sábado, 31 de octubre de 2015

Microsoft publica actualización para Internet Explorer en Windows 10

Microsoft ha publicado de una forma un tanto "extraña" una nueva actualización para evitar una vulnerabilidad crítica en Internet Explorer sobre sistemas Windows 10.

La actualización viene a través de la revisión de uno de los boletines publicados el pasado 13 de octubre, concretamente el MS15-106, en el que se incluye la habitual actualización acumulativa para Internet Explorer.

De esta forma, mediante la actualización del boletín Microsoft evita la publicación de un nuevo boletín de seguridad, algo que sin duda tiene una mayor repercusión mediática. Si bien, como sabemos, la publicación de nuevos boletines por desgracia queda reservada a casos críticos y de urgencia. Por lo que, al menos de esta forma, mediante la actualización del boletín podemos felicitarnos de que la vulnerabilidad puede quedar corregida de forma inmediata.

"Bulletin revised to announce the release of a new Windows 10 cumulative update (3105210) to address an additional vulnerability, CVE-2015-6045, which has been added to this bulletin."

En este caso la actualización viene a solucionar una vulnerabilidad de ejecución remota de código (con CVE-2015-6045) debido a un problema de corrupción de memoria en sistemas Windows 10. Está considerada como crítica, si bien Microsoft aclara que solo afecta a sistemas con Windows 10, sistemas en los que como ya sabemos el navegador por defecto es el nuevo Microsoft Edge.

Más información:

una-al-dia (13/10/2015) Microsoft publica seis boletines de seguridad

Microsoft Security Bulletin MS15-106 - Critical
Cumulative Security Update for Internet Explorer (3096441)



Antonio Ropero

Twitter: @aropero

viernes, 30 de octubre de 2015

Cuando barrer debajo de la alfombra hace arder la alfombra

Hoy toca una de brechas, millones de contraseñas y el uso del patrón 
PuesAMiNoMePareceQueSeEsteQuemandoFactory.

Empecemos por el peso, que es lo que le da a cualquier titular el brillo necesario para que destaque entre los otros cientos de titulares que el lector medio verá discurrir por su pantalla y pujan por su atención. 13 millones y medio de contraseñas, nombres, direcciones IP y otros datos. ¿Qué tal está eso? Nada mal. Pero si los comparamos a los 152 millones del Adobazo se queda corto.

La historia comienza cuando a Troy Hunt (@troyhunt), reconocido MVP de Microsoft y creador del servicio Have I been pwned? (haveibeenpwned.com) (metes tu email y te dice si anda por ahí metido en alguna lista de datos robados (o extraídos de algún sitio hackeado)), le contactan de manera anónima y le sueltan una información a cambio de nada: "Oye Troy, que se de un hacker que entró a 000webhost y está por ahí vendiendo una lista de cuentas, etc.". De esto hace cinco meses, en mayo de este año.

Tal y como Troy comenta en su propio blog, se ve en la tesitura de publicar o meter en la base de datos de su servicio información que todavía no se ha publicado o no ha sido noticia. Así que a menos que la información se haya hecho pública (entendemos por pública que la lista puede ser obtenida por algún método que no requiera el pago ilegal de la misma; receptación), Troy no va a publicarla. Evidentemente podemos imaginar que le ha podido llover alguna que otra propuesta de venta de primicia en datos robados.

¿Alguien dijo seguridad?
No fue el caso. No le pidió dinero. Ignoramos esa parte pero la lista terminó en el disco duro de Troy sin ningún tipo de mercadeo. Allí estaban alojados, 13 millones de cuentas con sus respectivas contraseñas en texto plano. Dando una vuelta por el servicio de 000webhost ya pudo observar algunas características que no auguraban nada bueno. Formularios de acceso enviados sin cifrar, correos donde se muestra la contraseña que acabamos de cambiar, versiones obsoletas, URLs con la contraseña adosada, etc. Quedó bastante claro que las prácticas de seguridad más básicas no eran muy apreciadas por los desarrolladores.

Hasta aquí queda bastante claro que el sitio tenía bastante probabilidad de ser objeto de un ataque. ¿Qué haces cuando tienes una lista de 13 millones de cuentas y ves que el sitio es altamente vulnerable?

Lo que comenta Troy a continuación es un símil bastante parecido a los que todos hemos sufrido cuando intentamos reclamar algo por teléfono. Una infraestructura orquestada y diseñada por una mente malévola con el único objeto de que el cliente (o víctima) termine la llamada fruto de la desesperación o traspase la frontera hacia el valle de la locura. Un autentico laberinto por el que creerás alcanzar la salida y cuando llegues a la puerta reconocerás el mismo lugar por el que pasaste otras tres veces. Resumiendo: se pasó días enteros rebotando de formulario en formulario sin que nadie le hiciera caso.

Al final la cosa derivó al terreno público y Troy buscó a usuarios de 000webhost vía Twitter. No tardó en saltar el resorte. Algunos usuarios se interesaron por el llamamiento y quedó claro lo que estaba pasando. Incluso un periodista del Forbes, Thomas Fox-Brewster, tomó nota del asunto e investigó hasta dar con una cuenta de Facebook donde parece que tocó hueso al comentar que estaba tratando de contactar con un responsable. Eso prendió fuego a la mecha.

