martes, 31 de mayo de 2016

Ejecución de código en VLC Media Player

Se ha confirmado una vulnerabilidad en el reproductor multimedia VLC Media Player (versiones 2.2.3 y anteriores), que podrían permitir a atacantes remotos lograr comprometer los sistemas que ejecuten este conocido programa.

VLC Media Player es un completo reproductor multimedia que soporta un gran número de formatos, como pueden ser: MP3, MPEG, DIVX, VCD o DVD entre otros, así como varios protocolos de streaming. Además está disponible para un amplio número de plataformas distintas como Windows, Mac OS X y para varias distribuciones de Linux. VLC también puede ser utilizado como servidor en unicast o multicast, en IPv4 o IPv6, para una red de banda ancha.

El problema (con CVE-2016-5108) se debe a una escritura fuera de límites en modules/codec/adpcm.c, en la función DecodeAdpcmImaQT; debido a que no se comprueba que el número de canales en el flujo de entrada es menor o igual el tamaño del búfer. Podría emplearse para lograr denegaciones de servicio o incluso ejecutar código arbitrario a través de archivos QuickTime IMA manipulados.

VLC ha confirmado el problema que quedará corregido en las versiones 2.2.4 y 3.0.0 de VLC.

Más información:

CVE request: VLC - crash and potential code execution when processing QuickTime IMA files

Changes between 2.2.3 and 2.2.4


Antonio Ropero
Twitter: @aropero


lunes, 30 de mayo de 2016

Vídeo de la última conferencia TASSI 2016 "De la mano: Transformación Digital y Seguridad TIC"

Se encuentra disponible en el canal YouTube de la Universidad Politécnica de Madrid la séptima y última conferencia del XII Ciclo UPM TASSI 2016, Temas Avanzados en Seguridad y Sociedad de la Información, de título "De la mano: Transformación Digital y Seguridad TIC", presentada el 7 de abril de 2016 por D. Luis Miguel Rosa (eNET) y D. Víctor Manuel Ruiz Gómez (Telefónica España) en el Campus Sur de la Universidad Politécnica de Madrid.

Se pueden descargar además las presentaciones en PDF usadas por los ponentes desde esta dirección. Todas las conferencias TASSI 2016 y de años anteriores se encuentran en la sección multimedia del servidor de Criptored.

Con la séptima y última conferencia del XII Ciclo TASSI 2016 ya publicada en YouTube y en la sección multimedia de Criptored, al igual que todas las conferencias TASSI grabadas en vídeo desde el año 2008, se cierra un ciclo iniciado hace 12 años en la Universidad Politécnica de Madrid y por el que han pasado casi una centena de los más destacados especialistas y técnicos de la seguridad informática de toda España, cuyos vídeos superan las 150.000 reproducciones en el canal YouTube de la UPM, más del 1,5% de todas las visualizaciones de dicho canal.

A estos ponentes se les agradece su colaboración al final de esa séptima conferencia y sus nombres se incluyen también al final de esta nota, a modo de reconocimiento. El proyecto de las conferencias TASSI, unido a Criptored, se encuentra buscando una institución que lo patrocine y sea el anfitrión para continuar con su andadura, por lo que cuando se produzca este hecho, se anunciará debidamente en esta red temática.

