lunes, 30 de noviembre de 2015

25 Productos Cisco con certificados y claves privadas incluidas en su firmware

Si la semana pasada hablábamos de Dell y sus problemas con los certificados, descubrimos que Cisco se ve afectada por un problema similar. Hasta 25 de sus productos incluyen el mismo certificado y clave privada incluida en su código.

El problema reside en la ausencia de un mecanismo de generación de certificados y claves en los dispositivos afectados. Todos incluyen el mismo certificado y claves únicas. Un atacante podría emplear esta información estática para construir ataques de hombre en el medio y conseguir acceso a todas las comunicaciones.

Son vulnerables los siguientes productos:
  •  RV320 Dual Gigabit WAN VPN Router
  •  RV325 Dual Gigabit WAN VPN Router
  •  RV325 Dual WAN Gigabit VPN Router
  •  RVS4000 4-port Gigabit Security Router - VPN
  •  WRV210 Wireless-G VPN Router - RangeBooster
  •  WAP4410N Wireless-N Access Point - PoE/Advanced Security
  •  WRV200 Wireless-G VPN Router - RangeBooster
  •  WRVS4400N Wireless-N Gigabit Security Router - VPN V2.0
  •  WAP200 Wireless-G Access Point - PoE/Rangebooster
  •  WVC2300 Wireless-G Business Internet Video Camera - Audio
  •  PVC2300 Business Internet Video Camera - Audio/PoE
  •  SRW224P 24-port 10/100 + 2-port Gigabit Switch - WebView/PoE
  •  WET200 Wireless-G Business Ethernet Bridge
  •  WAP2000 Wireless-G Access Point - PoE
  •  WAP4400N Wireless-N Access Point - PoE
  •  RV120W Wireless-N VPN Firewall
  •  RV180 VPN Router
  •  RV180W Wireless-N Multifunction VPN Router
  •  RV315W Wireless-N VPN Router
  •  Small Business SRP520 Models
  •  Small Business SRP520-U Models
  •  WRP500 Wireless-AC Broadband Router with 2 Phone Ports
  •  SPA400 Internet Telephony Gateway with 4 FXO Ports
  •  RTP300 Broadband Router
  •  RV220W Wireless Network Security Firewall

Lamentablemente Cisco no ha publicado actualizaciones para corregir este problema.

Parece que las grandes firmas no aprenden y caen en los mismos errores. En Cisco ya es frecuente el incluir claves y contraseñas en su  código. En junio de este mismo año se anunciaba que los dispositivos Web Security Virtual Appliance (WSAv), Email Security Virtual Appliance (ESAv) y Security Management Virtual Appliance (SMAv) incluían claves SSH por defecto. Otros productos como Cisco TelePresence Recording Server, Cisco NetFlow Collection Engine o Cisco Wireless Location Appliances también incluyeron cuentas administrativas con contraseñas por defecto.

Más información:

Multiple Cisco Products Confidential Information Decryption Man-in-the-Middle Vulnerability

una-al-dia (26/06/2015) Claves SSH por defecto en dispositivos Cisco

una-al-dia (31/07/2011) Contraseña por defecto en Cisco TelePresence Recording Server

una-al-dia (13/10/2006) Contraseña por defecto en Cisco Wireless Location Appliances

una-al-dia (26/04/2007) Credenciales por defecto en Cisco NetFlow Collection Engine

una-al-dia (27/11/2015) Dell: No te gustan los certificados raíz... ¡pues toma dos!

una-al-dia (24/11/2015) Portátiles Dell con certificado raíz preinstalado


Antonio Ropero
Twitter: @aropero

domingo, 29 de noviembre de 2015

Actualización del kernel para SuSE Linux Enterprise 11

SuSE ha publicado una actualización del kernel para SuSE Linux Enterprise Server 11 SP3 (en todas sus versiones). Se han solucionado ocho vulnerabilidades e incluye 51 correcciones de funcionalidades no relacionadas con seguridad.

El más grave de los problemas corregidos podría permitir a usuarios locales la elevación de privilegios por un fallo en arch/x86/entry/entry_64.S en plataformas x86_64 al procesar NMIs. Una denegación de servicio remota usando IPv6 RA con MTU falso. El resto de problemas podrían permitir causar condiciones de denegación de servicio de forma local, por bucles infinitos a través de excepciones en microcódigo, con la función rds_conn_create en net/rds/connection.c o la función vhost_dev_ioctl en drivers/vhost/vhost.c.

