sábado, 31 de enero de 2015

Actualización del kernel para Red Hat Enterprise Linux 7

RedHat ha publicado una actualización del kernel para toda la familia Red Hat Enterprise Linux 7 que solventa seis nuevas vulnerabilidades que podrían ser aprovechadas por atacantes para provocar denegaciones de servicio o elevar sus privilegios en el sistema.
  
Los problemas corregidos se deben a un fallo en la implementación SCTP del kernel al validar "chunks" INIT al realizar Address Configuration Change (ASCONF). Un atacante remoto podría emplear esta vulnerabilidad para provocar una denegación de servicio  (CVE-2014-7841).

Una condición de carrera, que puede provocar una denegación de servicio, debida a la forma en que las llamadas del sistema mmap(2), madvise(2) y fallocate(2) interactúan entre sí (CVE-2014-4171).

Una desreferencia de puntero nulo en la forma en que la implementación Common Internet File System (CIFS) del kernel de Linux trata de montar archivos del sistema compartidos. Un atacante remoto podrá emplear este problema para provocar la caída de un sistema (CVE-2014-7145).

También se ha encontrado un fallo en la forma en que la llamada del sistema splice() valida sus parámetros. En determinados sistemas de archivos, un usuario local sin privilegios podrá escribir sobrepasando el tamaño máximo de archivo y así bloquear el sistema (CVE-2014-7822).

Por último, dos problemas en la función parse_rock_ridge_inode_internal() de la implementación ISOFS del kernel Linux. Un atacante con acceso físico al sistema podrá provocar una denegación de servicio o elevar sus privilegios en el sistema (CVE-2014-5471, CVE-2014-5472).

Además se han solucionado otros fallos de menor importancia y se han incluido algunas mejoras. Ésta actualización está disponible desde Red Hat Network.

Más información:

Important: kernel security and bug fix update



Antonio Ropero
Twitter: @aropero


viernes, 30 de enero de 2015

Boletines de seguridad para Asterisk

Asterisk ha publicado sus dos primeros boletines de seguridad del año (AST-2015-001 y AST-2015-002) que solucionan otras tantas vulnerabilidades que podrían permitir a atacantes remotos provocar denegaciones de servicio o para inyectar peticiones http.

Asterisk es una implementación de una central telefónica (PBX) de código abierto. Como cualquier PBX, se pueden conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el exterior. Asterisk es ampliamente usado e incluye un gran número de interesantes características: buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. Además el software creado por Digium está disponible para plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows.

Ambos problemas afectan a Asterisk Open Source 1.8.x y las ramas 11.x, 12.x y 13.x; así como a Certified Asterisk 11.6 y 1.8.28. El primero (AST-2015-001) afecta al controlador del canal PJSIP. Reside en que al tratar peticiones SDP con códecs no permitidos por Asterisk la petición se rechaza, pero los puertos RTP asignados no se liberan. Se han publicado las versiones Asterisk Open Source 12.8.1 y 13.1.1 que solucionan este problema.

Por otra parte, en el boletín AST-2015-002, se trata una vulnerabilidad (con CVE-2014-8150) de inyección de peticiones http en libcURL. Un atacante remoto podría emplear este problema para falsear contenido en el servidor objetivo, envenenar cualquier caché web intermedia o construir ataques de cross-site scripting. Se han publicado las versiones Asterisk Open Source 1.8.32.2, 11.15.1, 12.8.1 y 13.1.1; y Certified Asterisk 1.8.28-cert4 y 11.6-cert10 que solucionan este problema.

Más información:

File descriptor leak when incompatible codecs are offered

Mitigation for libcURL HTTP request injection vulnerability


Antonio Ropero

Twitter: @aropero

jueves, 29 de enero de 2015

Actualización de productos Apple: iOS, OS X y Safari

Como ya es habitual en los grandes fabricantes, Apple ha publicado de forma conjunta actualizaciones para sus productos más destacados. En esta ocasión encontramos actualizaciones para iOS (el sistema operativo para dispositivos móviles iPhone, iPad, iPod), el navegador Safari y el sistema operativo OS X.

iOS se actualiza a la versión 8.1.3 para ofrecer mayor estabilidad, mejorar el funcionamiento del sistema y además de incluir la corrección de diversos problemas no relacionados directamente con la seguridad, solucionar 33 nuevas vulnerabilidades.

Sobre los problemas corregidos Apple informa que se reduce la cantidad de espacio de almacenamiento necesaria para instalar una actualización de software. Soluciona un problema que impedía a algunos usuarios introducir la contraseña de su ID de Apple para usar Mensajes y FaceTime. Se corrige un problema que ocasiona que no se mostraran los resultados de búsqueda de aplicaciones en Spotlight. También se incluye la solución de un problema que provocaba que los gestos para multitarea no funcionaran en el iPad. Y nuevas opciones de configuración para exámenes estandarizados del sector educativo.

Respecto a las vulnerabilidades incluyen el propio kernel, y otros componentes del sistema como AppleFileConduit, CoreGraphics, dyld, FontParser, Foundation, IOAcceleratorFamily, IOHIDFamily, iTunes Store, libnetcore, MobileInstallation, Springboard y WebKit. Una parte importante de los problemas podrían permitir a un atacante lograr ejecutar código arbitrario en los sistemas afectados.

