miércoles, 31 de diciembre de 2014

Vulnerabilidades descubiertas en Schneider Electric’s ProClima software

Se han descubierto cinco vulnerabilidades en el software ProClima de Schneider Electric’s, reportadas por HP’s Zero Day Initiative (ZDI). Estas vulnerabilidades permitirían a un atacante remoto ejecutar código arbitrario.

ProClima es un software de configuración especialmente utilizado en el sector energético, orientado en el diseño de paneles de control de gestión térmica. Permite optimizar y fiabilizar las instalaciones eléctricas/electrónicas ofreciendo soluciones térmicas acorde a las circunstancias.

Las vulnerabilidades se pueden dividir según el control ActiveX usado para su explotación.

  • MDraw30.ocx : Este control ActiveX podría ser utilizado por un atacante remoto para ejecutar código arbitrario a través de llamadas especialmente manipuladas a este control especifico. La vulnerabilidad podría causar un desbordamiento de memoria intermedia lo que provocaría el impacto actualmente comentado. Se han asignado los CVE-2014-8513, CVE-2014-8514, y CVE-2014-9188.
        
  • Atx45.ocx: Al igual que en las vulnerabilidades anteriormente comentadas, el atacante remoto podría explotar este control ActiveX para ejecutar código arbitrario remotamente, debido también a un desbordamiento de memoria intermedia. Se han asignados los CVE-2014-8511y CVE-2014-8512.

Estas vulnerabilidades se han reportado en la versión Schneider Electric VProClima Versión 6.0.1 y anteriores.
Se recomienda actualizar a VProClima Versión 6.1.7 o superior, disponible desde:

Más información:

ProClima - Thermal calculation software

ProClima Software Vulnerability Disclosure




Juan Sánchez


martes, 30 de diciembre de 2014

Resumen de seguridad de 2014 (y IV)

Termina el año y desde Hispasec un año más echamos la vista atrás para recordar y analizar con perspectiva (al más puro estilo periodístico) lo que ha sido 2014 en cuestión de seguridad informática. En cuatro entregas (tres meses por entrega) destacaremos muy brevemente lo que hemos considerado las noticias más importantes de cada mes publicadas en nuestro boletín diario.

Octubre 2014: 
  • Los laboratorios de Kaspersky detectan un nuevo malware, bautizado como Tyupkin, facilita el robo de millones de dólares de cajeros automáticos de Europa del Este.
         
  • Dentro de su ciclo habitual de actualizaciones Microsoft publica ocho boletines de seguridad, que solucionan 24 vulnerabilidades. Adobe anuncia una actualización para Flash Player que soluciona tres vulnerabilidades. Oracle corrige 154 vulnerabilidades en su actualización de seguridad de octubre.
          
  • POODLE, una nueva vulnerabilidad en SSL asesta uno de los últimos golpes a este sistema. Dejar de soportar SSL y el paso a TLS es obligado.
      
  • Microsoft alerta de la existencia de una vulnerabilidad 0-day en Windows (excepto Windows Server 2003), que podría permitir la ejecución remota de código a través de archivos Office con un objeto OLE.


Noviembre 2014: 
  • Se anuncia RootPipe, una nueva vulnerabilidad que afecta a los sistemas operativos Apple OS X y que podría permitir a usuarios sin privilegios conseguir permisos de administración. No se facilitan detalles del problema, se espera que Apple publique una corrección en enero del 2015.
         
  • Dentro de su ciclo habitual de actualizaciones Microsoft publica 14 boletines de seguridad, que solucionan 33 vulnerabilidades. Una semana después, publica el boletín MS14-068 para solucionar una vulnerabilidad en Kerberos. Adobe anuncia una actualización para Flash Player que soluciona 18 vulnerabilidades.
         
  • En los días 11 y 12 de noviembre se celebra el Mobile Pwn2Own 2014. Un evento destinado a revelar vulnerabilidades para los dispositivos móviles de última generación. Se descubren vulnerabilidades en terminales iPhone 5S, Galaxy S5, LG Nexus 5, Amazon Fire Phone y Windows Phone.
        
