jueves, 30 de abril de 2009

Cambio de contraseña de administración en routers Linksys WRT54GC

Se ha encontrado un fallo de seguridad en el script administration.cgi de la interfaz web de los routers Linksys WRT54GC.

Los dispositivos Linksys WRT54GC además de ser utilizados como router para conexiones a Internet de banda ancha integran capacidades de punto de acceso y switch de cuatro puertos full-duplex 10/100.

El error existe debido a una falta de comprobación de las políticas de seguridad cuando se accede a este fichero. Un atacante remoto podría cambiar la contraseña de administrador a través de una consulta POST especialmente manipulada.

Se ha publicado una prueba de concepto que demuestra el problema. En la actualidad, no existe actualización para corregir el problema, por lo que como contramedida se recomienda restringir el tráfico a la interfaz web del dispositivo.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Linksys WRT54GC: Vulnerabilidade no Web Admin
http://www.falandodeseguranca.com/?p=17

Linksys WRT54GC - Administration Password Change
http://packetstormsecurity.org/0904-exploits/linksysadmin-passwd.txt

miércoles, 29 de abril de 2009

De nuevo, "0 day" en Adobe Acrobat

Adobe ha confirmado que existe otra grave vulnerabilidad en Adobe Reader que parece estar siendo aprovechada por atacantes para ejecutar código en el sistema (tanto Windows como cualquier otro sistema operativo que lo soporte).

Adobe ha publicado en su blog una alerta, reconociendo un grave fallo de seguridad del que se conocen todos los detalles, e incluso existe exploit público. El fallo está en la función getAnnots y permite a un atacante, de forma muy sencilla, ejecutar código. Solo tiene que crear un documento PDF con una anotación, y añadir un script al PDF a través de la función OpenAction.

Afecta a todas las versiones conocidas, en sus ramas 9, 8 y 7 y en sus versiones para Mac, Linux y Windows. La única contramedida oficial es, de nuevo, deshabilitar JavaScript.

Adobe se está convirtiendo desde hace ya muchos meses, en objetivo de los atacantes. Es un software popular, los usuarios todavía confían en los documentos PDF (los tienen por inofensivos), no suelen actualizar el lector... y lo más importante: parece que Adobe tiene muchos errores graves todavía por descubrir.

Hay que esperar a ver cómo evolucionan los acontecimientos. Adobe solucionó su último gravísimo problema de seguridad (ocurrido hace solo dos meses) de una forma poco efectiva. Dejó a sus usuarios más de un mes sin actualizaciones. Los de la rama 7 fueron "abandonados" incluso por más tiempo.

En VirusTotal.com hemos detectado claramente la tendencia al alza de análisis de archivos PDF en las últimas horas, sin duda motivados por la alerta generada en torno a este "0 day". Si la media diaria recibida en VirusTotal.com está entre 150 y 200 archivos en formato PDF, hoy ya vamos por más de 400 archivos analizados a mediodía. Ayer superamos los 300.

Recomendamos, si es posible, usar otro lector de archivos PDF hasta que se solucione el fallo. Aunque no estén exentos de contener problemas de seguridad, al menos por ahora no son objetivo claro de atacantes. Hay un buen puñado donde elegir para todas las plataformas en:
http://pdfreaders.org/


Sergio de los Santos
ssantos@hispasec.com


Más información:

Update on Adobe Reader issue
http://blogs.adobe.com/psirt/2009/04/update_on_adobe_reader_issue.html

11/03/2009 Adobe parchea a medias su vulnerabilidad casi un mes después,
mientras Foxit Reader lo soluciona en 10 días
http://www.hispasec.com/unaaldia/3791

martes, 28 de abril de 2009

Microsoft publica la versión 2.0 de "La protección de datos personales. Soluciones en entornos Microsoft."

Seis años después de su primera versión, Microsoft publica esta guía práctica, gratuitamente en formato electrónico, que ayuda a aplicar una parte de la Ley orgánica de Protección de Datos (LOPD) para quien trabaje con software de Microsoft. El libro también puede ayudar a entender de forma práctica esta ley.

A principios de 2008 se aprobó el nuevo Real Decreto 1720/2007 que desarrolla la Ley orgánica de Protección de Datos (LOPD), que regula cómo y de qué forma hay debe cumplir con ella. Afecta a todas las empresas que trabajen con datos personales (la inmensa mayoría) y está destinada a proteger los datos personales almacenados en los sistemas de información en función de su sensibilidad.

En el año 2002, y ante la publicación del anterior Real Decreto de Protección de Datos, Microsoft Ibérica creó un manual técnico y práctico sobre cómo cumplir con dicha legislación desde la perspectiva técnica. El libro mostraba el texto de la ley y cómo llevarlo a la práctica en entornos Windows, paso a paso y de forma muy sencilla. Ante el éxito obtenido, se ha publicado una segunda versión actualizada con el doble de páginas.

Los coautores son:

* José María Alonso Cebrián de Informática 64, Microsoft MVP en el área de Seguridad.
* Juan Luís García Rambla de Informática 64, Microsoft MVP en el área de Seguridad.
* Antonio Soto. Director de Solid Quality.
* David Suz Pérez. Consultor de Microsoft Ibérica.
* José Helguero Sainz. Director General de Helas Consultores. Miembro de la Comisión de Seguridad de ASIMELEC.
* María Estrella Blanco Patiño, Responsable de publicaciones de Helas Consultores.
* Miguel Vega Martín, Director de Marketing de IPS Certification Authority. Miembro de la Comisión de Seguridad de ASIMELEC.
* Héctor Sánchez Montenegro. National Technology Officer de Microsoft Ibérica.

El manual recoge muchas recomendaciones técnicas contextualizadas artículo por artículo (relevante en tecnología), del reglamento de la LOPD. Servirá de ayuda a técnicos, directores de sistemas y directores de seguridad que trabajen con Windows y que deben plasmar en configuraciones técnicas concretas, las exigencias legales de un reglamento como el de la LOPD. El manual es también útil para los no técnicos que necesiten entender con un lenguaje llano y no especializado, el reglamento.

En cualquier caso, el libro no es ninguna fórmula mágica para cumplir con la LOPD. Cumplir por completo con la ley es mucho más complejo que lo que recoge el libro (entendiendo que está enfocado a entornos Windows, pero que puede ayudar para asegurar otras plataformas). Aun así, supone una lectura necesaria para descubrir la "traducción técnica" de las leyes, a veces redactadas con un lenguaje poco práctico para ser llevado a la realidad.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Libro de la Ley Orgánica de Protección de datos
http://download.microsoft.com/download/C/2/6/C2689C05-2B67-4D11-BD2A-43CF9DBCE59E/Libro_LOPD_V2_Alta.pdf

lunes, 27 de abril de 2009

Firefox 3.0.10 corrige una vulnerabilidad introducida con la actualización anterior

Una semana después de publicar la 3.0.9 que corregía un buen puñado de vulnerabilidades, Mozilla saca a la luz la versión 3.0.10 de su navegador Firefox. Esta soluciona un fallo de seguridad crítico introducido por una de las actualizaciones anteriores.

Se trata de una regresión (un problema ya corregido en el pasado) que vuelve a quedar expuesto tras una actualización. Después de los últimos parches, muchos usuarios del plugin HTML Validator experimentaron inestabilidad en el navegador. Luego se comprobó que no estaba causada por ese plugin en concreto, y que se trataba de un problema de corrupción de memoria que podría permitir a un atacante ejecutar código si la víctima visita una página web especialmente manipulada. El fallo en concreto se da en la función nsTextFrame::ClearTextRun.

A finales de marzo, la fundación Mozilla adelantaba la actualización de Firefox debido a otra vulnerabilidad muy grave que estaba siendo aprovechada desde hacía días. Aunque anunciaron que la publicarían para principios de abril, el día 28 de marzo ya estaba disponible la versión 3.0.8 de Firefox que corregía dos graves vulnerabilidades. Dos semanas después aparecía la 3.0.9 que solucionaba otras tantas.

Con la versión 3.0.10, el equipo de seguridad de Mozilla vuelve a resolver rápidamente un grave problema. Ante esta celeridad, solo cabe esperar que efectivamente hayan realizado las comprobaciones oportunas y las modificaciones realizadas solucionen tajantemente los fallos.


Sergio de los Santos
ssantos@hispasec.com


Más información:

La fundación Mozilla adelanta la actualización de Firefox
http://blog.hispasec.com/laboratorio/340

Security Advisories for Firefox 3.0
http://www.mozilla.org/security/known-vulnerabilities/firefox30.html

domingo, 26 de abril de 2009

Vulnerabilidades de cross-site scripting en productos SAP

Se han descubierto diversas vulnerabilidades en el motor SAP CFolders que podrían permitir a un atacante remoto realizar ataques de cross site scripting.

cFolders (Collaboration Folders) es una aplicación web para colaboración e intercambio de información. cFolders se integra en SAP ECC, SAP Product Lifecycle Management (PLM), SAP Supplier Relationship Management (SRM), SAP Knowledge Management y SAP NetWeaver cRooms (collaboration rooms).

De forma resumida, las vulnerabilidades son las siguientes:
* Existe una vulnerabilidad en el parámetro "p_current_role". El error se encuentra en los archivos "col_table_filter.htm" y "me_ov.htm". Un filtrado insuficiente en los caracteres de entrada antes de ser devueltos al usuario podría permitir a un atacante remoto ejecutar código HTML y JavaScript arbitrario en el navegador de la víctima.