Las actualizaciones también han llegado a Safari, el popular navegador web de Apple, que se actualiza a las versiones 8.0.3, 7.1.3 y 6.2.3 para OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10.1. Se solucionan cuatro vulnerabilidades, todas relacionadas con problemas de corrupción de memoria en WebKit, el motor de navegador de código abierto que es la base de Safari. Y podrían ser aprovechadas por un atacante remoto para provocar condiciones de denegación de servicio o ejecutar código arbitrario al visitar una página web específicamente creada.

Por último, también ha publicado OS X Yosemite v10.10.2 y Security Update 2015-001, destinado a corregir hasta 54 nuevas vulnerabilidades, incluyendo las publicadas recientemente por el equipo de seguridad Project Zero de Google. Afectan a AFP Server, bash, Bluetooth, CFNetwork Cache, CoreGraphics, CPU Software, CommerceKit Framework, CoreSymbolication, FontParser, Foundation, Intel Graphics Driver, IOAcceleratorFamily, IOHIDFamily, IOKit, IOUSBFamily, Kernel, LaunchServices, LoginWindow, lukemftp, OpenSSL, Sandbox, SceneKit, Security, security_taskgate, Spotlight, SpotlightIndex, sysmond y UserAccountUpdater. Una parte importante de estos problemas podrían permitir la ejecución remota de código arbitrario. Además OS X Mavericks v10.9.5 incluye la nueva versión del navegador Safari 8.0.3.

Más información:

About the security content of iOS 8.1.3

Safari 8.0.3, Safari 7.1.3, and Safari 6.2.3

About the security content of OS X Yosemite v10.10.2 and Security Update 2015-001

una-al-dia (23/01/2015) Google anuncia vulnerabilidades en OS X


Antonio Ropero

Twitter: @aropero

miércoles, 28 de enero de 2015

GetRootByGetHostByName

El año va a comenzar como terminó 2014, plagado de grandes éxitos. El que hoy vamos a presentar tiene todos los visos de convertirse en la canción del verano de las veces que vamos a escucharla en los próximos meses. Dentro de unos días, cuando las listas y foros de seguridad se llenen de exploits solo tendréis que echarle un ojo a los registros del IPS para comprobarlo. Con 'shellshock' tenía su gracia, hacer un grep '() { :; }' en los del servidor web, sobre todo del IIS. En fin.

Este "gran éxito" ha sido bautizado como GHOST, tiene su propio logo y de momento (habrá que esperar) no tiene dominio propio y web para hacer pruebas, cuestión de tiempo, para que cumpla con todos los requisitos (resumimos: nombre pegadizo, logo y dominio+web para hacer pruebas). Vamos a lo que nos interesa, quién, qué, cómo y el diámetro del cráter que podría dejar su explotación.

Lo ha descubierto la empresa Qualys, dándolo a conocer Amol Sarwate, jefe de ingeniería, en un post en el blog de la empresa. No se publicarían detalles de GHOST hasta que las principales distribuciones Linux tuvieran los paquetes con el parche correspondiente fuera del horno. Y así ha sido, una vez se han sincronizado los repositorios han liberado los detalles del "fantasma". Un equilibrio casi perfecto entre el anuncio responsable y la cuota de atención que van a tener durante estos días. No le quitemos mérito, investigar es invertir y hasta ahora lo único que han hecho mal es ponerle un nombre antiSEO a la criatura.

Vamos al qué.

Todas las distribuciones Linux que usen la librería glibc (y eglibc) versión 2.17 y anteriores son virtualmente vulnerables. ¿Cómo comprobar la versión?

ldd print | grep libc.so

o directamente ejecutando la librería en la línea de comandos. Sí, puedes ejecutar una librería en Linux. En el caso de libc esta dispone de un punto de entrada hacia __libc_main donde llama a __libc_print_version que no hace otra cosa que imprimir cierta información en formato humano sobre su compilación.

 /lib/i386-linux-gnu$ ./libc.so.6

GNU C Library (Ubuntu EGLIBC 2.19-0ubuntu6.5) stable release version 2.19, by Roland McGrath et al.
Copyright (C) 2014 Free Software Foundation, Inc.

Evidentemente también puedes verificar la versión instalada buscando su paquete correspondiente, pero esto va a variar en función de la distribución usada.

Al grano. El fallo reside en la función '__nss_hostname_digits_dots', definida en el archivo 'gnu/glibc/nss/digits_dots.c'. Esta función es usada por un grupo de funciones de la familia 'gethostbyname' (de ahí el GHOST) y su cometido es comprobar si la cadena que se ha pasado a 'gethostbyname' es una IP. De esta forma el sistema se ahorra una consulta DNS. Básicamente es como si intentases resolver una IP (no una resolución inversa, ojo), algo que carece de sentido.
Vamos a recorrer la vulnerabilidad al revés, el fallo podemos verlos en la línea 157 del código de 'digits_dots.c' (sin el parche):

(157) resbuf->h_name = strcpy (hostname, name);

Ya de entrada el uso de 'strcpy' debería resultar sospechoso, básicamente porque no hace ninguna comprobación sobre los límites del búfer de destino y terminará sobrescribiendo "hostname" hasta que encuentre el carácter '\0' en "name".

Vemos de donde viene el cálculo del tamaño de "hostname".

