4 (disponible en el parche 125136-05 o superior)
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-125136-05-1
Java SE 6 update 4 (disponible en el parche 125137-05 o superior (64bit))
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-125137-05-1
Java SE 6 x86 update 4 (disponible en el parche 125138-05 o superior)
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-125138-05-1
Java SE 6 x86 update 4 (disponible en el parche 125139-05 o superior (64bit))
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-125139-05-1


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

A Vulnerability in the Java Runtime Environment XML Parsing Code May Allow URL Resources to be Accessed
http://sunsolve.sun.com/search/document.do?assetkey=1-66-231246-1

domingo, 17 de febrero de 2008

Múltiples vulnerabilidades en Cisco Unified IP Phone

Se han encontrado múltiples vulnerabilidades en teléfonos VoIP Cisco Unified IP Phone que podrían ser aprovechadas por un atacante remoto para causar una denegación de servicio o ejecutar código arbitrario.

Las vulnerabilidades anunciadas por Cisco son:

* Los Cisco Unified IP Phones que ejecutan firmware SCCP y SIP podrían contener un desbordamiento de búfer provocado por la forma en la que manejan las respuestas DNS. Esto podría ser aprovechado por un atacante remoto por medio de una respuesta DNS especialmente manipulada para disparar un desbordamiento de búfer pudiendo ejecutar código arbitrario en un teléfono vulnerable.

* Los teléfonos que ejecutan firmware SCCP podrían contener una denegación de servicio. Esto podría ser aprovechado por un atacante remoto por medio de un paquete de petición de echo ICMP demasiado larga para causar que el teléfono se reinicie.

* También existe una denegación de servicio en el servidor HTTP de los Cisco Unified IP Phones que ejecutan firmware SCCP. Esto podría ser aprovechado por un atacante remoto, por medio de una petición HTTP especialmente manipulada enviada al puerto 80, para causar que el teléfono se reinicie. Esto puede evitarse si se deshabilita el servidor HTTP interno.

* Los Cisco Unified IP Phones que ejecutan firmware SCCP podrían contener un desbordamiento de búfer en el servidor SSH interno. Un atacante remoto no autenticado podría aprovechar este problema, por medio de un paquete especialmente manipulado enviado al puerto TCP 22, para provocar que el teléfono se reinicie o para ejecutar código arbitrario. Esto puede evitarse si se deshabilita el servidor SSH.

* Los Cisco Unified IP Phones que ejecutan firmware SIP se ven afectados por un desbordamiento de búfer provocado por la forma en la que manejan los datos codificados como MIME (Multipurpose Internet Mail Extensions). Un atacante remoto podría aprovechar este error a través de un mensaje SIP especialmente manipulado para provocar un desbordamiento de búfer que incluso podría llegar a permitir la ejecución de código arbitrario en un teléfono vulnerable.

* Los teléfonos con firmware SIP se ven afectados por un desbordamiento de búfer provocado por una vulnerabilidad en el servidor interno de telnet. Si telnet está habilitado (viene deshabilitado por defecto), esto podría ser aprovechado por un atacante remoto autenticado y sin privilegios, para provocar un desbordamiento de búfer, por medio de un comando especialmente manipulado, lo que podría darle acceso a un teléfono vulnerable. Esto se puede evitar deshabilitando el servidor telnet interno.

* Por último, los Cisco Unified IP Phones que ejecutan firmware SIP podrían contener un desbordamiento de búfer basado en heap provocado por la forma en la que manejan los mensajes challenge/response de un proxy SIP. Esto podría ser aprovechado por un atacante remoto, que controlara un proxy SIP al que estuviera registrado el teléfono, para conducir ataques de hombre-en-medio. Esto haría posible la ejecución remota de código por medio de un mensaje malicioso de challenge/response enviado al teléfono.

Los siguientes modelos de Cisco Unified IP Phone que ejecutan Skinny Client Control Protocol (SCCP) firmware se ven afectados por una o más vulnerabilidades:
7906G, 7911G, 7935, 7936, 7940, 7940G, 7941G, 7960, 7960G, 7961G,
7970G y 7971G.

Los siguientes modelos de Cisco Unified IP Phone que ejecutan Session Initiation Protocol (SIP) firmware se ven afectados por una o más vulnerabilidades:
7940, 7940G, 7960 y 7960G.

Cisco, a través de los canales habituales, ha puesto a disposición de sus clientes soluciones para solventar el problema.

Se aconseja consultar la tabla de versiones vulnerables y contramedidas en:
http://www.cisco.com/en/US/products/products_security_advisory09186a0080949c7a.shtml


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Cisco Security Advisory: Cisco Unified IP Phone Overflow and Denial of Service Vulnerabilities
http://www.cisco.com/en/US/products/products_security_advisory09186a0080949c7a.shtml

sábado, 16 de febrero de 2008

Actualización acumulativa para Microsoft Internet Explorer

Dentro del conjunto de boletines de seguridad de febrero publicado el pasado martes por Microsoft y del que ya efectuamos un resumen, se cuenta el anuncio (en el boletín MS08-010) de una actualización acumulativa para Internet Explorer; que además solventa un total de cuatro nuevas vulnerabilidades descubiertas en las versiones 5.01, 6 y 7 del navegador.

Las nuevas vulnerabilidades corregidas son:

* Se ha encontrado un problema de seguridad provocado por la forma en la que Internet Explorer interpreta código HTML con ciertas combinaciones de composiciones. Esto podría ser aprovechado por un atacante remoto para ejecutar código arbitrario por medio de una página web especialmente manipulada.

* Existe un problema de seguridad provocado por la forma en la que Internet Explorer trata un método de propiedad. Esto podría ser aprovechado por un atacante remoto para ejecutar código arbitrario por medio de una página web especialmente manipulada.

* Se ha encontrado un problema de seguridad provocado por la forma en la que Internet Explorer maneja la validación de argumentos en el procesado de imágenes. Esto podría ser aprovechado por un atacante remoto para ejecutar código arbitrario por medio de una página web especialmente manipulada.

* Se ha encontrado un problema de seguridad provocado por un componente de Microsoft Fox Pro. Esto podría ser aprovechado por un atacante remoto para ejecutar código arbitrario por medio de una página web especialmente manipulada.

Éste parche de seguridad reemplaza a otro previo (MS07-069) para todas las plataformas y versiones de Internet Explorer.

Actualice los sistemas afectados mediante Windows Update o descargando los parches según versión desde las siguientes direcciones:

* Microsoft Windows 2000 Service Pack 4:

Internet Explorer 5:
http://www.microsoft.com/downloads/details.aspx?FamilyId=1032A039-468B-4C5F-8C1C-5E54C2832E41

Internet Explorer 6:
http://www.microsoft.com/downloads/details.aspx?FamilyId=87E66DCE-5060-4814-8754-829B4E190359B

Internet Explorer 6:

* Windows XP Service Pack 2:
http://www.microsoft.com/downloads/details.aspx?FamilyId=BB2AA3CB-021F-4890-AB20-2A51F8E17554

* Windows XP Professional x64 Edition y Windows XP Professional x64
Edition Service Pack 2:
http://www.microsoft.com/downloads/details.aspx?FamilyId=8989F576-8B30-4866-90EC-929D24F3B409

* Windows Server 2003 Service Pack 1 y Windows Server 2003 Service
Pack 2:
http://www.microsoft.com/downloads/details.aspx?FamilyId=429B7ED1-FE78-459A-B834-D0F3C69CB703