Han participado como ponentes invitados en estas doce ediciones los siguientes expertos: TASSI 2005: D. José Manuel Colodrás (Brigada Investigación Tecnológica, Cuerpo Nacional de Policía), D. Fernando Vega Viejo (Grupo SIA), D. Emilio Aced Félez (Agencia Española de Protección de Datos), Dña. Marina Touriño Troitiño (Marina Touriño Asociados), D. Manel Gómez Vaz (ISACA Madrid), D. Gonzalo Alvarez Marañón (Consejo Superior de Investigaciones Científicas CSIC), D. Emilio del Peso Navarro y Dña. Mar del Peso Ruiz (IEE Informáticos Europeos Expertos), D. Juan José Nombela Pérez (Proyectos Giesecke & Devrient), D. Antonio Villalón Huerta (Grupo S2), D. Roger Carhuatocto (IN2), D. José Luis Piñar Mañas (Agencia Española de Protección de Datos). TASSI 2006: D. Vicente Aceituno Canal (ISM3 Consortium), D. Raúl Siles Peláez (Hewlett-Packard España), D. Fernando Piera Gómez (Asociación de Técnicos en Informática ATI), D. Miguel Andrés Santisteban García (Telefónica Móviles España), D. Eduardo Tabacman (Virusprot), D. José Manuel Ballester Fernández (Revista Red Sseguridad), D. Juan Salom Clotet (Guardia Civil), D. Alfonso Calvo Orra (Telefónica), D. Alvaro Canales Gil (Agencia Española de Protección de Datos). TASSI 2007: D. Fernando Bahamonde (ISSA España), D. Miguel García Menéndez (Atos Consulting ), D. Manuel Palao (Personas & Técnicas), D. José María Alonso Cebrián (Informática64), D. Juan Miguel Velasco López-Urda (Telefónica Soluciones), D. José Manuel Maza (Magistrado Tribunal Supremo), D. Enrique Martínez Marín (Instituto Nacional de Tecnologías de la Comunicación INTECO), Dña. Laura Prats Abadía (Applus+). TASSI 2008: Dña. Celia Fernández (Universidad Politécnica de Madrid), D. Sergio González y D. Félix Ortega (WiFiSlax), D. Fernando Acero (Estado Mayor del Aire División de Logística), D. Sergio de los Santos (Hispasec Sistemas), D. Julián Inza (Albalia Interactiva), Dña. Eva Muñoz (Applus+). TASSI 2009: D. Juan Crespo (Cuerpo Nacional de Policía), D. Alejandro Corletti (NCS Network Centric Software), D. Samuel Parra (Blog Protección de Datos Personales), D. Víctor Domingo (Asociación de Internautas), Dña. Chelo Malagón (RedIRIS), Dña. Rosa García Ontoso (Agencia de Informática de la Comunidad de Madrid). TASSI 2010: D. José Antonio Mañas (Universidad Politécnica de Madrid), Dña. Pino Caballero Gil (Universidad de La Laguna), D. Víctor M. Izquierdo Loyola (Instituto Nacional de Tecnologías de la Comunicación INTECO), D. Manuel Vázquez López (Brigada de Investigación Tecnológica del Cuerpo Nacional de Policía), D. Carlos Sánchez Almeida (Bufet Almeida, Abogados Asociados), Dña. Bárbara Navarro (Google España), D. José Lucio González Jiménez (Cluster TIC Seguridad y Confianza Madrid Network). TASSI 2011: D. Javier Candau (Centro Criptológico Nacional CCN), D. José María Alonso Cebrián (Informática64), D. Jorge Dávila Muro (Universidad Politécnica de Madrid), D. Miguel Ángel Amutio (Ministerio de Politíca Territorial y Administración Pública), D. David Barroso (S21sec e-crime), D. José Parada Gimeno (Microsoft España), D. José de la Peña Muñoz (Revista SIC Seguridad en Informática y Comunicaciones). TASSI 2012: D. Emiliano Martínez Contreras (Hispasec Sistemas), D. Miguel Ángel Valero (Universidad Politécnica de Madrid), D. Daniel Calzada (Universidad Politécnica de Madrid), D. Benjamín Ramos (Universidad Carlos III de Madrid), Dña. Carmen Sánchez (Universidad Politécnica de Madrid), Dña. Verónica Fernández Mármol (Consejo Superior de Investigaciones Científicas CSIC), D. Antoni Bosch (Institute of Audit & IT-Governance IAITG). TASSI 2013: D. Alfonso Mur (Deloitte), D. Juan Carlos Batanero (INDRA), D. Oscar de la Cruz (Grupo de Delitos Telemáticos de la Guardia Civil), D. Antonio Ramos (ISACA Madrid), D. Alejandro Ramos (Security by Default), D. Javier Pagès (Informática Forense S.L.), D. Román Ramírez (Ferrovial). TASSI 2014: D. Antonio Guzmán (Eleven Paths), D. Justo Carracedo (Universidad Politécnica de Madrid), D. Jonás Andradas (GMV), D. Raúl Siles (DinoSec), D. Pablo González (Eleven Paths), D. Juan Salom (Guardia Civil), D. Alfonso Muñoz (ElevenPaths). TASSI 2015: D. Román Ceano (Vector3), D. Lorenzo Martínez (Securízame), D. Antonio Ropero (Hispasec), D. Marc Rivero (CyberSOC Deloitte), D. Dani Creus (Kaspersky Lab), D. José María Marín y Fernando Barbero (FiberNet), D. Sergio de los Santos (ElevenPaths), D. José Picó y D. David Pérez (Layakk). TASSI 2016: D. Juan Antonio Calles (KPMG Asesores S.L.), D. Rafael Sánchez (Eleven Paths), D. David Meléndez (Albalá Ingenieros S.A.), D. Pedro Sánchez (Deloitte), D. Juan Garrido (Innotec Systems), D. Carlos García (Autónomo), D. Luis Miguel Rosa (eNET), D. Víctor Manuel Ruiz (Telefónica España). A todos ellos nuestros sinceros agradecimientos.



Dr. Jorge Ramió; Dr. Alfonso Muñoz
Conferencias TASSI




domingo, 29 de mayo de 2016

Sexta lección del MOOC Crypt4you "Introducción a la seguridad informática y criptografía clásica"

Se ha publicado la sexta lección del MOOC "Introducción a la seguridad informática y criptografía clásica", de título "Sistemas de cifra clásica" y correspondiente al Tema IV: Algoritmos de Cifra Clásica.

