sábado, 31 de enero de 2009

Escalada de privilegios a través de 'autofs' en Sun Solaris 8, 9 y 10

Sun Solaris ha publicado una actualización de 'autofs' que corrige una vulnerabilidad que podría permitir a un atacante local sin privilegios causar una denegación de servicio o incluso ejecutar código arbitrario.

El fallo, del que no se han dado muchos detalles, está causado por un error en módulo del kernel 'autofs'. Segín ha informado Sun puede provocar condiciones de denegación de servicio, sin embargo en algunas circustancias puede permitir que usuarios sin privilegios logren la ejecución de código como root.

Según versión y plataforma, las actualizaciones están disponibles desde:

Para SPARC:

Solaris 8 instalar 128624-09 desde:
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-128624-09-1

Solaris 9 instalar 113318-34 desde:
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-113318-34-1

Solaris 10 instalar 139560-01 desde:
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-139560-01-1

Para x86:
Solaris 8 instalar 128625-09 desde:
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-128625-09-1

Solaris 9 instalar 116053-03 desde:
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-116053-03-1

Solaris 10 instalar 139561-01 desde:
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-139561-01-1


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Security Vulnerability in the Solaris "autofs" Kernel Module may Allow a Local Unprivileged User to Execute Arbitrary Code
http://sunsolve.sun.com/search/document.do?assetkey=1-66-249966-1

viernes, 30 de enero de 2009

Actualización del kernel para múltiples productos SuSE Linux

SuSE ha publicado la actualización del kernel para múltiples productos, en la que se corrigen varios fallos de seguridad que podrían permitir a un atacante causar una denegación de servicio, escalar privilegios o incluso ejecutar código arbitrario en un sistema vulnerable.

Los productos actualizados son openSUSE 10.3, openSUSE 11.0, SLE SDK 10 SP2, SUSE Linux Enterprise Desktop 10 SP2, SUSE Linux Enterprise 10 SP2 DEBUGINFO y SUSE Linux Enterprise Server 10 SP2.

De forma resumida, las vulnerabilidades son:

* Se ha encontrado un fallo en el subsistema ATM que podría ser aprovechado por un usuario local para causar una denegación de servicio.

* Se ha corregido un fallo en la función '__scm_destroy' de net/core/scm.c, que podría ser aprovechado por un atacante para causar una denegación de servicio a través de ciertas operaciones de conexión UNIX.

* Denegación de servicio causada por un desbordamiento de búfer en la función hfsplus_find_cat.

* Denegación de servicio causada por un desbordamiento de búfer basado en pila en la función hfs_cat_find_brec.

* Elevación de privilegios a través de inotify. Un usuario local podría obtener una elevación de privilegios a través de vectores desconocidos causados por un fallo de condición de carrera.

Se recomienda actualizar a la última versión del kernel, disponible a través de la herramienta automática YaST.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

[security-announce] SUSE Security Announcement: Linux kernel (SUSE-SA:2009:008)
http://lists.opensuse.org/opensuse-security-announce/2009-01/msg00010.html

jueves, 29 de enero de 2009

Salto de restricciones de seguridad a través de rmsock en IBM AIX 5.x y 6.x

Se ha encontrado una vulnerabilidad en IBM AIX 5.x y 6.x que podría ser explotada por un atacante remoto para saltarse restricciones de seguridad.

La vulnerabilidad está causada por un fallo en los comandos rmsock y rmsock64 ya que crean logs de forma insegura. Un atacante local podría aprovechar esta vulnerabilidad para agregar datos a cualquier archivo en el sistema, ya que el comando corre bajo root.

Se ha confirmado la vulnerabilidad para AIX 5.2.x, 5.3.x y 6.1.x. Según versión y plataforma, se recomienda aplicar los siguientes parches, disponibles para su descarga desde:

http://aix.software.ibm.com/aix/efixes/security/rmsock_fix.tar
ftp://aix.software.ibm.com/aix/efixes/security/rmsock_fix.tar


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

AIX rmsock log append file vulnerability
http://www14.software.ibm.com/webapp/set2/subscriptions/pqvcmjd?mode=18&ID=4542

miércoles, 28 de enero de 2009

Salto de restricciones de seguridad en named de Sun Solaris 9 y 10

Se ha descubierto una vulnerabilidad en named de Sun Solaris que podría ser explotada por un atacante remoto para falsificar las respuestas devueltas desde las zonas usando los algoritmos DSA y NSEC3DSA, lo que permitiría la aceptación de firmas no válidas, pudiendo modificar las respuestas DNS y redirigir ciertos servicios de Internet.

La vulnerabilidad está causada porque los valores devueltos por las funciones de validación de certificados EVP_VerifyFinal() y DSA_do_verify() de la librería OpenSSL no son comprobados de forma adecuada.

En la actualidad no existen parches disponibles, tan solo se recomienda como contramedida deshabilitar el algoritmo DSA, lo que causaría que las respuestas desde zonas que estén firmadas sólo por DSA sean tratadas como inseguras. Para ello hay que añadir la siguiente línea en el archivo named.conf:
disable-algorithms . { DSA; };


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Security Vulnerability in Solaris BIND named(1M) due to Incorrect DNSSEC Signature Verification
http://sunsolve.sun.com/search/document.do?assetkey=1-66-250846-1

martes, 27 de enero de 2009

Apple soluciona ocho problemas de seguridad en QuickTime

Apple ha publicado una nueva versión de QuickTime (la 7.6), que solventa siete problemas de seguridad en sus versiones para Windows y OS X (Leopard y Tiger). Además se ha publicado un boletín de seguridad adicional para solucionar un fallo en el componente MPEG-2 de QuickTime Media Player para Windows, aunque éste no viene instalado por defecto.

A continuación se detallan las siete las vulnerabilidades solventadas en la nueva versión Quicktime 7.6:

* Denegación de servicio y posible ejecución remota de código causada por un desbordamiento de búfer basado en heap al intentar procesar un objeto multimedia apuntado por una URL RTSP (Real Time Streaming Protocol).

* Ejecución remota de código al aprovecharse de un desbordamiento de búfer basado en heap provocado por el tratamiento erróneo de átomos THKD en un archivo de vídeo QTVR (QuickTime Virtual Reality) especialmente manipulado.

* Denegación de servicio o ejecución remota de código arbitrario a través de archivos AVI especialmente manipulados, que podrían causar un desbordamiento de búfer basado en heap.

* Otro desbordamiento de búfer, debido a un manejo incorrecto de archivos MPEG-2 con contenido de audio en formato MP3, que podría ser aprovechado por un atacante remoto para causar una denegación de servicio o ejecutar código arbitrario.

* Denegación de servicio o ejecución remota de código causada por un fallo de corrupción de memoria en Quicktime al manejar los archivos de vídeo codificados con H.263.

* Desbordamiento de búfer basado en heap que podría ser aprovechado por un atacante remoto para ejecutar código arbitrario por medio de un archivo de vídeo codificado con Cinepak.

* Ejecución remota de código al aprovecharse de un desbordamiento de búfer basado en heap provocado por el tratamiento erróneo de átomos jpeg en un archivo de vídeo QuickTime especialmente manipulado.

El segundo boletín de seguridad publicado por Apple, informa sobre una vulnerabilidad solventada en el componente QuickTime MPEG-2 Playback Component para Windows, que podría ser aprovechada para ejecutar código arbitrario lo que permitiría comprometer un sistema por completo.

Todos los fallos corregidos son del tipo "Improper Input Validation", es decir, un fallo al comprobar y validar las entradas introducidas por un usuario y que, bajo ciertas circunstancias, podría ser aprovechado para ejecutar código arbitrario. Este tipo de fallo encabeza el "Top 25 de los fallos de programación más peligrosos" y que podrían ser causantes de problemas de seguridad. Esta lista fue publicada a principios de año y ha sido elaborada por MITRE y SANS en colaboración con diferentes organismos oficiales, empresas y universidades.

Recordamos que todas las actualizaciones pueden ser instaladas a través de las funcionalidades de actualización automática (Software Update) de Apple, o según versión y plataforma, descargándolas directamente desde:

QuickTime 7.6 para Windows:
http://support.apple.com/downloads/QuickTime_7_6_for_Windows

QuickTime 7.6 para Leopard:
http://support.apple.com/downloads/QuickTime_7_6_for_Leopard

QuickTime 7.6 para Tiger:
http://support.apple.com/downloads/QuickTime_7_6_for_Tiger


Pablo Molina
pmolina@hispasec.com


Más información:

About the security content of QuickTime 7.6
http://support.apple.com/kb/HT3403

QuickTime MPEG-2 Playback Component
http://www.apple.com/quicktime/mpeg2/

2009 CWE/SANS Top 25 Most Dangerous Programming Errors
http://cwe.mitre.org/top25/pdf/2009_cwe_sans_top_25.pdf

lunes, 26 de enero de 2009

Escalada de privilegios a través de readlink en el kernel Linux 2.6.x

Se ha descubierto una vulnerabilidad en el kernel de Linux que podría ser aprovechada por un atacante local para escalar privilegios o causar una denegación de servicio.

