miércoles, 31 de agosto de 2011

DDoS aprovechando los servidores de Google+

El grupo llamado IHTeam ha desvelado una forma de utilizar la infraestructura de servidores de Google para realizar ataques de denegación de servicio distribuido sin necesidad de poseer un gran ancho de banda.

En concreto se está utilizando la infraestructura de servidores dedicados a su red social (Google+), que son utilizados como Proxy para descargar ficheros. La utilización de estos servidores Proxy se puede realizar mediante dos URLs diferentes:

* https://plus.google.com/_/sharebox/linkpreview/?c=&t=1&_reqid=&rt=j

* https://images2-focus-opensocial.googleusercontent.com/gadgets/proxy?url=&container=focus

Cambiándoles ciertos parámetros ("c" para la primera URL y "url" para la segunda), se puede conseguir que en realidad, sea Google el que realice la petición a la URL indicada por parámetros. De esta forma, automatizando la petición paralela de varias de estas URLs mediante un script, como el que está disponible en la página de los autores, se podría conseguir generar un gran tráfico hacia el servidor que se desea atacar. Esto, sumado al gran ancho de banda que posee Google, facilitaría provocar ataques de denegación de servicio distribuidos, sin necesidad de una gran infraestructura.

Según las pruebas realizadas por este equipo, un ordenador atacante con un ancho de banda de 6 Mbps ha conseguido mediante estas peticiones que Google genere un tráfico en el servidor atacado de hasta 96 Mbps.

Otra ventaja de utilizar este método, es que realizando las peticiones a través de la primera URL, las direcciones IP de los equipos que están atacando que aparecerán en los archivos del log de la máquina objetivo, serán las de las máquinas de Google.

Según IHTeam, ellos mismos se pusieron en contacto con el centro de seguridad de Google el día 10 de agosto, y por lo que aparece en su blog, todavía no han recibido respuesta alguna.


Javier Rascón
jrascon@hispasec.com
Twiter: @jvrrascon


Más información:

Make requests through Google servers +DDoS
http://www.ihteam.net/advisory/make-requests-through-google-servers-ddos/

martes, 30 de agosto de 2011

Se detecta otro certificado falso de Google

Vuelve a ocurrir. Se ha detectado otro certificado fraudulento que pretende legitimar páginas falsas de Google. Una entidad de confianza ha firmado un certificado falso, lo que permite que se suplanten las páginas del buscador o que el tráfico cifrado en realidad sea visto por un tercero.

Certificados y modelo de confianza 

Cualquiera puede generar un par de claves públicas y privadas con OpenSSL asociadas a cualquier dominio. Sin embargo, si el dominio no pertenece a la persona o empresa que envía la petición a la entidad
certificadora, no será validado y por tanto, no poseerá un certificado "de confianza". Los navegadores y otros programas no lo mostrarán como válido.

Lo que ha ocurrido (otra vez) es que la empresa DigiNotar ha firmado (no se sabe cómo ni por qué) un certificado falso de forma que se mostrará como válido para Google y cualquier subdominio (*.google.com). Si de alguna forma, el atacante consigue redirigir a la víctima a otro servidor "google.com" envenenando sus DNS o con cualquier otro método, llegará a un servidor falso que el navegador mostrará válido por SSL. El
atacante habrá instalado en él la clave privada. También es posible que se interponga en la cadena de validación sin llamar la atención (porque está validado) y descifre la comunicación antes de desviar al servidor original de Google.

El atacante debe, como he mencionado, redirigir al usuario a otro servidor. Lo inquietante es que para conseguir esto y completar el engaño, podrían estar implicados los ISP de un país entero.

Esto es prácticamente la misma situación que ocurrió con Comodo a finales de marzo de este mismo año. Entonces, los principales navegadores se apresuraron a revocar el certificado. Ahora también.
Microsoft no ha revocado el certificado, sino que lo ha eliminado de su lista de confianza. Quizás acabe revocado. Desde 2001, sólo se han revocado certificados de forma global y oficial dos veces (2001 y 2011).

Cómo protegerse

Al parecer el ataque viene de Irán. No está de más revocar la confianza a toda la entidad certificadora. Este tipo de autoridades de certificación venden confianza, y estos ataques merman su negocio dinamitando precisamente esta base. Es posible saber si se confía en todo lo que firme DigiNotar buscándolo en el repositorio de certificados (certmgr.msc, "Buscar certificados").




Chrome y Mozilla publicarán una actualización en breve. Microsoft ha publicado un aviso en el que afirma que ya no existe el certificado de DigiNotar en su lista de certificados "confiables" de raíz en sus
versiones post-XP. Para XP y 2003, no han publicado actualización, pero no es necesario, se puede hacer a mano. Esto sirve para cualquier sistema operativo. El certificado de DigiNotar con el que se ha firmado
el certificado falso, está disponible desde:


http://www.diginotar.nl/LinkClick.aspx?fileticket=lSCwDq6q038%3d&tabid=308

El certificado falso en sí, se ha colgado en http://pastebin.com/ff7Yg663. Si se almacenan ambos archivos en formato X.509 (con extensión .cer) y se importan, se podrá comprobar que uno valida al otro.



Se pueden revocar, por ejemplo en Windows, añadiéndolos a la rama de certificados en los que no se confía.




Por supuesto, esto solo tiene utilidad si más tarde, el usuario hace caso a los avisos de certificados inválidos que muestran los navegadores.


Sergio de los Santos
ssantos@hispasec.com
Twitter: @ssantosv


Más información:

Fraudulent Digital Certificates Could Allow Spoofing
http://www.microsoft.com/technet/security/advisory/2607712.mspx

Is This MITM Attack to Gmail's SSL ?
http://www.google.com/support/forum/p/gmail/thread?tid=2da6158b094b225a&hl=en

lunes, 29 de agosto de 2011

Salto de restricciones a través de 'EPS_DELETE_FILE' en SAP Netweaver

SAP Netweaver, plataforma de tecnología integrada para todas las aplicaciones SAP en el plano técnico, ha publicado un fallo en su producto ABAP a través del cual sería posible evadir restricciones.

Un atacante con acceso a la función 'EPS_DELETE_FILE' le permitiría realizar un salto de restricciones y así eliminar ficheros remotamente escalando directorios. También apoderarse de los hashes de las contraseñas SAP en un servidor Windows, a través de un ataque SMB Relay y llamadas a la función 'EPS_DELETE_FILE' especialmente manipuladas. El atacante se ayudaría de las cuentas de usuario por defecto: TMSADM o SAPCPIC.

Este fallo ha sido descubierto por Alexey Sintsov, miembro del grupo de investigación Digital security. Ha creado un exploit disponible tanto en la versión comercial de ERPScan security scanner así como en la herramienta de pentesting ERPScan,

Por otro lado SAP ha publicado los parches necesarios para poder corregir esta vulnerabilidad en la SAP Security Note 1554030


Borja Luaces
bluaces@hispasec.com


Más información:

[DSECRG-11-031] SAP RFC EPS_DELETE_FILE - Authorisation bypass, smbrelay
http://dsecrg.com/pages/vul/show.php?id=331

domingo, 28 de agosto de 2011

Ejecución de código en CUPS

Se han publicado un par de fallos en CUPS que podrían permitir a un atacante ejecutar código arbitrario en remoto.
CUPS son las siglas de Common Unix Printing System, un sistema de impresión desarrollado por Michael Sweet, dueño de Easy Software Products, para sistemas operativos tipo UNIX. Posteriormente fue adoptado por Apple para su sistema operativo Mac OS X.

Estas vulnerabilidades permitirían la ejecución remota de código si el atacante envía a imprimir una imagen en formato GIF especialmente manipulada. Provocaría un desbordamiento de memoria intermedia basada en pila cuando se procesan imágenes en la función gif_read_lzw del fichero filter/image-gif.c.

Estas vulnerabilidades son muy similares entre sí y ya han sido previamente corregidas en otras implementaciones para otros programas que procesan imágenes GIF.

CUPS ya ha publicado una nueva versión del código fuente disponible en la web.


Borja Luaces
bluaces@hispasec.com


Más información:

STR #3914: cups: GIF reader loop, STR #3867 like
http://cups.org/str.php?L3914

STR #3867: cups: gif reader infinite loop and heap buffer overflow
http://cups.org/str.php?L3867

sábado, 27 de agosto de 2011

Actualización de seguridad para Google Chrome

Google ha publicado la versión 13.0.782.215 de su navegador Chrome para todas las plataformas. En esta ocasión se han corregido once vulnerabilidades, una considerada crítica, nueve de carácter alto y una como moderada.

Los errores encontrados han sido diversos: en el tratamiento de URLs, en el tratamiento de las cajas de texto, en las fuentes personalizadas, en el tratamiento de libxml XPath, violaciones con orígenes vacios, en el tratamiento de vértices, en la búsqueda de texto, en las matrices uniformes, en el tratamiento de pdfs y en v8.

