lunes, 30 de junio de 2014

Elevación de privilegios en IBM AIX

Se ha confirmado una vulnerabilidad que afecta a IBM AIX 6.1 y 7.1 y que podría permitir a un atacante local elevar sus privilegios en el sistema.

AIX (Advanced Interactive eXecutive) es un sistema operativo UNIX abierto propiedad de IBM que opera en las pSeries de los IBM eServers, utilizando procesadores de la familia IBM Power de 32 y 64 bits.

El problema (con CVE-2014-3074) reside en el enlazador en tiempo de ejecución a través de la sobreescritura con privilegios elevados de archivos arbitrarios. La vulnerabilidad se produce cuando las variables de entorno MALLOCOPTIONS y MALLOCBUCKETS están configuradas con opciones estadísticas para los buckets y podría permitir a un usuario local sin privilegios conseguir elevar sus privilegios a root.

IBM ha publicado los siguientes APAR para corregir la vulnerabilidad, que pueden descargarse desde:
Para 6.1.7: IV61313
Para 6.1.8: IV61311
Para 6.1.9: IV60935
Para 7.1.1: IV61315
Para 7.1.2: IV61314
Para 7.1.3: IV60940

Más información:

AIX Malloc vulnerability



Antonio Ropero
Twitter: @aropero




domingo, 29 de junio de 2014

Apple publica iOS 7.1.2 y soluciona 42 vulnerabilidades

Dos meses después de publicar iOS 7.1.1, Apple ha liberado la versión 7.1.2 de iOS, su sistema operativo para dispositivos móviles. Dicha versión, además de incluir diferentes mejoras, contiene la solución a 42 vulnerabilidades, algunas de ellas podrían permitir ejecutar código arbitrario.
                                         
Una vulnerabilidad ya conocida es la referente al cifrado de los adjuntos de los correos que quedaban sin cifrar y accesibles para un atacante, que ya comentamos en una-al-dia anteriormente. Este problema (CVE-2014-1348) hacía referencia a la protección pensada para en caso de que un atacante tenga acceso (o sustraiga) a un dispositivo no pueda acceder, no ya solo a sus funciones, sino que tampoco pueda conseguir los datos almacenados. Sin embargo esta funcionalidad dejaba los documentos adjuntos de los mensajes de correo electrónico sin cifrar.

Por otra parte también se ha mejorado la conectividad y estabilidad de iBeacon. Adicionalmente se ha solucionado un problema que afectaba a la transferencia de datos en algunos accesorios de otros fabricantes, entre ellos escáneres de códigos de barras.

Esta versión incluye una actualización de la lista de certificados. Otro problema relacionado con CoreGraphics podría permitir la ejecución de código arbitrario al visualizar archivos XBM específicamente creados (CVE-2014-1354). Diversos desbordamientos de buffer y de entero en launchd que también podrían permitir la ejecución de código arbitrario.

Una vulnerabilidad en Lockdown podría permitir a un atacante con acceso al dispositivo evitar el código de bloqueo (CVE-2014-1360) y problemas en la pantalla de bloqueo que permitirían exceder el máximo de intentos para introducir la contraseña (CVE-2014-1352) o acceder a la aplicación en segundo plano antes del bloqueo (CVE-2014-135). Oro problema permitía desactivar la función de "Buscar mi iPhone" sin introducir la contraseña de iCloud (CVE-2014-1350).

Se ha solucionado una ejecución de código arbitrario al visitar una página web específicamente creada con Safari (CVE-2014-1349) y un fallo en Siri permitía acceder a todos los contactos sin desbloquear el dispositivo (CVE-2014-1351). Otros problemas afectan al kernel (CVE-2014-1355), Secure Transport (CVE-2014-1361) y 30 vulnerabilidades en WebKit.

Esta nueva versión está disponible para los dispositivos Apple iPhone 4 y posteriores, iPad 2 y posteriores e iPod a partir de 5ª generación. La actualización está disponible a través de iTunes o del propio dispositivo (en Ajustes/General/Actualización de software).

Más información:

una-al-dia (21/04/2014) Apple publica IOS 7.1.1 y soluciona 19 vulnerabilidades

una-al-dia (05/05/2014) Vulnerabilidad permite el acceso a los adjuntos de los correos en iOS 7.1.1

iOS 7: List of available trusted root certificates

APPLE-SA-2014-06-30-3 iOS 7.1.2


Antonio Ropero
Twitter: @aropero

sábado, 28 de junio de 2014

Actualización del kernel para Red Hat Enterprise Linux 7

Red Hat ha publicado una actualización del kernel para toda la familia Red Hat Enterprise Linux 7 que solventa ocho nuevas vulnerabilidades que podrían ser aprovechadas por atacantes locales para elevar sus privilegios en el sistema, acceder a información sensible o provocar fugas de memoria. 