El fallo está causado por un error al comprobar la longitud del resultado obtenido por readlink, y podría ser aprovechado para causar una corrupción de memoria, que daría lugar a una ejecución de código con permisos de root o una denegación de servicio.

La vulnerabilidad ha sido corregida en la versión 2.6.28.1 disponible desde:
http://www.kernel.org/pub/linux/kernel/v2.6/


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Linux Kernel 'readlink' Local Privilege Escalation Vulnerability
http://www.securityfocus.com/bid/33412/discuss

domingo, 25 de enero de 2009

Denegación de servicio en Cisco Unified Communications Manager 5.x y 6.x

Cisco ha publicado una actualización para Cisco Unified Communications Manager 5.x y 6.x que corrige un fallo de seguridad que podría permitir que un atacante remoto causase una denegación de servicio.

La solución Unified Communications de Cisco es un conjunto de productos y aplicaciones de comunicaciones que reúne e integra voz, vídeo y datos.

El servicio Certificate Authority Proxy Function (CAPF) no maneja adecuadamente las entradas mal formadas, lo que podría provocar una interrupción de los servicios de voz. El servicio CAPF no está habilitado por defecto.

Cisco, a través de los canales habituales, ha puesto a disposición de
sus clientes soluciones para solventar el problema.

Se aconseja consultar la tabla de versiones vulnerables y
contramedidas en:
http://www.cisco.com/warp/public/707/cisco-sa-20090121-cucmcapf.shtml


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Cisco Security Advisory: Cisco Unified Communications Manager CAPF Denial of Service Vulnerability
http://www.cisco.com/warp/public/707/cisco-sa-20090121-cucmcapf.shtml

sábado, 24 de enero de 2009

Denegación de servicio a través de 'pty' en Sun Solaris 8, 9 y 10

Se ha descubierto una vulnerabilidad en el Pseudo-terminal driver (pty) de Sun Solaris que podría permitir a un atacante local causar una denegación de servicio.

El problema está causado por un fallo de condición de carrera en el módulo pty que podría permitir a un atacante local causar un kernel panic (denegación de servicio).

Según versión y plataforma, las actualizaciones están disponibles desde:

Para SPARC:
Solaris 8 instalar 113685-07 desde:
http://sunsolve.sun.com/pdownload.do?target=113685-07&method=h

Solaris 9 instalar 140426-01 desde:
http://sunsolve.sun.com/pdownload.do?target=140426-01&method=h

Solaris 10 instalar 140383-01 desde:
http://sunsolve.sun.com/pdownload.do?target=140383-01&method=h

Para x86:
Solaris 8 instalar 113686-06 desde:
http://sunsolve.sun.com/pdownload.do?target=113686-06&method=h

Solaris 9 instalar 140427-01 desde:
http://sunsolve.sun.com/pdownload.do?target=140427-01&method=h

Solaris 9 instalar 140384-01 desde:
http://sunsolve.sun.com/pdownload.do?target=140384-01&method=h


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Security Vulnerability in the Solaris Pseudo-terminal Driver (pty(7D)) may Cause a System Panic
http://sunsolve.sun.com/search/document.do?assetkey=1-66-249586-1

viernes, 23 de enero de 2009

Malware oculto en una copia pirata de Apple iWork 09 para Mac OS X

En Intego han encontrado una copia pirata y troyanizada de iWork 09 circulando por las redes de pares. Lo relevante en este caso es que el software es para el sistema operativo Mac OS X. Los atacantes parecen seguir teniendo cierto interés en este sistema operativo.

Los investigadores han encontrado una copia completa y funcional de iWork 09 para Mac OS X en redes de torrent, pero con un añadido: OSX.Trojan.iServices.A. El troyano se oculta en el paquete iWorkServices.pkg. Se instala en la carpeta de inicio para asegurar su ejecución continuada en el sistema infectado. Según la compañía que lo ha descubierto, (que se dedica a vender software para proteger sistemas Macintosh) 20.000 usuarios ya lo han descargado gratuitamente desde estas redes. El iWork 09 cuesta unos 80 dólares.

El troyano no es muy sofisticado. Notifica a un servidor (perteneciente al atacante) de que un sistema ha sido infectado, lo introduce en su red controlada de bots y, entre otras cosas, está diseñado para provocar denegaciones de servicio distribuidas a servidores web a través de una avalancha de peticiones. Al parecer está programado en un principio para atacar al servidor dollarcardmarketing.com al que ya ha causado serios problemas de disponibilidad.

El malware para Mac va en aumento. En los últimos años en especial, los de la familia DNSChanger que modifican los servidores DNS para que la víctima se dirija a páginas arbitrarias. Lo interesante de este suceso es que el atacante ha buscado una forma relativamente poco usada de difundir el troyano. El iWork pirata está completo, no es un "fake". Durante la instalación (sea original o no) el programa pedirá credenciales de root para poder ejecutarse y ahí es donde el atacante salva un importante escollo: el usuario entenderá que para ahorrarse el pago del software original e instalar el pirata, necesita temporalmente privilegios de administrador.

Aunque las vulnerabilidades para Mac OS X son muchas y muy graves, los atacantes todavía no las están aprovechando en masa para difundir malware en este sistema operativo. Esta técnica la dejan para usuarios de Windows, principalmente. Esto es así porque normalmente, el usuario de Windows trabaja como administrador por defecto (excepto en Vista), y la explotación de vulnerabilidades no requerirá elevación de privilegios. Así, de forma transparente el atacante podrá ejecutar e infectar a sus anchas de una sola vez.

Por el contrario, para las víctimas de Apple se valen normalmente de la ingeniería social para intentar tomar control del sistema. Quizás por el hecho de que habitualmente en Mac se trabaja con usuarios limitados. Si el atacante desea infectar realizando cambios significativos en el sistema, necesita conocer de alguna forma la clave de root o que el usuario se la proporcione, y ahí es donde entran "las malas artes" para hacer creer a la víctima que el malware camuflado las necesita. Si aprovechase vulnerabilidades de programas que se ejecutan bajo cuentas limitadas, la infección significativa del sistema no sería del todo transparente.

En cualquier caso, esta técnica de infección es usada desde hace años contra usuarios Windows con muchísimo éxito, pero la (ir)responsabilidad es exclusiva del usuario, esto no es problema del sistema operativo. Las redes de pares están llenas de programas y archivos troyanizados o de troyanos directamente. Descargar y ejecutar software de dudosa procedencia sin tomar las medidas de seguridad adecuadas, es jugar a la ruleta rusa con el sistema operativo, independientemente del que se utilice y de lo seguro (o no) que se crea que es.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Mac Trojan Horse OSX.Trojan.iServices.A Found
in Pirated Apple iWork 09
http://www.intego.com/news/ism0901.asp

jueves, 22 de enero de 2009

Actualización del kernel para Red Hat Enterprise Linux 5

Red Hat ha publicado una actualización del kernel de Red Hat Enterprise Linux 5 que corrige diversas vulnerabilidades.

Los principales problemas corregidos son:

* Se ha corregido un fallo en la función '__scm_destroy' de net/core/scm.c, que podría ser aprovechado por un atacante para causar una denegación de servicio a través de ciertas operaciones de conexión UNIX.

* Se ha encontrado un fallo en el subsistema ATM que podría ser aprovechado por un usuario local para causar una denegación de servicio.

* Elevación de privilegios a través de inotify. Un usuario local podría obtener una elevación de privilegios a través de vectores desconocidos relacionados causados por un fallo de condición de carrera.

Además se han corregido múltiples fallos menores.
Se recomienda actualizar a través de las herramientas automáticas up2date.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Important: Red Hat Enterprise Linux 5.3 kernel security and bug fix update
https://rhn.redhat.com/errata/RHSA-2009-0225.html

miércoles, 21 de enero de 2009

Salto de restricciones de seguridad en Cisco Security Manager 3.x

Cisco ha publicado una actualización para Cisco Security Manager 3.x que corrige un fallo de seguridad que podría permitir que un atacante remoto no autenticado pudiera saltarse restricciones de seguridad.

Cuando Cisco Security Manager es usado con Cisco IPS Event Viewer (IEV), se podrían abrir ciertos puertos TCP, en el servidor Cisco Security Manager y en el cliente IEV, que podrían ser utilizados por un atacante remoto para acceder como root a las bases de datos MySQL IEV y a su servidor.

Cisco, a través de los canales habituales, ha puesto a disposición de sus clientes soluciones para solventar el problema.