Según la política de la compañía estas vulnerabilidades han supuesto un total de 8.837 dólares en recompensas a los descubridores de los problemas.

Chrome se actualizará automáticamente en los equipos así configurados.


Antonio Ropero
antonior@hispasec.com
Twitter: @aropero


Más información:

Stable Channel Update
http://googlechromereleases.blogspot.com/2011/08/stable-channel-update_22.html

viernes, 26 de agosto de 2011

Cross site scripting en phpMyAdmin

El conocido software escrito en PHP para la administración de bases de datos MySQL, es vulnerable a ataque cross site scripting.

El equipo de phpMyAdmin ha publicado una alerta informando de un fallo en la funcionalidad "structure snapshot" al no realizar correctamente la validación de los datos pasados a través de los parámetros tabla, columna e índice. Un atacante remoto podría ejecutar código JavaScript a través de una URL especialmente manipulada y de esta forma obtener, por ejemplo, la cookie de sesión del administrador.

La víctima debe usar Internet Explorer (versiones menores o iguales a la 8), para ejecutar código JavaScript a través de la funcionalidad de exportación de seguimiento, (tracking export, en tbl_tracking.php). Esto parece ser posible debido a que Internet Explorer finaliza la interpretación de los nombres de fichero en la cabecera adjunta cuando llega al primer punto y coma cuando intenta determinar el content-type. Un nombre de tabla especialmente manipulado, por ejemplo "test.html;", causaría el XSS.

La funcionalidad de seguimiento de informe, tracking report, también es vulnerable a otro XSS aunque en este caso, la explotación implica un token válido para poder realizar la manipulación de los parámetros de la URL. Por tanto, el atacante requiere de acceso a la base de datos de la víctima además de los permisos CREATE o ALTER TABLE. También debe poder habilitar la funcionalidad de seguimiento.

phpMyAdmin fue avisado el 26 de julio y ahora publica las soluciones. Se recomienda la actualización a las versiones 3.3.10.4 o 3.4.4, o bien aplicar los diferentes parches listados en la web de phpMyAdmin.


Borja Luaces
bluaces@hispasec.com


Más información:

phpMyAdmin Tracking XSS-Vulnerability
http://fd.the-wildcat.de/pma_e36aa9e2e0.php

PMASA-2011-13
http://www.phpmyadmin.net/home_page/security/PMASA-2011-13.php

jueves, 25 de agosto de 2011

Denegación de servicio en Apache a través de Range header

Se ha publicado un sencillo exploit que permite provocar una denegación de servicio en todas las versiones de Apache. Esto significa que se puede dejar sin servicio a los servidores web Apache con la configuración por defecto. De nuevo el responsable del descubrimiento ha sido Kingcope, que ha dado todos los detalles técnicos sin avisar previamente. En realidad el fallo se conocía desde 2007.

El día 19 de agosto, viernes, Kingcope hizo público un sencillo exploit en Perl que permitía provocar una denegación de servicio en Apache desde un solo sistema. Cuando menos, el rendimiento del servidor atacado se reducían considerablemente. Hacía mucho tiempo que no se publicaba un exploit que permitiese "echar abajo" un servidor entero desde un solo ordenador. Lo curioso es que Michal Zalewski descubrió algo muy parecido en enero de 2007. Usando un mismo vector de ataque, se conseguía un efecto diferente: Zalewski agotaba el ancho de banda, mientras que Kingcope consigue agotar los recursos físicos del servidor. Al no publicarse exploit entonces, sino simplemente explicar un comportamiento "extraño", no recibió demasiada atención.

No es la primera vez que Kingcope publica sin previo aviso. En septiembre de 2009 hizo público un fallo en IIS 5. En noviembre, una elevación de privilegios en FreeBSD y en julio, un grave problema en OpenSSH de FreeBSD. Siempre lleva hasta sus últimas consecuencias el "full disclosure" y suele enviar sin más a las listas de seguridad todos los detalles del problema. Con Apache no ha hecho una excepción.

La vulnerabilidad se encuentra en el módulo mod_deflate. Consiste en el agotamiento de recursos al crear múltiples peticiones con la cabecera Range manipulada. Según el exploit publicado se envía esta cabecera con la siguiente secuencia 0-,5-0,5-1,5-2...5-1299. Esto provoca que el servidor genere múltiples respuestas que son fragmentos de un mismo recurso, en definitiva, se trata de peticiones manipuladas de rangos de bytes de un mismo archivo o recurso a descargar. Además la petición se realiza con la cabecera "Accept-Enconding: gzip" que hace que el servidor vulnerable intente comprimir cada fragmento solicitado, consumiendo memoria y tiempo de procesador hasta que el proceso deja de responder.

"mod_deflate" es un módulo empleado por Apache para comprimir contenido antes de ser devuelto al cliente. Este módulo es instalado y habilitado por defecto en la instalación base de Apache.

No existe parche oficial por parte de Apache aunque sí que se han hecho públicos diferentes métodos para mitigar el ataque y la promesa de un parche en 48 horas (lo que acumularía una semana tras el aviso). Se recomienda seguir las contramedidas que describe Apache, disponibles en la dirección:

http://mail-archives.apache.org/mod_mbox/httpd-announce/201108.mbox/%3c20110824161640.122D387DD@minotaur.apache.org%3e


Borja Luaces
bluaces@hispasec.com

Sergio de los Santos
ssantos@hispasec.com
Twitter: @ssantosv


Más información:

Apache httpd Remote Denial of Service (memory exhaustion)
http://www.exploit-db.com/exploits/17696/

Revival of an Unpatched Apache HTTPD DoS
http://isc.sans.edu/diary.html?storyid=11449

miércoles, 24 de agosto de 2011

El cifrado AES, ¿está roto o no?

Un equipo de investigadores ha encontrado la primera vulnerabilidad en el estándar de cifrado AES reduciendo la longitud efectiva de la clave en 2 bits. Esto implica que las longitudes habituales de 128, 192 y 256 bits se han visto reducidas a 126, 190 y 254 bits. ¿Significa que está roto?

AES (Advanced Encryption Standard) es en realidad el algoritmo Rijndael, que pasó a ser un estándar de cifrado aprobado por el gobierno de los Estados Unidos en 2003 para cifrar información clasificada. En su versión de 128 bits está permitido para información "Secreta" mientras que para información "Top Secret" requiere claves de 192 o 256 bits. De hecho, fue el primero algoritmo público usado para cifrar información "Top Secret" gubernamental.

Andrey Bodgdanov de la universidad católica de Leuven, Christian Rechberger del ENS de París y Dmitry Khovratovich del departamento de investigación de Microsoft ya apuntan que el ataque no tiene una gran relevancia práctica. Aunque el descubrimiento es considerado un avance importante en la investigación de la seguridad del algoritmo AES, puesto que la experiencia dice que en ciertos algoritmos, se avanza "despacio" hasta romperlo. Esta vulnerabilidad ha sido confirmada por los desarrolladores de AES, Joan Daemen y Vincent Rijmen.

Los investigadores emplearon un ataque Meet-in-the-Middle, una aproximación que ha sido principalmente empleada con algoritmos de hashing, combinándolo con un ataque "Biclique". Este método ha permitido a los investigadores calcular la clave de un par texto plano/texto cifrado más rápidamente que empleando un ataque de fuerza bruta en el espacio total de la llave. O sea, se ha reducido el número de claves que deben ser probadas. La fuerza bruta total con clave de 128 bits serían 2^128 posibilidades. Con este ataque serían necesarias "solo" 2^126.

En el sentido estrictamente académico, en algoritmo está "roto" puesto que se ha reducido (aunque sea en 2 bits) el espacio de claves necesario para calcular la clave por fuerza bruta. Sin embargo, "roto" no significa que no pueda ser usado con seguridad todavía. Por ejemplo, un ataque contra una llave de 128 bits requiere diez millones de años empleando un parque de un billón de equipos probando cada uno de ellos un billón de claves. Al reducir en dos bits dicha clave, el tiempo se reduciría a 3 millones de años.

Hasta 2005, el único ataque que se conocía contra AES contemplaba una reducción del número de rondas de cifrado, o sea, una modificación en su implementación "artificial" que no suele encontrarse habitualmente. Los detalles del ataque fueron presentados en la conferencia CRYPTO 2011 y pueden ser descargados desde la web de investigación de Microsoft.


Borja Luaces
bluaces@hispasec.com

Sergio de los Santos
ssantos@hispasec.com
Twitter: @ssantosv


Más información:

Biclique cryptanalysis of the full AES
https://research.microsoft.com/en-us/projects/cryptanalysis/aes.aspx

martes, 23 de agosto de 2011

PHP 5.3.8 corrige un fallo introducido por la propia PHP 6 días atrás

El pasado día 17 de agosto, se publicaba la nueva versión estable (5.3.7) del popular lenguaje de programación PHP. Incluía la corrección de un error de seguridad en la función "crypt" al utilizarse para generar contraseñas con "sal" que podría causar un desbordamiento de memoria intermedia. Seis días después lanzan una nueva versión para corregir un error introducido en la corrección.