En esta sexta lección del MOOC encontrarás una introducción a los sistemas de cifra clásica, comenzando por su clasificación según la cifra se realice por transposición o por sustitución de caracteres, o bien si se trata de cifrados monográmicos, es decir cifra letra a letra, o bien por poligramas o formando bloques de letras, y por último si la cifra se realiza de manera monoalfabética, esto es usando un único alfabeto de cifrado, o bien de manera polialfabética en donde se utilizan dos o más alfabetos de cifrado. La lección tiene como elementos multimedia las píldoras formativas Thot número 10 ¿Cómo se clasifican los sistemas de cifra clásica?, número 13 ¿Qué es la cifra por sustitución monoalfabética? y número 14 ¿Qué es la cifra por sustitución polialfabética?

Así mismo, se han publicado en las redes sociales de twitter y facebook del MOOC Crypt4you las soluciones al test de la lección anterior número 5, y en el caso de facebook las respuestas están además comentadas.


Las siguientes lecciones del MOOC a publicarse en las próximas semanas y meses son:
Lección 7: Algoritmos de cifra por transposición o permutación
Lección 8: Algoritmos de cifra clásica por sustitución monoalfabética
Lección 9: Algoritmos de cifra clásica por sustitución polialfabética
Lección 10: Algoritmos de cifra clásica poligrámicos con matrices
Terminado el MOOC, se publicará un examen de tipo teórico y práctico que no se evaluará ni dará derecho, de momento, a ninguna certificación.

Más información:

Introducción a la seguridad informática y criptografía clásica
Tema III: Fundamentos básicos de matemáticas discretas
Lección 5: Fundamentos de matemáticas discretas para la criptografía

Crypt4you

Estadísticas acumuladas de las lecciones del MOOC Crypt4you

una-al-dia (24/02/2016) Nuevo MOOC en Crypt4you sobre "seguridad informática y criptografía clásica"

una-al-dia (01/03/2016) Publicada la segunda lección del MOOC Crypt4you "Introducción a la seguridad informática y criptografía clásica"

una-al-dia (15/03/2016) Tercera lección del MOOC Crypt4you "Introducción a la seguridad informática y criptografía clásica"

una-al-dia (03/04/2016) Cuarta lección del MOOC Crypt4you "Introducción a la seguridad informática y criptografía clásica"

una-al-dia (17/04/2016) Quinta lección del MOOC Crypt4you "Introducción a la seguridad informática y criptografía clásica"



Dr. Jorge Ramió; Dr. Alfonso Muñoz
Directores del MOOC Crypt4you



sábado, 28 de mayo de 2016

Cross-site scripting en VMware vCenter Server

VMware ha publicado una actualización de seguridad para corregir una vulnerabilidad en vCenter Server que podrían permitir a un atacante construir ataques de cross-site scripting.

VMware es un software que permite ejecutar diferentes sistemas operativos en un mismo PC de forma virtual. Entre otras aplicaciones, VMware es muy utilizado en seguridad informática por la versatilidad que ofrece. Por ejemplo, se suele utilizar de forma habitual en la investigación del malware, ya que permite ejecutar y analizar los especímenes en entornos virtuales controlados.

Apenas una semana después de haber publicado actualizaciones para un gran número de productos por dos vulnerabilidades, VMware publica un nuevo aviso de seguridad para solucionar una vulnerabilidad considerada como importante por la propia firma.

El problema, con CVE-2016-2078, reside en el cliente web vSphere por un filtrado inadecuado de los datos introducidos por el usuario en el parámetro flash que podría permitir la construcción de ataques de cross-site scripting.

Afecta a versiones vCenter Server 6.0, 5.5 y 5.1 para Windows.
VMware ha publicado las siguientes actualizaciones:
vCenter Server 6.0 update 2
vCenter Server 5.5 update 3d
vCenter Server 5.1 update 3d
Disponibles desde vCenter Server:

Más información:

VMSA-2016-0006
VMware vCenter Server updates address an important cross-site scripting issue

una-al-dia (21/05/2016) Actualización para múltiples productos VMware



Antonio Ropero

Twitter: @aropero

viernes, 27 de mayo de 2016

Nuevas versiones de PHP corrigen diversas vulnerabilidades

El equipo de desarrollo de PHP ha publicado actualizaciones para las ramas 7.0, 5.6 y 5.5 de PHP para solucionar múltiples vulnerabilidades que pueden ser aprovechadas para provocar denegaciones de servicio e incluso comprometer los sistemas afectados. 

Las vulnerabilidades corregidas consisten en lecturas fuera de límites en imagescale (con CVE-2013-7456) y en get_icu_value_internal (con CVE-2016-5093) que afectan a todas las versiones soportadas (5.5.x, 5.6.x y 7.0.x). Por otra parte un subdesbordamiento de entero en fread/gzread (con CVE-2016-5096) y un desbordamiento de entero en php_html_entities (con CVE-2016-5094) que afecta a versiones 5.5.x y 5.6.x. Por último, el uso de un puntero sin inicializar en phar_make_dirstream() (con CVE-2016-4343), que solo afecta a las versiones 5.5.x.

Además, las nuevas versiones publicadas también incluyen la corrección de otros problemas no relacionados directamente con la seguridad.