Se aconseja consultar la tabla de versiones vulnerables y contramedidas en:
http://www.cisco.com/warp/public/707/cisco-sa-20090121-csm.shtml


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Cisco Security Advisory: Cisco Security Manager Vulnerability
http://www.cisco.com/warp/public/707/cisco-sa-20090121-csm.shtml

martes, 20 de enero de 2009

Actualización del kernel para OpenSuSE Linux 11

OpenSuSE ha publicado una actualización para el kernel de OpenSuSE Linux 11 que corrige numerosos problemas de seguridad.

De forma resumida, las vulnerabilidades son:

* Vulnerabilidad de impacto desconocido causada por un desbordamiento de bufer en ibwdt_ioctl de drivers/watchdog/ib700wdt.c.

* Denegación de servicio local en libata por medio de múltiples invocaciones a programas de test.

* Denegación de servicio local en el subsistema ATM por medio de dos llamadas svc_listen al mismo socket.

* Denegación de servicio local por medio de un gran número de llamadas a la función sendmsg.

* Denegación de servicio local causada por la llamada recursiva de la función __scm_destroy.

* Denegación de servicio causada por un desbordamiento de búfer en la función hfsplus_find_cat.

* Denegación de servicio causada por un desbordamiento de búfer basado en pila en la función hfs_cat_find_brec.

* Escalada de privilegios a través de un error de condición de carrera en la funcionalidad inotify.

* Denegación de servicio local a través de llamadas especialmente modificadas al driver i915 (drivers/char/drm/i915_dma.c).

* Salto de restricciones locales a través de la función do_splice_from en fs/splice.c.

Se recomienda actualizar a través de las herramientas automáticas YoU (Yast Online Update).


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

[security-announce] SUSE Security Announcement: Linux kernel (SUSE-SA:2009:003)
http://lists.opensuse.org/opensuse-security-announce/2009-01/msg00005.html

lunes, 19 de enero de 2009

Conficker o Downadup, cabeza de turco

Conficker, también conocido como Downadup, ha saltado a los medios generalistas activando alarmas. La combinación de ciertas técnicas le ha permitido conseguir un buen número de infecciones. Pero no más que los cientos de miles de ejemplares de malware 2.0 que infectan hoy en día a la mayoría de los sistemas Windows. Conficker ha jugado bien sus cartas, pero no es una epidemia mayor que cualquier otra familia de malware existente. Quizás ese parecido con los troyanos antiguos, esa identificación con la imagen de virus de toda la vida que todavía muchos usuarios conservan como si fuese el panorama actual, ha permitido a este gusano aparecer como estrella mediática fácilmente señalable. Conficker es una cabeza de turco que no aporta realmente novedades al mundo del malware, ni por técnica ni por volumen, pero que por ciertos intereses, se ha convertido en una "estrella mediática".

Conficker ha jugado bien sus cartas en su segunda versión, explotando varias vías de infección:

* Adivina contraseñas de las redes compartidas. Esto le ha permitido eludir cortafuegos en redes internas. Además revela la debilidad de muchas contraseñas usadas por los administradores.

* Se copia y ejecuta a través de memorias USB y dispositivos extraíbles. Para los administradores de redes supone un verdadero problema evitar de forma eficaz la proliferación de memorias USB que viajan de un sistema a otro. Para colmo, una mala política de seguridad que permite la ejecución automática de cualquier archivo almacenado en la memoria, y probablemente unos permisos inadecuados en el sistema, hacen el resto.

* Aprovecha vulnerabilidades. Conficker comenzó aprovechando una vulnerabilidad muy peligrosa que permitía ejecución de código sin intervención del usuario. Sin embargo la proliferación de cortafuegos ha evitado que Conficker llegue a ser ni de lejos como Blaster, por lo que su adaptación ha sido clave.

* Ingeniería social: El gusano aprovecha la autoejecución pero de una forma muy astuta. Disfrazándose como una de las opciones que aparecen en el menú de Windows cuando se inserta un dispositivo extraíble. Un usuario despistado creerá que está intentando explorar el dispositivo cuando en realidad ha ejecutado el ejemplar.

* Malware 2.0: Aunque sus técnicas de infección en general no sean las más usadas últimamente, sí se sirve de características claras del malware 2.0, como la descarga de componentes (tanto archivos de configuración como otros ejecutables) desde servidores web, convirtiéndose así en toda una infraestructura y no en un gusano autocontenido tradicional.

Uno de los principales enemigos de este gusano es que es fácilmente identificable por las casas antivirus. Los niveles de detección son aceptables incluso por firmas. Además, la "herramienta de eliminación de solftware malintencionado" de Microsoft incluye ya una firma para eliminar sistemas infectados. Nada que ver con el malware que es reconocido por una pequeña cantidad de motores durante meses, y que componen el grueso del verdadero panorama vírico actual.

Cada vez es más complicado identificar un troyano como tal. Se puede hablar de familias pero con Conficker se ha vuelto en cierto modo a revivir viejas costumbres de los troyanos que se creían obsoletas. Su relativo éxito ha animado a medios y casas antivirus a lanzar una alerta "palpable", de las que hacía años que no se emitían, como cuando se alertaba sobre virus concretos de propagación masiva. Pero la difusión de Conficker está lejos de sobrepasar a esas "antiguas" epidemias. Incluso está lejos de alcanzar otras epidemias actuales más peligrosas pero mucho menos indentificables, por su complejidad. Conficker sirve así como cabeza de turco, un troyano reconocible y concreto al que señalar ante la inmensa, indomable e inadvertida avalancha de malware actual. Un "mal ejemplo" con el que poder mantener viva la sensación de alerta. Aunque en ningún modo haya que despreciar su potencial daño, lo bueno es que como mínimo la repercusión servirá para concienciar sobre los peligros del malware en general.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Las llaves de memoria USB propagan un virus por millones de ordenadores
http://www.elpais.com/articulo/sociedad/llaves/memoria/USB/propagan/virus/millones/ordenadores/elpepisoc/20090120elpepisoc_6/Tes

12/01/2009 El gusano Conficker consigue niveles aceptables de infección,
al fin y al cabo
http://www.hispasec.com/unaaldia/3733

Un peligroso virus infecta a millones de ordenadores con Windows
http://www.elmundo.es/elmundo/2009/01/19/navegante/1232398238.html

domingo, 18 de enero de 2009

Denegación de servicio a través de ACL en Sun Solaris 8, 9 y 10

Sun ha publicado actualizaciones para evitar un fallo de seguridad en Solaris que podría permitir a un atacante local sin privilegios efectuar una denegación de servicio.

El fallo, no especificado, reside en la implementación de las listas de control de acceso (ACL) del sistema de archivos UFS. Un atacante local sin privilegios podría efectuar una denegación de servicio a través de vectores no especificados.

Según versión y plataforma, las actualizaciones están disponibles
desde:

Para la plataforma SPARC:

Solaris 9 instalar parche 122300-34 o superior desde:
http://sunsolve.sun.com/pdownload.do?target=122300-34&method=h

Solaris 10 instalar parche 139483-01 o superior desde:
http://sunsolve.sun.com/pdownload.do?target=139483-01&method=h

OpenSolaris
Actualizar al build snv_100 o superior

Para la plataforma X86:

Solaris 9 instalar parche 122301-34 o superior desde:
http://sunsolve.sun.com/pdownload.do?target=122301-34&method=h

Solaris 10 instalar parche 139484-01 o superior desde:
http://sunsolve.sun.com/pdownload.do?target=139484-01&method=h

OpenSolaris
Actualizar al build snv_100 o superior


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Security Vulnerability in the ACL (acl(2)) Implementation for UFS File Systems May Allow a Local User to Panic the System
http://sunsolve.sun.com/search/document.do?assetkey=1-66-242267-1

sábado, 17 de enero de 2009

Grupo de parches de enero para diversos productos Oracle

Oracle ha publicado un conjunto de 41 parches para diversos productos de la casa que solventan una larga lista de vulnerabilidades sobre las que apenas han dado detalles concretos. Las consecuencias son que atacantes locales y remotos pueden provocar denegaciones de servicio, ejecutar código arbitrario, tener acceso de escritura y lectura a datos sensibles, perpetrar ataques de inyección SQL y eludir restricciones de seguridad.

