domingo, 31 de julio de 2016

Denegación de servicio en Cisco Wireless LAN Controller

Cisco ha anunciado el descubrimiento de un problema en sus dispositivos Wireless LAN Controller (WLC) que podría permitir a usuarios sin autenticar provocar condiciones de denegación de servicio.

El problema se debe a un tratamiento insuficiente del tráfico de paquetes "wireless management frames". Un atacante remoto no autenticado podrá enviar tráfico manipulado que provoque la caída del dispositivo afectado.

La vulnerabilidad, con la referencia CVE-2016-1460, afecta a los dispositivos con versiones de software 7.4(121.0) y 8.0(0.30220.385). Cisco no ofrece actualizaciones para corregir este problema.

Más información:

Cisco Wireless LAN Controller Denial of Service Vulnerability





Antonio Ropero

Twitter: @aropero

sábado, 30 de julio de 2016

Vulnerabilidades en Xen

Se han anunciado dos problemas de seguridad en Xen que podrían permitir a un atacante provocar condiciones de denegación de servicio en otros sistemas huéspedes o elevar privilegios en la máquina anfitriona.

Xen es un proyecto colaborativo de la fundación Linux centrado en la virtualización de hardware. Las tecnologías creadas son Xen Hypervisor (el estándar de virtualización del mundo del código abierto), Xen Cloud Platform (plataforma de soluciones en la red basada en la tecnología anterior) y Xen ARM, destinada a dispositivos móviles.

El primero de los problemas, con CVE-2016-6258, reside en un fallo en la actualización de entradas en la tabla de paginación que podría permitir a un usuario administrador local en un sistema huésped PV elevar sus privilegios en el sistema anfitrión. Se ven afectadas todas las versiones de Xen, aunque solo sobre sistemas huéspedes PV en hardware x86.

Se han publicado las siguientes actualizaciones:
Para xen-unstable, Xen 4.7.x
xsa182.patch:

Para Xen 4.6.x
xsa182-4.6.patch

para Xen 4.5.x, 4.4.x, 4.3.x
xsa182-4.5.patch

Por otra parte, con CVE-2016-6259, un usuario local en un sistema huésped PV 32-bits puede provocar un error en la comprobación de listas blancas en la característica Supervisor Mode Access Prevention (SMAP), lo que puede provocar la caída del hypervisor objetivo y condiciones de denegación de servicio en otros sistemas huésped. Se ven afectados sistemas x86 que soporten la característica SNAP (p.ej. Intel Broadwell y CPUs posteriores).

Se han publicado las siguientes actualizaciones:
Para xen-unstable, 4.7.x
xsa183.patch

Para Xen 4.6.x, 4.5.x
xsa183-4.6.patch

Más información:

Xen Security Advisory CVE-2016-6258 / XSA-182
x86: Privilege escalation in PV guests

Xen Security Advisory CVE-2016-6259 / XSA-183
x86: Missing SMAP whitelisting in 32-bit exception / event delivery



Antonio Ropero
Twitter: @aropero

viernes, 29 de julio de 2016

Actualizaciones de Wireshark corrigen múltiples vulnerabilidades

Wireshark Foundation ha publicado las versiones 1.12.13 y 2.0.5, que incluyen la corrección de hasta 11 vulnerabilidades que podrían provocar condiciones de denegación de servicio.

Wireshark es una popular aplicación de auditoría orientada al análisis de tráfico en redes, que soporta una gran cantidad de protocolos y es de fácil manejo. Además Wireshark se encuentra bajo licencia GPL y disponible para la mayoría de sistemas operativos Unix y compatibles, así como Microsoft Windows.

En esta ocasión la fundación Wireshark ha publicado 11 boletines de seguridad en total (del wnpa-sec-2016-39 al wnpa-sec-2016-49); nueve afectan a la rama 2.0, mientras que ocho de los avisos de seguridad afectan a la rama 1.12. Hay que señalar que esta es la última versión de Wireshark 1.12, que alcanza su final de vida el 31 de julio. Se recomienda a los usuarios de esta rama actualizar a Wireshark 2.0.

Como es habitual, la mayoría de las vulnerabilidades presentes corregidas en ambas versiones son fallos en la implementación de disectores, que son los módulos responsables de analizar los paquetes de cada uno de los protocolos. El impacto de estas vulnerabilidades suele ser simplemente el cierre inesperado de Wireshark, o en algunos casos, la entrada en un bucle infinito que bloquee la aplicación. Ambos impactos se encuentran en la categoría de denegación de servicio.

La lista de los disectores y protocolos afectados incluyen CORBA IDL en Windows 64-bits, NDS, PacketBB, WSP, MMSE, RLC, LDSS, OpenFlow, WAP, WSP y WBXML. También se ha solucionado diferentes problemas no relacionados directamente con vulnerabilidades de seguridad.

Las vulnerabilidades mencionadas se han solucionado en las versiones 1.12.13 y 2.0.5, ya disponibles para descargar desde la página oficial del proyecto.

Más información:

Wireshark 1.12.13 is now available

Wireshark 2.0.5 is now available


Antonio Ropero

Twitter: @aropero

jueves, 28 de julio de 2016

Vulnerabilidad en LastPass podía permitir el acceso a contraseñas de forma remota

Cada vez estamos más conectados en internet, tenemos más dispositivos y queremos tener todo en cualquier lugar y en cualquier momento. La nube, intenta hacer que esto pueda ser posible, y aunque a nivel funcional queda muy bonito, no es oro todo lo que reluce, y esta vez le ha tocado la china a LastPass, demostrando que tener nuestras contraseñas guardadas en la red puede ser de los peores hábitos para mantener nuestra privacidad.