La función "crypt" de PHP, permite a los usuarios generar el hash de una cadena utilizando un algoritmo de cifrado. Acepta además un segundo valor que sería un valor hash (MD5, Blowfish o DES) que se usa de sal para la generación a su vez del hash de una contraseña. Los hashes de contraseñas con sal intentan evitar los ataques de diccionario. La versión 5.3.7 corregía un desbordamiento de de memoria intermedia en esta función.

Pero al corregir este error, el equipo de desarrollo de PHP ha introducido otro que, como mínimo, no permitía el correcto funcionamiento de la función y además introducía otro potencial problema de seguridad. En lugar de devolver el hash correcto calculado con la cadena, la función "crypt" devolvía el mismo valor de la sal ya introducido como segundo parámetro cuando se usaba una sal MD5. Si se utilizaba sal Blowfish o DES, se calculaba correctamente.

Ej:

printf("MD5: %s\n", crypt('password', '$1$U7AjYB.O$'));

Debía devolver: MD5: $1$U7AjYB.O$L1N7ux7twaMIMw0En8UUR1 pero en realidad devolvía: MD5: $1$U7AjYB.O$

Es destacable en este caso que el grave problema ha dejado a algunos usuarios con aplicaciones inservibles o bien totalmente expuestas, porque según se utilizase esta función, se validaría cualquier contraseña en ciertos escenarios.

PHP no ha tardado en reaccionar, y una vez identificado el error, han publicado una nueva revisión del código en el repositorio oficial, de forma que ya está disponible la versión estable 5.3.8, que soluciona este fallo.


Fernando Ramírez
framirez@hispasec.com


Más información:

crypt() returns only the salt for MD5
https://bugs.php.net/bug.php?id=55439

PHP 5.3.8 (Current stable)
http://php.net/downloads.php

lunes, 22 de agosto de 2011

Práctico: Cómo ocultar las extensiones de ficheros gracias a la codificación Unicode

No es algo nuevo pero últimamente, el malware se está aprovechando de esta característica especial de codificación que permite "engañar" al usuario para que crea que un archivo ejecutable no lo es, puesto que ciertos programas lo muestran de forma diferente. Vamos a ver cómo conseguir esto exactamente.

El objetivo del malware es (de toda la vida) intentar que se lance un fichero ejecutable en el sistema. La distribución por correo de estos binarios todavía goza de bastante éxito, así que los atacantes buscan nuevas formas de hacer pensar a la víctima que en realidad está lanzando un archivo inofensivo. Para conseguirlo, se están ayudando de un carácter especial de la codificación Unicode. Esta codificación está pensada para representar multitud de idiomas, incluidos los que se muestran de derecha a izquierda (como el árabe o hebreo). Para ellos, Unicode implementa una serie de códigos especiales llamados "Right to Left" (RTL). A todo lo escrito a partir de ese código Unicode, se le "dará la vuelta" cuando es representado, además de que el código en sí es invisible.

¿Qué ocurre si aprovechamos esta funcionalidad para los nombres de fichero? Pues que podemos hacer que un archivo "Presupuestoslx.cmd" (con extensión real .cmd, o sea, ejecutable) le aparezca al usuario como "Presupuestocmd.xls" en el explorador de Windows, en su cliente de correo... en todos los programas que soporten esta codificación. Veamos cómo y por qué.

En realidad, este nombre de archivo se ha "escrito" así: Presupuesto[U+202E]slx.cmd

Insertando el carácter invisible y especial [U+202E] en el punto exacto, pero Windows, lo mostrará (configurado para mostrar las extensiones... si se ocultan ni siquiera serían necesarias estas técnicas para disfrazar a los ejecutables): Presupuestodmc.xls

No todos los programas lo muestran igual. Por ejemplo en la siguiente imagen se observa que Total Commander lista el mismo fichero con su extensión real.



Y, lo que es peor, Windows lo tratará como indica su extensión original, esto es, como un ejecutable "cmd", lo que significa que lo ejecutará si se lanza. Otros ejemplos:

* Presupuesto[U+202E]cod.exe, Windows lo mostrará como Presupuestoexe.doc

* Presupuesto[U+202E]txt.exe, Windows lo mostrará como Presupuestoexe.txt

Si se modifica el icono del archivo (trivial), el engaño es total.

Cómo conseguirlo de forma práctica

Para construir el nombre, podemos ayudarnos de charmap.exe (el mapa de caracteres) en Windows. Copiamos y pegamos el carácter 202E en Unicode (que corresponde con el RTLO, Right to Left Override, aunque con otros caracteres se puede hacer) en el punto adecuado del nombre de archivo a la hora de renombrar, y se conseguirá el efecto.





Cuando se deja el puntero sobre el fichero, se observará que se "sombrea" de forma diferente. Las flechas de dirección al recorrerlo también estarán "cambiadas".





No sólo en las extensiones


Siempre que el programa soporte este tipo de codificación y no restringa el uso de RTL, es posible realizar algún tipo de engaño visual. Nuestro compañero José Mesa ha creado este correo en el que se engaña al usuario sobre el dominio de la dirección de correo a la que se responde. Por ejemplo, se recibe un email de moc.cesapsih@gmail.com, y al "responder a", el cliente lo hará a moc.liamg@hispasec.com. Para conseguirlo, simplemente se han usado uno de estos caracteres especiales en el fichero .eml para codificar la dirección. Hemos colgado el fichero aquí:


http://blog.hispasec.com/laboratorio/images/noticias/testUnicode.eml
Esta técnica es aplicable también a direcciones URL, por ejemplo.

En definitiva, nada nuevo. Esta funcionalidad se conoce desde hace tiempo pero sí es cierto que ahora, y sobre todo en China, parece que está siendo más aprovechado que nunca por los creadores de malware, puesto que no todas las soluciones de seguridad la tienen en cuenta... y por tanto resulta más "sencillo" eludir restricciones.


Sergio de los Santos
ssantos@hispasec.com
Twitter: @ssantosv

José Mesa Orihuela
jmesa@hispasec.com


Más información:

Unicode Security Considerations
http://unicode.org/reports/tr36/tr36-8.html

Unicode Character 'RIGHT-TO-LEFT OVERRIDE' (U+202E)
http://www.fileformat.info/info/unicode/char/202e/index.htm

How to enter Unicode characters in Microsoft Windows
http://www.fileformat.info/tip/microsoft/enter_unicode.htm

domingo, 21 de agosto de 2011

Actualización del kernel de Ubuntu

Se ha publicado una actualización del kernel de Ubuntu 8.04 LTS destinada a corregir nueve problemas de seguridad con diferentes impactos, incluyendo denegación de servicio, pérdidas de privacidad y hasta obtención de privilegios de root.

Los problemas están asociados a vulnerabilidades en el sistema de archivos /proc, en Bluetooth, el filtrado de red, la pila de red DCCP, dispositivos TPM, el subsistema IRDA y redes X.25.

Se recomienda actualizar a los paquetes versión 2.6.24-29.93, disponibles desde
https://launchpad.net/ubuntu/+source/linux/2.6.24-29.93


Antonio Ropero
antonior@hispasec.com
Twitter: @aropero


Más información:

Ubuntu Security Notice USN-1189-1
http://www.ubuntu.com/usn/usn-1189-1/

sábado, 20 de agosto de 2011

Vulnerabilidad en HP Easy Printer Care

Se ha anunciado una vulnerabilidad en el software HP Easy Printer Care 2.5 (y anteriores) que podría permitir a un atacante tomar el control de los sistemas afectados.

El software HP Easy Printer Care, compatible con un gran número de impresoras de la familia Laser Jet y Color Laser Jet de HP, está destinado a ayudar a los usuarios finales a realizar el mantenimiento de una impresora o un grupo de impresoras HP para que funcionen correctamente. Este software permite ver el estado de las impresoras HP, así como configurar alertas personalizadas de impresión y de consumibles.

La vulnerabilidad reside en un error de validación de entradas en el método "SaveXML()" de la clase XMLSimpleAccessor (HPTicketMgr.dll). Este problema podría permitir a un atacante crear archivos arbitrarios mediante secuencias de escalada de directorios (por ejemplo, al visitar una página web específicamente creada).

La versión afectada , no está soportada por HP, por lo que este fabricante recomienda su desinstalación de los sistemas. En caso contrario se recomienda asignar el kill bit para el control ActiveX vulnerable (CLSID) {466576F3-19B6-4FF1-BD48-3E0E1BFB96E9} . El kill bit se asigna modificando el valor de DWORD del CLSID del ActiveX a 0x00000400.


