domingo, 31 de enero de 2016

Vulnerabilidades en Ruby on Rails

Se han publicado las versiones Rails 5.0.0.beta1.1, 4.2.5.1, 4.1.14.1 y 3.2.22.1 de Ruby on Rails, que corrigen nueve vulnerabilidades que podría permitir a atacantes remotos evitar restricciones de seguridad, conseguir información sensible, construir ataques de cross-site scripting o provocar condiciones de denegación de servicio.

Ruby on Rails, también conocido simplemente como Rails, es un framework de aplicaciones web de código abierto escrito en el lenguaje de programación Ruby, que sigue la arquitectura Modelo-Vista-Controlador (MVC).

El primero de los problemas, con CVE-2015-7576, reside en un ataque de temporización en el soporte de autenticación básica en Action Controller. Con CVE-2016-0751 una posible fuga de objetos y ataque de denegación de servicio en Action Pack. Otra vulnerabilidad, con CVE-2015-7577, en la característica de atributos anidados en el Active Record al tratar actualizaciones en combinación con destrucción de banderas cuando la destrucción de archivos está desactivada.  

Por otra parte, con CVE-2016-0752, una posible fuga de información en Action View. Con CVE-2016-0753 una evasion de la validación de entradas en Active Model y por último, con CVE-2015-7581, una fuga de objetos para controladores comodín en Action Pack.

También se ha publicado rails-html-sanitizer versión 1.0.3, que contiene la corrección de tres vulnerabilidades de cross-site scripting (del CVE-2015-7578 al CVE-2015-7580).

Más información:

Rails 5.0.0.beta1.1, 4.2.5.1, 4.1.14.1, 3.2.22.1, and rails-html-sanitizer 1.0.3 have been released!




Antonio Ropero
Twitter: @aropero

sábado, 30 de enero de 2016

Intrusión y múltiples vulnerabilidades en cPanel

cPanel ha publicado un aviso en el que reconocen haber sufrido una intrusión en su sitio oficial que ha podido exponer información de una base de datos de usuarios. Poco después de esta intrusión la compañía confirma hasta 20 vulnerabilidades en cPanel, que podrían explotarse por usuarios para manipular datos, elevar privilegios, insertar scripts, inyección SQL, obtener información sensible o realizar ataques de cross-site scripting.

CPanel es un conocido panel de control para empresas de alojamiento web, que a través de una sencilla interfaz web permite a usuarios de miles de compañías realizar de forma sencilla tareas como crear subdominios, añadir cuentas de correo, instalar scripts, proteger directorios, crear bases de datos. La administración de estas acciones puede realizarse por los propios usuarios sin necesidad de la intervención del personal técnico. CPanel está disponible para Linux y FreeBSD.

El pasado fin de semana cPanel confirmó un ataque sobre una de sus bases de datos y aunque había detenido la intrusión, anunciaba la posibilidad de que determinada información hubiera quedado expuesta. Según la compañía la información comprometida estaba limitada a nombres, información de contacto y el hash (con salt) de las contraseñas.

En cualquier caso confirmaba que la información de las tarjetas de crédito se encuentra almacenada en un sistema independiente diseñado para guardar las tarjetas de crédito y no se ve afectada por este ataque. cPanel anuncia un cambio a un sistema de cifrado de contraseñas más robusto y forzará a todos los usuarios a cambiar su contraseña.

Por otra parte, pocos días después de este anuncio la compañía publica un aviso en el que se corrigen un total de 20 vulnerabilidades. aunque no está confirmada ninguna relación entre la intrusión y estas vulnerabilidades.

Los problemas residen en ejecución de comandos arbitrarios debido a que no se filtra adecuadamente el directorio de trabajo actual ('.') de rutas cargadas desde la librería de módulos Perl, modificación de archivos arbitrarios durante la modificación de cuentas mediante enlace simbólico, lectura arbitraria de archivos a través de script bin/fmq y scripts/fixmailboxpath, inyección SQL en bin/horde_update_usernames, ejecución de código arbitrario a través de manipulación de archivos temporales o revelación de hashes de contraseñas por los scripts bin/mkvhostspasswd y chcpass.

También se han corregido problemas como que llamadas JSON-API permiten a cuentas cPanel y Webmail la ejecución de código mientras se ejecutan con privilegios de cuentas de usuario compartidas, lectura de archivos arbitrarios a través de bin/setup_global_spam_filter.pl y scripts/quotacheck, sobreescritura de archivos arbitrarios a través de scripts/check_system_storable y cambios arbitrarios de permisos de archivos (chown/chmod) durante el proceso de conversión de bases de datos para Roundcube.

Más vulnerabilidades corregidas podrían permitir la ejecución de código arbitrario a través de scripts/synccpaddonswithsqlhost, cambios de permisos de archivos a través de scripts/secureit y cross-site scriptings en WHM y en X3 y ejecución de código arbitrario sin necesidad de autenticación a través de cpsrvd.

Todas estas vulnerabilidades se han corregido en las versiones de cPanel:
11.54.0.4
11.52.2.4
11.50.4.3
11.48.5.2

Más información:

Important Information for cPanel Store Users

cPanel TSR-2016-0001 Full Disclosure



Antonio Ropero
Twitter: @aropero

viernes, 29 de enero de 2016

Oracle anuncia el final del plugin de Java ¡Por fin!

Una noticia que llevábamos tiempo esperando: Oracle ha anunciado que el plugin de Java desaparecerá de la próxima versión del JDK y JRE (versión 9). 
 