LastPass es un gestor de contraseñas, un programa que permite gestionar y mantener tus contraseñas de forma segura, y permite hacerlo de forma remota. Para esto utiliza el sistema AES-256 con cifrado PBKDF2 SHA-256 y hashes con salt.

El conocido investigador de seguridad Tavis Ormandy (@tavido) del equipo Project-Zero de Google, ha sido quien ha encontrado esta vulnerabilidad y se ha puesto en contacto con LastPass con los detalles de la vulnerabilidad para que pueda ser subsanada.
El error se debe a un error en el diseño de la comunicación entre los componentes con privilegios y sin privilegios. Esto permite que los manejadores de eventos de los componentes creen componentes iframe con privilegios. Si se modifica el parámetro url de estos iframe, un componente será el encargado de lanzar un mensaje para ver si el destino es seguro o no, pero gracias a la captura del evento MouseEvent() a través de Javascript estos mensajes podrán llegar a ser legítimos.

Tavis, además ha confirmado que hizo una demostración rápida en la cual conseguía de forma remota (RPC) eliminar ficheros. También ha publicado una lista completa de los componentes a los que se pueden acceder de forma remota.



El problema ha sido confirmado por el equipo de LastPass, si bien igualmente afirman que solo afecta a la extensión para FireFox. También añaden que ya ha sido totalmente corregido con una actualización automática para todos los usuarios de LastPass 4.0 o posterior.

El equipo de LastPass aprovecha también para comentar un problema comunicado de forma responsable hace más de un año, por el investigador Mathias Karlsson (@avlidienbrunn), y que igualmente fue corregido en su momento.


Karlsson ha publicado recientemente un aviso con sus descubrimientos, en relación a un problema en el tratamiento de URLs y que también podría permitir el acceso a todas las contraseñas con solo visitar una web. En este caso afectaba a todas las versiones de los navegadores que fueron actualizadas sin intervención de los usuarios.

Más información:

Reporte de Tavis
LastPass: design flaw in communication between privileged and unprivileged components

LastPass Security Updates

How I made LastPass give me all your passwords



Jose Ignacio Palacios Ortega

miércoles, 27 de julio de 2016

Cross-Site Scripting en IBM WebSphere Portal

Se ha anunciado una vulnerabilidad de cross-site scripting en IBM WebSphere Portal 6.1, 7, 8.0 y 8.5. Un atacante remoto podría emplear este problema para ejecutar código script arbitrario.

IBM WebSphere Portal ofrece una aplicación compuesta o infraestructura de "mashup" empresarial y las herramientas para crear soluciones basadas en SOA (Arquitectura Orientada a Servicios). WebSphere Portal contiene una amplia variedad de tecnologías destinadas a desarrollar y mantener portales B2C, B2B y B2E.

El problema, con CVE-2016-2925, reside en un error de validación de entradas que podría permitir a un atacante remoto crear una URL, que al ser cargada por el usuario permita la ejecución de código script arbitrario. El código se origina desde el sitio que ejecuta WebSphere por lo que se ejecutará en el contexto de seguridad de dicho sitio. Con ello el atacante podría acceder a las cookies (incluyendo las de autenticación) y a información recientemente enviada, además de poder realizar acciones en el sitio haciéndose pasar por la víctima.

IBM ha publicado una corrección para evitar este problema, disponible con la identificación PI62749.

Para 8.5.0
Actualizar a Cumulative Fix 10 (CF10)
(Actualizaciones combinadas acumulativas para WebSphere Portal 8.5.0.0:

Para 8.0.0 hasta 8.0.0.1
Actualizar a Fix Pack 8.0.0.1 con Cumulative Fix 21 (CF21).
(Actualizaciones combinadas acumulativas para WebSphere Portal 8.0.0.1:

Para 7.0.0 hasta 7.0.0.2
Actualizar a Fix Pack 7.0.0.2 con Cumulative Fix 30 (CF30) y aplicar el Interim Fix PI62749.
(Actualizaciones combinadas acumulativas para WebSphere Portal 7.0.0.2:

Para 6.1.5.0 hasta 6.1.5.3
Actualizar a Fix Pack 6.1.5.3 con Cumulative Fix 27 (CF27) y aplicar Interim Fix PI62749.
(Actualizaciones acumulativas para WebSphere Portal 6.1.5.3:

Para 6.1.0.0 hasta 6.1.0.6
Actualizar a Fix Pack 6.1.0.6 con Cumulative Fix 27 (CF27) y aplicar Interim Fix PI62749.
(Actualizaciones acumulativas WebSphere Portal 6.1.0.6:

Más información:

Security Bulletin: Fix available for Cross Site Scripting Vulnerability in IBM WebSphere Portal (CVE-2016-2925)



Antonio Ropero
Twitter: @aropero

martes, 26 de julio de 2016

Anunciada una vulnerabilidad en OpenOffice

Se ha anunciado una vulnerabilidad en OpenOffice que podría llegar a permitir la ejecución remota de código arbitrario.

OpenOffice es una suite ofimática de código abierto y gratuita. Cuenta con aplicaciones de hojas de cálculo (Calc), procesador de textos (Writer), bases de datos (Base), presentaciones (Impress), gráficos vectorial (Draw), y creación y edición de fórmulas matemáticas (Math).

La vulnerabilidad, identificada como CVE-2016-1513, fue reportada por el equipo de seguridad de Cisco Talos. El fallo reside en una lectura y escritura fuera de límites al tratar archivos .OTP (plantillas de presentación) y .ODP (Presentaciones OpenDocument) con elementos de presentación MetaPolyPolygonAction cuando el documento se carga en Apache OpenOffice Impress. Un documento específicamente manipulado podría permitir a un atacante provocar una denegación de servicio o la posible ejecución de código arbitrario.