(125) hostname = (char *) h_alias_ptr + sizeof (*h_alias_ptr);

'h_alias_ptr' es:

(124) h_alias_ptr = (char **) ((char *) h_addr_ptrs + sizeof (*h_addr_ptrs));

nuevamente, a su vez, 'h_alias_ptrs' es:

(122-123) h_addr_ptrs = (host_addr_list_t *) ((char *) host_addr + sizeof (*host_addr));

seguimos, 'host_addr' es un simple casting a 'buffer':

(121) host_addr = (host_addr_t *) *buffer;

'buffer' es donde se ha pasado el puntero que apunta al bloque de memoria reservado en 'new_buf':

(116) *buffer = new_buf;

Ya queda poco. 'new_buf' es donde está recogido el comienzo de la memoria reservada:

(101) *buffer_size = size_needed;
(102) new_buf = (char *) realloc (*buffer, *buffer_size);

Como podemos ver el tamaño viene definido por 'buffer_size' que es definido más arriba, teniendo en cuenta el tamaño de 'host_addr', 'h_addr_ptrs' y 'name'.

(85-86) size_needed = (sizeof (*host_addr) + sizeof (*h_addr_ptrs) + strlen (name) + 1);

Pero, ay, cuando se calcula el tamaño se hace con la intención de que en 'buffer' se guarden cuatro objetos, dejando un cuarto fuera del cálculo del tamaño de memoria a reservar: 'h_alias_ptr'.

Esta variable es un puntero a char. Luego la función 'strcpy' va a sobrescribir el tamaño, dependiente de la arquitectura, de un puntero a char. 4 bytes, típicamente, en arquitecturas de 32 bits, 8 bytes en las de 64 bits.

Esta es la cabecera de la función '__nss_hostname_digits_dots':
int
__nss_hostname_digits_dots (const char *name, struct hostent *resbuf,
                            char **buffer, size_t *buffer_size,
                            size_t buflen, struct hostent **result,
                            enum nss_status *status, int af, int *h_errnop)
'name' es el parámetro que puede controlar el atacante. Cuando el servidor a la escucha necesite efectuar una llamada a 'gethostbyname' para resolver un nombre de dominio, es ahí donde comenzará la explotación.

Curiosamente, como apuntan en el anuncio de seguridad de Qualys, llegar a la línea donde se produce el desbordamiento es un camino lleno de obstáculos debido a la comprobación de ciertos valores en la cadena donde se supone que está el nombre del host. Todo un desafío para escribir un exploit.

Consideraciones

La librería 'libc' es omnipresente en todos los sistemas Linux, incluidos sistemas empotrados. Prácticamente casi todo el software nativo y no nativo hace uso de 'libc'. Eso convertiría en virtualmente vulnerable a casi todos los programas que hagan uso del grupo de funciones 'gethostbyname'. La salvedad es la forma en la que se hace uso de dichas funciones y más en el procesamiento previo que se efectúa sobre el nombre de host. Luego no todo es vulnerable, hay muchos condicionantes a tener en cuenta.

Curiosamente, este fallo ya fue parcheado en mayo de 2013, en la versión 2.18 de glibc, aunque en aquel momento no se llegó a tener en cuenta la "militarización" del error. Si vemos el parche aplicado en su día:
size_needed = (sizeof (*host_addr)
+ sizeof (*h_addr_ptrs)
+ sizeof (*h_alias_ptr) + strlen (name) + 1);
Comprobamos como se ha añadido el elemento faltante: 'h_alias_ptr'. Bug neutralizado.

Muchas distribuciones Linux ya contienen una versión corregida de este fallo desde entonces, 2013 y sin saberlo. Pero no es suficiente, ahora mismo, ahí afuera, hay cientos de miles de servicios que podrían estar a tres paquetes TCP de volar por los aires. La vulnerabilidad está presente desde 2000. Una calma que precede a la tempestad. Arriad velas, atrincad la carga y preparémonos para el impacto cuando publiquen los exploits.

Más información:

Qualys Releases Security Advisory for “GHOST” Vulnerability on Linux Systems

Qualys Security Advisory CVE-2015-0235
GHOST: glibc gethostbyname buffer overflow

funciones "gethostbyname*()"

[SECURITY] [DSA 3142-1] eglibc security update

Critical: glibc security update

USN-2485-1: GNU C Library vulnerability




David García
Twitter: @dgn1729

martes, 27 de enero de 2015

Nueva actualización de Adobe Flash Player

Tal y como había anunciado, Adobe ha publicado una nueva actualización para Adobe Flash Player para evitar la segunda vulnerabilidad 0-day que quedaba por solucionar y que está explotándose en la actualidad. Esta vulnerabilidad puede permitir a un atacante tomar el control de los sistemas afectados.

Las vulnerabilidades afectan a las versiones de Adobe Flash Player 16.0.0.287 (y anteriores) para Windows, Adobe Flash Player 13.0.0.262 (y versiones 13.x anteriores) y Adobe Flash Player 11.2.202.438 (y anteriores) para Linux.

Esta actualización, publicada bajo el boletín APSA15-01, resuelve la vulnerabilidad con CVE-2015-0311 que en la actualidad se está empleando en ataques a través de un exploit incluido en un kit de exploits para Flash conocido como Angler (Angler Exploit Kit). Está es una conocida herramienta utilizada para lanzar ataques masivos "drive-by-download", en los que principalmente infecta sistemas de forma transparente (sin intervención del usuario) a través de anuncios maliciosos incluidos sitios web legítimos.

Adobe confirma que los usuarios con la actualización automática activa ya están recibiendo la nueva versión 16.0.0.296 que soluciona el problema. También informa que estará disponible para descarga esta semana. Sin embargo, aunque no ha sido oficialmente anunciada, ya está disponible en el sitio de distribución:

Más información:

Security Advisory for Adobe Flash Player

una-al-dia (22/01/2015) Actualización de Adobe Flash Player para evitar un 0-day

Adobe Flash Player Distribution


Antonio Ropero

Twitter: @aropero

lunes, 26 de enero de 2015

Diversas vulnerabilidades en PHP

Recientemente el equipo de desarrollo de PHP ha publicado actualizaciones para las ramas 5.6, 5.5 y 5.4 de PHP para solucionar tres vulnerabilidades que pueden ser aprovechadas para provocar denegaciones de servicio e incluso comprometer los sistemas afectados.

