jueves, 31 de julio de 2008

Denegación local de servicio a través de picld en Sun Solaris 8, 9 y 10

Sun ha publicado una actualización para Solaris 8, 9 y 10 que solventa una vulnerabilidad en picld que podría ser aprovechada por un atacante local para causar una denegación de servicio.

La vulnerabilidad está causada por un error en el demonio picld que podría ser aprovechado por un atacante local para deshabilitar sistemas de monitorización y provocar que las utilidades prtdiag, prtpicl o prtfru dejen de funcionar de forma adecuada.

Según versión y plataforma, se recomienda instalar los siguientes parches:
Para la plataforma SPARC:
Solaris 8 instalar el parche 112169-07 o superior.
Solaris 9 instalar el parche 137400-01 o superior.
Solaris 10 instalar el parche 138068-01 o superior.

Para la plataforma x86:
Solaris 9 instalar el parche 137401-01 o superior.
Solaris 10 instalar el parche 138069-01 o superior.


Sergio de los Santos
ssantos@hispasec.com


Más información:

A Security Vulnerability in picld(1M) May Allow a Denial of Service to System Monitoring and System Services
http://sunsolve.sun.com/search/document.do?assetkey=1-66-239728-1

miércoles, 30 de julio de 2008

Consejos útiles contra el malware 2.0 en Windows

Los consejos obsoletos ofrecen una falsa sensación de seguridad de la que se están aprovechando los atacantes. Muchas de las informaciones publicadas sobre seguridad en general y sobre malware en particular no han sabido renovarse, y se perpetúan coletillas y axiomas que (aunque útiles y necesarios) no se han matizado ni completado correctamente con el tiempo. Son consejos de hace años, que no se han adaptado a una industria (la del malware) que avanza mucho más rápido de lo que podamos imaginar. Vamos a ofrecer algunos consejos útiles contra el malware... de hoy.

Administrador no, gracias

El principal consejo para los usuarios de sistemas operativos en general y los de Windows en particular es no usar la cuenta de administrador. Se debe utilizar la cuenta de un usuario sin privilegios, sin excusas. Esto es lo que puede llevar a una mayor protección no solo contra el malware, sino contra posibles despistes del propio usuario. Un "administrador" está precisamente para "administrar", y son muy pocas veces las que un usuario utiliza su sistema para realizar modificaciones importantes. La mayor parte del tiempo lee correo o navega, actividad esta última que conlleva un importante riesgo, sea con el navegador que sea. Esta irresponsable actitud de usuario administrador perpetuo está heredada de los tiempos de Windows 9x. No tenía sistema de usuarios local real, ni soportaba NTFS, con lo que no se podían establecer permisos por usuarios. Cuando apareció XP, tras su instalación Microsoft permitía por fin la creación de un usuario distinto al administrador para el uso del sistema. Un gesto que hubiera servido de algo si este mismo usuario no perteneciese por defecto al grupo administradores, y por tanto fuese tan poderoso como él.

A nadie que utilice un sistema operativo que no sea Windows se le ocurre realizar sus actividades cotidianas como "root" o súperusuario. En Windows, lo extraño es precisamente lo contrario, trabajar con cuentas limitadas. Este es el verdadero origen de la mayor parte de los males, y de que el malware pueda campar a sus anchas en un ordenador donde puede escribir, leer, modificar... puesto que es ejecutado con los mismos permisos del usuario que está usando la máquina.

En Windows Vista, Microsoft ha establecido un importante sistema de seguridad para mitigar este problema heredado, rompiendo así una tendencia muy arraigada y limitando el poder del usuario habitual. Se ha relegando por fin el uso del administrador a un segundo plano. Sin embargo esto ha sido visto por muchos usuarios como un estorbo, en vez de como una importantísima mejora en su seguridad.

Aunque se presente aquí como panacea, no lo es. Todavía una parte del malware actual podría seguir actuando. Además, trabajar como usuario raso en XP o 2000 puede llegar a ser incómodo, incluso para usuarios experimentados. Es necesario tener conocimientos sobre permisos, privilegios, NTFS, derechos, herencias, grupos... Por si fuera poco, con ánimo de no complicar al usuario, Windows XP Home Edition escondía deliberadamente la pestaña de seguridad para poder cambiar los permisos, a no ser que se trabajara en modo a prueba de fallos.

Actualizar el sistema

No sólo Windows, sino todos los programas que tengamos instalados deben estar actualizados a la última versión de su rama. Esto es muy importante, pues una gran parte del malware hoy en día se aprovecha de vulnerabilidades conocidas que ya tienen parche. Muchos usuarios piensan que un Windows parcheado tendrá problemas "legales" o que sufrirá fallos de compatibilidad. Un Windows sin actualizar es un Windows contaminado. Pero no sólo el sistema operativo. Todo programa es susceptible de sufrir problemas de seguridad y de que sean aprovechados. Desde el reproductor de MP3 hasta el lector de PDF, se han detectado ataques dirigidos a versiones vulnerables de los programas más utilizados para tareas comunes. La única solución es no abrir archivos no solicitados tengan el formato que tengan y sobre todo, mantener actualizados los programas que los interpretan.

Mantenerse informado

Mantenerse informado sobre tendencias de seguridad, malware y estado en general de la seguridad en la red. No se puede luchar contra lo que no se conoce. Son muchos los usuarios que desconocen que pueden ser infectados por archivos que no son ejecutables, que es posible ejecutar código arbitrario en el sistema de forma transparente con sólo visitar una web, o que el SSL del banco visitado no tiene por qué significar que un sistema no esté troyanizado o que no se trate de un phishing. Otros piensan que el hecho de que la página del banco aparezca modificada y requiera más casillas de la tarjeta de coordenadas de lo habitual, significa que la seguridad ha aumentado...estar informado es primordial. No sólo por lo cambiante de algunas técnicas, sino también porque es necesario seguir de cerca ciertas campañas que emprenden los atacantes y que suscitan modas y comportamientos sobre los que resulta imprescindible estar especialmente atento. Existen momentos en los que se perpetran ataques concretos para los que puede que la única solución sea conocerlos y evitarlos hasta que exista parche.

Otros consejos

Estos tres consejos anteriores son los más importantes. Por desgracia no son los que se dan habitualmente en los medios no especializados. Ni la tecnología, ni Internet ni los atacantes son los mismos que hace cinco años, por tanto las precauciones no deben ser iguales para siempre. Obviamente es necesario usar herramientas o suites de seguridad actualizadas (cortafuegos, antispyware...) pero sobre todo, saber cómo se usan. Si no se saben manejar, se vuelven inútiles.

¿Y el antivirus? Por supuesto. También es imprescindible tener un antivirus actualizado a diario.


Sergio de los Santos
ssantos@hispasec.com



martes, 29 de julio de 2008

Actualización crítica para RealPlayer corrige hasta cuatro fallos de seguridad

RealNetworks ha publicado recientemente una actualización de seguridad para su producto más conocido, RealPlayer, que corrige un total de cuatro fallos que podrían ser aprovechados por un atacante remoto para acceder a información sensible, causar una denegación de servicio o ejecutar código arbitrario en un sistema vulnerable.

RealPlayer es un reproductor multimedia disponible para distintas plataformas y que acepta archivos de audio y vídeo en un gran número de formatos. Actualmente es empleado por millones de usuarios de Internet, aunque en los últimos tiempos, y por diversas razones, está perdiendo adeptos en favor de otros reproductores.

Las vulnerabilidades corregidas, tres de ellas calificadas como críticas, son las siguientes:

* El primer problema está causado por un error en el componente ActiveX RealAudioObjects.RealAudio, usado por el módulo rmoc3260.dll, al manejar las propiedades "Controls" o "WindowName". Esto podría permitir a un atacante sobrescribir en bloques de memoria del búfer basado en heap después de que éstos hayan sido liberados y modificar así ciertos registros. La vulnerabilidad podría ser usada para hacer que el navegador web deje de responder o para ejecutar código arbitrario si un usuario visita con Internet Explorer una página web especialmente manipulada.

Según los registros de S.A.N.A., nuestro sistema de alertas de seguridad, este fallo es el mismo que fue descubierto y reportado por el investigador Elazar Broad el pasado día 10 de marzo, y que estaba supuestamente solventado en la revisión 11.0.2 (build 6.0.14.802) de RealPlayer disponible desde el 24 de dicho mes. El problema es básicamente el mismo, con la salvedad de que antes se creía que sólo afectaba a la propiedad "Console" y ahora se ha dado a conocer que las propiedades "Controls" y "WindowName" también se verían afectadas por la vulnerabilidad. Así lo confirma el propio Broad en uno de sus correos enviados a la lista de seguridad Full Disclosure.

A pesar de que Real Networks asegura que la última actualización solventaría esta vulnerabilidad, fuentes fiables afirman que no la parchea de forma completa y por lo tanto sería recomendable activar el kill-bit para el control ActiveX afectado. Se puede leer más información sobre esta vulnerabilidad y como activar el kill-bit en la Una-Al-Día publicada por Hispasec el pasado 11 de marzo (sección Más información).

* La segunda vulnerabilidad está causada por un error de diseño en el manejo de frames en archivos Shockwave Flash (SWF). Esto podría ser explotado por un atacante remoto para causar un desbordamiento de búfer basado en heap, que le permitiría la ejecución de código arbitrario.

* El tercer problema de seguridad se debe a un error de límites en el módulo rjbdll.dll al manejar el borrado de archivos multimedia. Un atacante remoto podría explotar la vulnerabilidad por medio del control ActiveX para importar un archivo malicioso a la librería de medios del usuario. El fallo sería explotable cuando el usuario intentase borrar este archivo, causando un desbordamiento de pila que podría ser aprovechado para ejecutar código arbitrario.

* La última vulnerabilidad se trata de un error no especificado que podría ser aprovechado para referenciar recursos locales.

Dependiendo de la plataforma en la que se esté ejecutando, las versiones 10 y 11 de RealPlayer podrían ser vulnerables a al menos uno de los fallos. Para mayor información se puede consultar la tabla de productos afectados disponible en la alerta original del fabricante. En cualquiera de los casos, se recomienda actualizar a las últimas versiones no vulnerables, y que estarían disponibles desde:
http://www.real.com/


Pablo Molina
pmolina@hispasec.com


Más información:

RealNetworks, Inc. Releases Update to Address Security Vulnerabilities.
http://www.service.real.com/realplayer/security/07252008_player/en/

RealNetworks RealPlayer rmoc3260 ActiveX Control Memory Corruption Vulnerability
http://www.zerodayinitiative.com/advisories/ZDI-08-047/

Elazar Broad: Real Networks RealPlayer ActiveX Heap Use After Free Vulnerability
http://lists.grok.org.uk/pipermail/full-disclosure/2008-July/063476.html

Vulnerability Note VU#298651: RealNetworks RealPlayer Shockwave Flash (SWF) file vulnerability
http://www.kb.cert.org/vuls/id/298651

RealNetworks RealPlayer Library File Deletion Stack Overflow Vulnerability
http://www.zerodayinitiative.com/advisories/ZDI-08-046/

11/03/2008 Ejecución de código a través de un ActiveX de RealPlayer
http://www.hispasec.com/unaaldia/3426

lunes, 28 de julio de 2008

Ejecución de código a través de SNMP en Solaris 10 y OpenSolaris

Se ha informado sobre una vulnerabilidad en el System Management Agent (SMA) del demonio SNMP (snmpd(1M)) de Solaris 10 y OpenSolaris que podría ser aprovechada por un atacante remoto para ejecutar código arbitrario con los permisos del demonio SNMP o hacer que éste deje de responder.