Se ven afectadas todas las versiones de OpenOffice 4.1.2 y anteriores. En la actualidad no existe actualización en forma de descarga disponible.
Aunque se ha publicado un parche en forma de código disponible en el repositorio:

Más información:

Memory Corruption Vulnerability (Impress Presentations)

OpenOffice Impress MetaActions Arbitrary Read Write Vulnerability



Antonio Ropero

Twitter: @aropero

lunes, 25 de julio de 2016

Publicada la píldora formativa Thoth 37 "¿Cómo funciona el algoritmo de exponenciación rápida?"

Se ha publicado en el canal YouTube de la UPM la píldora formativa 37 del proyecto Thoth que lleva por título "¿Cómo funciona el algoritmo de exponenciación rápida?"

En criptografía moderna, las operaciones modulares se realizan con números muy grandes, siendo común en sistemas asimétricos utilizar claves de más de 2.000 bits, algo que ralentiza dichas operaciones de cifra. Una manera eficiente de optimizar este cómputo es hacer uso del algoritmo de exponenciación rápida, que reduce de forma drástica el número de operaciones bit de la máquina. No obstante, tiene como contrapartida el hecho de que facilita un tipo de ataque acústico por canal lateral, si bien existen contramedidas para evitarlo.

Enlace en YouTube a la píldora Thoth 37 "¿Cómo funciona el algoritmo de exponenciación rápida?"

El proyecto Thoth publica de manera periódica píldoras formativas en seguridad de la información. Pueden ser tratados como complementos formativos basados en el concepto de vídeos cortos (con una duración en torno a los cinco minutos), muy didácticos y sobre temas muy específicos.

Todos los vídeos del proyecto Thoth cuentan con un archivo srt original de subtítulos incluido en YouTube, importante para personas con limitaciones auditivas, así como un archivo podcast mp3 que puede descargarse desde el sitio web, válido en este caso tanto para personas con limitaciones visuales como para quienes deseen realizar solamente la audición de estas lecciones.

Puedes acceder a la documentación en pdf, el podcast en mp3 y también al vídeo de esta nueva píldora y de todas las anteriores, desde la página web del Proyecto Thoth, que te permite además una búsqueda de vídeos mediante los siguientes cinco filtros: Fundamentos de seguridad, Criptografía clásica, Historia de la criptografía, Matemáticas en criptografía y Criptografía moderna.

Como siempre, quedamos a la espera de tus comentarios en YouTube, muy importantes y necesarios para la supervivencia de este proyecto de formación y difusión masiva y gratuita.

La próxima entrega del proyecto Thoth será en septiembre de 2016 con la píldora 38 de título "¿Qué es el intercambio de clave de Diffie y Hellman?"


Jorge Ramió, Alfonso Muñoz
Directores Proyecto Thoth


domingo, 24 de julio de 2016

Ejecución de comandos en Cisco Unified Computing System Performance Manager

Cisco ha confirmado una vulnerabilidad en el entorno web de Cisco Unified Computing System (UCS) Performance Manager que podría permitir a un atacante remoto sin autenticar ejecutar comandos arbitrarios en los sistemas afectados

La solución Unified Communications de Cisco es un conjunto de productos y aplicaciones de comunicaciones que reúne e integra voz, vídeo y datos. Cisco Unified Computing System es una nueva plataforma de data center que unifica cómputo, redes, acceso a almacenamiento y virtualización en un sistema unificado.

El problema, con CVE-2016-1374, se debe a la insuficiente validación de las entradas de los parámetros pasados a través de una petición HTTP GET. Un atacante podría explotar esta vulnerabilidad mediante el envío al sistema afectado de peticiones HTTP GET específicamente construidas, lo que le permitiría ejecutar comandos arbitrarios con privilegios de usuario root.

Se ven afectados los sistemas Cisco UCS Performance Manager versiones 2.0.0 y anteriores. Cisco ha publicado la versión 2.0.1 para solucionar esta vulnerabilidad.

Más información:

Cisco Unified Computing System Performance Manager Input Validation Vulnerability





Antonio Ropero

Twitter: @aropero

sábado, 23 de julio de 2016

Google publica Chrome 52 y corrige 48 vulnerabilidades

Google anuncia una nueva versión de su navegador Google Chrome 52. Se publica la versión 52.0.2743.82 para las plataformas Windows, Mac y Linux, que junto con nuevas funcionalidades y mejoras, además viene a corregir 48 nuevas vulnerabilidades. 

Entre las principales novedades cabe destacar la integración de "screen mirroring" con Chromecast y Hangouts, así como la activación por defecto de Material Design en macOS.

Como es habitual, Google solo proporciona información sobre los problemas solucionados reportados por investigadores externos o las consideradas de particular interés. En esta ocasión, aunque se han solucionado 48 nuevas vulnerabilidades, solo se facilita información de 17 de ellas (11 de gravedad alta y 6 de importancia media).

Se corrigen vulnerabilidades por escape de la sandbox en PPAPI, falsificaciones de URL, desbordamiento de búfer en sfntly, salto de la política de seguridad de contenido, corrupción de memoria en V8, confusion de origen en autenticación proxy y filtrado de URL a través de script PAC y escucha del historial con HSTS y CSP. También problemas por uso de memoria después de liberar en extensiones, Blink y libxml. Así como salto de la política de mismo origen en Blink, V8 y Service Workers. Se han asignado los CVE-2016-1706 al CVE-2016-1711 y CVE-2016-5127 al CVE-2016-5137.

También del trabajo de seguridad interno, varias correcciones procedentes de auditoría interna, pruebas automáticas y otras iniciativas (CVE-2016-1705). Según la política de la compañía las vulnerabilidades anunciadas han supuesto un total de 21.000 dólares en recompensas a los descubridores de los problemas, si bien hay 11 vulnerabilidades en klas que la cuantía del premio aun está por determinar.

Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados o a través de "Información sobre Google Chrome" (chrome://chrome/). O descargar directamente desde: google.com/chrome.

Más información:

Stable Channel Update



Antonio Ropero
Twitter: @aropero



viernes, 22 de julio de 2016

Múltiples vulnerabilidades en PHP

Se han publicado las actualizaciones para las ramas 5.5, 5.6 y 7.0 de PHP que solucionan diversas vulnerabilidades, entre ellas la famosa HTTPoxy.

Estas actualizaciones corrigen fallos que podrían ser explotados para provocar denegaciones de servicio y afectar a la confidencialidad. En concreto, se solucionan desbordamientos de memoria en virtual_file_ex, _gdContributionsAlloc(), simplestring_addn y php_stream_zip_opener. Errores de uso de memoria tras liberación en unserialize(), accesos fuera de límite en locale_accept_from_http y exif_process_IFD_in_MAKERNOTE y acceso a archivos arbitrarios a través de gdImageTrueColorToPaletteBody. Estas vulnerabilidades no tienen código CVE asignado.

Además se soluciona la vulnerabilidad conocida como HTTPoxy, que podría permitir a un atacante remoto redirigir todo el tráfico HTTP a un proxy bajo su control, lo que facilitaría el espiar o modificar todas las conexiones que realice el servidor (CVE-2016-5385).

Como siempre, se recomienda actualizar cuanto antes a las últimas versiones 7.0.9, 5.6.24 y 5.5.38 desde http://www.php.net/downloads.php

Más información:

PHP ChangeLog
Version 7.0.9
Version 5.6.24
Version 5.5.38

una-al-dia (20/07/2016) ¿Colega, dónde está mi Proxy?



Francisco Salido

jueves, 21 de julio de 2016

¿Colega, dónde está mi Proxy?

Hoy traemos a la palestra una vulnerabilidad genérica que afecta a varias implementaciones del protocolo CGI y que permite, de manera trivial, forzar al servidor a usar un proxy controlado por un atacante.

¡nombre, logo y web!
Los autores han decidido llamarla httpoxy (en un futuro habrá asignaturas en las universidades dedicadas a nombrar vulnerabilidades), un juego de palabras con las palabras "proxy" y "poxy".


¿En qué consiste?

La explicación es tremendamente sencilla. Cuando el servidor atiende las peticiones de los clientes (navegadores) le pasa la petición completa al script o ejecutable que hace de CGI, cabeceras incluidas. Al procesar las cabeceras del cliente si se encuentra una cabecera denominada "Proxy" cogerá el valor y lo pondrá como valor de la variable de entorno del servidor "HTTP_PROXY".

Es típico de CGI funcionar así. A cada cabecera del cliente le antepone el "HTTP_" y la cambia a mayúsculas. No es un defecto que ocurra por procesar cierto valor, simplemente es una colisión de nombres ya que HTTP_PROXY se usa en otros contextos independientes de CGI.

El problema con esta variable de entorno es que le estamos diciendo a todos los procesos, que le hagan caso y la tengan en su entorno, que envíen todas las peticiones HTTP a través de ese proxy.

De este modo, lo que estamos es manipulando al servidor vía CGI para forzar el uso de un proxy. Si tenemos controlado el proxy nos llegarán las respuestas del servidor, con lo que podemos hacer un hombre en el medio con todo el tráfico en texto claro (no, no funcionaría con el tráfico cifrado) o simplemente ralentizar las respuestas para degradar el servicio.


¿A qué afecta?

Bien. Tranquilidad. Si tu servidor no sirve un entorno CGI no hay de que preocuparse, en principio. Esto solo afecta a CGI, que es un autentico vestigio de otros tiempos en los que la gente hablaba por teléfonos que residían en pequeños habitáculos puestos en la calle a cambio de insertarles monedas de metal.

Tampoco afecta a FastCGI, alternativa "más moderna" que no usa variables de entorno para comunicar al proceso receptor los valores de las peticiones de los clientes.

Ahora bien, si el entorno del servidor da soporte a CGI la cosa cambia. Como sabemos, CGI es soportado por cualquier lenguaje que se ejecute en el servidor. Incluso llegaron a existir CGIs corriendo sobre bash (en serio, no es broma) o binarios en C (recordad, ¡teléfonos en la calle!) atendiendo peticiones HTTP. Pues bien, algunos lenguajes ya parchearon esta vulnerabilidad hace tiempo y de manera independiente, como Ruby o Perl, pero no todos... hasta que la vulnerabilidad volvió a cobrar protagonismo.

En algo así como un revival, alguien se dio cuenta de que lo que parchearon en algunos lenguajes y herramientas se podía reproducir en otros lenguajes, como por ejemplo PHP (¿Sorprendido?), Python y el recién llegado Go. Además se han parcheado los servidores Apache HTTP Server y Apache Tomcat para evitar que esto ocurra. Es de esperar que otros lenguajes y herramientas se unan y saquen los oportunos parches ya que este fallo es un error de diseño y por lo tanto transversal a todo el bestiario de librerías, implementaciones y herramientas que usen CGI.

Por cierto si estabas a punto de dejar de leer pensando que no afecta a Microsoft IIS, sí que afecta en cierto modo, como por ejemplo derivado del uso de la librería cURL, tal y como comentan en la nota enlazada.


Prueba de concepto y más información

Los autores nos han dejado un legado para la posteridad en forma de página web con su logo y dominio, como viene siendo costumbre, aquí.

No es recomendable hacer una prueba de concepto en entornos de producción, ya que si funciona todo el tráfico HTTP saliente del servidor se dirigirá al proxy indicado por la petición manipulada, pero si se insiste los autores han dejado código en un repositorio de GitHub.