* Windows Server 2003 x64 Edition y Windows Server 2003 x64 Edition
Service Pack 2:
http://www.microsoft.com/downloads/details.aspx?FamilyId=E989E23C-38BB-4FE7-A830-D7BDF7659392

* Windows Server 2003 con SP1 para Itanium y Windows Server 2003 con
SP2 para Itanium:
http://www.microsoft.com/downloads/details.aspx?FamilyId=5A097F7A-B696-48D0-B13F-337C5FD14E24

Internet Explorer 7:

* Windows XP Service Pack 2:
http://www.microsoft.com/downloads/details.aspx?FamilyId=D4AA293A-6332-4C6C-B128-876F516BD030

* Windows XP Professional x64 Edition y Windows XP Professional x64
Edition Service Pack 2:
http://www.microsoft.com/downloads/details.aspx?FamilyId=B72AF1B6-6E23-4005-AEF6-82195B380153

* Windows Server 2003 Service Pack 1 y Windows Server 2003 Service
Pack 2:
http://www.microsoft.com/downloads/details.aspx?FamilyId=B2AA6562-881E-4FD6-BE1B-53426A0FF4A9

* Windows Server 2003 x64 Edition y Windows Server 2003 x64 Edition
Service Pack 2:
http://www.microsoft.com/downloads/details.aspx?FamilyId=4BB99AFC-BE14-4F2E-9570-B7FE09E39131

* Windows Server 2003 con SP1 para Itanium y Windows Server 2003 con
SP2 para Itanium:
http://www.microsoft.com/downloads/details.aspx?FamilyId=6FA80E2C-5E91-4B33-ACD9-33F156660AE7

* Windows Vista:
http://www.microsoft.com/downloads/details.aspx?FamilyId=0DE25B98-F443-4874-A06F-4DAAE14C16B0

* Windows Vista x64 Edition:
http://www.microsoft.com/downloads/details.aspx?FamilyId=C08EBBE7-639B-4EA2-8304-FAB531930ABF


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Boletín de seguridad de Microsoft MS08-010 – Crítico
Actualización de seguridad acumulativa para Internet (944533)
http://www.microsoft.com/spain/technet/security/bulletin/ms08-010.mspx

viernes, 15 de febrero de 2008

Actualización de seguridad para Apple Mac OS X

Apple ha lanzado recientemente una nueva actualización de seguridad para su sistema operativo Mac OS X que solventa múltiples vulnerabilidades que podrían ser aprovechadas por un atacante local o remoto para saltarse restricciones de seguridad, acceder a información sensible, escalar privilegios, provocar denegaciones de servicio o incluso ejecutar código arbitrario en un sistema vulnerable.

Esta es la primera gran actualización del año (con el código 2008-001). Los componentes y software afectados son muchos: Safari, Mail, Samba y Termina entre otros.

A continuación se exponen con brevedad algunas de las vulnerabilidades solucionadas:

* Se ha encontrado un error no especificado en el manejo de las URLs en Safari que podría ser aprovechado por un atacante remoto, por medio de una URL especialmente manipulada, para causar una corrupción de memoria, pudiendo provocar una denegación de servicio o ejecutar código arbitrario.

* Se ha encontrado un error en el manejo de URLs del tipo file:// en Mail. Ésto podría ser aprovechado por un atacante remoto para ejecutar aplicaciones arbitrarias sin advertir al usuario que pincha en la URL.

* Se ha encontrado una vulnerabilidad en Launch Services que podría permitir que una aplicación desinstalada del sistema fuera lanzada por medio de Time Machine.

* Se ha encontrado un error de límites en Samba que podría ser aprovechador por un atacante remoto para comprometer un sistema vulnerable.

* Existe un error en la validación de entradas en Terminal cuando se procesan esquemas URL, lo que podría ser aprovechado para lanzar una aplicación con parámetros arbitrarios desde la línea de comandos. Esto podría permitir la ejecución de código arbitrario cuando un usuario visita una página web especialmente manipulada.

* Existe un error no especificado en NFS al manejar cadenas mbuf que podría ser aprovechado para causar una corrupción de memoria, pudiendo provoca el apagado del sistema o permitir una posible ejecución de código arbitrario.

* Se han encontrado múltiples vulnerabilidades en X11 X Font Server que podrían ser explotadas por un atacante local para escalar privilegios.

* Se ha detectado un error en X11 que podría causar que no se aplicaran ciertos ajustes, tales como "Allow connections from network client”.

* Un fallo en Control Parental podría causar a un revelación de información cuando se realiza una petición para desbloquear un sitio web.

Las actualizaciones a la versión 10.5.2 pueden ser instaladas a través de la funcionalidad de actualización (Software Update) de Mac OS X o, según versión y plataforma, descargándolas directamente desde:

Security Update 2008-001 (PPC):
http://www.apple.com/support/downloads/securityupdate2008001ppc.html

Security Update 2008-001 (Universal):
http://www.apple.com/support/downloads/securityupdate2008001universal.html

Mac OS X 10.5.2 Combo Update:
http://www.apple.com/support/downloads/macosx1052comboupdate.html

Mac OS X Server 10.5.2 Combo Update:
http://www.apple.com/support/downloads/macosxserver1052comboupdate.html


Pablo Molina
pmolina@hispasec.com


Más información:

About the security content of Mac OS X 10.5.2 and Security Update 2008-001
http://docs.info.apple.com/article.html?artnum=307430

jueves, 14 de febrero de 2008

Múltiples vulnerabilidades en ClamAV 0.x

Clam ha lanzado un nueva actualización de su popular antivirus, ClamAV, que subsana varios problemas de seguridad encontrados y que podrían ser aprovechados por un atacante local o remoto para causar una denegación de servicio o ejecutar código arbitrario con los privilegios del proceso afectado.

ClamAV es un motor antivirus de código abierto muy popular en el mundo dnel software libre, empleado con frecuencia en servidores de correo derivados de UNIX a modo de defensa perimetral primaria y que además permite el escáner en busca de virus en paquetes binarios Portables Ejecutables (PE).

* La primera vulnerabilidad está causada por un desbordamiento de búfer basado en heap en la función cli_scanpe() en libclamav/pe.c debido a un chequeo insuficiente de límites al manejar ciertos archivos Portables Ejecutables (PE files).

* La segunda vulnerabilidad está causada por un error en la función unmew11() en libclamav/mew.c al procesar ciertos archivos, lo que podría dar lugar a una corrupción de memoria basada en heap.

Debido a las dos vulnerabilidades, al iterar a través de las secciones contenidas en los archivos PE se extraen varios valores controlados por el creador del archivo. En cada iteración se realizan operaciones aritméticas sin tener en cuenta el envoltorio de 32 bits de enteros. Esto podría ser aprovechado por un atacante remoto, por medio de un archivo binario PE especialmente manipulado, para hacer que la aplicación deje de responder (denegación de servicio) o ejecutar código arbitrario gracias a una corrupción de memoria.

Las vulnerabilidades anteriormente citadas, están confirmadas para todas las versiones de ClamAV anteriores a la 0.92.1 aunque el módulo vulnerable fue deshabilitado el día 11 de Enero de 2008 por medio de una de las actualizaciones periódicas de la base de datos de virus.