Oracle adquirió Java en 2010 como parte de la compra de Sun Microsystems. Aunque la fama de ser uno de los vectores de ataque para la instalación de malware y realización de intrusiones viene ya de antiguo.

Durante un buen tiempo Java fue la auténtica bestia negra para la seguridad de los usuarios, la aparición de nuevos 0-days, vulnerabilidades, etc. era tan frecuente como en la actualidad estamos viendo en Flash. Cabe señalar que el último 0-day para Java es de julio del año pasado, después de más dos años sin ningún anuncio de una vulnerabilidad de este tipo.

Pero tal y como la propia Oracle confirma la razón detrás de este movimiento reside en que los propios desarrolladores de navegadores han decidido dejar de lado la posibilidad de incrustar Flash, Silverlight, Java y otras tecnologías basadas en plugins.

Con los principales navegadores (Internet Explorer, Edge, Chrome y Firefox) restringiendo y reduciendo el soporte de plugins en sus productos no tiene mucho sentido seguir insistiendo en nuevas versiones del plugin de Java. Un producto que requiere de terceros para funcionar, pero esos otros no le dejan funcionar. Oracle, por su parte, recomienda a los desarrolladores que consideren opciones alternativas como migrar los applets de Java a la tecnología Java Web Start.

Hay que destacar que en realidad esta noticia significa el final de los applets de Java. Una tecnología que se popularizo a mediados de los 90, que se terminó por convertir en un peligro para los navegadores y que durante mucho tiempo significó la principal puerta de entrada de malware en los sistemas. No podemos olvidar que Java es un lenguaje, una librería o conjunto de librerías y una plataforma en la que poder compilar y ejecutar código en una maquina virtual, lo que conforman los tres pilares fundamentales de Java.

El final del plugin de Java tiene fecha anunciada, el 22 de septiembre de 2016, cuando se publicará el JDK 9. Sin embargo seguro que aun seguiremos viéndolo durante mucho tiempo en los ordenadores y sistemas más antiguos. 


Más información:

Moving to a Plugin-Free Web

una-al-dia (07/02/2000) Importante agujero en la Máquina Virtual Java de Microsoft

Migrating from Java Applets to plugin-free Java technologies

Java 9 Schedule

una-al-dia (15/07/2015) Nuevo 0day en Java
http://unaaldia.hispasec.com/2015/07/nuevo-0day-en-java.html

                                                                                                  
Antonio Ropero
Twitter: @aropero



jueves, 28 de enero de 2016

OpenSSL soluciona dos vulnerabilidades

El proyecto OpenSSL ha anunciado la publicación de nuevas versiones de OpenSSL destinadas a corregir dos vulnerabilidades, una calificada de impacto alto y otra de gravedad baja. 

El primero de los problemas, de gravedad alta, reside en una vulnerabilidad (con CVE-2016-0701) en OpenSSL 1.0.2 por la generación de números primos considerados inseguros. Históricamente OpenSSL sólo ha generado parámetros Diffie–Hellman (DH) en base a los números primos "seguros". En la versión 1.0.2 se proporcionó soporte para la generación de archivos de parámetros de estilo X9.42 tal como se requería para soportar el RFC 5114. Sin embargo los números primos utilizados en este tipo de archivos puede que no sean "seguros". Un atacante podría utilizar este problema para descubrir el exponente privado DH de un servidor TLS si se está reutilizando o se usa un conjunto de cifrado DH estático.

Por otra parte, con CVE-2015-3197 y gravedad baja, una vulnerabilidad que podría permitir a un cliente malicioso negociar cifrados SSLv2 desactivados en el servidor y completar negociaciones SSLv2 incluso aunque todos los cifrados SSLv2 hayan sido desactivados. La única condición es que el protocolo SSLv2 no haya sido también desactivado a través de SSL_OP_NO_SSLv2. Este problema afecta a OpenSSL versiones 1.0.2 y 1.0.1.

También se incluye una actualización referente a la ya conocida logjam (de la que ya hablamos en una-al-día) de junio del pasado año y ya solucionada. Recordamos que reside en una vulnerabilidad (con CVE-2015-4000) en el protocolo TLS que básicamente permite a un atacante que haga uso de técnicas de "hombre en el medio" degradar la seguridad de las conexiones TLS a 512 bits. En su momento OpenSSL corrigió Logjam en las versiones 1.0.2b y 1.0.1n rechazando conexiones menores de 768 bits. En la actualidad este límite se ha incrementado a 1024 bits.

OpenSSL ha publicado las versiones 1.0.2f y 1.0.1r disponibles desde

También se recuerda por parte de OpenSSL que las versiones 1.0.1 acaban su soporte a finales de año.

Más información:

OpenSSL Security Advisory [28th Jan 2016]

una-al-dia (21/05/2015) Logjam, el hacedor de llaves en el reino de las cerraduras cobardes


Antonio Ropero
Twitter: @aropero

miércoles, 27 de enero de 2016

Mozilla publica Firefox 44 y corrige 17 nuevas vulnerabilidades

Mozilla ha anunciado la publicación de la versión 44 de Firefox, junto con 12 boletines de seguridad destinados a solucionar 17 nuevas vulnerabilidades en el navegador.

Hace poco más de un mes que Mozilla publicó la versión 43 de su navegador. Ahora acaba de publicar una nueva versión que incorpora nuevas funcionalidades y mejoras. Entre las novedades cabe señalar la eliminación del soporte del cifrado RC4, y el uso de certificados firmados SHA-256 de acuerdo a los nuevos requisitos de cifrado. También publica Firefox ESR 38.6 (versión de soporte extendido) destinada a grupos que despliegan y mantienen un entorno de escritorio en grandes organizaciones como universidades, escuelas, gobiernos o empresas.