Más información:

httpoxy

The CERT vulnerability note - VU#797896
CGI web servers assign Proxy header values from client requests to internal HTTP_PROXY environment variables

Red Hat advisory
HTTPoxy - CGI "HTTP_PROXY" variable name clash

Apache Software Foundation Projects and "httpoxy" CERT VU#797896

Microsoft advisory KB3179800
IIS CGI HTTP_PROXY header requests may be redirected

Mitigating the HTTPoxy Vulnerability with NGINX

Drupal Core - Highly Critical - Injection - SA-CORE-2016-003



David García
Twitter: @dgn1729


miércoles, 20 de julio de 2016

Oracle corrige 276 vulnerabilidades en su actualización de seguridad de julio

Siguiendo su ritmo de publicación trimestral de actualizaciones, Oracle publica su boletín de seguridad de julio. Contiene parches para 276 nuevas vulnerabilidades diferentes en múltiples productos pertenecientes a diferentes familias, que van desde el popular gestor de base de datos Oracle Database hasta Solaris, Java o MySQL.

La gran cantidad de problemas corregidos, que en esta ocasión se eleva a las 276 vulnerabilidades, convierte a este boletín de seguridad como el más numeroso de todos los publicados por Oracle hasta la fecha. Los fallos se dan en varios componentes de múltiples productos: 
  • Application Express, versiones anteriores a 5.0.4
  • Oracle Database Server, versiones 11.2.0.4, 12.1.0.1 y 12.1.0.2
  • Oracle Access Manager, versiones 10.1.4.x y 11.1.1.7
  • Oracle BI Publisher, versiones 11.1.1.7.0, 11.1.1.9.0 y 12.2.1.0.0
  • Oracle Business Intelligence Enterprise Edition, versiones 11.1.1.7.0, 11.1.1.9.0 y 11.2.1.0.0
  • Oracle Directory Server Enterprise Edition, versiones 7.0 y 11.1.1.7.0
  • Oracle Exalogic Infrastructure, versiones 1.x, 2.x
  • Oracle Fusion Middleware, versiones 11.1.1.7, 11.1.1.8, 11.1.1.9, 11.1.2.2, 11.1.2.3, 12.1.3.0 y 12.2.1.0
  • Oracle GlassFish Server, versiones 2.1.1, 3.0.1 y 3.1.2
  • Oracle HTTP Server, versiones 11.1.1.9 y 12.1.3.0
  • Oracle JDeveloper, versiones 11.1.1.7.0, 11.1.1.9.0, 11.1.2.4.0, 12.1.3.0.0 y 12.2.1.0.0
  • Oracle Portal, versión 11.1.1.6
  • Oracle TopLink, versiones 12.1.3.0, 12.2.1.0 y 12.2.1.1
  • Oracle WebCenter Sites, versiones 11.1.1.8 y 12.2.1.0
  • Oracle WebLogic Server, versiones 10.3.6.0, 12.1.3.0 y 12.2.1.0
  • Outside In Technology, versiones 8.5.0, 8.5.1 y 8.5.2
  • Hyperion Financial Reporting, versión 11.1.2.4
  • Enterprise Manager Base Platform, versiones 12.1.0.5 y 13.1.0.0
  • Enterprise Manager for Fusion Middleware, versiones 11.1.1.7 y 11.1.1.9
  • Enterprise Manager Ops Center, versiones 12.1.4, 12.2.2 y 12.3.2
  • Oracle E-Business Suite, versiones 12.1.1, 12.1.2, 12.1.3, 12.2.3, 12.2.4 y 12.2.5
  • Oracle Agile Engineering Data Management, versiones 6.1.3.0 y 6.2.0.0
  • Oracle Agile PLM, versiones 9.3.4 y 9.3.5
  • Oracle Demand Planning, versiones 12.1 y 12.2
  • Oracle Transportation Management, versiones 6.3.0, 6.3.1, 6.3.2, 6.3.3, 6.3.4, 6.3.5, 6.3.6, 6.3.7, 6.4.0 y 6.4.1
  • PeopleSoft Enterprise FSCM, versiones 9.1 y 9.2
  • PeopleSoft Enterprise PeopleTools, versiones 8.53, 8.54 y 8.55
  • JD Edwards EnterpriseOne Tools, versión 9.2.0.5
  • Oracle Knowledge, versión 8.5.x
  • Siebel Applications, versiones 8.1.1, 8.2.2, IP2014, IP2015 y IP2016
  • Oracle Fusion Applications, versiones 11.1.2 hasta 11.1.10
  • Oracle Communications ASAP, versiones 7.0, 7.2 y 7.3
  • Oracle Communications Core Session Manager, versiones 7.2.5 y 7.3.5
  • Oracle Communications EAGLE Application Processor, versión 16.0
  • Oracle Communications Messaging Server, versiones 6.3, 7.0, 8.0, anteriores a 7.0.5.37.0 y 8.0.1.1.0
  • Oracle Communications Network Charging and Control, versiones 4.4.1.5.0, 5.0.0.1.0, 5.0.0.2.0, 5.0.1.0.0 y 5.0.2.0.0
  • Oracle Communications Operations Monitor, versiones anteriores a 3.3.92.0.0
  • Oracle Communications Policy Management, versiones anteriores a 9.9.2
  • Oracle Communications Session Border Controller, versiones 7.2.0 y 7.3.0
  • Oracle Communications Unified Session Manager, versiones 7.2.5 y 7.3.5
  • Oracle Enterprise Communications Broker, versiones anteriores a PCz 2.0.0m4p1
