viernes, 30 de abril de 2010

Vulnerabilidades en varios componentes de Apache Tomcat

Se ha anunciado una vulnerabilidad en Apache Tomcat versiones 5 y 6, que podría permitir realización de a ataques de cross-site request forgery.

El problema reside en errores de validación de entradas en los componentes Web Application Manager y Host Manager al procesar peticiones http. Un atacante podría emplear esto para manipular datos (como detener o eliminar una aplicación, o añadir un host virtual) al engañar a un administrador para que visite una página web específicamente creada.

Se recomienda cerrar el navegador tras una sesión administrativa de Tomcat Web Application Manager o Host Manager y no navegar por sitios desconocidos o seguir enlaces no confiables mientras se esté autenticado en la interfaz administrativa.


Antonio Ropero
antonior@hispasec.com


Más información:

Apache Tomcat Web Application Manager / Host Manager Vulnerability
http://www.vupen.com/english/advisories/2010/0995

jueves, 29 de abril de 2010

Cross-site scripting en Microsoft Office SharePoint Server 2007

A través de la publicación en la lista de correo Bugtraq, la empresa "High-Tech Bridge" ha publicado un fallo que afecta a los productos Office SharePoint Server 2007 y Windows SharePoint Services 3.0.

La vulnerabilidad reside en una falta de validación del parámetro "cid0" en el "/_layouts/help.aspx". Un atacante podría emplear este problema para causar ataques de cross-site scripting no persistente, a través de una url especialmente manipulada. Un ataque exitoso permite a un atacante obtener los privilegios y acceso de la víctima al sitio Sharepoint.

Microsoft ha comunicado, a través de un boletín oficial, que se encuentra trabajando en una solución. Por el momento y hasta la publicación de la actualización definitiva, como contramedida se recomienda restringir el acceso a Help.aspx de SharePoint; siguiendo las instrucciones del aviso de seguridad:
http://www.microsoft.com/technet/security/advisory/983438.mspx


David García
dgarcia@hispasec.com


Más información:

Vulnerability in Microsoft SharePoint Could Allow Elevation of Privilege (983438)
http://www.microsoft.com/technet/security/advisory/983438.mspx

XSS in Microsoft SharePoint Server 2007
http://www.htbridge.ch/advisory/xss_in_microsoft_sharepoint_server_2007

miércoles, 28 de abril de 2010

Actualización para el navegador Google Chrome

Google ha publicado una actualización de su navegador Chrome para Windows, para corregir tres vulnerabilidades que podrían llegar a permitir a un atacante evitar restricciones de seguridad o comprometer los sistemas afectados.

Dos de los problemas residen en una corrupción de memoria, el primero en el tratamiento de HTML5 y otro al manejar las fuentes de texto. Por último, un error en Google URL (GURL) puede permitir ataques de "cross-origin bypass".

Para evitar estos problemas, Google ha publicado la versión Chrome 4.1.249.1064. Esta actualización se instalará de forma automática en las últimas versiones del navegados, también está disponible para descarga desde http://www.google.com/chrome


Antonio Ropero
antonior@hispasec.com


Más información:

Stable Update: Bug and Security Fixes
http://googlechromereleases.blogspot.com/2010/04/stable-update-bug-and-security-fixes.html

martes, 27 de abril de 2010

Microsoft publica de nuevo la actualización del boletín MS10-025

Tal y como anunciamos la semana pasada, Microsoft se ha visto obligada a publicar de nuevo el parche del boletín MS10-025, al descubrir que tras su instalación no protegía de la vulnerabilidad que pretendía corregir.

La vulnerabilidad, con CVE-2010-0478, afecta al sistema operativo Windows 2000 SP4 y está calificada de crítica al permitir la ejecución de código arbitrario. El problema reside en un proceso corresponde al servicio "Windows Media Unicast Service" del componente opcional "Windows Media Services".

El error se trata de un desbordamiento de pila en el proceso "nsum.exe" durante el procesamiento de paquetes con información de transporte especialmente manipulados.

Se recomienda la instalación de la nueva actualización distribuida a través de la herramienta Widnows Update o descargándola desde el centro de descargas de Microsoft:
http://www.microsoft.com/downloads/details.aspx?familyid=73B3D681-26BB-49C1-849E-1F72484CB978&displaylang=en


Antonio Ropero
antonior@hispasec.com


Más información:

Microsoft Security Bulletin MS10-025 - Critical
Vulnerability in Microsoft Windows Media Services Could Allow Remote Code Execution (980858)
http://www.microsoft.com/technet/security/bulletin/ms10-025.mspx

lunes, 26 de abril de 2010

Múltiples vulnerabilidades en VLC 1.0.5

Se han publicado varias vulnerabilidades en la versión 1.0.5 de VLC. Las vulnerabilidades fueron descubiertas durante el desarrollo de la nueva versión 1.1.0.

Los ficheros AVI, ASF, Matroska (MKV) mal formados producen accesos inválidos a memoria. Esto causa que el programa se cierre.

Los ficheros de lista XSPF provocan que la aplicación se cierre si
existe un campo "" vacío. XSPF es un formato de lista de música basado en XML cuya versión 1.0 salió a la luz en noviembre de 2006.

Existen varios errores en "zipstream.c". Estos fallos producen que cuando se filtra un fichero ZIP con un formato erróneo se produzca un acceso a memoria inválido.

Existe varios errores no especificados en los decoders A/52, DTS y MPEG, así como en el procesador de los flujos de datos en formato RTMP (Real Time Messaging Protocol) que provocan un desbordamiento de memoria intermedia basado en heap. Estos errores podría ser aprovechados por un atacante remoto para ejecutar código arbitrario a través de un fichero o un enlace hacia una fuente especialmente diseñada.

VLC está trabajado en solucionar estos errores para el lanzamiento de las versiones 1.1.0 y 1.0.6.


Víctor Antonio Torre
vtorre@hispasec.com


Más información:

Anuncio oficial:
http://www.videolan.org/security/sa1003.html

Lista de correo:
http://mailman.videolan.org/pipermail/videolan-announce/2010-April/000154.html

domingo, 25 de abril de 2010

IBM corrige dos vulnerabilidades en IBM DB2

IBM ha publicado una actualización para corregir dos nuevas vulnerabilidades en IBM DB2 (el popular gestor de base de datos de IBM) por el cual un atacante podría conseguir provocar denegaciones de servicio o evitar restricciones de seguridad.

El primero de los problemas se debe a un desbordamiento de búfer en la función escalar "REPEAT", que podría permitir la caída del servidor vulnerable. El segundo problema está relacionado con un error en el proceso de renegociaciones del protocolo TLS (Transport Layer Security).

Se ven afectadas las versiones de IBM DB2 para Linux, UNIX y Windows anteriores a la 9.1 Fix Pack 9. IBM ha publicado el Fix Pack 9 disponible desde:
http://www.ibm.com/support/docview.wss?rs=71&uid=swg27007053


Antonio Ropero
antonior@hispasec.com


Más información:

Security Vulnerabilities and HIPER APARs fixed in DB2 for Linux, UNIX, and Windows Version 9.1 Fix Pack 9
http://www-01.ibm.com/support/docview.wss?uid=swg21426108

IC65922: SECURITY: BUFFER OVERRUN IN REPEAT UDF.
http://www-01.ibm.com/support/docview.wss?uid=swg1IC65922

IC67848: SECURITY: TRANSPORT LAYER SECURITY (TLS) HANDSHAKE RENEGOTIATIONWEAK SECURITY CVE-2009-3555
http://www-01.ibm.com/support/docview.wss?uid=swg1IC67848

sábado, 24 de abril de 2010

¿Cómo va el programa de recompensas de Google Chrome?

A principios de año, Google inició un programa de incentivos dirigido a investigadores de seguridad externos. Dicho programa consistía en pagos desde los 500 hasta los 1.337 dólares de los fallos más graves, concretamente aquellos etiquetados de gravedad alta o crítica. Una iniciativa inspirada, como Google reconoce, en el programa de recompensas de la fundación Mozilla.

El equipo de Chrome recibe reportes de vulnerabilidades a un flujo normal para un proyecto de su envergadura, aunque tan solo once de ellas han sido cualificadas para obtener la recompensa ofrecida. Se da la circunstancia de que algunos de los investigadores han declinado el cobro de las mismas en favor de donaciones a la caridad, en ese caso Google incluso aumentó la cantidad a donar.

Además de la recompensa, Google acredita al descubridor agradeciendo su contribución y nombrándole, algo que para algunos puede tener incluso mayor valor que la cantidad cobrada.