Los problemas corregidos se deben a un error en el subsistema futex que podría permitir a usuarios locales sin privilegios elevar sus privilegios en el sistema (CVE-2014-3153). Un fallo por uso después de liberar memoria en la función ping_init_sock() que podría permitir a usuarios locales sin privilegios provocar denegaciones de servicio o elevar sus privilegios.

También se han corregido dos problemas (CVE-2014-1737 y CVE-2014-1738) en el controlador de disco del kernel de Linux, que podrían permitir a un usuario local con acceso de escritura a /dev/fdX elevar sus privilegios en el sistema.

Un usuario local sin privilegios podría emplear un error en la función aio_read_events_ring() para descubrir partes aleatorias de la memoria física pertenecientes al kernel o a otros procesos (CVE-2014-0206). Otro problema (CVE-2014-2568) reside en una fuga de información en la función skb_zerocopy().

Por último, dos problemas de acceso a memoria fuera de límites en la extensión Netlink Attribute del interprete Berkeley Packet Filter (BPF) en la implementación de red del kernel de Linux. Un usuario local sin privilegios podría usar esta vulnerabilidad para provocar caídas del sistema o filtrar memoria del kernel al espacio de usuario (CVE-2014-3144, CVE-2014-3145).

Además se han solucionado otros fallos de menor importancia y se han incluido algunas mejoras. Ésta actualización está disponible desde Red Hat Network.

Más información:

Important: kernel security, bug fix, and enhancement update



Antonio Ropero
Twitter: @aropero

viernes, 27 de junio de 2014

Diversas vulnerabilidades en PHP

Recientemente el equipo de desarrollo de PHP ha publicado las actualizaciones para las ramas 5.5 y 5.4 de PHP que solucionan ocho vulnerabilidades que pueden ser aprovechadas para provocar denegaciones de servicio e incluso comprometer los sistemas afectados.

Gran parte de los problemas residen en errores en la extensión Fileinfo que pueden explotarse para provocar denegaciones de servicio a través de archivos CDF específicamente creados (CVE-2014-0207, CVE-2014-3478, CVE-2014-3479, CVE-2014-3480 y CVE-2014-3487).

Se ha corregido un problema (CVE-2014-3981) de uso inseguro de archivos temporales en el script de configuración, lo que podría permitir a usuarios locales sobreescribir archivos arbitrarios mediante un ataque por enlaces simbólicos.

Un desbordamiento de búfer en la función php_parserr de ext/standard/dns.c que podría permitir a servidores remotos la ejecución de código a través de registros DNS TXT modificados (CVE-2014-4049).

Por ultimo, un error (CVE-2014-3515) de confusión de tipos en ArrayObject y SPLObjectStorage de SPL (Standard PHP Library, Biblioteca Estándar de PHP).

También se han solucionado otros problemas en el núcleo de PHP, CLI server, Date, Intl, Network, OpenSSL, SOAP y SPL.

Se recomienda actualizar cuanto antes a las nuevas versiones 5.4.30 y 5.5.14 desde :

Más información:

PHP 5.4.30 Release Announcement

PHP 5.5.14 Release Announcement

PHP 5 ChangeLog


Antonio Ropero

Twitter: @aropero

jueves, 26 de junio de 2014

Cross-Site Scripting en la consola de configuración de Sophos AntiVirus

Se ha anunciado una vulnerabilidad en la Consola de Configuración (versión Linux) de Sophos Antivirus que podría permitir a un atacante remoto construir ataques de cross-site scripting. 

El problema reside en que varios scripts de la versión Linux de la Consola de Configuración (Configuration Console) de Sophos Antivirus 9.5.1 no filtran adecuadamente algunos parámetros antes de devolverlos de nuevo al navegador, lo que podría dar lugar a ataques cross-site scripting. No se ha confirmado que otras plataformas puedan verse afectadas.

Se han detectado como afectados las siguientes URLs y parámetros:
http://localhost:8081/exclusion/configure
newListList:ExcludeFileOnExpression
newListList:ExcludeFilesystems
newListList:ExcludeMountPaths
 
http://localhost:8081/notification/configure
text:EmailServer
newListList:Email

Este problema permite a usuarios remotos la ejecución de código script en el navegador del usuario. Con ello el atacante podría acceder a las cookies (incluyendo las de autenticación) y a información recientemente enviada, además de poder realizar acciones en el sitio haciéndose pasar por la víctima.

Sophos ha publicado versión 9.6.1 que corrige la vulnerabilidad.