  • Microsoft anuncia la publicación de EMET 5.1 que soluciona varios problemas de compatibilidad y mejora determinadas mitigaciones.
         
  • Se da a conocer que Sony Pictures, la división de cine de Sony, ha sufrido una intrusión en su red interna con graves consecuencias. Más de u mes después continúan las especulaciones sobre este ataque.
        
  • Symantec y Kaspersky, casi de forma simultánea, dan a conocer un nuevo malware conocido como Regin, ambas compañías coinciden en su sofistificación y avanzadas capacidades. Sus principales objetivos, así como lo avanzado de su técnica hacen pensar que detrás de Regin se encuentra un estado o gobierno, algunas fuentes indican un uso conjunto de Estados Unidos y Reino Unido. 

Diciembre 2014:      


Más información:

una-al-dia (09/10/2014) Tyupkin, malware para robar cajeros automáticos

una-al-dia (14/10/2014) Boletines de seguridad de Microsoft de octubre

una-al-dia (15/10/2014) SSL tocado y hundido

una-al-dia (16/10/2014) Actualización para Adobe Flash Player

una-al-dia (17/10/2014) Oracle corrige 154 vulnerabilidades en su actualización de seguridad de octubre

una-al-dia (21/10/2014) Vulnerabilidad 0-day en Microsoft OLE

una-al-dia (03/11/2014) Grave vulnerabilidad en OS X Yosemite

una-al-dia (11/11/2014) Microsoft publica 14 boletines de seguridad y retrasa la publicación de dos

una-al-dia (12/11/2014) Actualización para Adobe Flash Player

una-al-dia (14/11/2014) El Mobile Pwn2Own 2014 revela vulnerabilidades en iPhone 5S, Galaxy S5, LG Nexus 5, Amazon Fire Phone y Windows Phone

una-al-dia (16/11/2014) Microsoft publica EMET 5.1

una-al-dia (18/11/2014) Microsoft publica el boletín MS14-068 fuera de ciclo y soluciona vulnerabilidad en Kerberos

una-al-dia (25/11/2014) Sony Pictures podría haber sufrido una grave intrusión

una-al-dia (28/11/2014) Regin, el nuevo malware de características avanzadas

una-al-dia (01/12/2014) Mozilla publica Firefox 34 y corrige nueve nuevas vulnerabilidades

una-al-dia (03/12/2014) Operación Cleaver: Irán detrás de ataques informáticos a 16 paises

una-al-dia (04/12/2014) Apple publica actualización de Safari para OS X que soluciona 13 vulnerabilidades

una-al-dia (09/12/2014) Boletines de seguridad de Microsoft de diciembre

una-al-dia (10/12/2014) Actualizaciones de seguridad para Adobe Reader, Acrobat, Flash Player y ColdFusion

una-al-dia (12/12/2014) Microsoft retira actualización para Exchange 2010

una-al-dia (20/12/2014) La galleta de la desgracia ataca a millones de routers


  

Antonio Ropero
Twitter: @aropero


lunes, 29 de diciembre de 2014

Resumen de seguridad de 2014 (III)

Termina el año y desde Hispasec un año más echamos la vista atrás para recordar y analizar con perspectiva (al más puro estilo periodístico) lo que ha sido 2014 en cuestión de seguridad informática. En cuatro entregas (tres meses por entrega) destacaremos muy brevemente lo que hemos considerado las noticias más importantes de cada mes publicadas en nuestro boletín diario.