La vulnerabilidad se debe a un desbordamiento de buffer en la función '__snprint_value'. Esto puede permitir la ejecución de código a través del envío de una cadena de caracteres especialmente manipulada.

Este fallo solo afecta a sistemas con el paquete SUNWsmagt instalado. Se ven afectadas las versiones de Solaris 10 y OpenSolaris en las compilaciones snv_01 a snv_92 tanto para Plataformas Sparc como X86.

En OpenSolaris se recomienda actualizar a compilaciones snv_93 o superiores. Para Solaris, hasta la publicación de un parche oficial, es posible desactivar el servio SMA mediante:
# svcadm disable svc:/application/management/sma:default


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Security Vulnerability in the System Management Agent (SMA) SNMP daemon (snmpd(1M))
http://sunsolve.sun.com/search/document.do?assetkey=1-66-239785-1

domingo, 27 de julio de 2008

Actualización del kernel para SuSE Linux

SuSE ha publicado una actualización del kernel (a la versión 2.6.16.60-0.25) que corrige múltiples vulnerabilidades en SUSE Linux Enterprise 10.

* Existe una vulnerabilidad en los sistemas x86_64 que podría ser aprovechada por medio de un ataque de denegación de servicio para provocar que el sistema deje de responder.

* Existe problema de ordenación en la función fcntl_setlk de SMP que podría permitir a un atacante local ejecutar código arbitrario.

* Se ha solucionado un error en el manejo de mmap que ocasionaba que la aplicación dejara de responder.

* Un error en el chequeo de permisos cuando se efectúa un cambio en el montaje de un árbol de ficheros podría ser aprovechado por un atacante local para cambiar el punto de montaje.

* Varios dispositivos serie o tty no chequean la validez de punteros a funciones antes de ser usadas permitiendo a un atacante efectuar una denegación de servicio y potencialmente ejecutar código arbitrario.

* Se ha solucionado un problema en la implementación de asn1 del kernel que podría ser aprovechada por un atacante local para efectuar una denegación de servicio y potencialmente ejecutar código arbitrario.

Se recomienda actualizar a la última versión disponible a través de la herramienta automática YaST.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

[security-announce] SUSE Security Announcement: Linux kernel (SUSE-SA:2008:035)
http://lists.opensuse.org/opensuse-security-announce/2008-07/msg00007.html

sábado, 26 de julio de 2008

Actualización de seguridad para IBM WebSphere 5

IBM ha publicado una actualización de WebSphere Application Server Version 5.1.1 que soluciona una vulnerabilidad de impacto no especificado.

IBM WebSphere Application Server (WAS) es el servidor de aplicaciones de software de la familia WebSphere de IBM. WAS puede funcionar con diferentes servidores web y sistemas operativos como AIX, Linux, Microsoft Windows y Solaris.

El fallo reside en la utilidad "PropFilePasswordEncoder" y podría estar relacionado con un fallo anterior de la utilidad "Wsadmin" la cual podría omitir el cifrado de archivos importantes. No se han facilitado más detalles del problema y su impacto.

Se recomienda actualizar a la última versión 5.1.1.19 disponible desde:
http://www-1.ibm.com/support/docview.wss?rs=180&uid=swg24019522


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Fix list for WebSphere Application Server Version 5.1.1
http://www-1.ibm.com/support/docview.wss?uid=swg27006879

viernes, 25 de julio de 2008

Actualización del kernel para Red Hat Enterprise Linux 4

Red Hat ha publicado una actualización del kernel de Red Hat Desktop, Enterprise Linux AS, ES y WS en su versión 4 que corrige diversas vulnerabilidades que podrían permitir a un atacante local efectuar una denegación de servicio.

* La primera vulnerabilidad corregida reside en un problema en el tratamiento de punteros nulos en el proceso de validación de terminales. Esto podría ser aprovechado por un atacante local para efectuar una denegación de servicio a través de vectores no especificados.

* Se ha corregido un fallo no especificado en el sistema de archivos UDF (Universal Disk Format). Esto podría ser aprovechado por un atacante local para efectuar una denegación de servicio a través de vectores no especificados.

Además de las correcciones de seguridad, se han corregido múltiples errores de funcionamiento y añadido nuevas funcionalidades.

Se recomienda actualizar a través de las herramientas automáticas up2date.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Updated kernel packages for Red Hat Enterprise Linux 4.7
https://rhn.redhat.com/errata/RHSA-2008-0665.html

jueves, 24 de julio de 2008

Denegaciones de servicio en Asterisk

Se han encontrado dos vulnerabilidades en Asterisk, ambas calificadas como críticas, que podrían permitir a un atacante local o remoto causar una denegación de servicio en los sistemas vulnerables.

Asterisk es una aplicación de una central telefónica (PBX) de código abierto. Como cualquier PBX, se pueden conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el exterior. Asterisk es ampliamente usado e incluye un gran número de interesantes características: buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. Además el software creado por Digium está disponible para plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows.

A continuación se explican con más detalle las vulnerabilidades encontradas y corregidas:

* Por medio del envío masivo de peticiones POKE a un sistema vulnerable, un atacante podría acaparar todos los números de llamada (líneas) asociados con el protocolo IAX2, impidiendo el procesamiento del resto de llamadas o peticiones, provocando una denegación de servicio. El fallo está causado porque, de acuerdo con el protocolo IAX2, una vez que el servidor recibe una petición de POKE, este mandaría una respuesta PONG y se quedaría esperando por un paquete ACK con el mismo número de llamada, manteniendo ocupada esa línea. El problema ha sido solucionado usando única y exclusivamente el número de llamada 1 (línea 1) para las peticiones POKE y descartando los paquetes ACK para dicha línea.

El investigador que descubrió la vulnerabilidad hizo público un exploit tan solo dos días después de informar al equipo de Digium acerca de la misma y sin dar tiempo suficiente para la creación de un parche. A los desarrolladores de Asterisk, que se enteraron de la existencia del exploit por medio de terceras partes, no les ha gustado esta forma de proceder y la han tachado de irresponsable al poner en riesgo la usabilidad de los sistemas afectados.

* En cuanto a la segunda vulnerabilidad descubierta, está provocada por la falta de un método de validación de destino (handshake) en el protocolo usado para el envío de actualizaciones del firmware, y podría permitir que un atacante remoto falsificase la dirección desde la que se envía dicha petición, causando que el paquete de actualización mandado por el servidor (con un tamaño de 1040 bytes) tuviera como destino una dirección falsificada. Por medio de múltiples peticiones a distintos servidores, un atacante remoto podría dirigir a un sistema una gran cantidad de paquetes de actualización no deseados, causándole una denegación de servicio.

A continuación se muestra una lista de los productos afectados por los dos problemas de seguridad:

Asterisk Open Source 1.0.x, 1.2.x y 1.4.x.
Asterisk Business Edition A.x.x, B.x.x y C.x.x.
La versión pre-release de AsteriskNOW.
Asterisk Appliance Developer Kit 0.x.x.
s800i (Asterisk Appliance) 1.0.x.

Se recomienda actualizar a las siguientes versiones no vulnerables de los distintos productos:

Para Asterisk Open Source actualizar a las versiones 1.2.30 ó 1.4.21.2,
disponibles desde:
ftp://ftp.digium.com/pub/telephony/asterisk

Para Asterisk Business Edition actualizar a las versiones B.2.5.4, C.1.10.3 ó C.2.0.3, disponibles desde:
http://downloads.digium.com/

Para s800i (Asterisk Appliance) actualizar a la versión 1.2.0.1.


Pablo Molina
pmolina@hispasec.com



miércoles, 23 de julio de 2008

Firefox 3 aprovecha una opción de seguridad de Internet Explorer

En un movimiento cuando menos curioso, Firefox 3 bajo Windows se
aprovecha de una de las mejores (y a la vez más desconocidas)
funcionalidades de Internet Explorer: las zonas de seguridad. De hecho,
Firefox 3 se aplicará a sí mismo una opción de la configuración de las
zonas de seguridad de Internet Explorer, de forma que si no se confía
en un dominio para descargar ejecutables en el navegador de Microsoft,
Firefox 3 tampoco permitirá la descarga.

Internet Explorer permite clasificar las páginas (los dominios) en
distintas zonas. Las zonas son una clasificación lógica que hace el
navegador de las distintas páginas que se visitan. A cada zona (que se
puede ver como un conjunto de dominios) se le permiten ciertas licencias
sobre el sistema, o ejecución de cierto tipo de código del lado del
cliente según la zona donde quede adjudicado cada dominio. Esto permite
clasificar de forma eficiente las zonas confiables o peligrosas y
ejercer cierto control sobre el sistema según los escenarios a los que
nos enfrentemos. Así, se puede limitar la ejecución de ActiveX a un
cierto número de páginas confiables, permitirlo en todas menos en una
lista conocida, permitir la descarga sólo desde ciertos dominios...
Las zonas de Internet Explorer son una herramienta injustificadamente
ignorada en general por los usuarios... pero no por Firefox 3.

Los usuarios de Firefox que hayan configurado sus zonas de Internet
Explorer de forma saludablemente paranoica, se encontrarán con que, por
ejemplo, no podrán descargar con Firefox 3 ejecutables desde algunas
páginas. Firefox emitirá el siguiente error:

This download has been blocked by your Security Zone Policy (Esta
descarga ha sido bloqueada por la política de seguridad de las zonas).

Y, por mucho que los usuarios busquen la opción que se lo permita en
la configuración del propio Firefox, no lo descargará hasta que no se
modifique la configuración de las zonas de Internet

En concreto, se vale de una directiva existente en Internet Explorer 7
a la hora de configurar profusamente las zonas de seguridad: "Ejecutar
aplicaciones y archivos no seguros". Esta directiva permite elegir si
se va a "bloquear", "permitir" o "preguntar" al ejecutar o descargar
archivos desde un dominio catalogado en una zona concreta. Por defecto
está configurado para "preguntar", pero si un usuario eleva la seguridad
de su "zona de Internet" (sitios desconocidos, habitualmente), esta
opción bloqueará por defecto todas las descargas y ejecuciones de
archivos de los dominios que no estén en la zona de "sitios de
confianza" (una especie de lista blanca). Y ahora no sólo en Internet
Explorer, sino también en Firefox 3 bajo Windows.