Se recomienda actualizar a las nuevas versiones 7.0.7, 5.6.22 y 5.5.36 desde http://www.php.net/downloads.php

Más información:

PHP 7 ChangeLog

Version 5.5.31

Version 5.6.17



Antonio Ropero

Twitter: @aropero

jueves, 26 de mayo de 2016

Google publica Chrome 51 y corrige 42 vulnerabilidades

Google anuncia una nueva versión de su navegador Google Chrome 51. Se publica la versión 51.0.2704.63 para las plataformas Windows, Mac y Linux, que junto con nuevas funcionalidades y mejoras, además viene a corregir 42 nuevas vulnerabilidades.

Como es habitual, Google solo proporciona información sobre los problemas solucionados reportados por investigadores externos o las consideradas de particular interés. En esta ocasión, aunque se han solucionado 42 nuevas vulnerabilidades, solo se facilita información de 23 de ellas (nueve de gravedad alta, 10 de importancia media y cuatro baja).

Se corrigen vulnerabilidades por salto de la política de mismo origen en extensiones, en bindings de extensiones, en ServiceWorker y en Blink; una confusión de tipos en V8; desbordamientos de búfer en V8, en bindings V8, en Skia, en media y en PDFium; salto CSP en ServiceWorker; acceso fuera de límites y desbordamiento de entero en libxslt; lecturas fuera de límites en PDFium y en V8; fuga de información en extensiones y uso después de liberar en Autofill. Se han asignado los CVE-2016-1672 al CVE-2016-1694.

También del trabajo de seguridad interno, varias correcciones procedentes de auditoría interna, pruebas automáticas y otras iniciativas (CVE-2016-1695). Según la política de la compañía las vulnerabilidades anunciadas han supuesto un total de 65.500 dólares en recompensas a los descubridores de los problemas.

Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados o a través de "Información sobre Google Chrome" (chrome://chrome/). O descargar directamente desde: google.com/chrome.

Más información:

Stable Channel Update


Antonio Ropero
Twitter: @aropero



miércoles, 25 de mayo de 2016

Cross-Site Scripting en Cisco Unified Computing System Central

Cisco ha confirmado una vulnerabilidad en el software Cisco Unified Computing System (UCS) Central que podría permitir a un atacante construir ataques de cross-site scripting (XSS). 
 
La solución Unified Communications de Cisco es un conjunto de productos y aplicaciones de comunicaciones que reúne e integra voz, vídeo y datos. Cisco Unified Computing System es una nueva plataforma de data center que unifica cómputo, redes, acceso a almacenamiento y virtualización en un sistema unificado.

El problema, con CVE-2016-1401, reside en una validación insuficiente de los datos de entrada en la interfaz de administración basada en web del software Cisco Unified Computing System (UCS) Central. Esto podría permitir a atacantes remotos sin autenticar construir ataques de cross-site scripting (XSS) contra los usuarios de la interfaz web de los sistemas afectados. Como es habitual estos ataques permiten acceder a las cookies (incluyendo las de autenticación) y a información recientemente enviada, además de poder realizar acciones en el sitio haciéndose pasar por la víctima.

Se ve afectada la versión Cisco UCS Central Software Release 1.4(1a). Cisco ha publicado actualizaciones para solucionar esta vulnerabilidad.

Más información:

Cisco Unified Computing System Central Cross-Site Scripting Vulnerability


Antonio Ropero
Twitter: @aropero

martes, 24 de mayo de 2016

Acceso a archivos arbitrarios a través de Trend Micro OfficeScan

Se ha anunciado una vulnerabilidad en Trend Micro OfficeScan 11.0 SP1 que podría permitir a un atacante remoto visualizar cualquier archivo del sistema afectado.

Trend Micro OfficeScan ofrece protección frente a amenazas en servidores de archivos, PCs, portátiles y escritorios virtualizados mediante la combinación de tecnologías de seguridad in situ y en la nube. OfficeScan consta de un agente que reside en el equipo del usuario y de un servidor que gestiona todos los agentes.

El problema reside en una escalada de directorios a través de la manipulación de ciertas variables que podría permitir a un atacante obtener acceso a archivos y carpetas fuera de la carpeta raíz del núcleo del sitio web del servidor OfficeScan. 

Trend Micro ha publicado el parche 11.0 SP1 Hot Fix 4889 disponible desde:

Según el aviso de Trend Micro, la compañía confirma que por la naturaleza del ataque es necesario haber comprometido previamente la protección del agente de seguridad del servidor.

Más información:

Trend Micro OfficeScan Path Traversal Vulnerability


Antonio Ropero
Twitter: @aropero

lunes, 23 de mayo de 2016

Actualización de seguridad para Adobe Connect

Adobe ha publicado una nueva versión de Adobe Connect destinada a solucionar una vulnerabilidad en el instalador de Adobe Connect add-In.

Adobe Connect es una solución de conferencias web para reuniones, aprendizaje electrónico y seminarios Web. Hace posible el uso de soluciones de conferencias en múltiples dispositivos a través de tecnología web.