Se ha solucionado una vulnerabilidad, con CVE-2015-0231, uso después de liberar memoria en la función "unserialize()" que podría permitir la ejecución de código arbitrario. Otra vulnerabilidad, con CVE-2014-9427, de lectura fuera de límites que podría provocar condiciones de denegación de servicio. Por último, un problema en el tratamiento de imágenes JPEG con una etiqueta EXIF específicamente manipulada, que podría dar lugar a la liberación de un puntero no inicializado y permitir la ejecución de código arbitrario (CVE-2015-0232).

Se recomienda actualizar cuanto antes a las nuevas versiones 5.6.5, 5.5.21 y 5.4.37 desde http://www.php.net/downloads.php

Más información:

PHP 5 ChangeLog


Antonio Ropero
Twitter: @aropero


domingo, 25 de enero de 2015

Corregidas dos vulnerabilidades en Bugzilla

Se han publicado nuevas versiones de Bugzilla para solucionar dos nuevas vulnerabilidades que podrían permitir a atacantes inyectar comandos y obtener información sensible. 

Bugzilla es una herramienta de seguimiento de errores de código abierto, basada en web, y muy utilizada por empresas de desarrollo de software para sus proyectos. Además de la gestión de fallos y vulnerabilidades, también permite determinar la prioridad y severidad de los mismos, agregar comentarios y propuestas de solución, designar responsables para cada uno de ellos, enviar mensajes de correo para informar de un error, etc.

El primero de los problemas (CVE-2014-8630) reside en que Bugzilla no utiliza de forma adecuada algunos argumentos en determinados formularios. Esto puede permitir la inyección de comandos a un usuario con permisos "editcomponents". Por otra parte usando la API WebServices un usuario podría ejecutar funciones importadas de otros módulos diferentes, lo que podría facilitar la fuga de información.

Las correcciones para estos problemas se encuentran incluidas en las versiones 4.0.16, 4.2.12, 4.4.7 y 5.0rc1, disponibles desde:

Más información:

5.0rc1, 4.4.6, 4.2.11, and 4.0.15 Security Advisory

Bug 1079065 - (CVE-2014-8630) [SECURITY] Always use the 3 arguments form for open() to prevent shell code injection

Bug 1090275 - WebServices modules should maintain a whitelist of methods that are allowed instead of allowing access to any function imported into its namespace


Antonio Ropero
Twitter: @aropero


sábado, 24 de enero de 2015

Google publica Chrome 40 y corrige 62 vulnerabilidades

Google anuncia una nueva versión de su navegador Google Chrome 40. Se publica la versión 40.0.2214.91 para las plataformas Windows, Mac y Linux, que junto con nuevas funcionalidades y mejoras, además viene a corregir 62 nuevas vulnerabilidades.

Según el aviso de Google se ha actualizado la información de diálogo para Chrome app en Windows y Linux un nuevo reloj delante/detrás de los mensajes de error.

La actualización incluye la corrección de 62 nuevas vulnerabilidades. Como es habitual, Google solo proporciona información sobre los problemas solucionados reportados por investigadores externos o las consideradas de particular interés. En esta ocasión, aunque se han solucionado 62 vulnerabilidades, solo se facilita información de 26 de ellas (17 de gravedad alta y las 9 restantes de importancia media).

Las vulnerabilidades descritas están relacionadas con corrupción de memoria en ICU, V8 y en Fuentes. También se solucionan vulnerabilidades por uso después de liberar memoria en IndexDB, WebAudio, DOM, FFmpeg, Speech y Views. Una vulnerabilidad de salto de la política de mismo origen en V8. Por último otras vulnerabilidades están relacionadas con valores sin inicializar (en ICU y Fuentes) y lecturas fueras de límites (en la interfaz de usuario, Skia, PDFium y Fuentes). Los CVE asignados van del CVE-2014-7923 al CVE-2014-7948.

También del trabajo de seguridad interno, varias correcciones procedentes de auditoría interna, pruebas automáticas y otras iniciativas (CVE-2015-1205). Así como múltiples vulnerabilidades en V8 en la rama de 3.30 (actualmente 3.30.33.15).

Según la política de la compañía las vulnerabilidades anunciadas han supuesto un total de 88.500 dólares en recompensas a los descubridores de los problemas.

Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados.

Más información:

Stable Channel Update




Antonio Ropero

Twitter: @aropero

viernes, 23 de enero de 2015

Google anuncia vulnerabilidades en OS X

El equipo de seguridad Project Zero de Google ha anunciado tres nuevas vulnerabilidades de elevación de privilegios en los sistemas OS X de Apple.

Después de la polémica por sus anuncios de problemas en los sistemas Windows, el equipo mantiene su política de anunciar automáticamente todos los detalles de las vulnerabilidades 90 días después de su comunicación a la compañía responsable. En esta ocasión le ha tocado a Apple y sus sistemas operativos OS X.

Los tres problemas requieren un cierto nivel de acceso, pero podrían permitir a un atacante local elevar sus privilegios en los sistemas afectados. El primer fallo reside en el componente networkd (com.apple.networkd), un demonio del sistema que implementa el servicio XPC, debido a que no se comprueban las entradas de forma adecuada. El investigador confirma que solo se ha probado en 10.9.5 pero parece ser que OS X Yosemite introduce mitigaciones que evitan la vulnerabilidad.