Los CVE asignados son: CVE-2015-8104, CVE-2015-5307, CVE-2015-7990, CVE-2015-5157, CVE-2015-0272, CVE-2015-6937 y CVE-2015-6252

Además se han corregido otros 71 problemas no relacionados directamente con fallos de seguridad.

Se recomienda actualizar a la última versión del kernel, disponible a través de la herramienta automática YaST con el módulo "Online Update" o con la herramienta de línea de comando "zypper".

Más información:

SUSE Security Update: Security update for Linux Kernel
SUSE-SU-2015:2108-1




Antonio Ropero

Twitter: @aropero

sábado, 28 de noviembre de 2015

Mozilla corrige vulnerabilidades en Thunderbird

Mozilla Foundation ha publicado la nueva versión de Thunderbird 38.4, su popular cliente de correo, en la que corrigen 14 vulnerabilidades. Se agrupan en nueve boletines (tres de nivel crítico, cinco clasificados como alto y uno de nivel moderado).

Dado que Thunderbird 38 contiene código subyacente que se basa en el de Firefox 38 ESR (versión de soporte extendido), los problemas corregidos son los mismos que los solucionados en Firefox 38.4 ESR.

Las vulnerabilidades críticas podrían permitir la ejecución remota de código, residen en tres problemas (CVE-2015-7181, CVE-2015-7182 y CVE-2015-7183) de corrupción de memoria en Network Security Services (NSS) y en la librería NSPR (componente de NSS). Otras tres vulnerabilidades críticas descubiertas a través de la revisión de código, incluyendo un desbordamiento de búfer en la librería gráfica ANGLE (CVE-2015-7198), y fallos de comprobación de estado en la generación de SVG (CVE-2015-7199) y durante la manipulación de claves criptográficas (CVE-2015-7200). Y dos vulnerabilidades críticas más por problemas de tratamiento de memoria en el motor del navegador usado por Firefox y otros productos Mozilla (CVE-2015-4513 y CVE-2015-4514).

Además, también se han corregido otras vulnerabilidades importantes como fallos en el tratamiento de applets de Java y JavaScript (CVE-2015-7196), una corrupción de memoria en libjar al tratar archivos zip específicamente creados (CVE-2015-7194), un desbordamiento de búfer en el tratamiento de elementos canvas en imágenes jpeg (CVE-2015-7189) y un salto de las políticas de mismo origen al poner espacios en blanco en las direcciones (CVE-2015-7188).

La nueva versión está disponible a través del sitio oficial de descargas de Thunderbird:
o desde la actualización del navegador en Ayuda/Acerca de Thunderbird.

Más información:

Thunderbird Notes
Version 38.4.0, first offered to Release channel users on November 23, 2015

Security Advisories for Firefox ESR


Antonio Ropero

Twitter: @aropero

viernes, 27 de noviembre de 2015

Dell: No te gustan los certificados raíz… ¡pues toma dos!

Esta misma semana descubríamos la inclusión de un certificado raíz con su clave privada en algunos portátiles Dell. Cuando parecía que volvía la calma para la firma, se vuelve a encontrar otro certificado con las mismas características que el anterior. No querías caldo, pues toma dos tazas.

Tal como suena, parece que Dell ha sembrado sus ordenadores con certificados raíz no se sabe con qué extraño propósito.

El primer certificado, estaba identificado como eDellRoot se incluía en todos los equipos Inspiron 5000, XPS 15 y XPS 13 y según la firma formaba parte del sistema de soporte a los usuarios. La compañía ya confirmó que dejaría de incluir este certificado en sus nuevos portátiles, también ha proporcionado una herramienta para eliminarlo de forma automática, así como un sitio.

Pero la cosa no queda ahí, si ya resultaba difícil admitir la existencia de este certificado, ahora la publicación Laptop Mag ha anunciado un segundo certificado identificado como "DSDTestProvider". Este segundo certificado se instala y se usa por Dell System Detect (DSD), una aplicación descargada desde el sitio web de Dell, que proporciona características de detección de producto ("Detect Product"), para ayudar a los usuarios a identificar el modelo de su ordenador y otros detalles técnicos.

Los certificados eDellRoot y DSDTestProvider juntitos en el almacen
Se puede considerar que la exposición a este segundo certificado es más limitada, ya que los usuarios debían descargarlo desde la web, y solo estuvo disponible desde el 20 de octubre al 24 de noviembre en que al saltar las alarmas dejó de incluirse.

Al igual que eDellRoot, DSDTestProvider también se instala en el almacén de certificados raíz, junto con su clave privada. Como ya aclaramos en la anterior una-al-día el principal problema reside en la capacidad que se le ofrece a un atacante para realizar ataques de hombre-en-el-medio o falsificar prácticamente cualquier dominio (que no use certificado pinning) y cualquier dato firmado con esa clave privada.