* Existe una vulnerabilidad en el campo "LINK". El fallo es debido a la falta de filtrado de caracteres cuando se crea un enlace a través del nombre del fichero cuando es enviado y antes de ser usado. Un atacante remoto podría inyectar código HTML y JavaScript en la sesión del navegador de la víctima dentro del sitio web que esté actualmente visitando.

El fabricante ha publicado parches oficiales disponibles desde:
https://service.sap.com/sap/support/notes/1292875
https://service.sap.com/sap/support/notes/1284360


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

[DSECRG-09-014] SAP Cfolders Multiple Stored XSS Vulnerabilies
http://dsecrg.com/pages/vul/show.php?id=114

[DSECRG-09-021] SAP Cfolders Multiple Linked XSS Vulnerabilities
http://dsecrg.com/pages/vul/show.php?id=121

sábado, 25 de abril de 2009

Vulnerabilidad de salto de restricciones en Citrix XenApp

Se ha identificado una vulnerabilidad en Citrix XenApp 4.5 (antiguamente conocido como Presentation Server), que puede ser explotada por para evitar restricciones de seguridad.

Citrix XenApp, perteneciente a la familia de productos de Citrix Delivery Center, es un sistema de entrega de aplicaciones de Windows de extremo a extremo que ofrece virtualización de aplicaciones del lado del cliente y del lado del servidor para brindar un óptimo rendimiento de las aplicaciones y opciones de entrega flexibles.

La vulnerabilidad sólo afecta a las instalaciones de XenApp con el Hotfix Rollup Pack 3 instalado y que haga uso de los filtros de Access Gateway Advanced Edition. El problema puede provocar que las políticas definidas a través de dichos filtros no se apliquen adecuadamente, lo que permitiría a un atacante conseguir acceso no autorizado a determinados recursos.

Citrix ha publicado la el Hotfix Rollup Pack 4 para XenApp 4.5 que corrige este problema, disponible para descarga (en función de la versión de Windows y del idioma) desde la página del aviso de Citrix:
http://support.citrix.com/article/CTX118792


Antonio Ropero
antonior@hispasec.com


Más información:

Vulnerability in XenApp 4.5 Hotfix Rollup Pack 3 could result in policy bypass
http://support.citrix.com/article/CTX118792

viernes, 24 de abril de 2009

Actualización de múltiples paquetes para SuSE Linux

SuSE ha publicado una actualización para múltiples paquetes de diversos productos SuSE Linux que corrigen numerosos problemas de seguridad.

De forma resumida, las vulnerabilidades son:

* Se ha corregido un fallo no especificado en el componente IPSec de Openswan que podría ser aprovechado por un atacante remoto para causar un ataque de denegación de servicio a través de paquetes especialmente manipulados.

* Se ha corregido un fallo en IPSec livetest de Openswan que podría permitir a un atacante local escribir en archivos arbitrarios y ejecutar código arbitrario con los privilegios de la aplicación a través de un vinculo simbólico especialmente manipulado.

* Se ha detectado un fallo que podría ser aprovechado por un atacante para eludir la detección a través de ficheros RAR especialmente manipulados.

* Se ha corregido un fallo en PostgreSQL. El error se produce al procesar peticiones que demanden una codificación incorrecta en las respuestas del servidor. Un atacante remoto autentificado podría causar una denegación de servicio a través de peticiones especialmente manipuladas.

* Se ha detectado una vulnerabilidad en xine-lib. Un atacante podría causar un desbordamiento de enteros a través de ficheros de vídeo 4x especialmente manipulados.

* Se ha encontrado un error de validación en la entrada de datos en el filtro TeX de moodle. Esto podría ser aprovechado por un atacante para acceder a información sensible a través de un comando con la secuencia '$$'.

* Se ha encontrado un fallo en GNUTLS. El fallo se basa en la forma en la que maneja la verificación de cadenas de certificados X.509 en la función _gnutls_x509_verify_certificate. Esto ocurre si un certificado autofirmado está configurado como certificado de confianza. Esto podría hacer que los clientes acepten certificados de servidores falsos como genuinos. El fallo podría permitir a un atacante falsificar información.

Se recomienda actualizar a través de las herramientas automáticas YoU (Yast Online Update).


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

[security-announce] SUSE Security Summary Report: SUSE-SR:2009:009
http://lists.opensuse.org/opensuse-security-announce/2009-04/msg00010.html

jueves, 23 de abril de 2009

Reunión del Anti-Phishing Working Group en Barcelona

Este próximo mes de mayo tendrá lugar en Barcelona la tercera convocatoria del CeCOS, un evento que trata diversos aspectos del crimen online con representantes de todo el mundo. Hispasec participará en el panel "Sitio a los ordenadores de sobremesa: amenazas presentes y futuras". A continuación reproducimos la traducción del anuncio oficial del Anti-Phishing Working Group, entidad organizadora de este evento.

"La reunión del Anti-Phishing Working Group en Barcelona reunirá equipos mundiales de respuesta contra el crimen electrónico"

La conferencia sobre crimen electrónico de Barcelona reunirá el próximo mes a líderes en operaciones TI, seguridad y fuerzas policiales de Europa, Estados Unidos, Asia y Australia para discutir prioridades operacionales en la lucha contra el phishing y el resto de formas de crimen electrónico.

Equipos de respuesta contra el crimen electrónico públicos y de la industria, investigadores y técnicos especialistas en lucha contra el crimen electrónico de todo el mundo se reunirán en Barcelona el próximo mes en la tercera reunión del Counter-eCrime Operations Summit (CeCOS III) del Anti-Phishing Working Group (APWG), una conferencia anual internacional dedicada a unificar la respuesta de la industria y sector público ante la plaga global del crimen electrónico.

Peter Cassidy, secretario general del APWG, comenta: "Los criminales que se han organizado en Internet han crecido en sofisticación técnica, capacidad de control y en habilidad a la hora de evitar su detección. En CeCOS III, el APWG propondrá algo importante: imaginad una respuesta unificada al crimen electrónico, tan organizada como los crímenes contra los que lucha; imaginad una respuesta sin fronteras contra el crimen electrónico."

CeCOS III reunirá a líderes en operaciones TI, seguridad y fuerzas policiales de Europa, América, Australia, este y sur de Asia para hablar sobre prioridades operacionales en la lucha global contra el phishing y el crimen electrónico. La conferencia, que tendrá lugar los días 12, 13 y 14 de mayo, tratará temas relacionados con los retos operacionales y el desarrollo de recursos comunes para los equipos de respuesta a incidentes, personal de fuerzas policiales y profesionales de la informática forense que protegen a los consumidores y empresas de las amenazas del crimen electrónico cada día.

CeCOS III es una conferencia abierta para los miembros de la comunidad de lucha contra el crimen electrónico, organizada por el APWG y apoyada por sus patrocinadores, que incluyen a La Caixa, Telefónica, S21Sec, GMV, MarkMonitor, EMC RSA Security Division, Ecija, Deloitte, Symantec y TB Security, una mezcla de líderes de la industria que reflejan la naturaleza de los participantes y el carácter internacional de CeCOS III.

Aunque la mayor parte de los patrocinadores provienen de la industria, los programas de CeCOS tienen en cuenta los eventos más importantes para investigadores y gestores relacionados con el crimen electrónico tanto del sector público como privado. En la reunión del año pasado en Tokio, entre los 250 de los participantes se podían encontrar representantes de fuerzas policiales, compañías tecnológicas, de seguridad financiera y de servicios de seguridad, agencias gubernamentales, grupos de asesoramiento a consumidores y centros de investigación de todo el planeta.

El CeCOS del APWG repasará los avances técnicos de los grupos contra el phishing y el e-crime y, al mismo tiempo, analizará los resultados conseguidos mediante medidas técnicas, operacionales y de políticas que se han mostrado efectivas a la hora de contrarrestarlos desde los escritorios hasta el punto de registro de nombres de dominio.

Estos son algunos de los temas que se tratarán en CeCOS III:
* Análisis de las técnicas usadas para comprometer los ordenadores de los monjes del Dalai Lama, presentado por el técnico que descubrió dichos incidentes y que trazó su origen en China.
* Análisis e interpretación de Conficker por parte de un técnico de SRI, una empresa californiana que avisó sobre las nuevas y peligrosas funcionalidades del gusano.
* Estrategias defensivas para gestores de TI empresariales.
* Estrategias para proteger a los consumidores del crimen electrónico.
* Técnicas emergentes de ataque contra sistemas de escritorio.
* Informes del de campo sobre crimen electrónico en Italia, España, Reino Unido, Malasia e India.
* Estrategias de defensa evolutivas para el sistema de nombres de dominio.

Los ponentes de CeCOS III participarán en discusiones sobre asuntos operacionales relacionados con el intercambio de información forense, eliminación de dominios criminales, evolución del crimeware, una arquitectura global de respuesta ante eventos de crimen electrónico, la coordinación de respuestas ante casos de crimen electrónico utilizando un formato común de notificación y el intrigante caso de una agencia gubernamental que espiaba las comunicaciones por e-mail de un grupo disidente, entre otros temas.

Las figuras reconocidas del campo, investigadores y personal de respuesta a incidentes elegidos como ponentes en CeCOS III provienen de reconocidas compañías que trabajan contra el crimen electrónico, centros de investigación y agencias de todo el mundo, incluyendo los Estados Unidos, FBI, SRI, ICANN, CERT Japón, Policía Federal Australiana, Centro de Información de la Red de Internet China, Telefonica, La Caixa, Universidad de Cambridge, Universidad de Baylor, Universidad Carnegie Mellon y el Instituto Interregional de las Naciones Unidas para Investigaciones sobre la Delincuencia y la Justicia.