Antonio Ropero
antonior@hispasec.com
Twitter: @aropero


Más información:

HPSBPI02698 SSRT100404 rev.1 - HP Easy Printer Care Software Running on Windows, Remote Execution of Arbitrary Code
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c02949847

HP Easy Printer Care XMLSimpleAccessor Class ActiveX Control Remote Code Execution Vulnerability
http://www.zerodayinitiative.com/advisories/ZDI-11-261/

viernes, 19 de agosto de 2011

Desbordamiento de búfer en Symantec VERITAS Storage Foundation

Se ha descubierto una vulnerabilidad en Symantec Veritas Storage Foundation que podría permitir a un atacante remoto tomar el control de los sistemas afectados.

Veritas Storage Foundation de Symantec es una solución para la administración del almacenamiento en línea. Basado en los productos Veritas Volume Manager y Veritas File System, ofrece un conjunto estándar de herramientas destinadas a centralizar la administración de los datos, hardware de almacenamiento y la protección de los datos.

El problema reside en múltiples desbordamientos de búfer en el servicio Veritas Enterprise Administrator (vxsvc), que podrían permitir a un atacante remoto ejecutar código arbitrario con privilegios de administrador.

Se ven afectados múltiples productos de la familia Veritas Storage Foundation 5.1SP2 (y versiones anteriores) para plataformas HP-UX, AIX, Linux, Solaris y Windows.
Symantec ha publicado actualizaciones para todos los productos afectados, disponibles desde la página de descargas del aviso en:
http://www.symantec.com/docs/TECH165536


Antonio Ropero
antonior@hispasec.com
Twitter: @aropero


Más información:

Security Advisories Relating to Symantec Products - Symantec Veritas Enterprise Administrator service (vxsvc) buffer overflows
http://www.symantec.com/business/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=2011&suid=20110815_00

Symantec Veritas Enterprise Administrator service (vxsvc) multiple buffer overflows
http://www.symantec.com/docs/TECH165536

jueves, 18 de agosto de 2011

Actualización para Apple Mac OS X Lion

Apple ha publicado una actualización para su sistema operativo Mac OS X Lion 10.7 que incluye mejoras generales del sistema operativo que ofrecen mayor estabilidad y compatibilidad para los sistemas Mac.

Esta nueva versión OS X Lion v10.7.1 viene a resolver diferentes problemas, como la parada del sistema al reproducir un vídeo en Safari, un fallo del sistema de audio al usar HDMI o un cable óptico de audio y se soluciona un problema en que se puede perder la cuenta de administrador en la migración a OS X Lion.

Por último se ha aumentado la fiabilidad de la conexión WIFI, así como la solución a un problema que impide la transferencia de datos, configuraciones y aplicaciones a un nuevo Mac con OS X Lion.

Se recomienda la actualización a todos los usuarios de Mac OS X Lion, a través de la funcionalidad de actualización (Software Update en el menú Apple) de Mac OS X o, descargándolas directamente desde:
http://www.apple.com/support/downloads/


Antonio Ropero
antonior@hispasec.com
Twitter: @aropero


Más información:

About the OS X Lion v10.7.1 Update
http://support.apple.com/kb/HT4764

miércoles, 17 de agosto de 2011

Actualización de seguridad para QuickTime

Apple ha publicado una nueva versión de QuickTime (la 7.7), que solventa 16 problemas de seguridad en sus versiones para Windows y Mac OS.

Las vulnerabilidades están relacionadas con la reproducción de imágenes, vídeos o sonidos específicamente manipulados en múltiples formatos (algunas afectan en particular a los formatos Pict, JPEG2000, WAV, JPEG, GIF o H.264). Los problemas podrían provocar una denegación de servicio o permitir la ejecución remota de código arbitrario.

La actualización puede instalarse a través de las funcionalidades de actualización automática (Software Update) de Apple, o descargándolas directamente desde:
http://www.apple.com/quicktime/download/


Antonio Ropero
antonior@hispasec.com
Twitter: @aropero


Más información:

About the security content of QuickTime 7.7
http://support.apple.com/kb/HT4826

martes, 16 de agosto de 2011

RealNetworks publica actualización para RealPlayer

RealNetworks ha anunciado una actualización para corregir once vulnerabilidades en RealNetworks RealPlayer, que podrían permitir a un atacante comprometer los sistemas afectados.

Se ven afectadas las versiones RealPlayer 11.0 a 11.1, RealPlayer SP 1.0 a 1.1.5, RealPlayer 14.0.0 a 14.0.5, RealPlayer Enterprise 2.0 a 2.1.5 y RealPlayer para Mac 12.0.0.1569.

Los problemas afectan a diferentes aspectos del reproductor, incluyendo la reproducción de archivos QCP o Flash, etiquetas ID3 MP3, al ActiveX, a los cuadros de diálogo, al Elemento de Códificación de Audio Avanzado o a la actualización automática. Y la mayoría de los problemas podrían permitir la ejecución remota de código arbitrario y comprometer los sistemas afectados.

Se recomienda actualizar a las versiones RealPlayer 14.0.6 (para Windows XP, Vista y Win7), RealPlayer 12.0.0.1701 para Mac OS X 10.3 a 10.6 y RealPlayer Enterprise 2.1.6 (para Windows XP, Vista y Win7)


Antonio Ropero
antonior@hispasec.com
Twitter: @aropero


Más información:

RealNetworks, Inc. lanza una actualización de seguridad para resolver puntos vulnerables.
http://service.real.com/realplayer/security/08162011_player/es/

lunes, 15 de agosto de 2011

Vulnerabilidades en el servidor DNS de Windows

Dentro del conjunto de boletines de seguridad de agosto publicado el pasado martes por Microsoft y del que ya efectuamos un resumen, se cuenta el anuncio (en el boletín MS11-058) de dos vulnerabilidades (la más grave de carácter crítico) en el servidor DNS de Windows.

La vulnerabilidad más grave reside en la forma en que el servidor DNS de Windows trata en memoria una consulta NAPTR especialmente diseñada. Este problema podría permitir la ejecución remota de código en sistemas Windows Server 2008.

Un segundo problema consiste en una denegación de servicio debido a que el servidor DNS gestiona de forma incorrecta un objeto en memoria no inicializado. Esta vulnerabilidad afecta a Windows Server 2003 y 2008.

Se recomienda actualizar los sistemas afectados mediante Windows Update o descargando los parches según plataforma desde la página del boletín de seguridad:
http://www.microsoft.com/spain/technet/security/bulletin/MS11-058.mspx


Antonio Ropero
antonior@hispasec.com
Twitter: @aropero


Más información:

Boletín de seguridad de Microsoft MS11-058 - Crítico
Vulnerabilidades en el servidor DNS podrían permitir la ejecución remota de código (2562485)
http://www.microsoft.com/spain/technet/security/bulletin/MS11-058.mspx

domingo, 14 de agosto de 2011

Actualización del kernel para SuSE Linux Enterprise 10

SuSE ha publicado la actualización del kernel para SuSE Linux Enterprise Server y Desktop en su versión 10 SP4 en la que se corrigen 11 vulnerabilidades de diverso alcance.

Los problemas corregidos están relacionados con la implementación del protocolo Datagram Congestion Control Protocol (DCCP); compartidos CIFS; el sistema de archivos NFS; particiones LDM y con diferentes funciones en kernel/taskstats.c, drivers/char/agp/generic.c, fs/proc/array.c, kernel/pid.c y drivers/scsi/mpt2sas/mpt2sas_ctl.c.

Los problemas podrían permitir evitar restricciones de seguridad, obtener información sensible, elevar los privilegios del usuario, realizar ataques de denegación de servicio, o ejecución de código arbitrario.

Se recomienda actualizar a la última versión del kernel, disponible a través de la herramienta automática YaST con el módulo "Online Update" o con la herramienta de línea de comando "zypper".


Antonio Ropero
antonior@hispasec.com
Twitter: @aropero


Más información:

[security-announce] SUSE Security Announcement: Linux kernel (SUSE-SA:2011:034)
http://lists.opensuse.org/opensuse-security-announce/2011-08/msg00010.html

sábado, 13 de agosto de 2011

Revelación de información sensible en Apache Tomcat

Apache Software Foundation ha hecho pública la resolución de una nueva vulnerabilidad en Apache Tomcat. Esta vulnerabilidad con el CVE-2011-2729 (afecta a las versiones 5, 6 y 7), y queda definida con un nivel de severidad de "Importante" al permitir la revelación de información sensible.

Apache Tomcat es un servidor web que funciona como contenedor de servlets, desarrollado en código abierto por la Apache Software Foundation. Tomcat implementa las especificaciones de las tecnologías servlets Java y de páginas JSP.

Debido a un error en las políticas de seguridad del servicio jsvc se permitiría a las aplicaciones web tener acceso a ficheros y directorios pertenecientes al superusuario.

Esta situación sólo se daría si la instalación de Tomcat está bajo un sistema operativo Linux, el servicio jsvc fue compilado con libcap y se utilizó el parámetro -user.