En este momento hay solo once vulnerabilidades en el "Muro de la fama" procedentes de ocho investigadores diferentes. Tan solo una de ellas ha obtenido la máxima valoración de 1.337 dólares. Hay dos de 1.000 dólares, siete de 500 dólares y una de 509 dólares. Esta última cantidad es debido a que su descubridor, wushi, pertenece al grupo team509 y al parecer ese detalle no pasó desapercibido para Google.

De momento el único ganador en la categoría de los 1.337 dolares es Sergei Glazunov, con un desbordamiento de entero en la función "WebGLArray::create" del motor de código abierto WebKit. Dicho motor es el mismo que usa el navegador de Apple Safari, por lo que algunas veces comparten vulnerabilidades y los investigadores efectúan pruebas en ambos cuando se trata de partes comunes.

Se da la circunstancia de que cuatro de las premiadas, incluida la de Glazunov, fueron parcheadas pocos días antes del comienzo del Pwn2Own de este año. Concurso que año tras año va ganando mayor atención mediática.

Otras dos de la categoría de 500 dolares han sido publicadas, conjuntamente con otras cinco vulnerabilidades, en la versión estable 4.1.249.1059 el pasado 20 de abril.

A varios meses desde el comienzo del programa de incentivos podrían parecer pocas las vulnerabilidades premiadas hasta ahora, aunque sabemos que "cazar" una buena pieza lleva tiempo, arte y paciencia.

¿Habría mejorado el número de reportes subir los 1.337 a 31.337 dólares?


David García
dgarcia@hispasec.com


Más información:

Encouraging More Chromium Security Research
http://blog.chromium.org/2010/01/encouraging-more-chromium-security.html

Stable Update: Security Fixes (20 de abril)
http://googlechromereleases.blogspot.com/2010/04/stable-update-security-fixes.html

Stable Channel Update (17 de marzo)
http://googlechromereleases.blogspot.com/2010/03/stable-channel-update.html

viernes, 23 de abril de 2010

Microsoft volverá a publicar el parche del boletín MS10-025

Microsoft se ha visto obligada a revisar el parche del boletín MS10-025, publicado el pasado 13 de abril, tras descubrir que su aplicación no protegía de la vulnerabilidad descrita.

La vulnerabilidad, con CVE-2010-0478, afecta al sistema operativo Windows 2000 SP4 y está calificada de crítica. El problema puede permitir a un atacante remoto ejecutar código arbitrario a través del envío de paquetes especialmente manipulados.

El error se trata de un desbordamiento de pila en el proceso "nsum.exe" durante el procesamiento de paquetes con información de transporte. Dicho proceso corresponde al servicio "Windows Media Unicast Service" del componente opcional "Windows Media Services".

Windows Media Services provee de un servidor de streaming al sistema. Anteriormente conocido como NetShow Server y NetShow Services, el servidor se incluía en los sistemas Windows NT y en adelante hasta Windows Server 2008 en el que solo se distribuye como un complemento independiente y descargable.

Microsoft recomienda seguir las indicaciones de contramedidas, incluidas en el boletín, con el objetivo de mitigar la vulnerabilidad hasta la próxima publicación del parche, fecha de la que no se han publicado detalles.


David García
dgarcia@hispasec.com



jueves, 22 de abril de 2010

Actualización de McAfee provoca un falso positivo sobre un proceso del sistema

Hoy no está siendo un día fácil para muchos administradores. A las 14:00 horas GMT del 21 de abril, McAfee liberó un nuevo fichero DAT de actualización de firmas, el 5958. Dicho fichero contiene información que el motor del antivirus usa para la detección de amenazas, sin embargo su instalación ha provocado que cientos de miles de sistemas se quedaran inutilizados.

El DAT 5958 contiene una firma que le indica al antivirus de McAfee que ponga en cuarentena al proceso "svchost.exe" de los sistemas operativos Windows XP SP3, al confundirlo con el virus W32/Wecorl.a.

Esta acción provoca que cuando se reinicie el equipo éste entre en un bucle de reinicios consecutivos y vuelva a la máquina inoperable. Esta situación se agrava en entornos empresariales donde las actualizaciones se realizan en masa, a través de la herramienta "ePolicyOrchestrator", dejando redes de máquinas eventualmente fuera de juego.

El tráfico de mensajes ha llegado a ser tan elevado, que los administradores del foro de soporte de McAfee se han visto obligado a cerrarlo durante algunas horas. La compañía ha reaccionado rápidamente, retirando la infame actualización y sustituyéndola por la 5959.

McAfee ha publicado una herramienta para ayudar en la recuperación de los sistemas afectados denominada "SuperDAT". En el blog oficial, Barry McPherson (vicepresidente ejecutivo de McAfee), se lamenta y disculpa del error cometido por la compañía.

Este tipo de errores, relativamente habituales, provocan verdaderos quebraderos de cabeza a los administradores debido a la rapidez e instantaneidad con la que surgen y se propagan.

Casi todas las casas han tenido y temido este tipo de errores y el impacto que producen sobre su reputación. Recordemos algunos incidentes que afectaron masivamente a sus usuarios.

Marzo de 2010, BitDefender marca falsos positivos sobre varios archivos del sistema en Windows Vista.

Julio de 2009, CA detecta archivos del sistema (Windows XP) como "Win32/AMalum.ZZQIA".

Diciembre de 2009, Avast confundía archivos legítimos con "Win32:Delf-MZG".

Noviembre de 2008, AVG detectaba la dll "user32" como un troyano y recomendaba su eliminación.

Octubre de 2008, McAfee marca como troyano al ejecutable de la consola IME en Windows Vista.

Diciembre de 2007, Kaspersky emite un falso positivo sobre el explorador de Windows.

Mayo de 2007, Symantec provoca falsos positivos en los archivos "netapi32.dll" y "lsasrv.dll" confundiéndolos con el troyano "Backdoor.Haxdoo" en Windows XP SP2 con el idioma Chino simplificado.


David García
dgarcia@hispasec.com


Más información:

False positive detection of w32/wecorl.a in 5958 DAT
https://kc.mcafee.com/corporate/index?page=content&id=KB68780

A Long Day at McAfee
http://siblog.mcafee.com/support/a-long-day-at-mcafee

miércoles, 21 de abril de 2010

Desbordamiento de búfer en ActiveX de HP Operations Manager

Se ha confirmado la existencia de una vulnerabilidad en HP Operations Manager para Windows, que un atacante remoto podría emplear para comprometer los sistemas vulnerables.

El software HP Operations Manager es la solución en el mercado de HP para la gestión de eventos distribuidos, sistemas y disponibilidad

El problema reside en desbordamientos de búfer en los controles ActiveX "srcvw4.dll" y "srcvw32.dll" al procesar argumentos de gran lonitud pasados a los métodos "LoadFile()" o "SaveFile()". Un atacante remoto podría aprovechar este problema para ejecutar código arbitrario si consigue engañar al usuario para que visite una página web específicamente creada.

Se ven afectadas las siguientes versiones:

HP Operations Manager para Windows versión 8.10 (con srcvw4.dll versión 4.0.1.1 y anteriores)
HP Operations Manager para Windows versión 8.16 (con srcvw4.dll versión 4.0.1.1 y anteriores)
HP Operations Manager para Windows versión 7.5 (con srcvw32.dll versión 2.23.28 y anteriores)

Para HP Operations Manager 8.x se recomienda instalar OMW_00060 y actualizar a srcvw4.dll versión 4.0.1.2

Para HP Operations Manager 7.x se recomienda instalar OVOW_00279 y actualizar a srcvw32.dll versión 2.23.29 HP


Antonio Ropero
antonior@hispasec.com


Más información:

HPSBMA02491 SSRT100060 rev.1 - HP Operations Manager for Windows, Remote Execution of Arbitrary Code
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c02078800

HP Operations Manager <= v8.16 - (srcvw4.dll) LoadFile()/SaveFile() Remote Unicode Stack Overflow PoC
http://www.exploit-db.com/exploits/12302

martes, 20 de abril de 2010

El filtro XSS de Internet Explorer 8 sigue siendo vulnerable

Los investigadores Eduardo Vela y David Lindsay han presentado, en el marco de la conferencia Black Hat Europa de este año, un nuevo método para ejecutar ataques de cross-site scripting a través de los filtros XSS de Internet Explorer 8.

Microsoft introdujo un mecanismo para filtrar ataques de cross-site scripting, concretamente los de "tipo 1" o no persistentes. Un cross-site scripting no persistente es la clase de ataque más común y extendida de este tipo de ataques.

El atacante manipula una URL insertando código malicioso que, de manera errónea, aprovechando una vulnerabilidad, el sitio web usará para generar una página que contendrá el código legítimo más el código introducido por el atacante.

La víctima que "inadvertidamente" use la URL proporcionada por el atacante, enviará una petición hacia el servidor web y este "reflejará" el código de vuelta hacia el cliente donde es usado por el navegador como si fuese código legítimo.