Para leer con más detalle el contenido del programa, puede visitar la
agenda del CeCOS III en esta dirección:
http://www.antiphishing.org/events/2009_opSummit.html

Para obtener información de registro para la conferencia, puede visitar esta direcciones:
http://secure.lenos.com/lenos/antiphishing/opSummit09/
Para la reserva de hotel, puede visitar esta dirección:
http://www.antiphishing.org/events/2009_opSummit.html#location


Julio Canto
jcanto@hispasec.com



miércoles, 22 de abril de 2009

¿Móviles antiguos por 25.000 euros para phishing avanzado? Creemos que no

Se habla en los medios de que los malos están pagando hasta 25.000 euros por un modelo antiguo de móvil Nokia muy concreto, que apenas vale ya 30. La razón es que dicen que contiene un error que permitiría interceptar los SMS, y poder así eludir la seguridad de los bancos que utilizan este método para validar transacciones. Hay que tomar con mucha precaución esta información, porque puede que no sea del todo cierta. Es más, según lo implementan algunos bancos, ni siquiera es necesario ningún móvil "mágico" para "interceptar" los SMS, ya tienen otro talón de Aquiles mucho más sencillo de aprovechar.

Los precedentes

Al parecer Frank Engelsman, de Ultrascan Advanced Global Investigations, observó que se había llegado a pagar 25.000 euros por un Nokia 1100 (un modelo de 2003) y que la demanda del terminal iba en aumento. Observaron que se apostaba sobre todo por un modelo hecho en una fábrica de Bochum, en Alemania.

Al parecer, aunque no hay datos técnicos suficientes sobre el problema, el software del teléfono (de 2002) tiene un fallo de seguridad que permite manipularlo. Es posible que hayan conseguido, gracias a la vulnerabilidad, interceptar de alguna forma los SMS de cualquier número. Con esto, podrían eludir la seguridad de la banca online que se sirve de mensajes cortos a los móviles para validar por completo una transacción.

En los últimos tiempos, y a la sombra del malware bancario, las entidades han apostado poco a poco por una autenticación de doble canal. Esto es, validar a la persona por un canal (la pantalla del ordenador) y la transacción en sí por otro (normalmente a través de un SMS con un código). Partiendo de la base de que uno de los canales no es nada confiable gracias a la proliferación de troyanos, se busca un canal todavía no demasiado contaminado que valide la transacción. En el texto del mensaje se incluyen normalmente las últimas cifras de la cuenta destino para que el usuario no tenga dudas de en qué momento y hacia dónde se desplaza su dinero. Si han conseguido lo que se rumorea, sería como disponer del "token" de autenticación de cualquiera.

El escenario sería el siguiente. Para que los atacantes puedan llevar a cabo este ataque, deben conocer de antemano las contraseñas "habituales" que le autentican ante la banca online. Ya sea mediante phishing o troyanizando el sistema, deben poder al menos ordenar una transacción. Lamentablemente, esta no es la parte más compleja del asunto. Los troyanos bancarios del momento son muy buenos realizando este robo sigiloso de contraseñas, incluso si el banco se protege con tarjetas de coordenadas. Los atacantes deberían entonces ordenar una transacción a sus propias cuentas, interceptar el SMS y confirmarla, eludiendo así uno de los métodos de autenticación de banca online que se suponen más seguros hasta el momento.

Las hipótesis

Pero en realidad, al no ofrecer datos técnicos que apoyen esta hipótesis, surgen dudas. No hay certeza de que el engaño esté basado en la posibilidad de clonar la tarjeta o hacer que una SIM se comporte como otra cualquiera. En cualquier caso, si fuese posible, estaríamos quizás ante una "condición de carrera" para saber dónde va la información realmente cuando dos teléfonos iguales están registrados.

Se dice que son bandas del Este y marroquíes las que están intentando obtener por todos los medios este modelo. Aunque se rumoree que se pueden usar para "phishing avanzado", en realidad, no se sabe con qué intención. La posibilidad de interceptar las contraseñas de un solo uso enviadas por SMS es sólo una hipótesis para argumentar los elevados precios que parece que se están pagando por estos terminales. Quizás, simplemente han encontrado alguna forma de realizar llamadas ilimitadas sin pagar, impedir ser localizados, o cualquier otra ventaja para quien opera al margen de la ley.

25.000 euros... ¿para qué?

Lo curioso, es que según lo tienen implementado algunos bancos (no todos), el hecho de añadir una autenticación de segundo canal (SMS) no aporta seguridad "a prueba de troyanos". Si a través del portal online se puede acceder al perfil del usuario (como es el caso de determinados bancos), solo sería necesario cambiar el número de móvil al del atacante. Esta modificación está protegida, y el sistema suele pedir coordenadas de la tarjeta para completar el cambio. Pero se supone que el atacante ya ha conseguido esas coordenadas por cualquier método. De hecho ese es el motivo de añadir una segunda contraseña a través de móvil, proteger al usuario en el caso de que alguien le haya robado su tarjeta de coordenadas. ¿Para qué querría interceptar los mensajes entonces?: un atacante inicia sesión como si se tratase de la víctima porque ha conseguido algunas o todas las coordenadas de la tarjeta con otros métodos. Como tiene las coordenadas suficientes, consigue cambiar el número de móvil. Al ordenar transacciones a sus cuentas, el mensaje de confirmación con la clave llegará al móvil del atacante. ¿Por qué pagar 25.000 euros por otros métodos más exóticos que podrían conseguir un resultado similar? La banca online que utilice estos métodos débiles, debería disponer de procedimientos mucho más rigurosos para asociar un número de móvil con un cliente si quieren que la validación de transacción por SMS aporte protección contra los troyanos bancarios.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Criminals pay top money for hackable Nokia phone
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9131822

martes, 21 de abril de 2009

Diversas vulnerabilidades en Novell Teaming

Novell ha publicado actualizaciones para evitar vulnerabilidades detectadas en Novell Teaming 1.0.3 (y anteriores), que podrían ser explotadas por atacantes para conseguir información sensible.

Novell Teaming es un software de conferencia web, mediante el cual los usuarios pueden crear áreas de trabajo en línea e invitar a participar a otros miembros del equipo, empresa o proveedores externos. Las áreas de trabajo virtuales creadas podrán emplearse para compartir y usar documentos, calendarios y foros de debate.

El primero de los problemas está provocado porque la página de login envía diferentes respuestas si el usuario es válido o no ("Please enter a valid login" / "Auhtentication failed"), lo que podría ser empleado para determinar si los nombres de usuario introducidos son válidos en el sistema, esto facilitaría la realización de ataques de fuerza bruta.

Una segunda vulnerabilidad está provocada por errores de validación de entrada en la página "web/guest/home" al procesar los parámetros "p_p_state" y "p_p_mode", podría ser explotada para realizar ataques de cross-site scripting.

Por último, se incluye una versión del portal Liferay con dos vulnerabilidades de cross-site scripting conocidas.

Se recomienda aplicar las actualizaciones:
http://www.novell.com/support/viewContent.do?externalId=7002997&sliceId=1
http://www.novell.com/support/viewContent.do?externalId=7002999&sliceId=1


Antonio Ropero
antonior@hispasec.com


Más información:

Novell Teaming Multiple Vulnerabilities
https://www.sec-consult.com/files/20090415-0-novell-teaming.txt

Novell Teaming username enumeration vulnerability fix
http://www.novell.com/support/viewContent.do?externalId=7002997&sliceId=1

Novell Teaming Cross-Site Scripting Vulnerability fix
http://www.novell.com/support/viewContent.do?externalId=7002999&sliceId=1

lunes, 20 de abril de 2009

Elevación de privilegios a través de muxatmd en IBM AIX

IBM ha publicado una actualización para AIX 5.x y 6.x que soluciona una vulnerabilidad que podría permitir a un atacante local elevar sus privilegios en el sistema.

El problema reside en un error de desbordamiento de memoria intermedia en el comando muxatmd. Esto podría ser aprovechado por un atacante local para elevar privilegios y ejecutar código con permisos de root.

IBM ha publicado una solución disponible desde:
http://aix.software.ibm.com/aix/efixes/security/muxatmd_fix.tar


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

AIX muxatmd buffer overflow
http://aix.software.ibm.com/aix/efixes/security/muxatmd_advisory.asc

domingo, 19 de abril de 2009

Actualización del kernel de Windows

Dentro del conjunto de boletines de seguridad de abril publicado el pasado martes por Microsoft y del que ya efectuamos un resumen, se cuenta el anuncio (en el boletín MS09-012) de una actualización del kernel de Windows destinada a solucionar cuatro nuevas vulnerabilidades.

Se ha corregido un error en MSDTC (Microsoft Distribuited Transaction Coordinator) que permitía a un proceso apoderarse del token de la cuenta NetworkService y heredar sus privilegios. Un atacante local podría elevar privilegios a través de la apropiación del token de la cuenta NetworkService.

Se ha corregido un fallo en el proveedor de WMI (Windows Management Instrumentation) que no aislaba correctamente los procesos de las cuentas NetworkService y LocalService. Un atacante local podría elevar privilegios a través de vectores no especificados.