Se recomienda actualizar Tomcat y aplicar las contramedidas necesarias:

Versiones afectadas
* Tomcat 7.0.0 a 7.0.19
Actualizar a la versión ya disponible 7.0.20:
http://tomcat.apache.org/download-70.cgi

* Tomcat 6.0.30 a 6.0.32 y Tomcat 5.5.32 a 5.5.33
Utilizar las contramedidas disponibles hasta que se hagan públicas las nuevas versiones (6.0.33 y 5.5.34 respectivamente):
* Actualizar el servicio jsvc a la versión 1.0.7 o posterior.
* No utilizar el parámetro -user para cambiar de usuario
* Recompilar el servicio jsvc sin libcap.


José Mesa Orihuela
jmesa@hispasec.com


Más información:

Fixed in Apache Tomcat 7.0.20
Important: Information disclosure CVE-2011-2729
http://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.20

Apache Tomcat - Security Updates
http://tomcat.apache.org/security.html

viernes, 12 de agosto de 2011

Actualización acumulativa para Internet Explorer

Dentro del conjunto de boletines de seguridad de agosto publicado el pasado martes por Microsoft y del que ya efectuamos un resumen, se cuenta el anuncio (en el boletín MS11-057) de una actualización acumulativa para Internet Explorer 6, 7, 8 y 9; que además solventa siete nuevas vulnerabilidades.

Dos de las vulnerabilidades corregidas residen en errores de desbordamiento de memoria al acceder a objetos no inicializados, borrados o dañados en Internet Explorer. Esto podría ser aprovechado por un atacante remoto para ejecutar código arbitrario a través de una página web especialmente manipulada.

Otra vulnerabilidad reside en la forma en que el navegador obtiene acceso a un objeto que se puede haber dañado debido a una condición de ejecución. La vulnerabilidad podría permitir a un atacante remoto ejecutar código arbitrario.

Otros tres de los problemas residen en una divulgación de información, que mediante la creación de una página web maliciosa podrían permitir a un atacante conseguir acceso al contenido de otro dominio o zona de Internet Explorer.

Por último, el controlador de URIs de telnet se ve afectado por una vulnerabilidad de ejecución remota de código.

Este parche, al ser acumulativo, incluye todas las actualizaciones anteriores. Se recomienda actualizar el navegador mediante Windows Update o descargando los parches según plataforma desde la página del boletín de seguridad:
http://www.microsoft.com/spain/technet/security/bulletin/MS11-057.mspx


Antonio Ropero
antonior@hispasec.com
Twitter: http://www.twitter.com/aropero


Más información:

Boletín de seguridad de Microsoft MS11-057 - Crítico
Actualización de seguridad acumulativa para Internet Explorer (2559049)
http://www.microsoft.com/spain/technet/security/bulletin/MS11-057.mspx

jueves, 11 de agosto de 2011

Ejecución remota de código en BlackBerry Enterprise Server

BlackBerry ha publicado una nueva actualización para corregir cinco graves vulnerabilidades en BlackBerry Enterprise Server. Los problemas podrían permitir a un atacante remoto ejecutar código arbitrario mediante imágenes PNG o TIFF especialmente manipuladas.

Los CVE de las vulnerabilidades, identificados con una puntuación CVSS de 10.0 (críticos), son: CVE-2010-1205, CVE-2010-3087, CVE-2010-2595, CVE-2011-0192 y CVE-2011-1167.

Las vulnerabilidades afectan a dos componentes principalmente:

* Servicio de conexión BlackBerry MDS que gestiona las conexiones TCP/IP y HTTP entre aplicaciones BlackBerry, tanto si residen en servidores empresariales, Web o de bases de datos. La vulnerabilidad se activaría al procesar las imágenes TIFF o PNG especialmente manipuladas incluidas en una página web.

* Agente BlackBerry Messaging encargado de la gestión del correo electrónico. El agravante en este caso es que no haría falta la interactuación del usuario, ni siquiera abrir un email, para explotar la vulnerabilidad. El código malicioso se ejecutará automáticamente ya que previamente el agente lo procesa en la recepción y se activa al cargar las imágenes TIFF o PNG especialmente manipuladas.

La actualización corrige dichas vulnerabilidades con una nueva versión de la librería 'image.dll' para las ediciones de Enterprise Server afectadas:

* BlackBerry Enterprise Server Express versión 5.0.1 a 5.0.3 para Microsoft Exchange
* BlackBerry Enterprise Server Express versión 5.0.2 y 5.0.3 para IBM Lotus Domino
* BlackBerry Enterprise Server versión 5.0.1 y 5.0.2 para Microsoft Exchange y IBM Lotus Domino
* BlackBerry Enterprise Server versión 5.0.3 para Microsoft Exchange y IBM Lotus Domino
* BlackBerry Enterprise Server versión 4.1.7 para Novell GroupWise
* BlackBerry Enterprise Server versión 5.0.1 para Novell GroupWise

Dada la diversidad de versiones y sistemas de correo afectados (Microsoft Exchange, IBM Lotus Domino y Novell GroupWise), se recomienda consultar el aviso publicado en:
http://btsc.webapps.blackberry.com/btsc/search.do?cmd=displayKC&docType=kc&externalId=KB27244
y descargar la actualización correspondiente.


José Mesa
jmesa@hispasec.com


Más información:

[KB27244] Vulnerabilities in BlackBerry Enterprise Server components
that process images could allow remote code execution
http://btsc.webapps.blackberry.com/btsc/search.do?cmd=displayKC&docType=kc&externalId=KB27244

miércoles, 10 de agosto de 2011

Adobe publica cinco boletines de seguridad

Adobe ha publicado cinco boletines de seguridad (del APSB11-19 al APSB11-23) para tratar problemas en Adobe Shockwave Player, Flash Media Server, Flash Player, Photoshop CS5 y RoboHelp. En total se han corregido 23 vulnerabilidades.

En el boletín, APSB11-19 se tratan siete vulnerabilidades para Adobe Shockwave Player 11.6.0.626 (y versiones anteriores) en sistemas Windows y Macintosh. Los problemas corregidos podrían permitir a a un atacante ejecutar código en los sistemas afectados. Se recomienda a los usuarios de Adobe Shockwave Player actualizar a Adobe Shockwave Player 11.6.1.629.

El aviso de seguridad APSB11-20 se refiere a una vulnerabilidad crítica en Adobe Flash Media Server (FMS) 4.0.2 (y anteriores), y Adobe Flash Media Server (FMS) 3.5.6 (y anteriores) para Windows y Linux. Esta vulnerabilidad podría permitir a un atacante provocar denegaciones de servicio en el sistema afectado. Se recomienda la actualización a Flash Media Server 4.0.3 o 3.5.7.

En el aviso APSB11-21 se solucionan 13 vulnerabilidades en Adobe Flash Player 10.3.181.36 (y anteriores) para Windows, Macintosh, Linux y Solaris, y Adobe Flash Player 10.3.185.25 (y anteriores) para Android. Los problemas podrían permitir a un atacante tomar el control de los sistemas afectados. Se recomienda a los usuarios de Windows, Macintosh, Linux y Solaris actualizar a Flash Player 10.3.183.5. Los usuarios de Android deben actualizar a Flash Player 10.3.186.3.

Existe otra vulnerabilidad crítica (APSB11-22) en Photoshop CS5 y CS5.1 (12.0 y 12.1) y versiones anteriores para Windows y Macintosh. El problema, que podría permitir un atacante tomar el control de los sistemas afectados, reside en el tratamiento de archivos .gif maliciosos. Se recomienda la actualización de Photoshop.

Por ultimo, una vulnerabilidad importante en RoboHelp 9 (versiones 9.0.1.232 y anteriores), RoboHelp 8, RoboHelp Server 9 y RoboHelp Server 8. Un atacante podría emplear una URL específicamente creada para construir ataques de cross-site scripting en instalaciones RoboHelp. Se recomienda actualizar las instalaciones de RoboHelp.


Antonio Ropero
antonior@hispasec.com
Twitter: @aropero


Más información:

APSB11-19 Security update available for Adobe Shockwave Player
http://www.adobe.com/support/security/bulletins/apsb11-19.html

APSB11-20 Security updates available for Adobe Flash Media Server
http://www.adobe.com/support/security/bulletins/apsb11-20.html

APSB11-21 Security updates available for Adobe Flash Player
http://www.adobe.com/support/security/bulletins/apsb11-21.html

APSB11-22 Security updates available for Adobe Photoshop CS5
http://www.adobe.com/support/security/bulletins/apsb11-22.html

APSB11-23 Security updates available for RoboHelp
http://www.adobe.com/support/security/bulletins/apsb11-23.html

martes, 9 de agosto de 2011

Boletines de seguridad de Microsoft en agosto

Tal y como adelantamos, este martes Microsoft ha publicado trece boletines de seguridad (del MS11-057 y el MS11-069) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft dos de los boletines presentan un nivel de gravedad "crítico", mientras que diez se clasifican como "importantes" y uno como "moderado". En total se han resuelto 22 vulnerabilidades.