Por otra parte, se han publicado los primeros 12 boletines de seguridad del año (del MSFA-2015-001 al MSFA-2015-012). Tres de ellos están considerados críticos, dos de gravedad alta, seis moderados y uno de nivel bajo. En total se corrigen 17 nuevas vulnerabilidades en Firefox.

Las vulnerabilidades críticas residen en dos problemas (CVE-2016-1930 y CVE-2016-1931) de tratamiento de memoria en el motor del navegador que podrían permitir la ejecución remota de código. Otro fallo por un desbordamiento de búfer en WebGL (CVE-2016-1935) y tres problemas debido a manipulaciones inseguras de memoria encontradas a través de revisión de código (CVE-2016-1944, CVE-2016-1945 y CVE-2016-1946).

Además, también se han corregido otras vulnerabilidades de gravedad alta como un problema en cálculos con mp_div y mp_exptmod en Network Security Services (NSS) que puede producir resultados erróneos en diversas circunstancias. Como estas funciones se emplean en cálculos criptográficos pueden dar lugar a debilidades criptográficas (CVE-2016-1938). Dos vulnerabilidades (CVE-2016-1943 y CVE-2016-1942) que podrían permitir la falsificación de la barra de direcciones.

Otros problemas corregidos consisten en una denegación de servicio en el tratamiento de imágenes GIF específicamente creadas (CVE-2016-1933), debido a un problema introducido en Firefox 43 quedaba desactivado el servicio Application Reputation por lo que no se alertaba de descargas potencialmente maliciosas (CVE-2016-1947), una falsificación de la barra de direcciones en Firefox para Android (CVE-2016-1940) y un fallo en OS X debido a un retardo insuficiente entre los diálogos de descarga (CVE-2016-1941).

La nueva versión está disponible a través del sitio oficial de descargas de Firefox: 

Más información:

Firefox Notes
Version 44.0

Mozilla Foundation Security Advisories

una-al-dia (21/12/2015) Mozilla publica Firefox 43 y corrige 22 nuevas vulnerabilidades



Antonio Ropero
Twitter: @aropero


martes, 26 de enero de 2016

Cross-Site scripting en IBM WebSphere Application Server

IBM ha publicado una actualización para corregir una vulnerabilidad en IBM WebSphere Application Server que podrían permitir la realización ataques de Cross-Site Scripting.

IBM WebSphere Application Server (WAS) es el servidor de aplicaciones de software de la familia WebSphere de IBM. WAS puede funcionar con diferentes servidores web y sistemas operativos incluyendo Apache HTTP Server, Netscape Enterprise Server, Microsoft Internet Information Services (IIS), IBM HTTP Server en sistemas operativos AIX, Linux, Microsoft, Windows y Solaris.

El problema (con CVE-2015-7417) podría permitir a un atacante remoto realizar ataques de cross-site scripting cuando se utilizan contraseñas OAuth debido a una validación inadecuada de las entradas del usuario. Se podría utilizar esta vulnerabilidad para robar las cookies de las credenciales de autenticación de la víctima.

Se ven afectadas las versiones de IBM WebSphere Application Server 7.0, 8.0, 8.5 y 8.5.5.

IBM ha publicado el Interim Fix PI49272 para solucionar esta vulnerabilidad.

Más información:

Security Bulletin: Cross-site scripting vulnerability in IBM WebSphere Application Server (CVE-2015-7417)



Antonio Ropero

Twitter: @aropero

lunes, 25 de enero de 2016

Vulnerabilidades descubiertas en Samsung SRN-1670D camera

Se han reportado varias vulnerabilidades en Samsung SRN-1670D camera (Web Viewer 1.0.0.193) que podrían permitir a un atacante remoto, leer archivos arbitrarios en el sistema de la víctima, saltar restricciones de seguridad y potencialmente obtener información de credenciales de usuario.

Samsung SRN-1670D
Los dispositivos Samsung SRN-1670D, son grabadores de alta calidad que permiten grabar o reproducir contenido (video y audio) dentro de una red local o también de forma remota. Estos dispositivos cuentan con capacidad de grabación en tiempo real a 4CIF (704 x 480) / 1.3M (1280 x 1024) / 2M (1920 x 1080 ) / 3M (2048 x 1536), además permiten compresión de video en diferentes formatos como H.264, MPEG-4 y MJPEG.

Las vulnerabilidades reportadas por Aristide Fattori, Luca Giancane y Roberto Paleari, tienen asignados los identificadores CVE-2015-8279, CVE-2015-8280 y CVE-2015-8281.

En el primero de los problemas (CVE-2015-8279), un atacante remoto podría leer archivos arbitrarios del sistema a través de un script PHP especialmente manipulado.

La siguiente vulnerabilidad (CVE-2015-8280), se debe a un fallo en el interface del sistema al dar demasiada información en determinados mensajes de error. Esto podría ser aprovechado por un atacante remoto para obtener información de credenciales de usuarios.

Por último, con CVE-2015-8281, un atacante remoto, a través de operaciones XOR, podría saltar restricciones de seguridad debido al débil cifrado del firmware del sistema.

Estos problemas afectan a la versión de Samsung SRN-1670D (Web Viewer Version 1,0,0,193). Este dispositivo no está actualmente en producción, por lo que no se espera que el fabricante libere actualizaciones o parches de seguridad.

Se recomienda tomar las siguientes medidas de seguridad:
  • Reducir la exposición a la red de los dispositivos, asegurándose de que no sean accesibles a través de Internet.
  • Usar cortafuegos, y aislar la red local de posibles accesos no autorizados.
  • Cuando se requiera el acceso remoto, usar métodos seguros tales como redes privadas virtuales (VPNs).

