lunes, 31 de octubre de 2016

Obtención de información sensible en VMware Fusion y Tools para Mac OS X

VMware ha publicado una actualización de seguridad para corregir vulnerabilidades en VMware Tools y Fusión en sistemas Mac OS X, que podrían permitir a un atacante conseguir información sensible.

VMware Fusion Pro y VMware Fusion permiten ejecutar Windows y otros muchos sistemas operativos en un Mac sin tener que reiniciar. Por otra parte, VMware Tools se instala como una aplicación más dentro de la máquina virtual e incluye un conjunto de controladores y utilidades y mejoran el rendimiento de las máquinas virtuales.

El problema, de gravedad moderada, podría permitir a un usuario local en un sistema con la protección de la integridad del sistema (System Integrity Protection, SIP) activa obtener direcciones de memoria del kernel para evitar la protección kASLR. La protección SIP está activa por defecto en las últimas versiones de Mac OS X.

Afecta a VMware Tools 9.x y 10.x para Mac OS X (CVE-2016-5328) y VMware Fusion 8.x para Mac OS X (CVE-2016-5329).

Ambos fallos fueron reportados a VMware por Marco Grassi (@marcograss)

VMware ha publicado versiones actualizadas para evitar los problemas disponibles desde:
VMware Fusion 8.5
VMware Tools 10.1.0

Más información:

VMSA-2016-0017
VMware product updates address multiple information disclosure issues




Antonio Ropero

Twitter: @aropero

domingo, 30 de octubre de 2016

Ejecución de código por vulnerabilidades en la librería LibTIFF

El grupo de seguridad de Cisco Talos ha anunciado tres vulnerabilidades en la librería LibTIFF que pueden ser aprovechadas por atacantes para lograr la ejecución de código arbitrario.

La librería LibTIFF usada para leer y escribir imágenes en formato tiff se distribuye gratuitamente y permite su uso en Windows y plataformas UNIX (incluyendo Linux y MacOS X). Múltiples programas tanto de escritorio como en servidores web hacen uso de ella para permitir el tratamiento de este tipo de imágenes, de ahí el riesgo que generan estas vulnerabilidades.

El primer problema, con CVE-2016-8331, se produce durante el uso de imágenes TIFF mediante la API LibTIFF. La vulnerabilidad reside en un desbordamiento de búfer en el tratamiento del campo "BadFaxLines" de una imagen TIFF específicamente creada. Un atacante podría lograr la ejecución de código arbitrario mediante una imagen Tiff especialmente manipulada. Esta vulnerabilidad aun no ha sido corregida.

Por otra parte, con CVE-2016-5875, una vulnerabilidad en la manipulación de imágenes TIFF comprimidas por la API PixarLogDecode de LibTIFF. El uso de un búfer pequeño en la función "ínflate" de la librería Zlib provoca un desbordamiento de búfer que podría permitir la ejecución remota de código. Por último, CVE-2016-5652 reside en la herramienta Tiff2PDF incluida con LibTIFF, cuando un archivo TIFF usa compresión JPEG.

Hasta el momento no se ha publicado ninguna versión oficial de LibTIFF que solucione estos problemas. Se ha publicado parches en forma de código para CVE-2016-5652 y CVE-2016-5875 disponibles desde el repositorio GIT en:

Más información:

Vulnerability Spotlight: LibTIFF Issues Lead To Code Execution




Antonio Ropero

Twitter: @aropero

sábado, 29 de octubre de 2016

El Mobile Pwn2Own 2016 revela vulnerabilidades en iPhone 6S y Nexus 6P

Como todos los años la última edición del Mobile Pwn2Own nunca deja indiferente a nadie. En esta ocasión se han mostrado ataques exitosos sobre dispositivos iPhone 6S y Nexus 6P.