Es denominado no persistente ya que el servidor no almacena el código malicioso y es reflejado porqué en realidad es el mismo navegador el que va a enviar el ataque a través de la petición HTTP hacia el servidor web y éste de vuelta al navegador de la víctima.

La idea general del filtro XSS de Internet Explorer, es observar la secuencia solicitud-respuesta entre navegador y sitio web. A grandes rasgos, modifica el código que se recibe del servidor antes de que sea interpretado por el navegador, si detecta que la página recibida contiene código sospechoso enviado en una de las solicitudes del navegador. Básicamente, evita "reflejar" el código malicioso.

La base del mecanismo de neutralización de ataques del filtro es alterar el código malicioso. En caso de observar código sospechoso de vuelta al navegador, el filtro actúa antes de que se interprete la página, insertando o reemplazando caracteres en partes de ese código para impedir su ejecución transformándolo en código no válido.

Ya en su momento se hizo público una vulnerabilidad que aprovechaba el filtro XSS para producir este tipo de ataques. Microsoft liberó un boletín (MS10-002) en el que se corregía la vulnerabilidad. Aun así, se encontraron nuevas formas para revertir el uso del filtro y Microsoft volvió a reforzarlo en un nuevo boletín (MS10-018).

Lo que han mostrado los investigadores es que es no solo es posible evadir el filtro sino que sigue siendo posible efectuar ataques de cross-site scripting, incluso en sitios webs que no son vulnerables. Adicionalmente, el filtro también podría ser usado por el atacante para impedir la ejecución de scripts legítimos, posibilitando la evasión de mecanismos de seguridad propios del sitio web visitado.

David Ross de Microsoft, ha confirmado que publicarán un parche hacia el mes de junio para prevenir este tipo de ataque.


David García
dgarcia@hispasec.com


Más información:

Abusing IE8s XSS Filters [PDF]
http://p42.us/ie8xss/Abusing_IE8s_XSS_Filters.pdf

Guidance on Internet Explorer XSS Filter
http://blogs.technet.com/msrc/archive/2010/04/19/guidance-on-internet-explorer-xss-filter.aspx

lunes, 19 de abril de 2010

OWASP: Los diez riesgos más importantes en aplicaciones web (2010)

La OWASP (Open Web Application Security Project) ha publicado una actualización del ranking de los riesgos más importantes que afectan a las aplicaciones web.

Su misión es concienciar a la industria sobre los riesgos de seguridad, en el ámbito de las aplicaciones web, identificando y remarcando las diez amenazas más serias a las que se expone.

Dicho ranking nace del consenso y debate entre expertos en la materia de la seguridad en aplicaciones web. El proyecto Top Ten comenzó a gestarse en 2003, cuando se publicó el primer ranking. En 2004, se efectuaron cambios menores de aquella primera edición y en 2007 se liberó la segunda.

Tal y como refleja la organización, y se hace cada vez más evidente, no se han de limitar los esfuerzos en la erradicación o el tratamiento de las amenazas señaladas (El número de riesgos o vulnerabilidades identificadas es de varios ordenes mayor), sino de un plan de seguridad que comience y se alargue durante todo el ciclo de desarrollo de una aplicación, desde su diseño inicial hasta la fase de mantenimiento.

En esta edición de 2010 han efectuado un cambio significativo en la metodología usada para la elaboración del top. En vez de estimar una amenaza por su frecuencia (las más comunes) se han tenido en cuenta múltiples factores para el cálculo de cada una de ellas, dando lugar a un ranking de riesgos evaluados por su vector, predominio, detectabilidad e impacto.

La edición del 2010 presenta las siguientes categorías:

A1 – Inyecciones.

Vulnerabilidades de inyección de código, desde SQL hasta comandos del sistema.

A2 – Cross-site Scripting.

El anterior número uno. Una de las vulnerabilidades más extendidas y a la par subestimada.

A3 – Gestión defectuosa de sesiones y autenticación.

Comprende los errores y fallos en las funciones de gestión de sesiones y autenticación.

A4 – Referencias directas a objetos inseguras.

Errores al exponer partes privadas o internas de una aplicación sin control y accesibles públicamente.

A5 – Cross-site Request Forgery.

Se mantiene en el mismo puesto anterior. Vulnerabilidad consistente en el desencadenamiento de acciones legitimas por parte un usuario autenticado, de manera inadvertida por este último y bajo el control de un atacante.

A6 – Ausencia de, o mala, configuración de seguridad.

Más que un error en el código se trata de la falta o mala configuración de seguridad de todo el conjunto de elementos que comprende el despliegue de una aplicación web, desde la misma aplicación hasta la configuración del sistema operativo o el servidor web.

A7 – Almacenamiento con cifrado inseguro.

Referida a la ausencia o mal uso de los sistemas de cifrado en relación a los datos almacenados o manejados por la aplicación.

A8 – Falta de restricciones en accesos por URL.

Falta de validación en el procesamiento de URLs que podrían ser usadas para invocar recursos sin los derechos apropiados o páginas ocultas.

A9 – Protección insuficiente de la capa de transporte.

Relacionada con A7 pero orientada a la protección del tráfico de red. Elección de un cifrado débil o mala gestión de certificados.

A10 – Datos de redirecciones y destinos no validados.

Errores en el tratamiento de redirecciones y uso de datos no confiables como destino.


David García
dgarcia@hispasec.com


Más información:

Sitio principal de OWASP
http://www.owasp.org/index.php/Main_Page

OWASP Top 10 for 2010 [PDF]
http://www.owasp.org/images/4/44/OWASP_Top_10_-_2010.pdf

domingo, 18 de abril de 2010

Actualización crítica por vulnerabilidades en el cliente SMB (detalles del boletín MS10-020)

Dentro del conjunto de boletines de seguridad de abril publicado el pasado martes por Microsoft y del que ya efectuamos un resumen, se cuenta el anuncio (en el boletín MS10-020) de una actualización crítica destinada a corregir cinco errores en el cliente SMB de los sistemas Windows.

La primera de las vulnerabilidades, con CVE-2010-0269, afecta a toda la familia Windows permitiendo a un atacante remoto ejecutar código arbitrario.

Esta última vulnerabilidad fue descubierta por Mark Rabinovich, recien nombrado jefe de investigación y desarrollo de la empresa "Visuality System", especializada en productos que usan CIFS (denominación que introdujo Microsoft a la tecnología SMB en 1998).

El resto de vulnerabilidades se le debe a Laurent Gaffié de "stratsec", un investigador bastante conocido en las listas de seguridad y al que no se le da nada mal la búsqueda de agujeros en SMB a juzgar por sus resultados.

* CVE-2009-3676 - SMB Client Incomplete Response Vulnerability:
Esta vulnerabilidad afecta a sistemas Windows 7 y Windows Server 2008 R2 y podría permitir a un atacante causar una denegación de servicio.

El error se produce al enviar una cabecera NetBIOS con un valor en la que especifica un tamaño cuatro bytes menor que el tamaño real del paquete SMB.

Si observamos el CVE vemos que fue asignado en 2009, y es debido a que Gaffié, hizo publico un exploit y los detalles de la explotación en la lista de "Full Disclosure" el día 11 de noviembre de 2009.

En el mismo aviso, Gaffié criticaba con cierta dureza al MSRC y el SDL de Microsoft (el equipo de respuesta y el programa de desarrollo seguro respectivamente), al responderle, según Gaffié, que la vulnerabilidad no debería aparecer en un boletín de seguridad.

* CVE-2010-0269 - SMB Client Memory Allocation Vulnerability:

Como habíamos comentado, afecta a toda la gama de sistemas Windows y su explotación podría permitir a un atacante remoto sin autenticar ejecutar código arbitrario.

Está vulnerabilidad se debe a la forma en la que el cliente SMB de Windows reserva memoria cuando procesa las respuestas que son enviadas por un servidor SMB.

Un atacante remoto podría aprovechar está vulnerabilidad para ejecutar código arbitrario a través del envío de respuestas SMB especialmente manipuladas. La explotación puede efectuarse inyectando las respuestas en un ataque de hombre en el medio o mediante una página web que contenga una URI hacia un servidor SMB controlado por el atacante.

* CVE-2010-0270 - SMB Client Transaction Vulnerability:

Esta vulnerabilidad, descubierta por Gauffié en diciembre de 2009, afecta a sistemas Windows 7 y Windows Server 2008 R2 y podría permitir a un atacante ejecutar código arbitrario.
El error está en una falta de validación de ciertos campos en las respuestas generadas durante transacciones SMB. Según Gauffié, un desbordamiento de pila clásico y no protegido por un "canary value" (un valor controlado y monitorizado por el sistema para comprobar la corrupción de la pila).