Los dos problemas restantes afectan a IOKit, el primero por una desreferencia de puntero nulo mientras que el segundo requiere la conexión de un dispositivo Bluetooth de debe a una corrupción de memoria en IOBluetoothDevice.

Se han publicado pruebas de concepto de los tres problemas, que no cuentan con ninguna actualización de Apple. ¿Son suficientes 90 días para desarrollar, probar y validar una actualización para una vulnerabilidad?

Los 90 días es el tiempo que da el equipo Project Zero de Google para ofrecer todos los detalles de una vulnerabilidad tras su aviso al fabricante. Zero Day Initiative actualmente marca su límite en 120 días. Según nuestro último informe sobre el tiempo que tardan los fabricantes en solucionar una vulnerabilidad (de 2011) la media total se situaba en seis meses.

Más información:

OS X networkd "effective_audit_token" XPC type confusion sandbox escape (with exploit)

OS X IOKit kernel code execution due to NULL pointer dereference in IntelAccelerator

OS X IOKit kernel memory corruption due to bad bzero in IOBluetoothDevice

una-al-dia (05/01/2015) Elevación de privilegios en Windows 8.1

una-al-dia (21/09/2009) Estudio comparativo: ¿Cuánto tardan los grandes fabricantes de software en arreglar una vulnerabilidad?

una-al-dia (03/08/2011) Estudio: Mozilla es el fabricante que menos tarda en resolver vulnerabilidades. RealNetworks, el que más. La media global son 6 meses

Informe ¿Cuánto tardan los fabricantes de software enarreglar una vulnerabilidad?



Antonio Ropero
Twitter: @aropero


jueves, 22 de enero de 2015

Actualización de Adobe Flash Player para evitar un 0-day

Adobe ha publicado una actualización para Adobe Flash Player para evitar una nueva vulnerabilidad 0-day que está explotándose en la actualidad y que afecta al popular reproductor. 

Las vulnerabilidades afectan a las versiones de Adobe Flash Player 16.0.0.257 (y anteriores) para Windows, Adobe Flash Player 13.0.0.260 (y versiones 13.x anteriores) y Adobe Flash Player 11.2.202.429 (y anteriores) para Linux.

Esta actualización, publicada bajo el boletín APSB15-02, resuelve un exploit para la vulnerabilidad CVE-2015-0310 que se está empleando en ataques en la actualidad contra versiones anteriores de Flash Player. El problema reside en una fuga de memoria que puede permitir evitar la protección ASLR (Address Space Layout Randomization) en plataformas Windows. Además confirma que está investigando informes de otro exploit para Flash Player 16.0.0.287 (y anteriores) que igualmente se está empleando actualmente.

Adobe ha publicado las siguientes versiones de Adobe Flash Player destinadas a solucionar las vulnerabilidades, y se encuentran disponibles para su descarga desde la página oficial:
  • Flash Player Desktop Runtime 16.0.0.287
  • Flash Player Extended Support Release 13.0.0.262
  • Flash Player para Linux 11.2.202.438
Igualmente se ha publicado la versión 16.0.0.287 de Flash Player para Internet Explorer y Chrome (Windows y Macintosh). Y 16.0.0.291 de Flash Player para Chrome (Linux).

A pesar de esta actualización, el aviso de Adobe indicando la existencia de otro exploit 0-day, hace pensar que dentro de poco la compañía publicará otro parche.

Más información:

Actualizaciones de seguridad disponibles para Adobe Flash Player

Unpatched Vulnerability (0day) in Flash Player is being exploited by Angler rEK

Microsoft Security Advisory (2755801)
Update for Vulnerabilities in Adobe Flash Player in Internet Explorer


Antonio Ropero
Twitter: @aropero

miércoles, 21 de enero de 2015

Microsoft actualiza la suite de herramientas de Sysinternals

Sysmon, una de las herramientas creadas por Sysinternals ahora distribuida por Microsoft, es un servicio que registra la actividad de procesos en el registro de eventos de Windows. Esta utilidad acaba de recibir una actualización mayor para pasar a la versión 2.0 que aporta nuevas características y funciones. Accesschk y RU reciben actualizaciones menores.

Las herramientas de Sysinternals (liderada por Mark Russinovich y comprada por Microsoft en 2006) son una serie de utilidades para administradores de sistemas Windows: monitores de comportamiento de archivos, de registro, explorador de procesos, y un largo etcétera. Afortunadamente, a pesar del nuevo cargo y responsabilidades de Russinovich (ahora CTO de Azure), las utilidades de Sysinternals no solo continúan disponibles sino que además siguen recibiendo actualizaciones.

System Monitor (Sysmon) es un servicio del sistema y controlador de dispositivo Windows que una vez instalado en un sistema, permanece residente después de reiniciarlo, destinado a monitorizar y registrar la actividad del sistema en el registro de eventos de Windows. Proporciona información detallada sobre la creación de procesos, conexiones de red y cambios en la de fecha de creación de archivos. Está especialmente  indicado para la detección de incidentes y análisis forense.

Como novedades, incluye eventos de carga de controladores y de carga de imágenes con información de la firma, notificación configurable de algoritmo hash, filtros flexibles para la inclusión y exclusión de eventos, y la posibilidad de configuración de la herramienta a través de un archivo de configuración en lugar de la línea de comandos.

