martes, 31 de julio de 2012

Múltiples vulnerabilidades en Sybase Adaptive Server Enterprise


Se ha confirmado la existencia de múltiples vulnerabilidades en Sybase Adaptive Server Enterprise 15.x bajo plataforma Windows, que podrían permitir a un atacante evitar restricciones de seguridad, elevar sus privilegios o comprometer los sistemas afectados.

Sybase Adaptive Server Enterprise (ASE) es un sistema de administración de bases de datos relacionales de alto rendimiento para entornos de uso intensivo de datos. Permite funcionalidades como cifrado, virtualización o compresión de datos.

Los problemas están relacionados con varios problemas de elevación de roles al crear tablas proxy, índices, etc, además de numerosos problemas con los métodos Java.

También se ha dado a conocer que puede sufrir un problema de denegación de servicio.

Se recomienda aplicar el último EBF, según indica el aviso publicado por Sybase.
http://www.sybase.com/detail?id=1098877

Más información:

Urgent from Sybase: Security vulnerabilities in ASE 15.0.3 and later. Plus potential hang and data loss issue.


Antonio Ropero
Twitter: @aropero

lunes, 30 de julio de 2012

Revelación de información sensible en Bugzilla


Se han anunciado dos vulnerabilidades que afectan a Bugzilla y podrían permitir la revelación de información potencialmente sensible.


Bugzilla es una herramienta de seguimiento de errores de código abierto, basada en web, y muy utilizada por empresas de desarrollo de software para sus proyectos. Además de la gestión de fallos y vulnerabilidades, también permite determinar la prioridad y severidad de los mismos, agregar comentarios y propuestas de solución, designar responsables para cada uno de ellos, enviar mensajes de correo para informar de un error, etc.

Frédéric Buclin y Byron Jones han descubierto dos vulnerabilidades que afectan a Bugzilla y que son debidas a errores de falta de comprobación de permisos. 
  • La primera de ellas se produce al tener en cuenta los permisos del remitente pero no los del destinatario de un 'bugmail' (email en formato HTML referente a una incidencia o bug). En dicho correo se incluyen enlaces a los identificadores de las incidencias y de los adjuntos, además de un resumen de ellos si el que envía tiene permisos para verlos. De esta forma, información reservada puede ser revelada al destinatario del correo aunque éste disfrute de menos permisos que el remitente. Esta vulnerabilidad ha sido identificada como CVE-2012-1968 y afecta a las ramas 4.x de Bugzilla.
       
  • La otra vulnerabilidad ocurre cuando un usuario que tiene permisos para ver un archivo adjunto privado, menciona dicho adjunto en el comentario público de una incidencia. El error se encuentra en la función 'get_attachment_link' que no valida los permisos de los usuarios para mostrar la descripción del adjunto. El identificador CVE-2012-1969 se ha asignado a esta vulnerabilidad que afecta a las versiones 2.x, 3.x, y 4.x.

Se encuentran disponibles para su descarga las versiones 3.6.10, 4.0.7, 4.2.2 y 4.3.2 que solucionan las vulnerabilidades anteriores.


Más información:


Bugzilla 4.3.1, 4.2.1, 4.0.6, and 3.6.9 Security Advisory

(CVE-2012-1968) [SECURITY] HTML bugmail exposes information about
restricted bugs

(CVE-2012-1969) [SECURITY] The description of private attachments is
still visible to unauthorized users when mentioned in a comment



Juan José Ruiz

domingo, 29 de julio de 2012

Malware logra eludir (de nuevo) el sistema Bouncer de Google Play


Investigadores demuestran (otra vez) que Google Bouncer, el sistema automatizado para detectar aplicaciones maliciosas o malware antes de que llegue a la tienda de aplicaciones de Google, puede eludirse de una forma sencilla. Esta aproximación es diferente a la ya conocida publicada en junio.

Google Bouncer es un sistema de escaneo automático de aplicaciones, que fue lanzado en febrero de 2012. Simula la ejecución de las aplicaciones en un dispositivo Android con el objetivo de detectar malware y evitar que sea publicado en Google Play.

Unos meses después de su lanzamiento, en junio, Jon Oberheide y Charlie Miller descubrieron que Bounce utiliza un entorno virtual QEMU y que todas las solicitudes de Google procedían de un bloque de IPs específico. Los investigadores crearon y enviaron falsas aplicaciones a Google Play que se dedicaron a registrar los procesos del sistema y lanzar una conexión reversa a sus propios servidores. Así demostraron varios puntos débiles, que pueden ser aprovechados fácilmente por los desarrolladores de código malicioso, implementando aplicaciones que se comporten como legítimas cuando detecten ese entorno virtual específico.

En este contexto, los investigadores de la empresa de seguridad Trustwave han explicado en la conferencia de seguridad Black Hat en Las Vegas que es posible eludir el sistema Bouncer con una aplicación maliciosa, pero con otros métodos. Nicolas Percoco y Sean Schulte han desarrollado SMS Bloxor, una aplicación para bloquear los mensajes de texto procedentes de determinados números de teléfono... pero que además roba datos personales tales como fotos, mensajes de texto, contactos, registros de llamadas, e incluso puede realizar ataques de denegación de servicio.