Precisamente, Symantec ha confirmado que han encontrado muestras de malware en VirusTotal firmadas digitalmente con el certificado eDellRoot. Esto podría pemitir a un atacante hacer pasar el malware como software legítimo en los sistemas Dell afectados.

Malware firmado con eDellRoot (Fuente: Symantec)

Al igual que con eDellRoot para eliminar este certificado es necesario borrar primero la dll Dell.Foundation.Agent.Plugins.eDell.dll y posteriormente eliminar el propio certificado DSDTestProvider.

Microsoft también sale al rescate de Dell, y de todos sus clientes, ya que ha actualizado sus herramientas de seguridad para eliminar ambos certificados del almacén. Según ha confirmado las herramientas actualizadas incluyen Windows Defender para Windows 10 y Windows 8.1, Microsoft Security Essentials para Windows 7 y Windows Vista, Microsoft Safety Scanner y Microsoft Windows Malicious Software Removal Tool.

Más información:

una-al-dia (24/11/2015) Portátiles Dell con certificado raíz preinstalado

Herramienta para eliminar eDellRoot

Sloppy Security Software Exposes Dell Laptops to Hackers

Dell computers affected by eDellRoot self-signed root certificate

Program:Win32/CompromisedCert.D

Program:Win32/CompromisedCert.C

Response to Concerns Regarding eDellroot Certificate


Antonio Ropero
Twitter: @aropero

jueves, 26 de noviembre de 2015

Predecibilidad en la asignación de números de tarjetas American Express

Es posible para un mismo cliente, dado un número de tarjeta American Express, predecir el número de la siguiente tarjeta que se le asignaría (tras caducidad o cancelación de la anterior).
Samy Kamkar

Samy Kamkar (@SamyKamkar), conocido entre otras cosas por haber desarrollado el gusano "Samy" de MySpace, descubrió este patrón al recibir una tarjeta nueva por perder la antigua. Comparó el número antiguo con el nuevo, y notó que algunos de los dígitos eran similares. Tras recopilar más parejas de números nuevos y antiguos encontró un patrón global que le permite predecir el número de la siguiente tarjeta dado el anterior.

Esto podría ser útil para un atacante con una tarjeta robada de esta institución, que podría predecir el número de la tarjeta siguiente. Con ello se reconstruiría toda la información necesaria para obtener una copia de la nueva tarjeta, si bien no funcionaría en todos los establecimientos por no ser posible predecir el CVV de la nueva tarjeta. En la reconstrucción de la nueva tarjeta se aprovechan ciertas características de las tarjetas, como que la nueva fecha de expiración es precedible según la fecha de la petición de la nueva tarjeta, y que otros campos internos son válidos simplemente copiándolos de la antigua o se derivan fácilmente. Todo esto tiene sus matices y también intervienen otras protecciones adicionales, que pueden dificultar el ataque.

Otra característica preocupante comentada por Kamkar se da por el contexto de Estados Unidos, al no tener generalizado el uso de Chip-and-PIN. Si una tarjeta tiene chip y el terminal lo soporta, al pasar la tarjeta usando la banda magnética el terminal pide que se pase usando el chip, por seguridad. El caso es que es la misma banda magnética la que codifica en texto claro si la tarjeta tiene chip o no, con lo que es posible cambiar esta información haciendo creer que la tarjeta no tiene chip y evadir el sistema de Chip-and-PIN.

Finalmente, y en vez de usar un codificador de tarjetas magnéticas, Kamkar ha construido un pequeño dispositivo que permite simular el paso de una tarjeta usando la banda magnética, pero a unos centímetros de distancia. Básicamente, recrea el campo magnético que produciría el paso de la tarjeta, pero con una potencia superior, para salvar la distancia. La construcción de este dispositivo se estima en 10 dólares estadounidenses, y las instrucciones para hacerlo están disponibles en su página web. Este tipo de dispositivos ya existía antes, si bien no se había reunido en el mismo dispositivo el ser pequeño, a distancia y barato. Hasta ahora.

En la comunicación de Kamkar con American Express sobre este asunto, un ingeniero de la institución asegura que la predicción de números de tarjeta no es un riesgo serio, por las mitigaciones adicionales incorporadas en el sistema. Mitigaciones que hacen poco práctico el ataque, aunque no imposible. El coste de modificar el sistema de seguridad de un sistema de pago, debido a la cantidad de sistemas que habría que actualizar y la necesidad de respetar sistemas antiguos, es bastante alto. Esto retrasa la llegada de medidas de seguridad a estos sistemas. En Estados Unidos, están en proceso de reemplazar el sistema de banda magnética por el de chip, más seguro, si bien tampoco infalible.