Se recomienda actualizar a Clam AntiVirus (ClamAV) versión 0.92.1, disponible para su descarga desde:
http://www.clamav.net/
http://sourceforge.net/projects/clamav/


Pablo Molina
pmolina@hispasec.com


Más información:

Clam AntiVirus: File Release Notes and Changelog
http://sourceforge.net/project/shownotes.php?release_id=575703

ClamAV libclamav PE File Integer Overflow Vulnerability
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=658

miércoles, 13 de febrero de 2008

Elevación de privilegios en el kernel vs. ejecución de código en Adobe Reader: Reacción de los Antivirus

Durante el fin de semana se ha dado a conocer una nueva vulnerabilidad en el kernel de Linux que permite a los usuarios conseguir privilegios de root. El problema es que también se ha hecho público, al mismo tiempo, un exploit que permite aprovechar la vulnerabilidad de forma sencilla. Lo mismo ha ocurrido con un fallo en Adobe Reader, pues durante el fin de semana se ha detectado que una vulnerabilidad estaba siendo aprovechada de forma masiva. Como simple experimento curioso, hemos comparado la reacción de los AV ante estas dos nuevas amenazas.

¿Cómo han reaccionado las casas antivirus ante este par de vulnerabilidades? Pertenecen a mundos distintos, una permite elevación de privilegios en el kernel (a través de una llamada a vmsplice) y otra ejecución de código en Windows con los privilegios del usuario que ejecute Adobe Reader. Una la sufren los kernel de Linux y otra los usuarios de Adobe en Windows, y los antivirus han reflejado esta disparidad en su capacidad y velocidad de reacción.

Durante el fin de semana, nada más ser descubierta, ningún antivirus detectaba los archivos PDF que intentasen aprovechar la vulnerabilidad en Adobe para ejecutar código. No fue hasta el lunes a primera hora que apenas seis casas antivirus comenzaron a detectar la muestra analizada. Hoy son ya 14 los antivirus que reconocen el archivo PDF como una amenaza. Y es cuestión de tiempo que todos lo reconozcan por igual, pues el impacto mediático del problema está siendo importante.

http://www.virustotal.com/analisis/85630b830a06246ba16d19d342c4bb0c

El impacto mediático de la elevación de privilegios en el kernel también está siendo notable. Son decenas de distribuciones afectadas y al existir exploit disponible público, conseguir privilegios de root en un kernel vulnerable se convierte en un juego de niños. Hemos compilado el exploit y enviado el ejecutable ELF a VirusTotal para comprobar que (como esperábamos) ni un solo motor lo detecta. Ni durante el fin de semana ni días después de que la noticia saltara en todos los medios.

http://www.virustotal.com/es/analisis/a258aaa05e20f8c0bd27c28cd3a9a115

Se puede considerar normal que los antivirus tomen una amenaza para Linux como un "mal menor" teniendo en cuenta que no todos poseen soluciones adaptadas a escritorio para a este sistema operativo. Pero dadas ciertas circunstancias, sí que tendría sentido que los motores detectaran una amenaza así, incluyendo la firma en su base de datos. Por ejemplo en soluciones perimetrales, o para análisis en frío de discos duros con alguna distribución instalada... son situaciones donde podría resultar útil la detección (aparte de las puramente marketoides).

Por otro lado, para conocer comportamientos anteriores ante amenazas específicas para Linux, hemos enviado a VirusTotal una muestra compilada de un exploit que igualmente permitía elevar privilegios, pero en este caso mucho más antiguo. En concreto, conocido y público desde julio de 2006. El resultado es que nada menos que 12 casas antivirus lo detectan, que no es poco (incluso es un ratio mayor que algunas muestras actuales de malware para Windows).

http://www.virustotal.com/analisis/0802cf8b3e30d7ea7efc69cf44752b2c

Cabe pensar que tarde o temprano, al igual que ha ocurrido con este exploit de hace casi dos años, detectarán el nuevo exploit para el kernel, pero desde luego la reacción es mucho mas pausada comparada con la de cualquier amenaza para Windows. Quizás dentro de meses sea reconocida, pero ni de lejos es prioridad. Por supuesto, y dadas las circunstancias de saturación de muestras, la prioridad para las casas antivirus es proteger a los usuarios Windows... y no es poco trabajo.

¿Qué se está vendiendo como antivirus para Linux?

Los antivirus para Linux comparten en general la misma base de datos de firmas que sus versiones Windows. Es decir, detectan el mismo tipo de malware. Y los laboratorios antivirus están especializados en la detección de malware para Windows, que es donde se libra la gran batalla y donde, lógicamente, está el negocio.

La utilidad de un antivirus para Linux es muy cuestionable bajo esas premisas, a no ser que la máquina forme parte de un esquema de red o proporcione servicios a sistemas Windows. Por ejemplo, un servidor de correo, de archivos, etc. En estos casos el antivirus para Linux se convierte en una especie de filtro perimetral de las máquinas Windows que se conectan a él, al poder evitar que el código malicioso pase a través del servidor, pero no en una solución para esta plataforma en sí.

La realidad es que como antivirus para la propia plataforma Linux, las versiones actuales no están optimizadas. No tanto por el motor, sino porque las empresas antivirus no invierten en recursos especializados en identificar las amenazas para esta plataforma. Si bien no tienen nada que ver con la acaparadora e inmensa problemática del malware en Windows, también existen sus códigos maliciosos como cualquier otra.


Sergio de los Santos
ssantos@hispasec.com


Más información:

11/02/2008) Una vulnerabilidad en Adobe Reader está siendo aprovechada para instalar malware
http://www.hispasec.com/unaaldia/3397/una-vulnerabilidad-adobe-reader-esta-siendo-aprovechada

martes, 12 de febrero de 2008

Boletines de seguridad de Microsoft en febrero

Aunque inicialmente se habían anunciado doce, finalmente este martes Microsoft "sólo" ha publicado once boletines de seguridad (MS08-003 al MS08-013) dentro de su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft seis de los boletines presentan un nivel de gravedad "crítico", mientras que los cinco restantes reciben una calificación de "importante".

Microsoft califica como críticas las siguientes actualizaciones:

* MS08-007: Actualización para WebDAV Mini-Redirector de Windows que soluciona una vulnerabilidad que podría ser aprovechada por un atacante remoto para ejecutar código arbitrario.

* MS08-008: En este boletín se trata una vulnerabilidad que podría permitir la ejecución remota de código si un usuario visualiza una página web especialmente creada. La vulnerabilidad puede explotarse a través de ataques en Object Linking and Embedding (OLE) Automation.

* MS08-009: Se trata de la actualización para Microsoft Word para evitar una vulnerabilidad que podría permitir la ejecución remota de código arbitrario.

* MS08-010: Actualización acumulativa para Microsoft Internet Explorer que además soluciona cuatro nuevas vulnerabilidades que podrían permitir la ejecución remota de código arbitrario. Afecta a Internet Explorer 5.01, 6 y 7.

* MS08-012: Esta actualización resuelve dos vulnerabilidades en Microsoft Office Publisher que pueden permitir a un atacante remoto la ejecución de código arbitrario si el usuario abre un archivo de Publisher (.PUB) específicamente creado.

* MS08-013: Esta actualización resuelve una vulnerabilidad en Microsoft Office que podría permitir la ejecución remota de código y obtener completo control del sistema.

Los clasificados como importantes:

* MS08-003: Se trata de una actualización que solventa una vulnerabilidad de denegación de servicio en el directorio activo en Microsoft Windows 2000 Server y Windows Server 2003, y Active Directory Application Mode (ADAM) instalado en Windows XP y Windows Server 2003.

* MS08-004: Corrige una denegación de servicio a través de la implementación TCP/IP en Windows Vista que podría ser aprovechada por un atacante remoto para causar una denegación de servicio.

* MS08-005: Esta actualización resuelve una vulnerabilidad en Internet Information Services (IIS) que podría permitir a un atacante local la ejecución de código y obtener completo control del sistema.