Para conseguirlo, no activaban el comportamiento malicioso de la aplicación cada vez que detectaba que estaba siendo analizada por Bouncer. Pero además, han ideado un puente JavaScript, una solución legítima que permite a los desarrolladores añadir nuevas características de forma remota a aplicaciones que ya han sido aceptadas. Así, logran evitar volver a pasar por el proceso de aprobación de nuevo, aunque la aplicación se haya actualizado.

Percoco y Schulte pudieron publicar en Google Play siete versiones de su aplicación durante dos semanas, cada cual con más funcionalidades maliciosas, antes de que Bouncer la detectara como malware. SMS Bloxor fue retirado de la tienda después de que subieran una versión que enviaba continuamente todos los datos de un dispositivo a los creadores de la aplicación. Para evitar que los usuarios de descargaran la aplicación durante el periodo que se prolongó el experimento, SMS Block se puso a un precio prohibitivo de casi 50 dólares.

Google ha sido informado de los resultados de esta investigación para que pueda realizar cambios y mejorar la seguridad de Google Play.

Más información:

SMS Bloxor

Google Approves an App that Steals All Your Data

Researchers beat Google's Bouncer

Logran eludir el sistema Google Bouncer para Android Market



Juan José Ruiz



sábado, 28 de julio de 2012

Denegación de servicio en Ruby on Rails


Se han publicado nuevas versiones de Ruby on Rails que corrigen una vulnerabilidad que podría provocar una denegación de servicio en las versiones de las ramas 3.x.

Ruby on Rails, o Rails, es un framework de aplicaciones web de código abierto escrito en el lenguaje de programación Ruby, que sigue la arquitectura Modelo-Vista-Controlador (MVC). 'Action Pack' es un componente de Rails que divide la respuesta a una petición web en dos partes: controlador (la lógica de la aplicación) y vista (la presentación). 'Action Pack' implementa, entre otros, los métodos del sistema de autenticación de usuarios.

Existe un error en el sistema de autenticación del módulo 'Action Pack' de Ruby on Rails que podría causar una denegación de servicio. Esta vulnerabilidad se debe a un error al procesar el resumen de la cadena de autenticación, en la función 'authenticate_or_request_with_http_digest', y convertirlo en símbolos.

Charlie Somerville, el descubridor de esta vulnerabilidad identificada como CVE-2012-3424, además ha propuesto el parche que la soluciona.

Afecta a las versiones 3.x de Rails. Se han publicado las versiones 3.0.16, 3.1.7, 3.2.7, que corrigen la vulnerabilidad, así como parches para las versiones 3.0.x, 3.1.x y 3.2.x para aquellos usuarios que no deseen realizar una actualización completa.

Más información:

Ruby on Rails DoS Vulnerability in authenticate_or_request_with_http_digest (CVE-2012-3424)



Juan José Ruiz



viernes, 27 de julio de 2012

La inmensa desinformación sobre el malware "OSX/Crisis"

Vuelve a ocurrir. La combinación de los medios generalistas (que no quieren que la realidad arruine una buena historia) y las casas antivirus (que ven en Mac un nuevo nicho de mercado) convierten cualquier dato sobre malware para Mac en un batiburrillo de confusión y desinformación. ¿Qué pasa en realidad con el malware OSX/Crisis? Vamos a intentar aclarar algo.

Las casas antivirus lo están llamado Crisis o Morcut indistintamente. Veamos primero en qué consiste el malware, para poder situarnos.


El malware: distribución

Un aspecto que suele confundirse en el malware es la distribución (cómo llega al sistema) y el fin (qué hace una vez ahí). La distribución de Crisis se está haciendo desde un archivo .jar (un applet llamado AdobeFlashPlayer.jar.). No conocemos puntos de descarga (webs que lo alojen y distribuyan). Por ahora, parece que no utiliza vulnerabilidades para instalarse, por lo que el usuario deberá lanzar el applet de forma más o menos consciente cuando su navegador le pregunte. Como el applet no valida la cadena de confianza de certificados, aparecerá una alerta. Los datos de la firma se encuentran dentro de la carpeta META-INF del .jar.

Los .jar son archivos ZIP en realidad, que contienen normalmente .class, ejecutables de Java. El caso de Crisis es curioso porque ese .jar (zip, en realidad) contiene: un fichero .class, un ejecutable de Windows, y otro de Mac.



El archivo .class, sirve simplemente para distinguir el sistema operativo y lanzar uno u otro ejecutable. El código habla por sí mismo.