Más información:

Página de Samy Kamkar sobre esta investigación

Noticia de WIRED ampliando información

Estado actual de la implantación de Chip-and-PIN en EEUU y sus vulnerabilidades

Artículo sobre Samy Kamkar




Carlos Ledesma


miércoles, 25 de noviembre de 2015

Django soluciona vulnerabilidad de acceso a datos de configuración

La Django Software Foundation ha publicado nuevas versiones de las ramas 1.7, 1,8 y 1.9 de Django, que solucionan una vulnerabilidad que podría permitir a usuarios remotos obtener información sensible del sistema.

Django es un framework de código abierto basado en Python para el desarrollo de sitios web siguiendo el patrón MVC (Modelo-Vista-Controlador). Fue publicado por primera vez en 2005, y desde entonces su uso ha experimentado un considerable crecimiento entre los desarrolladores. Se compone de una serie de herramientas para facilitar la creación de páginas Web, siguiendo las directrices 'DRY' (Do not repeat yourself – No se repita) evitando redundancias de código y consecuentemente reduciendo tiempo y esfuerzo.

La vulnerabilidad, identificada con CVE-2015-8213, se debe a un error en el tratamiento del formato de las fechas relacionado con la plantilla del filtro de fecha "date" en la función "django.utils.formats.get_format()". Un usuario malicioso podría obtener configuraciones de la aplicación especificando una clave de configuración en vez de un formato de fecha. Por ejemplo: 'SECRET_KEY' en vez de 'd/m/A'.

Django Software Foundation ha publicado las versiones Django 1.7.11, 1.8.7 y 1.9 Release Candidate 2 que solucionan esta vulnerabilidad. Las actualizaciones están disponibles a través de la página oficial de Django:
Django 1.9rc2
Django 1.8.7
Django 1.7.11

Más información:

Security releases issued: 1.9rc2, 1.8.7, 1.7.11



Antonio Ropero
Twitter: @aropero

martes, 24 de noviembre de 2015

Portátiles Dell con certificado raíz preinstalado

A principios de año descubrimos como los portátiles Lenovo venían con un regalo en forma de malware y un certificado raíz preinstalado. Ahora de forma muy similar, se descubre que una serie de portátiles Dell también incluyen un certificado raíz preinstalado, con las graves implicaciones que puede tener.

El anuncio ha venido de la mano del investigador Joe Nord al descubrir que su recientemente adquirido Dell Inspiron Serie 5000 incluía preinstalado el certificado raíz etiquetado como "eDellRoot", con su clave privada y todo. La inclusión de un certificado de este tipo deja a todos los ordenadores expuestos a ataques "hombre en el medio", con posibilidad de realizar ataques de fraude bancario, compras, robo de identidad, etc. Se ha confirmado que el certificado se incluía en todos los equipos Inspiron 5000, XPS 15 y XPS 13.

Certificado raíz eDellRoot
Finalmente Dell ha reconocido el problema, no le quedaba otra. Según ha confirmado el certificado se instalaba por la aplicación Dell Foundation Services, como parte de una herramienta de soporte para intentar hacer que el servicio a los sistemas de los clientes fuera lo más fácil y rápido.

Como siempre, para Dell la seguridad y privacidad de sus clientes es una de las principales preocupaciones y prioridades de la compañía. Pero en su aviso nos aclaran que este certificado es malware ni adware, y que se instalaba para ayudar a los usuarios. Como si con eso no hubiera ningún otro problema.

Dell Inspirion Serie 5000
El problema es más grave de lo que en un principio puede parecer, de ahí que hayan saltado todas las alarmas. El mayor problema es la capacidad que se le ofrece a un atacante para falsificar prácticamente cualquier dominio (que no use certificado pinning) y cualquier dato firmado con esa clave privada. Las víctimas potenciales, son, como no, los usuarios de DELL afectados. Ellos son los que contienen el certificado que validará cualquier certificado false extendido con la clave privada.

Resulta sorprendente como después de todo el escándalo que supuso el caso Superfish para Lenovo, una firma como Dell haya caído en el mismo error. De hecho, el certificado de Dell fue creado meses después de todo lo ocurrido con Lenovo. ¿Es qué nadie en Dell prestó atención a lo ocurrido?