Más información:

Vulnerability title: Multiple Cross Site Scripting in Sophos Antivirus Configuration Console (Linux)



Antonio Ropero
Twitter: @aropero


miércoles, 25 de junio de 2014

Denegación de servicio en dispositivos Cisco IOS

Cisco ha anunciado la existencia de una vulnerabilidad de denegación de servicio en dispositivos con software Cisco IOS.

La vulnerabilidad se debe a un tratamiento incorrecto de paquetes IPsec mal construidos. Un atacante podrá explotar esta vulnerabilidad para provocar el reinicio del dispositivo mediante el envío de paquetes IPsec específicamente diseñados. La repetición del ataque de forma continuada podrá provocar la condición de denegación de servicio.

La vulnerabilidad tiene asignado el CVE-2014-3299, y con un CVSS de 6,8 está considerada por Cisco como de gravedad media; por lo que los usuarios afectados deberán contactar con su canal de soporte para obtener versiones actualizadas, ya que Cisco no ofrece actualizaciones gratuitas para los problemas considerados de gravedad baja a media.

Más información:

Cisco IOS Software IPsec Denial of Service Vulnerability



Antonio Ropero
Twitter: @aropero


martes, 24 de junio de 2014

Vulnerabilidad en SAP NetWeaver

Se ha anunciado una vulnerabilidad en SAP NetWeaver que podría permitir a atacantes remotos modificar la información de los sistemas SAP e incluso llegar a comprometer toda la información de la compañía.

NetWeaver es una plataforma compuesta por todas las aplicaciones SAP con objeto de lograr una mejor integración entre dichas aplicaciones, utilizar estándares para asegurar la interoperabilidad, aportar una gran flexibilidad, y reducir los costos. SAP NetWeaver es ampliamente utilizado en el mundo empresarial.

El problema reside en el componente System Landscape Directory o SLD (incluido en todos los SAP JAVA Application Servers). SLD actúa como repositorio central de información de las aplicaciones.

El mecanismo empleado para añadir nuevos sistemas al SLD no está adecuadamente asegurado por defecto, lo que puede dar lugar a que un atacante remoto sin autenticar pueda interactuar con el SLD y por el diseño de su arquitectura, podría llegar al compromiso total del sistema.

SAP ha publicado la SAP Note 1939334 para proporcionar versiones actualizadas de los componentes afectados. Los parches pueden descargarse desde:

Más información:

[Onapsis Security Advisory 2014-020] SAP SLD Information Tampering


Antonio Ropero
Twitter: @aropero

lunes, 23 de junio de 2014

Google publica Android 4.4.4 y corrige vulnerabilidad en OpenSSL

Aunque recientemente Google lanzó Android 4.4.3 para los usuarios de sus teléfonos y tabletas Nexus, acaba de publicar las imágenes, binarios y código fuente del nuevo Android Kitkat 4.4.4, que soluciona la última vulnerabilidad grave descubierta en OpenSSL.

La actualización Android 4.4.4 (versión build KTU84P) corrige principalmente la vulnerabilidad con CVE-2014-0224 en la librería criptográfica OpenSSL, anunciada a primeros de junio. Esta vulnerabilidad podría permitir el espionaje de conversaciones cifradas mediante un ataque de hombre en el medio. Hay que aclarar que esta vulnerabilidad no debe confundirse con la mucho más popular "Heartbleed" anunciada hace dos meses.

También se ha confirmado que esta nueva actualización corrige otros problemas de seguridad, que aunque no tan graves afectan a Android Compatibility Test Suite, Framework Classes y en el navegador Chrome.

Como es habitual desde que Google publica una versión de Android hasta que llega a todos los usuarios puede pasar mucho tiempo. Los primeros que podrán disfrutar de Android 4.4.4 serán los Nexus 4, 5, 7 y 10. El resto de fabricantes y operadoras tendrán que adaptar Android 4.4.4 a cada modelo.

Más información:

una-al-dia (05/06/2014) OpenSSL corrige nuevas vulnerabilidades graves

Factory Images for Nexus Devices

Android Kitkat 4.4.4 released by Google to tackle OpenSSL security hole

Google rolls out Android Kitkat 4.4.4 build KTU84P upgrade to fix the CVE-2014-0224 vulnerability


Antonio Ropero
Twitter: @aropero


domingo, 22 de junio de 2014

Segunda lección "Criptografía cuántica" en el MOOC Computación y Criptografía Cuántica de Crypt4you

Se ha publicado la segunda lección del curso de Computación y Criptografía Cuántica en el MOCC Crypt4you de los autores Dra. Alfonsa García, Dr. Francisco García y Dr. Jesús García, pertenecientes al Grupo de Innovación Educativa GIEMATIC de la Universidad Politécnica de Madrid, España. 