Al final, sin previo aviso, resetearon las cuentas. Cientos de usuarios se quejaron de no tener acceso al servicio porque sus cuentas parecían bloqueadas. Un escueto mensaje dirigido al usuario: 
"…Debido a una verificación de seguridad de la plataforma y de su propia seguridad, el acceso al FTP de su cuenta ha sido deshabilitado hasta el 10 de noviembre de 2015…".
Nada más.

Nos quedamos con Fox-Brewester. No terminaron las sorpresas. Cuando por fin pudo contactar con Alec, "alguien" de la compañía, (le dieron un nombre de pila, se negaron incluso a sumarle un apellido) este no dio otro mensaje que el de confirmación del corte de acceso FTP y de que "responderían" pero que no estaban preparados para hacer comentarios en este momento.

¡Por fin!
La presión mediática que se les venía encima hizo el resto. Los responsables de la compañía matriz de 000webhost publicaron una entrada en Facebook donde, ahora sí, admitían el ataque, el robo de los datos e incluso una breve explicación de lo ocurrido. Tarde. Las respuestas de sus clientes, de pago y gratuitos, quemaron en muy poco tiempo las vanas esperanzas que depositaron en el descafeinado ejercicio de transparencia. Quejas, borrado de comentarios, más quejas.

Sobre el cómo del ataque no merece más detalle que dos líneas: PHP, versión obsoleta y subida de una shell.

¿Qué podemos aprender?

La dejadez que imperaba en el servicio se evidenciaba por la clara ausencia del elemento más común y básico de cualquiera infraestructura en informática: el puñetero cifrado de la información, tanto en tránsito como en reposo.

En segundo lugar, si alguien te dice que se te está quemando la casa, como mínimo, presta un gramo de atención.

Y en tercer y último lugar. Esto es Internet. La probabilidad de comprensión de tus clientes en un incidente así es inversamente proporcional a tu empeño por esconderlo elevado al tiempo que pases por no admitirlo.

Más información:

Breaches, traders, plain text passwords, ethical disclosure and 000webhost

13 Million Passwords Appear To Have Leaked From This Free Web Host

una-al-dia (05/11/2013) Adobe, la tormenta después de la tormenta




David García
Twitter: @dgn1729

jueves, 29 de octubre de 2015

Vulnerabilidades en múltiples productos F5

F5 ha confirmado dos vulnerabilidades en múltiples de sus productos que podrían permitir a atacantes locales provocar condiciones de denegación de servicio, acceder a información sensible o conseguir acceso administrativo al dispositivo.

F5 Networks es una compañía americana, con sede en Seattle (Washington, EE.UU.), conocida por soluciones de alto nivel, con múltiples productos y soluciones de red que incluyen desde Application Delivery Controllers, hasta soluciones de seguridad y protección de centros de datos y de las aplicaciones de esos CPD.

El primer problema, con CVE-2015-7394, reside en el módulo kernel datastor en dispositivos BIG-IP 11.1.0 hasta 11.6.0 podría permitir a un atacante local provocar condiciones de denegación de servicio o elevar sus privilegios en el sistema.

Por otra parte, un error en el módulo pam_unix en Linux-PAM (conocido simplemente como pam) anterior a 1.2.1, podría permitir a un atacante local enumerar los nombres de usuarios o provocar una denegación de servicio a través de una contraseña de gran tamaño (CVE-2015-3238).

Los problemas afectan a toda prácticamente toda la gama de productos BIG-IP, junto con el Enterprise Manager. F5 Networks ha publicado versiones actualizadas para la mayoría de los productos afectados.

Más información:

sol17407: Datastor kernel vulnerability CVE-2015-7394

sol17494: PAM vulnerability CVE-2015-3238


                                                                                                  
Antonio Ropero
Twitter: @aropero

miércoles, 28 de octubre de 2015

IBM soluciona vulnerabilidades en WebSphere y Domino

IBM ha publicado actualizaciones destinadas a solucionar dos vulnerabilidades muy graves en Domino y otras dos en IBM WebSphere.

Los problemas más graves (CVSS de 9,8) residen en dos vulnerabilidades de desbordamiento de búfer (con CVE-2015-4994 y CVE-2015-5040) en IBM Domino debido a un tratamiento inadecuado de imágenes GIF. Un atacante podría conseguir ejecutar código arbitrario mediante el envío de una imagen específicamente creada. Se ven afectadas las versiones IBM Domino 9.0.x e IBM Domino 8.5.x.

Por otra parte, con CVE-2014-8912, una vulnerabilidad en IBM WebSphere Portal podría permitir a un atacante remoto obtener información sensible debido a una inadecuada restricción de acceso a los recursos situados en las aplicaciones web. Un atacante podría aprovechar esta vulnerabilidad para obtener datos de configuración y otra información sensible. Se ven afectadas las versiones IBM WebSphere Portal 8.5, 8.0, 7.0 y 6.1.

Por último, otra vulnerabilidad (CVE-2015-4997) en IBM WebSphere Portal podría permitir a un atacante remoto evitar restricciones de seguridad, debido a una validación inadecuada del control de acceso. Un atacante podría obtener acceso no autorizado al sistema vulnerable. Se ve afectada la versión IBM WebSphere Portal 8.5.

IBM ha publicado actualizaciones para los productos afectados, disponibles desde las páginas de cada uno de los avisos de seguridad.