Quizás el hecho de que se distribuya en formato .jar (Java es multiplataforma), y que contenga dos archivos, ha propiciado que algunas noticias hablen de "malware para Mac y Windows", abriendo la puerta a la idea de malware multiplataforma (un solo fichero que funcionaría en los dos sistemas operativos) cuando la realidad es bien distinta. Se trata de dos ejecutables nativos para cada plataforma, y un fichero en Java que se encarga de elegir uno u otro en base al sistema sobre el que se ejecute. Tan simple como eso. Podía haber elegido cualquier método para conseguir esto, como por ejemplo lo que solían hacer en 2007 los DNSChanger: según el user-agent del navegador, la página del atacante intentaba descargar un EXE o un DMG.

El malware: difusión

La difusión parece muy escasa en estos momentos, según comprobamos en VirusTotal (si queremos tomarlo como referencia). El .jar en sí, apareció el día 24 de julio y ha sido enviado 9 veces.


El ejecutable para Mac que está dentro (y una variante que quizás, por tener la mitad del tamaño que la muestra conocida, se trate de otra muestra diferente) ha sido enviadas otras tantas veces.


El malware para Windows, es muy detectado (26 de 39) pero su nombre es un misterio. Cada casa lo ha clasificado como ha creído conveniente.


El archivo .jar, como viene siendo habitual, es mucho menos detectado. Solo 5 motores por firmas.

El éxito de un malware está sobre todo en su método de difusión: cuando más automatizado mejor. Un malware que se distribuya a través de una ejecución transparente en el sistema (sin intervención del usuario) gracias a una vulnerabilidad, será muy difundido. Cuanto menos conocida la vulnerabilidad, más éxito para el malware. Por el contrario, si el malware requiere que el usuario lo ejecute "con su propio ratón", dependerá por completo de la ingeniería social empleada. Cuanto más ocurrente o atractiva, más usuarios picarán. En el caso de Crisis, parece que no aprovecha ninguna vulnerabilidad. Al tratarse de un .jar firmado, Java lanzará una alerta cuando se ejecuta, cosa que dificultará aún más que los usuarios lo lancen.

El malware: ¿qué hace?

La tercera cuestión que hay que plantearse es qué hace este troyano. Como hemos comentado, tras una distribución "original", se ejecutará en el sistema o el binario para Windows o el de Mac, con lo que en realidad tenemos dos.

  • El ejecutable para Mac es un espía capaz de registrar las teclas del Mac, activar el micrófono, la cámara, robar el portapapeles, etc. Un spyware "tradicional" que permite a un tercero controlar el sistema y robar información. Al parecer puede estar basado en una herramienta comercial. Ni siquiera intenta elevar privilegios: si el usuario lo ejecuta con privilegios, podrá esconderse mejor y controlar más, y si no, se conformará con lo que pueda. Un dato importante es que este malware se dio oportunamente a conocer cuando apareció la nueva versión Mountain Lion de Mac. Este hecho es totalmente irrelevante, pero parece que muchos titulares hablan de que se trata de un malware para esa versión cuando no es cierto. Funcionará en cualquier Mac.
        
  • No hemos analizado el ejecutable para Windows en profundidad, pero parece una puerta trasera igualmente (que curiosamente hace uso de PuTTy). Tiene funcionalidad de rootkit y roba información del sistema.

Resumiendo

Se trata de un malware para Mac y otro para Windows, que se distribuyen a través de un .jar, sin aprovechar fallos de seguridad en Apple o Windows y cuyo fin es espiar a los infectados. Ni demuestra la mayor o menor inseguridad de Apple (porque no aprovecha ninguna vulnerabilidad), ni que el malware para Mac se esté consolidando (su difusión es pequeña comparada con otras amenazas para esa plataforma), ni que Apple haya dejado de ser inmune al malware (un sinsentido creído todavía por muchos)...

Lo que en mi opinión demuestra, es que existe una tremenda falta de entendimiento entre los usuarios y los medios de comunicación.

Más información:

Mac malware spies on infected users through video and audio capture

Mac malware Crisis on Mountain Lion eve?

New Apple Mac Trojan Called OSX/Crisis Discovered

More on OSX/Crisis —Advanced Spy Tool


Sergio de los Santos
Twitter: @ssantosv

jueves, 26 de julio de 2012

Solucionadas dos vulnerabilidades en BIND 9


ISC ha confirmado dos vulnerabilidades que afectan a BIND 9 y que podría permitir a un atacante remoto causar condiciones de denegación de servicio.


BIND (Berkeley Internet Name Domain) es el software para servidores de gestión del protocolo DNS más utilizado en Internet gracias a su alta compatibilidad con los estándares de este protocolo.

El primero de los problemas, con CVE-2012-3817, solo afecta a sistemas configurados con validación DNSSEC. BIND 9 almacena una caché con los nombres de las consultas que sabe que están fallando debido a una mala configuración de los servidores de nombres o a una rotura de la cadena de confianza. Bajo grandes cargas de consultas cuando la validación DNSSEC está activa, es posible provocar una condición en que se usen los datos de esta caché de consultas fallidas antes de que esté totalmente inicializada, provocando un error de aserción. Afecta a las versiones 9.6-ESV-R1 hasta 9.6-ESV-R7-P1; 9.7.1 hasta 9.7.6-P1; 9.8.0 hasta 9.8.3-P1; 9.9.0 hasta 9.9.1-P1. Las versiones de BIND 9.4 y 9.5 también se ven afectadas, pero estas ramas están fura del soporte y no se van a publicar actualizaciones de de seguridad.