Accesschk, que se actualiza a la versión 5.21, es una herramienta de línea de comando que muestra los accesos que tienen usuarios o grupos especificados a los archivos, directorios, claves del registro y servicios de Windows. Añade nuevos tipos de permisos de procesos y corrige un problema al mostrar descriptores de seguridad de procesos.

RU (Registry Usage), que se actualiza a la versión 1.1, es una utilidad de línea de comandos, que muestra el uso del registro por claves. Ahora soporta la carga de archivos de colmena (hive) e informa de y los informes de la última escritura de hora y fecha se realiza en formato CSV.

En cualquier caso, cabe recordar que las utilidades de Sysinternals son una magnífica colección de más de 70 estupendas herramientas para el trabajo de cualquier administrador o técnico de seguridad. Merece la pena revisarlas todas.

Más información:

Sysinternals Utilities Index

Sysmon v2.0



Antonio Ropero
Twitter: @aropero

martes, 20 de enero de 2015

Oracle corrige 169 vulnerabilidades en su actualización de seguridad de enero

Siguiendo su ritmo de publicación trimestral de actualizaciones, Oracle publica su boletín de seguridad de enero. Contiene parches para 169 vulnerabilidades diferentes en una larga lista de productos pertenecientes a múltiples familias, que van desde el popular gestor de base de datos Oracle Database hasta Solaris, Java o MySQL.

Los fallos se dan en varios componentes de los productos:
  • Oracle Database Server, versiones 11.1.0.7, 11.2.0.3, 11.2.0.4, 12.1.0.1 y 12.1.0.2
  • Oracle Fusion Middleware, versiones 10.1.3.5, 11.1.1.7, 11.1.2.1, 11.1.2.2, 12.1.2 y 12.1.3
  • Oracle Fusion Applications, versiones 11.1.2 hasta 11.1.9
  • Oracle Access Manager, versiones 11.1.1.5, 11.1.1.7, 11.1.2.1 y 11.1.2.2
  • Oracle Adaptive Access Manager, versiones 11.1.1.5, 11.1.1.7, 11.1.2.1 y 11.1.2.2
  • Oracle BI Publisher, versiones 10.1.3.4.2 y 11.1.1.7
  • Oracle Business Intelligence Enterprise Edition, versiones 10.1.3.4.2 y 11.1.1.7
  • Oracle Containers for J2EE, versión 10.1.3.5
  • Oracle Directory Server Enterprise Edition, versiones 7.0 y 11.1.1.7
  • Oracle Exalogic Infrastructure, versiones 2.0.6.2.0 (para todos los X2-2, X3-2 y X4-2)
  • Oracle Forms, versiones 11.1.1.7, 11.1.2.1 y 11.1.2.2
  • Oracle GlassFish Server, versiones 3.0.1 y 3.1.2
  • Oracle HTTP Server, versiones 10.1.3.5.0, 11.1.1.7.0, 12.1.2.0 y 12.1.3.0
  • Oracle OpenSSO, versión 8.0 Update 2 Patch 5
  • Oracle Real-Time Decision Server, versión 11.1.1.7, RTD Platform 3.0.x
  • Oracle Reports Developer, versiones 11.1.1.7 y 11.1.2.2
  • Oracle SOA Suite, versiones 11.1.1.7 y 12.1.3.0
  • Oracle Waveset, versión 8.1.1
  • Oracle WebCenter Content, versión 11.1.1.8.0
  • Oracle WebLogic Portal, versiones 10.0.1.0, 10.2.1.0 y 10.3.6.0
  • Oracle WebLogic Server, versiones 10.0.2.0, 10.3.6.0, 12.1.1.0, 12.1.2.0 y 12.1.3.0
  • Enterprise Manager Base Platform, versiones 12.1.0.3 y 12.1.0.4
  • Enterprise Manager Ops Center, versiones 11.1, 11.1.3, 12.1, 12.1.4 y 12.2
  • Oracle E-Business Suite, versiones 11.5.10.2, 12.0.4, 12.0.5, 12.0.6, 12.1.1, 12.1.2, 12.1.3, 12.2.2, 12.2.3 y 12.2.4
  • Oracle Agile PLM, versión 9.3.3
  • Oracle Agile PLM for Process, versión 6.1.0.3
  • Oracle Transportation Management, versiones 6.1, 6.2, 6.3.0, 6.3.1, 6.3.2, 6.3.3, 6.3.4 y 6.3.5
  • PeopleSoft Enterprise HRMS, versión 9.1
  • PeopleSoft Enterprise PeopleTools, versiones 8.52, 8.53 y 8.54
  • JD Edwards EnterpriseOne Tools, versión 9.1.5
  • Oracle Enterprise Asset Management, versiones 8.1.1 y 8.2.2
  • Siebel Applications, versiones 8.1.1 y 8.2.2
  • Oracle iLearning, versiones 6.0 y 6.1
  • Oracle Communications Diameter Signaling Router, versiones 3.x, 4.x y 5.0
  • Oracle Communications Messaging Server, versiones 7.0.5.33.0 y anteriores
  • Oracle MICROS Retail, versiones Xstore: 3.2.1, 3.4.2, 3.5.0, 4.0.1, 4.5.1, 4.8.0, 5.0.3, 5.5.3, 6.0.6 y 6.5.2
  • Oracle Healthcare Master Person Index, versiones 1.x y 2.x
  • Oracle Java SE, versiones 5.0u75, 6u85, 7u72 y 8u25
  • Oracle Java SE Embedded, versiones 7u71 y 8u6
  • Oracle JRockit, versiones R27.8.4 y R28.3.4
  • Fujitsu M10-1, M10-4, M10-4S Servers, versiones anteriores a la XCP 2240
  • Integrated Lights Out Manager(ILOM), versiones anteriores a la 3.2.4
  • Solaris, versiones 10 y 11
  • Solaris Cluster, versiones 3.3 y 4.1
  • SPARC Enterprise M3000, M4000, M5000, M8000, M9000 Servers, versiones anterioes a XCP 1119
  • Oracle Secure Global Desktop, versiones 4.63, 4.71, 5.0 y 5.1
  • Oracle VM VirtualBox, versiones anteriores a la 3.2.26, 4.0.28, 4.1.36, 4.2.28 y 4.3.20
  • MySQL Server, versiones 5.5.40 (y anteriores) y 5.6.21 (y anteriores)