Más información:

Security Bulletin: Multiple Vulnerabilities in IBM Domino GIF Processing (CVE-2015-4994, CVE-2015-5040)

Security Bulletin: Fix Available for Security Vulnerability in IBM WebSphere Portal (CVE-2014-8912)

Security Bulletin: Fix Available for Security Vulnerability in IBM WebSphere Portal (CVE-2015-4997)


                                                                                                  
Antonio Ropero

Twitter: @aropero

martes, 27 de octubre de 2015

Nueva actualización de seguridad para Shockwave Player

Adobe ha publicado un nuevo boletín de seguridad (APSB15-26) para solucionar una vulnerabilidad crítica en Shockwave Player.

Shockwave es la tecnología desarrollada inicialmente por Macromedia y posteriormente comprada y ampliada por Adobe para la creación y reproducción de contenidos multimedia y juegos. Se trata de un plugin para navegadores que no debe confundirse con Flash. En cierta manera, es menos popular pero más potente a la hora de desarrollar gráficos y juegos. Como ocurre con Java, muchos usuarios puede que lo tengan instalado en sus navegadores pero realmente no lleguen a usarlo a menudo si no visitan habitualmente páginas que lo requieran.

En esta ocasión la vulnerabilidad (con CVE-2015-7649) está relacionada con un problema de corrupción de memoria que podría permitir a un atacante la ejecución remota de código arbitrario. El problema afecta las versiones de Adobe Shockwave Player 12.2.0.162 y anteriores para plataformas Windows y Macintosh.

Adobe recomienda actualizar a la versión 12.2.1.171 de Shockwave Player, disponible desde:

El pasado mes de septiembre Adobe publicó otra actualización para Shockwave Player destinada a solucionar dos vulnerabilidades.

Más información:

Security update available for Adobe Shockwave Player

una-al-dia (12/09/2015) Actualización de seguridad para Shockwave Player


                                                                                                  
Antonio Ropero

Twitter: @aropero

lunes, 26 de octubre de 2015

Actualización de seguridad para Drupal

El equipo de seguridad de Drupal ha solucionado una vulnerabilidad en Drupal 7 que podría permitir una redirección HTTP no deseada.

Drupal es un CMF (Content Management Framework) modular multipropósito y muy configurable, desarrollado bajo licencia GNU/GPL en PHP. Permite la publicación de artículos, imágenes, y otro tipo de archivos con servicios añadidos como foros, encuestas, votaciones, blogs y administración de usuarios y permisos.

El problema solucionado (con CVE-2015-7943) reside en el módulo Overlay usado para mostrar páginas del panel de administración como una capa sobre la página activa (empleando JavaScript), en vez de reemplazar la página en el navegador. Este módulo no valida adecuadamente las URL antes de mostrar el contenido, lo que puede dar lugar a una redirección abierta.

Afectan a las versiones 7.x anteriores a 7.41, se recomienda la actualización a las versiones Drupal core 7.41.

Más información:

Drupal Core - Overlay - Less Critical - Open Redirect - SA-CORE-2015-004

drupal 7.41
  
                                                                                                  
Antonio Ropero

Twitter: @aropero

domingo, 25 de octubre de 2015

Vulnerabilidades en Joomla!

Se han anunciado cinco vulnerabilidades en Joomla! que podrían permitir a atacantes remotos realizar ataques de inyección SQL o evitar las ACL.

Joomla es un popular gestor de contenidos en código abierto, que cuenta con una gran cantidad de plantillas y componentes que un usuario puedo utilizar para implementar de manera rápida una aplicación web. Estos componentes son programados por todo tipo de desarrolladores. Este hecho, unido a su popularidad, convierten al gestor de contenidos en un objetivo muy popular para que los atacantes.

Tres de los problemas residen en un filtrado inadecuado de datos que pueden permitir la realización de ataques de inyección SQL (CVE-2015-7297, CVE-2015-7857 y CVE-2015-7858). Por otra parte errores en las comprobaciones de las listas de control de acceso (ACLs) en 'com_contenthistory' y 'com_content' podrán permitir acceso de lectura a datos restringidos (CVE-2015-7859 y CVE-2015-7899).

Estas vulnerabilidades se dan en las versiones 3.2.0 hasta la 3.4.4. Se ha publicado la versión 3.4.5 disponible desde www.joomla.org

Más información:

Security Centre



                                                                                                  
Antonio Ropero
Twitter: @aropero

sábado, 24 de octubre de 2015

Múltiples vulnerabilidades en el software de Cisco ASA

Cisco ha anunciado la existencia de cuatro vulnerabilidades en el software Cisco de los Adaptive Security Appliances (ASA) que podrían permitir a un atacante provocar condiciones de denegación de servicio

Dos de los problemas (CVE-2015-6325 y CVE-2015-6326) se deben a un tratamiento inadecuado de paquetes DNS. Otro problema reside en Internet Key Exchange (IKE) versión 1 (v1), por un tratamiento inadecuado de paquetes Internet Security Association and Key Management Protocol (ISAKMP). Por último, una validación insuficiente de paquetes DHCPv6, por lo que debe encontrarse configurada esta característica para que el software se vea afectado.