* MS08-006: En este boletín también se trata una vulnerabilidad que afecta a Internet Information Services (IIS) sin embargo en esta ocasión se trata de una vulnerabilidad de ejecución remota de código en la forma en que IIS trata las entradas a páginas web ASP. Un atacante que explote con éxito esta vulnerabilidad podrá llevar a cabo acciones en el servidor IIS con los permisos de Worker Process Identity (WPI).

* MS08-011: En este boletín se ofrece la resolución para tres vulnerabilidades de ejecución remota de código arbitrario en Microsoft Works File Converter. Un atacante puede explotar estas vulnerabilidades si un usuario abre, con una versión afectada de Microsoft Office, Microsoft Works, o Microsoft Works Suite, un archivo Works (.wps) específicamente creado.

Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible.


Antonio Ropero
antonior@hispasec.com


Más información:

Microsoft Security Bulletin Summary for February 2008
http://www.microsoft.com/technet/security/bulletin/ms08-feb.mspx

Microsoft Security Bulletin MS08-003
Vulnerability in Active Directory Could Allow Denial of Service (946538)
http://www.microsoft.com/technet/security/bulletin/ms08-003.mspx

Microsoft Security Bulletin MS08-004
Vulnerability in Windows TCP/IP Could Allow Denial of Service (946456)
http://www.microsoft.com/technet/security/bulletin/ms08-004.mspx

Microsoft Security Bulletin MS08-005
Vulnerability in Internet Information Services Could Allow Elevation of Privilege (942831)
http://www.microsoft.com/technet/security/bulletin/ms08-005.mspx

Microsoft Security Bulletin MS08-006
Vulnerability in Internet Information Services Could Allow Remote Code Execution (942830)
http://www.microsoft.com/technet/security/bulletin/ms08-006.mspx

Microsoft Security Bulletin MS08-007
Vulnerability in WebDAV Mini-Redirector Could Allow Remote Code Execution (946026)
http://www.microsoft.com/technet/security/bulletin/ms08-007.mspx

Microsoft Security Bulletin MS08-008
Vulnerability in OLE Automation Could Allow Remote Code Execution (947890)
http://www.microsoft.com/technet/security/bulletin/ms08-008.mspx

Microsoft Security Bulletin MS08-009
Vulnerability in Microsoft Word Could Allow Remote Code Execution (947077)
http://www.microsoft.com/technet/security/bulletin/ms08-009.mspx

Microsoft Security Bulletin MS08-010
Cumulative Security Update for Internet Explorer (944533)
http://www.microsoft.com/technet/security/bulletin/ms08-010.mspx

Microsoft Security Bulletin MS08-011
Vulnerabilities in Microsoft Works File Converter Could Allow Remote Code Execution (947081)
http://www.microsoft.com/technet/security/bulletin/ms08-011.mspx

Microsoft Security Bulletin MS08-012
Vulnerabilities in Microsoft Office Publisher Could Allow Remote Code Execution (947085)
http://www.microsoft.com/technet/security/bulletin/ms08-012.mspx

Microsoft Security Bulletin MS08-013
Vulnerability in Microsoft Office Could Allow Remote Code Execution (947108)
http://www.microsoft.com/technet/security/bulletin/ms08-013.mspx

lunes, 11 de febrero de 2008

Una vulnerabilidad en Adobe Reader está siendo aprovechada para instalar malware

El día 6 de febrero Adobe publicaba una nueva versión del popular Adobe Reader que solucionaba varios problemas de seguridad. Sin dar apenas detalles, se recomendaba la actualización a la versión 8.1.2 que solucionaba "múltiples vulnerabilidades de impacto desconocido". Durante el fin de semana se ha sabido que uno de estos fallos está siendo aprovechado de forma masiva para instalar malware... desde hace semanas.

La versión 8.1.2 apareció el día 6 de febrero, pero no ha sido hasta el día 9 que Idefense hizo público varios boletines que en los que, sin dar detalles técnicos, se adjudicaba el descubrimiento. Según el boletín, Adobe fue notificado de las vulnerabilidades a principios de octubre de 2007. El fallo en concreto que está siendo explotado está relacionado con desbordamientos de memoria intermedia a través de JavaScript. Inmunity, empresa desarrolladora de CANVAS, publicó por su parte en cuanto estuvo disponible la actualización de Adobe, un exploit para sus suscriptores.

Durante el fin de semana se ha sabido que desde al menos el día 20 de enero, uno de estos fallos está siendo aprovechado para instalar malware, en concreto Zonebac. El usuario quedaría infectado con sólo abrir un archivo PDF con Adobe Acrobat anterior a la versión 8.1.2 y el malware se ejecutaría con los permisos del usuario ejecutando la aplicación vulnerable. Zonebac es un malware especializado en adware y el payload del ataque se descarga, como viene siendo habitual, de un servidor remoto (no va incluido en el PDF que está siendo distribuido).

Al parecer Zonebac fue también el malware que instalaba la famosa vulnerabilidad descubierta en octubre y que afectaba a RealPlayer. En aquella ocasión, el fallo se dio a conocer cuando ya estaba siendo aprovechado por malware. Incluso fue descubierto por esa misma razón. También en octubre se detectaron PDFs que aprovechaban una vulnerabilidad compartida entre Microsoft Windows y Adobe Reader, y que también descargaba de forma automática malware en el sistema.

Durante este último fin de semana, ningún antivirus era capaz de detectar un PDF que intentase aprovechar el fallo. Una de las muestras que ha llegado a través de VirusTotal, es hoy detectada por:

AVG Generic_c.GGU
Fortinet W32/AdobeReader!exploit
F-Secure Exploit.Win32.Pidief.a
Kaspersky Exploit.Win32.Pidief.a
Microsoft Exploit:Win32/Pdfjsc.A
Symantec Trojan.Pidief.C
Webwasher-Gateway Exploit.PDF.ZoneBac.gen (suspicious)

Aunque hay que advertir que pronto será detectada por más motores (dado el impacto mediático del asunto). También es necesario tener en cuenta la capacidad de detección del payload en sí, que es descargado por separado, puesto que el archivo PDF es solo el vehículo para la ejecución inadvertida. Este puede ser reemplazado en el servidor en cualquier momento.

Como curiosidad, la muestra que hemos estudiado está creada con iText 2.0.7, una librería Java de código abierto usada para generar y manipular archivos PDF. Y su fecha de creación según el código (que posiblemente no tenga nada que ver con la realidad) es del 28 de enero.

Adobe ha decidido no actualizar la rama 7.x de su producto, con lo que la solución pasa por actualizar a la 8.1.2 desde su web oficial, o utilizar (si es posible) alternativas como Foxit Reader.


Sergio de los Santos
ssantos@hispasec.com


Más información:

22/10/2007 Vulnerabilidad en RealPlayer permite ejecución de código
http://www.hispasec.com/unaaldia/3285

25/10/2007 Archivos PDF aprovechan un fallo en Adobe Reader para
infectar sistemas
http://www.hispasec.com/unaaldia/3288

06/02/2008 Vulnerabilidades de impacto desconocido en Adobe Reader 8.x
http://www.hispasec.com/unaaldia/3392

domingo, 10 de febrero de 2008

Actualización del kernel para productos SuSE Linux

SuSE ha publicado una actualización para el kernel que corrige múltiples vulnerabilidades en las familias SUSE Linux Enterprise 10, SUSE Linux 10.1 y openSUSE 10.2 y 10.3.