La edición del MobilePwn2Own 2016 se ha desarrollado esta semana en Tokio en la conferencia PacSec, organizado por Zero Day Initiative (ZDI) y Trend Micro. Solo dos equipos competidores, pero con un alto nivel, ya que encontraron graves vulnerabilidades en móviles iPhone 6S y Nexus 6P con todo el software y sistema totalmente actualizado. A diferencia del evento Pwn2Own, que da 15 minutos a cada concursante para completar un ataque exitoso, en el Mobile Pwn2Own los concursantes tienen tres intentos de cinco minutos cada uno para comprometer el dispositivo móvil.

La competición comenzó con el equipo de Tencent Keen Security Lab atacando un Google Nexus 6P. Mediante una combinación de dos vulnerabilidades diferentes en Android para aprovechar posteriormente otras debilidades en el sistema operativo en cada uno de los tres intentos. Como consiguieron instalar una aplicación falsa en todos sus ataques ganaron 102.500 dólares y 29 puntos para el premio Master of Pwn.

El mismo equipo también intentó instalar una aplicación falsa en un iPhone 6S. La aplicación llegó a instalarse, pero no se mantenía tras el reinicio del teléfono. Por lo que solo contó como éxito parcial. A pesar de ello, mostraron fallos interesantes que igualmente deberán ser corregidos y por los que ganaron 60.000 dólares.

Robert Miller y Georgi Geshev de MWR Labs también intentaron instalar una aplicación falsa en un Google Nexus 6P. Pero paree ser que la última actualización del navegador Chrome hizo que su exploit fuera muy inestable por lo que no lograron un ataque exitoso en los tiempos requeridos. Sin embargo mostraron desarrollos innovadores adquiridos a través de los canales ZDI habituales.

El último intento fue de Nuevo para el equipo del laboratorio de seguridad  Tencent Keen sobre un iPhone 6S intentando robar las fotos del dispositivo. Gracias a una combinación de una vulnerabilidad por uso de memoria después de liberarla al mostrar las fotos y un fallo de corrupción de memoria  en la sandbox consiguieron extraer una foto del teléfono. Esto les permitió ganar otros 52.500 dólares y otros 16 puntos para el Master of Pwn. Como es habitual, se ha informado de todos los problemas de forma responsbale.


Con dos intentos exitosos y uno parcial, el equipo de Tencent Keen Security Lab consiguió el título de Master of Pwn con 45 puntos y una suma total de 215.000 dólares ganados.


La propia Trend Micro reconoce que el concurso ha revelado "investigaciones fantásticas en el ámbito de la seguridad móvil". El mercado de las vulnerabilidades continúa evolucionando y madurando sobre todo en el espacio móvil. Los fallos son cada vez más valiosos, y los investigadores tienen una variedad de opciones sobre qué hacer con los problemas que descubren en los dispositivos.



Más información:

The Results are In: Mobile Pwn2Own 2016

Reglas

Welcome to Mobile Pwn2Own 2016

The Results are In: Mobile Pwn2Own 2016

TippingPoint DVLabs Provides Exclusive Security Coverage for Mobile Pwn2Own 0Day Vulnerabilities


Antonio Ropero
Twitter: @aropero

viernes, 28 de octubre de 2016

Apple publica nuevas versiones de iTunes, iCloud y Xcode

Apple ha publicado nuevas versiones de algunas de sus aplicaciones, como iTunes 12.5.2, iCloud 6.0.1 y Xcode 8.1 destinadas a solucionar vulnerabilidades que podrían permitir la obtención de información personal o la ejecución de código arbitrario.

iTunes es la aplicación para Mac y Windows que permite organizar y reproducir distintos formatos multimedia. Además facilita la sincronización de un iPod, iPhone, iPad o Apple TV.

Se ha publicado iTunes 12.5.2 e iCloud 6.0.1 para Windows 7 (y posteriores) para corregir dos vulnerabilidades en WebKit, el motor de navegador de código abierto, que también forma la base de Safari. Bastaría con acceder a una web maliciosa para aprovechar los problemas. En primer fallo, con CVE-2016-4613, podría permitir la obtención de información del usuario mientras que un segundo error, con CVE-2016-7578, podría permitir ejecución de código arbitrario. Ambas vulnerabilidades afectan a iTunes e iCloud.