Adobe ha publicado el boletín APSB16-17 en el que anuncia la nueva versión Connect 9.5.3 que soluciona una vulnerabilidad (con CVE-2016-4118) de ruta de búsqueda no confiable en el instalador de Connect add-in. Un atacante remoto podría aprovechar este problema para tomar el control de los sistemas afectados.

La nueva versión Adobe Connect 9.5.3 también incluye correcciones de múltiples errores no relacionados directamente con problemas de seguridad.

Más información:

Adobe Connect 9.5.3 Release Notes

Security update available for Adobe Connect



Antonio Ropero
Twitter: @aropero

domingo, 22 de mayo de 2016

Salto de verificación de certificados en cURL

Se ha publicado un boletín de seguridad del proyecto cURL para alertar de una vulnerabilidad en la librería libcurl, que podría permitir a un atacante remoto evitar la validación de certificados.

cURL es una librería y herramienta para descargar ficheros mediante la sintaxis URL a través de diferentes protocolos: DICT, FILE, FTP, FTPS, Gopher, HTTP, HTTPS, IMAP, IMAPS, LDAP, LDAPS, POP3, POP3S, RTMP, RTSP, SCP, SFTP, SMTP, SMTPS, Telnet y TFTP, y utilizada por millones de usuarios en diversos sistemas operativos, utilidades y aplicaciones webs.

La vulnerabilidad, con CVE-2016-3739, reside en sistemas con soporte para mbedTLS o PolarSSL debido a un uso incorrecto de la función *sslsethostname(); que provoca que libcurl no compruebe el certificado de servidor de conexiones TLS cuando se especifica el host mediante una dirección IP, o cuando expresamente se indica usar SSLv3.

Un atacante remoto podría usar una conexión especificada mediante una dirección IP para crear una conexión con un servidor falsificado o construir un ataque de hombre en el medio.

La vulnerabilidad afecta desde la versión 7.21.0 hasta la 7.48.0 inclusive, tanto en la librería como en la utilidad. Se deben tener en cuenta las aplicaciones de terceros que incluyen en su implementación la librería de forma interna.

Se ha publicado la versión 7.49.0 que soluciona totalmente la vulnerabilidad.

Más información:

TLS certificate check bypass with mbedTLS/PolarSSL


Antonio Ropero
Twitter: @aropero

sábado, 21 de mayo de 2016

Actualización para múltiples productos VMware

VMware ha publicado actualizaciones de seguridad para corregir dos vulnerabilidades en vCenter Server, vCloud Director, vSphere Replication, vRealize Operations Manager, VMware Workstation y VMware Player, que podrían permitir a un atacante elevar sus privilegios o ejecutar comandos.

VMware es un software que permite ejecutar diferentes sistemas operativos en un mismo PC de forma virtual. Entre otras aplicaciones, VMware es muy utilizado en seguridad informática por la versatilidad que ofrece. Por ejemplo, se suele utilizar de forma habitual en la investigación del malware, ya que permite ejecutar y analizar los especímenes en entornos virtuales controlados.

El primer problema, con CVE-2016-3427, reside en el servidor RMI de Oracle JRE JMX que deserializa cualquier clase cuando deserializa credenciales de autenticación. Esto podría permitir a un atacante remoto, sin autenticar, provocar fallos de deserialización y ejecutar comandos arbitrarios.

Afecta a vCenter Server 6.0 para Windows y Linux; vCenter Server 5.x para Windows y Linux; vCloud Director 8.0.x, 5.6.x y 5.5.x para Linux; vSphere Replication 6.1.x, 6.0.x, 5.8.x y 5.6.x para Linux y vRealize Operations Manager (versión non-appliance)

Por otra parte, con CVE-2016-2077, VMware Workstation (anteriores a 11.1.3) y Player (anteriores a 7.1.3) para Windows no referencian adecuadamente uno de sus ejecutables. Esto podría permitir a un atacante elevar sus privilegios en el sistema anfitrión.

VMware ha publicado las siguientes actualizaciones:
vCenter Server 6.0 para Windows: Actualizar a versión 6.0.0b y KB 2145343
vCenter Server 6.0 para Linux: Actualizar a versión 6.0.0b
vCenter Server 5.5 para Windows: Actualizar a versión 5.5 U3d
vCenter Server 5.5 para Linux: Actualizar a versión 5.5 U3
vCenter Server 5.1 para Windows: Actualizar a versión 5.1 U3b y KB 2144428
vCenter Server 5.1 para Linux: Actualizar a versión 5.1 U3b
vCenter Server 5.0 para Windows: Actualizar a versión 5.0 U3e y KB 2144428
vCenter Server 5.0 para Linux: Actualizar a versión 5.0 U3e
vCloud Director 8.0.x para Linux: Actualizar a versión 8.0.1.1
vCloud Director 5.6.x para Linux: Actualizar a versión 5.6.5.1
vCloud Director 5.5.x para Linux: Actualizar a versión 5.5.6.1
vSphere Replication 6.1.x para Linux pendiente de publicación de parche
vSphere Replication 6.0.x para Linux: Actualizar a versión 6.0.0.3
vSphere Replication 5.8.x para Linux: Actualizar a versión 5.8.1.2
vSphere Replication 5.6.x para Linux: Actualizar a versión 5.6.0.6
vRealize Operations Manager (versión non-appliance):
Bloquear el acceso a los siguietnes puertos externos:
vROps 6.2.x: puertos 9004, 9005, 9006, 9007, 9008
vROps 6.1.x: puertos 9004, 9005, 9007, 9008
vROps 6.0.x: puertos 9004, 9005
Estos puertos están bloqueados por defecto en la versión de vROps para dispositivos