Se ven afectados los dispositivos:
  • Cisco ASA 5500 Series Adaptive Security Appliances
  • Cisco ASA 5500-X Series Next-Generation Firewalls
  • Cisco ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers
  • Cisco ASA 1000V Cloud Firewall
  • Cisco Adaptive Security Virtual Appliance (ASAv)


Cisco ha publicado actualizaciones para todas estas versiones que pueden obtenerse desde el Software Center de Cisco.com en

Más información:

Cisco ASA Software DNS Denial of Service Vulnerability

Cisco ASA Software DNS Denial of Service Vulnerability

Cisco ASA Software DHCPv6 Relay Denial of Service Vulnerability

Cisco ASA Software VPN ISAKMP Denial of Service Vulnerability



Antonio Ropero

Twitter: @aropero

viernes, 23 de octubre de 2015

Más vulnerabilidades en la implementación estándar de NTP

Se ha anunciado una vulnerabilidad en el protocolo NTP (Network Time Protocol) particularmente grave que permite realizar cambios arbitrarios en el reloj del sistema.

NTP es un protocolo estándar para la sincronización de relojes de máquinas interconectadas a través de redes de datos, en particular Internet. Este protocolo permite que el reloj de un sistema mantenga una gran precisión, independientemente de su calidad intrínseca y de las condiciones de la red.

Este protocolo y especialmente su implementación estándar, la proporcionada por NTF (Network Time Foundation), ha estado en el punto de mira estos dos últimos años, descubriéndose vulnerabilidades graves como la ejecución de código o la no validación de la autenticación de los paquetes.

La vulnerabilidad más grave de las descubiertas esta semana permite a un atacante emparejarse con un cliente sin autenticación, con lo que puede cambiar la hora del cliente. Este error se debe a un error en el manejo de paquetes crypto-NAK especialmente diseñados, que pasan ciertas comprobaciones que no deberían y terminan estableciendo una asociación confiada. Si se usan en el ataque más servidores maliciosos que servidores legítimos, se puede convencer al cliente para que modifique su reloj.

A priori, no parece importante que se pueda modificar el reloj de un sistema. Sin embargo, tiene consecuencias indirectas sobre otras funcionalidades. Por ejemplo, cambiar la fecha a un año atrás haría al sistema aceptar certificados ya revocados con la clave privada comprometida, lo que permitiría realizar un ataque de suplantación de identidad. Además de afectar a servicios de autenticación como Kerberos y Active Directory, que dependen de un reloj en hora para su correcto funcionamiento.
¿Habíais visto este reloj antes?

Es por esto que NTP.org ha anunciado la salida de la versión 4.2.8.p4, que corrige 13 vulnerabilidades. Entre ellas se encuentra la más grave de las citadas anteriormente, con CVE CVE-2015-7871, que ha sido bautizada como "NAK to the Future", por coincidir su publicación con la fecha en la que Doc y Marty McFly llegan al futuro en la película "Regreso al futuro" (Back to the Future).

A vueltas con la fecha y aprovechando el recurso, ha parecido muy apropiado la presentación de un resumen de los ataques NTP realizado por investigadores de la Universidad de Boston. Sobre este tipo de ataques, el investigador español José Selvi (@joseselvi) lleva más de un año realizando presentaciones en múltiples conferencias de seguridad (BlackHat Europe 2014, RootedCON 2015, DEF CON 23 y Navaja Negra / ConectaCON 2015).

Dada la gravedad de la vulnerabilidad, es importante actualizar cuanto antes los sistemas que contienen esta implementación, que son los sistemas "Unix-like" más populares (GNU/Linux, Mac OS X, BSD...). Fabricantes como Cisco han anunciado que están investigando cómo afecta esta vulnerabilidad a sus dispositivos y que publicarán actualizaciones para sus productos.

Más información:

NTP.org - October 2015 NTP Security Vulnerability Announcement (Medium)

NAK to the Future: NTP Symmetric Association Authentication Bypass Vulnerability

Network Time Protocol flaws defy HTTPS, cause network chaos

Network Time Protocol

Multiple Vulnerabilities in ntpd Affecting Cisco Products - October 2015

Attacking the Network Time Protocol

Breaking SSL using time synchronisation attacks

NTP MitM con Delorean



Carlos Ledesma

jueves, 22 de octubre de 2015

Actualización de múltiples productos Apple: iOS, OS X Server, OS X, Safari, iTunes, Mac EFI, Watch OS y Xcode

Apple ha publicado actualizaciones para múltiples productos. En esta ocasión incluye iOS 9.1, OS X Server v5.0.15, Safari 9.0.1, Xcode 7.1, Mac EFI Security Update 2015-002, iTunes 12.3.1, OS X El Capitan 10.11.1, Security Update 2015-007 para OS X y watchOS 2.0.1. En total se han solucionado 148 vulnerabilidades.

Dada la gran cantidad de novedades y productos actualizados, vamos a realizar un breve repaso de las actualizaciones publicadas y problemas solucionados.

iOS 9.1 presenta una actualización del sistema operativo de Apple para sus productos móviles (iPad, iPhone, iPod…) que además de incluir mejoras y solución de problemas, está destinado a solucionar 49 nuevas vulnerabilidades. Los problemas corregidos están relacionados con múltiples componentes, incluyendo CoreGraphics, CoreText, FontParser, el controlador gráfico, el Kernel o WebKit entre otros.

Por otra parte, se ha publicado OS X El Capitan v10.11.1 y Security Update 2015-007 para OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 y OS X El Capitan 10.11. Además de las obligadas mejoras y correcciones, se solucionan 60 nuevas vulnerabilidades. Afectan a múltiples y muy diversos componentes, que entre otros incluyen a Configd, Audio, CoreGraphics, CoreText, controladores gráficos, el kernel, OpenGL, OpenSSH, Sandbox y Security.