Este aprovechamiento de funcionalidades ajenas podría ser visto como un
movimiento de Mozilla orientado hacia el entorno corporativo. Uno de los
argumentos que Microsoft ha esgrimido siempre a favor de su navegador es
que Internet Explorer, en un entorno corporativo (con Directorio Activo
y numerosos sistemas) es muy configurable por políticas de forma cómoda,
pudiendo de un solo golpe de ratón asegurar por ejemplo las zonas en
todos los puestos de trabajo. Con este movimiento, aprovechando la
configuración de IE, Firefox facilita su aceptación en un entorno
corporativo, que sufre de problemas y necesidades mucho más complejas
que las del usuario medio. La necesidad de compatibilidad y posibilidad
de configuración remota, granular y masiva suele ser lo más valorado por
los administradores de grandes sistemas.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Reset system Internet security settings - Windows
http://kb.mozillazine.org/Unable_to_save_or_download_files#Reset_system_Internet_security_settings_-_Windows

Firefox 3 Follows IE7's Security Settings
http://blog.washingtonpost.com/securityfix/2008/07/firefox_3_follows_ie7s_securit_1.html

martes, 22 de julio de 2008

Descubiertos los detalles de la vulnerabilidad en el protocolo DNS

Desde el 8 de julio se está produciendo uno de los episodios más curiosos vividos nunca en la red. Se publicó ese día una actualización masiva para la mayoría de los dispositivos en Internet que utilizan DNS. Se dijo que había sido descubierta una vulnerabilidad que permitía falsificar las respuestas DNS, y por tanto redireccionar el tráfico. Casi todos los grandes y pequeños fabricantes y programadores actualizaron sus sistemas y se intentó mantener los detalles técnicos de la vulnerabilidad ocultos, por la gravedad y el potencial impacto que podría suponer. Finalmente, dos semanas después, se conocen los detalles.

Toda vulnerabilidad es importante y tiene un potencial impacto en la red. Sin embargo, cuando hablamos de la resolución de nombres y de problemas en los servidores DNS, la gravedad se multiplica porque se supone que los servidores DNS sustentan la red. Dan Kaminsky había descubierto un fallo de base en el protocolo que permitía a cualquiera falsificar las respuestas de un servidor. No era problema de ningún fabricante sino de casi todos, un fallo de diseño de un estándar usado en todo Internet. En un importante esfuerzo de coordinación todos los grandes fabricantes están publicado sus actualizaciones desde el día 8 de julio.

Pero Dan Kaminsky no daba detalles sobre el asunto. Era demasiado grave y pensaba que sería irresponsable proporcionar esa información sin dar suficiente tiempo a todos los administradores para actualizar. Del parche no se podía deducir el problema puesto que simplemente añadía aleatoriedad y entropía a ciertos valores que desde hace mucho se sabía que no eran la mejor solución para asegurar el protocolo. Es por esto que se apostaba desde un principio por que la vulnerabilidad de Kaminsky se tratara en realidad de una nueva forma más eficaz de engañar a los servidores DNS para que den respuestas falsas, gracias a un fallo inherente del protocolo (y así ha sido).

Kaminsky daría los detalles un mes después, en la conferencia Black Hat de agosto. Por una parte, el descubridor estaba siendo responsable (dando tiempo a los administradores) pero tremendamente mediático por otra (creando una expectación exagerada en torno a la conferencia). Todo esto, ayudado por la desinformación de los medios generalistas ha ayudado a que la desconfianza siguiese creciendo. Todos defendían su teoría: desde el escéptico hasta el que hablaba de la debacle de la Red. Sólo un grupo de personas concretas conocía los detalles técnicos, y tenían instrucciones de no revelarlos y de evitar las especulaciones públicas. Kaminsky pretendía así ingenuamente asegurarse que sólo él daría los detalles cuando lo tenía planeado, cumpliendo así la segunda parte de su plan una vez publicadas las actualizaciones. Imposible... poco después las listas estaban llenas de comentarios y elucubraciones.

Afortunadamente en la seguridad informática siempre hay alguien que va más allá. Thomas Dullien, el CEO de la compañía Zynamics (también conocido como Halvar Flake) se aventuró a publicar en su blog su particular visión de lo que podía ser el problema descubierto por Kaminsky, sin tener conocimiento previo de los detalles. Y no se equivocó en su teoría. La insinuación de que estaba en lo cierto vino desde varios frentes (entre ellos desde un post en Twitter del propio Kaminsky), pero lo confirmó totalmente una entrada del lunes pasado en el blog de Thomas Ptacek, director la compañía Matasano que era de los que conocía los detalles reales. La entrada estaba firmada por un/a tal "ecopeland" del equipo de Ptacek. Según linkedin.com existe un/a Erin Ptacek (Copeland), desarrollador/a de software en Matasano (¿familiar del director?). En el post se daba la razón a Dullien, junto con todo lujo de detalles sobre el fallo que Dullien había 'redescubierto'. La explicación fue retirada poco después (actualmente está disponible a través de la caché de Google). Ptacek se ha disculpado públicamente, probablemente se dejó llevar por su ánimo de compartir la información. Demasiado tarde... ya circula libremente por Internet.

Los detalles técnicos pueden ser encontrados en el apartado de más información. No tardarán en aparecer exploits. Ahora la gravedad del problema se multiplica. Afortunadamente casi todos los fabricantes han publicado ya un parche.

Aunque se conocía el problema desde enero, Kaminsky trabajó intensamente con los grandes fabricantes para mantenerlo en secreto y coordinar la aparición de parches un día concreto (que tuvo que coincidir con el día de actualización de Microsoft). Esto resulta extremadamente complicado, y hay que reconocer que ha debido resultar un trabajo complejo el coordinar y mantener la discreción sobre un tema tan delicado. Un esfuerzo elogiable. Sin embargo desde que se anunció la existencia del problema, sólo se han necesitado dos semanas para que sea desvelado, frustrando el plan de Kaminsky de aguantar un mes hasta la Black Hat para revelar los detalles.

Son muchas las moralejas y conclusiones que se pueden extraer de este incidente. De nuevo el debate sobre la revelación responsable de vulnerabilidades, la fuerza del ego de muchos investigadores, la demostración de que un esfuerzo coordinado para una actualización masiva ante un problema común es posible... pero sobre todo llama la atención la capacidad de Thomas Dullien de redescubrir un problema que siempre habría estado ahí, pero que no se había planteado buscar hasta que alguien apuntó que existía. Dullien contaba con las bases (el protocolo DNS sufre de problemas inherentes conocidos) sólo había que mover las piezas para encontrar lo que podía ser el fallo que otro decía ya saber. Y acertó. Una de las mejores formas de captar el interés de un asunto, (aunque siempre haya estado ante nuestras narices y creamos conocerlo) es afirmar que oculta un secreto.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Kerfuffle erupts as DNS flaw described
http://www.securityfocus.com/brief/779

Reliable DNS Forgery in 2008
http://amd.co.at/dns.htm

On Dan's request for "no speculation please"
http://addxorrol.blogspot.com/2008/07/on-dans-request-for-no-speculation.html

Regarding The Post On Chargen Earlier Today
http://www.matasano.com/log/1105/regarding-the-post-on-chargen-earlier-today/

lunes, 21 de julio de 2008

Actualización de múltiples paquetes para SuSE Linux

SuSE ha publicado actualizaciones para múltiples paquetes que corrigen diferentes problemas de seguridad.

* Problemas de cross site scripting en moodle.

* Actualizaciones menores para clamav, que publica su versión 0.93.3.

* Problemas de comprobación de firma en zypper.

* Un problema de validación de entradas en mercurial en openSUSE 11.0 podría permitir manipular ficheros como root.

* Problemas de ejecución de código arbitrario en poppler.

Se recomienda actualizar a través de las herramientas automáticas YoU (Yast Online Update).


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

[security-announce] SUSE Security Summary Report SUSE-SR:2008:015
http://lists.opensuse.org/opensuse-security-announce/2008-07/msg00006.html

domingo, 20 de julio de 2008

Grupo de parches de julio para diversos productos Oracle

Tal y como adelantamos, esta semana Oracle ha publicado un conjunto de 45 parches para diversos productos de la casa que solventan una larga lista de vulnerabilidades sobre las que apenas han dado detalles concretos. Las consecuencias son que atacantes locales y remotos pueden provocar denegaciones de servicio, ejecutar código arbitrario, tener acceso de escritura y lectura a datos sensibles, perpetrar ataques de inyección SQL y eludir restricciones de seguridad.

Los fallos se dan en varios componentes de los productos.
Oracle Database 11g, versión 11.1.0.6
Oracle Database 10g Release 2, versiones 10.2.0.2, 10.2.0.3, 10.2.0.3
Oracle Database 10g, versión 10.1.0.5
Oracle Database 9i Release 2, versiones 9.2.0.8, 9.2.0.8DV
Oracle TimesTen In-Memory Database versión 7.0.3.0.0
Oracle Application Server 10g Release 3 (10.1.3), versiones 10.1.3.1.0, 10.1.3.3.0
Oracle Application Server 10g Release 2 (10.1.2), versiones 10.1.2.2.0, 10.1.2.3.0
Oracle Application Server 10g (9.0.4), versión 9.0.4.3
Oracle Hyperion BI Plus versión 9.2.0.3, 9.2.1.0, 9.3.1.0
Oracle Hyperion Performance Suite versión 8.3.2.4, 8.5.0.3
Oracle E-Business Suite Release 12, versiones 12.0.4
Oracle E-Business Suite Release 11i, versiones 11.5.10.2
Oracle Enterprise Manager Database Control 11i versión 11.1.0.6
Oracle Enterprise Manager Database Control 10g Release 2, versiones 10.2.0.2, 10.2.0.3, 10.2.0.4
Oracle Enterprise Manager Database Control 10g Release 1, versión 10.1.0.5
Oracle Enterprise Manager Grid Control 10g Release 1, versiones 10.1.0.5, 10.1.0.6
Oracle PeopleSoft Enterprise PeopleTools versiones 8.48.17, 8.49.11
Oracle PeopleSoft Enterprise CRM versiones 8.9, 9.0
Oracle WebLogic Server (formerly BEA WebLogic Server) 10.0 released through MP1
Oracle WebLogic Server (formerly BEA WebLogic Server) 9.0, 9.1, 9.2 released through MP3
Oracle WebLogic Server (antiguo BEA WebLogic Server) 8.1
Oracle WebLogic Server (antiguo BEA WebLogic Server) 7.0
Oracle WebLogic Server (antiguo BEA WebLogic Server) 6.1

De las 45 correcciones:

* 14 afectan a Oracle Database. Ninguna de las cuales no requieren un usuario y contraseña válidos para poder ser aprovechadas. Los componentes afectados son:
Advanced Queuing, Oracle Enterprise Manager, Advanced Replication, Authentication, Oracle Database Vault, Oracle Spatial, Data Pump, Core RDBMS, Instance Management, Resource Manager, Advanced Replication.