VMware Workstation 11.x.x para Windows: Actualizar a 11.1.3
VMware Player 7.x.x para Windows: Actualizar a 7.1.3

Disponibles desde:
vCenter Server
vCloud Director
vSphere Replication
VMware Workstation
VMware Player

Más información:

VMSA-2016-0005
VMware product updates address critical and important security issues



Antonio Ropero
Twitter: @aropero


viernes, 20 de mayo de 2016

Denegaciones de servicio en Cisco Web Security Appliance

Cisco ha anunciado la existencia de cuatro vulnerabilidades en los dispositivos Cisco Web Security Appliance (WSA) que podrían permitir a un atacante provocar condiciones de denegación de servicio.

Los dispositivos de seguridad Cisco Web Security Appliance (WSA) combinan defensa contra amenazas avanzadas, protección frente a malware avanzado, control y visibilidad de aplicaciones, informes detallados y movilidad segura en una única solución; además también permiten proteger y controlar el tráfico web. Estos dispositivos ejecutan el sistema operativo Cisco AsyncOS.

El primer problema, con CVE-2016-1380, reside en el tratamiento de peticiones HTTP POST con Cisco AsyncOS para Cisco Web Security Appliance (WSA) debido a que el proceso proxy deje de responder. Por otra parte, con CVE-2016-1381, un fallo en la liberación de memoria en las peticiones de un rango de archivos en caché de Cisco AsyncOS paraWSA podría llevar al dispositivo a quedarse sin memoria del sistema.

Con CVE-2016-1382, una vulnerabilidad en el tratamiento de peticiones HTTP debido a una asignación inadecuada del espacio para la cabecera HTTP y cualquier contenido HTTP esperado. Por último, con CVE-2016-1383, una vulnerabilidad en Cisco AsyncOS para Cisco Web Security Appliance (WSA) cuando trata un código de respuesta http específico podría dejar al dispositivo sin memoria del sistema.

Cisco ha publicado la versión 9.0.1-162 destinada a solucionar los problemas descritos. En la mayoría de los casos un WSA puede actualizarse desde Internet mediante la opción "System Upgrade" en la interfaz de administración del sistema. (System Administration/ System Upgrade/Upgrade Options/Download and Install).

Más información:

Cisco Web Security Appliance HTTP POST Denial of Service Vulnerability

Cisco Web Security Appliance Cached Range Request Denial of Service Vulnerability

Cisco Web Security Appliance HTTP Length Denial of Service Vulnerability

Cisco Web Security Appliance Connection Denial of Service Vulnerability

Cisco Web Security Appliance



Antonio Ropero
Twitter: @aropero

jueves, 19 de mayo de 2016

Múltiples vulnerabilidades en Moodle

Moodle ha publicado cinco alertas de seguridad en las que se corrigen otras tantas vulnerabilidades con diversos efectos, desde cross-site request forgery hasta obtención de información sensible. Se ven afectadas todas las ramas soportadas 2.7, 2.8, 2.9, 3.0, y anteriores versiones ya fuera de soporte.

Moodle es una popular plataforma educativa de código abierto que permite a los educadores crear y gestionar tanto usuarios como cursos de modalidad e-learning. Además proporciona herramientas para la comunicación entre formadores y alumnos.

Se han publicado cinco boletines de seguridad (del MSA-16-0013 y MSA-16-0015 al MSA-14-0018), y tienen asignados los identificadores CVE-2016-3729 y CVE-2016-3731 al CVE-2016-3734. Todos considerados como de gravedad menor. Las vulnerabilidades podrían permitir realizar ataques de Cross-Site Request Forgery (CSRF), que un usuario pueda ver las insignias (badges) de otros usuarios sin permisos para ello, obtener nombres y sub-nombres de foros ocultos y la posibilidad de que los usuarios puedan cambiar campos de perfil bloqueados por el administrador.

Las versiones 3.0.4, 2.9.6, 2.8.12 y 2.7.14 solucionan todas las vulnerabilidades. Se encuentran disponibles para su descarga desde la página oficial de Moodle.

Más información:

Security Announcements


Antonio Ropero
Twitter: @aropero



miércoles, 18 de mayo de 2016

Vulnerabilidad en el motor antivirus de productos Symantec

Symantec ha confirmado una grave vulnerabilidad en el motor antivirus (Anti-Virus Engine, AVE) que podría permitir a un atacante ejecutar código arbitrario en la mayoría de productos Norton y Symantec.