Por otra parte, el problema con CVE-2012-3868 afecta a las versiones 9.9.0 hasta 9.9.1-P1. BIND 9 realiza el seguimiento de las consultas entrantes a través de una estructura llamada "ns_client". Cuando se ha respondido una consulta y la estructura "ns_client" ya no es necesaria, se almacena en una cola de "ns_client" inactivos. Cuando se necesita un nuevo "ns_client" para una nueva consulta, se comprueba la cola para ver si hay disponible algún "ns_client" inactivo antes de asignar uno nuevo. Esto acelera el sistema, evitando asignaciones y desasignaciones de memoria innecesarias. Sin embargo, cuando la cola está vacía, y un hilo inserta un "ns_client" en ella mientras otro hilo intenta eliminarlo, una condición de carrera podría provocar la pérdida del "ns_client", ya que la cola puede parecer vacía. En este caso, se asigna en memoria un nuevo "ns_client". Es raro que se produzca esta condición con consultas UDP, pero puede ser bastante más frecuente con altas cargas de consultas TCP; con el tiempo, el número de asignaciones erróneas de "ns_client" puede ser suficientemente grande para afectar al rendimiento del sistema. Incluso, puede provocar un cierre automático del proceso named en sistemas con mecanismo "OOM (out-of-memory) Killer".

Se recomienda actualizar a las versiones más recientes de BIND 9 versión 9.9.1-P2, versión 9.8.3-P2, versión 9.7.6-P2 o versión 9.6-ESV-R7-P2 disponibles desde:

Más información:

CVE-2012-3817: Heavy DNSSEC Validation Load Can Cause a "Bad Cache" Assertion Failure in BIND9

CVE-2012-3868: High TCP Query Load Can Trigger a Memory Leak in BIND 9



Antonio Ropero
Twitter: @aropero

miércoles, 25 de julio de 2012

Apple corrige más de 120 vulnerabilidades en Safari 6


Apple ha publicado una actualización de seguridad para su navegador Safari versión 6 para OS X que solventa múltiples vulnerabilidades que podrían ser aprovechadas por un atacante remoto para lograr el compromiso de los sistemas afectados.

Safari es un popular navegador web desarrollado por Apple, incluido en las sucesivas versiones de Mac OS X y del que también existen versiones oficiales para Windows 7, XP y Vista.

Esta actualización corrige un total de 121 vulnerabilidades, 105 de ellas podrían permitir a un atacante remoto ejecutar código arbitrario. El resto pueden permitir obtener información sensible o facilitar la realización de ataques de cross-site scripting. Gran parte de las vulnerabilidades están relacionadas con WebKit. 43 de las vulnerabilidades corregidas fueron reportadas o anunciadas el año pasado.


Se recomienda a los usuarios actualizar inmediatamente a esta nueva versión desde http://www.apple.com/safari/download/.

Más información:

About the security content of Safari 6


Antonio Ropero
Twitter: @aropero

martes, 24 de julio de 2012

Envenenamiento DNS en Android: puede ser engañado a la hora de resolver dominios

Roee Hay y Roi Saltzman del equipo IBM Application Security Research Group, han descubierto una vulnerabilidad en el sistema DNS de Android, que afecta a la versión 4.0.4 (Ice Cream Sandwich) y anteriores. Permite a un atacante hacer que un dominio resuelva hacia otra dirección.

La vulnerabilidad se debe a una implementación débil del sistema generador de números pseudo-aleatorios que se utilizan como identificador único de cada petición DNS. La debilidad de este sistema está ocasionada por el uso del identificador del proceso (PID) y la hora actual como semilla para generar los números aleatorios.

Sistema DNS

En el protocolo DNS (cuando trabaja sobre UDP) las peticiones DNS para resolver dominios se envían al servidor con un identificador único en los paquetes que conforman la petición. Así, a la hora de que el servidor responda, sabe a quién corresponde cada conversación.

Este identificador debe estar conformado por un valor aleatorio y el puerto UDP de destino. Para que un ataque de envenenamiento de DNS a este nivel funcione, un atacante podría enviar respuestas falsas al que intenta resolver (y hacerlo antes de que llegue la respuesta legítima del servidor real consultado).

En esta inundación de respuestas falsificaría la relación dominio-ip y podría engañar a la víctima. Tratándose de UDP (que no necesita confirmación de las dos partes como TCP) esto es posible. En cierta manera, lo que impide este ataque es precisamente ese código aleatorio que genera el cliente cuando quiere resolver. El atacante debe intentar predecir el próximo número aleatorio e inyectar respuestas que el sistema de resolución DNS no ha solicitado. Así puede engañarlo.