* Nueve afectan a Oracle Application Server. Todas las cuales no requieren un usuario y contraseña válidos para poder ser aprovechadas. Ningunas son aplicables a las instalaciones de cliente. Los componentes afectados son:
Oracle Portal, Oracle HTTP Server, Oracle Internet Directory y Hyperion BI Plus.

* Seis afectan a Oracle E-Business Suite y no requieren un usuario y contraseña válidos para poder ser aprovechadas. Los componentes afectados son:
Oracle Application Object Library, Oracle Applications Technology Stack, Oracle iStore, Oracle Report Manager y Mobile Application Server.

* Dos afectan a Oracle Enterprise Manager. Requieren un usuario y contraseña válidos para poder ser aprovechadas. Los componentes afectados son:
Instance Management y Resource Manager.

* Siete afectan a Oracle PeopleSoft Enterprise and JD Edwards EnterpriseOne. Ninguna de las cuales no requieren un usuario y contraseña válidos para poder ser aprovechadas. Los componentes afectados son:
PeopleSoft PeopleTools.

* Siete afectan a BEA Product Suite. Cuatro de ellas no requieren un usuario y contraseña válidos para poder ser aprovechadas. Los componentes afectados son:
ebLogic Server Plugins for Apache, Sun and IIS web servers; WebLogic Server.

Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial:

* Oracle Critical Patch Update - July 2008
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujul2008.html

Oracle Critical Patch Update July 2008 Documentation Map:
http://metalink.oracle.com/metalink/plsql/ml2_documents.showDocument?p_database_id=NOT&p_id=605152.1


Laboratorio Hispasec
laboratorio@hispasec.com



sábado, 19 de julio de 2008

Actualización de seguridad para Firefox 3 y otros productos Mozilla

La Fundación Mozilla ha publicado actualizaciones de seguridad para varios de sus productos, que solventan múltiples vulnerabilidades que podrían ser aprovechadas por un atacante remoto para provocar una denegación de servicio, saltarse restricciones de seguridad o ejecutar código arbitrario en un sistema vulnerable.

El primero de los problemas corregidos en Firefox 2 y 3, que también afectaría a SeaMonkey (y a Thunderbird si se tiene JavaScript habilitado), fue reportado por un investigador anónimo a Zero Day Initiative tan sólo cinco horas después del lanzamiento de la versión 3 del navegador, el pasado día 17 de junio. El segundo fallo lo comparten las versiones 2 y 3 de Firefox, mientras que el tercero solo afectaría a la rama 3 del navegador ejecutándose sobre la plataforma Mac OS X.

A continuación se explican las vulnerabilidades con más detalle:

* Se ha descubierto un error de desbordamiento de búfer al procesar ciertos contenidos web. El problema está causado por un error en el manejo del contador de referencia para los objetos CSS (hojas de estilo en cascada), más concretamente al intentar liberar los objetos CSS todavía en uso cuando se recibe un excesivo número de peticiones de referencia a éste tipo de objetos. Esto podría ser aprovechado por un atacante remoto para hacer que la aplicación deje de responder o para ejecutar código arbitrario, por medio de una web maliciosa que sobrecargase el contador de objetos CSS por medio de gran número de referencias a la hojas de estilo.

* Existe una segunda vulnerabilidad (salto de restricciones) que podría hacer que se abrieran múltiples pestañas en el navegador si una aplicación que lo invoca, cuando Firefox NO está corriendo, le pasa una línea de comandos especialmente modificada con una URI que contenga el carácter "pipe" ("|"). Ejemplo: 'firefox http://hispasec.com|virustotal.com'. Ésta vulnerabilidad podría ser aprovechada para saltarse las restricciones de seguridad que previenen el acceso a URIs especiales, permitiendo la ejecución de archivos almacenados en el sistema local (por medio de URIs del tipo "file:"). Billy Rios ya informó de que este fallo, del que no se han desvelado los detalles hasta ahora, podría ser aprovechado junto con la vulnerabilidad "Carpet Bomb" de Safari para ejecutar código arbitrario en un sistema vulnerable. Además ahora se avisa de que también podría ser aprovechado para ejecutar código arbitrario si se invoca a un objeto del tipo chrome (URIs de la forma "chrome:") al que se hubiera le inyectado código script por medio de otra vulnerabilidad.

* El tercer problema de seguridad fue descubierto por Drew Yao de Apple Product Security y está causado por un fallo en el tratamiento de imágenes GIF. Esto podría causar que Firefox liberase un puntero no inicializado, lo que podría aprovechado por un atacante remoto, por medio de un archivo GIF especialmente manipulado, para hacer que el navegador dejase de responder o ejecutar código arbitrario.

Además de las vulnerabilidades, la nueva versión de Firefox 3 ha solventado algunos fallos de estabilidad, un problema en las bases de datos de URLs maliciosas (utilizadas para el phishing o la descarga de malware) y trae una actualización de la Public Suffix list (lista pública de terminaciones de dominio).

Se recomienda la actualización de los productos Mozilla a las siguientes versiones no vulnerables: Firefox 2.0.0.16 ó 3.0.1, Thunderbird 2.0.0.16 y SeaMonkey 1.1.11 tan pronto como estén disponibles desde:
http://www.mozilla.com/


Pablo Molina
pmolina@hispasec.com



viernes, 18 de julio de 2008

Ejecución remota de código a través de PDF en BlackBerry Enterprise Server

Se ha encontrado una vulnerabilidad en BlackBerry Enterprise Server (BES) y BlackBerry Unite! que podría ser explotada por un atacante remoto para ejecutar código arbitrario en el servidor.

BlackBerry es un smartphone desarrollado por la compañía canadiense, Research In Motion (RIM) que dispone de correo electrónico, telefonía móvil, SMS, navegación web y otros servicios multimedia.

La vulnerabilidad está causada por un error no especificado en el "analizador" (Distiller) de BlackBerry Attachment Service al procesar archivos adjuntos en PDF especialmente manipulados. Esto podría ser explotado por un atacante remoto para ejecutar código arbitrario en el BES y en BlackBerry Unite! si el usuario abre un archivo PDF malicioso.

El Attachment Service (o "servicio de adjuntos") forma parte del servidor de BlackBerry y se encarga de procesar archivos en múltiples formatos, incluyendo PDF, decodificándolos para transformarlos a un formato legible desde el smartphone. Debido a su función, este servicio es susceptible de sufrir problemas de seguridad, (especialmente desbordamientos de búfer basados en heap), que podrían ser aprovechados por medio de archivos maliciosos para ejecutar código arbitrario en el servidor. De hecho, la vulnerabilidad al procesar archivos PDF no es la primera descubierta. En el año 2006 se hizo público un problema similar pero esta vez provocado por un fallo al transformar archivos de tipo TIFF.

La vulnerabilidad ha sido calificada como muy grave por Research In Motion, asignándole un 9.0 sobre 10 en el coeficiente CVSS (Common Vulnerability Scoring System), y ha sido confirmada para los siguientes productos: BlackBerry Enterprise Server versiones de la 4.1 Service Pack 3 (4.1.3) a la 4.1 Service Pack 5 (4.1.5), y para las versiones anteriores a la 1.0 Service Pack 1 (1.0.1) bundle 36 de BlackBerry Unite!

Se recomienda actualizar a la versión 1.0 Service Pack 1 (1.0.1) bundle 36 o superior de BlackBerry Unite! desde:
http://www.blackberry.com/

Todavía no existe ningún parche disponible para BlackBerry Enterprise Server y desde RIM no se ha especificado una fecha para su lanzamiento. En el boletín de seguridad se recomienda a los usuarios no abrir archivos PDF de procedencia desconocida y se indica que, si fuera necesario, sería posible bloquear el procesado de archivos PDF en BlackBerry Attachment Service. Esto se puede hacer siguiendo una serie de pasos detallados en la alerta original del fabricante.

Para obtener más información sobre prácticas de seguridad para BlackBerry Enterprise Server, véase el documento técnico publicado en diciembre de 2007 por el Departamento de Defensa del Gobierno Australiano y que tiene por título "BlackBerry Hardening Guide".


Pablo Molina
pmolina@hispasec.com



jueves, 17 de julio de 2008

Actualización de seguridad para iPhone 2G y para iPod touch

Apple lanzó el pasado viernes la versión 2.0 del firmware para los dispositivos iPhone 2G y iPod touch. La actualización incluye parches para un total de trece problemas de seguridad que podrían ser aprovechados por un atacante remoto para acceder a información sensible, falsificar ciertos datos, provocar que el sistema deje de responder o incluso ejecutar código arbitrario en un dispositivo vulnerable.

De los trece fallos de seguridad corregidos, ocho corresponden al navegador Safari y otros tres a WebKit el motor de código abierto en el que se basa el navegador de Apple. De los dos restantes, uno está localizado en el kernel de sistema operativo y el otro en CFNetwork.

A continuación se describen con brevedad todos los problemas solventados, que no afectan al modelo de iPhone 3G que fue lanzado a la venta también el pasado viernes, puesto que éste ya trae de serie la versión 2.0 del firmware.

1- Un fallo en CFNetwork que podría permitir que un servidor proxy HTTPS falsificase ciertas páginas web seguras.

2- Un problema en el Kernel al manejar ciertos paquetes IP que podría provocar que el dispositivo se reiniciase al intentar procesar un paquete especialmente manipulado.

3- Un fallo en Safari haría que se interpretasen los espacios entre signos ideográficos codificados con Unicode en la barra de direcciones, lo que podría permitir la falsificación de URLs.

4- Un error en Safari a la hora de validar los certificados autofirmados o no válidos de un sitio web, podría hacer que se aceptasen de forma automática, permitiendo una revelación de información sensible.

5- Un problema en Safari al manejar índices de arrays JavaScript podría ser aprovechador por medio de un archivo especialmente manipulado para hacer que la aplicación deje de responder o ejecutar código arbitrario.

6- Cross-site scripting en Safari a través de etiquetas HTML maliciosas.

7- Un fallo de corrupción de memoria en el manejo de arrays JavaScript en WebKit podría ser aprovechado para causar una denegación de servicio en Safari y ejecutar código arbitrario.

8- Un fallo de corrupción de memoria en el manejo de hojas de estilo en WebCore podría ser aprovechado para causar una denegación de servicio en Safari y ejecutar código arbitrario.