Julio 2014: 
Agosto 2014: 
Septiembre 2014: 
Más información:

una-al-dia (08/07/2014) Boletines de seguridad de Microsoft de julio

una-al-dia (15/07/2014) Oracle corrige 113 vulnerabilidades en su actualización de seguridad de julio

una-al-dia (23/07/2014) Mozilla publica Firefox 31 y corrige 14 nuevas vulnerabilidades

una-al-dia (09/07/2014) Nuevas vulnerabilidades en Android pueden arruinarte

una-al-dia (30/07/2014) Una nueva vulnerabilidad en Android facilita la instalación de malware

una-al-dia (31/07/2014) Desmontan la seguridad de los USB

una-al-dia (01/08/2014) Microsoft publica EMET 5.0

una-al-dia (12/08/2014) Boletines de seguridad de Microsoft de agosto

una-al-dia (14/08/2014) Actualizaciones de seguridad para Adobe Reader, Acrobat y Flash

una-al-dia (15/08/2014) Apple publica actualización para Safari que soluciona siete vulnerabilidades

una-al-dia (17/08/2014) Microsoft recomienda desinstalar la actualización MS14-045

una-al-dia (22/08/2014) Un atacante remoto puede borrar todos los datos del reloj Pebble

una-al-dia (27/08/2014) Microsoft vuelve a publicar la actualización MS14-045

una-al-dia (02/09/2014) La arquera y su manzana

una-al-dia (04/09/2014) Mozilla publica Firefox 32 y corrige ocho nuevas vulnerabilidades

una-al-dia (09/09/2014) Boletines de seguridad de Microsoft de septiembre

una-al-dia (10/09/2014) Actualización para Adobe Flash Player

una-al-dia (12/09/2014) Cómo vender cinco millones de bragas desechables

una-al-dia (15/09/2014) Nuevo problema en las actualizaciones de Microsoft

una-al-dia (17/09/2014) Actualizaciones de seguridad para Adobe Reader y Acrobat

una-al-dia (25/09/2014) Microsoft vuelve a publicar la actualización MS14-055

una-al-dia (25/09/2014) Bash. Significa golpe, porrazo o castaña.


una-al-dia (28/09/2014) Apple publica iOS 8.0.2 para solucionar diversos problemas



Antonio Ropero
Twitter: @aropero


domingo, 28 de diciembre de 2014

Vulnerabilidad en cafeteras Keurig 2.0

Las cafeteras de la marca Keurig 2.0 se ven afectadas por una vulnerabilidad en los mecanismos de verificación de la autenticidad de las cápsulas monodosis de café, conocidas como K-Cups. Esto podría permitir realizar ataques de suplantación través de la reutilización de una cápsula verificada previamente.

Al igual que otros muchos modelos de cafeteras, la Keurig 2.0 está diseñada para usar únicamente cápsulas de café K-Cups genuinas, aprobadas por el fabricante. Sin embargo, un error en el método de verificación puede permitir a un atacante el uso no autorizado de capsulas no autenticas.

La vulnerabilidad, con un CVSS de 4,9, reside en retirar con cuidado con ayuda de un cuchillo o unas tijeras la lámina completa de la tapa de una cápsula K-Cup genuina, asegurándose de mantener los bordes completos intactos. Colocando posteriormente con cuidado la tapa de la cápsula recortada, sobre una cápsula falsa el proceso de verificación entenderá que se trata de una cápsula genuina, y permitirá el uso de la cafetera con la cápsula falsificada.

El problema ha sido anunciado por el investigador Ken Buckler, de Caffeine Security, que ha publicado en http://www.keurighack.com/ un vídeo (que sirve como prueba de concepto) en el que demuestra la vulnerabilidad.


A falta de una corrección para esta vulnerabilidad, el investigador recomienda a los propietarios de sistemas Keurig 2.0 tomar medidas adicionales para asegurar el dispositivo, como mantener el dispositivo en un armario cerrado con llave, o el uso de un cable de seguridad para evitar que el dispositivo sea empleado por usuarios no autorizados.

Más información:

Keurig 2.0 Genuine K-Cup Spoofing Vulnerability

keurighack.com



Antonio Ropero
Twitter: @aropero

sábado, 27 de diciembre de 2014

Resumen de seguridad de 2014 (II)

Termina el año y desde Hispasec un año más echamos la vista atrás para recordar y analizar con perspectiva (al más puro estilo periodístico) lo que ha sido 2014 en cuestión de seguridad informática. En cuatro entregas (tres meses por entrega) destacaremos muy brevemente lo que hemos considerado las noticias más importantes de cada mes publicadas en nuestro boletín diario.