Los fallos se dan en varios componentes de los productos:
Oracle Database 11g, version 11.1.0.6
Oracle Database 10g Release 2, versions 10.2.0.2, 10.2.0.3, 10.2.0.4
Oracle Database 10g, version 10.1.0.5
Oracle Database 9i Release 2, versions 9.2.0.8, 9.2.0.8DV
Oracle Secure Backup version 10.2.0.2, 10.2.0.3
Oracle Secure Backup version 10.1.0.1, 10.1.0.2, 10.1.0.3
Oracle TimesTen In-Memory Database version 7.0.5.1.0, 7.0.5.2.0, 7.0.5.3.0, 7.0.5.4.0
Oracle Application Server 10g Release 3 (10.1.3), versions 10.1.3.3.0
Oracle Application Server 10g Release 2 (10.1.2), versions 10.1.2.2.0, 10.1.2.3.0
Oracle Collaboration Suite 10g, version 10.1.2
Oracle E-Business Suite Release 12, version 12.0.6
Oracle E-Business Suite Release 11i, version 11.5.10.2
Oracle Enterprise Manager Grid Control 10g Release 4, versions 10.2.0.4
PeopleSoft Enterprise HRMS versions: 8.9 and 9.0
JD Edwards Tools version 8.97
Oracle WebLogic Server (formerly BEA WebLogic Server) 10.0 hasta MP1, 10.3 GA
Oracle WebLogic Server (formerly BEA WebLogic Server) 9.0 GA, 9.1 GA, 9.2 hasta MP3
Oracle WebLogic Server (formerly BEA WebLogic Server) 8.1 hasta SP6
Oracle WebLogic Server (formerly BEA WebLogic Server) 7.0 hasta SP7
Oracle WebLogic Portal (formerly BEA WebLogic Portal) 10.0 hasta MP1, 10.2 GA, 10.3 GA
Oracle WebLogic Portal (formerly BEA WebLogic Portal) 9.2 hasta MP3
Oracle WebLogic Portal (formerly BEA WebLogic Portal) 8.1 hasta SP6

De las 41 correcciones:

* 20 afectan a Oracle Database. Todas requieren un usuario y contraseña válidos para poder ser aprovechadas. Dos son aplicables a las instalaciones de cliente. Los componentes afectados son:
Job Queue, Oracle OLAP, Oracle Spatial, Oracle Streams y SQLPlus Windows GUI.

* 4 afectan a Oracle Application Server. 2 de las cuales no requieren un usuario y contraseña válidos para poder ser aprovechadas. Ninguna es aplicable a las instalaciones de cliente. Los componentes afectados son:
OC4J, Oracle BPEL Process Manager, Oracle Portal y Oracle JDeveloper.

* 4 afectan a Oracle E-Business Suite and Applications. Todas requieren un usuario y contraseña válidos para poder ser aprovechadas. Ninguna es aplicable a las instalaciones de cliente. Los componentes afectados son:
Oracle Application Object Library, iProcurement, Oracle Applications Framework y Oracle Applications Platform Engineering.

* 1 afecta a Oracle Enterprise Manager. Requiere un usuario y contraseña válidos para poder ser aprovechada. El componente afectado es:
Oracle Enterprise Manager.

* 5 afectan a Oracle PeopleSoft Enterprise and JD Edwards EnterpriseOne.
Todas requieren un usuario y contraseña válidos para poder ser aprovechadas. Los componentes afectados son:
PeopleSoft Enterprise Components, PeopleSoft Enterprise HRMS,PeopleSoft Enterprise Campus Solutions, PeopleSoft Enterprise HRMS - ePerformance y JD Edwards Tools.

* 5 afectan a BEA Product Suite. 5 de las cuales no requieren un usuario y contraseña válidos para poder ser aprovechadas. Ninguna es aplicable a las instalaciones de cliente. Los componentes afectados son:
WebLogic Server Plugins for Apache, Sun y IIS web servers, WebLogic Portal y WebLogic Server.

Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial:
Oracle Critical Patch Update Advisory - January 2009
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujan2009.html


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Oracle Critical Patch Update Advisory - January 2009
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujan2009.html

viernes, 16 de enero de 2009

CIBSI '09: Cita de la seguridad de la información en Montevideo

Como cada año impar, este 2009 nos trae una nueva cita con los últimos avances en la investigación de la seguridad y protección de la información de la mano de CIBSI '09, el V Congreso Iberoamericano de Seguridad Informática que tendrá como anfitriona a la Facultad de Ingeniería de la Universidad de la República en Montevideo, Uruguay.
Sitio Web: http://www.fing.edu.uy/cibsi09

Esta es la quinta edición del congreso, iniciativa de la Red Temática Iberoamericana de Criptografía y Seguridad de la Información CriptoRed que tras nueve años de existencia cuenta con representantes de 200 universidades y más de 275 empresas, todos ellos investigadores y profesionales de la seguridad informática.
Red Temática: http://www.criptored.upm.es/

En su histórico, CIBSI inicia su andadura en el año 2002 celebrándose CIBSI '02 en la ciudad de Morelia en México; en el año 2003 la cita de CIBSI '03 es en Ciudad de México, en donde se decide que su periodicidad sea bienal; CIBSI '05 tiene como escenario la ciudad de Valparaíso en Chile y la última edición, CIBSI '07, a Mar del Plata en Argentina.

El congreso, que se celebrará del 16 al 18 de noviembre de 2009 en temporada de primavera verano en dicho país, tendrá como sede el Hotel NH Columbia situado en la Rambla Gran Bretaña, en pleno paseo marítimo de Montevideo, frente al mar y a sólo 10 minutos caminando del centro de la ciudad.
Sede:
http://www.nh-hoteles.es/nh/es/hoteles/uruguay/montevideo/nh-columbia.html?type=gallery

A la fecha están confirmados los siguientes conferenciantes invitados para sesiones plenarias: el Dr. Gilles Barthe de IMDEA Software (España), el Dr. Eduardo Giménez de la Universidad de la República (Uruguay) y el Dr. José Luis Piñar Mañas de la Universidad CEU San Pablo (España).

La temática de interés para el envío de trabajos contempla el amplio abanico actual de la seguridad de la información, entre otros: Fundamentos de la Seguridad; Algoritmos y Protocolos Criptográficos; Vulnerabilidades y Criptoanálisis; Infraestructuras de Clave Pública; Seguridad en Aplicaciones; Seguridad en Redes y en Sistemas; Control de Acceso e Identidad; Técnicas y Sistemas de Autenticación; Arquitecturas y Servicios de Seguridad; Implantación y Gestión de la Seguridad; Planes de Contingencia y Recuperación; Auditoría y Forensia Informática; Legislación en Seguridad y Delitos; Normativas y Estándares en Seguridad; Negocio y Comercio Electrónico.

Las fechas de interés para autores son: Límite de recepción de trabajos, 15 de abril de 2009; Notificación de aceptación, 17 de junio de 2009; Versión final para actas del congreso, 31 de julio de 2009.

Un breve repaso por la historia de los congresos CIBSI, nos recuerda en el plano científico que se presentan del orden de 50 ponencias, procedentes de más de una decena de países, y asisten por tanto más de una centena de investigadores de prestigio, lo que facilita y fortalece el intercambio de experiencias, siendo además un excelente entorno para plantear nuevos proyectos de colaboración académica, técnica y científica.

En un aspecto más lúdico, los eventos sociales que se planifican y ofrecen a los congresistas permiten un amplio conocimiento del arte y la cultura de los países anfitriones, así como poder apreciar in situ sus paisajes, arquitectura y la amabilidad de su gente, en este caso de la preciosa ciudad de Montevideo y sus alrededores.

Desde su génesis, CIBSI '09 ha contado con la colaboración de la Universidad de la República, de la empresa uruguaya ANTEL y de la Universidad Politécnica de Madrid. Así mismo, en estos momentos de lanzamiento del servidor Web el congreso cuenta ya con el patrocinio de la empresa española GMV Soluciones Globales Internet. Si su empresa, institución u organismo desea participar como patrocinador, por favor póngase en contacto con el Comité Organizador Local en la dirección de correo que encontrará en el apartado Contactos del sitio Web del congreso.

Esperamos poder saludarte personalmente en Montevideo en CIBSI '09
Un cordial saludo




Jorge Ramió (UPM)
Gustavo Betarte (UdelaR)
Comité Organizador de CIBSI '09



jueves, 15 de enero de 2009

Ejecución remota de código en Winamp y Amarok

Si hace pocos días se informó de un problema de seguridad en el plugin "lo que estoy escuchando" para Winamp (gen_msn Winamp Plugin), ahora se ha descubierto un fallo crítico en el propio reproductor que podría permitir la ejecución de código arbitrario de forma remota.

Winamp es seguramente el reproductor de archivos multimedia más famoso para plataformas Windows. Entre sus cualidades está el soportar múltiples formatos, ser ligero, aceptar infinidad de plugins y la posibilidad de descarga de versiones gratuitas.

La vulnerabilidad, que todavía no ha sido parcheada y de la que existe exploit público, está causada por un error de límites al procesar archivos AIFF, lo que podría causar un desbordamiento de búfer basado en heap. Esto podría ser explotado por un atacante remoto para ejecutar código arbitrario por medio de un archivo AIFF (con extensiones .aif ó .aiff) especialmente manipulado.