Más información:

Vulnerability VU#913000
Samsung SRN-1670D camera contains multiple vulnerabilities

Multiple vulnerabilities in Samsung SRN cameras 

SRN-1670D


Juan Sánchez


domingo, 24 de enero de 2016

Vulnerabilidades críticas en productos Cisco

Cisco ha publicado dos alertas para informar de sendas vulnerabilidades críticas en productos con software Cisco Modular Encoding Platform D9036, Cisco UCS Manager y FX-OS para Firepower 9000 que podrían permitir a atacantes remotos tomar el control de los sistemas afectados. 

Cisco Modular Encoding Platform D9036
El primero de los problemas (CVE-2015-6412) afecta a todos los productos con software Cisco Modular Encoding Platform D9036 con versiones anteriores a la 02.04.70. Una vez más reside en la existencia de una cuenta root configurada con una contraseña estática. Esta cuenta se crea en el momento de la instalación y no puede cambiarse ni eliminarse sin afectar a la funcionalidad del sistema. Un atacante podría aprovechar esta cuenta para acceder al dispositivo a través de SSH con privilegios de root.

Además de la cuenta root, también existe la cuenta "guest" (invitado) con contraseña estática aunque con privilegios limitados y que igualmente tampoco puede ser cambiada ni eliminada.

Una vez más, Cisco y el recurrente problema de las credenciales estáticas por defecto. Hace menos de una semana ya actualizó los puntos de acceso Cisco Aironet 1830e, 1830i, 1850e y 1850i por un problema similar. Otros productos como Cisco TelePresence Recording Server, Cisco NetFlow Collection Engine o Cisco Wireless Location Appliances también incluyeron cuentas administrativas con contraseñas por defecto. Es un problema que lleva persiguiendo a Cisco desde hace más de 10 años. Solo queda por pensar, qué más productos de Cisco incluyen alguna contraseña por defecto.

Por otra parte, una vulnerabilidad (CVE-2015-6435) en un script CGI del Cisco Unified Computing System (UCS) Manager y en los dispositivos Cisco Firepower 9000 Series podría permitir a un atacante remoto sin autenticar ejecutar comandos en los dispositivos afectados. El problema se debe a que no está protegida la llamada a comandos shell en el script CGI. Un atacante podrá explotar el problema a través de peticiones http específicamente construidas.

Cisco ha publicado las siguientes actualizaciones para todos los dispositivos afectados, disponibles desde Cisco Software Central:
Cisco Modular Encoding Platform D9036 versión 02.04.70
Tras la actualización será necesario modificar las contraseñas de las cuentas afectadas con los comandos set-root-password y set-guest-password.
Cisco UCS Manager 2.2(4b), 2.2(5a) y 3.0(2e)
Cisco Firepower 9000 Series 1.1.2

Más información:

Cisco Modular Encoding Platform D9036 Software Default Credentials Vulnerability

Cisco Unified Computing System Manager and Cisco Firepower 9000 Remote Command Execution Vulnerability

una-al-dia (14/01/2016) Actualizaciones para diversos dispositivos Cisco

una-al-dia (31/07/2011) Contraseña por defecto en Cisco TelePresence Recording Server

una-al-dia (13/10/2006) Contraseña por defecto en Cisco Wireless Location Appliances

una-al-dia (26/04/2007) Credenciales por defecto en Cisco NetFlow Collection Engine

una-al-dia (02/07/2015) Cisco tropieza de nuevo con una contraseña por defecto

una-al-dia (06/11/2015) Vulnerabilidades en dispositivos Cisco



Antonio Ropero
Twitter: @aropero

sábado, 23 de enero de 2016

Google publica Chrome 48 y corrige 37 vulnerabilidades

Siguiendo su ritmo de publicación trimestral de actualizaciones, Oracle publica su boletín de seguridad de enero. Contiene parches para 248 vulnerabilidades diferentes en múltiples productos pertenecientes a diferentes familias, que van desde el popular gestor de base de datos Oracle Database hasta Solaris, Java o MySQL. 

Como es habitual, Google solo proporciona información sobre los problemas solucionados reportados por investigadores externos o las consideradas de particular interés. En esta ocasión, aunque se han solucionado 37 nuevas vulnerabilidades, solo se facilita información de ocho de ellas (dos de gravedad alta y seis de importancia media).

Se corrigen vulnerabilidades por un casting incorrecto en V8, por uso de memoria después de liberarla en PDFium y una fuga de información en Blink. También problemas por confusión de origen en Omnibox, falsificación de URLs, espionaje del historial con HSTS y CSP, debilidad en el generador de números aleatorios en Blink y una lectura fuera de límites en PDFium. Se han asignado los CVE-2016-1612 al CVE-2016-1619.

También del trabajo de seguridad interno, varias correcciones procedentes de auditoría interna, pruebas automáticas y otras iniciativas (CVE-2016-1620). Así como múltiples vulnerabilidades en V8 en la rama 4.8 (actualmente 4.8.271.17).

Según la política de la compañía las vulnerabilidades anunciadas han supuesto un total de casi 10.500 dólares en recompensas a los descubridores de los problemas.

Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados o a través de "Información sobre Google Chrome" (chrome://chrome/).

Más información:

Stable Channel Update



Antonio Ropero
Twitter: @aropero



viernes, 22 de enero de 2016

Vulnerabilidades de denegación de servicio en BIND 9

ISC ha liberado nuevas versiones del servidor DNS BIND. Esta versión corrige dos vulnerabilidades en versiones de BIND 9, que podrían causar condiciones de denegación de servicio a través de consultas especialmente manipuladas.