Abril 2014:



Mayo 2014:


Junio 2014:



Más información:

una-al-dia (01/04/2014) Apple publica actualización para Safari y soluciona 27 vulnerabilidades

una-al-dia (05/04/2014) Microsoft soluciona una vulnerabilidad en Xbox Live descubierta por un niño de 5 años

una-al-dia (07/04/2014) eXPira el Windows más longevo de Microsoft

una-al-dia (09/04/2014) Microsoft publica cuatro boletines y concluye el soporte a Windows XP

una-al-dia (08/04/2014) OpenSSL afectada por una vulnerabilidad apodada Heartbleed

una-al-dia (16/04/2014) Oracle corrige 104 vulnerabilidades en su actualización de seguridad de abril

una-al-dia (28/04/2014) Ejecución remota de código en Internet Explorer

una-al-dia (30/04/2014) Mozilla publica Firefox 29 y corrige 15 nuevas vulnerabilidades

una-al-dia (01/05/2014) Microsoft publica parche para Internet Explorer... Windows XP incluido

una-al-dia (06/05/2014) Microsoft detalla las características de seguridad de Windows Phone 8.1 (I)

una-al-dia (07/05/2014) Microsoft detalla las características de seguridad de Windows Phone 8.1 (y II)

una-al-dia (13/05/2014) Boletines de seguridad de Microsoft en mayo

una-al-dia (15/05/2014) Boletines de seguridad de Adobe: Vulnerabilidades en Illustrator, Flash, Reader y Acrobat

una-al-dia (21/05/2014) Intrusión en eBay

una-al-dia (23/05/2014) Apple publica actualización para Safari y soluciona 22 vulnerabilidades

una-al-dia (26/05/2014) Otra intrusión, esta vez Spotify. Solo un usuario afectado

una-al-dia (03/06/2014) Vulnerabilidad de ejecución de código en la librería GnuTLS

una-al-dia (05/06/2014) OpenSSL corrige nuevas vulnerabilidades graves

una-al-dia (10/06/2014) Los boletines de seguridad de Microsoft de junio corrigen 66 vulnerabilidades

una-al-dia (11/06/2014) De malos y delincuentes

una-al-dia (12/06/2014) Actualización para Adobe Flash Player

una-al-dia (29/06/2014) Apple publica iOS 7.1.2 y soluciona 42 vulnerabilidades



Antonio Ropero

Twitter: @aropero

viernes, 26 de diciembre de 2014

Resumen de seguridad de 2014 (I)

Termina el año y desde Hispasec un año más echamos la vista atrás para recordar y analizar con perspectiva (al más puro estilo periodístico) lo que ha sido 2014 en cuestión de seguridad informática. En cuatro entregas (tres meses por entrega) destacaremos muy brevemente lo que hemos considerado las noticias más importantes de cada mes publicadas en nuestro boletín diario. 

Enero 2014:



Febrero 2013:

Marzo 2014
Más información:

una-al-dia (09/01/2014) Descubierta una vulnerabilidad que afectaba al servidor X11 desde hace 23 años

una-al-dia (15/01/2014) Boletines de seguridad de Microsoft en enero

una-al-dia (16/01/2014) Actualizaciones de seguridad para Adobe Reader y Flash

una-al-dia (23/01/2014) Apple soluciona múltiples vulnerabilidades en iTunes, algunas de más de 2 años

una-al-dia (24/01/2014) Chrome puede escuchar lo que dices

una-al-dia (26/01/2014) Crónica de la intrusión en blogs.perl.org

una-al-dia (05/02/2014) Mozilla publica Firefox 27 y corrige 15 nuevas vulnerabilidades

una-al-dia (12/02/2014) Adobe soluciona dos vulnerabilidades críticas en Shockwave Player