AIFF ó Audio Interchange File Format (Formato de Archivo de Intercambio de Audio) es un estándar de formato de audio usado a nivel profesional para aplicaciones de audio ya que, a diferencia del popular MP3, este no está comprimido, por lo que no sufriría una perdida de calidad.

Además del fallo en Winamp (del que existe exploit público), esta semana se han dado a conocer otros problemas críticos de seguridad en Amarok, un reproductor multimedia gratuito y con versiones para Linux, Unix, Mac OS X y Windows.

Las vulnerabilidades, descubiertas por el investigador Tobias Klein, podrían permitir la ejecución remota de código arbitrario. Son las siguientes:

1- Dos fallos de desbordamiento de enteros en la función 'Audible::Tag::readTag()' localizada en 'src/metadata/audible/audibletag.cpp' que podrían ser aprovechados para ejecutar código arbitrario por medio de archivos de audio especialmente manipulados.

2- Otros dos fallos en la misma función podrían ser aprovechados para corromper porciones arbitrarias de memoria. Este fallo podría permitir que un atacante remoto ejecutase código arbitrario por medio de archivos de audio especialmente manipulados.

Precisamente por el hecho de soportar tantos formatos, este tipo de reproductores sufren cada cierto tiempo de un problema de seguridad al procesar alguno de ellos, convirtiéndose así un vector de ataque tan peligroso como cualquier otro.

Por el momento no existe parche disponible para Winamp, por lo que se recomienda utilizar un reproductor alternativo para abrir los archivos del tipo AIFF.

Para Amarok, se recomienda actualizar a la versión no vulnerable (v.2.0.1.1) lo antes posible. Disponible para su descarga desde:
http://amarok.kde.org/wiki/Download


Pablo Molina
pmolina@hispasec.com


Más información:

Winamp <= 5.541 multiples Denial of Services (MP3/AIFF)
http://milw0rm.com/exploits/7742

Magellan - Amarok 2.0.1.1 released (including security fix)
http://amarok.kde.org/en/releases/2.0.1.1

Amarok Integer Overflow and Unchecked Allocation Vulnerabilities
http://www.trapkit.de/advisories/TKADV2009-002.txt

miércoles, 14 de enero de 2009

Coinciden los ciclos de actualización de Cisco, Microsoft y Oracle

En 48 horas han coincidido los ciclos de actualización de seguridad de tres grandes compañías: Cisco (el miércoles 14 de enero) y Microsoft y Oracle (el martes anterior), circunstancia que no se había dado hasta el momento y que sin duda ha mantenido ocupados a una buena cantidad de administradores de sistemas.

Parece improbable que un administrador de grandes sistemas no posea un producto de alguna de estas tres marcas. Entre el martes y el miércoles les han llovido los parches para todos los productos de forma casi simultánea. Deben haber estado bastante ocupados. Si no es así, están expuestos con total seguridad a alguna vulnerabilidad.

Microsoft publica sus parches de seguridad los segundos martes de cada mes, quizás sea el ciclo más reconocido. Este último martes publicó un solo boletín que solucionaba tres fallos de seguridad.

Oracle se unió hace años a las actualizaciones programadas. Publica sus parches cada tres meses. El martes que esté más cerca del día 15 del mes de enero, abril, julio y octubre. En este caso ha corregido 41 problemas de seguridad en sus numerosos productos.

No es habitual que coincidan Microsoft y Oracle (rara vez el segundo martes de cada mes se acerca al día 15) pero alguna vez se ha dado la ocasión.

Cisco declaró hace ya casi un año que también publicaría sus parches de seguridad cada seis meses, en el cuarto miércoles de marzo y el cuarto miércoles de septiembre. Por tanto, menos de 24 horas después de que Oracle y Microsoft publicaran parches, Cisco anunció otras cinco vulnerabilidades en sus productos.

No debe extrañar que las marcas elijan un día como el martes para decidir publicar sus actualizaciones. Parchear es siempre en cierto modo arriesgado. En redes grandes o críticas necesita cierto planteamiento previo (de ahí que no se utilice el lunes) y mucho seguimiento (por eso se huye de los viernes, jueves...). Microsoft fue la primera compañía grande en adoptar esta técnica así que eligió el mejor día de la semana posible, el martes. Oracle, segunda en programar sus macro parches, también se quedó con este día. Cisco, última en llegar, decidió usar los miércoles (probablemente para no coincidir con las otras dos). En cualquier caso, todos los meses de marzo de todos los años, en un periodo de 24 horas en el peor de los casos y de pocos días en el mejor, las tres coincidirán por necesidad.

Así que los administradores de sistemas (los que se preocupen por la seguridad) tienen ahora un buen trabajo por delante, en el que deben parchear, comprobar, revisar, actualizar... productos y dispositivos críticos en sus redes.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Cisco:
http://www.cisco.com/en/US/products/products_security_advisory09186a0080a5c4f7.shtml
http://www.cisco.com/warp/public/707/cisco-sa-20090114-ons.shtml
http://www.cisco.com/en/US/products/products_security_response09186a0080a5c501.html

Oracle:
http://www.oracle.com/technology/deploy/security/alerts.htm

Vulnerabilidades en SMB podrían permitir la ejecución remota de código
http://www.microsoft.com/spain/technet/security/Bulletin/ms09-001.mspx

martes, 13 de enero de 2009

Boletín de seguridad de Microsoft de enero corrige ejecución remota de código a través de SMB en Windows

Tal y como adelantamos la semana pasada, este martes Microsoft ha publicado un boletín de seguridad (el MS09-001) correspondiente a su ciclo habitual de actualizaciones, que corrigen un total de tres vulnerabilidades en el protocolo Microsoft Server Message Block (SMB) que podrían ser aprovechadas por un atacante remoto para ejecutar código arbitrario.

Las tres vulnerabilidades están causadas por un fallo en la forma en la que el protocolo Server Message Block maneja ciertos paquetes SMB especialmente manipulados, debido a una validación insuficiente del tamaño de un búfer antes de escribir en él. Dos de los desbordamientos de búfer podrían ser aprovechados por un atacante remoto sin autenticar para ejecutar código arbitrario, mientras que uno de ellos sólo puede permitir ataques de denegación de servicio.

Este parche sustituye al parche anterior (MS08-063) en todos los sistemas afectados. Se recomienda actualizar los sistemas afectados mediante Windows Update o descargando los parches según versión desde los enlaces proporcionados en el boletín:
http://www.microsoft.com/spain/technet/security/Bulletin/ms09-001.mspx


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Boletín de seguridad de Microsoft MS09-001 – Crítico
Vulnerabilidades en SMB podrían permitir la ejecución remota de código
http://www.microsoft.com/spain/technet/security/Bulletin/ms09-001.mspx

lunes, 12 de enero de 2009

El gusano Conficker consigue niveles aceptables de infección, al fin y al cabo

En octubre, cuando Microsoft publicó su boletín MS08-067, se daba por hecho que aparecería un gusano capaz de aprovechar la vulnerabilidad, dadas sus características. No se apostaba por una infección masiva (tipo Blaster) aunque finalmente parece que está causando más daño del esperado, quizás gracias a un cambio de estrategia combinada que le está sirviendo como una eficaz vía de propagación.

El día 23 de octubre Microsoft publicó un parche fuera de su ciclo habitual, de carácter crítico, en el que se solucionaba un problema de seguridad en el servicio Server de las distintas versiones del sistema operativo Windows. El exploit era público un día después. La vulnerabilidad se volvía "ideal" para ser aprovechada por un gusano tipo Blaster (la pesadilla del verano de 2003). En Hispasec apostamos a que no se alcanzaría ese grado de epidemia por muchas razones. La más poderosa es la existencia de cortafuegos activo por defecto en los Windows más modernos, que impide que el gusano tenga acceso al servicio vulnerable.

También advertíamos que "el fallo puede ser más grave en empresas. Si un sistema se infecta con un gusano que aproveche esta última vulnerabilidad, es muy probable que pueda acceder a los puertos de otros ordenadores de la misma red sin que se vea bloqueado por cortafuegos. Sobre todo si la red no está convenientemente segmentada". Finalmente sí que está consiguiendo cierto grado de infección (más del que esperábamos) en redes internas y fuera de ellas, en parte porque no sólo se está esparciendo accediendo al servicio vulnerable sino también a través de memorias USB.

Desde diciembre, el gusano adopta una nueva estrategia de infección, copiándose en las unidades mapeadas en el sistema y, sobre todo, en los dispositivos extraíbles (memorias USB, básicamente). Ahí, aprovecha el arranque automático para poder ejecutarse en la siguiente víctima. Con este doble enfoque, consigue dar el salto desde las redes internas desprotegidas (donde aparentemente tiene más posibilidades de propagarse) hacia cualquier otro sistema externo, y esparcirse así en redes en principio "a salvo" gracias al cortafuegos (su verdadero enemigo).