El servidor de nombres BIND es uno de los más usados en Internet. Creado en 1988, en la universidad de Berkeley, actualmente es desarrollado por el ISC (Internet System Consortium). BIND se encuentra disponible para una amplia gama de sistemas tanto Unix como Microsoft Windows.

El primer problema, considerado de gravedad alta con CVE-2015-8704, reside en un problema en las verificaciones del tamaño de búfer para proteger contra desbordamientos que puede provocar la caída de named con un fallo INSIST en apl_42.c. Afecta a versiones 9.3.0 a 9.8.8, 9.9.x, 9.9.3-S1 a 9.9.8-S3 y 9.10.x.

Pueden ser vulnerables esclavos que utilicen archivos de bases de datos en formato de texto si reciben un registro mal construido en una trasferencia de zona desde el maestro, maestros que también usen archivos de bases de datos en formato de texto si aceptan un registro mal construido en un mensaje de actualización DDNS, servidores recursivos al depurar archivos de registro si de forma deliberada han recibido un registro mal construido desde un servidor malicioso o servidores que hayan almacenado en caché un registro específicamente construido al realizar 'rndc dumpdb'.

Una segunda vulnerabilidad, de gravedad media y CVE-2015-8705, se produce cuando opciones ECS o registros de recursos OPT se formatean como texto, lo que puede provocar condiciones de denegación de servicio. Afecta a versiones de BIND 9.10.

Se recomienda actualizar a las versiones publicadas
BIND 9 versión 9.9.8-P3
BIND 9 versión 9.10.3-P3
BIND 9 versión 9.9.8-S4
disponibles en:

Más información:

CVE-2015-8704: Specific APL data could trigger an INSIST in apl_42.c

CVE-2015-8705: Problems converting OPT resource records and ECS options to text format can cause BIND to terminate.




Antonio Ropero

Twitter: @aropero

jueves, 21 de enero de 2016

Oracle corrige 248 vulnerabilidades en su actualización de seguridad de enero

Siguiendo su ritmo de publicación trimestral de actualizaciones, Oracle publica su boletín de seguridad de enero. Contiene parches para 248 vulnerabilidades diferentes en múltiples productos pertenecientes a diferentes familias, que van desde el popular gestor de base de datos Oracle Database hasta Solaris, Java o MySQL.

Los fallos se dan en varios componentes de los productos:
  • Oracle Database Server, versiones 11.2.0.4, 12.1.0.1 y 12.1.0.2
  • Oracle GoldenGate, versiones 11.2 y 12.1.2
  • Oracle BI Publisher, versiones 11.1.1.7.0, 11.1.1.9.0 y 12.2.1.0.0
  • Oracle Business Intelligence Enterprise Edition, versiones 11.1.1.7.0 y 11.1.1.9.0
  • Oracle Endeca Server, versiones 7.3.0.0, 7.4.0.0, 7.5.0.0 y 7.6.0.0
  • Oracle Fusion Middleware, versiones 10.1.3.5, 11.1.1.7, 11.1.1.8, 11.1.1.9, 11.1.2.2, 11.1.2.3, 12.1.2.0, 12.1.3.0 y 12.2.1
  • Oracle GlassFish Server, versión 3.1.2
  • Oracle Identity Federation, versiones 11.1.1.7 y 11.1.2.2
  • Oracle Outside In Technology, versiones 8.5.0, 8.5.1 y 8.5.2
  • Oracle Tuxedo, versión 12.1.1.0
  • Oracle Web Cache, versiones 11.1.1.7.0 y 11.1.1.9.0
  • Oracle WebCenter Sites, versiones 7.6.2 y 11.1.1.8.0
  • Oracle WebLogic Portal, versión 10.3.6
  • Oracle WebLogic Server, versiones 10.3.6, 12.1.2, 12.1.3 y 12.2.1
  • Enterprise Manager Base Platform, versiones 11.1.0.1, 11.2.0.4, 12.1.0.4 y 12.1.0.5
  • Enterprise Manager Ops Center, versiones prior to 12.1.4, 12.2.0, 12.2.1 y 12.3.0
  • Oracle Application Testing Suite, versiones 12.4.0.2 y 12.5.0.2
  • Application Mgmt Pack for E-Business Suite, versión 12.1, 12.2
  • Oracle E-Business Suite, versiones 11.5.10.2, 12.1, 12.1.1, 12.1.2, 12.1.3, 12.2, 12.2.3, 12.2.4 y 12.2.5
  • Oracle Agile Engineering Data Management, versiones 6.1.2.2, 6.1.3.0 y 6.2.0.0
  • Oracle Agile PLM, versiones 9.3.1.1, 9.3.1.2, 9.3.2 y 9.3.3
  • Oracle Configurator, versiones 11.5.10.2, 12.1 y 12.2
  • PeopleSoft Enterprise HCM Global Payroll Switzerland, versiones 9.1 y 9.2
  • PeopleSoft Enterprise PeopleTools, versiones 8.53, 8.54 y 8.55
  • PeopleSoft Enterprise SCM eProcurement, versiones 9.1 y 9.2
  • PeopleSoft Enterprise SCM Order Management, versiones 9.1 y 9.2
  • PeopleSoft Enterprise SCM Purchasing, versiones 9.1 y 9.2
  • JD Edwards EnterpriseOne Tools, versiones 9.1 y 9.2
  • Oracle iLearning, versiones 6.0 y 6.1
  • Oracle Fusion Applications, versiones 11.1.2 a 11.1.10
  • Oracle Communications Converged Application Server - Service Controller, versión 6.1
  • Oracle Communications EAGLE LNP Application Processor, versión 10.0
  • Oracle Communications Online Mediation Controller, versión 6.1
  • Oracle Communications Service Broker, versiones 6.0 y 6.1
  • Oracle Communications Service Broker Engineered System Edition, versión 6.0
  • MICROS CWDirect, versiones 12.5, 13.0, 14.0, 15.0, 16.0, 17.0 y 18.0
  • Oracle Retail Open Commerce Platform Cloud Service, versiones 3.5, 4.5, 4.7 y 5.0
  • Oracle Retail Order Broker Cloud Service, versiones 4.0 y 4.1.
  • Oracle Retail Order Management System Cloud Service, versiones 3.5, 4.5, 4.7, 5.0 y 15.0
  • Oracle Retail Point-of-Service, versiones 13.4, 14.0 y 14.1
  • Oracle Java SE, versiones 6u105, 7u91 y 8u66
  • Oracle Java SE Embedded, versión 8u65
  • Oracle JRockit, versión R28.3.8
  • Oracle Switch ES1-24, versiones anteriores a 1.3.1.13
  • Solaris, versiones 10 y 11
  • Solaris Cluster, versiones 3.3, 4 y 4.2
  • Sun Blade 6000 Ethernet Switched NEM 24P 10GE, versiones anteriores a 1.2.2.13
  • Sun Network 10GE Switch 72p, versiones anteriores a 1.2.2.15
  • Oracle Secure Global Desktop, versiones 4.63, 4.71 y 5.2
  • Oracle VM VirtualBox, versiones anteriores a 4.0.36, anteriores a 4.1.44, anteriores a 4.2.36, anteriores a 4.3.36 y anteriores a 5.0.14
  • MySQL Server, versiones 5.5.46 y anteriores, 5.6.27 y anteriores y 5.7.9