A continuación ofrecemos una relación de productos y el número de vulnerabilidades corregidas: 
  • Ocho nuevas vulnerabilidades corregidas en Oracle Database Server. Afecta a los componentes Core RDBMS, XML Developer's Kit for C, OJVM, Workspace Manager, Recovery y PL/SQL.
        
  • Otras 36 vulnerabilidades afectan a Oracle Fusion Middleware. 28 de ellas podrían ser explotadas por un atacante remoto sin autenticar. Los componentes afectados son: BI Publisher (formerly XML Publisher), Oracle Access Manager, Oracle Adaptive Access Manager, Oracle Business Intelligence Enterprise Edition, Oracle Containers for J2EE, Oracle Directory Server Enterprise Edition, Oracle Exalogic Infrastructure, Oracle Forms, Oracle GlassFish Server, Oracle HTTP Server, Oracle OpenSSO, Oracle Real-Time Decision Server, Oracle Reports Developer, Oracle Security Service, Oracle SOA Suite, Oracle Waveset, Oracle WebCenter Content, Oracle WebLogic Portal y Oracle WebLogic Server.
         
  • Esta actualización contiene 10 nuevas actualizaciones de seguridad para Oracle Enterprise Manager Grid Control todas explotables de forma remota sin autenticación.
         
  • Dentro de Oracle Applications, 10 parches son para Oracle E-Business Suite, seis parches son para Oracle Supply Chain Products Suite, siete para productos Oracle PeopleSoft, uno para productos Oracle JD Edwards, 17 nuevos parches para Oracle Siebel CRM y dos para Oracle iLearning.
         
  • Igualmente para Oracle Industry Applications se incluyen dos para Oracle Communications Applications, uno para Oracle Retail Applications y otro para Oracle Health Sciences Applications.
         
  • En lo referente a Oracle Java SE se incluyen 19 nuevos parches de seguridad. 14 de ellas podrían ser explotadas por un atacante remoto sin autenticar.
         
  • 19 de las vulnerabilidades afectan a la Suite de Productos Sun. 10 de ellas explotables de forma remota sin autenticar.
        
  • 11 nuevas actualizaciones afectan a Oracle Virtualization.
        
  • Nueve nuevas vulnerabilidades afectan a MySQL Server, 3 de ellas explotables de forma remota sin autenticación.

Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial en:
Oracle Critical Patch Update Advisory - January 2015

Más información:

Oracle Critical Patch Update Advisory - January 2015
  

Antonio Ropero
Twitter: @aropero


lunes, 19 de enero de 2015

Múltiples vulnerabilidades en Moodle

Moodle ha publicado ocho alertas de seguridad en las que se corrigen otras tantas vulnerabilidades con diversos efectos, desde denegaciones de servicio hasta los habituales cross-site scripting y cross-site request forgery. Se ven afectadas todas las ramas soportadas 2.8, 2.7, 2.6  y anteriores versiones ya fuera de soporte. 

Moodle es una popular plataforma educativa de código abierto que permite a los educadores crear y gestionar tanto usuarios como cursos de modalidad e-learning. Además proporciona herramientas para la comunicación entre formadores y alumnos.

Se han publicado ocho boletines de seguridad (del MSA-15-0001 al MSA-14-0008), y tienen asignados los identificadores comprendidos del CVE-2015-0211 al CVE-2015-0218. Cuatro de ellos son considerados como serios y el resto como de gravedad menor. Las vulnerabilidades podrían permitir ataques Cross Site Scripting (XSS), Cross Site Request Forgery (CSRF), denegaciones de servicio, forzar la desconexión o revelar información.

Las versiones 2.8.2, 2.7.4 y 2.6.7 solucionan todas las vulnerabilidades. Se encuentran disponibles para su descarga desde la página oficial de Moodle.

Más información:

Moodle downloads

MSA-15-0001: Insufficient access check in LTI module

MSA-15-0002: XSS vulnerability in course request pending approval page

MSA-15-0003: CSRF possible in Glossary module

MSA-15-0004: Information leak through messaging functions in web-services

MSA-15-0005: Insufficient access check in calendar functions in web-services

MSA-15-0006: Capability to grade Lesson module is missing XSS bitmask

MSA-15-0007: ReDoS possible in the multimedia filter

MSA-15-0008: Forced logout through Shibboleth authentication plugin


Antonio Ropero
Twitter: @aropero


domingo, 18 de enero de 2015

Actualización del kernel para Red Hat Enterprise Linux 6.4

Red Hat ha publicado una actualización considerada importante del kernel de Red Hat Enterprise Linux Server 6.4 AUS y EUS, que solventa tres nuevas vulnerabilidades que podrían ser aprovechadas por un atacante para provocar condiciones de denegación de servicio.