Se ha corregido un fallo en RPCSS que no aislaba correctamente los procesos de las cuentas NetworkService y LocalService. Un atacante local podría elevar privilegios a través de vectores no especificados.

Por último, un error permitía introducir ACLs (Access Control List) incorrectas en los hilos del ThreadPool activo. Un atacante local podría elevar privilegios a través de vectores no especificados.

Se recomienda actualizar los sistemas afectados mediante Windows Update o descargando los parches según plataforma desde la página del boletín de seguridad:
http://www.microsoft.com/technet/security/bulletin/MS09-012.mspx


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Boletín de seguridad de Microsoft MS09-012 - Importante
Vulnerabilidades del kernel de Windows podrían permitir la elevación de privilegios
http://www.microsoft.com/technet/security/bulletin/MS09-012.mspx

sábado, 18 de abril de 2009

Actualización acumulativa para Internet Explorer

Dentro del conjunto de boletines de seguridad de abril publicado el pasado martes por Microsoft y del que ya efectuamos un resumen, se cuenta el anuncio (en el boletín MS09-014) de una actualización acumulativa para Internet Explorer 5, 6 y 7; que además solventa seis nuevas vulnerabilidades.

La primera de las vulnerabilidades corregidas se trata de un fallo en el modo en que Internet Explorer localiza y abre archivos en el sistema. Un atacante remoto podría ejecutar código arbitrario a través de una página web especialmente manipulada.

También se ha corregido un fallo en el procesamiento que WinINet efectúa sobre las credenciales NTLM cuando un usuario se conecta a un servidor web. Un atacante remoto podría ejecutar código arbitrario a través de un servidor web malicioso.

Otro de los problemas reside en el manejo de la transición entre páginas web. Un atacante remoto podría ejecutar código arbitrario a través de una página web especialmente manipulada.

Por último se han corregido tres fallos, no especificados, que permitían a Internet Explorer acceder a un objeto no inicializado o incorrectamente borrado de la memoria. Un atacante remoto podría ejecutar código arbitrario a través de una página web especialmente manipulada.

Este parche, al ser acumulativo, incluye todas las actualizaciones anteriores. Se recomienda actualizar el navegador mediante Windows Update o descargando los parches según plataforma desde la página del boletín de seguridad:
http://www.microsoft.com/spain/technet/security/Bulletin/ms09-014.mspx


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Boletín de seguridad de Microsoft MS09-014 – Crítico
Actualización de seguridad acumulativa para Internet (963027)
http://www.microsoft.com/spain/technet/security/Bulletin/ms09-014.mspx

viernes, 17 de abril de 2009

Múltiples vulnerabilidades en CUPS

El popular sistema de impresión CUPS ha publicado una actualización (la 1.3.10) que corrige un total de 12 vulnerabilidades que podrían permitir a un atacante desde obtener información sensible hasta ejecutar código arbitrario en remoto, a través de el intento de impresión de archivos especialmente manipulados.

CUPS ("Common Unix Printing System") es un sistema de impresión en red de entornos UNIX, basado en el primitivo IPP ("Internet Printing Protocol"). Se trata del estándar de impresión "de facto", permitiendo la impresión remota en impresoras "raster" y PostScript, a través de una red de datos, y de forma multiplataforma. CUPS está soportado por numerosos fabricantes, aparte de los distribuidores habituales de Linux y *BSD, notablemente Apple en su Mac OS X.

Brevemente, los fallos corregidos son:

* Se han corregido múltiples fallos en el decodificador JBIG2 que podrían provocar desbordamientos de enteros, desbordamientos de memoria intermedia y liberación de memoria arbitraria. Un atacante remoto podría ejecutar código arbitrario a través de un archivo PDF especialmente manipulado.

* Se han corregido múltiples fallos en la validación de variables de entrada en el decodificador JBIG2. Un atacante remoto podría ejecutar código arbitrario a través de un archivo PDF especialmente manipulado.

* Se han corregido múltiples fallos en el decodificador JBIG2. Un atacante remoto podría causar una denegación de servicio a través de un archivo PDF especialmente manipulado.

* Se ha corregido un fallo que podría provocar un desbordamiento de enteros basado en pila debido a un error al convertir imágenes con formato TIFF en los filtros 'imagetops' y 'imagetoraster'. Un atacante podría ejecutar código arbitrario a través de archivos TIFF especialmente modificados.

Las diferentes distribuciones de Linux y sistemas basados en UNIX están comenzando a publicar sus respectivos paquetes que corrigen las vulnerabilidades detectadas.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

CUPS 1.3.10
http://cups.org/articles.php?L582

jueves, 16 de abril de 2009

Grupo de parches de abril para diversos productos Oracle

Oracle ha publicado un conjunto de 43 parches para diversos productos de la casa que solventan una larga lista de vulnerabilidades sobre las que apenas han dado detalles concretos. Las consecuencias son que atacantes locales y remotos pueden provocar denegaciones de servicio, ejecutar código arbitrario, tener acceso de escritura y lectura a datos sensibles, perpetrar ataques de inyección SQL y eludir restricciones de seguridad.

Los fallos se dan en varios componentes de los productos:
Oracle Database 11g, version 11.1.0.6, 11.1.0.7
Oracle Database 10g Release 2, versions 10.2.0.3, 10.2.0.4
Oracle Database 10g, version 10.1.0.5
Oracle Database 9i Release 2, versions 9.2.0.8, 9.2.0.8DV
Oracle Application Server 10g Release 2 (10.1.2), version 10.1.2.3.0
Oracle Outside In SDK HTML Export 8.2.2, 8.3.0
Oracle XML Publisher 5.6.2, 10.1.3.2, 10.1.3.2.1
Oracle BI Publisher 10.1.3.3.0 10.1.3.3.1, 10.1.3.3.2, 10.1.3.3.3, 10.1.3.
Oracle E-Business Suite Release 12, version 12.0.6
Oracle E-Business Suite Release 11i, version 11.5.10.2
PeopleSoft Enterprise PeopleTools versions: 8.49
PeopleSoft Enterprise HRMS versions: 8.9 and 9.0
Oracle WebLogic Server 10.3
Oracle WebLogic Server 9.0 GA, 9.1 GA, 9.2 through 9.2 MP3
Oracle WebLogic Server 8.1 through 8.1 SP6
Oracle WebLogic Server 7.0 through 7.0 SP7
Oracle WebLogic Portal 8.1 through 8.1 SP6
Oracle Data Service Integrator 10.3.0 and Oracle AquaLogic Data Services Platform (formerly BEA ALDSP) 3.2, 3.0.1, 3.0
Oracle JRockit (formerly BEA JRockit) R27.6.2 and earlier (JDK/JRE 6, 5, 1.4.2)

De las 43 correcciones:

* 16 afectan a Oracle Database. Dos de las cuales no requieren un usuario y contraseña válidos para poder ser aprovechadas. Ninguna es aplicable a las instalaciones de cliente. Los componentes afectados son:
Resource Manager, Core RDBMS, Workspace Manager, Advanced Queuing, Database Vault, SQLX Functions, Cluster Ready Services, Listener, Application Express, Password Policy.

* 12 afectan a Oracle Application Server. Cinco de las cuales no requieren un usuario y contraseña válidos para poder ser aprovechadas. Ninguna es aplicable a las instalaciones de cliente. Los componentes afectados son:
OPMN, BI Publisher, Outside In Technology, Portal

* 3 afectan a Oracle E-Business Suite and Applications. Ninguna requiere un usuario y contraseña válidos para poder ser aprovechadas. Ninguna es aplicable a las instalaciones de cliente. Los componentes afectados son:
Oracle Application Object Library, Oracle Applications Framework, Oracle Applications Technology Stack.

* 4 afectan a Oracle PeopleSoft Enterprise y JD Edwards EnterpriseOne. Dos requieren un usuario y contraseña válidos para poder ser aprovechada. Los componentes afectados son:
PeopleSoft Enterprise PeopleTools, PeopleSoft Enterprise HRMS – eBenefits.

* 8 afectan a BEA Product Suite. Tres requieren un usuario y contraseña válidos para poder ser aprovechadas. Los componentes afectados son:
JRockit, WebLogic Server, WebLogic Portal, Oracle Data Service Integrator (AquaLogic Data Services Platform).

Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial:

Oracle Critical Patch Update Advisory - April 2009
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuapr2009.html


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Oracle Critical Patch Update Advisory - April 2009
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuapr2009.html

miércoles, 15 de abril de 2009

Ejecución de código en ClamAV 0.x

ClamAV ha publicado una actualización que corrige dos vulnerabilidades en su motor antivirus ClamAV 0.x

De forma resumida las vulnerabilidades son las siguientes:

* Existe un problema en el filtrado de caracteres de entrada en la función cli_url_canon en el archivo phishcheck.c que podría provocar un desbordamiento de memoria. Esto podría ser aprovechado por un atacante para provocar una denegación de servicio y, potencialmente, ejecutar código enviando URLs especialmente manipuladas.

* Existe un problema en los archivos comprimidos con Upack. Un atacante podría enviar un archivo especialmente manipulado y hacer que la aplicación deje de responder, provocando una denegación de servicio.