Los paquetes y problemas corregidos son:

* La implementación del protocolo Ipv6 podría permitir a un atacante provocar una denegación de servicio a través de un paquete especialmente manipulado.

* La función shmem_getpage permitiría a atacantes locales obtener información sensible puesto que no limpia adecuadamente ciertas variables.

* Las funciones aac_cfg_open y aac_compat_ioctl en la capa SCSI ioctl, podrían permitir a atacantes locales elevar privilegios debido a una falta de comprobación de permisos.

* El sistema de ficheros CIFS, cuando está habilitado el soporte Unix, podría permitir a atacantes elevar privilegios.

* Un fallo de manejo de señales a procesos hijo podría permitir a un atacante elevar privilegios enviando señales a procesos hijo de procesos setuid-root.

* Un desbordamiento de enteros en la función ieee80211_rx podría permitir a atacantes provocar una denegación de servicio.

* Desbordamiento de memoria intermedia en la función isdn_net_setcfg con impacto desconocido.

* Comprobación insuficiente de rangos en los manejadores podría permitir escribir o leer en la memoria del kernel.

* Comprobación incorrecta de modos de acceso podría permitir a atacantes locales ejecutar código arbitrario.

* Un desbordamiento de enteros en la función hrtimer_start permitiría a atacantes locales ejecutar código.

* Un atacante remoto podría falsificar tráfico de red CIFS debido a que comprueba la variable global errónea.

Se recomienda actualizar a través de las herramientas automáticas YoU (Yast Online Update).


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

[security-announce] SUSE Security Announcement: Linux kernel (SUSE-SA:2008:006)
http://lists.opensuse.org/opensuse-security-announce/2008-02/msg00002.html

sábado, 9 de febrero de 2008

Microsoft publicará doce boletines de seguridad el próximo martes

En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan doce boletines de seguridad, ocho dedicados a su sistema operativo Windows y cuatro a Office (uno de ellos compartido entre amos).

Si en enero fueron dos boletines de seguridad que salieron a la luz, este mes Microsoft prevé publicar doce actualizaciones el día doce de febrero. Siete alcanzan la categoría de "críticas" (ejecución remota de código) y otros cinco son calificados como "importantes".

Adicionalmente, y como viene siendo habitual, Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool. Además, se publicarán siete actualizaciones de alta prioridad no relacionadas con la seguridad.

Entre tanta vulnerabilidad, no queda títere con cabeza. De forma muy genérica, Microsoft anuncia que los fallos calificados de críticos afectan a Windows, Office, Works, Visual Basic, VBScript, Jscript, Internet Explorer... y las importantes están relacionadas con una denegación de servicio en el Directorio Activo y elevación de privilegios y ejecución remota de código en IIS, entre otras.

Esta macro-actualización viene (como viene siendo habitual) después de un mes de relativa calma (enero), que se saldó con dos actualizaciones. Doce boletines es uno de los números más altos que ha manejado mensualmente Microsoft. Se alcanzó esta misma cifra en las actualizaciones de febrero de 2007 y en junio y agosto de 2006 (un verano especialmente plagado de fallos de seguridad). Además, cada boletín puede agrupar un número indeterminado de vulnerabilidades.

Sorprende, (y preocupa) especialmente la ejecución remota de código en Internet Information Server (IIS), el servidor web de Microsoft. Al contrario que la versión 5, la versión 6 de IIS (disponible desde Windows 2003), se ha ganado una buena reputación con respecto a la seguridad, con sólo tres vulnerabilidades de gravedad media en toda su historia. Al menos, se supone que su impacto en el caso de ejecución de código sería reducido, puesto que IIS se ejecuta bajo la cuenta de "servicios de red" (NetworkServices).

Los "usuarios" especiales de sistema NetworkServices y LocalService fueron introducidos con XP para la ejecución de muchos servicios de red, y tienen pocos privilegios sobre el resto del sistema operativo. Por el contrario, en Windows 2000, todos los servicios se ejecutan bajo la cuenta SYSTEM, algo que se corrigió en 2003 y XP con la introducción de esas cuentas restringidas. Fue un importante avance con respecto a la seguridad, rebajando los privilegios de los servicios que daban "la cara" a la red. Siguiendo la filosofía fallida anterior (previa a XP), IIS 5 se ejecutaba bajo la cuenta SYSTEM, con total control del sistema. Una potencial vulnerabilidad que derivase en ejecución de código era entonces fatal para el resto del sistema operativo. Hoy en día, en IIS 6 una ejecución de código con permisos de NetworkServices puede al menos no considerarse absolutamente crítica.

Cabe recordar que, en cualquier caso, el adelanto que ofrece Microsoft está sujeto a cambios de última hora.

Hispasec Sistemas publicará puntualmente a través de este boletín información detallada sobre los nuevos parches.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Microsoft Security Bulletin Advance Notification for February 2008
http://www.microsoft.com/technet/security/bulletin/ms08-feb.mspx

viernes, 8 de febrero de 2008

La versión 2.0.0.12 de Firefox corrige (entre otras) una vulnerabilidad descubierta por Hispasec

La Fundación Mozilla ha publicado una actualización (2.0.0.12) para sus productos estrella que soluciona más de 10 problemas de seguridad. Con solo visitar una página, un atacante podría provocar una denegación de servicio, robar información sensible, corromper la base de datos de contraseñas o ejecutar código. Precisamente la vulnerabilidad que permite descubrir información sensible del usuario, ha sido descubierta por el equipo técnico de Hispasec Sistemas.

La versión 2.0.0.12 de Firefox soluciona más de diez problemas de seguridad, tres de ellos considerados críticos, que heredan sus hermanos Thunderbird y Seamonkey. Uno de los problemas de seguridad corregidos fue descubierto hace varias semanas por el equipo técnico de Hispasec, y reportado a la Fundación. Corregido en el repositorio desde hace días, ahora sale a la luz la versión oficial que lo soluciona. Aun así, por razones ajenas a nuestra voluntad no podemos hacer públicos los detalles técnicos de la vulnerabilidad. El problema afecta a otros navegadores que todavía no han solucionado el fallo o han pedido expresamente más tiempo para solucionarlo.

El fallo descubierto por Hispasec permite a un atacante obtener información sensible del usuario víctima. Publicaremos en cualquier caso los detalles durante semana que viene.

Un breve resumen de los problemas oficiales corregidos en estas nuevas versiones son:

* Se han encontrado varios problemas de seguridad en la forma en la que Firefox procesa cierto contenido web especialmente manipulado. Si un usuario visita una web con este contenido, el atacante podría ejecutar código arbitrario con los privilegios del navegador.

* Se han encontrado varios fallos en la forma en la que Firefox muestra contenido que podría permitir a un atacante obtener información sensible.

* Un fallo en la forma en la que Firefox almacena contraseñas. Un contraseña almacenada en una web especialmente manipulada, podría corromper la base de datos de contraseñas.

* Un fallo en la forma en la que Firefox maneja ciertas direcciones chrome. Si un usuario tiene ciertas extensiones instaladas, podría permitir a un atacante obtener información sensible.

* Un fallo en la forma en la que Firefox muestra ficheros de texto.

Se recomienda la inmediata actualización del navegador desde
http://www.mozilla.org/.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Known Vulnerabilities in Mozilla Products
http://www.mozilla.org/projects/security/known-vulnerabilities.html

jueves, 7 de febrero de 2008

Comparativas Antivirus: adaptándose a los nuevos tiempos

Mucho se ha hablado desde distintos foros sobre la forma en la que la industria antivirus está reaccionando a la situación actual del malware. Un aspecto muy importante, que normalmente tiene una capacidad de impactar en el público general mucho más que lo que solemos discutir en listas y blogs especializados (como pueda ser esta), es la de las comparativas de productos antivirus. Estos estudios, de mayor o menor seriedad, tienen una capacidad muy importante de movilización de la opinión de un usuario, al que cada vez le resulta más difícil discernir el concepto de 'mejor' producto para sus necesidades.