En esta segunda lección de título Criptografía cuántica, los autores nos presentan los avances en las herramientas y procesos criptográficos basados en la computación cuántica, en particular el protocolo BB84 propuesto en el año 1984 por los investigadores Bennett y Brassard.

Esta segunda lección cuenta con los siguientes apartados:
Apartado 2.1. El problema de la comunicación segura.
Apartado 2.2. Protocolo BB84.
Apartado 2.3. Seguridad del protocolo BB84.
Apartado 2.4. Otros protocolos cuánticos de distribución de claves.
Apartado 2.5. Test de autoevaluación.
Apartado 2.6. Referencias bibliográficas y enlaces de interés.

La tercera y última lección del curso Computación y Criptografía Cuántica de título Algoritmos cuánticos, se publicará en el mes de julio de 2014.

Acceso directo a la Lección 2. Criptografía cuántica:

Acceso al MOOC Crypt4you:

Otros cursos gratuitos completos en el MOOC Crypt4you:
El Algoritmo RSA (Presentación y 10 lecciones)
Privacidad y Protección de Comunicaciones Digitales (Presentación y 7 lecciones)



Jorge Ramió, Alfonso Muñoz

Editores de Crypt4you

sábado, 21 de junio de 2014

Vulnerabilidades de denegación de servicio en Samba

Se han confirmado dos vulnerabilidades en todas las versiones actuales de Samba, que podrían permitir a un atacante provocar condiciones de denegación de servicio.

Samba es un software gratuito que permite acceder y utilizar archivos, impresoras y otros recursos compartidos en una intranet o en Internet. Está soportado por una gran variedad de sistemas operativos, como Linux, openVMS y OS/2. Está basado en los protocolos SMB (Server Message Block) y CIFS (Common Internet File System).

El primero de los problemas (con CVE-2014-0244) podría permitir que un paquete mal construido provoque que el servidor nmbd consuma todos los recursos de la CPU y evitar el funcionamiento del servicio de nombres netBIOS. Por otra parte, con CVE-2014-3493, podría provocarse una caída de smdb si un cliente autenticado intenta acceder a nombres de rutas unicote válidas con una petición no unicode.

Se han publicado parches para solucionar estas vulnerabilidades en
Adicionalmente, se han publicado las versiones Samba 4.1.9, 4.0.19 y 3.6.24 que corrigen los problemas. Parches para versiones antiguas de Samba están disponibles en http://samba.org/samba/patches/

Más información:

Denial of service - Server crash/memory corruption

Denial of service - CPU loop




Antonio Ropero
Twitter: @aropero

viernes, 20 de junio de 2014

Vulnerabilidad en WebVPN de Cisco ASA

Cisco ha anunciado la existencia de una vulnerabilidad en el portal WebVPN de Cisco Adaptive Security Appliances (ASA) por la que un atacante remoto podría conseguir información sensible del sistema afectado.

El problema reside en la validación inadecuada de las entradas en el portal WebVPN del Cisco ASA con versiones 8.4(.7.15) y anteriores. Un atacante podría explotar la vulnerabilidad proporcionando un archivo JavaScript modificado a un usuario WebVPN autenticado, y obtener información sensible del dispositivo afectado.

La vulnerabilidad tiene asignado el CVE-2014-2151. Cisco no ofrece actualizaciones gratuitas para los problemas considerados de gravedad baja a media, por lo que los usuarios afectados deberán contactar con su canal de soporte para obtener versiones actualizadas.

Más información:

Cisco ASA WebVPN Information Disclosure Vulnerability



Antonio Ropero

Twitter: @aropero

jueves, 19 de junio de 2014

Actualización del kernel para Red Hat Enterprise Linux 5

Red Hat ha publicado una actualización considerada importantedel kernel de Red Hat Enterprise Linux 5 (cliente y servidor), que solventa tres nuevas vulnerabilidades que podrían ser aprovechadas por un atacante para obtener información sensible, provocar denegaciones de servicio o elevar sus privilegios. 

El primero de los problemas corregidos, con CVE-2014-1737, reside en la forma en que el controlador de disco del kernel de Linux trata el espacio de usuario en determinados códigos de error. Podría  permitir a un usuario local con acceso de escritura a /dev/fdX liberar memoria del kernel.

También en el controlador de disco del kernel de Linux, se ha corregido otro problema (CVE-2014-1738) debido a que se filtran direcciones de memoria interna del kernel al espacio de usuario, lo que podría permitir a un usuario local con acceso de escritura a /dev/fdX obtener información sensible.

La combinación de estos dos problemas podría permitir a un usuario local elevar sus privilegios en el sistema.