Sorprendentemente, el certificado no puede eliminarse simplemente, cuando se intenta eliminar aparece de nuevo. Una dll incluida con el certificado raíz reinstala el archivo en caso de borrarse. Primero es necesario eliminar la dll Dell.Foundation.Agent.Plugins.eDell.dll y posteriormente eliminar el propio certificado eDellRoot.

Dell ha publicado un documento en el que explica el proceso detalladamente y ha confirmado que a partir de ahora los equipos ya no incluirán este certificado. También ha anunciado que iniciará un proceso de actualización de los equipos que eliminará el certificado de forma automática.

Más información:

una-al-dia (20/02/2015) Portátiles Lenovo con malware de regalo

New Dell computer comes with a eDellRoot trusted root certificate

Response to Concerns Regarding eDellroot Certificate

Antonio Ropero
Twitter: @aropero

lunes, 23 de noviembre de 2015

Vulnerabilidad en Cisco TelePresence Communication Server

Cisco ha confirmado una vulnerabilidad en Cisco TelePresence Communication Server (VCS) que podría permitir a un atacante remoto realizar ataques de cross-site request forgery.

El problema se debe a insuficientes protecciones contra ataques CSRF en el código de la aplicación web de Cisco TelePresence Video Communication Server (VCS) lo que podría permitir a un atacante remoto la realización de este tipo de ataques. Este tipo de vulnerabilidades permiten a un atacante ejecutar funcionalidades de una web determinada a través de la sesión de otro usuario en esa web. De esta forma un atacante podría tener acceso al servidor con los mismos permisos que el usuario atacado.

La vulnerabilidad tiene asignado el CVE-2014-6376. Cisco no ha publicado ninguna actualización evitar este problema.

Más información:

Cisco TelePresence Video Communication Server Cross-Site Request Forgery Vulnerability



Antonio Ropero

Twitter: @aropero

domingo, 22 de noviembre de 2015

Actualización del kernel para Red Hat Enterprise Linux 7

Red Hat ha publicado una actualización (considerada importante) del kernel para toda la familia Red Hat Enterprise Linux 7 que solventa 15 nuevas vulnerabilidades que podrían ser aprovechadas por atacantes para provocar denegaciones de servicio o elevar sus privilegios en el sistema.

Los problemas corregidos más graves podrían permitir a usuarios locales elevar sus privilegios en el sistema. Están relacionados con un error en la forma en que el sistema de archivos trata determinadas operaciones de renombrado de archivos con un bind mount (CVE-2015-2925) y una condición de carrera en la forma en que el subsistema IPC del kernel inicializa determinados campos en una estructura de objetos IPC (CVE-2015-7613).

Otras vulnerabilidades podrían permitir provocar condiciones de denegación de servicio. Están relacionadas con los subsistemas KVM y TTY, el controlador de recursos de memoria (memcg), llamadas al sistema chown y execve, la implementación SCTP y el subsistema perf.

Detalles sobre la aplicación de ésta actualización se encuentran disponibles en:

Más información:

Important: kernel security, bug fix, and enhancement update



Antonio Ropero

Twitter: @aropero

sábado, 21 de noviembre de 2015

Actualización para múltiples productos VMware

VMware ha publicado actualizaciones de seguridad para corregir una vulnerabilidad en vCenter, vCloud Director y Horizon View, que podría permitir a un atacante la obtención de información sensible.

VMware es un software que permite ejecutar diferentes sistemas operativos en un mismo PC de forma virtual. Entre otras aplicaciones, VMware es muy utilizado en seguridad informática por la versatilidad que ofrece. Por ejemplo, se suele utilizar de forma habitual en la investigación del malware, ya que permite ejecutar y analizar los especímenes en entornos virtuales controlados.

Diversos productos VMware hacen uso de Flex BlazeDS por lo que se ven afectados por una vulnerabilidad en el tratamiento de peticiones XXE (Entidades Externas XML). El envío de peticiones XML específicamente creadas podrá provocar que el servidor devuelva información sensible. Se ha asignado el CVE-2015-3269.

Se han publicado las siguientes actualizaciones para corregir el problema en todas las versiones afectadas:
vCenter Server 5.5 update 3, 5.1 update u3b y 5.0 update u3e:
vCloud Director 5.6.4 y 5.5.3
Horizon View 6.1
Horizon View 5.3.4

Más información:

VMSA-2015-0008
VMware product updates address information disclosure issue.


Antonio Ropero
Twitter: @aropero


viernes, 20 de noviembre de 2015

Denegación de servicio en IBM WebSphere Portal

IBM ha publicado una actualización para corregir una vulnerabilidad en IBM WebSphere Portal que podrían permitir a un atacante remoto construir ataques de denegación de servicio.