Si el identificador generado para cada consulta no es suficientemente aleatorio y llega a ser predicho de alguna manera, el atacante solo tiene que inundar al resolvedor de paquetes UDP con una pequeña cantidad de respuestas DNS. La que coincida será tomada en serio por el dispositivo que intenta resolver, haciéndole caso a los paquetes del atacante en vez de al servidor DNS legítimo consultado.

Si por el contrario el sistema de resolución realmente elige números aleatorios, las posibilidades del atacante son mínimas y necesitaría años para poder engañar al dispositivo. En el caso de Android, de los 32 bits posibles que pueden componer el identificador, se han visto que hasta 21 no eran realmente aleatorios, lo que facilita enormemente este ataque.

¿A qué se expone la víctima?

Este fallo podría permitir a un atacante predecir el identificador único y llevar a cabo un envenenamiento DNS tradicional, enviando paquetes UDP a la víctima. En la demostración del vídeo, el ataque dura solo unos 10 minutos.

Una aplicación interesante que proponen los descubridores es la de incitar a la víctima a visitar una web del atacante. Esta, a través de JavaScript, comienza a "estimular" al sistema de resolución intentando resolver subdominios que no existen. El atacante además comienza a inyectar respuestas desde otro punto. El sistema de resolución se "confunde" y acaba creyendo que el dominio está en la IP que pertenece al atacante. Este configura el servidor web en esa IP para que robe todas las cookies de la víctima. El usuario acaba visitándola y así se podrá suplantar su usuario en cualquier página.

Han publicado un vídeo con una prueba de concepto como demostración de la vulnerabilidad, en la que se obtienen las cookies de un dominio.:


Por supuesto, para consumar totalmente estos ataques sobre páginas autenticadas con SSL, la víctima debería obviar las alertas del navegador.

La vulnerabilidad ha sido reportada y corregida por el del Android Security Team en la versión 4.1.1. En esta versión, para obtener números aleatorios se utiliza /dev/urandom que dispone de una entropía adecuada determinada por la actividad en la red.

Más información:

Weak randomness in Android’s DNS resolver (CVE-2012-2808)

Android DNS Poisoning: Randomness gone bad (CVE-2012-2808)

Android DNS Poisoning: Randomness gone bad (CVE-2012-2808)



Juan José Ruiz

Sergio de los Santos
Twitter: @ssantosv

lunes, 23 de julio de 2012

Nueva versión de Wireshark corrige dos denegaciones de servicio


Se han lanzado nuevas versiones de Wireshark para todas sus ramas que solucionan dos vulnerabilidades de denegación de servicio.

Wireshark es un analizador de tráfico de redes que se utiliza para solucionar problemas; auditorías y análisis; desarrollo de software de red y protocolos de comunicaciones; y con fines educativos. Es una aplicación de código abierto, libre, multiplataforma (Unix, Mac OS X, y Microsoft Windows) y soporta una gran cantidad de protocolos, lo que la hace una herramienta muy popular.

Se han encontrado dos vulnerabilidades en Wireshark que podrían provocar que la aplicación dejara de responder, causando una denegación de servicio.

La primera de estas vulnerabilidades, CVE-2012-4048, está relacionada con el protocolo punto a punto (Point-to-Point Protocol o PPP) y se debe a una desreferencia de puntero no válido que podría corromper la memoria.

La otra, identificada como CVE-2012-4049, se encuentra localizada en el fichero 'epan/dissectors/packet-nfs.c' del disector NFS (Network File System) que podría provocar un bucle demasiado largo o infinito y causar un consumo excesivo de recursos de la CPU.

Ambas vulnerabilidades podrían ser aprovechadas de forma remota para causar una denegación de servicio a través de la inyección de un paquete especialmente manipulado en la red, o convenciendo a un usuario para que abra un fichero de captura de tráfico.

Estas vulnerabilidades afectan a las versiones de Wireshark anteriores a 1.8.1, 1.6.9, y 1.4.14.

Más información:

PPP dissector crash

Large loop in the NFS dissector



Juan José Ruiz

domingo, 22 de julio de 2012

Ejecución código en Backup Exec System Recovery 2010 y Symantec System Recovery 2011


Nenad Stojanovski ha descubierto un problema de "DLL hijacking" que afecta a los productos Backup Exec System Recovery 2010 y Symantec System Recovery 2011 y que podría permitir la ejecución de código arbitrario por parte de un atacante remoto.


Backup Exec System Recovery y Symantec System Recovery son dos soluciones de copias de seguridad y restauración de equipos desde ubicaciones locales o externas.

El boletín y los parches publicados corrigen la vulnerabilidad con identificador CVE-2012-0305. Se  debe a una incorrecta restricción de rutas externas en el sistema de archivos desde donde se cargan las librerías de las aplicaciones a través de "Granular Restore Option" y "Recovery Point Browser".

Un atacante remoto con acceso a la red local podría aprovechar esta vulnerabilidad, y engañar a un usuario para cargar una librería especialmente manipulada desde un servidor de archivos remoto (por ejemplo WebDAV o SMB) y lograr ejecutar código remoto con los permisos de ese usuario.