Existe un fallo en la forma en que la implementación SCTP del kernel trata Address Configuration Change Chunks (ASCONF) duplicados o mal construidos. Un atacante remoto podría usar estos fallos para conseguir la caída del sistema (CVE-2014-3673, CVE-2014-3687).

También en la implementación SCTP un error en el manejo de la cola de salida, que podría permitir a un atacante remoto consumir cantidades excesivas de memoria a través de paquetes específicamente construidos, con la consiguiente denegación de servicio (CVE-2014-3688).

Además se han solucionado otros fallos de menor importancia. Ésta actualización está disponible desde Red Hat Network. Información sobre el uso de Red Hat Network para la instalación de la actualización está disponible en:

Más información:

Important: kernel security and bug fix update




Antonio Ropero

Twitter: @aropero

sábado, 17 de enero de 2015

Elevación de privilegios en Active Directory Domain Controller de Samba

Se ha confirmado una vulnerabilidad en todas las versiones de Active Directory Domain Controller de Samba que podría permitir a un atacante elevar sus privilegios.

Samba es un software gratuito que permite acceder y utilizar archivos, impresoras y otros recursos compartidos en una intranet o en Internet. Está soportado por una gran variedad de sistemas operativos, como Linux, openVMS y OS/2. Samba AD DC (Active Directory Domain Controller ) permite a un administrador de legar la creación de usuarios o cuentas a grupos o usuarios específicos.

El problema reside en que todas las versiones de Active Directory Domain Controller de Samba no implementan las comprobaciones adicionales necesarias del bit UF_SERVER_TRUST_ACCOUNT en los atributos userAccountControl.

Samba confirma que esta vulnerabilidad, con CVE-2014-8143, se ha descubierto en una auditoría interna del código. Hay que aclarar que el problema solo afecta a Active Directory Domain Controller. Por lo que la mayoría de las instalaciones de Samba, que según el propio equipo de desarrollo son del controlador de dominio clásico, o de servidores de archivos o de impresión no se ven afectadas.

Se han publicado las versiones de Samba 4.0.24, 4.1.16 y 4.2rc4 para solucionar este problema. También se han publicado parches para corregirlo disponibles en:

Más información:

CVE-2014-8143: Elevation of privilege to Active Directory Domain Controller



Antonio Ropero

Twitter: @aropero

viernes, 16 de enero de 2015

Mozilla publica Firefox 35 y corrige 10 nuevas vulnerabilidades

Mozilla ha anunciado la publicación de la versión 35 de Firefox, junto con nueve boletines de seguridad destinados a solucionar 10 nuevas vulnerabilidades en el propio navegador, el gestor de correo Thunderbird y la suite SeaMonkey.

Firefox 35 entre otras novedades incluye la tienda de aplicaciones Mozilla (Firefox Marketplace), el soporte nativo para H264 (MP4) en Mac OS X Snow Leopard (10.6) y superiores, mejoras en el servicio de videollamadas Hello, reducción del uso de recursos para imágenes escaladas y también se ha actualizado PDF.js a la versión 1.0.907.

Por otra parte, se han publicado nueve boletines de seguridad (tres de ellos considerados críticos, uno importante, cuatro moderados y un último de gravedad baja) que corrigen 10 nuevas vulnerabilidades en los diferentes productos Mozilla.

MFSA 2015-01: Boletín considerado crítico por diversos problemas de corrupción de memoria en el motor del navegador (CVE-2014-8634 y CVE-2014-8635).

MFSA 2015-02: Soluciona una vulnerabilidad de gravedad alta debido al uso de memoria sin inicializar en la representación de imágenes (CVE-2014-8637).

MFSA 2015-03: Boletín de carácter moderado, que corrige un problema con navigator.sendBeacon() que podría dar permitir ataques Cross-site request forgery (XSRF) (CVE-2014-8638).

MFSA 2015-04: Corrige una vulnerabilidad de gravedad de gravedad moderada que podría permitir la inyección de cookies (CVE-2014-8639).

MFSA 2015-05: Soluciona una vulnerabilidad de gravedad moderada por una lectura de memoria sin inicializar en Web Audio (CVE-2014-8640).

MFSA 2015-06: Soluciona una vulnerabilidad considerada crítica por un uso después de liberar en WebRTC (CVE-2014-1551).

MFSA 2015-07: Boletín de carácter alto que permite escapar de la sandbox GMP (Gecko Media Plugin) en sistemas Windows (CVE-2014-8643).

MFSA 2015-08: Soluciona un problema de impacto bajo, por un fallo en el reconocimiento de la extensión id-pkix-ocsp-nocheck por OCSP (Online Certificate Status Protocol) (CVE-2014-8642).

MFSA 2015-09: Destinado a corregir una vulnerabilidad de gravedad moderada que podría permitir una escalada de privilegios debido a que determinados objetos DOM podrían evitar XrayWrappers (CVE-2014-8636).

La nueva versión está disponible a través del sitio oficial de descargas de Firefox: http://www.mozilla.org/es-ES/firefox/new/

Más información:

Version 35.0, first offered to Release channel users on January 13, 2015

Miscellaneous memory safety hazards (rv:35.0 / rv:31.4)

Uninitialized memory use during bitmap rendering

sendBeacon requests lack an Origin header

Cookie injection through Proxy Authenticate responses

Read of uninitialized memory in Web Audio

Read-after-free in WebRTC

Gecko Media Plugin sandbox escape

Delegated OCSP responder certificates failure with id-pkix-ocsp-nocheck extension

XrayWrapper bypass through DOM objects


Antonio Ropero