Por último una dereferencia de puntero nulo en la función rds_ib_laddr_check() en la implementación del protocolo Reliable Datagram Sockets (RDS) en el kernel de Linux. Un usuario local sin privilegios podrá emplear esta vulnerabilidad (CVE-2013-7339) para provocar una denegación de servicio.

Además se han solucionado otros fallos de menor importancia. Ésta actualización está disponible desde Red Hat Network.

Más información:

Important: kernel security and bug fix update



Antonio Ropero

Twitter: @aropero

miércoles, 18 de junio de 2014

Diversas vulnerabilidades en Symantec Web Gateway

La consola de administración de Symantec Web Gateway (SWG) se ve afectada por cuatro vulnerabilidades, que incluyen cross-site scripting, inyección de comandos y inyección SQL. 

Symantec Web Gateway es un servicio que actúa como puerta de enlace capturando todo el tráfico HTTP en busca de actividades fraudulentas como URL maliciosas, y tráfico originado por malware.

Existe una vulnerabilidad (CVE-2014-1652) de cross-site scripting en Symantec Web Gateway (SWG) 5.1.1.24 en los parámetros filter_date_period, variable y operator de las páginas
/spywall/entSummary.php
/spywall/custom_report.php
/spywall/host_spy_report.php
/spywall/repairedclients.php

La misma versión también contiene una inyección SQL ciega (CVE-2014-1651) en el parámetro hostname de la página clientreport.php.

Por otra parte, con CVE-2013-5017, una vulnerabilidad de inyección de comandos en la página SNMPConfig.php. Y con CVE-2014-1650 una inyección SQL en user.php. Estos problemas afectan a Symantec Web Gateway 5.2.

Aunque las dos primeras vulnerabilidades fueron solucionadas en la versión de SWG 5.2. Symantec ha publicado la versión 5.2.1 que soluciona el resto de problemas y se recomienda la actualización a esta versión.

Se puede actualizar desde la opción "Check for Updates" en la página "Administration->Updates".

Más información:

Symantec Web Gateway Security Issues
SYM14-010

Symantec Web Gateway contains SQL injection and cross-site scripting vulnerabilities

Antonio Ropero
Twitter: @aropero

martes, 17 de junio de 2014

Denegación de servicio por vulnerabilidad en Microsoft Malware Protection Engine

Microsoft ha publicado un aviso de seguridad para informar de una actualización de Microsoft Malware Protection Engine destinada a corregir una vulnerabilidad  de denegación de servicio.

Microsoft Malware Protection Engine se incluye con múltiples productos antimalware de Microsoft. La vulnerabilidad (CVE-2014-2779) puede permitir una denegación de servicio si Microsoft Malware Protection escanea un archivo específicamente creado. Un atacante que logre explotar con éxito esta vulnerabilidad podrá evitar la monitorización antimalware de Microsoft Malware Protection Engine, hasta que el archivo problemático sea eliminado de forma manual y el servicio sea reiniciado.  

La lista completa de productos afectados es:
  • Microsoft Forefront Client Security
  • Microsoft Forefront Endpoint Protection 2010
  • Microsoft Forefront Security for SharePoint Service Pack 3
  • Microsoft System Center 2012 Endpoint Protection
  • Microsoft System Center 2012 Endpoint Protection Service Pack 1
  • Microsoft Malicious Software Removal Tool[1]
  • Microsoft Security Essentials
  • Microsoft Security Essentials Prerelease
  • Windows Defender para Windows 8, Windows 8.1, Windows Server 2012 y Windows Server 2012 R2
  • Windows Defender para Windows RT y Windows RT 8.1
  • Windows Defender para Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 y Windows Server 2008 R2
  • Windows Defender Offline
  • Windows Intune Endpoint Protection

Microsoft ha publicado una actualización para solucionar esta vulnerabilidad. Generalmente no se requiere ninguna acción por parte de administradores o usuarios finales para instalar las actualizaciones de Microsoft Malware Protection Engine, debido a que los sistemas de actualización automática implementarán la actualización en un plazo de 48 horas desde su publicación.

Más información:

Microsoft Security Advisory 2974294
Vulnerability in Microsoft Malware Protection Engine Could Allow Denial of Service


Antonio Ropero
Twitter: @aropero

lunes, 16 de junio de 2014

Denegación de servicio en BIND 9

Se ha anunciado una vulnerabilidad en BIND 9 por la que un usuario remoto podría causar una denegación de servicio.

El servidor de nombres BIND es uno de los más usados en Internet. Creado en 1988, en la universidad de Berkeley, actualmente es desarrollado por el ISC (Internet System Consortium). BIND se encuentra disponible para una amplia gama de sistemas tanto Unix como Microsoft Windows.