IBM WebSphere Portal ofrece una aplicación compuesta o infraestructura de "mashup" empresarial y las herramientas para crear soluciones basadas en SOA (Arquitectura Orientada a Servicios). WebSphere Portal contiene una amplia variedad de tecnologías destinadas a desarrollar y mantener portales B2C, B2B y B2E.

El problema corregido, con CVE-2015-7419, que podría permitir a un atacante provocar una denegación de servicio debido a una validación inadecuada de peticiones específicamente construidas, que llegarían a consumir todos los recursos de memoria.

El problema afecta a WebSphere Portal 8.5 y 8.0. IBM ha publicado la actualización PI50952 para evitarlo.

Más información:

Security Bulletin: Fix Available for Denial of Service Vulnerability in IBM WebSphere Portal (CVE-2015-7419)



Antonio Ropero
Twitter: @aropero



jueves, 19 de noviembre de 2015

Diversas vulnerabilidades en drivers de NVIDIA

NVIDIA ha publicado tres avisos de seguridad para solucionar otras tantas vulnerabilidades en sus controladores gráficos que podría permitir provocar condiciones de denegación de servicio, obtener información sensible o elevar privilegios en los sistemas afectados.


Un segundo problema, con CVE-2015-7866, afecta al Panel de Control del Driver NVIDIA en Windows ("nvSmartMaxApp.exe") hace uso de una ruta sin comillas al lanzar hilos de procesos. Si un atacante local puede situar programas en localizaciones adecuadas, podría lograr la ejecución de código arbitrario durante el inicio de Windows y conseguir elevar sus privilegios.

Un último aviso (con CVE-2015-7869) en el que se recoge una vulnerabilidad en la capa de soporte NVAPI de los controladores gráficos GPU NVIDIA. La capa de soporte NVAPI es una capa API exportada para soportar funcionalidades aumentadas del sistema a aplicaciones. También se alerta de un desbordamiento de entero en el controlador de modo kernel subyacente. La vulnerabilidad en la capa NVAPI solo afecta a los controladores para Windows, mientras que los problemas de desbordamiento de entero se dan en drivers Windows y Linux.

NVIDIA ha publicado varias actualizaciones de los controladores que solucionan estos errores. Se encuentran disponibles para su descarga desde la página oficial de NVIDIA y son las siguientes:
Para Windows versiones 358.87, 354.35 y 341.92.
Para Linux versiones 358.16, 352.63, 340.96 y 304.131.

Más información:

CVE-2015-7865: Stereoscopic 3D Driver service arbitrary run key creation

CVE-2015-7866: NVIDIA Control Panel unquoted path

CVE-2015-7869: Unsanitized User Mode Input



Antonio Ropero

Twitter: @aropero

miércoles, 18 de noviembre de 2015

Múltiples vulnerabilidades en Moodle

Moodle ha publicado diez alertas de seguridad en las que se corrigen otras tantas vulnerabilidades con diversos efectos, desde los habituales cross-site scripting, hasta modificar respuestas o evitar restricciones de seguridad. Se ven afectadas las ramas 2.9, 2.8 y 2.7.

Moodle es una popular plataforma educativa de código abierto que permite a los educadores crear y gestionar tanto usuarios como cursos de modalidad e-learning. Además proporciona herramientas para la comunicación entre formadores y alumnos.

Se han publicado diez boletines de seguridad (del MSA-15-0037 al MSA-14-0046), y tienen asignados los identificadores CVE-2015-5331, CVE-2015-5332 y del CVE-2015-5335 al CVE-2015-5342. Dos de ellos son considerados como serios y el resto como de gravedad menor. Las vulnerabilidades podrían permitir ataques Cross Site Scripting (XSS), Cross-Site Request Forgery, eliminar o modificar respuestas incluso con cuestionarios cerrados, saltar controles de seguridad, crear ataques de denegación de servicio o permitir el envío de mensajes a usuarios que tengan bloqueada la recepción si no está entre sus contactos.

Las versiones 2.9.3, 2.8.9 y 2.7.11 solucionan todas las vulnerabilidades. Se encuentran disponibles para su descarga desde la página oficial de Moodle.

Más información:

Security Announcements


                                                                                                  
Antonio Ropero
Twitter: @aropero



martes, 17 de noviembre de 2015

Actualización para productos Adobe: ColdFusion, Premiere Clip y LiveCycle DS

Adobe ha publicado una actualización para algunos de sus productos menos acostumbrados a recibir actualizaciones. En esta ocasión los productos afectados son ColdFusion, LiveCycle Data Services y Premiere Clip, en total se han solucionado cinco vulnerabilidades. 