9- Denegación de servicio en Safari provocado por un consumo exhaustivo de memoria al procesar de forma incorrecta los documentos XML con secuencias inválidas de caracteres UTF-8.

10- Un problema de corrupción de memoria en la librería libxslt podría ser aprovechado para causar una denegación de servicio en Safari o ejecutar código arbitrario.

11- Un error de corrupción de memoria en el JavaScriptCore de WebKit durante la recolección de memoria en tiempo de ejecución podría ser aprovechado por un atacante remoto para causar una denegación de servicio en o ejecutar código arbitrario.

12- Un problema de desbordamiento de búfer basado en heap causado por un error en el manejador de expresiones regulares JavaScript de WebKit, que podría ser aprovechado para hacer que la aplicación deje de responder o para ejecutar código arbitrario por medio de expresiones regulares especialmente creadas.

13- Cross-site scripting provocado por un fallo en WebKit a la hora de manejar URLs que contengan el carácter dos puntos (":").

Los fallos ahora solventados en la versión 2.0 del firmware para los dispositivos móviles de Apple ya fueron reportados y corregidos hace semanas, o incluso meses, en los sucesivos parches de seguridad para Mac OS X y Safari. El hecho de que no se haya publicado ninguna actualización desde febrero y de que se retrasase la publicación de la versión 2.0 del firmware hasta el lanzamiento del nuevo iPhone 3G, exponiendo a los usuarios de la versiones anteriores a posibles ataques, le ha supuesto numerosas críticas a la compañía que dirige Steve Jobs.

Aparte de solventar múltiples problemas de seguridad, el nuevo firmware incluye algunas mejoras y características adicionales. Los usuarios de iPhone y iPod Touch pueden actualizar a la versión 2.0 desde iTunes, aunque la actualización para iPod Touch no es gratuita (tiene un coste adicional de 10$). Por otra parte, todavía no se sabe si Apple pondrá a disposición de sus clientes una actualización gratuita que se ocupe exclusivamente de subsanar los fallos de seguridad, que han sido confirmados para las versiones de la 1.0 a la 1.1.4 de iPhone y de la 1.1 a la 1.1.4 de iPod Touch.


Pablo Molina
pmolina@hispasec.com



miércoles, 16 de julio de 2008

Intento de robo de datos basado en el portal segundamano.es

Bancos, cajas de ahorro, sitios de subastas, de pago online, empresas de traspaso de dinero, páginas de comunidades, oficinas de correos, agencias tributarias, operadores telefónicos, páginas de búsqueda de empleo... todo este tipo de organizaciones (y más) han sido víctimas de ataques phishing. Ahora es el turno de los portales de segunda mano. Se ha detectado un caso de phishing destinado a potenciales usuarios de segundamano.es que lleva activo varias horas.

El ataque ha sido detectado desde al menos el martes día 15 de julio. Una URL que simula pertenecer al portal de anuncios clasificados (pero que en realidad estaba alojada en una página de hosting gratuito), pretendía ser la empresa de venta de segunda mano y robar los datos de la tarjeta de crédito de las potenciales víctimas. El phishing solo se aprovecha de la imagen de la compañía para intentar obtener los datos de la tarjeta de crédito de la víctima. Lógicamente, en ningún caso la empresa está relacionada con los atacantes.

El sitio, bastante poco conseguido, pretende simular una página en la que un anunciante debe confirmar un supuesto anuncio publicado en las últimas 24 horas en el famoso portal español. El usuario debe introducir el número de tarjeta de crédito, fecha de caducidad, código CVV, nombre y NIF. Estos datos viajan al correo electrónico: a9708767@yahoo.com

ADVERTENCIA: Aunque desde el laboratorio de Hispasec no hemos detectado que la página pueda intentar infectar al sistema de forma automática con algún tipo de malware, esta situación puede cambiar en cualquier momento. El autor del phishing puede incluir la inyección de código en la página e infectar el sistema a través de vulnerabilidades u otras técnicas. Por tanto, visite la página de phishing bajo su responsabilidad, pues no podemos garantizar que no pueda llegar a ser dañino para el sistema.

El phishing sigue un patrón típico de doble URL. Un dominio gratuito securidadsegundamano.es.tc muy parecido al original que sirve de punto de entrada y de redirección para otra URL que apunta a un hosting también gratuito y que es donde se aloja la página en sí.

Se trata de una campaña potenciada a través de un correo basura que anima a usuarios a confirmar su hipotético anuncio publicado en segundamano.es. El (insistente) texto del correo basura, (el original en HTLM), es:

*********************************
Confirma anuncio :
Tienes que confirmar en breve el anuncio de nuevo en 24 horas :
En 24 horas hay que confirmar el anuncio
El anuncio lo vamos a borrar en breve si no lo vas a confirmar en 24 horas.
El anuncio esta en nuestra base de datos solo tienes que confirmarlo .
Pulsa el enlace para confirmar el anuncio .
Pulsa aqui para confirmar sus datos :
*********************************

Hemos colgado un enlace con una imagen de la página fraudulenta aquí:
http://www.hispasec.com/images/unaaldia/segundamano.png

En realidad las probabilidades de que una potencial víctima que reciba el correo tenga relación con segundamano.es y caiga en la estafa son mínimas. Esto no desanima a los atacantes, que han encontrado en la suma de estafas a pequeña escala una fuente de ingresos potencialmente más lucrativa incluso que el ataque destinado a las grandes masas (usuarios de Hotmail, Paypal...). Ante la continua explotación de objetivos típicos donde el universo de usuarios es mayor, se decantan por páginas minoritarias que, aunque menos populares, presentan la ventaja para los atacantes de suponer un impacto específico para cierto tipo de usuarios e incluso más eficaz en conjunto.

Intentos como este merman la confianza de los usuarios en la compra online. Sabemos que desde hace tiempo cualquier organización, portal, empresa o compañía es susceptible de sufrir este tipo de ataques, incluso si el "target" comercial del ataque es muy reducido.


Sergio de los Santos
ssantos@hispasec.com



martes, 15 de julio de 2008

Oracle publicará parches para 45 problemas de seguridad

Oracle ha anunciado que en su ciclo trimestral de publicación de parches, (previsiblemente hoy 15 de julio) se corregirán 45 problemas de seguridad en sus productos.

Para la próxima CPU (Critical Patch Update) de Oracle, se solucionarán 45 problemas de seguridad en total. 11 de estos parches estarán destinados a corregir fallos en Oracle Database, producto "estrella" de la compañía. 9 para Oracle Application Server, 6 para Oracle E-Business Suite, 2 para Oracle Enterprise Manager, 7 para productos Oracle PeopleSoft Enterprise, 7 para Oracle WebLogic Server y 3 para Oracle TimesTen In-Memory Database.

De estos fallos mencionados, al parecer ninguno de los 11 para la base de datos son especialmente graves, pues no necesitarían autenticación para ser aprovechados de forma remota.

Oracle acumula este año 112 problemas de seguridad (a la espera del grupo de parches de octubre), lo que supone una considerable mejora con respecto a años anteriores. En 2007 publicó más de 180 parches. En 2006, batió todas las marcas con casi 300 problemas de seguridad solucionados sólo ese año.

Desde enero de 2007 Oracle anuncia con antelación algunos detalles de lo que publicará el día de parcheo. Esto supuso un paso más en su nueva apuesta por mejorar la estrategia de seguridad de la empresa. Un primer acercamiento fue el unificar los parches de forma mensual, luego trimestral, más tarde incluir más y mejor información en sus boletines y por último anunciar con cierta antelación detalles sobre lo que será publicado el día que se liberen las actualizaciones.

Esta será la primera vez que el grupo de parches de Oracle incluya actualizaciones para WebLogic Server, producto de BEA Systems que fue adquirido por Oracle en enero de este mismo año. También para Hyperion y TimesTen Database, tecnología también absorbida hace tiempo por el gigante de las bases de datos.

Hispasec Sistemas publicará puntualmente a través de este boletín información detallada sobre los nuevos parches.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Oracle Critical Patch Update Pre-Release Announcement - July 2008
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujul2008.html

lunes, 14 de julio de 2008

Actualización del kernel de productos SuSE Linux

SuSe ha publicado una actualización del kernel que corrige múltiples vulnerabilidades que se describen a continuación.

* Se ha corregido un fallo en ptrace que permitía a un atacante local efectuar una denegación de servicio bloqueando sus procesos de forma indefinida.

* Condición de carrera en dnotify que podría permitir a un atacante local causar una denegación de servicio.

* Un atacante remoto podría causar una denegación de servicio en la pila IPSec/IPv6 mediante paquetes ESP especialmente manipulados.

* Un problema en el manejo de los túneles SIT IPv6 que podría ser aprovechado por un atacante remoto para causar una denegación de servicio en el sistema.

* Existe una vulnerabilidad en los sistemas x86_64 que podría ser aprovechada por medio de un ataque de denegación de servicio para provocar que el sistema deje de responder.

* Fuga de información durante el volcado de memoria de procesos root.

* Un problema de ordenación en la función fcntl_setlk de SMP que podría permitir a un atacante local ejecutar código arbitrario.

* Se ha corregido un fallo que borraba el flag de dirección antes de llamar a manejadores de señal que podría permitir a un atacante remoto ejecutar código arbitrario en algunos programas no especificados bajo ciertas condiciones.

* La función isdn_ioctl en isdn_common.c podría permitir a un atacante local causar una denegación de servicio por medio de una estructura ioctl especialmente manipulada.

Se recomienda actualizar a través de las herramientas automáticas YoU (Yast Online Update).


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

[security-announce] SUSE Security Announcement: Linux kernel (SUSE-SA:2008:032)
http://lists.opensuse.org/opensuse-security-announce/2008-07/msg00002.html

domingo, 13 de julio de 2008

Denegación de servicio en Wireshark

Se ha descubierto una vulnerabilidad en Wireshark que podría permitir a un atacante remoto efectuar un ataque de denegación de servicio.

Wireshark (todavía muy conocido por su nombre anterior Ethereal) es una aplicación de auditoría orientada al análisis de tráfico en redes. Su popularidad es muy elevada, puesto que está disponible para múltiples plataformas, soporta una gran cantidad de protocolos, es de fácil manejo y gratuita.

No se han facilitado detalles sobre el fallo, salvo que reside en el reensamblado de paquetes que podrían permitir a un atacante remoto efectuar un ataque de denegación de servicio a través de paquetes especialmente manipulados.

Se consideran vulnerables las versiones 0.8.19 a 1.0.1 ambas incluidas. Se recomienda actualizar a la versión 1.0.2 o superior, disponible para descarga desde:
http://www.wireshark.org/download.html


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Multiple problems in Wireshark® versions 0.8.19 to 1.0.1
http://www.wireshark.org/security/wnpa-sec-2008-04.html

sábado, 12 de julio de 2008

Cross-Site Scripting a través de Outlook Web Access en Exchange Server

Dentro del conjunto de boletines de seguridad de junio publicado el pasado martes por Microsoft y del que ya efectuamos un resumen, se encuentra el anuncio (en el boletín MS08-039) de una actualización para Exchange Server que solventa dos vulnerabilidades que podrían ser aprovechadas por un atacante remoto para realizar ataques de cross-site scripting.