Se trata del conocido "DLL hijacking" que ha afectado a tantas aplicaciones desde agosto de 2010. El problema está en cientos (todavía se están descubriendo) de aplicaciones de terceros (y propias de Microsoft) a la hora de cargar librerías dinámicas (archivos DLL). Si las aplicaciones no especifican las rutas completas de las librerías que necesitan, Windows podría llegar, en su búsqueda, a "encontrar" primero las librerías de los atacantes y ejecutarlas.

Se ha determinado que uno de los archivos involucrados es la librería "imapi.dll" que proporciona el sistema operativo de Microsoft en sus versiones anteriores a Windows Vista y del que hace uso internamente la aplicación de Symantec, que recomienda su actualización a imapiv2.

Symantec ha publicado un service pack para cada uno de estos productos (SP5 para Backup Exec System Recovery 2010, y SP2 para Symantec System Recovery 2011) que solucionan esta vulnerabilidad.

Además recomienda a los clientes de estas aplicaciones aplicar el parche de seguridad de Microsoft Hotfix 932716 si utilizan un sistema operativo Windows XP o Windows 2003 Server.

Más información:

Symantec System Recovery 2011 and Backup Exec System Recovery 2010 DLL Loading (SYM12-012)

Microsoft Hotfix 932716

Microsoft confirma un grave problema de seguridad "compartido" con cientos de aplicaciones de terceros



Juan José Ruiz


sábado, 21 de julio de 2012

Múltiples vulnerabilidades corregidas en Moodle


Se han publicado 12 boletines de seguridad para Moodle que solucionan vulnerabilidades que podían permitir la denegación de servicio, ataques XSS, inyección de código HTML y JavaScript, salto de restricciones de seguridad y revelación de información sensible.

Moodle es una aplicación web del tipo LMS (Learning Management System), escrita en PHP que se utiliza para la gestión de cursos en línea. Está publicada bajo licencia GNU GPL y ha sido traducida a más de 91 idiomas. Además de la comunicación entre profesorado y alumnos, dispone de distintas herramientas, como la subida de ficheros, calendario y foros.

Se han dado a conocer 12 vulnerabilidades en total (del boletín MSA-12-0039 al MSA-12-0050), siendo calificadas 10 de estas como de importancia menor y dos de importancia seria. Prácticamente todas las versiones, desde la 2.3 a la 2.0 están afectadas por alguna, pero especialmente las versiones  2.2 y 2.1.

La mayoría de los boletines solucionan vulnerabilidades provocadas por una incorrecta validación de datos, lo que daba lugar a diferentes impactos. Especialmente importantes son los boletines MSA-12-0047 y MSA-12-0041 que podrían permitir inyección SQL y ataques XSS, respectivamente. Otras vulnerabilidades, aunque calificadas como menores, son especialmente fáciles de aprovechar, como MSA-12-0050 que puede causar una denegación de servicio sólo realizando una búsqueda avanzada en el sitio.

A continuación detallamos las vulnerabilidades, identificándolas por su numero de boletín y CVE.

  • MSA-12-0039 (CVE-2012-3387): En la función 'file_save_draft_area_files' de 'lib/filelib.php' no se validan correctamente los límites de fichero cuando está activado el uso de referencias, lo que permitía la subida de ficheros sin limitar su tamaño cuando las referencias se permiten.
        
  • MSA-12-0040 (CVE-2012-3388): Un fallo en la función 'is_enrolled' de 'lib/accesslib.php' provoca que no se comprueben las capacidades de los usuarios cacheados, posibilitando así el salto de restricciones de seguridad.
         
  • MSA-12-0041 (CVE-2012-3389): Existe un error de falta de limpieza de los valores 'lti_typename' y 'lti_toolurl' de las peticiones de tipo POST en el módulo LTI que podría ser utilizado para llevar a cabo ataques 'cross-site scripting' (XSS) a través de peticiones POST.
         
  • MSA-12-0042 (CVE-2012-3390): Existe un fallo de comprobación de permisos en la función 'file_pluginfile' que podría permitir que los datos incrustados en un bloque estuvieran accesibles aun habiendo ocultado dicho bloque, lo que podría revelar información sensible.
         
  • MSA-12-0043 (CVE-2012-3391): Debido a una falta de comprobación del usuario que hace peticiones por RSS en 'forum/rsslib.php', un usuario podría ver el contenido de los foros Q&A sin haber creado ningún tema en el foro, lo cual es requisito para ello. Esto puede revelar información sensible a usuarios sin permisos para acceder a ella.
         
  • MSA-12-0044 (CVE-2012-3392): No se revisan correctamente las capacidades de un usuario a la hora de eliminar su suscripción de un foro, lo que podría permitir que llevaran a cabo esta acción sin tener permisos para ello realizando un salto de restricciones.
         