una-al-dia (06/02/2014) 11,6 millones de dispositivos móviles infectados según un informe de Alcatel-Lucent

una-al-dia (12/02/2014) Boletines de seguridad de Microsoft en febrero

una-al-dia (03/03/2014) Camaleon, un virus para puntos de acceso WiFi

una-al-dia (05/03/2014) GnuTLS goto fail...también

una-al-dia (11/03/2014) Boletines de seguridad de Microsoft en marzo

una-al-dia (12/03/2014) El Centro Criptológico Nacional cumple 10 años de actividad

una-al-dia (16/03/2014) Los principales navegadores caen en el Pwn2Own 2014

una-al-dia (19/03/2014) Mozilla pública 18 boletines de seguridad y corrige las vulnerabilidades del Pwn2Own

una-al-dia (20/02/2014) Microsoft publica un aviso sobre un 0-day en Internet Explorer



Antonio Ropero
Twitter: @aropero


jueves, 25 de diciembre de 2014

Cross-Site scripting en Cisco Unified Communications Domain Manager

Cisco ha confirmado una vulnerabilidad en Cisco Unified Communications Domain Manager versión 8 que podría permitir a un atacante realizar ataques de cross-site scripting.

La solución Unified Communications de Cisco es un conjunto de productos y aplicaciones de comunicaciones que reúne e integra voz, vídeo y datos. Cisco Unified Communications Domain Manager (Cisco Unified CDM) es una plataforma de distribución de servicios y gestión que proporciona funciones de automatización y administración sobre Cisco Unified Communications Manager, Cisco Unity Connection y aplicaciones Cisco Jabber, así como sobre los teléfonos asociados y clientes de software.

El problema, con CVE-2014-8018, se debe a una validación insuficiente de múltiples parámetros en las páginas de Business Voice Services Manager (BVSM). Un atacante remoto podría construir un ataque de cross-site scripting a través de enlaces maliciosos. Con ello el atacante podría acceder a las cookies (incluyendo las de autenticación) y a información recientemente enviada, además de poder realizar acciones en el sitio haciéndose pasar por la víctima.

Cisco no ofrece actualizaciones gratuitas para este problema. Para obtener versiones actualizadas se debe contactar con el canal de soporte.

Más información:

Cisco Unified Communications Domain Manager XSS Vulnerability



Antonio Ropero

Twitter: @aropero

miércoles, 24 de diciembre de 2014

Actualización del kernel para SuSE Linux Enterprise 11

SuSE ha publicado una actualización del kernel para SuSE Linux Enterprise Server 11 SP3 (en todas sus versiones). Se han solucionado 24 vulnerabilidades e incluye 28 correcciones de funcionalidades no relacionadas con seguridad.

Los problemas corregidos están relacionados con la función __request_module de kernel/kmod.c, múltiples problemas en el subsistema Human Interface Device (HID), desbordamientos de búfer en el controlador Whiteheat USB Serial Driver, denegaciones de servicio a través de la función kvm_iommu_map_pages de virt/kvm/iommu.c, varios problemas en el subsistema KVM y en la implementación SCTP.

Por otra parte existen fallos en la inicialización de estructuras de datos en net/ipv4/ping.c, net/ipv4/raw.c, net/ipv4/udp.c, net/ipv6/raw.c y net/ipv6/udp.c. Múltiples desbordamientos de entero en el descompresor LZO, elevación de privilegios en el susbsistema ftrace y denegación de servicio en servidores SCTP.

Los CVE asignados son: CVE-2012-4398, CVE-2013-2889, CVE-2013-2893, CVE-2013-2897, CVE-2013-2899, CVE-2013-7263, CVE-2014-3181, CVE-2014-3184, CVE-2014-3185, CVE-2014-3186, CVE-2014-3601, CVE-2014-3610, CVE-2014-3646, CVE-2014-3647, CVE-2014-3673, CVE-2014-4508, CVE-2014-4608, CVE-2014-7826, CVE-2014-7841, CVE-2014-8133, CVE-2014-8709, CVE-2014-8884, CVE-2014-9090 y CVE-2014-9322.