  • Oracle Banking Platform, versiones 2.3.0, 2.4.0, 2.4.1 y 2.5.0
  • Oracle Financial Services Lending and Leasing, versiones 14.1 y 14.2
  • Oracle FLEXCUBE Direct Banking, versiones 12.0.1, 12.0.2 y 12.0.3
  • Oracle Health Sciences Clinical Development Center, versiones 3.1.1.x y 3.1.2.x
  • Oracle Health Sciences Information Manager, versiones 1.2.8.3, 2.0.2.3 y 3.0.1.0
  • Oracle Healthcare Analytics Data Integration, versión 3.1.0.0.0
  • Oracle Healthcare Master Person Index, versiones 2.0.12, 3.0.0 y 4.0.1
  • Oracle Documaker, versiones anteriores a 12.5
  • Oracle Insurance Calculation Engine, versiones 9.7.1, 10.1.2 y 10.2.2
  • Oracle Insurance Policy Administration J2EE, versiones 9.6.1, 9.7.1, 10.0.1, 10.1.2, 10.2.0 y 10.2.2
  • Oracle Insurance Rules Palette, versiones 9.6.1, 9.7.1, 10.0.1, 10.1.2, 10.2.0 y 10.2.2
  • MICROS Retail XBRi Loss Prevention, versiones 10.0.1, 10.5.0, 10.6.0, 10.7.0, 10.8.0 y 10.8.1
  • Oracle Retail Central, Back Office, Returns Management, versiones 13.1, 13.2, 13.3, 13.4, 14.0, 14.1, 12.0 y 13.0
  • Oracle Retail Integration Bus, versiones 13.0, 13.1, 13.2, 14.0, 14.1 y 15.0
  • Oracle Retail Order Broker, versiones 4.1, 5.1, 5.2 y 15.0
  • Oracle Retail Service Backbone, versiones 13.0, 13.1, 13.2, 14.0, 14.1 y 15.0
  • Oracle Retail Store Inventory Management, versiones 12.0, 13.0, 13.1, 13.2, 14.0 y 14.1
  • Oracle Utilities Framework, versiones 2.2.0.0.0, 4.1.0.1.0, 4.1.0.2.0, 4.2.0.1.0, 4.2.0.2.0, 4.2.0.3.0, 4.3.0.1.0 y 4.3.0.2.0
  • Oracle Utilities Network Management System, versiones 1.10.0.6.27, 1.11.0.4.41, 1.11.0.5.4, 1.12.0.1.16, 1.12.0.2.12 y 1.12.0.3.5
  • Oracle Utilities Work and Asset Management, versión 1.9.1.2.8
  • Oracle In-Memory Policy Analytics, versión 12.0.1
  • Oracle Policy Automation, versiones 10.3.0, 10.3.1, 10.4.0, 10.4.1, 10.4.2, 10.4.3, 10.4.4, 10.4.5, 10.4.6, 12.1.0 y 12.1.1
  • Oracle Policy Automation Connector for Siebel, versiones 10.3.0, 10.4.0, 10.4.1, 10.4.2, 10.4.3, 10.4.4, 10.4.5 y 10.4.6
  • Oracle Policy Automation for Mobile Devices, versión 12.1.1
  • Primavera Contract Management, versión 14.2
  • Primavera P6 Enterprise Project Portfolio Management, versiones 8.2, 8.3, 8.4, 15.1, 15.2 y 16.1
  • Oracle Java SE, versiones 6u115, 7u101 y 8u92
  • Oracle Java SE Embedded, versión 8u91
  • Oracle JRockit, versión R28.3.10
  • 40G 10G 72/64 Ethernet Switch, versión 2.0.0
  • Fujitsu M10-1, M10-4, M10-4S Servers, versiones anteriores a XCP 2320
  • ILOM, versiones 3.0, 3.1 y 3.2
  • Oracle Switch ES1-24, versión 1.3
  • Solaris, versiones 10 y 11.3
  • Solaris Cluster, versiones 3.3 y 4.3
  • SPARC Enterprise M3000, M4000, M5000, M8000, M9000 Servers y versiones anteriores a XCP 1121
  • Sun Blade 6000 Ethernet Switched NEM 24P 10GE, versión 1.2
  • Sun Data Center InfiniBand Switch 36, versiones anteriores a 2.2.2
  • Sun Network 10GE Switch 72p, versión 1.2
  • Sun Network QDR InfiniBand Gateway Switch, versiones anteriores a 2.2.2
  • Oracle Secure Global Desktop, versiones 4.63, 4.71 y 5.2
  • Oracle VM VirtualBox, versiones anteriores a 5.0.26
  • MySQL Server, versiones 5.5.49 y anteriores, 5.6.30 y anteriores, 5.7.12 y anteriores

A continuación ofrecemos una relación de productos y el número de vulnerabilidades corregidas:
  • Nueve nuevas vulnerabilidades corregidas en Oracle Database Server, cinco de ellas explotables remotamente sin autenticación. Afectan a los componentes: OJVM, JDBC, Portable Clusterware, Data Pump Import, Application Express, RDBMS, DB Sharding y Database Vault.
        
  • Otras 40 vulnerabilidades afectan a Oracle Fusion Middleware. 35 de ellas podrían ser explotadas por un atacante remoto sin autenticar. Los componentes afectados son: BI Publisher (formerly XML Publisher), Oracle Access Manager, Oracle Business Intelligence Enterprise Edition, Oracle Directory Server Enterprise Edition, Oracle Exalogic Infrastructure, Oracle GlassFish Server, Oracle HTTP Server, Oracle JDeveloper, Oracle Portal, Oracle TopLink, Oracle WebCenter Sites y Outside In Technology.
          