Desde Hispasec hemos hablado en muchas ocasiones sobre la complejidad de este campo, y sobre la inherente falta de objetividad que tienen las comparativas actuales, ya que tomar unos baremos u otros puede favorecer de forma involuntaria la tecnología de un producto respecto a la de otro. De hecho, en ocasiones la problemática es mucho más profunda, cuando hemos visto - no sin un profundo estupor - ejemplos tan sangrantes como comparativas antivirus que basaban completamente su nota en cual ocupaba más espacio en el disco duro.

Presentando la AMTSO

La AMTSO (Anti-Malware Testing Standards Organization) es una iniciativa de la industria antivirus para avanzar en ese aspecto. Su primera reunión informal tuvo lugar en Reykjavik en mayo del año pasado, y las ideas iniciales se fueron forjando aprovechando posteriores encuentros de la industria como el AVAR. Finalmente se decidió organizar una primera reunión formal para dar cuerpo a esta iniciativa, y esta finalmente tuvo lugar en Bilbao el pasado 21 de enero. Más de 40 miembros de distintos implicados en el tema (casas antivirus, testeadores profesionales de antivirus y otras figuras de esta industria tecnológica) conformaron las bases de esta organización cuyo fin es el de crear una serie de guías y herramientas que ayuden a mejorar la calidad y la objetividad de las comparativas que se realizan hoy en día.

Entre los objetivos de AMTSO se encuentran los siguientes:
* Crear un foro para la discusión de temas relacionados con los test de productos anti-malware y otros relacionados.
* Desarrollar y publicar estándares objetivos y guías de buenas prácticas para los test de productos anti-malware y otros relacionados.
* Promover la educación y el conocimiento público de los problemas y características propias de los test de productos anti-malware y otros relacionados.
* Proveer de herramientas y recursos para ayudar al desarrollo de metodologías de testeo basadas en estándares.
* Proveer análisis de las comparativas actuales y futuras relacionadas con los productos anti-malware y otros relacionados.

El encuentro fue organizado por Panda Security, e incluyó a representantes de empresas involucradas en el tema: ALWIL Software, AV-Comparatives, AV-Test.org, AVG Technologies, Avira GmbH, Bit9, BitDefender, Dr. Web, Ltd., ESET, F-Secure Corporation, G DATA Software, Hispasec Sistemas, International Business Machines Corporation, Kaspersky Lab, McAfee, Inc., Microsoft Corp., Norman ASA, Panda Security, PC Tools, Sana Security, Secure Computing, Sophos Plc, Symantec Corporation, Trend Micro Incorporated y Virusbuster Ltd.

Desde Hispasec pretendemos dar una visión desde nuestra experiencia del día a día para poder aportar valor a esta iniciativa, para que así todos salgamos ganando: por un lado la industria, al tener indicadores más fiables a la hora de moverse frente a la competencia. Por otro lado los usuarios, que dispondrán de mejores pistas que ayuden a la toma de decisiones en un campo tan delicado hoy día como es el de que tecnología/s antivirus implementar en las infraestructuras IT.


Julio Canto
jcanto@hispasec.com


Más información:

Página oficial del AMTSO
http://www.amtso.org/

Presentando la Anti-Malware Testing Organization
http://blog.hispasec.com/laboratorio/270

Comparativas y certificaciones antivirus: la necesidad de un nuevo modelo
http://www.hispasec.com/unaaldia/2096

Antivirus: rendimiento vs. protección
http://www.hispasec.com/unaaldia/3210

Malware Caducado
http://www.hispasec.com/unaaldia/3214

Efecto Zoo
http://www.hispasec.com/unaaldia/1562

miércoles, 6 de febrero de 2008

Vulnerabilidades de impacto desconocido en Adobe Reader 8.x

Adobe ha publicado una nueva actualización para Adobe Reader 8.x, la versión 8.1.2, que soluciona varias vulnerabilidades de impacto desconocido de las que no se ha suministrado ningún detalle.

Adobe Reader es un popular software que usado para visualizar e imprimir archivos en formato PDF que se puede descargar de forma gratuita para los sistemas operativos Linux, Mac OS y Windows.

Desde Adobe no se ha aportado ninguna información sobre el impacto de las vulnerabilidades en sus boletines de seguridad y la única, y vaga, explicación sobre el contenido del nuevo parche viene dado en “Adobe Reader 8.1.2 Release Notes” donde se cita que se han solucionado “problemas en el flujo de funcionamiento y vulnerabilidades de seguridad”.

La ausencia de más detalles hace especular que de los problemas de seguridad subsanados pudieran ser de riesgo medio o incluso alto. Así lo afirma Kostya Kortchinsky, investigadora de Inmunity, que después de haber analizado el parche de Adobe mediante ingeniería inversa, afirma que subsana un problema de desbordamiento de búfer basado en pila que podría ser aprovechado por un atacante remoto para causar una denegación de servicio o ejecutar código arbitrario.

Inmunity, empresa desarrolladora de la herramienta de penetración CANVAS, ha publicado un exploit para sus suscriptores que supuestamente aprovecharía el fallo recientemente parcheado en Adobe Reader. Por el momento no existe constancia de que dicho agujero de seguridad se esté siendo explotado de forma masiva por creadores de malware.

Se recomienda actualizar a la versión 8.1.2 de Adobe Reader disponible para las plataformas Macintosh 10.4.3, Windows 2000 Service Pack 4, Windows XP Service Pack 2, Windows 2003 Server y Windows Vista desde: http://www.adobe.com/products/acrobat/readstep2.html


Pablo Molina
pmolina@hispasec.com


Más información:

Adobe Reader 8.1.2 Release Notes
http://kb.adobe.com/selfservice/viewContent.do?externalId=kb403079&sliceId=1

Adobe Reader 8.1.2 for Linux and Sparc Solaris Released!
http://blogs.adobe.com/acroread/2008/02/adobe_reader_812_for_linux_and.htm

Bug Fixes and Enhancements in Reader 8.1.2
http://blogs.adobe.com/acroread/2008/02/bug_fixes_and_enhancements_in.html

PoC for Adobe Acrobat Reader (<8.1.2) buffer overflow
http://www.immunityinc.com/partners-index.shtml

martes, 5 de febrero de 2008

Cross-site scripting en el Servidor HTTP de IBM OS/400

Se ha encontrado una vulnerabilidad en el servidor HTTP de IBM OS/400 5.x que podría ser explotado por un atacante remoto para construir ataques de cross-site scripting.

Las entradas pasadas por medio de la cabecera "Expect" al servidor HTTP no se limpian de forma adecuada antes de ser devueltas al usuario en una página de error, lo que ocurre cuando el servidor HTTP recibe un valor no soportado en el campo "Expect" de la cabecera. Esto podría ser explotado por un atacante remoto para ejecutar código HTML o JavaScript arbitrario en la sesión del navegador de un usuario que visita una página web maliciosa.