Lo vectores de ataque son similares a los del CVE-2010-0269. El día 17 de abril, a través de su blog, Gauffié publicaba detalles y una prueba de concepto.

* CVE-2010-0476 - SMB Client Response Parsing Vulnerability:

Ejecución de código arbitrario en sistemas anteriores a Windows 7 y Windows Server 2008 R2, calificada de "baja" en estos últimos y no explotable en Windows 2000 y XP.

El error reside en la forma en que se procesan las respuestas en transacciones SMB. Un atacante remoto podría causar una denegación de servicio y potencialmente ejecutar código arbitrario a través de peticiones SMB especialmente manipuladas.

Los vectores de ataque son similares a los comentados en las dos
vulnerabilidades anteriores.

* CVE-2010-0477 - SMB Client Message Size Vulnerability:

Afecta a sistemas Windows 7 y Windows Server 2008 R2 y podría permitir a un atacante remoto sin autenticar ejecutar código arbitrario.

El fallo se encuentra en el cliente SMB. Al procesar ciertas peticiones SMB especialmente manipuladas, éstas podrían provocar que el cliente consuma completamente la petición recibida e indique un valor incorrecto al kernel Winsock (un interfaz similar a la librería Winsock2 orientada al modo kernel).

Los vectores de ataque son igualmente similares a los comentados en las vulnerabilidades anteriores.

Se recomienda actualizar los sistemas afectados mediante Windows Update o descargando los parches según versión desde la página del boletín de seguridad.


David García
dgarcia@hispasec.com


Más información:

Boletín de seguridad de Microsoft MS10-020 - Crítico
Vulnerabilidades en el cliente SMB podrían permitir la ejecución remota de código
http://www.microsoft.com/spain/technet/security/Bulletin/MS10-020.mspx

Windows 7 / Server 2008R2 Remote Kernel Crash
http://g-laurent.blogspot.com/2009/11/windows-7-server-2008r2-remote-kernel.html

MS10-020 (pof)
http://g-laurent.blogspot.com/2010/04/ms10-020.html

sábado, 17 de abril de 2010

Actualizaciones de seguridad para Debian Linux

Debian ha publicado actualizaciones de seguridad para paquetes de sus distribuciones estable “lenny” e inestable “sid”.

A continuación detallamos los paquetes afectados y errores corregidos en cada uno de ellos.

* phpMyAdmin:

Corrige tres fallos correspondientes a los CVE-2008-7251, CVE-2008-7252 y CVE-2009-4605.

El primero es un fallo en "libraries/File.class.php" al efectuar una asignación incorrecta de permisos. Cuando crea un directorio temporal permite que pueda ser manipulado por cualquier usuario. Esto podría ser usado por un atacante local para efectuar una escalada de privilegios.

El segundo fallo y relacionado con el primero es debido a la predecibilidad de los nombres de archivos temporales creados por "libraries/File.class.php".

El tercero y último se encuentra en el script de configuración "scripts/setup.php". Dicho script permite un uso inseguro de la función "unserialize" sobre los parámetros "configuration" y "v[0]". Esto podría ser aprovechado por un atacante remoto para causar ataques de cross-site request forgery.

* apache2:

Corrige dos fallos correspondientes a los CVE-2010-0408 y CVE-2010-0434.

El primero es un fallo al procesar una peticiones mal formadas en el módulo "mod_proxy_ajp", concretamente en la función "ap_proxy_ajp_request" del archivo "modules/proxy/mod_proxy_ajp.c". Un atacante remoto podría aprovechar este problema para causar un ataque de denegación de servicio a través de peticiones HTTP especialmente manipuladas.

El segundo y último reside en la función "ap_read_request" del archivo "server/protocol.c" y podría permitir a un atacante remoto obtener información sensible o causar una denegación de servicio debido a un error en el tratamiento de las cabeceras HTTP en ciertos módulos.

* jasper:

Corrige un fallo correspondiente al CVE-2007-2721 y un error de regresión introducido anteriormente al parchear una vulnerabilidad correspondiente al CVE-2008-3521.

El error se encuentra en la función "jpc_qcx_getcompparms" del archivo "jpc/jpc_cs.c". Dicho error podría permitir a un atacante remoto causar una denegación de servicio o corromper el heap a través de un archivo de imagen especialmente manipulado.

* kdm:

Corrige un fallo correspondiente al CVE-2010-0436.

Existe un error de condición de carrera en KDM durante la creación de un socket de control en el inicio de sesión de usuario. Esto podría permitir a un atacante local autenticado elevar privilegios a través de la creación de archivos especialmente manipulados.

Se recomienda actualizar a través de las herramientas automáticas apt-get.


David García
dgarcia@hispasec.com


Más información:

DSA-2034-1 phpmyadmin -- several vulnerabilities
http://www.debian.org/security/2010/dsa-2034

DSA-2035-1 apache2 -- multiple issues
http://www.debian.org/security/2010/dsa-2035

DSA-2036-1 jasper -- programming error
http://www.debian.org/security/2010/dsa-2036

DSA-2037-1 kdm (kdebase) -- race condition
http://www.debian.org/security/2010/dsa-2037

viernes, 16 de abril de 2010

Oracle publica una nueva actualización de seguridad para Java

Fuera de ciclo y en poco más de 15 días tras liberar una actualización múltiple de seguridad para Java, Oracle se ha visto obligada a lanzar una nueva actualización de seguridad para corregir dos vulnerabilidades que podrían permitir a un atacante remoto ejecutar código arbitrario.

El 10 de abril contábamos en "una-al-día" el fallo descubierto, de manera independiente, por los investigadores Tavis Ormandy y Ruben Santamarta en la herramienta de despliegue "Java Deployment Toolkit"; además de la vulnerabilidad que permite inyectar una dll a través de Java Web Start, descubierta por Santamarta.

La respuesta de Oracle no se ha hecho esperar y la actualización 20 ya está disponible para su descarga. En total corrige las dos vulnerabilidades, con CVE-2010-0886 y CVE-2010-0887, e incluye además tres correcciones de bugs, dos de ellas, en los mismos componentes afectados.


David García
dgarcia @ hispasec.com



jueves, 15 de abril de 2010

Actualización de seguridad para Adobe Reader y Acrobat

Tal y como anunciamos anteriormente Adobe ha publicado una actualización para corregir 15 vulnerabilidades en Adobe Reader y Acrobat en diferentes plataformas, que podrían permitir a un atacante tomar el control de los sistemas afectados.

Las versiones afectadas son Adobe Reader 9.3.1 (y anteriores) para Windows, Macintosh y UNIX; Adobe Acrobat 9.3.1 (y anteriores) para Windows y Macintosh; y Adobe Reader 8.2.1 (y anteriores) y Adobe Acrobat 8.2.1 (y anteriores) para Windows y Macintosh.

Las vulnerabilidades anunciadas son de diversa índole, desde cross-site scripting, varios problemas de denegación de servicio, de corrupción de memoria y de desbordamiento de búfer.

Adobe recomienda a los usuarios de Reader y Acrobat la actualizaciones a las versiones recientemente publicadas empleando la opción de actualización automática de los productos o bien descargándolas desde la propia web de Adobe: http://www.adobe.com/downloads/


Antonio Ropero
antonior@hispasec.com


Más información:

Security update available for Adobe Reader and Acrobat
http://www.adobe.com/support/security/bulletins/apsb10-09.html

miércoles, 14 de abril de 2010

Crónica del ataque a los servidores de la fundación Apache

El pasado día 13 de abril, a través de un post en el blog oficial del equipo de infraestructuras de Apache, se publicaron los detalles acerca de un ataque dirigido sobre los servidores de la fundación Apache.

En esta ocasión emplearon una vulnerabilidad desconocida en JIRA (un software de gestión de errores e incidencias en proyectos) que permitía efectuar ataques de cross-site scripting. Los atacantes, a través de un servidor virtual comprometido (alojado en SliceHost), abrieron una incidencia en JIRA en la cual incluyeron una URL corta redireccionada por el servicio TinyURL que desencadenaba el cross-site scripting; consiguieron comprometer varias sesiones de usuario, incluyendo algunas con derechos de administrador.

A la vez, emplearon un ataque por fuerza bruta sobre la página de login de JIRA ("login.jsp") en la que se llegaron a contabilizar, según Apache, cientos de miles de combinaciones de passwords.

Sin llegar a especificar que método fue exitoso, los atacantes lograron obtener una cuenta de administrador de JIRA que usaron para desactivar las notificaciones de cierto proyecto y cambiar la ruta, sobre la que se depositan los adjuntos, a una con permisos de escritura y ejecución de páginas JSP.