  • Esta actualización contiene 10 nuevas actualizaciones de seguridad para Oracle Enterprise Manager Grid Control, siete de ellas explotables remotamente sin autenticación. Afectan a Enterprise Manager Base Platform, Enterprise Manager for Fusion Middleware y Enterprise Manager Ops Center.
          
  • Dentro de Oracle Applications, 23 parches son para Oracle E-Business Suite, 25 parches son para la suite de productos Oracle Supply Chain, 7 para productos Oracle PeopleSoft, uno para productos Oracle JD Edwards y 16 para Oracle Siebel CRM.
          
  • Se incluyen también 16 nuevos parches para Oracle Communications Applications, 10 de ellos tratan vulnerabilidades explotables remotamente sin autenticación. De forma similar 5 nuevas correcciones para Oracle Health Sciences Applications, aunque solo una de ellas podría ser explotable remotamente sin autenticación. También incluyen ocho parches para Oracle Insurance Applications, aunque ninguna de las vulnerabilidades es explotable remotamente sin autenticación.
         
  • Esta actualización contiene 16 nuevas actualizaciones de seguridad para Oracle Retail Applications, seis de ellas explotables remotamente sin autenticación. Otras tres actualizaciones para Oracle Utilities Applications, cuatro para Oracle Policy Automation y 15 para la suite de productos Oracle Primavera.
          
  • También se incluyen cuatro nuevos parches de seguridad para software Oracle Financial Services. Tres de las vulnerabilidades podrían explotarse de forma remota sin autenticación.
          
  • En lo referente a Oracle Java SE se incluyen 13 nuevos parches de seguridad, nueve referentes a vulnerabilidades que podrían ser explotadas por un atacante remoto sin autenticar.
          
  • Para la suite de productos Oracle Sun Systems se incluyen 34 nuevas actualizaciones, ocho de ellas afectan directamente a Solaris.
         
  • 22 nuevas vulnerabilidades afectan a MySQL Server (tres de ellas podrían ser explotada por un atacante remoto sin autenticar).
          
  • Esta actualización también contiene cuatro parches para Oracle Linux y Virtualización y otro para Oracle Hyperion.


Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial en:
Oracle Critical Patch Update Advisory – July 2016

Más información:

Oracle Critical Patch Update Advisory - July 2016



Antonio Ropero

Twitter: @aropero

martes, 19 de julio de 2016

Apple publica actualizaciones para múltiples productos: OS X El Capitan, Safari, iOS, watchOS, iTunes y tvOS

Apple ha publicado actualizaciones para sus productos más destacados: una nueva versión de OS X (OS X El Capitan 10.11.6) y Security Update 2016-004, iOS 9.3.3, Safari 9.1.2, tvOS 9.2.2, iTunes 12.4.2 y watchOS 2.2.2. En total se solucionan 79 nuevas vulnerabilidades (aunque muchas de ellas se presentan en múltiples sistemas).

Dada la gran cantidad de novedades y productos actualizados, vamos a realizar un breve repaso de las actualizaciones publicadas y problemas solucionados.

Se ha publicado OS X El Capitan v10.11.6 y Security Update 2016-004 para OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 y OS X El Capitan v10.11 y posteriores; destinado a corregir 60 vulnerabilidades, la mayoría de ellas podrían llegar a permitir la ejecución de código arbitrario. Afectan a componentes tan importantes como apache_mod_php, Audio, bsdiff, CFNetwork, CoreGraphics, FaceTime, Graphics Drivers, ImageIO, Intel Graphics Driver, IOHIDFamily, IOSurface, Kernel, libc++abi, libexpat, LibreSSL, libxml2, libxslt, Login Window, OpenSSL, QuickTime, Safari Login AutoFill y Sandbox Profiles. OS X El Capitan v10.11.6 también incluye el contenido de seguridad de Safari 9.1.2.

Las actualizaciones también han llegado a Safari, el popular navegador web de Apple, que se actualiza a la versión 9.1.2 para OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 y OS X El Capitan v10.11.6. Se solucionan 12 vulnerabilidades relacionadas principalmente con problemas en WebKit (el motor de navegador de código abierto que es la base de Safari). Con identificadores CVE-2016-4583 al CVE-2016-4586, CVE-2016-4589 al CVE-2016-4592, CVE-2016-4622 al CVE-2016-4624 y CVE-2016-4651.

Por otra parte, iOS se actualiza a la versión 9.3.3 que soluciona 43 nuevas vulnerabilidades. Gran parte de los fallos podrían permitir la ejecución de código arbitrario. Se ven afectados los componentes Calendar, CoreGraphics, FaceTime, ImageIO, IOAcceleratorFamily, IOHIDFamily, Kernel, libxml2, libxslt, Safari, Sandbox Profiles, Siri Contacts, Web Media, WebKit, WebKit JavaScript Bindings y WebKit Page Loading.

De forma similar, Apple publica WatchOS 2.2.2, destinada a su reloj inteligente (smartwatch) conocido como Apple Watch, con la que se solucionan hasta 26 vulnerabilidades, la mayoría de ellas podrían permitir la ejecución remota de código arbitrario. Los problemas corregidos afectan a los componentes CoreGraphics, ImageIO, IOAcceleratorFamily, IOHIDFamily, Kernel, libxml2, libxslt y Sandbox Profiles.

Apple también ha publicado iTunes 12.4.2 para Windows 7 (y posteriores) que corrige 15 vulnerabilidades en las librerías libxml2 y libxslt.

Por último, también ha publicado tvOS 9.2.2, el sistema operativo para Apple TV (de cuarta generación), que soluciona un total de 37 vulnerabilidades, la mayoría de ellas podrían permitir la ejecución de código arbitrario. Se ven afectados los componentes: CoreGraphics, ImageIO, ImageIO, IOAcceleratorFamily, IOHIDFamily, Kernel, libxml2, libxslt, Sandbox Profiles, WebKit y WebKit Page Loading.