Las actualizaciones también incluyen a Safari, el popular navegador web de Apple, que se actualiza a la versión Safari 9.0.1 para OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 y OS X El Capitan v10.11. Se solucionan nueve vulnerabilidades todas debidas a problemas en WebKit, el motor de navegador de código abierto que es la base de Safari. La actualización a Safari 9.0.1 está incluida en OS X El Capitan v10.11.1.

De igual forma, también ha publicado la versión OS X Server v5.0.15 (para OS X Yosemite 10.10.5 y OS X El Capitan 10.11.1 o posteriores). Esta versión incluye la actualización de BIND a la versión 9.9.7-P3 (para evitar una vulnerabilidad de denegación de servicio) y la corrección a otra vulnerabilidad en Web Service.

De forma similar, Apple publica WatchOS 2.0.1, destinada a su reloj inteligente (smartwatch) conocido como Apple Watch, con la que se solucionan hasta 14 vulnerabilidades, la mayoría de ellas podrían permitir la ejecución remota de código arbitrario.

También se ha publicado iTunes 12.3.1 para Windows 7 (y posteriores), una versión menor que incluye la corrección de 12 vulnerabilidades.

Apple también ha publicado Xcode 7.1, el entorno de desarrollo de Apple, que corrige una vulnerabilidad en Swift.

Por último, Apple ha publicado la actualización Mac EFI Security Update 2015-002 que viene a solucionar una vulnerabilidad en EFI (Extensible Firmware Interface) el software de arranque del sistema (como la BIOS para el PC).

Más información:

About the security content of iOS 9.1

About the security content of Safari 9.0.1

About the security content of OS X El Capitan v10.11.1 and Security Update 2015-007

About the security content of OS X Server 5.0.15

About the security content of iTunes 12.3.1

About the security content of watchOS 2.0.1

About the security content of Xcode 7.1

About the security content of Mac EFI Security Update 2015-002


Antonio Ropero
Twitter: @aropero


miércoles, 21 de octubre de 2015

Oracle corrige 154 vulnerabilidades en su actualización de seguridad de octubre

Siguiendo su ritmo de publicación trimestral de actualizaciones, Oracle publica su boletín de seguridad de octubre. Contiene parches para 154 vulnerabilidades diferentes en múltiples productos pertenecientes a diferentes familias, que van desde el popular gestor de base de datos Oracle Database hasta Solaris, Java o MySQL.