Los boletines "críticos" son:

* MS11-057: Actualización acumulativa para Microsoft Internet Explorer que además soluciona siete nuevas vulnerabilidades que podrían permitir la ejecución remota de código arbitrario. Afecta a Internet Explorer 6, 7, 8 y 9.

* MS11-058: Se trata de una actualización destinada a solucionar dos vulnerabilidades en el servidor DNS de Windows. Afecta a Microsoft Windows Server 2003 y Windows Server 2008.

Los boletines clasificados como "importantes" son:

* MS11-059: Actualización para corregir una vulnerabilidad en Data Access Components que podría permitir la ejecución remota de código si el usuario abre un archivo Excel (.xlsx) especialmente manipulado. Afecta a Windows 7 y Windows Server 2008 R2.

* MS11-060: Actualización que soluciona dos vulnerabilidades en Microsoft Visio que podrían permitir la ejecución remota de código si un usuario abre un archivo de Visio especialmente diseñado.

* MS11-061: Actualización para solucionar una vulnerabilidad de Cross-Site Scripting en el Acceso web a Escritorio remoto que podría permitir la elevación de privilegios. Afecta a Windows Server 2008 R2 para sistemas x64.

* MS11-062: Trata de una vulnerabilidad en el controlador NDISTAPI del Servicio de acceso remoto podría permitir la elevación de privilegios en Windows XP y Windows Server 2003.

* MS11-063: Boletín destinado a corregir una vulnerabilidad de elevación de privilegios a través del en el subsistema de tiempo de ejecución de cliente-servidor de Windows. Afecta a Microsoft Windows XP, Windows Server 2003, Windows Vista, 7 y Windows Server 2008.

* MS11-064: Actualización para corregir dos vulnerabilidades en la pila de TCP/IP de Windows podrían permitir la ejecución remota de código. Afecta a Windows Vista, 7 y Windows Server 2008.

* MS11-065: Actualización destinada a solucionar una vulnerabilidad de denegación de servicio en el protocolo de Escritorio remoto. Afecta a Windows XP y Windows Server 2003.

* MS11-066: Actualización para corregir una vulnerabilidad de divulgación de información a través de los controles de gráficos de ASP.NET. Afecta a Microsoft Windows XP, Vista, 7 y Windows Server 2003 y 2008.

* MS11-067: Actualización para corregir una vulnerabilidad de divulgación de información a través de Microsoft Report Viewer al visitar una página web específicamente creada. Afecta a Microsoft Visual Studio 2005 y al Paquete redistribuible de Microsoft Report Viewer 2005.

* MS11-068: Actualización para corregir una vulnerabilidad en el kernel de Windows. Afecta a Windows Vista, Windows 7 y Windows Server 2008.

El último boletín clasificado como "moderado":

* MS11-069 Boletín en el que se ofrece una actualización para evitar una vulnerabilidad en Microsoft .Net Framework podría permitir la divulgación de información si un usuario visita una página web especialmente creada.

Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible.


Antonio Ropero
antonior@hispasec.com
Twitter: @aropero


Más información:

Microsoft Security Bulletin Summary for August 2011
http://www.microsoft.com/technet/security/bulletin/ms11-aug.mspx

Boletín de seguridad de Microsoft MS11-057 - Crítico
Actualización de seguridad acumulativa para Internet Explorer (2559049)
http://www.microsoft.com/spain/technet/security/bulletin/MS11-057.mspx

Boletín de seguridad de Microsoft MS11-058 - Crítico
Vulnerabilidades en el servidor DNS podrían permitir la ejecución remota de código (2562485)
http://www.microsoft.com/spain/technet/security/bulletin/MS11-058.mspx

Boletín de seguridad de Microsoft MS11-059 - Importante
Una vulnerabilidad en Data Access Components podría permitir la ejecución remota de código (2560656)
http://www.microsoft.com/spain/technet/security/bulletin/MS11-059.mspx

Boletín de seguridad de Microsoft MS11-060 - Importante
Vulnerabilidades en Microsoft Visio podrían permitir la ejecución remota de código (2560978)
http://www.microsoft.com/spain/technet/security/bulletin/MS11-060.mspx

Boletín de seguridad de Microsoft MS11-061 - Importante
Una vulnerabilidad en Acceso web a Escritorio remoto podría permitir la elevación de privilegios (2546250)
http://www.microsoft.com/spain/technet/security/bulletin/MS11-061.mspx

Boletín de seguridad de Microsoft MS11-062 - Importante
Una vulnerabilidad en el controlador NDISTAPI de Servicio de acceso remoto podría permitir la elevación de privilegios (2566454)
http://www.microsoft.com/spain/technet/security/bulletin/MS11-062.mspx

Boletín de seguridad de Microsoft MS11-063 - Importante
Una vulnerabilidad en el subsistema de tiempo de ejecución de cliente-servidor de Windows podría permitir la elevación de privilegios (2567680)
http://www.microsoft.com/spain/technet/security/bulletin/MS11-063.mspx

Boletín de seguridad de Microsoft MS11-064 - Importante
Vulnerabilidades en la pila de TCP/IP podrían permitir la ejecución remota de código (2563894)
http://www.microsoft.com/spain/technet/security/bulletin/MS11-064.mspx

Boletín de seguridad de Microsoft MS11-065 - Importante
Una vulnerabilidad en el protocolo de Escritorio remoto podría permitir la denegación de servicio (2570222)
http://www.microsoft.com/spain/technet/security/bulletin/MS11-065.mspx

Boletín de seguridad de Microsoft MS11-066 - Importante
Una vulnerabilidad en el control de gráficos de Microsoft podría permitir la divulgación de información (2567943)
http://www.microsoft.com/spain/technet/security/bulletin/MS11-066.mspx

Boletín de seguridad de Microsoft MS11-067 - Importante
Una vulnerabilidad en Microsoft Report Viewer podría permitir la divulgación de información (2578230)
http://www.microsoft.com/spain/technet/security/bulletin/MS11-067.mspx

Boletín de seguridad de Microsoft MS11-068 - Moderado
Una vulnerabilidad en el kernel de Windows podría permitir la denegación de servicio (2556532)
http://www.microsoft.com/spain/technet/security/bulletin/MS11-068.mspx

Boletín de seguridad de Microsoft MS11-069 - Moderado
Una vulnerabilidad en .NET Framework podría permitir la divulgación de información (2567951)
http://www.microsoft.com/spain/technet/security/bulletin/MS11-069.mspx

lunes, 8 de agosto de 2011

Múltiples vulnerabilidades en TYPO3

Según un nuevo reporte oficial de seguridad, se han descubierto 12 vulnerabilidades en TYPO3, relacionadas con Cross-site scripting, revelación de información, denegación de servicio y fallos en las políticas de seguridad en general.

TYPO3 es un gestor CMS web e intranet, enfocado al nivel empresarial, situándose por detrás de Drupal o Joomla a nivel de uso, según las estadísticas W3Techs.

Cuatro de las vulnerabilidades descubiertas son críticas por su impacto:

* Cross-Site Scripting: un fallo a la hora de tratar las URLs en la propiedad 'JSWindow' de la función 'typolink', podría permitir (en la configuración por defecto) la ejecución de código script.

* Revelación de información: mediante el uso de la propiedad "getText" de los títulos en los contenidos, es posible recabar información de la base de datos de TYPO3.

* Denegación de servicio: los editores del Backend serían capaces de borrar ficheros arbitrarios del servidor web, debido a la incorrecta serialización de los datos.

* Falta de políticas de acceso: usuarios del Backend serían capaces de ejecutar cualquier componente ExtDirect sin tener asociación previa.

Se recomienda actualizar TYPO3 a las versiones 4.3.12, 4.4.9 o 4.5.4 según corresponda.


José Mesa Orihuela
jmesa@hispasec.com



domingo, 7 de agosto de 2011

Blackhat 2011: Presentación del "battery hack" y su solución

Como ya comentamos en una anterior UAD (http://www.hispasec.com/unaaldia/4656), el Dr. Charlie Miller había encontrado una vulnerabilidad en las baterías utilizadas por algunos Macbook de Apple, que compartían una idéntica contraseña para acceder al control y monitorización de las mismas.

La presentación realizada por Miller en la Blackhat 2011 (Las Vegas, EEUU), desgrana y analiza las características del protocolo SMBus/i2c y del chip BQ20Z80 de Texas Instruments utilizado para comunicarse con la batería. Para ello, emplea los comando SBS (Smart Battery System), consiguiendo extraer su firmware, y lo que es más importante, modificarlo totalmente, pudiendo cambiar el nombre, ID, fechas, voltajes de funcionamiento... y por supuesto el password oficial. Para ello se proporciona el código necesario (Caulkgun) para que el usuario pueda cambiar la contraseña por defecto (aunque se advierte que futuras actualizaciones de Apple no funcionarán debido a dicho cambio).