En el boletín de seguridad APSB15-29 de Adobe, se recoge una actualización para ColdFusion versiones 11 y 10. Este parche está destinado a corregir dos vulnerabilidades relacionadas con problemas de validación de entradas (CVE-2015-8052 y CVE-2015-8053) que podrían emplearse para construir ataques de cross-site scripting. También se incluye una versión actualizada de BlazeDS, que resuelve una vulnerabilidad importante de Server-Side Request Forgery (CVE-2015-5255).

Se recomienda a los usuarios actualicen sus productos según las instrucciones proporcionadas por Adobe:
ColdFusion 11:
ColdFusion 10:

En el boletín APSB15-30 se trata una vulnerabilidad en Adobe LiveCycle DataServices, el framework destinado a simplificar el desarrollo de aplicaciones Flex y AIR. Igualmente está destinada a incluir una versión actualizada de BlazeDS para resolver una vulnerabilidad Server-Side Request Forgery (CVE-2015-5255).  

Adobe ha publicado versiones actualizadas de LiveCycle DataServices destinadas a solucionar la vulnerabilidad en Windows, Macintosh y Unix, disponibles desde la página del aviso de seguridad:

Por último, en el boletín APSB15-31 se recoge una actualización para Adobe Premiere Clip para iOS a la versión 1.2.1, para solucionar un problema de validación de entradas (CVE-2015-8051).

Más información:

Security Update: Hotfix available for ColdFusion

Security Hotfix Available for LiveCycle Data Services

Security update available for Adobe Premiere Clip


Antonio Ropero
Twitter: @aropero




lunes, 16 de noviembre de 2015

Ejecución de código a través de libpng

Se ha anunciado una vulnerabilidad en libpng que podría ser aprovechada por un atacante remoto para comprometer las aplicaciones y sistemas que usen esta librería.

El formato de imagen Portable Network Graphics o PNG se usa como una alternativa a otros formatos de imagen, como el popular GIF (Graphics Interchange Format). El uso de este tipo de imágenes cada vez es más habitual y libpng es una librería disponible para desarrolladores de aplicaciones para soportar de forma sencilla el formato de imagen PNG. Cualquier aplicación o sistema que haga uso de esta librería puede estar afectada.

El fallo (con CVE-2015-8126) reside en un desbordamiento de búfer en las funciones "png_set_PLTE" y " png_get_PLTE" al procesar una imagen maliciosa. Un atacante remoto podría aprovechar este problema para ejecutar código arbitrario.

Se han publicado las versiones 1.6.19, 1.5.24, 1.4.17, 1.2.54 y 1.0.64 de la librería, disponibles desde:
De igual forma, en breve veremos la actualización de múltiples aplicaciones para incluir la corrección de esta vulnerabilidad.

Más información:

CVE-2015-8126

libpng buffer overflow in png_set_PLTE

una-al-dia (19/08/2015) ¿Son las aplicaciones Android tan seguras como piensas?



Antonio Ropero
Twitter: @aropero

domingo, 15 de noviembre de 2015

Actualización de seguridad para Google Chrome

Google ha publicado una actualización de seguridad para su navegador Google Chrome para todas las plataformas (Windows, Mac y Linux) para corregir una nueva vulnerabilidad de gravedad alta.

Se han corregido un problema de fuga de información sensible a través del visor pdf (CVE-2015-1302). Está nueva versión de Chrome 46.0.2490.86 también incluye la actualización del reproductor Flash Player a la versión 19.0.0.245, recientemente publicada por Adobe y que solucionaba 17 vulnerabilidades del propio reproductor.

Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados o a través de "Información sobre Google Chrome" (chrome://chrome/).

Más información:

Stable Channel Update

una-al-dia (12/11/2015) Nueva actualización para Adobe Flash Player
  

Antonio Ropero

Twitter: @aropero

sábado, 14 de noviembre de 2015

Microsoft republica actualización por problemas en Windows 7 y Windows Server 2008

No es la primera vez que Microsoft se ve obligada a republicar una de las actualizaciones publicadas dentro de su conjunto de boletines de seguridad. En esta ocasión los problemas se han dado con el boletín MS15-115 en sistemas Windows 7 y Windows Server 2008 R2.

Microsoft ha anunciado la revisión de la actualización 3097877 para Windows 7 y Windows Server 2008 perteneciente al boletín MS15-115, publicado el pasado martes. Este boletín estaba calificado como "crítico" y solucionaba siete vulnerabilidades en todas las versiones de Windows relacionadas con el tratamiento de fuentes, que podrían permitir la ejecución de código remoto.