Mediante los cambios efectuados consiguen abrir incidencias para subir archivos en los adjuntos. Dichos archivos eran scripts JSP que integraban una especie de shell con la que copiaron los directorios "home" y archivos de varios usuarios de la máquina local.

Con la idea de obtener una cuenta con privilegios en la maquina, instalaron un JAR (una aplicación Java empaquetada) que servía de recolector de credenciales y enviaron correos al personal del equipo de infraestructuras pidiéndoles que resetearan sus cuentas en JIRA.

El personal del equipo, en vez de sospechar del correo, pensaron que se trataba de un error en JIRA y usaron el password temporal del correo para loguearse en la cuenta y resetearlo, volviendo a usar el mismo. Uno de esos password, ya interceptado por la aplicación de los atacantes, resultaba ser el mismo que una de las cuentas de la máquina local con el agravante de que la cuenta permitía hacer sudo.

La máquina comprometida alojaba, además de JIRA, las aplicaciones Confluence (una suerte de wiki), un Bugzilla y varias credenciales cacheadas de Subversion. Con estás credenciales accedieron a otra máquina, la que aloja el servidor people.apache.org e intentaron sin éxito escalar privilegios.

En este punto, después de seis horas transcurridas desde el reseteo de los passwords, el equipo de Apache comenzó a contrarrestar el ataque.

Apache notificó a Atlassian, el fabricante de JIRA, acerca de la vulnerabilidad usada por los atacantes y en respuesta se han publicado dos boletines de servicio que corrigen el error.

Se lamenta Apache que aun después de dos días tras avisar a SliceHost, la empresa de hosting propietaria del servidor virtual comprometido, aun continuaba bajo el dominio de los atacantes e incluso fue empleado para efectuar un ataque adicional sobre Atlassian.


David García
dgarcia@hispasec.com



martes, 13 de abril de 2010

Boletines de seguridad de Microsoft en abril

Tal y como adelantamos, este martes Microsoft ha publicado once boletines de seguridad (del MS10-019 al MS10-029) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft cinco de los boletines presentan un nivel de gravedad "crítico", cinco son clasificados como "importantes" y el restante se considera "moderado". En total se han resuelto 25 vulnerabilidades, cinco de ellas reportadas por Hispasec.

Los boletines "críticos" son:

* MS10-019: Actualización para corregir dos vulnerabilidades en la comprobación de código de autenticación de Windows que podría permitir la ejecución remota de código. Afecta a Microsoft Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008 y Windows 7.

* MS10-020: Actualización para corregir cinco vulnerabilidades que podrían permitir la ejecución remota de código si un atacante envía una respuesta SMB especialmente creada a una petición de cliente SMB. Afecta a Microsoft Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008 y Windows 7.

* MS10-025: Actualización para corregir una vulnerabilidad que podría permitir la ejecución remota de código en Servicios de Windows Media en Microsoft Windows 2000 Server.

* MS10-026: Actualización para corregir una vulnerabilidad en los códecs de audio MPEG Layer-3 de Microsoft. La vulnerabilidad podría permitir la ejecución remota de código si un usuario abre un archivo AVI especialmente diseñado que contenga una secuencia de audio MPEG Layer-3. Afecta a Microsoft Windows 2000, Windows XP, Windows Server 2003, Windows Vista y Windows Server 2008.

* MS10-027: Actualización para corregir una vulnerabilidad de ejecución remota de código en el control ActiveX de Reproductor de Windows Media. Afecta a Microsoft Windows 2000 y Windows XP.

Los boletines clasificados como "importantes" son:

* MS10-021: Esta actualización de seguridad resuelve ocho vulnerabilidades en el kernel de Windows que podrían permitir la elevación de privilegios local. Cinco de las vulnerabilidades corregidas fueron reportadas por Matthew "j00ru" Jurczyk y Gynvael Coldwind, de Hispasec. Afecta a Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008 y Windows 7.

* MS10-022: Se trata de una actualización de seguridad para resolver una vulnerabilidad en VBScript de Windows que podría permitir la ejecución remota de código. Afecta a Windows 2000, Windows XP y Windows Server 2003.

* MS10-023: Boletín destinado a corregir una vulnerabilidad en Microsoft Office Publisher que podría permitir la ejecución remota de código arbitrario si un usuario abre un archivo de Publisher especialmente diseñado.

* MS10-024: Actualización destinada a corregir dos vulnerabilidades en en Microsoft Exchange y en el servicio SMTP de Windows.

* MS10-028: Actualización que soluciona dos vulnerabilidades en Microsoft Office Visio que podrían permitir la ejecución remota de código si un usuario abre un archivo de Visio especialmente diseñado.

Por último, la vulnerabilidad considerada como "moderada":

* MS10-029: Actualización publicada para evitar una vulnerabilidad en el componente ISATAP de Windows que podría permitir que un atacante suplantara una dirección IPv4. Esto podría ser empleado por un atacante para pasar por alto dispositivos de filtrado que se basen en la dirección IPv4 de origen. Afecta a Windows XP, Windows Server 2003, Windows Vista y Windows Server 2008.

Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible.


Antonio Ropero
antonior@hispasec.com


Más información:

Resumen del boletín de seguridad de Microsoft de abril de 2010
http://www.microsoft.com/spain/technet/security/bulletin/ms10-apr.mspx

Boletín de seguridad de Microsoft MS10-019 - Crítico
Vulnerabilidades en Windows podrían permitir la ejecución remota de código (981210)
http://www.microsoft.com/spain/technet/security/Bulletin/MS10-019.mspx

Boletín de seguridad de Microsoft MS10-020 - Crítico
Vulnerabilidades en el cliente SMB podrían permitir la ejecución remota de código
http://www.microsoft.com/spain/technet/security/Bulletin/MS10-020.mspx

Boletín de seguridad de Microsoft MS10-021 - Importante
Vulnerabilidades del kernel de Windows podrían permitir la elevación de privilegios (979683)
http://www.microsoft.com/spain/technet/security/Bulletin/MS10-021.mspx

Boletín de seguridad de Microsoft MS10-022 - Importante
Una vulnerabilidad en el motor de secuencias de comandos de VBScript podría permitir la ejecución remota de código (981169)
http://www.microsoft.com/spain/technet/security/Bulletin/MS10-022.mspx

Boletín de seguridad de Microsoft MS10-023 - Importante
Una vulnerabilidad en Microsoft Office Publisher podría permitir la ejecución remota de código (981160)
http://www.microsoft.com/spain/technet/security/Bulletin/MS10-023.mspx

Boletín de seguridad de Microsoft MS10-024 - Importante
Vulnerabilidades en Microsoft Exchange y el servicio SMTP de Windows podrían permitir la denegación de servicio (981832)
http://www.microsoft.com/spain/technet/security/Bulletin/MS10-024.mspx

Boletín de seguridad de Microsoft MS10-025 - Crítico
Una vulnerabilidad en Servicios de Microsoft Windows Media podría permitir la ejecución remota de código (980858)
http://www.microsoft.com/spain/technet/security/Bulletin/MS10-025.mspx

Boletín de seguridad de Microsoft MS10-026 - Crítico
Una vulnerabilidad en los códecs MPEG Layer-3 de Microsoft podría permitir la ejecución remota de código (977816)
http://www.microsoft.com/spain/technet/security/Bulletin/MS10-026.mspx

Boletín de seguridad de Microsoft MS10-027 – Crítico
Una vulnerabilidad en el Reproductor de Windows Media podría permitir la ejecución remota de código (979402)
http://www.microsoft.com/spain/technet/security/Bulletin/MS10-027.mspx

Boletín de seguridad de Microsoft MS10-028 - Importante
Vulnerabilidades en Microsoft Visio podrían permitir la ejecución remota de código (980094)
http://www.microsoft.com/spain/technet/security/Bulletin/MS10-028.mspx

Boletín de seguridad de Microsoft MS10-029 - Moderado
Una vulnerabilidad en el componente ISATAP de Windows podría permitir la suplantación de personalidad (978338)
http://www.microsoft.com/spain/technet/security/Bulletin/MS10-029.mspx

lunes, 12 de abril de 2010

Martes 13 de abril, día de actualizaciones

Este martes 13 puede ser un día de mucho trabajo para un gran número de administradores, se espera la publicación de actualizaciones críticas para los productos de Microsoft, Oracle (incluyendo Solaris) y Adobe.

Estamos acostumbrados a que los segundos martes de cada mes se publiquen las actualizaciones de Microsoft. Pero este mes además de los boletines de Microsoft coinciden las actualizaciones de Adobe y de los productos de Oracle, que tras su compra de Sun ahora también incluye actualizaciones de Solaris dentro de sus actualizaciones trimestrales.

Microsoft ha anunciado que en esta ocasión se esperan 11 boletines de seguridad (cinco de ellos críticos). Afectan a toda la gama del operativo Windows, Office y Exchange y está programado corregir 25 vulnerabilidades (cinco de ellas reportadas por Hispasec) entre todos los boletines.