Aunque existe parche disponible desde antes de su aparición y el grueso de los antivirus lo detectan, en las últimas semanas está siendo una molestia para muchas empresas y organizaciones con redes mal configuradas. Uno de los "síntomas" que se pueden sufrir es que de repente algunas cuentas de dominio aparezcan deshabilitadas. El gusano fuerza por diccionario el recurso compartido ADMIN$ para acceder y copiarse en él. Esto provoca que como medida preventiva el usuario quede bloqueado.

Lo curioso es que estos métodos de infección se consideran obsoletos. Con la aparición del cortafuegos por defecto en Windows los gusanos "de toda la vida" quedaron olvidados. Igualmente, con la desaparición del disquete y la mejora de la seguridad de los clientes de correo, la infección se ha trasladado durante mucho tiempo hacia el navegador. Las memorias USB han hecho resurgir una técnica de infección "tradicional" en la que el gusano se copia a sí mismo en la memoria y espera a ser introducido en otro ordenador. Conficker consigue así, combinando dos "viejas" técnicas usadas desde hace años, un éxito relativo.

Decimos éxito "relativo" porque si bien está siendo molesto para muchos administradores, las cifras tampoco resultan espectaculares. Aunque los datos no deben ser tratados como definitivos y haya que tomarlos con precaución, en VirusTotal hemos recibido unas 2.500 muestras de archivos calificados como Cockflicker o Downadup desde finales de noviembre. De otras amenazas más sofisticadas como por ejemplo Zbot, que sí deben ser consideradas como peligrosas epidemias, hemos recibido casi 8.000 en el mismo periodo.


Sergio de los Santos
ssantos@hispasec.com


Más información:

27/05/2008 Virus y promiscuidad. Del disquete al USB
http://www.hispasec.com/unaaldia/3503

24/10/2008 Último parche de Microsoft: ¿Sufriremos otro Blaster?... No.
http://www.hispasec.com/unaaldia/3653

Downadup / Conficker - MS08-067 exploit and Windows domain account lockout
http://isc.sans.org/diary.php?storyid=5671

domingo, 11 de enero de 2009

Actualización de múltiples paquetes para SuSE Linux

SuSE ha publicado una actualización para múltiples paquetes que corrigen numerosos problemas de seguridad.

De forma resumida, las vulnerabilidades son:

* Múltiples fallos de denegación de servicio en wireshark y en varios de sus disectores: GSM SMS, PANA, KISMET, RMI, Bluetooth ACL, PRP, MATE y Q931.

* Salto de restricciones de seguridad y denegación de servicio en mysql.

* Una comprobación de límites insuficiente en imap podría hacer que ciertas aplicaciones que hacen uso de la librería dejasen de responder.

* Salto de la directiva de configuración $AllowedSender en rsyslog.

* Un atacante podría inyectar código SQL al utilizar pgsql en courier-authlib.

* Una actualización de nfs-utils corrige una vulnerabilidad que podría permitir a un atacante remoto saltarse ciertas restricciones de acceso de los Wrappers TCP.

* Denegación de servicio en libxml2 causada por un bucle infinito al procesar archivos XML especialmente manipulados.

* Una actualización de python que corrige vulnerabilidades de desbordamiento de enteros, en el módulo imageop y en el método expandtabs, que podrían permitir a un atacante remoto ejecutar código arbitrario o causar una denegación de servicio.

* Múltiples fallos de seguridad en jhead podrían causar una denegación de servicio y permitir la ejecución de código arbitrario.

* Ejecución remota de código a través del interfaz web de git.

* Un fallo en samba que podría permitir que el cliente accediera a porciones arbitrarias de memoria desde el servidor de procesos. Además se ha solucionado otro fallo que podría permitir una salto de restricciones de seguridad.

* Ejecución remota de código a través de clientes vinagre.

* Múltiples problemas de seguridad en Opera.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

[security-announce] SUSE Security Summary Report: SUSE-SR:2009:001
http://lists.opensuse.org/opensuse-security-announce/2009-01/msg00002.html

sábado, 10 de enero de 2009

Actualización del kernel para Red Hat Enterprise Linux 2.x

Red Hat ha publicado una actualización para el kernel que corrige numerosos problemas de seguridad.

Los principales problemas corregidos son:

* Un fallo en la implementación del reenvío de IPv4 podría permitir a un atacante local no privilegiado causar un acceso fuera de límites.

* Un fallo en el manejo de las señales de muerte de procesos podría permitir a un usuario local no privilegiado enviar señales arbitrarias a procesos suid.

* Un problema a la hora de validar el rango de memoria del kernel al que tienen acceso ciertos drivers podría permitir a un atacante local provocar una denegación de servicio.

* Una potencial fuga de memoria del kernel en la implementación de Internet Transition (SIT) INET6. Un atacante local podría provocar una denegación de servicio.

* Un problema de falta de comprobación en el drivers SBNI WAN podría permitir a atacantes locales eludir restricciones de seguridad.

* Un fallo en la forma en la que se escriben ficheros usando la función truncate o ftruncate. Un atacante local no privilegiado podría obtener información sensible.

* Una condición de carrera en el sistema mincore podría permitir a un atacante local provocar una denegación de servicio.

* Un fallo en el drivers SCSI aacraid podría permitir a un atacante local hacer llamadas a sistema normalmente restringidas a usuarios privilegiados.

* Dos problemas de desbordamiento de memoria intermedia en el subsistema Integrated Services Digital. Un atacante local podría aprovechar esto para provocar una denegación de servicio.

* Un fallo en la forma en la que se crean ficheros core dump podría permitir a un atacante local obtener información sensible si vuelca memoria de procesos con privilegios de root.

* Un problema en la implementación del Linux kernel virtual file system (VFS) podría permitir a un atacante local provocar una denegación de servicio.

Se recomienda actualizar a través de las herramientas automáticas up2date.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Important: kernel security update
Advisory: RHSA-2009:0001-17
http://rhn.redhat.com/errata/RHSA-2009-0001.html

viernes, 9 de enero de 2009

Ejecución de código a través del plugin gen_msn de Winamp

Se ha informado que existe una vulnerabilidad crítica en el plugin "Now playing" gen_msn para el reproductor Winamp, que podría permitir la ejecución remota de código.

Este popular complemento de Winamp (con más de 750.000 descargas) es el que permite activar la funcionalidad "Lo que estoy escuchando" del sistema de mensajería instantánea de Microsoft Live Messenger. Dicha funcionalidad muestra como parte de nuestro apodo, el nombre del artista y la canción que se está reproduciendo en ese momento en Winamp.

El fallo está causado por un desbordamiento de búfer basado en heap en gen_msn.dll, al intentar procesar una lista de reproducción (archivo .pls) especialmente manipulada que contenga entradas demasiado largas.

Todavía no existe parche disponible y la vulnerabilidad ha sido confirmada con la aparición de un exploit público que afectaría a las versiones más recientes del plugin (gen_msn v.0.31) y del reproductor (Winamp 5.541).

Se recomienda no abrir archivos pls no confiables y, a ser posible, deshabilitar el plugin hasta que esté disponible una nueva versión no vulnerable.


Pablo Molina
pmolina@hispasec.com


Más información:

gen_msn Winamp Plugin '.pls' Playlist File Remote Heap Buffer Overflow
Vulnerability
http://www.securityfocus.com/bid/33159/info

Winamp Plug-in Details: gen_msn
http://www.winamp.com/plugins/details/144799

jueves, 8 de enero de 2009

Microsoft publicará un solo boletín de seguridad el próximo martes

En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se espera un solo boletín de seguridad. La actualización afectaría al sistema operativo Windows.

Si en diciembre fueron ocho boletines de seguridad los que salieron a la luz, en su último ciclo de actualizaciones del año Microsoft prevé publicar una sola actualización el martes 13 de enero. En realidad, y antes de acabar el año, Microsoft se vio obligada a publicar un parche fuera de su ciclo habitual, que corregía una grave vulnerabilidad en su navegador que estaba siendo aprovechada por atacantes.

El boletín está catalogado como "crítico" para Windows 2000, XP y 2003 y "moderado" para Windows Vista y 2008.

Adicionalmente Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool. Además, se publicarán actualizaciones de alta prioridad no relacionadas con la seguridad. Como es habitual, cada boletín podrá contener un número indeterminado de correcciones de seguridad.

Hispasec Sistemas publicará puntualmente a través de este boletín información detallada sobre los nuevos parches.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Microsoft Security Bulletin Advance Notification for January 2009
http://www.microsoft.com/technet/security/bulletin/ms09-jan.mspx

miércoles, 7 de enero de 2009

Denegación de servicio en el servicio DNS de Cisco Global Site Selector

Se ha encontrado una vulnerabilidad en Cisco Application Control Engine Global Site Selector (GSS) al procesar ciertas peticiones DNS, y que podría ser explotada por un atacante remoto para hacer que el servicio DNS del GSS deje de responder.