* La primera vulnerabilidad está causada porque Outlook Web Access (OWA) para Exchange Server no valida de forma suficiente los campos del email al abrirlo en una sesión individual de OWA. Esto podría ser explotado por un atacante remoto para acceder a los datos de la sesión individual del cliente de OWA, permitiendo una escalada de privilegios.

* La segunda vulnerabilidad está causada porque Outlook Web Access (OWA) para Exchange Server no valida de forma adecuada el HTML al mostrar los emails en una sesión individual de OWA. Esto podría ser explotado por un atacante remoto para ejecutar código JavaScript o HTML en el contexto de de la sesión del navegador de un usuario que visita un sitio web afectado.

Éste parche de seguridad reemplaza a otro previo (MS07-026) para Microsoft Exchange Server 2007.

Se recomienda actualizar los sistemas afectados mediante Windows Update o descargando los parches según versión desde las siguientes direcciones:

* Microsoft Exchange Server 2003 Service Pack 2:
http://www.microsoft.com/downloads/details.aspx?familyid=E099C1D1-5AF6-4D6C-B735-9599412B3131&displaylang=es

* Microsoft Exchange Server 2007:
http://www.microsoft.com/downloads/details.aspx?familyid=086A2A13-A1DE-4B1D-BD12-B148BFD2DAFA&displaylang=es

* Microsoft Exchange Server 2007 Service Pack 1:
http://www.microsoft.com/downloads/details.aspx?familyid=63E7F26C-92A8-4264-882D-F96B348C96AB&displaylang=es


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Boletín de seguridad de Microsoft MS08-039 – Importante
Vulnerabilidades en Outlook Web Access para Exchange Server podrían permitir la elevación de privilegios
http://www.microsoft.com/spain/technet/security/bulletin/ms08-039.mspx

viernes, 11 de julio de 2008

Actualización de Sun Java por múltiples problemas de seguridad

Sun Microsystems ha publicado actualizaciones para Java que solventan múltiples vulnerabilidades en el Java Runtime Environment (JRE) y Java Development Kit (JDK) que podrían permitir a un atacante remoto elevar privilegios, efectuar una denegación de servicio y potencialmente ejecutar código arbitrario. Sun ha lanzado un total de ocho boletines de seguridad en los que se dan a conocer las siguientes vulnerabilidades:

* Un fallo en el procesamiento XML podría permitir acceder a ciertos recursos URL no especificados y potencialmente denegar el servicio en la máquina que este ejecutando el JRE. Afecta a JRE y JDK 6 Update 6 y anteriores.

* Existe otro fallo en JRE al procesar XML que podría permitir que una aplicación o applet no confiable tuviera acceso a ciertos recursos URL, tales como archivos o páginas web. Afecta a JRE y JDK 6 Update 6 y anteriores; JRE y JDK 5.0 Update 15 y anteriores.

* Un desbordamiento de la memoria intermedia en el procesamiento de fuentes del JRE podría permitir a un applet o aplicación sin autenticar leer y escribir archivos locales y potencialmente ejecutar aplicaciones que estén accesibles. Afecta a JRE y JDK 5.0 Update 9 y anteriores; JRE y SDK 1.4.2_17 y anteriores; JRE y SDK 1.3.1_22 y anteriores.

* Una vulnerabilidad no especificada en el soporte de lenguajes de scripting del JRE podría permitir a un applet o aplicación sin autenticar elevar privilegios. Afecta a JRE y JDK 6 Update 6 y anteriores.

* Un fallo en el agente JMX del JRE podría permitir a un agente JMX remoto ejecutar operaciones no autorizadas en un sistema con la opción de monitorización local JMX activada. Afecta a JRE y JDK 6 Update 6 y anteriores; JRE y JDK 5.0 Update 15 y anteriores.

* Una vulnerabilidad no especificada en la máquina virtual del JRE podría permitir a un applet o aplicación sin autenticar leer y escribir archivos locales y potencialmente ejecutar aplicaciones que estén accesibles. Afecta a JRE y JDK 6 Update 6 y anteriores; JRE y JDK 5.0 Update 15 y anteriores / SDK y JRE 1.4.2_17 y anteriores).

* Varios fallos de seguridad no especificados en el JRE podrían permitir a un applet o aplicación remota especialmente manipulada saltar restricciones de seguridad y acceder a recursos de la red con los privilegios de un applet o aplicación que hubiese sido descargada y ejecutada en una máquina local. Afecta a JRE y JDK 6 Update 6 y anteriores; JRE y JDK 5.0 Update 9 y anteriores; JRE y SDK 1.4.2_17 y anteriores; JRE y SDK 1.3.1_22 y anteriores.

* Un desbordamiento de la memoria intermedia en Java Web Start podría permitir a una aplicación Java Web Start elevar privilegios a través de vectores no especificados. Afecta a JRE y JDK 6 Update 3 y anteriores; JRE y JDK 5.0 Update 15 y anteriores; JRE y SDK 1.4.2_17 y anteriores.

* Una vulnerabilidad no especificada en Java Web Start podría permitir a una aplicación Java Web Start crear archivos arbitrariamente con los permisos del usuario que la ejecute. Afecta a JRE y JDK 6 Update 6 y anteriores; JRE y JDK 5.0 Update 15 y anteriores; JRE y SDK 1.4.2_17 y anteriores.

* Una vulnerabilidad no especificada en Java Web Start podría permitir a una aplicación Java Web Start crear o borrar archivos arbitrariamente con los permisos del usuario que la ejecute. Afecta a JRE y JDK 5.0 Update 15 y anteriores; JRE y SDK 1.4.2_17 y anteriores.

* Una vulnerabilidad no especificada en Java Web Start podría permitir a una aplicación Java Web Start determinar la ruta donde se encuentra la cache de Java Web Start. Afecta a JRE y JDK 6 Update 6 y anteriores; JRE y JDK 5.0 Update 15 y anteriores; JRE y SDK 1.4.2_17 y anteriores.

*La última vulnerabilidad está causada por un defecto en la implementación de Secure Static Versioning que podría permitir que ciertos applets se ejecutaran en una versión antigua de JRE a pesar de tener instalada una versión más reciente.

Es recomendable desinstalar de forma manual las versiones antiguas de Java, debido a que esto no se realiza de forma automática durante el proceso de instalación de una nueva versión.

Según versión y plataforma, se recomienda instalar las siguientes versiones no vulnerables:

JDK y JRE 6 Update 7:
http://java.sun.com/javase/downloads/index.jsp

JDK y JRE 5.0 Update 16:
http://java.sun.com/javase/downloads/index_jdk5.jsp

SDK y J2SE 1.4.2_18:
http://java.sun.com/j2se/1.4.2/download.html

SDK y J2SE 1.3.1_23:
http://java.sun.com/j2se/1.3/download.html


Pablo Molina
pmolina@hispasec.com



jueves, 10 de julio de 2008

Escalada de privilegios en Microsoft SQL Server

Dentro del conjunto de boletines de seguridad de junio publicado el pasado martes por Microsoft y del que ya efectuamos un resumen, se encuenta el anuncio (en el boletín MS08-040) de una actualización para Microsoft SQL Server que solventa cuatro vulnerabilidades que podrían ser aprovechadas por un atacante remoto para escalar privilegios y ejecutar código arbitrario.

* La primera vulnerabilidad está causada por la forma en la que SQL Server administra la reutilización de las páginas de memoria. Al realojar memoria, SQL Server falla al inicializar las páginas de memoria. Esto podría causar una revelación de información.

* La segunda vulnerabilidad está causada por una comprobación de entradas insuficiente en la función de conversión en SQL Server. Esto podría causar un desbordamiento de búfer y permitir a un atacante remoto escalar privilegios y ejecutar código arbitrario.

* El tercero de los problemas está causado por un fallo al validar las estructuras de datos en los archivos de disco. Esto podría causar un desbordamiento de búfer, que permitiría a un atacante remoto escalar privilegios y ejecutar código arbitrario.

* La última vulnerabilidad corregida está causada por una comprobación insuficiente de las instrucciones insert antes de ser procesadas. Esto podría causar un desbordamiento de búfer que permitiría a un atacante remoto escalar privilegios y ejecutar código arbitrario.

Actualice los sistemas afectados mediante Windows Update o descargando los parches según versión desde los enlaces facilitados en la página del boletín de Microsoft:
http://www.microsoft.com/spain/technet/security/bulletin/ms08-040.mspx


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Boletín de seguridad de Microsoft MS08-040 – Importante
Vulnerabilidades en Microsoft SQL Server podrían permitir la elevación de privilegios
http://www.microsoft.com/spain/technet/security/bulletin/ms08-040.mspx

miércoles, 9 de julio de 2008

Masiva actualización coordinada de servidores DNS: Grave vulnerabilidad en la implementación del protocolo que "sustenta" Internet

Toda vulnerabilidad es importante y tiene un potencial impacto en la red. Sin embargo, cuando hablamos de la resolución de nombres y de problemas en los servidores DNS, la gravedad se multiplica porque se supone que los servidores DNS sustentan la red. La navegación, el correo y cualquier traducción dominio-IP se realiza en los servidores DNS. Casi todo dispositivo conectado a Internet necesita resolver nombres. Un fallo en este protocolo hace que toda la infraestructura de la red se tambalee. Quien domine la resolución de nombres, domina Internet. Presuntamente un fallo de este tipo es lo que parece que se ha descubierto.

Las bases del problema descubierto no son nuevas, y no se trata de un fallo en la implementación de un fabricante en concreto. Más bien, se trata de una nueva forma de engañar a los servidores DNS para que den respuestas falsas, gracias a un fallo inherente del protocolo. No se han dado detalles técnicos sobre el problema. El descubridor Dan Kaminsky ha llevado en secreto su investigación durante meses, esperando a que todos los grandes fabricantes implicados se pusiesen de acuerdo para programar una solución y publicar los parches correspondientes. El 8 de julio ha sido el día elegido.

El protocolo DNS y los programas que lo implementan se han visto lacrados desde siempre con múltiples problemas de seguridad. Por varios métodos distintos:

* Atacando al servidor a través de un desbordamiento de búfer, inyectar código o accediendo al servidor para modificar las zonas. Aunque esto es ya menos común, durante los años 90, BIND el programa casi estándar de facto en servidores DNS, sufrió de muchas vulnerabilidades de este tipo.