A continuación ofrecemos una relación de productos y el número de vulnerabilidades corregidas:

  • Siete nuevas vulnerabilidades corregidas en Oracle Database Server, ninguna explotable remotamente sin autenticación. Afectan a los componentes: Java VM, Workspace Manager, XDB - XML Database, Database Vault, Security, XDB - XML Database y XML Developer's Kit for C. Otras tres vulnerabilidades afectan a Oracle GoldenGate (todas ellas explotables remotamente sin autenticación).
         
  • Otras 27 vulnerabilidades afectan a Oracle Fusion Middleware. 17 de ellas podrían ser explotadas por un atacante remoto sin autenticar. Los componentes afectados son: Oracle WebCenter Sites, Oracle WebLogic Portal, Oracle WebLogic Server, Oracle GlassFish Server, Oracle Business Intelligence Enterprise Edition, Oracle Endeca Server, Oracle Tuxedo, Oracle BI Publisher, Web Cache, Oracle Identity Federation y Oracle Outside In Technology.     
  • Esta actualización contiene 33 nuevas actualizaciones de seguridad para Oracle Enterprise Manager Grid Control, 23 de ellas explotables remotamente sin autenticación.
         
  • Dentro de Oracle Applications, 78 parches son para Oracle E-Business Suite, cinco parches son para la suite de productos Oracle Supply Chain, 11 para productos Oracle PeopleSoft, 7 para Oracle JD Edwards Products y uno para Oracle iLearning.
          
  • De forma similar dentro de la gama de aplicaciones Oracle Industry, cinco para Oracle Industry Applications y nueve para Oracle Retail Applications.
          
  • En lo referente a Oracle Java SE se incluyen ocho nuevos parches de seguridad, siete de ellos referentes a vulnerabilidades que podrían ser explotadas por un atacante remoto sin autenticar.
         
  • Para la suite de productos Oracle Sun Systems se incluyen 23 nuevas actualizaciones, siete de ellas afectan a Solaris.
         
  • 22 nuevas vulnerabilidades afectan a MySQL Server (solo una de ellas podría ser explotada por un atacante remoto sin autenticar).
          
  • Esta actualización también contiene un parche para para Oracle Virtualization.


Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial en:
Oracle Critical Patch Update Advisory - January 2016

Más información:

Oracle Critical Patch Update Advisory - January 2016



Antonio Ropero
Twitter: @aropero

miércoles, 20 de enero de 2016

Apple publica actualizaciones para OS X El Capitan, Safari e iOS

Apple ha publicado actualizaciones de algunos sus productos más destacados: una nueva versión de OS X (OS X El Capitan 10.11.3) y Security Update 2016-001, Safari 9.0.3 e iOS 9.2.1. En total se solucionan 28 nuevas vulnerabilidades.

Dada la gran cantidad de novedades y productos actualizados, vamos a realizar un breve repaso de las actualizaciones publicadas y problemas solucionados.

Se ha publicado OS X El Capitan 10.11.3 y Security Update 2016-001 para OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 y OS X El Capitan v10.11 a v10.11.2; destinado a corregir nueve vulnerabilidades que podrían llegar a permitir la ejecución de código arbitrario. Afectan a los componentes AppleGraphicsPowerManagement, Disk Images, IOAcceleratorFamily, IOHIDFamily, IOKit, Kernel, libxslt, OSA Scripts y syslog. Con identificadores CVE-2016-1716 al CVE-2016-1722, CVE-2015-7995 y CVE-2016-1729.