La vulnerabilidad está confirmada para las versiones del software del sistema GSS anteriores a la 3.0(1). Los siguientes productos serían vulnerables: Cisco GSS 4480, 4490, 4491 y 4492R.

Cisco recomienda actualizar a la versión 3.0(2) o como contramedida es posible deshabilitar la propiedad "ServerConfig.dnsserver.returnError".
La versión actualizada del software está disponible desde:
http://www.cisco.com/pcgi-bin/tablebuild.pl/gss-3des?psrtdcat20e2


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Cisco Security Advisory: Cisco Global Site Selector Appliances DNS Vulnerability
http://www.cisco.com/warp/public/707/cisco-sa-20090107-gss.shtml

martes, 6 de enero de 2009

Denegación de servicio en cliente NFS de Solaris

Sun ha publicado una actualización para evitar una denegación de servicio en el cliente NFS versión 4 de Solaris 10.

El problema reside en un error de recursividad en nfs4rename_persistent_fh() que puede provocar un kernel panic en el sistema.

Sun ha publicado las siguientes actualizaciones:
Para Solaris 10 en plataforma SPARC:
http://sunsolve.sun.com/pdownload.do?target=139466-02&method=h
Para Solaris 10 en plataforma x86:
http://sunsolve.sun.com/pdownload.do?target=139467-02&method=h
Para OpenSolaris aplicar snv_102


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

A Security Vulnerability in the NFS Version 4 Client Within Solaris May Lead to a System Panic
http://sunsolve.sun.com/search/document.do?assetkey=1-66-248566-1

lunes, 5 de enero de 2009

Acceso a la raíz del sistema de archivos en Samba

Se ha anunciado una vulnerabilidad en Samba por la que un usuario remoto autenticado podría llegar a acceder a determinados archivos del sistema.

Samba es una implementación Unix "Open Source" del protocolo SMB/NetBIOS, utilizada para la compartición de archivos e impresora en entornos Windows. Gracias a este programa, se puede lograr que máquinas Unix y Windows convivan amigablemente en una red local, compartiendo recursos comunes.

El problema reside cuando un usuario remoto autenticado se conecta a un compartido con un nombre vacío ("") mediante una versión antigua de smbclient (anterior a 3.0.28), el usuario podrá acceder a la raíz del sistema de archivos ("/"). Por ejemplo con: smbclient //server/ -U user%pass

Se ven afectados los sistemas configurados como: "registry shares = yes" y con "include = registry" y "config backend = registry" (no se trata de la configuración por defecto).

Se ha publicado la versión 3.2.7 que corrige este problema.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

CVE-2009-0022: Potential access to "/" in setups with registry shares enabled
http://samba.org/samba/security/CVE-2009-0022.html

domingo, 4 de enero de 2009

Diversas vulnerabilidades en RealNetworks Helix Server

Se ha anunciado la existencia de cuatro diferentes vulnerabilidades en los servidores RealNetworks Helix Server versiones 11 y 12, que podrían ser explotadas por usuarios maliciosos para provocar denegaciones de servicio o incluso comprometer los sistemas afectados.

El primero de los problemas reside en un desbordamiento de búfer en el tratamiento de comandos RTSP DESCRIBE que podría ser empleado para lograr ejecutar código arbitrario sin necesidad de autenticación ni interacción por parte del usuario.

Otro desbordamiento de búfer se produce a través de comandos RTSP SETUP, mediante el envío de tres peticiones específicamente creadas al puerto 554 del servidor afectado.

Un tercer desbordamiento de búfer en "DataConvertBuffer" también permite la ejecución de código arbitrario.

Por último, otro desbordamiento de búfer de datos codificados en Base64 en la autenticación NTLM también puede permitir la ejecución de código arbitrario.

Las vulnerabilidades están confirmadas en Helix Server versión 11.x y 12.x y en Helix Mobile Server versión 11.x y 12.x.

Se recomienda actualizar a las versiones 11.1.8 o 12.0.1.


Laboratorio Hispasec
laboratorio@hispasec.com



sábado, 3 de enero de 2009

Nuevos contenidos en la Red Temática CriptoRed (diciembre de 2008)

Breve resumen de las novedades producidas durante el mes de diciembre de 2008 en CriptoRed, la Red Temática Iberoamericana de Criptografía y Seguridad de la Información.

1. NUEVOS DOCUMENTOS Y SOFTWARE PARA DESCARGA LIBRE DESDE CRIPTORED Y DISI 2008

* DISI 2008: Adventures in Network Security (Vídeo, inglés, Radia Perlman, 75 minutos)
http://www.criptored.upm.es/paginas/docencia.htm#catedraDISI2008Perlman
Diapositivas (PDF, inglés, 95 páginas)
http://www.criptored.upm.es/descarga/RadiaPerlmanDISI2008.zip

* DISI 2008: La Investigación en Seguridad (Vídeo, Arturo Ribagorda, 70 minutos)
http://www.criptored.upm.es/paginas/docencia.htm#catedraDISI2008Ribagorda
Diapositivas (PDF, 27 páginas)
http://www.criptored.upm.es/descarga/ArturoRibagordaDISI2008.zip

* Ciberdefensa: Iniciativas en la OTAN (Vídeo, Daniel Acuña, 27 minutos)
http://www.criptored.upm.es/paginas/docencia.htm#catedraDISI2008Acuna
Diapositivas (PDF, 17 páginas)
http://www.criptored.upm.es/descarga/DanielAcunaDISI2008.zip

* Tecnologías Antiforense (Vídeo, Fernando Fernández, 24 minutos)
http://www.criptored.upm.es/paginas/docencia.htm#catedraDISI2008Fernandez

* Investigación del Cibercrimen (Vídeo, Juan Salom, 23 minutos)
http://www.criptored.upm.es/paginas/docencia.htm#catedraDISI2008Salom

* Guía Metodológica para el Análisis Forense Orientado a Incidentes en Dispositivos Móviles GSM (Carlos Castillo, Rafael Andrés Romero; dirección Jeimy Cano, PDF, 163 páginas, Colombia)
http://www.criptored.upm.es/guiateoria/gt_m142h1.htm

* Evaluación de las Predicciones en Seguridad Informática para el 2008 y el Riesgo de las Predicciones para el 2009 (Jeimy Cano, PDF, 5 páginas, Colombia)
http://www.criptored.upm.es/guiateoria/gt_m142i1.htm

* Actualización del Archivo Exámenes Resueltos Asignatura Seguridad Informática EUI - UPM (Jorge Ramió, Word, 187 páginas, España)
http://www.criptored.upm.es/examen/e_eui_upm.htm

2. NUEVOS DOCUMENTOS RECOMENDADOS PARA SU DESCARGA LIBRE DESDE OTROS
SERVIDORES

* Informe de la Red de Sensores de INTECO del Mes de Noviembre de 2008
(España)
https://ersi.inteco.es/informes/informe_mensual_200811.pdf

* Presentaciones y Artículos de la VIII Jornada Nacional de Seguridad Informática ACIS 2008 (Varios autores, Colombia)
http://www.acis.org.co/index.php?id=1259

* Infosecurity White Paper sobre Lowering Network Risk with Geo-location and Reputation Filtering (Elsevier Infosecurity)
http://mail.elsevier-alerts.com/go.asp?/bEEA001/qC75CT8/x1L8LT8

3. CONGRESOS Y SEMINARIOS POR ORDEN CRONOLOGICO DE CELEBRACION

* Febrero 9 al 13 de 2009: IX Seminario Iberoamericano de Seguridad en Tecnologías de la Información (La Habana, Cuba)
http://www.informaticahabana.com/?q=listeventos_es&e=16&id=es

* Febrero 25 al 29 de 2009: IADIS International Conference e-Society 2009 (Barcelona, España)
http://www.esociety-conf.org/

* Marzo 25 al 27 de 2009: International Conference on Practical Applications of Agents and Multiagent Systems (Salamanca, España)
http://paams.usal.es/

* Abril 20 al 24 de 2009: 18th International World Wide Web Conference WWW 2009 (Madrid, España)
http://www2009.org/

* Abril 23 al 25 de 2009: Cuarto Congreso Colombiano de Computación 4CCC (Bucaramanga, Colombia)
http://serverlab.unab.edu.co/4ccc

* Mayo 6 al 10 de 2009: 7th International Workshop on Security In Information Systems WOSIS 2009 (Milán, Italia)
http://www.iceis.org/Workshops/wosis/wosis2009-cfp.htm

* Junio 10 al 12 de 2009: 2nd International Symposium on Distributed Computing and Artificial Intelligence (Salamanca, España)
http://dcai.usal.es

* Junio 17 al 19 de 2009: IX Jornada Nacional de Seguridad Informática ACIS 2009 (Bogotá, Colombia)
http://www.acis.org.co/index.php?id=1246