Además se han corregido otros 28 problemas no relacionados directamente con fallos de seguridad.

Se recomienda actualizar a la última versión del kernel, disponible a través de la herramienta automática YaST con el módulo "Online Update" o con la herramienta de línea de comando "zypper".

Más información:

SUSE-SU-2014:1695-1: important: Security update for Linux kernel




Antonio Ropero

Twitter: @aropero

martes, 23 de diciembre de 2014

Programa del XI Ciclo de Conferencias UPM TASSI gratuitas del 12 de febrero al 16 de abril de 2015 en Madrid

Del 12 de febrero al 16 de abril de 2015, cada semana y todos los días jueves no festivos de 11:00 a 13:00 horas, se celebrará en el campus sur de la Universidad Politécnica de Madrid, España, el XI Ciclo de Conferencias UPM TASSI 2015, con la participación de los siguientes ponentes en las siguientes siete conferencias:

Conferencia 1: 12 de febrero de 2015: "Seguridad en redes móviles GSM, GPRS, 3G, 4G", José Picó y David Pérez (Layakk)

Conferencia 2: 19 de febrero de 2015: "ULTRA: Enigma y Fish", Román Ceano (Vector3)

Conferencia 3: 26 de febrero de 2015: "Memorias de un perito informático forense", Lorenzo Martínez (Securízame)

Conferencia 4: 5 de marzo de 2015: "Hispasec: 16 años de seguridad informática", Antonio Ropero (Hispasec)

Conferencia 5: 12 de marzo de 2015: "Ecrime evolution", Marc Rivero (CyberSOC Deloitte) y Dani Creus (Kaspersky Lab)

Conferencia 6: 26 de marzo de 2015: "Offensive forensics", Pedro Sánchez (Conexión Inversa)

Conferencia 7: 9 de abril de 2015: "Protección de las comunicaciones críticas por fibra óptica", José María Marín (FiberNet)

Conferencia 8: 16 de abril de 2015: "Malware en Android y Google Play", Sergio de los Santos (ElevenPaths)

Puede descargar el tríptico con el Programa del XI Ciclo de Conferencias UPM TASSI 2015 desde esta dirección:

Se recuerda que la asistencia es libre y se entregarán 2 créditos de Continuing Professional Education CPE por conferencia a quien asista, firme su asistencia y lo solicite en la misma conferencia por escrito.

Las conferencias serán grabadas por el Gabinete de Tele-Educación GATE de la UPM, para subirlas posteriormente al canal YouTube de esta universidad.

Puede acceder a los vídeos de las anteriores ediciones desde la sección multimedia de Criptored:

Más información en el sitio web de TASSI:


Jorge Ramió Aguirre

Coordinador conferencias TASSI

lunes, 22 de diciembre de 2014

Graves vulnerabilidades en el protocolo NTP

Neel Mehta y Stephen Roettger del equipo de seguridad de Google han descubierto múltiples vulnerabilidades en el protocolo Network Time Protocol (NTP), que podrían permitir a un atacante remoto lograr la ejecución de código arbitrario.

NTP es un protocolo estándar para la sincronización de relojes de máquinas interconectadas a través de redes de datos, en particular Internet. Este protocolo permite que el reloj de un sistema mantenga una gran precisión, independientemente de su calidad intrínseca y de las condiciones de la red.

Los problemas encontrados afectan a las versiones del demonio ntpd del NTP Project versión 4.2.7 (y versiones anteriores). Concretamente las vulnerabilidades son:

Entropía insuficiente en PRNG (Pseudo-Random Number Generator). Si la clave de autenticación no está definida en el archivo de configuración ntp.conf, se genera una clave criptográficamente débil (CVE-2014-9293).

Uso de un generador de números pseudoaleatorios (PRNG) criptográficamente débil. Las versiones de ntp-keygen anteriores a 4.2.7p230 generan las claves simétricas con un generador de números pseudoaleatorios con una semilla débil (CVE-2014-9294).