El problema, con CVE-2014-3859, reside en el tratamiento de las opciones EDNS (Extension Mechanisms for DNS) y que puede permitir a un atacante remoto provocar la caída de named y por tanto la denegación de servicio. La vulnerabilidad afecta tanto a servidores de nombres autoritativos como recursivos que ejecuten las versiones de BIND 9.10.0 y 9.10.0-P1.

El fallo se encuentra en libdns, por lo que cualquier otra aplicación (como dig o delv) que haga uso de dicha librería con las versiones afectadas también sufrirá el mismo problema.

Se recomienda actualizar a la versión mas reciente en
BIND 9 version 9.10.0-P2

Más información:

CVE-2014-3859: BIND named can crash due to a defect in EDNS printing processing



Antonio Ropero

Twitter: @aropero

domingo, 15 de junio de 2014

Publicados en YouTube los 7 vídeos del X Ciclo de Conferencias UPM TASSI de seguridad 2014

Se encuentran disponibles en el canal YouTube de la Universidad Politécnica de Madrid los 7 vídeos del X Ciclo de Conferencias UPM TASSI 2014, impartidas en el campus sur de dicha universidad en Madrid, España, entre el 20 de febrero y el 22 de mayo de 2014.

Conferencia 1: Latch. Protección de identidades digitales, a cargo de D. Antonio Guzmán de Eleven Paths

Conferencia 2: Posibilidades del voto telemático en la democracia digital, a cargo del Dr. Justo Carracedo de la UPM


Conferencia 3: Bitcoin: moneda y mercados, a cargo de D. Jonás Andradas de GMV

Conferencia 4: Protección de comunicaciones en dispositivos móviles, a cargo de D. Raúl Siles de DinoSec


Conferencia 5: Ethical hacking: afrontando una auditoría interna, a cargo de D. Pablo González de Eleven Paths

Conferencia 6: La amenaza del cibercrimen, a cargo de D. Juan Salom de la Guardia Civil

Conferencia 7: Ocultación de comunicaciones en el mundo real. Esteganografía y estegoanálisis, a cargo del Dr. Alfonso Muñoz de Eleven Paths

La documentación utilizada por los ponentes puede descargarse desde la sección TASSI de la página web de la red temática Criptored.



Jorge Ramió
Coordinador Ciclo UPM TASSI

sábado, 14 de junio de 2014

Publicada la cuarta píldora formativa del proyecto Thoth ¿Por qué hablamos de criptografía clásica y de criptografía moderna?

Se ha publicado el cuarto vídeo de las píldoras formativas en seguridad de la información Thoth de la red temática Criptored, con el título ¿Por qué hablamos de criptografía clásica y de criptografía moderna?

Si son dos cosas distintas, ¿qué hechos o circunstancias han influido para que se haga esta distinción y en qué época podemos marcar esta separación? En esta píldora se explican las razones de dicha diferencia.

El proyecto Thoth publica de manera periódica píldoras formativas en seguridad de la información. Pueden ser tratados como complementos formativos basados en el concepto de vídeos cortos (con una duración en torno a los tres minutos), muy didácticos y sobre temas muy específicos.

En la web del proyecto Thoth encontrarás la documentación de esta píldora así como los enlaces a los vídeos y a la documentación de las píldoras anteriores:

La siguiente píldora a publicarse en el mes de julio es:
Píldora 5: ¿Qué es la triada CIA?


Jorge Ramió, Alfonso Muñoz
Directores Proyecto Thoth

viernes, 13 de junio de 2014

Boletines de seguridad para Asterisk

Asterisk ha publicado cuatro boletines de seguridad (del AST-2014-005 al AST-2014-008) que solucionan otras tantas vulnerabilidades que podrían permitir a atacantes remotos provocar denegaciones de servicio o elevar sus privilegios.

Asterisk es una implementación de una central telefónica (PBX) de código abierto. Como cualquier PBX, se pueden conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el exterior. Asterisk es ampliamente usado e incluye un gran número de interesantes características: buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. Además el software creado por Digium está disponible para plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows.

Dos de los problemas (AST-2014-005 y AST-2014-008) residen en el controlador del canal PJSIP y podrían permitir a un atacante remoto provocar condiciones de denegación de servicio (CVE-2014-4045 y CVE-2014-4048). Solo afectan a la rama 12 de Asterisk Open Source.

Por otra parte, en el boletín AST-2014-006, se trata una vulnerabilidad (con CVE-2014-4046) que podría permitir a usuarios manager ejecutar comandos shell. Este problema afecta a Asterisk Open Source 11.x y 12.x; así como a Certified Asterisk 11.6.