Los fallos se dan en varios componentes de los productos:
  • Oracle Database Server, versiones 11.2.0.4, 12.1.0.1 y 12.1.0.2
  • Mobile Server, versiones 10.3.0.3, 11.3.0.2 y 12.1.0.0
  • Oracle Access Manager, versiones 11.1.2.2 y 11.1.2.3
  • Oracle Business Intelligence Enterprise Edition, versiones 11.1.1.7 y 11.1.1.9
  • Oracle Endeca Server, versiones 7.3.0.0, 7.4.0.0, 7.5.1.1 y 7.6.1.0.0
  • Oracle Enterprise Data Quality, versiones 8.1, 9.0, 11.1.1.7.4 y 12.1.3.0.0
  • Oracle Exalogic Infrastructure, versión EECS 2.0.6.2.3
  • Oracle Fusion Middleware, versiones 10.1.3.5, 11.1.1.7, 11.1.1.8, 11.1.1.9, 11.1.2.1, 11.1.2.2, 11.1.2.3, 12.1.2.0 y 12.1.3.0
  • Oracle GlassFish Server, versiones 3.0.1 y 3.1.2
  • Oracle HTTP Server, versiones 10.1.3.5, 11.1.1.7, 11.1.1.9, 12.1.2.0 y 12.1.3.0
  • Oracle Identity Manager, versiones 11.1.1.7, 11.1.2.2 y 11.1.2.3
  • Oracle JDeveloper, versiones 11.1.2.4.0, 12.1.2.0.0 y 12.1.3.0.0
  • Oracle Mobile Security Suite, versión MSS 3.0
  • Oracle Outside In Technology, versiones 8.5.0, 8.5.1 y 8.5.2
  • Oracle Traffic Director, versiones 11.1.1.7.0 y 11.1.1.9.0
  • Oracle WebCenter Content, versión 10.1.3.5.1
  • Oracle WebCenter Sites, versiones 7.6.2, 11.1.1.6.1 y 11.1.1.8.0
  • Hyperion Installation Technology, versión 11.1.2.3
  • Enterprise Manager Base Platform, versiones 12.1.0.4 y 12.1.0.5
  • Enterprise Manager Ops Center, versiones 12.1.0.1 y 12.2.2
  • OSS Support Tools, versiones anteriores a 8.8.15.7.15
  • Oracle E-Business Suite, versiones 11.5.10.2, 12.0.6, 12.1.3, 12.2.3 y 12.2.4
  • Oracle Agile Engineering Data Management, versiones 6.1.2.2, 6.1.3.0 y 6.2.0.0
  • Oracle Agile PLM, versiones 9.3.3 y 9.3.4
  • Oracle Configurator, versiones 12.0.6, 12.1.3, 12.2.3 y 12.2.4
  • Oracle Transportation Management, versiones 6.1 y 6.2
  • PeopleSoft Enterprise FIN Expenses, versión 9.2
  • PeopleSoft Enterprise FSCM, versión 9.2
  • PeopleSoft Enterprise HCM, versión 9.2
  • PeopleSoft Enterprise HCM Talent Acquistion Managment, versión 9.2
  • PeopleSoft Enterprise PeopleTools, versiones 8.53 y 8.54
  • Siebel Applications, versiones IP2014 PS10 y IP2015 PS5
  • Oracle Fusion Applications, versiones 11.1.2 hasta 11.1.9
  • Oracle Utilities Work and Asset Management, versión 1.9.1.1.2
  • Oracle Communications Convergence, versiones 2.0 y 3.0.1
  • Oracle Communications Diameter Signaling Router (DSR), versiones 4.1.6 (y anteriores), 5.1.0 (y anteriores), 6.0.2 (y anteriores) y 7.1.0 (y anteriores)
  • Oracle Communications LSMS, versión 13.1
  • Oracle Communications Messaging Server, versiones 7.0.5 y 8.0
  • Oracle Communications Performance Intelligence Center Software, versiones 9.0.3 (y anteriores) y 10.1.5 (y anteriores)
  • Oracle Communications Policy Management, versiones 9.9.0 (y anteriores), 10.5.0 (y anteriores), 11.5.0 (y anteriores) y 12.1.0 (y anteriores)
  • Oracle Communications Tekelec HLR Router, versión 4.0.0
  • Oracle Communications User Data Repository, versiones 10.2.0 y anteriores
  • Oracle Retail Back Office, versiones 12.0, 12.0IN, 13.0, 13.1, 13.2, 13.3, 13.4, 14.0 y RM2.0
  • Oracle Retail Central Office, versiones 12.0, 12.0IN, 13.0, 13.1, 13.2, 13.3, 13.4, 14.0 y RM2.0
  • Oracle Retail Open Commerce Platform, versión 3.0
  • Oracle Retail Returns Management:, versiones 12.0, 12.0IN, 13.0, 13.1, 13.2, 13.3, 13.4, 14.0 y RM2.0
  • Oracle Java SE, versiones 6u101, 7u85 y 8u60
  • Oracle Java SE Embedded, versión 8u51
  • Oracle JavaFX, versión 2.2.85
  • Oracle JRockit, versión R28.3.7
  • Fujitsu M10-1, M10-4, M10-4S Servers, versiones anteriores a XCP 2271
  • Integrated Lights Out Manager (ILOM), versiones 3.0, 3.1 y 3.2
  • Solaris, versiones 10 y 11.2
  • Oracle FS1-2 Flash Storage System, versiones 6.1, 6.2 y 6.3
  • Oracle VM VirtualBox, versiones anteriores a 4.0.34, anteriores a 4.1.42, anteriores a  4.2.34, anteriores a 4.3.32 y anteriores a 5.0.8
  • MySQL Enterprise Monitor, versiones 2.3.20 (y anteriores) y 3.0.22 (y anteriores)
  • MySQL Server, versiones 5.5.45 (y anteriores) y 5.6.26 (y anteriores) 

A continuación ofrecemos una relación de productos y el número de vulnerabilidades corregidas: 
  • Ocho nuevas vulnerabilidades corregidas en Oracle Database Server, siete de ellas para Oracle Database Serve y otra para Oracle Database Mobile/Lite Server. Solo una de ellas es explotable remotamente sin autenticación. Afectan a los componentes: Portable Clusterware, Database Scheduler, Java VM, XDB - XML Database, RDBMS y Mobile Server.
        
  • Otras 23 vulnerabilidades afectan a Oracle Fusion Middleware. 16 de ellas podrían ser explotadas por un atacante remoto sin autenticar. Los componentes afectados son: Oracle Enterprise Data Quality, Oracle Traffic Director, Oracle Exalogic Infrastructure, Oracle Business Intelligence Enterprise Edition, Oracle Endeca Server, Oracle HTTP Server, Oracle JDeveloper, Oracle Mobile Security Suite, Oracle WebCenter Sites, Oracle Access Manager, Oracle GlassFish Server, Oracle Identity Manager, Oracle WebCenter Content, Oracle WebCenter Sites, Oracle JDeveloper y Oracle Outside In Technology.    
  • Una actualización afecta a Oracle Hyperion, que afecta al componente Hyperion Installation Technology.
         
  • Esta actualización contiene cinco nuevas actualizaciones de seguridad para Oracle Enterprise Manager Grid Control, tres de ellas explotables remotamente sin autenticación.
          
  • Dentro de Oracle Applications, 12 parches son para Oracle E-Business Suite, ocho parches son para la suite de productos Oracle Supply Chain, ocho para productos Oracle PeopleSoft y uno para Oracle Siebel CRM.
          
  • De forma similar dentro de la gama de aplicaciones Oracle Industry, una para Oracle Industry Applications, nueve para Oracle Communications Applications y cuatro para Oracle Retail Applications.
          
  • En lo referente a Oracle Java SE se incluyen 25 nuevos parches de seguridad, 24 de ellos referentes a vulnerabilidades que podrían ser explotadas por un atacante remoto sin autenticar.
          
  • Para la suite de productos Oracle Sun Systems se incluyen 15 nuevas actualizaciones, 12 de ellas afectan a Solaris.
         