* Envenenamiento de la caché de los servidores. Un atacante puede montar su propio servidor DNS y "mentir" a un servidor DNS legítimo que le pregunta por registros que no tiene (los servidores DNS se preguntan constantemente entre sí para actualizar sus datos y redireccionar correctamente todos los dominios a las mismas direcciones). Esta transferencia contiene datos falsos que resuelven incorrectamente las preguntas de los clientes. El servidor legítimo almacena esa información falsa un tiempo en su caché (para ganar tiempo en la próxima resolución) y así las víctimas pueden ser enviadas a otro sitio.

* Falsificación del ID. Este método consiste en hacerse pasar por la respuesta legítima de un servidor DNS. El cliente que ha hecho una pregunta recibe directamente una respuesta falsa de un atacante.

Estos dos últimos métodos han sido muy populares también en los últimos años, con numerosas técnicas que permitían llevar a cabo el ataque. Bien por fuerza bruta (bombardeando con peticiones) bien por fallos de implementación del protocolo. Pero no termina de solucionarse porque en realidad, el protocolo DNS no utiliza generalmente métodos de autenticación. Para que un servidor DNS responda una consulta, no es necesario autenticarse de ninguna forma. La manera de distinguir entre consultas entre sí, está basada únicamente en tres datos: puerto UDP de origen, IP y DNS ID.

Históricamente se han realizado muchos experimentos que permiten o bien adivinar o deducir tanto el puerto origen UDP desde el que se ha realizado una consulta como el identificador de transacción y así poder falsificar respuestas y que el cliente vaya a una dirección IP falsa. Este último descubrimiento, al parecer, tiene que ver una vez más con la posibilidad de conocer el número de identificador DNS y poder así envenenar la caché de los servidores. Este campo dispone sólo de 16 bits de "espacio" en la cabecera de un paquete e identifica de forma única una petición. Las posibilidades son de unas 32.000. Con el tiempo, se han ido añadiendo mejoras para evitar la fuerza bruta y hacer más compleja la posibilidad de conocer este identificador, pero el método "de base" usado sigue siendo el problema.

No se han dado detalles técnicos sobre el fallo descubierto, aunque sí se sabe que los parches añaden entropía al cálculo de este identificador para que resulte mucho más complejo predecirlo de alguna forma. Así que puede que no sea un fallo totalmente nuevo (la debilidad de confiar en un número tan pequeño de posibilidades se conoce desde hace años) sino quizás alguna forma novedosa de aprovecharlo que lo hace más sencillo y por tanto, peligroso.

Hasta ahora, Cisco, Microsoft, BIND y otras muchas distribuciones Linux han publicado sus respectivas actualizaciones, en un esfuerzo sincronizado y secretismo coordinado no vistos hasta la fecha. Dan Kaminsky (que al parecer se topó con el problema de forma casual) pretende dar los detalles en la conferencia Black Hat de agosto.

En cualquier caso, y aunque el fallo sea importante, también es cierto que hace años, cuando los ataques de este tipo eran más sencillos y factibles que hoy en día, nunca se ha observado que hayan sido llevados a la práctica de forma masiva o generalizada por atacantes.

Se recomienda a todos los administradores que parcheen sus sistemas cuanto antes.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Multiple DNS implementations vulnerable to cache poisoning
http://www.kb.cert.org/vuls/id/800113

CERT VU#800113 DNS Cache Poisoning Issue
http://www.isc.org/index.pl?/sw/bind/bind-security.php

martes, 8 de julio de 2008

Boletines de seguridad de Microsoft en julio

Tal y como adelantamos, este martes Microsoft ha publicado cuatro boletines de seguridad (MS08-037 al MS08-040) dentro de su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft los cuatro boletines presentan un nivel de gravedad "importante".

Los boletines publicados son:

* MS08-037: Actualización que resuelve dos vulnerabilidades en Windows Domain Name System (DNS) que podrían ser aprovechadas por un atacante remoto para redirigir el tráfico de red hacia sus propios sistemas. Afecta a Windows 2000, Windows Server 2003, Windows Server 2008, Vista y XP.

* MS08-038: Actualización para Windows Explorer que corrige una vulnerabilidad que podría permitir la ejecución remota de código arbitrario, debido a que no se tratan adecuadamente archivos de búsqueda cuando se graban. Afecta a Windows Server 2008 y Vista.

* MS08-039: Actualización para solucionar dos vulnerabilidades en Outlook Web Access (OWA) para Microsoft Exchange Server, por las que un atacante podría conseguir acceso a datos de la sesión individual de un cliente OWA y conseguir elevar sus privilegios.

* MS08-040: Corrige cuatro vulnerabilidades en Microsoft SQL Server que podrían permitir a un atacante remoto escalar privilegios y ejecutar código arbitrario.

Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible.


Antonio Ropero
antonior@hispasec.com


Más información:

Microsoft Security Bulletin Summary for July 2008
http://www.microsoft.com/technet/security/bulletin/ms08-jul.mspx

Microsoft Security Bulletin MS08-040
Vulnerabilities in Microsoft SQL Server Could Allow Elevation of Privilege (941203)
http://www.microsoft.com/technet/security/bulletin/ms08-040.mspx

Microsoft Security Bulletin MS08-039
Vulnerabilities in Outlook Web Access for Exchange Server Could Allow Elevation of Privilege (953747)
http://www.microsoft.com/technet/security/bulletin/ms08-039.mspx

Microsoft Security Bulletin MS08-038
Vulnerability in Windows Explorer Could Allow Remote Code Execution (950582)
http://www.microsoft.com/technet/security/bulletin/ms08-038.mspx

Microsoft Security Bulletin MS08-037
Vulnerabilities in DNS Could Allow Spoofing (953230)
http://www.microsoft.com/technet/security/bulletin/ms08-037.mspx

lunes, 7 de julio de 2008

Múltiples vulnerabilidades en Wireshark 0.x y 1.x

Se han encontrado múltiples problemas de seguridad en Wireshark que podrían ser aprovechados por un atacante remoto para acceder a información sensible o causar una denegación de servicio por medio de paquetes especialmente modificados.

Wireshark (todavía muy conocido por su nombre anterior Ethereal) es una aplicación de auditoría orientada al análisis de tráfico en redes. Su popularidad es muy elevada, puesto que está disponible para múltiples plataformas, soporta una gran cantidad de protocolos, es de fácil manejo y gratuita.

Las vulnerabilidades, que afectan a todas las versiones anteriores a la 1.0.1, son:

* Un error en el analizador GSM SMS que podría ser aprovechado para hacer que la aplicación dejara de responder (denegación de servicio).

* Un error en los analizadores PANA y KISMET que podría ser aprovechado para causar el cierre de la aplicación.

* Un error en el analizador RTMPT provocado por un intento de referenciación de memoria después de liberada podría causar que la aplicación dejara de responder.

* Un error no especificado en el analizador RMI que podría ser aprovechado para revelar parte del contenido de la memoria del sistema.

* Un fallo en el analizador syslog que podría ser aprovechado por un atacante para hacer que la aplicación deje de responder por medio de paquetes encapsulados syslog SS7 MSU incompletos.

Se recomienda actualizar a la versión 1.0.1 de Wireshark, disponible para su descarga desde:
http://www.wireshark.org/download.html


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Multiple problems in Wireshark versions 0.9.5 to 1.0.0
http://www.wireshark.org/security/wnpa-sec-2008-03.html

domingo, 6 de julio de 2008

Actualización de múltiples paquetes para SuSE Linux

SuSE ha publicado actualizaciones para múltiples paquetes que corrigen diferentes problemas de seguridad. Las actualizaciones afectan a OpenSUSE Linux 10.x, SuSE. Linux 10 y SuSE Linux Enterprise Server 10.

Los problemas corregidos son:

* Revelación de información en sudo a causa de un filtrado incorrecto del búfer de stdin.

* Inyección SQL en courier-authlib.

* Un fallo en gnome-screensaver permitiría a un atacante autenticarse sin contraseña válida si el servidor NIS estuviese caído.

* Fallos en clamav al procesar archivos comprimidos con Petite permitirían una denegación de servicio.

* Múltiples problemas de seguridad en PHP5.

* Dos desbordamientos de memoria intermedia y heap al procesar ficheros XCF y PCX en ImageMagick.

* Un potencial desbordamiento de memoria intermedia en mtr.

* Una actualización de zona raíz en Bind.

* Un desbordamiento de memoria intermedia en pcre a través de expresiones regulares podrían permitir la ejecución de código arbitrario.

* Problemas de cross site scripting en tomcat 5.5 y tomcat 6.

* Denegación de servicio en squid al interpretar datos ASN.1.

* Múltiples desbordamientos de enteros en freetype2.

Se recomienda actualizar a través de las herramientas automáticas YoU (Yast Online Update).


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

[security-announce] SUSE Security Summary Report SUSE-SR:2008:014
http://lists.opensuse.org/opensuse-security-announce/2008-07/msg00001.html

sábado, 5 de julio de 2008

Actualización de seguridad para Firefox 2 corrige 12 vulnerabilidades

La Fundación Mozilla ha publicado una actualización (2.0.0.15) para su navegador que soluciona 12 problemas de seguridad. Con solo visitar una página maliciosa, un atacante podría provocar una denegación de servicio, robar información sensible, corromper la base de datos de contraseñas o ejecutar código arbitrario en un sistema vulnerable.

A pesar de que la versión 3 de Firefox está disponible desde el pasado día 17 de junio, Mozilla seguirá dando soporte para la versión 2 hasta mediados de diciembre. La rama 2 es usada ampliamente todavía, en gran parte porque existen muchos complementos que aún no son compatibles con la versión más reciente.

De las 12 vulnerabilidades que soluciona la versión 2.0.0.15 de Firefox, cuatro de ellas están consideradas como de impacto crítico, otras cuatro de peligrosidad alta, dos de riesgo moderado y otras dos de riesgo bajo. Recordamos que la totalidad de estos problemas se reproducen también en Seamonkey y algunos de ellos podrían darse también en Thunderbird, puesto que comparten gran parte del código fuente.

Un breve resumen de los problemas oficiales corregidos en esta nueva versión son:

* Existen múltiples fallos a procesar contenido JavaScript mal formado. Esto podría ser aprovechado por un atacante remoto para causar una denegación de servicio o ejecutar código arbitrario si un usuario visita una página web especialmente manipulada.

* Diversos problemas al procesar contenido web mal formado. Un atacante remoto podría causar una denegación de servicio o ejecutar código arbitrario si un usuario visita una página web maliciosa.

* También se han encontrado múltiples errores a la hora de mostrar contenido web mal formado. Éstas vulnerabilidades podrían ser aprovechadas por un atacante remoto para engañar a un usuario para que introdujese datos sensibles en una página web especialmente creada.

* Se han localizado otras dos vulnerabilidades que podrían permitir la revelación de información sensible en Firefox. Una página web maliciosa podría hacer que se revelara el contenido de archivos locales a un atacante remoto.