Por último, el boletín AST-2014-007, soluciona una vulnerabilidad de denegación de servicio debido a que es posible consumir todas las conexiones http (o https) concurrentes permitidas mediante el envío de conexiones incompletas. Este problema afecta a Asterisk Open Source 1.8.x y las ramas 11.x y 12.x; así como a Certified Asterisk 11.6 y 1.8.15.

Se han publicado las versiones Asterisk Open Source 1.8.28.1, 11.10.1 y 12.3.1; Certified Asterisk 1.8.15-cert6 y 11.6-cert3 que solucionan todos los problemas.

Más información:

Remote Crash in PJSIP Channel Driver's Publish/Subscribe Framework

Asterisk Manager User Unauthorized Shell Access

Exhaustion of Allowed Concurrent HTTP Connections

Exhaustion of Allowed Concurrent HTTP Connections

Antonio Ropero

Twitter: @aropero

jueves, 12 de junio de 2014

Actualización para Adobe Flash Player

Adobe ha publicado una actualización para Adobe Flash Player para evitar seis nuevasvulnerabilidades que afectan al popular reproductor. Los problemas incluyen cross-site scripting, salto de restricciones de seguridad y ejecución de código arbitrario.

Las vulnerabilidades afectan a las versiones de Adobe Flash Player 12.0.0.214 (y anteriores) para Windows y Macintosh y Adobe Flash Player 11.2.202.359 (y anteriores) para Linux.

Esta actualización, publicada bajo el boletín APSB14-16, resuelve tres vulnerabilidades de cross-site-scripting (CVE-2014-0531, CVE-2014-0532, CVE-2014-0533), dos vulnerabilidades de salto de restricciones (CVE-2014-0534, CVE-2014-0535) y una vulnerabilidad de corrupción de memoria que podría permitir la ejecución de código arbitrario (CVE-2014-0536).

Adobe ha publicado las siguientes versiones de Adobe Flash Player destinadas a solucionar las vulnerabilidades, y se encuentran disponibles para su descarga desde la página oficial:
  • Adobe Flash Player 14.0.0.125 para Windows y Macintosh.
  • Adobe Flash Player 11.2.202.378 para Linux.

Igualmente se han publicado actualizaciones de Flash Player para Internet Explorer y Chrome.

Más información:

Security updates available for Adobe Flash Player



Antonio Ropero

Twitter: @aropero

miércoles, 11 de junio de 2014

De malos y delincuentes

Hoy ha sido un día movido para dos servicios importantes de Internet, por una parte todos los servicios de TweetDeck se han visto afectados por un ataque de cross-site scripting que ha empezado a producir retweets de forma automática. Por otra parte Feedly, la alternativa al difunto Reader de Google, sufre un ataque de denegación de servicio distribuido (DDoS), por el que además ha anunciado recibir una extorsión para poder recuperar el servicio.

TweetDeck es una aplicación para la gestión y tratamiento de cuentas de Twitter. Puede emplearse como aplicación de escritorio, aplicación web o aplicación para Chrome. En la actualidad está soportada por la propia Twitter tras su adquisición en 2011. La interfaz de TweetDeck permite gestionar múltiples cuentas y visualizar de forma simultánea en múltiples columnas los tweets, menciones, mensajes directos, listas, búsquedas, etc.

Al recibir el tweet malicioso se visualizaba un mensaje de aviso
Esta misma tarde se ha visto afectada por un ataque de cross-site scripting en forma de un Tweet que al ser recibido por un usuario de TweetDeck, en cualquiera de los entornos, se producía un retweet de forma automática. Esto ha producido una cadena de Tweets y retweets que ha obligado a Twitter a detener todos los servicios de la aplicación.

A pesar de la gravedad que ha tenido el ataque, este podía haber sido mucho más grave y hubiese afectado incluso a los propios cimientos de Twitter si los retweets se hubieran realizado de forma más virulenta, provocando múltiples cadenas y réplicas.

Aspecto del tweet que aprovechaba el cross-site scripting

Más grave y preocupante parece el ataque que desde esta mañana sufre Feedly.

Feedly es uno de los lectores y organizadores de rss más populares. Permite la lectura de forma sencilla y cómoda de los blogs a los que esté suscrito el usuario, desde un navegador web o desde cualquiera de las aplicaciones nativas para IOS o Android.

"Criminales están atacando feedly con un ataque de denegación de servicio distribuido (DDoS). Nos negamos a ceder y estamos trabajando con nuestros proveedores de red para mitigar el ataque de la mejor manera posible" ("Criminals are attacking feedly with a distributed denial of service attack (DDoS). The attacker is trying to extort us money to make it stop. We refused to give in and are working with our network providers to mitigate the attack as best as we can.")

Esta tarde han informado que están realizando cambios en su infraestructura para poder volver a estar online, sin embargo aun parece que necesitarán algunas horas más. También recuerdan que ningún dato en línea de los usuarios ha sido comprometido.