Microsoft ha indicado que republica la actualización debido a que algunos usuarios han reportado problemas con Outlook tras la instalación del parche. Según han reportado algunos usuarios Outlook se cerraba al abrir emails en html, aunque también se han reportado otro tipo de errores como pantallas negras al intentar autenticarse en el sistema y otros problemas.

"Bulletin revised to inform customers that the 3097877 update for Windows 7 and Windows Server 2008 R2 has been rereleased to correct a problem with the original update that could cause some applications to quit unexpectedly."

No es la primera vez que algo similar ocurre con las actualizaciones de Microsoft,el año pasado este problema se dio en varias ocasiones. Aunque la compañía establece grandes controles antes de publicar un parche, resulta complejo evaluar una actualización en todas las posibles configuraciones, idiomas, versiones, etc. Esperamos, por la tranquilidad de todos, que este tipo de problemas no se vuelvan a repetir.

Más información:

MS15-115: Description of the security update for Windows: November 10, 2015

Microsoft Security Bulletin MS15-115 - Critical
Security Update for Microsoft Windows to Address Remote Code Execution (3105864)

una-al-dia (27/08/2014) Microsoft vuelve a publicar la actualización MS14-045

una-al-dia (15/09/2014) Nuevo problema en las actualizaciones de Microsoft

una-al-dia (12/12/2014) Microsoft retira actualización para Exchange 2010
http://unaaldia.hispasec.com/2014/12/microsoft-retira-actualizacion-para.html



Antonio Ropero
Twitter: @aropero

viernes, 13 de noviembre de 2015

El Mobile Pwn2Own desvela graves fallos en los Samsung Galaxy y en Chrome para Android

La edición del Mobile Pwn2Own 2015 tan solo ha dejado un par de anuncios interesantes, aunque la importancia de los problemas descubiertos no ha dejado indiferente a nadie. En esta ocasión se han encontrado problemas graves en dispositivos Samsung Galaxy S6, S6 Edge y Note 4 y en el navegador Chrome para Android.

La última edición del MobilePwn2Own se ha desarrollado esta semana en Tokio en la conferencia PacSec 2015. Todo indica que la falta de patrocinadores (y por tanto de premios) de esta edición de la competición ha provocado una gran ausencia de participantes y de anuncios de nuevas vulnerabilidades.

A pesar de ello, se han realizado dos anuncios bastante interesantes. En primer lugar una vulnerabilidad en los Samsung Galaxy S6, Galaxy S6 Edge y Galaxy Note 4 que podría permitir engañar a los dispositivos para conectarse a una estación base maliciosa y conseguir acceso a las llamadas y mensajes que se realicen o reciban en los dispositivos.

El problema, descubierto por Daniel Komaromy (@kutyacica) y Nico Golde (@iamnion), reside en una vulnerabilidad de hombre en el medio en los chips Shannon, que forman el módem, transceptor RF y tracking IC, empleado en los modelos afectados. Los investigadores configuraron una estación base, requerida para conectar un teléfono móvil a la red telefónica y descubrieron que los teléfonos Samsung establecían la conexión a través de ella. Esto permitió a los investigadores interceptar llamadas y mensajes enviados y recibidos a través de la estación base.

Este anuncio ha sido considerado como uno de los más importantes de todas las ediciones del Pwn2Own. Irónicamente este año no hay recompensas, cuando un descubrimiento de este tipo el año pasado habría obtenido una recompensa de 150.000 dólares. Según Dragos Ruiu (@dragosr), organizador de la PacSec, este es el verdadero espíritu de la investigación en seguridad. Por ello, invitará a ambos (y sus familias) a viajar el año que viene a la conferencia CanSecWest para que puedan esquiar después de realizar una presentación técnica de su desarrollo.

Un segundo anuncio de la Mobile Pwn2Own es una vulnerabilidad en el motor V8 de Javascript del navegador Chrome. En esta ocasión, el investigador Guang Gong de Quihoo 360, logró tomar el control de un Nexus 6 con tan solo visitar una página web con un script malicioso. Posteriormente instaló un juego sin autorización ni interacción del usuario.

El propio investigador ha afirmado que esta vulnerabilidad podría permitir tomar el control de cualquier Android, ya que el fallo recae en el motor V8 del navegador, que es algo independiente del dispositivo sobre el que se ejecute. De igual forma también será recompensado con un viaje al congreso canadiense, además Google recompensará de forma económica según la política de recompensas de Chrome.

Más información:

PacSec 2015 Conference

Dragos Ruiu.




Antonio Ropero
Twitter: @aropero