* Julio 5 al 8 de 2009: 14th IEEE Symposium on Computers and Communications ISCC 09 (Sousse, Túnez)
http://www.comsoc.org/iscc/2009/

* Julio 8 al 10 de 2009: XV Jornadas de Enseñanza Universitaria de la Informática (Barcelona, España)
http://jenui2009.fib.upc.edu/

CONGRESOS ANUNCIADOS EN LA IACR:
* International Association for Cryptologic Research IACR Calendar of Events in Cryptology:
http://www.iacr.org/events/

4. CURSOS DE POSTGRADO, ESPECIALIDAD Y FORMACIÓN EN SEGURIDAD

* Puedes encontrar los enlaces en:
http://www.criptored.upm.es/paginas/eventos.htm#Cursos

5. NOTICIAS SELECCIONADAS DEL MES DE DICIEMBRE DE 2008
Para ampliar las noticias:
http://www.criptored.upm.es/paginas/historico2008.htm#dic08

* Gira de Seguridad de Microsoft TechNet para el Año 2009 (España)
http://technet.microsoft.com/es-es/default.aspx
http://www.informatica64.com

* CFP 7th International Workshop on Security In Information Systems WOSIS 2009 (Milán, Italia).
http://www.iceis.org/Workshops/wosis/wosis2009-cfp.htm

* 2nd International Symposium on Distributed Computing and Artificial Intelligence DCAI 09 (Salamanca, España).
http://dcai.usal.es/

* Segunda Sesión Anual Abierta de la Agencia Española de Protección de Datos en Madrid (España)
https://www.agpd.es/portalweb/jornadas/2_sesion_abierta/index-ides-idphp.php

* Página de Estadísticas de la Red de Sensores de INTECO (España)
https://ersi.inteco.es/

* Vídeos y presentaciones del DISI 2008 (Madrid, España)
http://www.criptored.upm.es/paginas/docencia.htm#catedraDISI2008

6. OTROS DATOS DE INTERES EN LA RED

* Número actual de miembros en la red: 734
198 universidades y 276 empresas representadas
http://www.criptored.upm.es/paginas/particulares.htm

* Estadísticas estimadas: 20.000 visitas, con 80.000 páginas solicitadas y 32,00 GigaBytes servidos en diciembre de 2008.
En los próximos días se actualizará el apartado estadísticas del sitio Web para incluir el resumen del año 2008.
http://www.criptored.upm.es/paginas/estadisticas.htm


Jorge Ramió Aguirre
Coordinador Red Temática Iberoamericana CriptoRed


Más información:

diciembre de 2008
http://www.criptored.upm.es/paginas/historico2008.htm#dic08

viernes, 2 de enero de 2009

Resumen de seguridad de 2008 (y III)

Con el año ya empezado, nos quedaba por publicar la última entrega del resumen anual, con lo ocurrido durante el tercer cuatrimestre de 2008 en cuestión de seguridad informática; que debido a la mayor importancia de otras noticias nos vimos obligados a retrasar. Estas son algunas de las noticias que consideramos más destacadas de cada mes publicadas en nuestro boletín diario.

Septiembre 2008:

* Google lanza (después de muchos rumores) casi por sorpresa (como suele hacer con todo) su nuevo navegador, conocido como Chrome.

* Daily Telegraph alerta de que un grupo de atacantes griegos ha desfigurado una de las páginas relacionadas con el famoso LHC (Large Hadron Collider).

* Un atacante accede al correo personal de Sarah Palin, la candidata a vicepresidenta en Estados Unidos con el republicano John McCain. Se da a conocer su email personal, alojado en el servicio de correo público de Yahoo! y usado además para cuestiones gubernamentales. A un tal "Rubico" le cuesta apenas una hora cambiar la contraseña del correo de Sarah.

* Se detecta en Europa un tímido intento de revivir los virus de macro, a través de un documento en Microsoft Word que está siendo enviado a través de spam.

Octubre 2008:

* La compañía sueca Outpost24 dice que descubrió en el 2005 (aunque lo saca a la luz 3 años después, posiblemente animada por los acontecimientos vividos este año con el DNS) varias vulnerabilidades de base en el mismísimo protocolo TCP/IP que podrían permitir la caída de cualquier aparato con comunicación en la Red. Es la llamada "denegación de servicio de bajo ancho de banda".

* Las redes sociales están de moda. Por ello, Facebook y MySpace se convierten involuntariamente en grandes distribuidoras de malware. Los atacantes crean cuentas falsas donde alojan vídeos y enlaces a malware, que envían a las víctimas como si se tratasen de amigos que quieren contactar con ellos.

* Adobe publica su versión 10 de Flash. Con esta versión, además, aprovecha para dejar sin resolver temporalmente varios problemas de seguridad en su rama 9.

* Secunia publica una tendenciosa comparativa de suites de seguridad que levanta polémica. Especialmente por la metodología escogida: en vez de utilizar distintos tipos de muestras de malware (como viene siendo lo habitual para comprobar los ratios de detección), se usan exploits creados para la ocasión y páginas web modificadas para aprovechar estos exploits. Las casas antivirus se quejan (con razón) por no salir muy bien paradas.

* Una-al-día cumple 10 años.

Noviembre 2008:

* Hispasec publica el libro: "Una al día: 10 años de seguridad informática"

* Los investigadores alemanes Erik Tews y Martin Beck consiguen saltarse parcialmente la seguridad que proporciona WPA (Wi-Fi Protected Access) en las redes inalámbricas. El impacto del ataque es limitado, aunque relevante.

* De nuevo una vulnerabilidad en Adobe PDF Reader, es aprovechada para instalar malware.

* Collin Mulliner descubre un fallo en iPhone que permite realizar llamadas involuntariamente con sólo pulsar sobre un enlace. Las llamadas no se pueden cancelar con ningún botón ni virtual ni físico.

Diciembre 2008:

* Un día antes del segundo martes del mes de diciembre un mensaje en un foro chino hace pública una vulnerabilidad en Internet Explorer 7. No existe parche oficial disponible, no necesita interacción por parte del usuario y permite, si consigue explotar el fallo, ejecutar código arbitrario con los permisos del usuario. Microsoft se vería obligada a publicar un boletín fuera de su ciclo habitual.

* Se descubre una vulnerabilidad crítica en Adobe Flash Player para Linux.


Sergio de los Santos
ssantos@hispasec.com


Más información:

una-al-dia (29/12/2008) Resumen de seguridad de 2008 (I)
http://www.hispasec.com/unaaldia/3719/resumen-seguridad

una-al-dia (30/12/2008) Resumen de seguridad de 2008 (II)
http://www.hispasec.com/unaaldia/3720/resumen-seguridad

jueves, 1 de enero de 2009

Campaña de phishing contra Vodafone

Bancos, cajas de ahorro, sitios de subastas, de pago online, empresas de traspaso de dinero, páginas de comunidades, oficinas de correos, agencias tributarias... todo este tipo de organizaciones (y más) han sido víctimas de ataques phishing. De nuevo es el turno de los operadores telefónicos. Se ha detectado un caso de phishing contra Vodafone.

Si en septiembre de 2007 se detectó una campaña de phishing contra MoviStar, que usaba su imagen como reclamo para robar números de tarjeta de crédito, ahora es el turno de Vodafone. Está llegando a los buzones de usuarios un correo que simula provenir de Vodafone (info@vodafone.es) y promete doblar el saldo de las recargas de tarjetas prepago que se realicen desde su página. Se anuncia como una oferta especial de Navidad.

El contenido del correo consta de solo una imagen (supuestamente para burlar los filtros antispam de correo) que enlace con el sitio phishing. Llama la atención que la imagen muestre un modelo de iPhone también como reclamo, cuando Vodafone no ha distribuido ese modelo de teléfono nunca.

Cuando se pulsa sobre el enlace, el usuario va a parar a
http://recargasvodafone.es.gd/, que a su vez redirige a http://piratainformatico.com/vodafone_es (aunque esta última dirección no es visible en la barra del navegador). Se presenta ahí una copia de la página de Vodafone y un formulario para introducir los datos de la tarjeta de crédito. Por supuesto los datos introducidos serán robados y la recarga jamás se efectuará.

En el pasado habíamos tenido constancia de empresas fantasma que prometían recargar la tarjeta del teléfono móvil de cualquier compañía a través de Internet. Ahora se pretende lo mismo, pero simulando ser la operadora original, lo que parece dar buenos resultados a los atacantes.

Se puede observar una captura de pantalla en:
http://blog.hispasec.com/laboratorio/images/vodafone.png


Sergio de los Santos
ssantos@hispasec.com


Más información:

04/09/2007 El phishing amplía horizontes: Campaña contra MoviStar
http://www.hispasec.com/unaaldia/3237