No existe parche disponible. Se recomienda filtrar los caracteres o cadenas maliciosas por medio de un proxy.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

SE31823 - HTTPSVR-UNPRED ESCAPE INVALID EXPECT HEADER FIELD VALUE
http://www-1.ibm.com/support/docview.wss?uid=nas22f5a0f082f6821c4862573e10041f7bd

lunes, 4 de febrero de 2008

Nuevos contenidos en la Red Temática CriptoRed (enero de 2008)

Breve resumen de las novedades producidas durante el mes de enero de 2008 en CriptoRed, la Red Temática Iberoamericana de Criptografía y Seguridad de la Información.

1. NUEVOS DOCUMENTOS FREEWARE PARA SU DESCARGA DESDE CRIPTORED

* Criptógrafos vs Criptoanalistas: una Guerra de Piratas y Corsarios (Manuel González, PDF, 213 págs.)
http://www.criptored.upm.es/guiateoria/gt_m014a.htm

2. DOCUMENTOS FREEWARE DE DISI 2007 PARA SU DESCARGA DIRECTA DESDE CRIPTORED

* A Fool's Errand: Inventing Public Key Cryptography (Martin Hellman, PPT, 24 págs.)
http://www.criptored.upm.es/descarga/DISI07_MartinHellman.zip

* Avances en la Factorización Entera" (Hugo Scolnik, PDF, 40 págs.)
http://www.criptored.upm.es/descarga/DISI07_HugoScolnik.zip

* Evolución del Malware: Malware 2.0 (Sergio de los Santos, Adobe Flash, animación)
http://www.criptored.upm.es/descarga/DISI07_SergioSantos_2.zip

* Antiphising y Antitroyanos. Flujo Malware (Sergio de los Santos, Adobe Flash, animación)
http://www.criptored.upm.es/descarga/DISI07_SergioSantos_1.zip

* Seguridad en Entornos Linux (Fernando Acero, PDF, 23 págs.)
http://www.criptored.upm.es/descarga/DISI07_FernandoAcero.zip

* El Fracaso del Software (Juan Carlos García Cuartango, PPT, 27 págs.)
http://www.criptored.upm.es/descarga/DISI07_JCGarciaCuartango.zip

3. NUEVOS DOCUMENTOS FREEWARE PARA SU DESCARGA DESDE OTROS SERVIDORES

* Entrevista a Martin Hellman en su Visita a DISI 2007 (Mercè Molist )
http://www.filmica.com/port666/archivos/007030.html

* Informe de la Red de Sensores de INTECO del Mes de Diciembre de 2007
http://alerta-antivirus.es/documentos/rescata/Informe_mensual_200712.pdf

4. CONGRESOS Y SEMINARIOS POR ORDEN CRONOLOGICO DE CELEBRACION

* Marzo 9 al 12 de 2008: 11th International Workshop on Practice and Theory in Public Key Cryptography (Barcelona - España)
http://www.iacr.org/workshops/pkc2008/

* Marzo 13 al 15 de 2008: 4th Workshop on Coding and Systems (Alicante y Elche - España)
http://www.dccia.ua.es/wcs2008

* Mayo 8 al 9 de 2008: II Congreso Internacional de Seguridad de la Información CISI 2008 (Cartagena de Indias - Colombia)
http://www.tecnoeventos.com.co/info.php?id=15

* Mayo 13 al 16 de 2008: Workshop in Information Security Theory and Practices WISTP 2008 (Sevilla - España)
http://wistp2008.xlim.fr/

* Junio 12 al 13 de 2008: 6th International Workshop on Security In Information Systems WOSIS 2008 (Barcelona - España)
http://www.iceis.org/workshops/wosis/wosis2008-cfp.html

* Junio 18 al 20 de 2008: VIII Jornada Nacional de Seguridad Informática ACIS 2008 (Bogotá - Colombia)
http://www.acis.org.co/index.php?id=1066

* Junio 19 al 21 de 2008: III Conferencia Ibérica de Sistemas y Tecnologías de la Información CISTI 2008 (Ourense - España)
http://cisti2008.uvigo.es/

* Junio 23 al 25 de 2008: The 5th International Conference on Autonomic and Trusted Computing (Oslo - Noruega)
http://www.ux.uis.no/atc08/

* Junio 25 al 27 de 2008: Sexto Congreso Collaborative Electronic Communications and eCommerce Technology and Research CollECTeR Iberoamérica 2008 (Madrid - España)
http://www.collecter.euitt.upm.es/

* Julio 9 al 11 de 2008: XIV Jornadas de Enseñanza Universitaria de la Informática (Granada - España)
http://jenui2008.ugr.es/

* Septiembre 2 al 5 de 2008: X Reunión Española de Criptología y Seguridad de la Información RECSI 2008 (Salamanca - España)
http://www.usal.es/~xrecsi/

* Septiembre 10 al 12 de 2008: EATIS 2008 Euro American Conference on Telematics and Information Systems (Aracajú - Brasil)
http://eatis.org/eatis2008/

CONGRESOS ANUNCIADOS EN LA IACR:
International Association for Cryptologic Research IACR Calendar of Events in Cryptology:
http://www.iacr.org/events/

5. CURSOS DE POSTGRADO, ESPECIALIDAD Y FORMACIÓN

Puedes encontrar los enlaces en:
http://www.criptored.upm.es/paginas/eventos.htm#Cursos

6. NOTICIAS SELECCIONADAS DEL MES DE ENERO DE 2008

Para ampliar las noticias:
http://www.criptored.upm.es/paginas/historico2008.htm#ene08

* Superado el Medio Millón de Accesos a CriptoRed en 2007
http://www.criptored.upm.es/paginas/estadisticas.htm#anyo2007

* CFP III Conferencia Ibérica de Sistemas y Tecnologías de la Información CISTI 2008
http://cisti2008.uvigo.es/

* Máster en Seguridad Informática en la UPSAM
http://www.upsam.es/documentos/cartel/postgrado07-08/folletomseginf.pdf

* Máster en Dirección y Gestión de Seguridad de la información en ASIMELEC/UPSAM
http://www.asimelec.es/

* Segunda Cumbre Europea de Observatorios Analizando la Sociedad de la Información
http://www.2ndeuropeansummit.com/inicio.html

* CFP Edición Criptografía y Seguridad Informática Revista Computación y Sistemas
http://delta.cs.cinvestav.mx/~gmorales/08cfpCyS.pdf

* Estadísticas Detalladas Accesos al Servidor en 2007 para Seguimiento Descargas Colaboradores
http://www.criptored.upm.es/estadisticas/2007/awstats.www.criptored.upm.es.urldetail.html

* Inicio Primer Máster en Auditoría y Protección de Datos adaptado al Nuevo Reglamento
http://www.cpdp.uab.es/postgraus/master_auditoria_proteccio_dades/esp/index.htm

* II Congreso Internacional de Seguridad de la Información CISI 2008 en Cartagena de Indias
http://www.tecnoeventos.com.co/info.php?id=15

* Segundo CFP para 6th CollECTeR Iberoámerica 2008 en la EUITT en Madrid
http://www.collecter.euitt.upm.es/

* Primer Llamado para Envío de Trabajos X Reunión Española RECSI 2008 en Salamanca
http://www.usal.es/xrecsi

* Presentaciones del Segundo Día Internacional de la Seguridad de la Información DISI 2007
http://www.criptored.upm.es/paginas/docencia.htm#catedra

* Nuevo Portal de HACK HiSPANO con Revista y Foros sobre Seguridad Informática.
http://www.hackhispano.com

* Convocatoria Trigésimo Tercera Edición de las Conferencias de Seguridad FIST en Madrid
http://www.fistconference.org/madrid.php

* Presentación Criptógrafos vs Criptoanalistas: una Guerra de Piratas y Corsarios
http://www.criptored.upm.es/guiateoria/gt_m014a.htm