Se recomienda actualizar a la última versión 0.95.1 disponible desde
http://www.clamav.net/download/.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Bugzilla Bug 1552
UPack crash with malformed file
https://wwws.clamav.net/bugzilla/show_bug.cgi?id=1552

Bugzilla Bug 1553
cli_url_canon: stack smashing
https://wwws.clamav.net/bugzilla/show_bug.cgi?id=1553

martes, 14 de abril de 2009

Boletines de seguridad de Microsoft en abril

Tal y como adelantamos, este martes Microsoft ha publicado ocho boletines de seguridad (del MS09-009 al MS09-016) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft cinco de los boletines presentan un nivel de gravedad "crítico", otros dos son "importantes" y un último con nivel moderado".

Los boletines "críticos" son:

* MS09-009: Actualización para corregir dos vulnerabilidades en Microsoft Office Excel que podrían permitir la ejecución remota de código si el usuario abre un archivo de Excel específicamente creado.

* MS09-010: Actualización que soluciona cuatro vulnerabilidades en los conversores de texto de WordPad y Office que pueden permitir la ejecución remota de código arbitrario, si un usuario abre un archivo específicamente manipulado.

* MS09-011: Actualización que resuelve una vulnerabilidad en DirectX, que podría permitir la ejecución remota de código arbitrario si el usuario abre un archivo mjpeg maliciosamente construido.

* MS09-013: Actualización para solucionar tres vulnerabilidades, la más grave de todas podría llegar a permitir la ejecución remota de código en Microsoft Windows HTTP Services (WinHTTP).

* MS09-014: Actualización acumulativa para Microsoft Internet Explorer que además soluciona seis nuevas vulnerabilidades que podrían permitir la ejecución remota de código arbitrario. Afecta a Internet Explorer 5.01, 6 y 7.

Los boletines clasificados como "importantes" son:

* MS09-012: En este boletín se ofrece una actualización para resolver cuatro vulnerabilidades en Windows y que podrían ser aprovechadas por un atacante local para lograr el control completo de un sistema afectado. Afecta a Windows 2000, Windows XP, Vista, Windows Server 2003 y 2008.

* MS09-016: Actualización para resolver dos vulnerabilidades en Microsoft ISA Server (Internet Security and Acceleration Server) y en Microsoft Forefront Threat Management Gateway (TMG) Medium Business Edition (MBE), que podría permitir a un atacante remoto el acceso a información sensible o causar denegaciones de servicio.

Por último, el boletín clasificado como "moderado":

* MS09-015: Esta actualización de seguridad resuelve una vulnerabilidad en la función SearchPath de Windows que podría permitir la elevación de privilegios si un usuario descarga un archivo específicamente creado desde una localización específica, tras lo cual abre alguna aplicación que pueda abrir ese archivo en determinadas circunstancias.

Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible.


Antonio Ropero
antonior@hispasec.com


Más información:

Microsoft Security Bulletin Summary for April 2009 http://www.microsoft.com/technet/security/bulletin/ms09-apr.mspx

Microsoft Security Bulletin MS09-010 - Critical
Vulnerabilities in WordPad and Office Text Converters Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/bulletin/MS09-010.mspx

Microsoft Security Bulletin MS09-009 - Critical
Vulnerabilities in Microsoft Office Excel Could Cause Remote Code Execution
http://www.microsoft.com/technet/security/bulletin/MS09-009.mspx

Microsoft Security Bulletin MS09-011 - Critical
Vulnerability in Microsoft DirectShow Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/bulletin/MS09-011.mspx

Microsoft Security Bulletin MS09-012 - Important
Vulnerabilities in Windows Could Allow Elevation of Privilege
http://www.microsoft.com/technet/security/bulletin/MS09-012.mspx

Microsoft Security Bulletin MS09-013 - Critical
Vulnerabilities in Windows HTTP Services Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/bulletin/MS09-013.mspx

Microsoft Security Bulletin MS09-014 - Critical
Cumulative Security Update for Internet Explorer
http://www.microsoft.com/technet/security/bulletin/MS09-014.mspx

Microsoft Security Bulletin MS09-015 – Moderate
Blended Threat Vulnerability in SearchPath Could Allow Elevation of Privilege
http://www.microsoft.com/technet/security/bulletin/MS09-015.mspx

Microsoft Security Bulletin MS09-016 - Important
Vulnerabilities in Microsoft ISA Server and Forefront Threat Management Gateway (Medium Business Edition) Could Cause Denial of Service
http://www.microsoft.com/technet/security/bulletin/MS09-016.mspx

lunes, 13 de abril de 2009

Vulnerabilidad local en PGP Desktop permite la elevación de privilegios

Se ha confirmado la existencia de varias vulnerabilidades en PGP Desktop 9.9.0 que podrían permitir a un atacante local provocar la caída del sistema o llegar a elevar sus privilegios en los sistemas afectados.

Existe un problema de validación de peticiones IOCTL en "pgpdisk.sys" que podría ser empleada por un usuario local para provocar la caída del sistema. De forma similar, otro error de validación de peticiones IOCTL en "pgpwded.sys" permitirá la ejecución local de código arbitrario con privilegios del sistema, lo que podría permitir a un atacante local elevar sus privilegios.

PGP ha publicado la versión PGP Desktop 9.10 que soluciona estos problemas, además de otros fallos de funcionalidad.


Antonio Ropero
antonior@hispasec.com


Más información:

PGP Desktop 9.10 - Resolved Issues
https://pgp.custhelp.com/cgi-bin/pgp.cfg/php/enduser/std_adp.php?p_faqid=1014&p_topview=1

domingo, 12 de abril de 2009

Denegación de servicio remota en IBM Lotus Domino

IBM ha publicado una actualización para Lotus Domino, debido a la existencia de una vulnerabilidad que podría ser explotada por un atacante remoto para provocar una denegación de servicio.

El problema se debe a un error en el tratamiento de adjuntos RFC822 con entidades raíz malconstruidas, lo que podría ser explotado para provocar la caída del servidor afectado mediante un mensaje que contenga un adjunto especialmente creado.

Se ven afectadas las versiones IBM Lotus Domino anteriores a 8.5 Interim Fix 3 (85IF3) y Lotus Domino anteriores a 8.0.2FP1 Interim Fix 1 (802FP1IF1)

IBM ha publicado las actualizaciones IBM Lotus Domino versión 8.5 Interim Fix 3 (85IF3) o 8.0.2FP1 Interim Fix 1 (802FP1IF1), disponibles desde :
http://www-933.ibm.com/support/fixcentral/


Antonio Ropero
antonior@hispasec.com


Más información:

Lotus Domino 8.0.2FP1 Interim Fix 1
http://www-01.ibm.com/support/docview.wss?uid=swg21379894

Readme for IBM Lotus Domino server release 8.5 Interim Fix 3
http://www-01.ibm.com/support/docview.wss?uid=swg21381562

sábado, 11 de abril de 2009

Publicada la versión 1.0.7 de Wireshark

Wireshark.org ha publicado la versión 1.0.7 de Wireshark que aporta mejoras de rendimiento, seguridad y estabilidad.

Wireshark (aún conocido como Ethereal, su nombre anterior) es una aplicación de auditoría orientada al análisis de tráfico en redes. Su popularidad es muy elevada, puesto que soporta una gran cantidad de protocolos y es de fácil manejo. Además Wireshark es software libre (sujeto a licencia GPL) y se ejecuta sobre la mayoría de sistemas operativos Unix y compatibles, así como en Microsoft Windows.

La nueva versión corrige cuatro problemas de seguridad:

* Un problema de formato de cadena que podría llevar a un desbordamiento de memoria intermedia en el disector PROFINET.

* Un problema de denegación de servicio al procesar el disector LDAP en Windows.

* Un problema de denegación de servicio al procesar el disector Check Point High-Availability Protocol (CPHAP)

* Un problema de denegación de servicio al procesar un fichero Tektronix (extensión .rf5)

La nueva versión puede ser descargada desde:
http://www.wireshark.org/download.html


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Wireshark-announce: [Wireshark-announce] Wireshark 1.0.7 is now available
http://www.wireshark.org/lists/wireshark-announce/200904/msg00001.html

viernes, 10 de abril de 2009

Microsoft publicará ocho boletines de seguridad el próximo martes

En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan ocho boletines de seguridad. Las actualizaciones afectarían a su sistema operativo Windows, a Internet Explorer, Office y a ISA.

Si en marzo se publicaron tres boletines de seguridad, este mes Microsoft prevé publicar ocho actualizaciones el martes 14 de abril. Cinco dedicadas a Windows (una de ellas compartida con Office), una a Internet Explorer, otra a ISA y una a Office (en concreto a Excel). Cinco alcanzan la categoría de críticas, dos están catalogadas como importantes y una como moderada.

Adicionalmente, y como viene siendo habitual, Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool. Además, se publicarán actualizaciones de alta prioridad no relacionadas con la seguridad.

Parece que Microsoft corregirá en esta tanda de parches el grave problema de seguridad encontrado en su hoja de cálculo Excel. El pasado 24 de febrero, Microsoft reconoció en una nota oficial que estaban investigando la existencia de una nueva vulnerabilidad en Office Excel que podría permitir la ejecución remota de código si un usuario abre un archivo Excel especialmente manipulado.

Lo que no es seguro, si se solucionará el grave problema en PowerPoint que Microsoft reconoció a principios de abril.

Como es habitual, cada boletín podrá contener un número indeterminado de correcciones de seguridad y hay que señalar que, en cualquier caso, el adelanto que ofrece Microsoft está sujeto a cambios de última hora.