  • Esta actualización también contiene un parche para Oracle Pillar Axiom y tres nuevos parches para Oracle Virtualization.
          
  • 30 nuevas vulnerabilidades afectan a MySQL Server (dos de ellas podrían ser explotadas por un atacante remoto sin autenticar).

Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial en:
Oracle Critical Patch Update Advisory - October 2015

Más información:

Oracle Critical Patch Update Advisory - October 2015



Antonio Ropero
Twitter: @aropero

martes, 20 de octubre de 2015

Adobe publica actualización para solucionar el último 0-day en Flash Player

Adobe ha publicado una actualización para Adobe Flash Player destinada a evitar la vulnerabilidad 0-day que se anunció recientemente. En total se han solucionado tres vulnerabilidades que podrían permitir a un atacante tomar el control de los sistemas afectados.

Hace pocos días describimos como Trend Micro anunciaba la utilización de un nuevo 0-day en Adobe Flash dentro de la campaña de ataques dirigidos Pawn Storm. Esta campaña Pawn Storm dedicada al ciberespionaje lleva ya muchos meses activa. En esta ocasión se empleaba "spear phishing" dirigido a varios Ministerios de Asuntos Exteriores de todo el mundo.

Las vulnerabilidades afectan a las versiones de Adobe Flash Player Desktop Runtime 19.0.0.207 (y anteriores) para Windows y Macintosh; Adobe Flash Player Extended Support Release 18.0.0.252 (y anteriores) y Adobe Flash Player; Adobe Flash Player 19.0.0.207 para navegadores Google Chrome, Microsoft Edge, Internet Explorer 10 y 11; y Adobe Flash Player para Linux 11.2.202.535 (y anteriorers).

Esta actualización, publicada bajo el boletín APSB15-27, resuelve la vulnerabilidad con CVE-2015-7645 correspondiente al 0-day de la campaña Pawn Storm. Además se resuelven las vulnerabilidades con CVE-2015-7647 y CVE-2015-7648. Los tres problemas corregidos se deben a una confusión de tipos que podrían permitir la ejecución de código remoto.

Adobe ha publicado las siguientes versiones de Adobe Flash Player destinadas a solucionar las vulnerabilidades, y se encuentran disponibles para su descarga desde la página oficial:
  • Flash Player Desktop Runtime 19.0.0.226
  • Flash Player Extended Support Release 18.0.0.255
  • Flash Player para Linux 11.2.202.540
  • Igualmente se ha publicado la versión 19.0.0.226 de Flash Player para Internet Explorer (10 y 11), Edge y Chrome.

Más información:

Security updates available for Adobe Flash Player

una-al-dia (15/10/2015) Nuevo 0-day en Flash

New Adobe Flash Zero-Day Used in Pawn Storm Campaign Targeting Foreign Affairs Ministries

una-al-dia (15/07/2015) Nuevo 0day en Java


                                                                                                  
Antonio Ropero
Twitter: @aropero



lunes, 19 de octubre de 2015

Mozilla publica actualización para Firefox

La Fundación Mozilla ha publicado una actualización de seguridad (MFSA 2015-115) destinada a corregir una vulnerabilidad crítica en el navegador Firefox.

El problema reside en la API fetch() destinada a proporcionar una interfaz para ir a buscar recursos "AJAX" (por ejemplo, a través de la red). La vulnerabilidad, con CVE-2015-7184, se debe a que no implementa correctamente la especificación Cross-Origin Resource Sharing (CORS), lo que permite a una página maliciosa acceder a datos privados desde otros orígenes.

Se ha publicado la versión Firefox 41.0.2 disponible para su descarga a través de los canales habituales o mediante las actualizaciones automáticas.

Más información:

MFSA 2015-115 Cross-origin restriction bypass using Fetch



Antonio Ropero
Twitter: @aropero

domingo, 18 de octubre de 2015

Actualización de seguridad para Apple Keynote, Pages y Numbers

Apple ha publicado actualizaciones para su suite ofimática iWork para iOS, además de las nuevas versiones Keynote 6.6, Pages 5.6 y Numbers 3.6 para OS X Yosemite 10.10.4.

iWork es la suite de aplicaciones ofimáticas de por Apple para sus sistemas operativos Mac OS X e iOS. Incluye el procesador de texto Pages, la aplicación de presentaciones Keynote y la hoja de cálculo Numbers.

La actualización, además de incluir numerosas novedades y mejoras, también incluye la corrección de cuatro vulnerabilidades que podrían permitir la ejecución de código arbitrario y el compromiso del sistema con solo abrir un documento específicamente creado.

Respecto a las vulnerabilidades corregidas, se cuentan dos de validación de entradas (CVE-2015-3784 y CVE-2015-7032) y una vulnerabilidad de corrupción de memoria (CVE-2015-7033) que afectan a Keynote, Pages y Numbers; por último, también otra vulnerabilidad de corrupción de memoria (CVE-2015-7034) que afecta únicamente a Pages.

Las actualizaciones pueden descargarse desde la tienda de aplicaciones de cada sistema operativo.

Más información:

About the security content of Keynote 6.6, Pages 5.6, Numbers 3.6, and iWork for iOS 2.6


                                                                                                  
Antonio Ropero
Twitter: @aropero


sábado, 17 de octubre de 2015

Actualización de seguridad para Wireshark

Wireshark Foundation ha publicado una actualización de seguridad para solucionar una vulnerabilidad en la rama 1.12.