* Mercè Molist Entrevista a Martin Hellman en su Visita a DISI 2007 en la EUITT de Madrid
http://www.filmica.com/port666/archivos/007030.html

* Cuarto Ciclo de Conferencias en Seguridad de la Asignatura TASSI en la EUITT en Madrid
http://www.lpsi.eui.upm.es/GANLESI/GANLESI.htm

* Informe de la Red de Sensores de INTECO del Mes de Diciembre de 2007 (España)
http://alerta-antivirus.es/documentos/rescata/Informe_mensual_200712.pdf

7. OTROS DATOS DE INTERES EN LA RED

* Número actual de miembros en la red: 681
(189 universidades; 252 empresas)
http://www.criptored.upm.es/paginas/particulares.htm

* Estadísticas: 33.843 visitas, con 92.050 páginas solicitadas y 30,93 GigaBytes servidos en enero de 2008.
Las estadísticas del mes (AWStats) se muestran en páginas estáticas actualizadas cada día a las 00:05 horas.
http://www.criptored.upm.es/estadisticas/awstats.www.criptored.upm.es.html.


Jorge Ramió Aguirre
Coordinador Red Temática Iberoamericana CriptoRed


Más información:

enero de 2008
http://www.criptored.upm.es/paginas/historico2008.htm#ene08

domingo, 3 de febrero de 2008

Actualización del kernel para Red Hat Enterprise Linux 4.x

Red Hat ha publicado una actualización para el kernel de Red Hat Enterprise Linux 4.x que soluciona múltiples vulnerabilidades.

* Un fallo en el VFS sistema de archivos virtual que podría permitir a un atacante local truncar los directorios para los que tenga permiso de escritura lo que acceder a directorios para los que no tuviese permiso, pudiendo provocar que el su contenido fuera inaccesible.

* Se ha encontrado un fallo en la implementación de ptrace, lo que podría ser aprovechado por un usuario local sin privilegios para causar una denegación de servicio haciendo que el sistema deje de responder.

* Existe un fallo en la forma que el kernel maneja los fallos de página cuando la CPU usa el método NUMA para acceder a la memoria. Ésto podría ser aprovechado por un atacante local para causar una denegación de servicio en el sistema.

* Se ha encontrado una posible referenciación a puntero nulo en la función chrp_show_cpuinfo cuando se usa la arquitectura PowerPC lo que podría ser aprovechado por un atacante local para causar una denegación de servicio.

* Se ha encontrado un fallo en la forma en la que se crean los archivos core dump. Si un usuario local consigue que algún proceso que pernenezca a root deposite un archivo core en un directorio en el que tenga pemisos de escritura, entonces podría conseguir acceso de lectura a dicho archivo core. Por lo que el atacante podría acceder a información sensible.

* Se han encontrado dos fallos de desbordamiento de búfer en el subsistema ISDN del kernel de linux, lo que podría ser aprovechado por un atacante local para causar una denegación de servicio.

También se han subsanado otros errores de menor importancia.

Se recomienda actualizar a través de las herramientas automáticas up2date. Según versión y plataforma, las actualizaciones disponibles desde Red Hat Network.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Important: kernel security and bug fix update
http://rhn.redhat.com/errata/RHSA-2008-0055.html

sábado, 2 de febrero de 2008

Vulnerabilidades en múltiples comandos de AIX 5.x y 6.x

IBM ha publicado actualizaciones para múltiples problemas de seguridad que se han encontrado en varios comandos de los sistemas AIX 5.x y 6.x.

* Desbordamiento de memoria intermedia en pioout podría permitir a un atacante local elevar privilegios.

Los parches para éste problema están disponibles desde:
ftp://aix.software.ibm.com/aix/efixes/security/pioout_ifix.tar

* Revelación de información en el comando ps.

Los parches están disponibles desde:
ftp://aix.software.ibm.com/aix/efixes/security/ps_ifix.tar

* Desbordamiento de memoria intermedia en uspchrp podría permitir a un atacante local elevar privilegios.

Los parches están disponibles desde:
ftp://aix.software.ibm.com/aix/efixes/security/uspchrp_fix.tar

* Desbordamiento de memoria intermedia en utape podría permitir a un atacante local elevar sus privilegios.

Los parches están disponibles desde:
ftp://aix.software.ibm.com/aix/efixes/security/utape_fix.tar

* Desbordamiento de memoria intermedia en comandos como lchangevg, ldeletepv, putlvodm, lvaryoffvg y lvgenminor podrían permitir a un atacante local elevar privilegios. El atacante debe pertenecer al grupo SYSTEM para que el ataque tenga éxito.

Los parches están disponibles desde:
ftp://aix.software.ibm.com/aix/efixes/security/lvm_ifix.tar

* Permisos incorrectamente aplicados en Linux WebSM remote client.

Los parches están disponibles desde:
ftp://aix.software.ibm.com/aix/efixes/security/websm_linux_fix.tar

* Desbordamiento de memoria intermedia en comandos como swap, swapoff y swapon podrían permitir a un atacante local elevar privilegios. El atacante debe pertenecer al grupo SYSTEM para que el ataque tenga éxito.

Los parches están disponibles desde:
ftp://aix.software.ibm.com/aix/efixes/security/swap_fix.tar


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

AIX ps information leak
http://www14.software.ibm.com/webapp/set2/subscriptions/pqvcmjd?mode=18&ID=4075

AIX pioout buffer overflow
http://www14.software.ibm.com/webapp/set2/subscriptions/pqvcmjd?mode=18&ID=4078

AIX uspchrp buffer overflow
http://www14.software.ibm.com/webapp/set2/subscriptions/pqvcmjd?mode=18&ID=4072

AIX utape buffer overflow
http://www14.software.ibm.com/webapp/set2/subscriptions/pqvcmjd?mode=18&ID=4070

AIX Logical Volume Manager buffer overflow
http://www14.software.ibm.com/webapp/set2/subscriptions/pqvcmjd?mode=18&ID=4068

AIX incorrect file permissions Linux WebSM remote client
http://www14.software.ibm.com/webapp/set2/subscriptions/pqvcmjd?mode=18&ID=4066

AIX swap commands buffer overflow
http://www14.software.ibm.com/webapp/set2/subscriptions/pqvcmjd?mode=18&ID=4064

viernes, 1 de febrero de 2008

Denegación de servicio en Java Runtime Environment 6

Se ha encontrado una vulnerabilidad en Sun Java Runtime Environment que podría permitir a un atacante provocar una denegación de servicio o eludir restricciones de seguridad.

El fallo se debe a un problema a la hora de menejar la propiedad "external general entities". Un atacante podría obligar al proceso de referencias a entidades externas (aunque el valor “external general entities” se establezca a FALSE) y acceder a direcciones URL o provocar una denegación de servicio. El atacante tendría que crear un archivo XML especialmente manipulado y ser procesado por una aplicación vulnerable.

El fallo ha sido solucionado en JDK y JRE 6 Update 4 disponible desde:
http://java.sun.com/javase/downloads/index.jsp

JDK 6 Update 4 para Solaris está disponible desde:
Java SE 6 update 4:
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-125136-05-1
Java SE 6 update 4:
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-125137-05-1
Java SE 6 x86 update 4:
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-125138-05-1
Java SE 6 x86 update 4:
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-125139-05-1


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

A Vulnerability in the Java Runtime Environment XML Parsing Code May Allow URL Resources to be Accessed
http://sunsolve.sun.com/search/document.do?assetkey=1-66-231246-1