La vulnerabilidad, con CVE-2016-2208, reside en un desbordamiento de búfer en el núcleo del motor antivirus empleado por la mayoría de productos Symantec y Norton, debido al tratamiento de cabeceras PE (Portable Executable) específicamente construidas. El problema afecta a todos los sistemas: Windows, Linux, Mac y otras plataformas UNIX.

El problema fue descubierto y anunciado por el ya conocido Tavis Ormandy de Project Zero de Google, en cuyo informe confirma la posibilidad de ejecutar código arbitrario de forma remota a pesar de que en el aviso de seguridad de Symantec solo informa de una vulnerabilidad de denegación de servicio.

Como la vulnerabilidad reside en el núcleo del motor de análisis, la mayoría de productos Symantec son vulnerables, esto incluye:

  • Symantec Endpoint Antivirus (Todas las plataformas)
  • Norton Antivirus (Todas las plataformas)
  • Symantec Scan Engine (Todas las plataformas)
  • Symantec Email Security (Todas las plataformas)
  • etc.

Symantec ha corregido esta vulnerabilidad en la última actualización de su motor, versión 20151.1.1.4 distribuida a través de LiveUpdate. Se recomienda confirmar que se han recibido todas las actualizaciones de LiveUpdate de forma manual.

Más información:

Security Advisories Relating to Symantec Products - Symantec Antivirus Engine Malformed PE Header Parser Memory Access Violation

Symantec/Norton Antivirus ASPack Remote Heap/Pool memory corruption Vulnerability CVE-2016-2208


Antonio Ropero
Twitter: @aropero

martes, 17 de mayo de 2016

Apple publica actualizaciones para múltiples productos: OS X El Capitan, Safari, iOS, watchOS, iTunes y tvOS

Apple ha publicado actualizaciones para sus productos más destacados: una nueva versión de OS X (OS X El Capitan 10.11.5) y Security Update 2016-003, iOS 9.3.2, Safari 9.1.1, iOS 9.3.2, tvOS 9.2.1, iTunes 12.4 y watchOS 2.2.1. En total se solucionan 77 nuevas vulnerabilidades (aunque muchas de ellas se presentan en múltiples sistemas).

Dada la gran cantidad de novedades y productos actualizados, vamos a realizar un breve repaso de las actualizaciones publicadas y problemas solucionados.

Se ha publicado OS X El Capitan v10.11.5 y Security Update 2016-003 para OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 y OS X El Capitan v10.11 y posteriores; destinado a corregir 67 vulnerabilidades, la mayoría de ellas podrían llegar a permitir la ejecución de código arbitrario. Afectan a componentes importantes como AppleGraphicsControl, Audio, CoreCapture, CoreStorage, Disk Utility, Graphics Drivers, ImageIO, IOAudioFamily, Kernel, libc, libxml2, libxslt, Messages, OpenGL o QuickTime.

Las actualizaciones también han llegado a Safari, el popular navegador web de Apple, que se actualiza a la versión 9.1.1 para OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 y OS X El Capitan v10.11.5. Se solucionan 7 vulnerabilidades relacionadas principalmente con problemas en WebKit (el motor de navegador de código abierto que es la base de Safari). Con identificadores CVE-2016-1849 y CVE-2016-1854 al CVE-2016-1859.

Por otra parte, iOS se actualiza a la versión 9.3.2 que incluye mejoras no relacionadas directamente con la seguridad y soluciona 39 nuevas vulnerabilidades. Gran parte de los fallos podrían permitir la ejecución de código arbitrario. Se ven afectados los componentes Accessibility, CFNetwork Proxies, CommonCrypto, CoreCapture, Disk Images, ImageIO, IOAcceleratorFamily, IOHIDFamily, Kernel, libc, libxml2, libxslt, MapKit, OpenGL, Safari, Siri, WebKit y WebKit Canvas.

De forma similar, Apple publica WatchOS 2.2.1, destinada a su reloj inteligente (smartwatch) conocido como Apple Watch, con la que se solucionan hasta 26 vulnerabilidades, la mayoría de ellas podrían permitir la ejecución remota de código arbitrario.

Apple también ha publicado iTunes 12.4 para Windows 7 (y posteriores) que corrige una vulnerabilidad (con CVE-2016-1742) que podría permitir la ejecución de código arbitrario a través del instalador.

Por último, también ha publicado tvOS 9.2.1, el sistema operativo para Apple TV (de cuarta generación), que soluciona un total de 33 vulnerabilidades, la mayoría de ellas podrían permitir la ejecución de código arbitrario.

Más información:

About the security content of OS X El Capitan v10.11.5 and Security Update 2016-003

About the security content of Safari 9.1.1

About the security content of iOS 9.3.2

About the security content of watchOS 2.2.1

About the security content of iTunes 12.4

About the security content of tvOS 9.2.1


                                                                                                  
Antonio Ropero
Twitter: @aropero


lunes, 16 de mayo de 2016

Desbordamiento de búfer en IBM SPSS Statistics

IBM ha confirmado una vulnerabilidad en un control Active X de IBM SPSS Statistics que podría permitir la ejecución de código arbitrario.