De forma similar ayer mismo Evernote, la popular aplicación de notas, también sufrió un ataque de denegación de servicio, del que se recuperó rápidamente. Y otros servicios de Internet parece que están sufriendo ataques de este tipo. 

Más información:

Denial of service attack

Tweetdeck

Antonio Ropero
Twitter: @aropero

martes, 10 de junio de 2014

Los boletines de seguridad de Microsoft de junio corrigen 66 vulnerabilidades

Este martes Microsoft ha publicado siete boletines de seguridad (del MS14-030 al MS14-036) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft dos de los boletines presentan un nivel de gravedad "crítico" y los cinco restantes son "importantes". En total se han resuelto 66 vulnerabilidades.

  • MS14-035: Actualización acumulativa para Microsoft Internet Explorer, considerada "crítica". Sin duda el boletín más relevante de todos, ya que además soluciona 59 nuevas vulnerabilidades. Las más graves podrían permitir la ejecución remota de código arbitrario si un usuario visita con Internet Explorer una página web especialmente creada. Afecta a Internet Explorer desde la versión 6 a la 11. Esta actualización también incluye la corrección a la vulnerabilidad de ejecución remota de código a través del uso de JavaScript anunciada recientemente por Zero Day Initiative y que Microsoft ocultó durante más de siete meses.  
        
  • MS14-036: Boletín considerado "crítico" que resuelve dos vulnerabilidades en Microsoft Windows, Microsoft Office y Microsoft Lync que podrían permitir la ejecución remota de código si un usuario abre un archivo o página específicamente creada. Los CVE afectados son CVE-2014-1817 y CVE-2014-1818
            
  • MS14-034: Destinado a corregir una vulnerabilidad "importante" (CVE-2014-2778) en Microsoft Office que podría permitir la ejecución remota de código si se abre un documento específicamente creado con una versión afectada de Word. Afecta a Microsoft Office 2007 y Microsoft Office Compatibility Pack. 
        
  • MS14-033: Este boletín está calificado como "importante" y soluciona una vulnerabilidad de divulgación de información si un usuario autenticado visita un sitio web específicamente diseñado para usar Microsoft XML Core Services (MSXML) a través de Internet Explorer. Afecta a Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows 8 (y 8.1) y Windows Server 2012. (CVE-2014-1816).
        
  • MS14-032: Boletín de carácter "importante" (con CVE-2014-1823) destinado a corregir una vulnerabilidad de divulgación de información en el servidor Microsoft Lync.
       
  • MS14-031: Este boletín está calificado como "importante" y soluciona una vulnerabilidad en el protocolo TCP y que podría permitir provocar condiciones de denegación de servicio si un atacante envía una secuencia de paquetes específicamente construidos. Afecta a Windows Vista, Windows Server 2008, Windows 7, Windows 8 (y 8.1) y Windows Server 2012. (CVE-2014-1811).
         
  • MS14-030: Este boletín soluciona una vulnerabilidad de manipulación en Microsoft Windows a través de Escritorio Remoto. La vulnerabilidad podría permitir la manipulación si un atacante obtiene acceso al mismo segmento de red que el sistema de destino durante una sesión activa de Remote Desktop Protocol (RDP), y entonces envía paquetes RDP especialmente diseñados al el sistema atacado. Solo afecta a sistemas con RDP habilitado. (CVE-2014-0296).

Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Se recomienda la actualización de los sistemas con la mayor brevedad posible.

Más información:

Microsoft Security Bulletin Summary for June 2014

Microsoft Security Bulletin MS14-035 - Critical
Cumulative Security Update for Internet Explorer (2969262)

Microsoft Security Bulletin MS14-036 - Critical
Vulnerabilities in Microsoft Graphics Component Could Allow Remote Code Execution (2967487)

Microsoft Security Bulletin MS14-034 - Important
Vulnerability in Microsoft Word Could Allow Remote Code Execution (2969261)

Microsoft Security Bulletin MS14-033 - Important
Vulnerability in Microsoft XML Core Services Could Allow Information Disclosure (2966061)

Microsoft Security Bulletin MS14-032 - Important
Vulnerability in Microsoft Lync Server Could Allow Information Disclosure (2969258)

Microsoft Security Bulletin MS14-031 - Important
Vulnerability in TCP Protocol Could Allow Denial of Service (2962478)

Microsoft Security Bulletin MS14-030 - Important
Vulnerability in Remote Desktop Could Allow Tampering (2969259)

una-al-dia (22/05/2014) ZDI informa de 0day en Internet Explorer 8 existente desde hace 7 meses



Antonio Ropero
Twitter: @aropero