Lo que sí se confirma a través de su PDF es que una posible modificación del firmware podría dejar inutilizada e incluso dañarla (mediante un sobrevoltaje y el posterior calentamiento de la misma) y por ende del equipo: "Due to the nature of the Smart Battery System, changes made to the smart battery firmware may cause safety hazards such as overcharging, overheating, or even fie."

Aunque deja claro, que sólo es una posibilidad remota y que no ha sido comprobada, ya que, como comenta: "quiero poder seguir llevando mi portátil en avión", ("Would like to continue to take my laptop on airplanes").

El código necesario para compilar la aplicación en IDA Pro así como el whitepaper y las presentaciones (muy recomendable su lectura) está disponible en su web oficial.

De este estudio pormenorizado se extrae la conclusión de que en ningún momento se ha cambiado la contraseña de fábrica de los chips y que no había ninguna protección que evitaran su modificación.


José Mesa Orihuela
jmesa@hispasec.com


Más información:

Battery Firmware Hacking, Dr. Charlie Miller Black Hat USA 2011
http://www.accuvant.com/capability/accuvant-labs/security-research/featured-presentation

sábado, 6 de agosto de 2011

Múltiples vulnerabilidades en Bugzilla

Desde la web de Bugzilla se han anunciado un total de siete vulnerabilidades que han sido solventadas en las nuevas versiones de su software. Entre ellas podemos encontrar ataques de Cross Site Sripting, inyección de cabeceras en correos electrónicos o revelación de información sensible.

Bugzilla es una aplicación web diseñada para crear un sistema de seguimiento de errores y se distribuye bajo la Licencia Pública de Mozilla. Esta aplicación es utilizada por un gran número de proyectos de software libre, entre los que se encuentran proyectos como Apache, Linux Kernel o Eclipse entre otros muchos.

Las vulnerabilidades corregidas son las siguientes:

* Dos ataques de Cross Site Scripting, uno de ellos podía ser explotado a través de un parche especialmente manipulado, que al ser visualizado en modo "Raw Unified" por algunos navegadores antiguos (como por ejemplo Internet Explorer 8 y anteriores y las versiones anteriores a Safari 5.0.6). El segundo, requería que la cookie BUGLIST fuera modificada para contener código HTML, que sería mostrado al ver el reporte de algún bug.

* Un usuario remoto autenticado podría averiguar si un grupo existe a través de una URL especialmente manipulada al crear o editar un bug, o realizando una búsqueda personalizada.

* La vulnerabilidad con el CVE CVE-2011-2381 podría permitir a un atacante remoto inyectar cabeceras en los correos 'flagmails' a través de un archivo adjunto especialmente manipulado que contuviese el carácter de nueva línea.

* Un usuario con acceso a la sesión del usuario que se desea atacar, podía modificar la dirección de correo utilizada para enviar correos electrónicos de para las confirmaciones (CVE-2011-2978).

* Por último, un usuario local podría tener acceso temporal a los archivos adjuntos a través de la vulnerabilidad con el CVE-2011-2977.

Todas estas vulnerabilidades han sido corregidas en las versiones 3.4.12, 3.6.6, 4.0.2 y 4.1.3 de Bugzilla.


Javier Rascón
jrascon@hispasec.com


Más información:

4.1.2, 4.0.1, 3.6.5, and 3.4.11 Security Advisory
http://www.bugzilla.org/security/3.4.11/

viernes, 5 de agosto de 2011

Microsoft publicará 13 boletines de seguridad el próximo martes

Siguiendo con su ciclo habitual de publicación de parches de seguridad los segundos martes de cada mes, Microsoft publicará el próximo 9 de agosto 13 boletines de seguridad, del MS11-057 al MS11-070, con un número indeterminado de vulnerabilidades cada uno, pero que completarán 22 vulnerabilidades en total.

Los fallos afectan a toda la gama de sistemas operativos Windows, Internet Explorer y Visio, a .NET Framework 3.5, Visual Studio 2005 y Report Viewer 2005.

Dos de los boletines consideran los fallos en Internet Explorer y Windows Server 2008 como críticos, lo que conlleva ejecución remota de código. La mayoría de los boletines, 9 en total, son calificados como importantes, y afectan a Windows, Visio y Visual Studio, por lo que se deduce que afecta a un componente común compartido por estos paquetes.

Además, como viene siendo habitual, Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool que estará disponible desde Microsoft Update, Windows Server Update Services, y centro de descarga.

Debido a la característica crítica de los boletines de Internet Explorer, recomendamos encarecidamente la aplicación urgente de esta próxima actualización a sus equipos, en cuanto se encuentre disponible.

Hispasec Sistemas publicará puntualmente a través de este boletín información detallada sobre los nuevos parches.


José Mesa Orihuela
jmesa@hispasec.com


Más información:

Microsoft Security Bulletin Advance Notification for August 2011:
http://www.microsoft.com/technet/security/bulletin/ms11-aug.mspx

jueves, 4 de agosto de 2011

CDs de garantía de Cisco enlazan a repositorios de malware

Cisco ha publicado una alerta en el que se advierte de que ciertos CDs de garantía contenían un enlace a un sitio de terceros que resultaba ser un repositorio de malware.

Los discos que enlazaban a este contenido se han repartido desde diciembre de 2010 hasta este mes, y contenían un enlace a una página web que albergaba malware. Por si fuera poco, en caso de que el disco fuese abierto con un navegador, el usuario, sin ningún tipo de advertencia previa, sería redirigido a dicha página.

Por suerte, la página no se encontraba activa en el momento de repartirse los discos, por lo que según el informe, ningún cliente ha resultado infectado por medio de sus discos de garantía. Sin embargo, en caso de volver a reestablecerse el servicio en esta página, se podría llegar a producir alguna infección en los clientes que accediesen a ella.

Tanto los números de referencia de los discos afectados, como el contenido original y sin ningún tipo de peligro, están disponibles en la propia página del aviso de Cisco.
http://www.cisco.com/en/US/products/products_security_response09186a0080b8b122.html


Javier Rascón
jrascon@hispasec.com
Twiter: @jvrrascon


Más información:

Infected Cisco Information Packet and Warranty CDs
http://www.cisco.com/en/US/products/products_security_response09186a0080b8b122.html

miércoles, 3 de agosto de 2011

Estudio: Mozilla es el fabricante que menos tarda en resolver vulnerabilidades. RealNetworks, el que más. La media global son 6 meses

Hemos realizado un estudio sobre once fabricantes para conocer cuánto tardan en corregir sus vulnerabilidades reportadas de forma privada. Sobre 1045 fallos, la conclusión es que la media global es de 177 días, mientras que RealNetworks tarda 321 días y Mozilla sólo 74.
 
El tiempo que un fabricante tarda en hacer pública una solución para una vulnerabilidad es una de las métricas más importantes para conocer cómo maneja la seguridad. Suele existir cierta controversia en este aspecto. Se achaca a los fabricantes que tardan demasiado en disponer de una solución efectiva que ofrecer a sus clientes o usuarios. Mucho más cuando la vulnerabilidad es conocida y por tanto sus clientes "perciben" el peligro de utilizar ese software. En Hispasec hemos realizado un estudio sobre 1.045 vulnerabilidades de los fabricantes: Novell, HP, Microsoft, Apple, IBM, CA, Symantec, Oracle, Adobe, Mozilla y RealNetworks desde 2005.
 
Este es una actualización del estudio realizado en 2009. Si hace dos años se analizaron 449 vulnerabilidades desde 2005 hasta septiembre de 2009, ahora se amplía el cálculo desde 2005 hasta final de julio de 2011 con 1.045. Además, se añaden dos fabricantes a la comparativa: RealNetworks y Mozilla que curiosamente son el que peor y mejor media tienen respectivamente.


Algunas de las conclusiones del nuevo estudio son que la media de los grandes fabricantes es de seis meses para solucionar una vulnerabilidad, independientemente de su gravedad. Encontramos ejemplos en los que una vulnerabilidad es solucionada dos años después de ser descubierta, y otros en los que se tardan apenas unos días. La mayoría de las vulnerabilidades se resuelven antes de 6 meses (un 67,53%), pero aun así en cerca del 10% de los casos se necesita más de un año para arreglarlas.
 
Los resultados obtenidos se podrían clasificar en dos grandes grupos: 
  • RealNetworks, Oracle, IBM, HP y Microsoft que pasan de la media global.
     
  • Novell, Apple, CA, Symantec, Adobe y Mozilla que bajan de la media global, destacando Mozilla como el que disfruta de la media más baja. 
El 93% de las vulnerabilidades de Mozilla y el 83,60% de las de Novell, se corrigen antes de los 6 meses, mientras que RealNetworks y Microsoft lo consiguen solo en el 33,3 y 52% de los casos respectivamente.
 