IBM SPSS Statistics es un paquete que pertenece a la familia SPSS, un conjunto de productos de software estadístico y de análisis muy usado en las ciencias sociales y en investigación de mercado. Se centra en el completo proceso analítico, desde la planificación a la colección de datos y al análisis, "reporting" y despliegue.

La vulnerabilidad, con CVE-2015-8530, reside en que un Control ActiveX de IBM SPSS Statistics es vulnerable a un desbordamiento de buffer basado en stack. Un atacante debe convencer a la víctima para que visite una página web específicamente creada que pase un argumento muy largo a la función Initialize, lo que podría permitir ejecutar código arbitrario en el sistema. 

Se ven afectadas las versiones IBM SPSS Statistics 20 a 24. IBM ha publicado las siguientes actualizaciones:
IBM SPSS Statistics 20.0.0.2:  20.0.0.2-IF0008
IBM SPSS Statistics 21.0.0.2:  21.0.0.2-IF0010
IBM SPSS Statistics 22.0.0.2:  22.0.0.2-IF0011
IBM SPSS Statistics 23.0.0.3:  23.0.0.3-IF0001
IBM SPSS Statistics 24.0.0.0:  24.0.0.0-IF0003

Para IBM SPSS Statistics 19, IBM recomienda actualizar a una versión soportada y actualizada del producto.

Más información:

Security Bulletin: IBM SPSS Statistics ActiveX Control Buffer Overflow (CVE-2015-8530)



Antonio Ropero
Twitter: @aropero




domingo, 15 de mayo de 2016

Graves vulnerabilidades en 7-zip

Se han anunciado dos vulnerabilidades graves en el compresor y descompresor de archivos 7-zip que podrían permitir a un atacante remoto ejecutar código arbitrario en los sistemas afectados.

7-zip es una popular aplicación libre de código abierto para comprimir y descomprimir archivos desarrollada por Igor Pavlov. Además de usar el formato de archivo 7z, también libre, también soporta los formatos de archivos comprimidos más conocidos (como zip, arj, tar, rar…)

El primer problema, con CVE-2016-2335, reside en una lectura fuera de límites en la forma en que 7-zip trata archivos UDF (Universal Disk Format). Este sistema de archivos estaba destinado a reemplazar el formato de archivo ISO-9660, y finalmente fue adoptado como el sistema oficial de archivos para DVD-Vídeo y DVD-Audio. Concretamente el problema se encuentra en el método CInArchive::ReadFileItem.

Por otra parte, con CVE-2016-2334, un desbordamiento de búfer basado en heap en el método NArchive::NHfs::CHandler::ExtractZlibFile de 7-Zip en el tratamiento de imágenes del sistema de archivos HFS+.

Ambos problemas, descubiertos y reportados de forma responsable por el grupo de investigación de amenazas online Talos de Cisco, podrían permitir la ejecución remota de código arbitrario si el usuario abre un archivo específicamente creado.

Se ha publicado la versión 16.00 de 7-zip que corrige estos problemas, disponible desde:

Como problema adicional, también hay que destacar el gran número de fabricantes y desarrolladores que pueden estar utilizando las bibliotecas afectadas. Como 7-zip es de código abierto, compatible con todas las plataformas, y una de las utilidades de almacenamiento más populares actualmente, son muchos los desarrolladores que hacen uso de sus librerías para el tratamiento de archivos. Por lo que también pueden ser muchas las aplicaciones afectadas por estos problemas.

Más información:

7-zip

7-Zip 16.00 was released.

Multiple 7-Zip Vulnerabilities Discovered by Talos

7zip HFS+ NArchive::NHfs::CHandler::ExtractZlibFile Code Execution Vulnerability

7zip UDF CInArchive::ReadFileItem Code Execution Vulnerability


Antonio Ropero
Twitter: @aropero


sábado, 14 de mayo de 2016

Actualización de seguridad para Google Chrome

Google ha publicado una actualización de seguridad para su navegador Google Chrome (versión 50.0.2661.102) para todas las plataformas (Windows, Mac y Linux) para corregir cinco nuevas vulnerabilidades (tres de gravedad alta y dos de importancia media).

Los problemas de gravedad alta corregidos residen en un salto de las políticas de mismo origen en DOM y bindings V8 de Blink, así como un desbordamiento de búfer en V8. Por otra parte, de importancia media una condición de carrera en loader y una escalada de directiorios mediante el esquema de archivos de Android. Según la política de la compañía las vulnerabilidades anunciadas han supuesto un total de 20.337 dólares en recompensas a los descubridores de los problemas.

Los CVE asociados a las vulnerabilidades van del CVE-2016-1667 al CVE-2016-1671.

Como es habitual, esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados o a través de "Información sobre Google Chrome" (chrome://chrome/).

Más información:

Stable Channel Update



Antonio Ropero
Twitter: @aropero