* Existen un fallo al procesar archivos de propiedades mal formados, lo que podría causar una fuga de memoria.

* Se ha encontrado un fallo en la forma en la que Firefox escapa los listados de archivos locales. Sería posible la ejecución de JavaScript arbitrario si un usuario listase un directorio local que contenga nombres de archivos especialmente modificados.

* Y por último, existe otro fallo en la forma en la que Firefox muestra la información sobre los certificados autofirmados. Dichos certificados podrían contener múltiples entradas de nombres alternativos que no serían mostrados, lo que podría provocar que un usuario considerara como confiable un sitio desconocido.

Se recomienda la inmediata actualización del navegador a la versión 2.0.0.15 o a la versión 3.0 y también la actualización de SeaMonkey a la versión 1.1.10, disponibles desde:
http://www.mozilla.com/


Pablo Molina
pmolina@hispasec.com


Más información:

Known Vulnerabilities in Mozilla Products
http://www.mozilla.org/projects/security/known-vulnerabilities.html

Vulnerability Note VU#607267: Mozilla Firefox code execution vulnerability
http://www.kb.cert.org/vuls/id/607267

20/06/2008 Primera vulnerabilidad crítica en Firefox 3
http://www.hispasec.com/unaaldia/3527

viernes, 4 de julio de 2008

Microsoft publicará cuatro boletines el próximo martes en una tanda de parches "fuera de lo común"

En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en julio se esperan cuatro boletines de seguridad. Los cuatro son considerados de categoría importante. Este mes no se publica actualización de seguridad para Internet Explorer, pero sí para dos productos que habitualmente no sufren problemas de seguridad graves: Exchange y SQL Server.

Si en junio fueron siete boletines de seguridad los que salieron a la luz, este mes Microsoft prevé publicar cuatro actualizaciones el día ocho de julio. Adicionalmente, y como viene siendo habitual, Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool. Además, se publicarán actualizaciones de alta prioridad no relacionadas con la seguridad.

En concreto, existe un problema con Microsoft SQL Server que afecta a toda la gama de bases de datos de Microsoft hasta su versión 2005. Otro con Exchange en sus versiones 2003 y 2007. Ambos resultan en una elevación de privilegios. Con respecto a los otros dos, afectan uno exclusivamente a Windows Vista y 2008 y otro exclusivamente a Windows 2000, XP y 2003.

Esta tanda de actualizaciones resulta especialmente curiosa. En primer lugar destaca la ausencia de actualizaciones para Internet Explorer. No es la primera vez que el navegador no está presente en las actualizaciones mensuales, de hecho, suele ausentarse a menudo (la última vez en mayo de este año). Lo que llama la atención es que sufre algunas (cinco) vulnerabilidades públicas sin corregir que deberán esperar al menos hasta agosto para que sean solucionadas.

Por ejemplo, aunque Apple sí corrigió su parte de culpa, parece que Microsoft no ofrecerá solución al problema compartido con el navegador Safari. Una combinación de malas prácticas por parte de Internet Explorer y Apple podrían permitir a los usuarios de Safari ser vulnerables a un problema de ejecución de código. El fallo de Internet Explorer viene porque puede llegar a buscar donde no debería unas librerías a la hora de cargar el navegador. Este fallo es conocido desde 2006, pero hasta ahora no se había usado para un exploit real.

Otra vulnerabilidad en Internet Explorer fue descubierta a finales de junio, y se publicaron todos los detalles para aprovecharla. Un fallo a la hora de manejar las propiedades location o location.href podría permitir a un atacante ejecutar código script arbitrario saltándose el concepto de "domino" y permitiendo a las páginas de diferentes dominios recibir datos entre sí. El resultado sería parecido al de un cross site scrpting. Sólo Internet Explorer 6 se ve afectado.

Un tercer fallo en el navegador permitiría a una web especialmente manipulada modificar el lugar donde apunta un frame en otra página confiable. Esto podría permitir cargar contenido fraudulento en una web confiable. Existe por otro lado un grave problema de "secuestro" con los iframes en Internet Explorer que podría permitir incluso la captura de las pulsaciones de teclado. Por último, hace algunas semanas se descubrió que si un usuario imprime una página especialmente manipulada y pulsa la opción de impresión "imprimir tabla de vínculos" es posible la ejecución de código. Para estos fallos existen pruebas de concepto públicas.

Ninguno de estos cinco fallos tendrá solución este mes. Quizás porque tres de ellos han sido de reciente descubrimiento (en las últimas dos semanas) e impliquen cambios importantes en el modelo de seguridad del navegador. Por otro lado, llama la atención la existencia de vulnerabilidades en Microsoft SQL Server, un producto que en sus tres años de existencia, todavía no ha sufrido ni un problema de seguridad conocido. Su primer parche desde que vio la luz solucionará una elevación de privilegios. Sin duda el servidor SQL de Microsoft, en su versión 2005, ha sido un acierto absoluto en cuestión de seguridad para Microsoft.

Por último, habrá una actualización para Exchange, producto también sin demasiadas vulnerabilidades cuya última actualización data de mayo de 2007.

Cabe recordar que, en cualquier caso, el adelanto que ofrece Microsoft está sujeto a cambios de última hora.

Hispasec Sistemas publicará puntualmente a través de este boletín información detallada sobre los nuevos parches.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Microsoft Internet Explorer 6 contains a cross-domain vulnerability
http://www.kb.cert.org/vuls/id/923508

Microsoft Internet Explorer fails to properly restrict access to frames
http://www.kb.cert.org/vuls/id/516627

http://www.kb.cert.org/vuls/id/516627
Microsoft Internet Explorer fails to properly restrict access to frames

Internet Explorer "Print Table of Links" Cross-Zone Scripting Vulnerability
http://aviv.raffon.net/2008/05/14/InternetExplorerQuotPrintTableOfLinksquotCrossZoneScriptingVulnerability.aspx

http://blogs.zdnet.com/security/?p=1361
Internet Explorer 'feature' causing drive-by malware attacks

Microsoft Security Bulletin Advance Notification for July 2008
http://www.microsoft.com/technet/security/Bulletin/MS08-jul.mspx

jueves, 3 de julio de 2008

Actualización de seguridad para Mac OS X corrige hasta 25 vulnerabilidades

Apple ha lanzado un nuevo paquete de actualizaciones para su sistema operativo Mac OS X que solventa un total de 25 problemas de seguridad que podrían ser aprovechados por un atacante local o remoto para conducir ataques de spoofing y cross-site scripting, revelar información sensible, saltarse restricciones de seguridad, causar denegaciones de servicio o ejecutar código arbitrario en un sistema vulnerable.

Dentro del paquete, que actualiza a la versión 10.5.4 de Mac OS X y tiene el nombre de Security Update 2008-004, se incluyen parches para distintos componentes, como pueden ser: Launch Services, SMB File Server, System Configuration, VPN y WebKit. Además contiene la última versión (v.4.1.37) de Tomcat (el contenedor de servlets de Apache Software Foundation) que solventa nueve problemas de seguridad. La macroactualización del sistema operativo también incluye parches para seis vulnerabilidades críticas reportadas en el lenguaje de scripting Ruby, y que podrían ser aprovechadas para causar una denegación de servicio o ejecutar código arbitrario.

La actualización de seguridad cubriría las siguientes vulnerabilidades:

* Ejecución remota de código o denegación de servicio en Alias Manager causada por un fallo de corrupción de memoria al montar volúmenes con información especialmente manipulada.

* Inclusión de los archivos con formato .xht y .xhtm en la lista de los potencialmente peligrosos. Así CoreTypes preguntará al usuario sobre que hacer con ellos, en vez de ejecutarlos directamente una vez descargados.

* Existe un fallo al analizar con c++filt cadenas especialmente manipuladas que podría causar una denegación de servicio y permitir la ejecución de código arbitrario.

* Salto de restricciones de seguridad en Dock podría permitir que un atacante con acceso físico al sistema no necesitase introducir la contraseña para desbloquear el salvapantallas del equipo.

* Un fallo en Launch Services que reside en una condición de carrera al validar las descargas de enlaces simbólicos, podría permitir la ejecución remota de código arbitrario si se visita una URL especialmente manipulada.

* Un fallo en la autenticación de SNMPv3 en Net-SNMP podría permitir que ciertos paquetes especialmente manipulados se saltaran el proceso de autenticación.

* Múltiples corrupciones de memoria en los manejadores de cadenas y arrays de Ruby podrían causar una denegación de servicio o permitir la ejecución de código arbitrario. El problema está causado por una falta de comprobación de las entradas introducidas que intentan acceder a dichas cadenas o arrays.

* Un atacante remoto podría saltarse las restricciones de seguridad y acceder a los archivos protegidos por la opción :NondisclosureName de la herramienta WEBrick de Ruby.

* Denegación de servicio o ejecución remota de código en el servidor de archivos SMB provocada por un desbordamiento de búfer basado en heap al manejar archivos SMB especialmente manipulados.

* Un fallo en System Configuration podría permitir que un usuario local ejecutase código arbitrario con los privilegios de un nuevo usuario, aprovechándose de una vulnerabilidad al introducir archivos en el directorio User Template.

* Múltiples vulnerabilidades de menor impacto en Tomcat v.4.1.36. La vulnerabilidad de mayor peligrosidad podría permitir ataques de cross-site scripting.

* Un fallo de división por cero podría causar que VPN se cerrase de forma inesperada al procesar paquetes UDP especialmente manipulados.

* WebKit maneja los arrays JavaScript de forma defectuosa, lo que podría provocar una corrupción de la memoria. Un atacante remoto podría causar una denegación de servicio y conseguir la ejecución de código arbitrario si el usuario visita una página web especialmente modificada.

Las actualizaciones pueden ser instaladas a través de la funcionalidad de actualización (Software Update) de Mac OS X o, según versión y plataforma, descargándolas directamente desde:

Security Update 2008-004 (PPC):
http://www.apple.com/support/downloads/securityupdate2008004ppc.html

Security Update 2008-004 (Intel):
http://www.apple.com/support/downloads/securityupdate2008004intel.html

Security Update 2008-004 Server (PPC):
http://www.apple.com/support/downloads/securityupdate2008004serverppc.html

Security Update 2008-004 Server (Intel):
http://www.apple.com/support/downloads/securityupdate2008004serverintel.html

Mac OS X 10.5.4 Combo Update:
http://www.apple.com/support/downloads/macosx1054comboupdate.html

Mac OS X 10.5.4 Update:
http://www.apple.com/support/downloads/macosx1054update.html

Mac OS X Server 10.5.4:
http://www.apple.com/support/downloads/macosxserver1054.html

Mac OS X Server Combo 10.5.4:
http://www.apple.com/support/downloads/macosxservercombo1054.html


Pablo Molina
pmolina@hispasec.com