Wireshark es una popular aplicación de auditoría orientada al análisis de tráfico en redes, que soporta una gran cantidad de protocolos y es de fácil manejo. Además Wireshark se encuentra bajo licencia GPL y disponible para la mayoría de sistemas operativos Unix y compatibles, así como Microsoft Windows.

La vulnerabilidad podría provocar condiciones de denegación de servicio mediante la inyección en la red de paquetes maliciosos o bien engañando al usuario para que cargue ficheros de captura de tráfico de red manipulados. En esta ocasión el problema (CVE-2015-7830) reside en el analizador de archivos pcapng que puede sufrir una caída mientras copia un filtro de interfaz.

La vulnerabilidad se ha solucionado en la versión 1.12.8 ya disponible para su descarga desde la página oficial del proyecto.

Más información:

wnpa-sec-2015-30 · Pcapng file parser crash


Antonio Ropero
Twitter: @aropero


viernes, 16 de octubre de 2015

Google publica Chrome 46 y corrige 24 vulnerabilidades

Google anuncia una nueva versión de su navegador Google Chrome 46. Se publica la versión 46.0.2490.71 para las plataformas Windows, Mac y Linux, que junto con nuevas funcionalidades y mejoras, además viene a corregir 24 nuevas vulnerabilidades.

Como es habitual, Google solo proporciona información sobre los problemas solucionados reportados por investigadores externos o las consideradas de particular interés. En esta ocasión, aunque se han solucionado 24 nuevas vulnerabilidades, solo se facilita información de ocho de ellas (cuatro de gravedad alta, tres clasificados como media y uno de gravedad baja).

Se corrigen vulnerabilidades por violación de la política de mismo origen en Blink. Corrupción de memoria en FFMpeg, un casting incorrecto en PDFium, fuga de información en LocalStorage y tratamiento inadecuado de errores en libANGLE. También problemas por uso de memoria después de liberarla en PDFium y ServiceWorker. Por último salto de CORS a través de fuentes CSS.

También del trabajo de seguridad interno, varias correcciones procedentes de auditoría interna, pruebas automáticas y otras iniciativas. Así como múltiples vulnerabilidades en V8 en la rama 4.6 (actualmente 4.6.85.23).

Según la política de la compañía las vulnerabilidades anunciadas han supuesto un total de casi 24.674 dólares en recompensas a los descubridores de los problemas.

Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados o a través de "Información sobre Google Chrome" (chrome://chrome/).

Más información:

Stable Channel Update



Antonio Ropero

Twitter: @aropero

jueves, 15 de octubre de 2015

Nuevo 0-day en Flash

La campaña de ataques dirigidos Pawn Storm aun sigue activa. Tan activa que, según anuncia Trend Micro, está utilizando un nuevo 0-day en Adobe Flash.

La campaña Pawn Storm dedicada al ciberespionaje lleva ya muchos meses activa. Es conocida por dirigirse contra cargos importantes de organizaciones como la OTAN, el parlamento alemán o la Casa Blanca. También recordamos como en julio esta campaña destacó por emplear un 0-day en Java (algo que no ocurría desde hacía 2 años).

En esta ocasión Trend Micro ha confirmado que la campaña se ha dirigido a varios Ministerios de Asuntos Exteriores de todo el mundo (aunque tampoco se ha concretado los países afectados). El ataque se realizó a través de spear phishing (phishings específicamente dirigidos y construidos para un objetivo concreto) con enlaces que dirigían al exploit.

En este caso los correos de phishing estaban construidos de forma manual, al igual que las direcciones URL. Los mensajes simulaban dirigir a información con temas de actualidad y de interés para el destinatario. Todo con el objeto de engañarle. Algunos de los asuntos de los mensajes eran:
"Un suicida con coche bomba se dirige al convoy de tropas de la OTAN en Kabul"
"Las tropas sirias ganan terreno mientras Putin defiende con ataques aéreos"
"Israel lanza ataques aéreos contra objetivos en Gaza"
"Rusia advierte que responderá a Estados Unidos sobre la acumulación de armas nucleares en Turquía, Europa"
"El ejército de Estados Unidos informa que 75 rebeldes entrenados por Estados Unidos regresan a Siria"
Aunque en este caso parece que los atacantes no han tenido mucha imaginación ya que las direcciones URL donde se alojaba el exploit 0-day son similares a otras ya empleadas en anteriores ataques.

Adobe ha confirmado la existencia de la vulnerabilidad, que ha quedado identificada con el CVE-2015-7645. La compañía está trabajando en el desarrollo de la correspondiente actualización y espera su publicación la semana del 19 de octubre.
Afecta a las versiones Adobe Flash Player 19.0.0.207 (y anteriores) para Windows and Macintosh, Adobe Flash Player 18.0.0.252 y versiones 18.x anteriores (versiones de soporte extendido) y a Adobe Flash Player 11.2.202.535 (y anteriores versiones 11.x) para Linux.

Más información:

New Adobe Flash Zero-Day Used in Pawn Storm Campaign Targeting Foreign Affairs Ministries

una-al-dia (15/07/2015) Nuevo 0day en Java

Security Advisory for Adobe Flash Player



                                                                                                  
Antonio Ropero

Twitter: @aropero