Hispasec Sistemas publicará puntualmente a través de este boletín información detallada sobre los nuevos parches.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Microsoft Security Bulletin Advance Notification for April 2009
http://www.microsoft.com/technet/security/Bulletin/MS09-apr.mspx

jueves, 9 de abril de 2009

Revelación de información a través de XscreenSaver en Solaris

Sun ha publicado una actualización para XScreenSaver de Solaris 8, 9 y 10 que solventa una vulnerabilidad que podría ser aprovechada por un atacante local para acceder a información sensible.

Existe un fallo en XscreenSaver que permitiría a ciertos programas en ejecución abrir ventanas emergentes mientras el salvapantallas está activo. Esto podría ser aprovechado por un atacante local para acceder a información sensible.

Según versión y plataforma, se recomienda instalar los siguientes parches:

Para la plataforma SPARC:
Solaris 10 instalar el parche 120094-22 o superior desde
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-120094-22-1

Para la plataforma x86:
Solaris 10 instalar el parche 120095-22 o superior desde
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-120095-22-1


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

A Security Vulnerability May Allow Popup Windows to Appear Through the Solaris XScreenSaver Program
http://sunsolve.sun.com/search/document.do?assetkey=1-66-255308-1

miércoles, 8 de abril de 2009

Múltiples vulnerabilidades en Cisco ASA y Cisco PIX

Cisco ha anunciado la existencia de múltiples vulnerabilidades en los dispositivos Cisco ASA de la serie 5500 y Cisco PIX.

Los problemas son:

* Un fallo podría permitir a un atacante eludir la autenticación VPN si la funcionalidad de 'override' está activa. Un usuario de VPN en Cisco PIX y ASA podría presentarse en la sesión incluso si la cuenta está deshabilitada.

* Un problema a la hora e procesar paquetes SSL o HTTP especialmente manipulados podría hacer que dispositivos ASA sufrieran una denegación de servicio si está configurado para gestionar conexiones VPN SSL. El problema se da en cualquier interfaz si está activo el ASDM. No es necesario establecer el three way handshake en TCP con el dispositivo para aprovechar este fallo.

* Un problema de denegación de servicio si se envían paquetes TCP especialmente manipulados a un dispositivo vulnerable. No es necesario establecer el three way handshake en TCP con el dispositivo para aprovechar este fallo.

* Un problema de denegación de servicio si se envían paquetes H.323 especialmente manipulados a un dispositivo vulnerable y la inspección H.323 está activa. No es necesario establecer el three way handshake en TCP con el dispositivo para aprovechar este fallo.

* Un problema de denegación de servicio si se envían paquetes SQL*Net especialmente manipulados a un dispositivo vulnerable y la inspección SQL*Net está activa.

* Existe un problema en las Access Control Lists (ACL) de Cisco ASA y PIX que puede permitir a un atacante eludir la regla de denegación implícita de las ACE si se llega al final de la ACL.

Cisco, a través de los canales habituales, ha puesto a disposición de sus clientes software para solucionar el problema.

Se aconseja consultar la tabla de versiones vulnerables y contramedidas en:
http://www.cisco.com/warp/public/707/cisco-sa-20090408-asa.shtml


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Cisco Security Advisory: Multiple Vulnerabilities in Cisco ASA Adaptive Security Appliance and Cisco PIX Security Appliances
http://www.cisco.com/warp/public/707/cisco-sa-20090408-asa.shtml

martes, 7 de abril de 2009

Actualización de múltiples paquetes para SuSE Linux

SuSE ha publicado una actualización para múltiples paquetes de diversos productos SuSE Linux que corrigen numerosos problemas de seguridad.

De forma resumida, las vulnerabilidades son:

* Un fallo de seguridad en multipath-tools podría permitir a cualquier usuario local conectar y enviar comandos arbitrarios al demonio de multipath debido a una configuración de permisos por defecto excesivamente permisiva.

* Ha sido detectado un fallo de seguridad en Dbus que podría permitir a un atacante saltar las restricciones. El fallo existe en el atributo send_type en algunas reglas debido a una configuración demasiado permisiva que permite a un atacante enviar comandos arbitrarios.

* Existe un fallo de seguridad en la función de OpenSSL EVP_VerifyFinal que podría permitir a un atacante eludir restricciones. Un error en la revisión de los datos devueltos por esta función podría evitar la validación del certificado.

* Existe un error en el módulo mbstring de apache-mod_php4. La falta de comprobación de caracteres de entrada podría permitir a un atacante provocar un desbordamiento de memoria intermedia basada en heap permitiéndole la ejecución de código arbitrario.

* Se han corregido diversas vulnerabilidades en apache2-mod_php5.

* Se ha encontrado un fallo de seguridad en struts que puede permitir a un atacante realizar un cross site scripting. El problema radica en la falta de comprobación de límites.

* Se ha actualizado el paquete de Qemu para evitar cinco vulnerabilidades.

* Ha sido detectado un fallo de seguridad en los ficheros de audio CAF. El fallo podría ser aprovechado por un atacante para ejecutar código arbitrario a través de comentarios especialmente manipulados en estos archivos.

* Se han corregido múltiples vulnerabilidades en la actualización de phpmyadmin.

Se recomienda actualizar a través de las herramientas automáticas YoU (Yast Online Update).


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

[security-announce] SUSE Security Summary Report: SUSE-SR:2009:008
http://lists.opensuse.org/opensuse-security-announce/2009-04/msg00003.html

lunes, 6 de abril de 2009

Desbordamiento de búfer en Ghostscript

Se ha anunciado la existencia de una vulnerabilidad de desbordamiento de búfer en Ghostscript, por la que un usuario remoto puede lograr la ejecución de código arbitrario en los sistemas afectados.

Ghostscript es un conocido (y extendido) programa para interpretar documentos en formato Postscrip (PS) y PDF.

Un usuario remoto podrá crear un archivo especialmente manipulado de forma que cuando sea procesado por Ghostscript provoque un desbordamiento de búfer en la función pdf_base_font_alloc() (en gdevpdtb.c) que le puede llegar a permitir la ejecución de código en el sistema.

Se ha publicado la versión 8.64 que corrige el problema, disponible desde:
http://ghostscript.com/releases/ghostscript-8.64.tar.gz


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Ghostscript Buffer Overflow in pdf_base_font_alloc() Lets Remote Users Execute Arbitrary Code
http://securitytracker.com/alerts/2009/Apr/1021968.html

domingo, 5 de abril de 2009

Denegación de servicio a través de IPv6 en Sun Solaris 10

Se ha detectado un problema de seguridad en la implementación de Ipv6 en Sun Solaris que podría permitir a un atacante remoto provocar una denegación de servicio.

El fallo se debe a una falta de validación en la implementación de Ipv6. Esto podría permitir a un atacante remoto hacer que el sistema provoque un 'system panic' si envía un paquete Ipv6 especialmente manipulado.

Según versión y plataforma, las actualizaciones están disponibles desde:

Para SPARC:
Solaris 10 instalar 138888-08 desde: http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-138888-08-1

Para x86:
Solaris 10 instalar 138889-08 desde: http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-138889-08-1


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

A Security Vulnerability in Solaris IPv6 Implementation (ip6(7p)) May Cause a System Panic
http://sunsolve.sun.com/search/document.do?assetkey=1-66-251006-1

sábado, 4 de abril de 2009

Nuevos contenidos en la Red Temática CriptoRed (marzo de 2009)

Breve resumen de las novedades producidas durante el mes de marzo de 2009 en CriptoRed, la Red Temática Iberoamericana de Criptografía y Seguridad de la Información.

1. NUEVOS DOCUMENTOS PARA DESCARGA LIBRE DESDE CRIPTORED

* Presentación Implantación ISO - 27001 (Alejandro Corletti, Ciclo TASSI 2009, PDF, 78 diapositivas, España)
http://www.criptored.upm.es/paginas/docencia.htm#catedraTASSI

* Presentación Protección de Datos Personales en Internet (Samuel Parra, Ciclo TASSI 2009, PDF, 49 diapositivas, España)
http://www.criptored.upm.es/paginas/docencia.htm#catedraTASSI

* Documento Guía de Desarrollo de un Plan de Continuidad de Negocio (Laura del Pino, dirección Jorge Ramió, PDF, 74 paginas, España)
http://www.criptored.upm.es/guiateoria/gt_m001r.htm

2. NUEVOS DOCUMENTOS Y SOFTWARE RECOMENDADOS PARA DESCARGA LIBRE DESDE OTROS SERVIDORES

* Informe de la Red de Sensores de INTECO del Mes de Febrero de 2009 (España)
https://ersi.inteco.es/informes/informe_mensual_200902.pdf

* Estudio sobre privacidad de los datos personales y la seguridad de la información en las redes sociales online (INTECO, AEPD, España)
http://www.inteco.es/file/1000236593

* Software para Prácticas de Criptografía de Curvas Elípticas Online (José Antonio Mañas, España)
http://jungla.dit.upm.es/~pepe/tmp/cripto/ecc.htm

* Artículos sobre Seguridad y Redes en servidor Web de DarFE (Alejandro Corletii, España)
- Seguridad de los Sistemas de Información
http://darfe.es/CMS/index.php?module=Descargas&func=sublevel&cid=1&start=0
- Formación en Seguridad y Redes de Datos
http://darfe.es/CMS/index.php?module=Descargas&func=sublevel&cid=8&start=0
- Redes y Comunicaciones
http://darfe.es/CMS/index.php?module=Descargas&func=sublevel&cid=2&start=0

* Los engaños en Internet: De las cadenas, del correo no deseado, de la mensajería basura y otros demonios (Jeimy Cano, Colombia)
http://www.virusprot.com/SeguridadInformatica-Jcano-Los_engaños_en_internet.htm