Todos los datos y el informe completo, está disponibles desde:
 
El anterior informe:
http://www.hispasec.com/laboratorio/Hispasec_Estudio_Vulnerabilidades.pdf

 

 
Sergio de los Santos
ssantos@hispasec.com
Twitter: @ssantosv

 

 

 

martes, 2 de agosto de 2011

Actualización del kernel para OpenSUSE

Se ha publicado la actualización del kernel para OpenSUSE 11.4 a la versión 2.6.37.6, en la que se corrigen hasta 14 vulnerabilidades de diversa índole y efectos. Los problemas corregidos podrían permitir la realización de ataques de denegación de servicio, elevación de privilegios, e incluso el compromiso total del sistema a atacantes locales.

Los problemas corregidos están relacionados con la interfaz /proc/PID/io; con kernel/taskstats.c; con drivers/char/agp/generic.c; con ip_expire(); con kernel/pid.c; con los sistemas de archivos ext4, proc y NFS y con particiones LDM.

Se recomienda actualizar a la última versión del kernel, a través de la instrucción:
zypper in -t patch kernel-4932.


Antonio Ropero
antonior@hispasec.com
Twitter: @aropero


Más información:

openSUSE-SU-2011:0860-1 (moderate): kernel: security and bugfix update
https://hermes.opensuse.org/messages/10455026

lunes, 1 de agosto de 2011

Nuevos contenidos en la Red Temática CriptoRed (julio de 2011)

Breve resumen de las novedades producidas durante el mes de julio de 2011 en CriptoRed, la Red Temática Iberoamericana de Criptografía y Seguridad de la Información.

1. NUEVOS DOCUMENTOS EN LA RED EN EL MES DE JULIO DE 2011
* Diseño de nuevo algoritmo esteganográfico en el dominio espacial, Tesis Doctoral, Juan José Roque Acevedo, PDF 196 páginas.
http://www.criptored.upm.es/guiateoria/gt_m143b.htm
* Herramienta Steganography Studio (Juan José Roque Acevedo, España)
http://www.criptored.upm.es/paginas/software.htm#freeware
* Carta de invitación para rellenar la primera encuesta iberoamericana de enseñanza en SI (Jorge Ramió, PDF 2 páginas)
http://www.criptored.upm.es/descarga/CartaEncuestaTIBETS_28Julio2011.pdf
* Encuesta iberoamericana de enseñanza y formación en Seguridad de la Información (Jorge Ramió, formulario PDF y Word 2 páginas)
http://www.criptored.upm.es/descarga/EncuestaSI_Primera_Parte_ES.pdf
http://www.criptored.upm.es/descarga/EncuestaSI_Primera_Parte_ES.doc
* Pesquisa iberoamericana de ensino e formação em segurança da informação (Jorge Ramió, formulario PDF y Word 2 páginas)
http://www.criptored.upm.es/descarga/PesquisaSI_Primera_Parte_PO.pdf
http://www.criptored.upm.es/descarga/PesquisaSI_Primera_Parte_PO.doc

2. NUEVOS VÍDEOS DE INTYPEDIA EN EL MES DE JULIO DE 2011
* Lección 9: Introducción al protocolo SSL (Alfonso Muñoz Muñoz, T>SIC UPM, 17:24 minutos)
http://www.criptored.upm.es/intypedia/video.php?id=introduccion-ssl&lang=es
* Lesson 9: Introduction to the SSL protocol (Alfonso Muñoz Muñoz, T>SIC UPM, 17:16 minutos)
http://www.criptored.upm.es/intypedia/video.php?id=ssl-protocol-introduction&lang=en

3. DOCUMENTOS RECOMENDADOS DE OTROS SERVIDORES EN EL MES DE JULIO DE 2011
* Libro Hacking ético (Carlos Tori, Argentina)
http://www.hackingetico.com/
* Informe de la Red de Sensores del mes de junio de 2011 sobre virus y malware (INTECO, España)
https://ersi.inteco.es/informes/informe_mensual_201106.pdf
* Análisis forense digital en la nube: El reto de la inseguridad en un ecosistema tecnológico, Blog IT-Insecurity (Jeimy Cano, Colombia)
http://insecurityit.blogspot.com/2011/07/analisis-forense-digital-en-la-nube-el.html
* Número 119 de la revista SISTEMAS dedicado a Ciberseguridad y Ciberterrorismo (ACIS, Colombia)
http://www.acis.org.co/index.php?id=1655
* Enmiendas enviadas a la Ley General de Telecomunicaciones para la neutralidad de Internet y el derecho al secreto de las comunicaciones (España)
https://docs.google.com/document/d/1uOek6twExW2py1jhf3Vl4hadQmTflODJqt5v7gpGwjU/edit?hl=en_US

4. RELACIÓN DE CONGRESOS, SEMINARIOS Y CONFERENCIAS POR ORDEN CRONOLÓGICO DE CELEBRACIÓN
* Agosto 29 a septiembre 2 de 2011: 3er Workshop de Seguridad Informática (Córdoba - Argentina)
* Septiembre 11 al 15 de 2011: Tercer congreso internacional Castle Meeting on Coding Theory and Applications 3ICMTA (Castillo de Cardona - España)
* Septiembre 15 al 16 de 2011: International Conference on Information Technologies InfoTech 2011 (Varna - Bulgaria)
* Septiembre 15 al 16 de 2011: 4th SETOP International Workshop on Autonomous and Spontaneous Security (Lovaina - Bélgica)
* Septiembre 15 al 16 de 2011: 6th DPM International Workshop on Data Privacy Management (Lovaina - Bélgica)
* Septiembre 16 al 17 de 2011: VIII edición Congreso No cON Name 2011 (Barcelona - España)
* Octubre 17 al 21 de 2011: First International Workshop on Rational, Secure and Private Ad-Hoc Networks RASEP '11 (Creta - Grecia)
* Octubre 26 al 28 de 2011: 17th International Congress on Computer Science Research CIICC'11 (Morelia - México)
* Noviembre 2 al 4 de 2011: VI Congreso Iberoamericano de Seguridad Informática CIBSI 2011 (Bucaramanga - Colombia)
* Noviembre 7 al 11 de 2011: Workshop sobre Seguridad de la Información e Inteligencia Artificial en la Internet de las Cosas SIIAIC (La Laguna - España)
* Noviembre 7 al 11 de 2011: XXIII Encuentro Chileno de Computación ECC2011 (Talca - Chile)
* Noviembre 7 al 11 de 2011: 30th International Conference of the Chilean Computer Science Society SCCC2011 (Talca - Chile)
* Noviembre 17 al 18 de 2011: Jornadas de Criptografía Spanish Cryptography Days SCD2011 (Murcia - España)
* Noviembre 28 a diciembre 2 de 2011: Workshop on Computational Security 2011 en el Centre de Recerca Matemàtica (Bellaterra - España)
* Diciembre 13 al 15 de 2011: 10th International Information and Telecommunication Technologies Conference (Curitiba - Brasil)
Más información en:
http://www.criptored.upm.es/paginas/eventos.htm#Congresos

5. FUE NOTICIA EN LA RED TEMÁTICA EN EL MES DE JULIO DE 2011
* CFP para 10th International Information and Telecommunication Technologies Conference en Curitiba (Brasil)
* Actualización de datos estadísticos sobre reproducciones en intypedia y gestión de las estadísticas por YouTube EDU (España)
* La política de cuarentena de YouTube elimina más de 500 reproducciones de la lección 9 de intypedia (España)
* Abierto el proceso de inscripciones al VI Congreso Iberoamericano de Seguridad Informática CIBSI 2011 (Colombia)
* Segundo llamado para envío de presentaciones al Taller Iberoamericano de Enseñanza e Innovación Educativa TIBETS 2011 (Colombia)
* Primera Encuesta Iberoamericana sobre Enseñanza Universitaria de la Seguridad de la Información (España)
Acceso al contenido de estas noticias:
http://www.criptored.upm.es/paginas/historico2011.htm#jul11

6. OTROS DATOS DE INTERÉS EN LA RED TEMÁTICA
* Número actual de miembros en la red: 887
http://www.criptored.upm.es/paginas/particulares.htm
* Estadísticas criptored: 35.192 visitas, con 124.679 páginas solicitadas y 34,18 Gigabytes servidos en julio de 2011, descargándose 23.567 archivos zip o pdf
http://www.criptored.upm.es/estadisticas/awstats.www.criptored.upm.es.html
* Estadísticas intypedia: 11.194 reproducciones en julio de 2011
http://www.criptored.upm.es/paginas/intypediamensual.htm

7. VI Congreso Iberoamericano CIBSI 2011
Buracamanga, Colombia, del 2 al 4 de noviembre
Primer Taller Iberoamericano TIBETS 2011
Buracamanga, Colombia, 3 de noviembre
http://www.cibsi.upbbga.edu.co/


Jorge Ramió Aguirre
Coordinador de Criptored
Twitter: http://twitter.com/#!/criptored