  • MSA-12-0045 (CVE-2012-3393): En 'repository/lib.php', responsable de la administración de los repositorios, los formularios para renombrar estos no estaban siendo filtrados, lo que podría provocar la inyección de código HTML o JavaScript a través de un nombre de repositorio especialmente diseñado.
         
  • MSA-12-0046 (CVE-2012-3394): Cuando se produce un redirección de un usuario tras la autenticación por LDAP a través de HTTPS, la función 'redirect' realiza esta redirección a través de HTTP.
        
  • MSA-12-0047 (CVE-2012-3395): El parámetro 'data_submitted' de el modulo de retroalimentación (feedback) no estaba siendo correctamente filtrado, lo que podía permitir ataques de inyección SQL.
         
  • MSA-12-0048 (CVE-2012-3396): En la zona de administración de cohortes o grupos globales, el parámetro 'name' no estaba siendo correctamente filtrado, lo que podía permitir ataques 'cross-site scripting' (XSS). Este error se introdujo con el parche para solucionar el boletín MDL-31691 .
         
  • MSA-12-0049 (CVE-2012-3397): A la hora de mostrar las actividades, la política de restricción de accesos 'show availability' sustituye erróneamente a las políticas de grupo, permitiendo que usuarios no autorizados vieran la actividad de otros usuarios que no debería serle revelada.
         
  • MSA-12-0050 (CVE-2012-3398): A través de la funcionalidad 'búsqueda avanzada' podrían hacerse peticiones ineficientes a la base de datos cuando esta tiene un gran número de registros y causar un ataque de denegación de servicio, provocada por largos periodos con gran carga de CPU.


Las vulnerabilidades de los boletines MSA-12-0046, MSA-12-0048 y MSA-12-0049 solo afectan a las versiones 2.3.x, 2.2.x, 2.1.x y 2.0.x.

Las versiones afectadas por los boletines MSA-12-0047 y MSA-12-0050 son las 2.2.x, 2.1.x y 2.0.x.

MSA-12-0040, MSA-12-0041 afectan a las versiones 2.3.x y 2.2.x, mientras que los boletines MSA-12-0042, MSA-12-0043, MSA-12-0044, MSA-12-0045 lo hacen a las versiones 2.2.x y 2.1.x.

Finalmente, MSA-12-0039 sólo afecta a la versión 2.3.x

Estas vulnerabilidades ya se encuentran corregidas en la última versión del código disponible en los repositorios públicos para cada una de las versiones de Moodle.

Más información:

MSA-12-0039: File upload validation issue

MSA-12-0040: Capabilities issue through caching

MSA-12-0041: XSS issue in LTI module

MSA-12-0042: File access issue in blocks

MSA-12-0043: Early information access issue in forum

MSA-12-0044: Capability check issue in forum subscriptions

MSA-12-0045: Injection potential in admin for repositories

MSA-12-0046: Insecure protocol redirection in LDAP authentication

MSA-12-0047: SQL injection potential in Feedback module

MSA-12-0048: Possible XSS in cohort administration

MSA-12-0049: Group restricted activity displayed to all users

MSA-12-0050: Potential DOS attack through database activity




Francisco López


viernes, 20 de julio de 2012

Vulnerabilidades en IBM DB2


Se han anunciado diferentes vulnerabilidades en IBM DB2 (el popular gestor de base de datos de IBM). Un atacante podría acceder a información sensible, evitar restricciones de seguridad o llegar a comprometer los sistemas afectados.

Se ven afectadas las versiones 9.1 Fix Pack 11 y anteriores, 9.5 Fix Pack 9 y anteriores, 9.7 Fix Pack 6 y anteriores, 9.8 Fix Pack 5 y anteriores y 10.1 de DB2 UDB para Linux, UNIX y Windows.

Los problemas residen en un error en el procedimiento SQLJ.DB2_INSTALL_JAR (CVE-2012-2194), un desbordamiento de buffer relacionado a la infraestructura de procedimientos almacenados Java (CVE-2012-2197), un error en los procedimientos GET_WRAP_CFG_C y GET_WRAP_CFG_C2 (CVE-2012-2196) y una escalada de privilegios en DAS (CVE-2012-0711).

IBM ha publicado Fix Pack para los productos afectados disponibles desde

Más información:

Security Vulnerabilities, HIPER and Special Attention APARs fixed in DB2 for Linux, UNIX, and Windows Version 9.1 Fix Pack 12



Antonio Ropero

jueves, 19 de julio de 2012

Boletines de seguridad y nuevas funcionalidades para productos Mozilla


En total, han sido 14 boletines los publicados, que cubren 18 vulnerabilidades de importancias critica, alta y moderada. Además, en Firefox se introduce por defecto el protocolo SSL en las búsquedas de Google.

Además de las correcciones comentadas más abajo, una de las novedades más importantes en esta nueva versión es la inclusión por defecto de SSL en las búsquedas en Google, ya sea a través de la barra de direcciones, la barra de búsqueda o el menú contextual. Esta mejora tiene un doble objetivo: en primer lugar, cifrar las consultas de los usuarios de Firefox al buscador para protegerlos en entornos donde se monitorice el tráfico de red o se puedan censurar o modificar los resultados.