3. CONGRESOS Y SEMINARIOS POR ORDEN CRONOLOGICO DE CELEBRACION

* Abril 20 al 24 de 2009: 18th International World Wide Web Conference WWW 2009 (Madrid - España)
http://www2009.org/

* Abril 23 al 25 de 2009: Cuarto Congreso Colombiano de Computación 4CCC (Bucaramanga - Colombia)
http://serverlab.unab.edu.co/4ccc

* Mayo 6 al 10 de 2009: 7th International Workshop on Security In Information Systems (Milán - Italia)
http://www.iceis.org/Workshops/wosis/wosis2009-cfp.htm

* Mayo 11 al 12 de 2009: V Congreso Iberoamericano de Telemática CITA 2009 (Gijón - España)
http://www.cita2009.com/

* Mayo 12 al 14 de 2009: Tercer Counter-eCrime Operations Summit CeCOS III (Barcelona - España)
http://www.antiphishing.org/events/2009_opSummit.html

* Junio de 2009: Cuarta Edición de SegurYnfo 2009 (La Paz - Bolivia)
http://www.segurinfo.com.bo/

* Junio 10 al 12 de 2009: 2nd International Symposium on Distributed Computing and Artificial Intelligence DCAI 09 (Salamanca - España)
http://dcai.usal.es/

* Junio 15 al 19 de 2009: Third IFIP WG 11.11 International Conference on Trust Management (West Lafayette - Estados Unidos)
http://projects.cerias.purdue.edu/IFIPTM/

* Junio 17 al 19 de 2009: IX Jornada Nacional de Seguridad Informática ACIS 2009 (Bogotá - Colombia)
http://www.acis.org.co/index.php?id=1246

* Junio 17 al 19 de 2009: Octavo Coloquio Nacional de Teoría de Códigos, Criptografía y Áreas Relacionadas (México DF - México)
http://matematicas.reduaz.mx/home/index.php?option=com_content&view=article&id=70&Itemid=110

* Junio 17 al 20 de 2009: Cuarta Conferencia Ibérica de Sistemas y Tecnologías de la Información (Póvoa de Varzim - Portugal)
http://www.aisti.eu/cisti2009/

* Junio 17 al 23 de 2009: IADIS Multi Conference on Computer Science and Information Systems 2009 (Algarve - Portugal)
http://www.mccsis.org/

* Junio 22 al 24 de 2009: E-Activity and Leading Technologies E-ALT2009 e InterTIC 2009 (Sevilla - España)
http://www.iask-web.org/e-alt09/e-alt09.html
http://www.iask-web.org/intertic09/intertic09.html

* Julio 5 al 8 de 2009: 14th IEEE Symposium on Computers and Communications (Sousse - Túnez)
http://www.comsoc.org/iscc/2009/

* Julio 8 al 10 de 2009: XV Jornadas de Enseñanza Universitaria de la Informática JENUI 2009 (Barcelona - España)
http://jenui2009.fib.upc.edu/

* Julio 13 al 16 de 2009: International Conference on Security and Management SAM '09 (Las Vegas - Estados Unidos)
http://www.world-academy-of-science.org/worldcomp09/ws/conferences/sam09

* Agosto 4 al 6 de 2009: Second International Conference on the Applications of Digital Information and Web Technologies (Londres – Reino Unido)
http://www.dirf.org/diwt2009/

* Septiembre 14 al 17 de 2009: VI Conference on Broadband Communications, Networks and Systems (Madrid - España)
http://www.broadnets.org/

* Septiembre 17 al 20 de 2009: 23rd International Conference SAER 2009 y Workshop eGovernance and Data Protection eG&DP 2009 (Varna - Bulgaria)
http://www.tu-sofia.bg/saer/

* Octubre 11 al 14 de 2009: IEEE 9th International Conference on Computer and Information Technology (Xiamen - China)
http://grid.hust.edu.cn/CIT2009/

* Octubre 19 al 21 de 2009: 3rd International Conference on Network and System Security NSS 2009 (Gold Coast - Australia)
http://nss.cqu.edu.au/

* Noviembre 4 al 6 de 2009: 31a Conferencia Internacional de Protección de Datos y Privacidad (Madrid - España)
http://www.privacyconference2009.org/

* Noviembre 16 al 18 de 2009: V Congreso Iberoamericano de Seguridad Informática CIBSI '09 (Montevideo - Uruguay)
http://www.fing.edu.uy/cibsi09

* Noviembre 30 a diciembre 4 de 2009: Ad Hoc, Sensor and Mesh Networking Symposium IEEE Globecom 2009 (Honolulul - USA)
http://www.ieee-globecom.org/2009

CONGRESOS ANUNCIADOS EN LA IACR:
* International Association for Cryptologic Research IACR Calendar of Events in Cryptology:
http://www.iacr.org/events/

4. CURSOS DE POSTGRADO, ESPECIALIDAD Y FORMACIÓN EN SEGURIDAD

* Puedes encontrar los enlaces en:
http://www.criptored.upm.es/paginas/eventos.htm#Cursos

5. OTRAS NOTICIAS SELECCIONADAS DEL MES DE MARZO DE 2009
Para ampliar estas noticias:
http://www.criptored.upm.es/paginas/historico2009.htm#mar09

* Tercer y Último Llamado para el Envío de Trabajos a CIBSI '09 (Montevideo, Uruguay)
http://www.fing.edu.uy/inco/eventos/cibsi09/docs/cfp-cibsi09-es.pdf

* Cursos de Posgrado Gratuitos de Criptografía por Expertos Internacionales en la UAM (Madrid, España)
http://www.uam.es/enrique.gonzalez.jimenez/docencia/0809/cripto/minicursos09.html

* Cursos de Capacitación Profesional en Seguridad de Yanapti (La Paz, Bolivia)
http://www.yanapti.com/index.php

* Primera Encuesta Latinoamericana de Seguridad de la Información (Colombia, México, Uruguay)
http://www.acis.org.co/encuestaSeguridad.html

* Nueva Edición de HOL-SEG20 Contramedidas Hacker en Aplicaciones Web (Valencia, España)
http://www.microsoft.com/spain/seminarios/hol_valencia.mspx

* Seminario Gratuito Seguridad en redes sociales: ¿están nuestros datos protegidos? (Madrid, España)
http://www.capsdesi.upm.es/

* Transmisión por videostreaming del seminario Seguridad en redes sociales
mms://amon.gate.upm.es/campus-sur
(Para verlo por diferido, por favor ver los enlaces en
http://www.capsdesi.upm.es/)

* V OWASP Spain Chapter Meeting Gratuito (Barcelona, España)
http://www.owasp.org/index.php/Spain

* Counter eCrime Operations Summit CeCOSIII del Anti-Phishing Working Group APWG (Barcelona, España)
http://apwg.org/events/2009_opSummit_es.html

6. OTROS DATOS DE INTERES EN LA RED

* Número actual de miembros en la red: 758
203 universidades y 284 empresas representadas
http://www.criptored.upm.es/paginas/particulares.htm

* Estadísticas: 26.062 visitas, con 92.148 páginas solicitadas y 38,62 GigaBytes servidos en marzo de 2009.
http://www.criptored.upm.es/estadisticas/awstats.www.criptored.upm.es.html.

7. V CONGRESO IBEROAMERICANO DE SEGURIDAD INFORMÁTICA CIBSI 2009 IMPORTANTE: Fecha límite para el envío de trabajos: 15 de abril de 2009
http://www.fing.edu.uy/cibsi09


Jorge Ramió Aguirre
Coordinador Red Temática Iberoamericana CriptoRed


Más información:

marzo 2009
http://www.criptored.upm.es/paginas/historico2009.htm#mar09

viernes, 3 de abril de 2009

Microsoft confirma "0 day" en PowerPoint

Microsoft ha confirmado que existe una nueva vulnerabilidad que está siendo ya aprovechada por atacantes en Office Power Point y podría permitir la ejecución de código arbitrario.

Microsoft ha informado de un "0 day" en todas las versiones de Microsoft PowerPoint (excepto la versión 2007) que está siendo ya aprovechado por atacantes. El fallo no especificado podría permitir a un atacante remoto ejecutar código arbitrario a través de un archivo de presentación PowerPoint especialmente modificado. Al parecer se trata de un problema de acceso inválido a objetos.

En VirusTotal hemos recibido un total de cuatro muestras de archivos PowerPoint que intentan aprovechar esta nueva vulnerabilidad. La más antigua es del 25 de marzo.

La detección por firmas por ahora es muy pobre. De las cuatro muestras recibidas (muy parecidas), la mitad son detectadas solo por un par de motores y la otra mitad por cuatro motores (de 40). Aunque sospechamos que esto empezará a mejorar rápidamente.

http://www.virustotal.com/analisis/c6db8cd6497907490b0af1996e23b470

Con esta, Microsoft acumula dos problemas de seguridad en su paquete Office sin parchear. A finales de febrero reconoció un problema similar en Excel que sigue sin solución.

Las versiones afectadas son las siguientes:

Microsoft Office PowerPoint 2000 Service Pack 3
Microsoft Office PowerPoint 2002 Service Pack 3
Microsoft Office PowerPoint 2003 Service Pack 3
Microsoft Office 2004 para Mac.