Desbordamiento de buffer. Un atacante remoto sin autenticar podría provocar desbordamientos de búfer en las funciones crypto_recv(), ctl_putdata() y configure() de ntpd. Esto podría permitir la ejecución de código arbitrario con privilegios del proceso ntpd (CVE-2014-9295).

Condiciones de error, valores de retorno y códigos de estado. En una sección del código de ntpd que trata un error poco frecuente falta un "return", por lo que el proceso no finaliza cuando se encuentra el error (CVE-2014-9296)


Por otra parte, Apple ha publicado una actualización para sus sistemas OS X (Yosemite, Mavericks y Mountain Lion). Como novedad se trata de la primera actualización de seguridad que se instalará de forma automática en sus sistemas operativos. Según ha confirmado Apple la actualización es transparente y ni siquiera requiere un reinicio, lo que sugiere la mayoría de usuarios se habrán parcheado sin siquiera saberlo. También puede descargarse manualmente desde: http://support.apple.com/kb/DL1782

Más información:

Vulnerability Note VU#852879
Network Time Protocol (NTP) Project NTP daemon (ntpd) contains multiple vulnerabilities

NTP. Security Notice

Advisory (ICSA-14-353-01)
Network Time Protocol Vulnerabilities

About OS X NTP Security Update

OS X NTP Security Update:OS X Yosemite

Antonio Ropero

Twitter: @aropero

domingo, 21 de diciembre de 2014

Corregida ejecución remota a través del cliente Git

Los desarrolladores de Git han alertado de una importante vulnerabilidad presente en el cliente oficial de Git y compatibles, como GitHub, que afecta a todas las versiones y plataformas disponibles y posibilita la ejecución de código remoto.

Git es un software de control de versiones diseñado por Linus Torvalds, diseñado para la confiabilidad del mantenimiento de versiones de aplicaciones cuando estas tienen un gran número de archivos de código fuente. En la actualidad proyectos de relevancia usan Git para el mantenimiento de sus versiones, como el grupo de programación del núcleo Linux.

La vulnerabilidad CVE-2014-9390, estaría presente en código del cliente oficial al ejecutarse en un sistema de ficheros que no consideren las mayúsculas "case-insensitive" (como los sistemas NTFS/FAT en Windows). Esto es debido a una incorrecta gestión y filtrado de las rutas de ficheros y directorios, así como el procesamiento de caracteres especiales en los mismos.

Por ejemplo, un repositorio que realizara un commit mediante la ruta ".Git/config" en un sistema "case-insensitive" daría lugar a cargar como efectiva ".git/config", lo que permitiría clonar un repositorio alternativo especialmente manipulado y configurado para ejecutar código arbitrario del lado del cliente. De esta forma se podría distribuir malware de forma masiva o comprometer el sistema.

En Windows, rutas del estilo "git~1/config" se convertirían en ".git/config", o en HFS+ (MacOS X), con rutas como ".g\u200cit/config”.

Por tanto las versiones afectadas son numerosas, partiendo desde Git/GitHub para Windows, Git OS X, JGit & EGit, libgit2 e incluso el cliente para Visual Studio. Los sistemas UNIX/Linux, no se verían afectados potencialmente, ya que por defecto el modo activo es "case-sensitive", aunque no lo excluye si el usuario lo configura de otro modo.

Un hecho colateral de esta vulnerabilidad, es que indirectamente afecta a aquellos servidores Git que no sean actualizados o configurados correctamente para evitar albergar "commits" maliciosos, ya que usuarios con versiones no actualizadas podrían seguir infectándose. Para ello desde Atlassian se ofrece una guía bastante completa con los pasos a realizar y disponible como enlace al final de este artículo.

Tanto git, github y el resto de clientes compatibles han publicado nuevas versiones corregidas:



Más información:

Vulnerability announced: update your Git clients

[ANNOUNCE] Git v2.2.1 (and updates to older maintenance tracks)

Securing your Git server against CVE-2014-9390




José Mesa Orihuela