Las actualizaciones también han llegado a Safari, el popular navegador web de Apple, que se actualiza a la versión 9.0.3 para OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 y OS X El Capitan v10.11.x. Se solucionan seis vulnerabilidades relacionadas con problemas en WebKit, el motor de navegador de código abierto que es la base de Safari. Y podrían ser aprovechadas por un atacante remoto para ejecutar código arbitrario al visitar una página web específicamente creada. Con identificadores CVE-2016-1723 al CVE-2016-1728.

Por último, iOS se actualiza a la versión 9.2.1 que incluye la corrección de diversos problemas no relacionados directamente con la seguridad (incluyendo un problema que impedía completar la instalación de aplicaciones al utilizar un servidor MDM) y soluciona 13 nuevas vulnerabilidades. Gran parte de los fallos podrían permitir la ejecución de código arbitrario. Se ven afectados los componentes LDisk Images, IOHIDFamily, OKit, Kernel, libxslt, syslog, WebKit, WebKit CSS y WebSheet. Con identificadores CVE-2016-1717, CVE-2016-1719 al CVE-2016-1728, CVE-2016-1730 y CVE-2015-7995.

Más información:

About the security content of OS X El Capitan 10.11.3 and Security Update 2016-001

About the security content of Safari 9.0.3

About the security content of iOS 9.2.1


                                                                                                  
Antonio Ropero
Twitter: @aropero

martes, 19 de enero de 2016

Corregidas dos vulnerabilidades en Moodle

Moodle ha publicado dos alertas de seguridad en las que se corrigen otras tantas vulnerabilidades, que podrían permitir realizar ataques de cross-site scripting o acceder a cursos ocultos para el usuario. Se ven afectadas las ramas 3.0, 2.9, 2.8 y 2.7.

Moodle es una popular plataforma educativa de código abierto que permite a los educadores crear y gestionar tanto usuarios como cursos de modalidad e-learning. Además proporciona herramientas para la comunicación entre formadores y alumnos.

El anuncio de seguridad MSA-16-0001, con gravedad menor y CVE-2016-0724, reside en que los servicios web "core_enrol_get_course_enrolment_methods" y "enrol_self_get_instance_info" no comprueban los permisos de usuario para acceder a cursos ocultos.

Por otra parte, el boletín MSA-16-0002 se refiere a una vulnerabilidad de cross-site scripting, considerada como seria y con CVE-2016-0725, en la cadena de búsqueda en la interfaz de administración de cursos.

Las versiones 3.0.2, 2.9.4, 2.8.10 y 2.7.12 solucionan ambas vulnerabilidades. Se encuentran disponibles para su descarga desde la página oficial de Moodle.

Más información:

Security Announcements


                                                                                                  
Antonio Ropero
Twitter: @aropero

lunes, 18 de enero de 2016

Vulnerabilidades descubiertas en Advantech WebAccess

Se han reportado varias vulnerabilidades en Advantech WebAccess que podrían permitir a un atacante remoto, subir, crear o borrar archivos arbitrarios en el sistema de la víctima; denegar acceso a usuarios válidos y potencialmente ejecutar código arbitrario de forma remota.

Advantech WebAccess es un paquete de software basado en html5 para interfaces HMI (human-machine interfaces) y SCADA. Todas las características comunes de estos dos sistemas son accesibles desde un navegador web estándar. Presenta características como soporte y sistema de ingeniería remota a través de la nube, interface modulable con widgets y APIs, además de soporte para PC, Macs, tablets y otros dispositivos inteligentes.

Resumen de los problemas resueltos, por CVE e importancia: 
  • CVE-2016-0851: Un atacante remoto podría valerse de un error de falta de comprobación, lo que podría causar un acceso (lectura o escritura) a memoria fuera de límites. Esto podría ser aprovechado por dicho atacante para provocar una denegación de servicio.
        
  • CVE-2016-0854: Existe un error de validación de restricciones que podría permitir a un atacante remoto subir y sobrescribir ficheros arbitrarios en el sistema.
        
  • CVE-2016-0855: Un atacante remoto podría realizar un ataque de directorio transversal, permitiendo que el directorio virtual pueda ser accesible anónimamente.
        
  • CVE-2016-0856: Un atacante remoto podría ejecutar código arbitrario debido a múltiples errores que podrían provocar desbordamientos de memoria basada en pila.
        
  • CVE-2016-0857: Múltiples errores que podrían provocar desbordamientos de memoria basada en heap, que permitirían a un atacante remoto ejecutar código arbitrario.
         
  • CVE-2016-0858: Existe un error de condición de carrera que podría causar un desbordamiento de memoria. Esto podría ser aprovechado por un atacante remoto para causar una denegación de servicio y potencialmente ejecutar código arbitrario a través de peticiones especialmente manipuladas.
         
  • CVE-2016-0859: Existe un error que podría causar un desbordamiento de enteros en el servicio Kernel. Un atacante remoto podría causar una denegación de servicio o potencialmente ejecutar código arbitrario a través de peticiones RPC especialmente manipuladas.
         
  • CVE-2016-0860: Un atacante remoto podría valerse de un error de desbordamiento de memoria en el subsistema 'BwpAlarm' para causar una denegación de servicio a través de peticiones RPC especialmente manipuladas.
         
  • El resto de problemas, con un impacto de seguridad inferior a las anteriores, se deben a varias vulnerabilidades que permiten ataques de tipo cross-site scripting, cross-site request forgery, inyección SQL, etc. Los CVEs son los siguientes: CVE-2016-0852, CVE-2016-0853, CVE-2015-3948, CVE-2015-3947, CVE-2015-3946, CVE-2015-6467, CVE-2015-3943.


Estas vulnerabilidades han sido reportadas por Ilya Karpov de Positive Technologies, Ivan Sanchez, Andrea Micalizzi, Ariele Caltabiano, Fritz Sands y Steven Seeley entre otros.