Los archivos en formato PowerPoint son ficheros que suelen ser usados para el envío de correos masivos, con todo tipo de contenidos más o menos prescindibles. Los usuarios suelen abrirlos sin escrúpulos y, lo que es peor, la mayor parte de las veces perpetúan estas cadenas. Por eso, en este caso más que nunca, se recomienda encarecidamente no abrir archivos PowerPoint no solicitados, o usar alternativas como OpenOffice. Todavía no se ha confirmado si el visor de PowerPoint (también de Microsoft) se ve afectado.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Vulnerability in Microsoft Office PowerPoint Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/advisory/969136.mspx

jueves, 2 de abril de 2009

Éxitos y fracasos de Conficker

Si algo ha conseguido Conficker, es generar expectación mediática (incluso que le dediquemos varias una-al-día). Alentado por las casas antivirus, que no pasan por su mejor momento en nivel de detección global, Conficker ha servido para recordar al mundo que existen todavía amenazas globales en forma de malware con nombre y apellido. Conficker, cabeza de turco frente a otros tipos de malware anónimos y mucho más peligrosos, ha gozado de algunos éxitos rotundos, tanto mediáticos como técnicos que vamos a repasar.

Éxitos mediáticos

* Poco queda del Conficker original que apareció en noviembre. Se ha convertido, como todo malware 2.0 que se precie, en una sofisticada red de sistemas y servidores, como ocurrió con el Storm Worm. Alguien a quien señalar con el dedo y que recuerde al público (consumidor de software) que las casas antivirus siguen ahí. El miedo incita a protegerse.

* Conficker se ha centrado, durante mucho tiempo, más en la expansión que en el ataque. Se ha dedicado a recopilar máquinas infectadas sin un fin concreto (al menos que conozcamos por ahora). Este pequeño misterio ha atraído la atención de las casas antivirus, y por tanto de los medios.

* El éxito incluso le ha llegado de formas muy retorcidas. La proliferación de programas legítimos y específicos para desinfectar el sistema ha plagado las primeras búsquedas de Google de software falso. Es fácil encontrar con cualquier buscador, malware que dice ser un limpiador de Conficker.

* Establecer una fecha de apocalipsis vende mucho. Como hicieran el virus Viernes 13, Michelangelo... recuerda viejos tiempos, siempre mejores para las casas antivirus. Se dijo que el 1 de abril Conficker se activaría y colapsaría muchas webs. Nada ha ocurrido, como era de esperar. Es imposible que algo que genera tanta expectación cause un gran impacto. La gente tiende a prepararse para mitigar el ataque. Cuando algo viene por sorpresa, cuando no hay fecha establecida, es cuando el impacto se puede considerar verdaderamente serio.

Éxitos técnicos

* El mayor éxito de expansión de Conficker ha sido a través de las memorias USB. Pero no solo el hecho de adoptar esa estrategia, sino cómo lo ha hecho. Por primera vez, creó un archivo autorun.ini funcional pero disimulado con basura, que conseguía pasar desapercibido. Logró saltarse los métodos básicos de bloqueo de autoejecución de Windows.

* Siguiendo con el autorun, pudo disimular su ejecución mostrándose como la exploración de carpetas. Es un engaño muy conseguido. El uso de contraseñas por defecto también proporcionó numerosas alegrías a los atacantes.

* Uno de los éxitos técnicos más curiosos ha sido el uso de miles de dominios. El malware actual suele contener un algoritmo interno para generar dominios aleatorios (que probablemente no existen), desde donde descargarán nuevas funcionalidades. Los atacantes compran los dominios y cuelgan en ellos la actualizaciones para que el malware salga a buscarlas cuando los genere internamente. Cuando un laboratorio consigue descifrar ese algoritmo de generación, suele adelantarse a los atacantes y registrar ellos mismos esos dominios. Así podemos saber, según las visitas que reciba el dominio, el número de infectados. Normalmente el malware genera un número manejable de dominios cada día, y los atacantes registran solo algunos. Aunque se descifró el algoritmo de generación de dominios de Conficker, este pasó a generar 50.000 dominios aleatorios (de 4 a 9 letras) al día. Tanto dominio, por supuesto haría que muchos de los generados coincidiesen con dominios ya registrados y legítimos que todos los sistemas infectados visitarían. Los medios advirtieron que Internet se colapsaría por esta razón el 1 de abril.

Fracasos técnicos

* Pocos. Prácticamente su único problema ha sido la detección. Toda versión conocida de Conficker es detectada normalmente por más del 90% de los motores que alojamos en VirusTotal. Las casas se han volcado con él y lo detectan casi unánimemente. Es por eso que Conficker, aunque interesante, pasa automáticamente a ser una amenaza de mucho menos calibre. ¿Qué hubiera pasado si a pesar de toda esa cobertura mediática, los niveles de detección fuesen bajos? No es posible esta combinación. Cuanto más se hable de un malware, más detectado es. La pregunta es qué hubiera ocurrido sin esta cobertura mediática. La respuesta es que los niveles de detección hubieran sido mucho menores, y la infección mucho más discreta y mayor. En otras palabras, lo mismo que está ocurriendo ya con el resto del malware industrial, mucho más abundante, que se crea hoy en día. Los verdaderamente peligrosos que no aparecen en titulares.

Porque, ¿qué puede resultar más peligroso?, este ejemplar:

http://www.virustotal.com/analisis/963521ca26f84db93146f0b7891d0f1f

o este:

http://www.virustotal.com/analisis/07cd5b586a82487949ba18d03bdab8c7

El primero es un Conficker detectado por el 95% de los motores. El segundo es un troyano especialmente destinado al robo de contraseñas, que lleva más de un mes en nuestra base de datos. En ningún momento ha sido detectado por más de dos motores.

Conficker es peligroso, no cabe duda, es una grave plaga que hay que combatir. Pero no es el único malware contra el que se debe luchar.


Sergio de los Santos
ssantos@hispasec.com


Más información:

01/03/2009 ¿Aprende Conficker más rápido que los internautas?
http://www.hispasec.com/unaaldia/3781

19/01/2009 Conficker o Downadup, cabeza de turco
http://www.hispasec.com/unaaldia/3740

12/01/2009 El gusano Conficker consigue niveles aceptables de infección,
al fin y al cabo
http://www.hispasec.com/unaaldia/3733

miércoles, 1 de abril de 2009

Múltiples vulnerabilidades en VMWare ESX 3.x

VMWare ha publicado una actualización de OpenSSL, bind y vim para VMware ESX 3.0.3 y 3.0.2, que corrigen múltiples vulnerabilidades que podrían permitir a un atacante remoto evadir restricciones de seguridad y ejecutar código arbitrario.

VMware es un software que permite ejecutar diferentes sistemas
operativos en un mismo PC de forma virtual. Entre otras aplicaciones,
VMware es muy utilizado en seguridad informática por la versatilidad
que ofrece. VMWare ESX permite asignar recursos de procesador, memoria, almacenamiento de información y redes en múltiples máquinas virtuales.

La primera de las vulnerabilidades corregidas es un fallo en OpenSSL que omitía la validación del valor de retorno de la función 'EVP_VerifyFinal'. Esto podría ser aprovechado por un atacante remoto para evadir restricciones de seguridad a través de firmas 'SSL/TLS' para claves RSA y ECDSA especialmente manipuladas.

Se ha corregido un fallo en bind que omitía la validación del valor de retorno de la función 'DSA_do_verify'. Esto podría ser aprovechado por un atacante remoto para evadir restricciones de seguridad a través de un servidor DNS malicioso con un certificado DSA especialmente manipulado.

Otro de los problemas corregidos reside en el escapado de caracteres especiales en Vim, lo que permitiría ejecutar comandos de la shell introduciendo la clave de carácter 'K' en líneas que contengan el carácter ';'. Esto podría ser aprovechado por un atacante remoto ejecutar comandos de la shell a través de archivos vimscript especialmente manipulados.

También se solucionan varios problemas de validación de entrada en funciones de sistema de Vim. Un atacante podría ejecutar código si la víctima abre con vim un documento especialmente manipulado.

Se ha corregido un desbordamiento de memoria intermedia basada en heap en la función 'mch_expand_wildcards' de 'os_unix.c' en Vim. Esto podría ser aprovechado por un atacante remoto para ejecutar código arbitrario a través de nombres de archivo especialmente manipulados.

Por último, se ha corregido un error en el procesamiento de cadenas en la función 'helptags_one' de 'src/ex_cmds.c' en Vim. Esto podría ser aprovechado por un atacante remoto para ejecutar código arbitrario a través de un archivo con 'help-tags' especialmente manipuladas.

Se recomienda aplicar la actualización disponible según versión desde:

Para ESX 3.0.2:

ESX-1008409 (openssl)
http://download3.vmware.com/software/vi/ESX-1008409.tgz

ESX-1008408 (bind)
http://download3.vmware.com/software/vi/ESX-1008408.tgz

ESX-1008406 (vim)
http://download3.vmware.com/software/vi/ESX-1008406.tgz

Para ESX 3.0.3:

ESX303-200903406-SG (openssl)
http://download3.vmware.com/software/vi/ESX303-200903406-SG.zip

ESX303-200903405-SG (bind)
http://download3.vmware.com/software/vi/ESX303-200903405-SG.zip

ESX303-200903403-SG (vim)
http://download3.vmware.com/software/vi/ESX303-200903403-SG.zip


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

VMware Security AdvisoryAdvisory (VMSA-2009-0004)
ESX Service Console updates for openssl, bind, and vim
http://www.vmware.com/security/advisories/VMSA-2009-0004.html