Más información:

About the security content of OS X El Capitan v10.11.6 and Security Update 2016-004

About the security content of Safari 9.1.2

About the security content of iOS 9.3.3

About the security content of watchOS 2.2.2

About the security content of iTunes 12.4.2 for Windows

About the security content of tvOS 9.2.2



Antonio Ropero
Twitter: @aropero

lunes, 18 de julio de 2016

Desbordamiento de búfer en múltiples productos D-Link

Se ha anunciado una vulnerabilidad en múltiples modelos de dispositivos D-Link que podría permitir a un atacante comprometer los sistemas afectados (cámaras y unidades de almacenamiento).

El problema reside en la interfaz de aplicaciones de red de determinados dispositivos D-Link al tratar mensajes DCP específicamente manipulados, lo que podría provocar un desbordamiento de búfer basado en stack. El protocolo DCP, se emplea para manejar la comunicación entre el servicio mydlink y los dispositivos.

Afecta a los dispositivos DCS-xxxL, DCS-xxxxL, DNS-xxxL y DNR-xxxL. Concretamente la lista de productos afectados es: DCS-800L. DCS-800L/P, DCS-825L, DCS-855L, DCS-855/P, DCS-930L, DCS-932L, DCS-933L, DCS-935L, DCS-942L, DCS-960L, DCS-2132L, DCS-2136L, DCS-2210L, DCS-2230L, DCS-2310L, DCS-2330L, DCS-2332L, DCS-6004L, DCS-6010L, DCS-7000L, DCS-7010L, DCS-5000L, DCS-5009L, DCS-5010L, DCS-5020L, DCS-5222L, DCS-8200LH, DCS-6045LKT, DNR-312L, DNR-322L, DNS-320L, DNS-327L y DNS-340L.

El equipo de D-Link confirma que está trabajando en las actualizaciones necesarias y que estarán disponibles a partir de esta semana desde:
Por otra parte, D-Link informa que como parte de la mejora continua de las interfaces de sus dispositivos, ya estaba programada la eliminación del protocolo DCP. Proceso que comenzará el mes que viene.

Más información:

Regarding Senr.io Vulnerability Affecting Many D-Link Products

Home, Secure, Home?


Antonio Ropero
Twitter: @aropero

domingo, 17 de julio de 2016

Vulnerabilidades de denegación de servicio en WECON LeviStudio

Se han reportado dos vulnerabilidades en WECON LeviStudio una herramienta de software empleada para dispositivos HMI (Human Machine Interface). Las vulnerabilidades son consideradas de gravedad alta y podrían permitir a un atacante provocar condiciones de denegación de servicio y potencialmente ejecución de código arbitrario.

LeviStudio es un software utilizado en diversos sectores empresariales, tales como industria química, manufacturación y energía. Además de estos productos, WECON incorpora un alto catálogo de controladores lógicos programables y otros dispositivos electrónicos ampliamente utilizados en el sector industrial.

En todos los problemas reportados, debido a múltiples errores en el manejo de determinados ficheros, un atacante remoto podría provocar, como mínimo, denegaciones de servicio a través de archivos especialmente manipulados.

En el primer problema, con CVE-2016-4533, el error podría causar un desbordamiento de memoria basado en heap, lo cual podría derivar finalmente en la ejecución de código arbitrario dentro del sistema.

El siguiente problema, con CVE-2016-5781, podría permitir a un  atacante provocar un desbordamiento de memoria intermedia basada en pila, por lo que finalmente podría incluso ejecutar código arbitrario dentro del sistema.

Las vulnerabilidades, que afectan a todas las versiones de LeviStudio, han sido reportadas por los investigadores independientes, Rocco Calvi y Brian Gorenc en colaboración con Trend Micro’s Zero Day Initiative.

Desde WECON no se ha especificado cuando se va a publicar una solución oficial, por lo que se recomienda que actualicen a versiones superiores y se tomen las siguientes medidas de seguridad:

  • Asegurarse de que ficheros dudosos no sean subidos o ejecutados sin previa verificación.
        
  • Limitar el uso de LeviStudio a personal autorizado.
        
  • Minimizar la exposición a redes no seguras.
       
  • Aislar las redes mediante el uso de firewalls y otros mecanismos de control.
         
  • Usar mecanismos seguros de acceso remoto tales como VPNs.


Más información:

WECON LeviStudio

Advisory (ICSA-16-189-01)
WECON LeviStudio Buffer Overflow Vulnerabilities

Juan Sánchez


sábado, 16 de julio de 2016

Denegación de servicio en productos Symantec

Symantec ha confirmado una vulnerabilidad de denegación de servicio que podría permitir a un atacante provocar condiciones de denegación de servicio en todas las versiones Windows de productos Norton Security y Symantec Endpoint Protection.

La vulnerabilidad, descubierta por el equipo de seguridad Cisco Talos, reside en un problema en el controlador Client Intrusion Detection System (IDSvix86) en el tratamiento de archivos Portable Ejecutable (PE) específicamente manipulados. Un atacante podría provocar una denegación de servicio por ejemplo a través de un adjunto en un correo electrónico. Se le ha asignado el CVE-2016-5308 y afecta a productos Norton Security y Symantec Endpoint Protection, en todas las versiones Windows.

Symantec ha corregido esta vulnerabilidad a través de la actualización del driver CIDS, versión v15.1.2 distribuida a través de LiveUpdate.

Más información:

Security Advisories Relating to Symantec Products - Symantec Client IDS Driver PE File Memory Corruption Denial of Service

Symantec Norton Security IDSvix86 PE Remote System Denial of Service Vulnerability



Antonio Ropero

Twitter: @aropero