Oracle por su parte publicará un grupo de parches destinados a corregir un total de 47 vulnerabilidades. Entre ellos, 7 parches afectan a Oracle Database, 8 parches afectan a Oracle E-Bussines Suite y Aplicaciones y 16 parches afectan a la suite de productos Oracle Solaris (antes Sun Solaris).

Por último, Adobe planea publicar actualizaciones para Adobe Reader 9.3.1 para Windows, Macintosh y UNIX; Adobe Acrobat 9.3.1 para Windows y Macintosh; y Adobe Reader 8.2.1 y Acrobat 8.2.1 para Windows y Macintosh para solucionar un número no determinado de problemas críticos.


Antonio Ropero
antonior@hispasec.com


Más información:

una-al-dia (08/04/2010) Microsoft publicará 11 boletines el próximo martes
http://www.hispasec.com/unaaldia/4184/

una-al-dia (09/04/2010) Oracle publicará 47 parches de seguridad el próximo martes
http://www.hispasec.com/unaaldia/4185/

Security Advisory for Adobe Reader and Acrobat
http://www.adobe.com/support/security/bulletins/apsb10-09.html

domingo, 11 de abril de 2010

Elevación de privilegios en IBM Systems Director

Se ha confirmado la existencia de una vulnerabilidad en IBM Systems Director 6.1.2 que podría permitir a un usuario local elevar sus privilegios en los sistemas afectados.

IBM Systems Director es una herramienta que permite administrar y controlar servidores físicos y virtuales.

El problema reside en la incorrecta asignación de permisos de archivo para determinados ficheros. Un usuario local puede llegar a modificar archivos en el sistema para lograr la ejecución de código arbitrario con privilegios elevados.

IBM ha publicado la actualización APAR PM08236 para corregir este problema, que también quedará solucionado en la versión 6.1.2.3 del agente.


Antonio Ropero
antonior@hispasec.com


Más información:

PM08236: UNPRED-HLIC APAR FOR IBM SYSTEMS DIRECTOR DEVELOPMENT DEFECT FIX. 145717
http://www-01.ibm.com/support/docview.wss?uid=isg1PM08236

sábado, 10 de abril de 2010

0-day: Inyección arbitraria de parámetros a través de Java Deployment Toolkit

Tavis Ormandy, reputado investigador y empleado de Google, ha publicado un aviso de seguridad en la lista de Full Disclosure donde describe un método para inyectar parámetros arbitrarios a través de Java Deployment Toolkit.

Se trata de un 0-day que podría permitir a un atacante remoto ejecutar una aplicación java arbitraria, desde una ubicación controlada por el atacante y sin más restricciones que las aplicadas a una aplicación java lanzada por el propio usuario.

Java Deployment Toolkit provee de un objeto Javascript que facilita a los desarrolladores Java el despliegue de aplicaciones abstrayendo las particularidades de cada navegador y versión del JRE instalado por el usuario.

El Java Deployment Toolkit viene incorporado y se instala por defecto en el JRE a partir de la actualización 10 de la versión 6. Para Internet Explorer es un objeto ActiveX a invocar y para los navegadores que lo soporten es un plugin de arquitectura NPAPI asociado a un tipo MIME (en realidad hay dos versiones del tipo MIME asociado, ya que se actualizó la denominación haciéndolo más descriptivo).

Una vez cargado, el objeto Javascript "deployJava" ofrece una serie de métodos que, como ya se ha comentado, facilitan al desarrollador el despliegue de aplicaciones en el cliente. Entre estos, Ormandy descubrió que el método "launch" no valida correctamente la URL pasada como parámetro.

Dicho parámetro debería contener una cadena con una URL hacia un archivo .jnlp, que contiene información para el despliegue de una aplicación Java Web Start. Sin embargo, al no ser validada correctamente, se pasa tal cual a "javaws" (básicamente el ejecutable que carga la aplicación Java Web Start).

javaws admite entre sus parámetros una opción '-J' para pasar argumentos a la máquina virtual, Ormandy en su prueba de concepto usó el parámetro de la máquina virtual "-jar", que insta a la misma a ejecutar una aplicación Java empaquetada en un jar. Ormandy usó una ruta UNC hacia un jar que lanza la calculadora de Windows (el HelloWorld en la explotación de vulnerabilidades).

Se da la circunstancia de que el investigador español Ruben Santamarta tenía conocimiento del 0-day semanas antes de la publicación por parte de Ormandy. Santamarta incluso llegó más lejos descubriendo adicionalmente dos parámetros de línea de comandos no documentados que soportan los ejecutables "java.exe" y "javaws.exe", máquina virtual y Java Web Start respectivamente, y que permiten la inyección de una dll remota.

En este momento Oracle, la ahora propietaria de toda la tecnología de Sun tras su compra, no se ha pronunciado de manera oficial y no existen recomendaciones del fabricante. Ambos investigadores ofrecen indicaciones para mitigar las vulnerabilidades en sus respectivos avisos.


David García
dgarcia@hispasec.com



viernes, 9 de abril de 2010

Oracle publicará 47 parches de seguridad el próximo martes

Siguiendo con el calendario trimestral de publicación de actualizaciones de seguridad, Oracle publicará el próximo martes 13 de abril un grupo de parches que corrigen un total de 47 vulnerabilidades.

Se trata así de un día crítico para muchos administradores ya que coincide con la publicación de 11 boletines de seguridad de Microsoft.

En esta ocasión cabe reseñar la inclusión del sistema operativo Solaris, el cual, tras la compra de Sun por parte de Oracle pasa a integrarse dentro del calendario de publicaciones trimestrales.

A continuación ofrecemos una relación de productos y número de vulnerabilidades corregidas.

Siete parches afectan a Oracle Database. Ninguna de las vulnerabilidades podrían ser explotadas por un atacante remoto sin autenticar. Los componentes afectados son: Change Data Capture, Core RDBMS, JavaVM, Oracle XDB, RDBMS Security y XML DB.

Cinco parches afectan a Oracle Fusion Middleware. Todas las vulnerabilidades podrían ser explotadas por un atacante remoto sin autenticar. Los componentes afectados son: Oracle Internet Directory y Portal.

Un parche afecta a Oracle Collaboration Suite. La vulnerabilidad podría ser explotada por un atacante remoto sin autenticar. El componente afectado es el interfaz de usuario.

Ocho parches afectan a Oracle E-Bussines Suite y Aplicaciones. Seis de las vulnerabilidades podrían ser explotadas por un atacante remoto sin autenticar. Los componentes afectados son: E-Bussines Intelligence, Agile Engineering Data Management, Application Object Library, HRMS, iStore, Transportation Management, Workflow Cartridge.

Cuatro parches afectan a Oracle PeopleSoft Enterprise y JD Edwards EnterpriseOne. Dos de las vulnerabilidades podrían ser explotadas por un atacante remoto sin autenticar. Todas afectan al componente PeopleTools.

Seis parches afectan a Oracle Industry Suite. Todas las vulnerabilidades podrían ser explotadas por un atacante remoto sin autenticar. Los componentes afectados son: Communications Unified Inventory Management, Clinical Remote Data Capture Option, Thesaurus Management System, Retail Markdown Optimization, Retail Place In-Season y Retail Plan In-Season.

16 parches afectan a la suite de productos Oracle Solaris. Ocho de las vulnerabilidades podrían ser explotadas por un atacante remoto sin autenticar. Los componentes afectados son: Solaris, Sun Cluster, Sun Convergence, Sun Java System Access Manager, Sun Java System Communications Express, Sun Java System Directory Server, Sun Management Center y Sun Ray Server Software.


David García
dgarcia@hispasec.com


Más información:

Oracle Critical Patch Update Pre-Release Announcement - April 2010
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuapr2010.html

jueves, 8 de abril de 2010

Microsoft publicará 11 boletines el próximo martes

En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan 11 boletines de seguridad. Afectan a toda la gama del operativo Windows, Office y Exchange. Pueden contener un número indeterminado de vulnerabilidades, aunque está programado corregir 25 vulnerabilidades (cinco de ellas reportadas por Hispasec) entre todos los boletines. Hace más de un año que no se publicaban actualizaciones para Exchange.

Si en marzo se publicaron solo dos boletines de seguridad dentro del ciclo habitual, más un tercero de emergencia dedicado a Internet Explorer que fue emitido poco después,, este mes Microsoft prevé publicar 11 el próximo 13 de abril. Se confirma la tendencia que últimamente sigue Microsoft, en la que un mes se publican entre dos y cuatro boletines y al siguiente ciclo suelen dispararse a más de diez. Se consideran críticos cinco de ellos.