En segundo lugar, evita que los términos de la búsqueda se propaguen a través del "referer". Este campo de la cabecera HTTP almacena el sitio web inmediatamente anterior que se ha visitado y se lo traspasa a la nueva página que se visita. Google, al utilizarse SSL, elimina la parte del referer que muestra los términos de la consulta, no quedando registrados en los logs de acceso del sitio objetivo.

Por ejemplo, si buscásemos el termino "Hispasec" en http://www.google.es/, en el referer quedaría algo como:


Que muestra información relativa a la consulta (q=hispasec) y al navegador (sourceid=chrome). Al pulsar sobre un enlace, toda esta información podría quedar registrada en los logs del sitio que visitemos. Sin embargo, si usamos SSL a través de https://www.google.es/, lo que viajaría en el referer sería, simplemente:


Eliminando esta información y mejorando la privacidad... excepto para los anuncios patrocinados de Google. En ese caso, la información del referer sí sería enviada. Google justifica este comportamiento apelando a la necesidad de los anunciantes de conocer los movimientos de los clientes potenciales y así afinar su público objetivo.

Google lleva tiempo implementando este sistema en Chrome, al que ahora se le une Firefox. Mozilla espera que otros motores de búsqueda den soporte a esta funcionalidad en el futuro.

Además, se ha introducido un cambio en la forma en la que se muestra la información de cifrado del sitio, haciéndola más simple e impidiendo que se produzca la suplantación de sitios legítimos usando su favicon. Ahora el favicon sólo puede tomar tres iconos, correspondientes a sitios sin cifrado, con cifrado SSL y con Certificado de Validación extendida.

Respecto a las vulnerabilidades corregidas, han sido finalmente 14 boletines que afectan a Firefox, Thunderbird y SeaMonkey, y que pasamos a comentar a continuación:

Cinco de importancia crítica

MFSA 2012-56: Una vulnerabilidad de ejecución de código remoto a través de URLs con el formato javascript:.
MFSA 2012-52: Corrupción de memoria a través de conversiones de JSDependentString::undepend a cadenas fijas.
MFSA 2012-49: Un salto de restricciones de seguridad de los SCSW.
MFSA 2012-44: Cuatro vulnerabilidades de corrupción de memoria a través de varias funciones.
MFSA 2012-42: Otras dos corrupciones de memoria que afectan principalmente a Firefox.

Cuatro de importancia alta

MFSA 2012-47: Cross-site scripting a través del protocolo feed, que permite la ejecución de código javascript.
MFSA 2012-46: Ejecución de código debido a un XSS a través de URLS del tipo data:.
MFSA 2012-45: Una vulnerabilidad que podría dar lugar a la suplantación de URIs.
MFSA 2012-53: Una vulnerabilidad que podría permitir el robo de
credenciales OpenID y tokens OAuth a través de Content Security Policy (CSP).

Cinco de importancia moderada.

MFSA 2012-55: Un ataque XSS a través del protocolo feed:.
MFSA 2012-51: Secuestro de clicks a través de la cabecera X-Frame-Options.
MFSA 2012-50: Revelación de información confidencial a través de las
librerías de administración de colores de Mozilla.
MFSA 2012-48: Ejecución de código arbitrario a través de
nsGlobalWindow::PageHidden.
MFSA 2012-43: Suplantación de sitios web a través del arrastre de URIs a
la barra de direcciones.

La solución a estas vulnerabilidades y las nuevas funcionalidades del navegador se han introducido en las versiones Firefox 14, Firefox ESR 10.0.6,Thunderbird 14, Thunderbird ESR 10.0.6 y SeaMonkey 2.11, que pueden descargarse ya desde el sitio oficial de Mozilla

Más información:

Known vulnerabilities in Mozilla Products

Firefox release notes

Mozilla Foundation Security Advisories

MFSA 2012-56 Code execution through javascript: URLs

MFSA 2012-55 feed: URLs with an innerURI inherit security context of page

MFSA 2012-54 Clickjacking of certificate warning page

MFSA 2012-53 Content Security Policy 1.0 implementation errors cause data leakage

MFSA 2012-52 JSDependentString::undepend string conversion results in memory corruption

MFSA 2012-51 X-Frame-Options header ignored when duplicated

MFSA 2012-50 Out of bounds read in QCMS

MFSA 2012-49 Same-compartment Security Wrappers can be bypassed

MFSA 2012-48 use-after-free in nsGlobalWindow::PageHidden

MFSA 2012-47 Improper filtering of javascript in HTML feed-view

MFSA 2012-46 XSS through data: URLs

MFSA 2012-45 Spoofing issue with location

MFSA 2012-44 Gecko memory corruption

MFSA 2012-43 Incorrect URL displayed in addressbar through drag and drop

MFSA 2012-42 Miscellaneous memory safety hazards (rv:14.0/ rv:10.0.6)


Francisco López