Estos problemas afectan a versiones anteriores a WebAccess 8.1. Se recomienda actualizar a dicha versión o superior.

Más información:

Advantech WebAccess Vulnerabilities Advisory (ICSA-16-014-01)

Advantech WebAccess




Juan Sánchez



domingo, 17 de enero de 2016

Denegación de servicio en DHCP de ISC

El Internet Systems Consortium (ISC) ha publicado actualizaciones para DHCP destinadas a evitar una denegación de servicio que afecta prácticamente a todos los clientes, relays y servidores DHCP. 

El protocolo DHCP (Dynamic Host Configuration Protocol) tiene como objetivo la asignación automática de direcciones IP y otros parámetros de la configuración de red en los sistemas clientes.

El problema, con CVE-2015-8605, reside en que un paquete IPv4 mal construido, con una longitud de campo UDP no válida, puede provocar condiciones de denegación de servicio en clientes, relays y servidores DHCP.

Las versiones afectadas serían las 4.0.x, 4.1.x, 4.2.x, 4.1-ESV a 4.1-ESV-R12 y 4.3.0 a 4.3.3.Las versiones 3.x también pueden verse afectadas.

El ISC recomienda actualizar a DHCP versión 4.1-ESV-R12-P1 o 4.3.3-P1 que puede ser descargada desde http://www.isc.org/downloads/

Más información:

CVE-2015-8605: UDP payload length not properly checked


                                                                                                  
Antonio Ropero
Twitter: @aropero

sábado, 16 de enero de 2016

Actualización para múltiples productos VMware

VMware ha publicado actualizaciones de seguridad para corregir una vulnerabilidad en VMware ESXi, Workstation, Player y Fusion, que podría permitir a un atacante elevar privilegios en el sistema invitado.

VMware es un software que permite ejecutar diferentes sistemas operativos en un mismo PC de forma virtual. Entre otras aplicaciones, VMware es muy utilizado en seguridad informática por la versatilidad que ofrece. Por ejemplo, se suele utilizar de forma habitual en la investigación del malware, ya que permite ejecutar y analizar los especímenes en entornos virtuales controlados.

El problema, con CVE-2015-6933, afecta a VMware ESXi 5.0, 5.1, 5.5 y 6.0; VMware Workstation 11.x.x; VMware Player 7.x.x y VMware Fusion 7.x.x. La vulnerabilidad puede permitir a un usuario local de un sistema invitado basado en Windows provocar un error de corrupción de memoria en la función de "carpetas compartidas" (HGFS) de VMware Tools. Esto podría facilitar a un atacante local elevar sus privilegios en el sistema invitado.

Se han publicado las siguientes actualizaciones para corregir el problema en todas las versiones afectadas:
ESXi600-201601102-SG para VMware ESXi 6.0
ESXi550-201512102-SG para VMware ESXi 5.5
ESXi510-201510102-SG para VMware ESXi 5.1
ESXi500-201510102-SG para VMware ESXi 5.0
VMware Workstation 11.1.2
VMware Player 7.1.2
VMware Fusion7.1.2

Más información:

VMSA-2016-0001
VMware ESXi, Fusion, Player, and Workstation updates address important guest privilege escalation vulnerability


                                                                                                  
Antonio Ropero
Twitter: @aropero



viernes, 15 de enero de 2016

Servidores OpenSSH maliciosos pueden robar las claves privadas

Se ha publicado una nueva versión de OpenSSH destinada a corregir dos vulnerabilidades que podrían permitir la obtención de información sensible, incluyendo las claves privadas de usuario. 

OpenSSH es una implementación libre de la familia de protocolos SSH, que ofrecen una alternativa segura a los servicios telnet, rlogin, rsh, rcp, ftp y similares. Todo el tráfico entre un servidor SSH y un cliente SSH se realiza de forma cifrada y se aplican fuertes mecanismos para garantizar la autenticación.

Los clientes OpenSSH con versiones entre  la 5.4 y la 7.1 incluyen el soporte experimental para reanudar conexiones SSH. Pero aunque el código correspondiente de servidor nunca ha llegado a publicarse, el código de cliente estaba activado por defecto. El problema reside en que un servidor malicioso puede engañar al cliente para provocar fugas de memoria hacia el servidor, que pueden llegar a incluir las claves privadas del cliente del usuario.

La autenticación de la clave de host del servidor impide la explotación a través de ataques man-in-the-middle, por lo que esta fuga de información se limita a las conexiones con servidores maliciosos o comprometidos.

Como contramedida el código vulnerable en el cliente puede desactivarse totalmente añadiendo la opción "UseRoaming no" en el archivo de configuración ssh_config.

También se ha anunciado una lectura fuera de límites en el tratamiento de paquetes.
Se han asignado los CVE-2016-0777 y CVE-2016-0778.

OpenSSH ha publicado la versión OpenSSH 7.1p2 que corrige estos problemas.

Por otra parte, esta mañana han empezado a circular "supuestos exploits" que decían aprovechar la vulnerabilidad. Sin embargo muchas veces hay que tener cuidado con los exploits que se encuentran publicados. En casos como este, cuando aparecen vulnerabilidades interesantes, aparecen exploits publicados que realmente no son tales. Tal y como muestra el siguiente análisis
En este caso el "exploit" para aprovechar esta vulnerabilidad solo consigue borrar el disco duro de los incautos que decidan utilizarlo.

Más información:

OpenSSH 7.1p2 has just been released.

How to radare2 a fake openssh exploit



Antonio Ropero
Twitter: @aropero