Adicionalmente, y como viene siendo habitual, Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool. Además, se publicarán actualizaciones de alta prioridad no relacionadas con la seguridad.

Parece que por fin se corregirá un fallo en SMB que permite provocar una denegación de servicio en el sistema, y que reconoció el 13 de noviembre de 2009.

Los parches anunciados están sujetos a cambios, por tanto, no se garantiza que no se produzcan cambios de última hora.

Hispasec Sistemas publicará puntualmente a través de este boletín información detallada sobre los nuevos parches.


Sergio de los Santos
sergio@hispasec.com


Más información:

Microsoft Security Bulletin Advance Notification for April 2010
http://www.microsoft.com/technet/security/Bulletin/MS10-apr.mspx

miércoles, 7 de abril de 2010

Vulnerabilidad en IBM WebSphere Portal

IBM ha anunciado la existencia de una vulnerabilidad en IBM WebSphere Portal versiones 6.1.0.2 y anteriores.

IBM WebSphere Portal ofrece una aplicación compuesta o infraestructura de "mashup" empresarial y las herramientas para crear soluciones basadas en SOA (Arquitectura Orientada a Servicios). WebSphere Portal contiene una amplia variedad de tecnologías destinadas a desarrollar y mantener portales B2C, B2B y B2E.

El problema se sabe que está relacionado con el proceso de login, sin embargo IBM no ha facilitado más detalles sobre el problema, por lo que se desconoce tanto el impacto como los posibles vectores de ataque.

Se recomienda actualizar a IBM WebSphere Portal versión 6.1.0.3 Cumulative Fix 03:
http://www.ibm.com/eserver/support/fixes/fixcentral/swgquickorder?apar=PM09968&productid=WebSphere%20Portal&brandid=5
o aplicar el APAR PM08667:
http://www.ibm.com/eserver/support/fixes/fixcentral/swgquickorder?apar=PM08667&productid=WebSphere%20Portal&brandid=5


Antonio Ropero
antonior@hispasec.com


Más información:

PM08667: LOGIN VULNERABILITY
http://www-01.ibm.com/support/docview.wss?uid=swg1PM08667

martes, 6 de abril de 2010

Denegación de servicio en kadmind de MIT Kerberos

Se ha anunciado una vulnerabilidad remota de denegación de servicio en el demonio de administración de MIT Kerberos (kadmind) versiones krb5-1.5 hasta krb5-1.6.3.

El problema reside en versiones antiguas de MIT Kerberos krb5 (krb5-1.5 a la krb5-1.6.3) debido a la referencia a memoria liberada. Un usuario remoto y autenticado puede explotar este problema mediante el uso de una nueva versión del protocolo kadmin que el soportado por el servidor.

Se trata de una vulnerabilidad en la implementación de MIT krb5, y no del propio protocolo Kerberos. El problema no se presenta en versiones modernas de MIT krb5.

Se ha publicado una versión krb5-1.7 que corrige el problema y también un parche disponible en:
http://web.mit.edu/kerberos/advisories/2010-003-patch.txt


Antonio Ropero
antonior@hispasec.com


Más información:

denial of service in kadmind in older krb5 releases
http://web.mit.edu/kerberos/advisories/MITKRB5-SA-2010-003.txt

lunes, 5 de abril de 2010

Vulnerabilidad en ACLs de Apple AirPort Utility

Se ha anunciado una vulnerabilidad en Apple AirPort Utility con versiones anteriores a 5.5.1, que un atacante podría emplearla para evitar restricciones de seguridad.

El problema reside en un error en listas de control de acceso (ACLs) con direcciones MAC debido a que no se propagan de forma adecuada a los extensores de red. Usuarios no autorizados podrían llegar a emplear este problema para acceder a una red restringida por listas de acceso vía MAC.

Se recomienda actualizar a Apple AirPort Utility versión 5.5.1 desde:
http://support.apple.com/downloads/


Antonio Ropero
antonior@hispasec.com


Más información:

About the security content of AirPort Base Station Update 2010-001
http://support.apple.com/kb/HT3958

domingo, 4 de abril de 2010

Nuevos contenidos en la Red Temática CriptoRed (marzo de 2010)

Breve resumen de las novedades producidas durante el mes de marzo de 2010 en CriptoRed, la Red Temática Iberoamericana de Criptografía y Seguridad de la Información.

1. NUEVOS DOCUMENTOS PARA DESCARGA LIBRE DESDE CRIPTORED EN EL MES DE
MARZO DE 2010
* Capítulo 2 Protocolos de Comunicación del Libro Electrónico El
Atacante Informático (Jhon César Arango, PDF, 43 páginas, Colombia)
http://www.criptored.upm.es/guiateoria/gt_m414a.htm
* Conferencia Seguridad de las Comunicaciones en la Futuras Redes
Vehiculares (Pino Caballero Gil, PDF, 58 diapositivas, España)
http://www.criptored.upm.es/paginas/docencia.htm#catedraTASSI2010_pcg
* Conferencia Confianza en la Sociedad de la Información en España
(Víctor M. Izquierdo, PDF, 78 diapositivas, España)
http://www.criptored.upm.es/paginas/docencia.htm#catedraTASSI2010_vmil

2. DOCUMENTACIÓN MULTIMEDIA PRODUCIDA POR LA CÁTEDRA UPM APPLUS+ EN
MARZO DE 2010
Vídeos del Cuarto Día Internacional de la Seguridad de la Información
DISI 2009 (España)
* Inauguración DISI 2009
http://www.criptored.upm.es/paginas/docencia.htm#catedraDISI2009Inauguracion
* Conferencia Hashing Aleatorio: Firmas Digitales Seguras sin
Resistencia a Colisiones. D. Hugo Krawczyk.
http://www.criptored.upm.es/paginas/docencia.htm#catedraDISI2009Krawczyk
* Coloquio Tendencias en Malware. Participan D. José Bidot, D. Ero
Carrera, D. Emilio Castellote
http://www.criptored.upm.es/paginas/docencia.htm#catedraDISI2009ColoquioTendenciasMalware
* Coloquio Mitos y Realidades en Hacking. Participan D. Luis Guillermo
Castañeda, D. Chema Alonso, D. Alejandro Ramos, D. Rubén Santamarta
http://www.criptored.upm.es/paginas/docencia.htm#catedraDISI2009ColoquioMitosRealidadesHacking
* Clausura DISI 2009
http://www.criptored.upm.es/paginas/docencia.htm#catedraDISI2009Clausura
Vídeos del Seminario sobre la Ley de Economía Sostenible: Derechos,
Obligaciones y Libertades en Internet
* Inauguración Seminario LES
http://www.criptored.upm.es/paginas/docencia.htm#catedraSeminarioLES2010inauguracion
* Política (punto) cero. D. Víctor Domingo
http://www.criptored.upm.es/paginas/docencia.htm#catedraSeminarioLES2010VictorDomingo
* Artistas y ciudadanos plantean soluciones legales y prácticas: la
carta por la innovación, la creatividad, el acceso al conocimiento y
otras herramientas. Dña. Simona Levi
http://www.criptored.upm.es/paginas/docencia.htm#catedraSeminarioLES2010SimonaLevi
* Propiedad intelectual versus derechos de los internautas: un problema
global, no local. D. Olof Sandstrom
http://www.criptored.upm.es/paginas/docencia.htm#catedraSeminarioLES2010OlofSandstrom
* ¿Libertad o propiedad? Antorchas en la Biblioteca. D. Carlos Sánchez
Almeida
http://www.criptored.upm.es/paginas/docencia.htm#catedraSeminarioLES2010CarlosSanchezAlmeida
* Coloquio sobre Ley de Economía Sostenible e Internet. Intervienen Dña.
Dña. Simona Levi, D. Olof Sandstrom de Arsys y D. Carlos Sánchez Almeida
http://www.criptored.upm.es/paginas/docencia.htm#catedraSeminarioLES2010Coloquio
* Clausura Seminario LES
http://www.criptored.upm.es/paginas/docencia.htm#catedraSeminarioLES2010Clausura

3. DOCUMENTOS RECOMENDADOS PARA DESCARGA LIBRE DESDE OTROS SERVIDORES EN
MARZO DE 2010
* Informe de la Red de Sensores de INTECO del Mes de Febrero de 2010
(España)
https://ersi.inteco.es/informes/informe_mensual_201002.pdf
* RSA Conference 2010 - La apuesta de los fabricantes en el Blog
IT-Insecurity (Jeimy Cano, Colombia)
http://insecurityit.blogspot.com/2010/03/rsa-conference-2010-la-apuesta-de-los.html

4. RELACION DE CONGRESOS POR ORDEN CRONOLOGICO DE CELEBRACION
* Abril 7 al 10 de 2010: 6th International Conference on Web Information
Systems and Technologies WEBIST (Valencia - España)
* Abril 27 al 29 de 2010: XXI Congreso Español de Seguridad de la
Información Securmática Organizado por la Revista SIC (Madrid - España)
* Junio 15 al 16 de 2010: European Workshop on Smart Objects: Systems,
Technologies and Applications RFID-SysTech 2010 (Ciudad Real - España)
* Junio 16 al 18 de 2010: X Jornada Nacional de Seguridad Informática
ACIS 2010 (Bogotá - Colombia)
* Junio 16 al 19 de 2010: V Conferencia Ibérica de Sistemas y
Tecnologías de Información CISTI 2010 (Santiago de Compostela - España)
* Junio 20 al 23 de 2010: Mexican Meeting on Informatics Security M2IS
2010 (Guadalajara - México)
* Julio 22 al 24 de 2010: International Conference on the Business and
Digital Enterprises ICBDE 2010 (Bangalore - India)
* Julio 26 al 28 de 2010: International Conference on Security and
Cryptography SECRYPT (Atenas - Grecia)
* Agosto 8 al 11 de 2010: First International Conference on Cryptology
and Information Security LatinCrypt 2010 (Puebla - México)
* Agosto 30 a septiembre 3 de 2010: 7th International Conference on
Trust, Privacy an Security in Digital Business TrustBus '10 (Bilbao -
España)
* Agosto 30 a septiembre 3 de 2010: Workshop de Seguridad Informática
2010 en 39 edición de JAIIO (Buenos Aires - Argentina)
* Septiembre 8 al 10 de 2010: XI Reunión Española sobre Criptología y
Seguridad de la Información RECSI 2010 (Tarragona - España)
* Septiembre 22 al 24 de 2010: Privacy in Statistical Databases PSD 2010
de la UNESCO Chair in Data Privacy (Corfú - Grecia)
* Septiembre 22 al 24 de 2010: 5ta Conferencia de la Asociación EATIS
2010 en la UTP (Ciudad de Panamá - Panamá)
Más información en:
http://www.criptored.upm.es/paginas/eventos.htm#Congresos

5. FUE NOTICIA EN LA RED TEMÁTICA DURANTE EL MES DE MARZO DE 2010
* Segunda Edición de las Conferencias Gratuitas ISSA de Seguridad en
Madrid el 15 de abril (España)
* Jornada Gratuita de Seguridad Las Redes Sociales Oportunidades y
Riesgos (España)
* Seminario Gratuito Buen Gobierno en la Práctica y en las Universidades
en Madrid (España)
* Resúmenes de las Conferencias Presentadas en el Congreso Rooted CON
Celebrado en Madrid en Security By Default (España)
* Primera Jornada del Estado del Arte de la Seguridad. El Rol del CSO el
15 de abril (Perú)
* Calendario del Segundo Trimestre 2010 de Virtual Hands On Lab de
Microsoft e Informatica64 (España)
* Creado el Canal CriptoRed en Twitter
Para acceder al contenido de estas noticias:
http://www.criptored.upm.es/paginas/historico2010.htm#mar10

6. OTROS DATOS DE INTERES EN LA RED TEMATICA
* Número actual de miembros en la red: 821 (217 universidades y 304
empresas)
http://www.criptored.upm.es/paginas/particulares.htm
* Estadísticas: 37.500 visitas, con 115.000 páginas solicitadas y 42,00
GigaBytes servidos en marzo de 2010 (estimados el 30/03/2010)
http://www.criptored.upm.es/estadisticas/awstats.www.criptored.upm.es.html


Jorge Ramió Aguirre
Coordinador Red Temática Iberoamericana CriptoRed


Más información:

marzo 2010
http://www.criptored.upm.es/paginas/historico2010.htm#mar10

sábado, 3 de abril de 2010

Mozilla corrige la vulnerabilidad para Firefox presentada en el Pwm2Own 2010

Mozilla ha publicado una actualización de seguridad para el navegador Firefox que corrige una vulnerabilidad que podría permitir a un atacante remoto ejecutar código arbitrario.

La vulnerabilidad se publicó en el Pwm2Own, un concurso dentro del contexto de la conferencia de seguridad CanSecWest, donde se compite por ser el primero en explotar los principales navegadores y teléfonos móviles.

Un investigador alemán de MWR InfoSecurity llamado Nils encontró una vulnerabilidad en Firefox concretamente un fallo de corrupción de memoria al mover nodos de un árbol DOM entre documentos.

Nils encontró una forma de mover un nodo reteniendo el ámbito anterior y provocando que el objeto fuese liberado erróneamente en cierto instante durante la recolección de memoria, posteriormente se usa el puntero lo que posibilita la ejecución de código arbitrario.

Nils también fue el mismo que gano los premios correspondientes a Internet Explorer, Firefox y Safari de la edición del Pwm2Own de 2009.

La vulnerabilidad con CVE-2010-1121 ha sido corregida en la versión 3.6.3. Mozilla ha informado que aunque la vulnerabilidad solo está presente en la rama 3.6 publicará un parche para la 3.5 ya que podría llegar a ser factible, mediante una forma alternativa a la presentada, explotar la vulnerabilidad.


David García
dgarcia@hispasec.com


Más información:


Re-use of freed object due to scope confusion - MSFA-2010-25
http://www.mozilla.org/security/announce/2010/mfsa2010-25.html

viernes, 2 de abril de 2010

Actualización de seguridad para Foxit Reader

Foxit ha publicado la versión 3.2.1 de su lector de documentos PDF. Esta versión corrige un fallo de diseño que podría permitir a un atacante incrustar un archivo binario en un documento PDF y proceder a su ejecución una vez abierto el documento por el usuario.

Foxit Reader es un lector PDF alternativo al extendido Adobe Reader. El lector de Foxit ha experimentado en los últimos tiempos un crecimiento notable de su base de usuarios; en parte debido a los continuos problemas de seguridad del de Adobe.

El error fue descubierto por Didier Stevens, experto en seguridad y gran conocedor de los entresijos del formato PDF, mientras efectuaba una prueba de concepto tratando de saltarse la protección frente a ejecutables incrustados de ambos lectores PDF.

Aunque en un principio los lectores PDF no permiten ejecutar un binario o script incrustado en el documento, Didier consiguió evadir mediante una técnica propia dicha protección consiguiendo ejecutar el contenido incrustado.

En el lector de Adobe se encontró una protección adicional, ya que aunque permite la ejecución muestra antes un dialogo de advertencia al usuario. Dicho cuadro de dialogo no está presente en Foxit Reader el cual pasa a la ejecución directamente.

Didier también apunta que deshabilitar Javascript en los lectores no previene ante la ejecución ya que se trata de "una forma creativa de usar la propia especificación del formato" y no de la explotación de una vulnerabilidad en concreto.


David García
dgarcia@hispasec.com


Más información:

Escape from PDF
http://blog.didierstevens.com/2010/03/29/escape-from-pdf/

Escape from Foxit Reader
http://blog.didierstevens.com/2010/03/31/escape-from-foxit-reader/

Foxit Reader
http://www.foxitsoftware.com/downloads/index.php

jueves, 1 de abril de 2010

Apple publica actualización para corregir 88 vulnerabilidades

Apple ha lanzado recientemente una nueva actualización de seguridad para su sistema operativo Mac OS X versiones 10.5 y 10.6 que solventa 88 vulnerabilidades que podrían ser aprovechadas por un atacante local o remoto con múltiples efectos.

Esta es la segunda gran actualización del año (con el código 2010-002). Los componentes y software afectados son: AppKit, Application Firewall, AFP Server, Apache, ClamAV, CoreAudio, CoreMedia, CoreTypes, CUPS, curl, Cyrus IMAP, Cyrus SASL, DesktopServices, Disk Images, Directory Services, Dovecot, Event Monitor, FreeRADIUS, FTP Server, iChat Server, ImageIO, Image RAW, Libsystem, Mail, Mailman, MySQL, OS Services, Password Server, perl, PHP, Podcast Producer, Preferences, PS Normalizer, QuickTime, Ruby, Server Admin, SMB, Tomcat, unzip, vim, Wiki Server, X11 y xar.

Las actualizaciones pueden ser instaladas a través de la funcionalidad de actualización (Software Update) de Mac OS X o, según versión y plataforma, descargándolas directamente desde:
http://support.apple.com/downloads/
Dada la gravedad y elevado número de vulnerabilidades corregidas se recomienda la actualización del sistema con la mayor brevedad posible.


Antonio Ropero
antonior@hispasec.com


Más información:

Acerca del contenido de seguridad de la actualización de seguridad 2010-002 / Mac OS X v10.6.3
http://support.apple.com/kb/HT4077?viewlocale=es_ES