Por otra parte, Apple también ha publicado Xcode 8.1 para OS X El Capitan v10.11.5 (y posteriors), una nueva versión del entorno de desarrollo (IDE) de Apple que se incluye gratuitamente con Mac OS X. Está destinada a evitar 10 vulnerabilidades en IDE Xcode Server por fallos en Node.js que podrían permitir a un atacante remoto lograr la ejecución de código arbitrario. Se ha actualizado Node.js a la versión 4.5.0.

Más información:

About the security content of iTunes 12.5.2 for Windows

About the security content of iCloud for Windows 6.0.1

About the security content of Xcode 8.1


Antonio Ropero
Twitter: @aropero

jueves, 27 de octubre de 2016

Actualización de seguridad para Joomla!

Joomla! ha publicado la versión 3.6.4 destinada a corregir dos nuevas vulnerabilidades de gravedad alta y un problema en relación a la autenticación de doble factor.


Joomla es un popular gestor de contenidos en código abierto, que cuenta con una gran cantidad de plantillas y componentes que un usuario puedo utilizar para implementar de manera rápida una aplicación web. Estos componentes son programados por todo tipo de desarrolladores. Este hecho, unido a su popularidad, convierten al gestor de contenidos en un objetivo muy popular para que los atacantes.

El primer problema, con CVE-2016-8870, se debe a fallos en controles que podrían permitir el registro de usuarios en un sitio cuando el registro haya sido desactivado. Por otra parte, con CVE-2016-8869, un uso incorrecto de datos sin filtrar podría permitir a usuarios registrarse en un sitio con privilegios elevados. Ambos problemas afectan a Joomla! CMS versiones 3.4.4 a 3.6.3.

También se ha corregido un problema con la autenticación de doble factor.

Se ha publicado la versión 3.6.4 disponible desde:
Para nuevas instalaciones:
Para actualizaciones:

Más información:

Joomla! 3.6.4 Released


Antonio Ropero
Twitter: @aropero


miércoles, 26 de octubre de 2016

Actualización de Adobe Flash Player para evitar un 0-day

Adobe ha publicado una actualización para Adobe Flash Player para evitar una nueva vulnerabilidad 0-day que está aprovechándose en la actualidad en ataques dirigidos y que afecta al popular reproductor. Esta vulnerabilidad podría permitir a un atacante tomar el control de los sistemas afectados.

Esta actualización, publicada bajo el boletín APSB16-36 resuelve la vulnerabilidad con CVE-2016-7855, que según informa Adobe se está empleando actualmente en ataques dirigidos contra usuarios con Windows versiones 7, 8.1 y 10. El problema reside en un uso de memoria después de liberarla que podría permitir la ejecución remota de código.

Las vulnerabilidades afectan a las versiones de Adobe Flash Player Desktop Runtime 23.0.0.185 (y anteriores) para Windows y Macintosh; Adobe Flash Player para Google Chrome 23.0.0.185 (y anteriores) para Windows, Macintosh, Linux y Chrome OS; Adobe Flash Player para Internet Explorer 11 y Microsoft Edge 23.0.0.185 (y anteriores) para Windows 10 y 8.1 y Adobe Flash Player para Linux 11.2.202.637 (y anteriores).

El problema fue reportado por Neel Mehta y Billy Leonard del Grupo de Analistas de Amenazas de Google. Adobe ha publicado las siguientes versiones de Adobe Flash Player destinadas a solucionar las vulnerabilidades, y se encuentran disponibles para su descarga desde la página oficial:
  • Flash Player Desktop Runtime 23.0.0.205
  • Flash Player para Linux 11.2.202.643
Igualmente se ha publicado la versión 23.0.0.205 de Flash Player para navegadores Internet Explorer, Edge y Chrome.

Más información:

Security updates available for Adobe Flash Player



Antonio Ropero
Twitter: @aropero

martes, 25 de octubre de 2016

Apple publica nuevas versiones de iOS, macOS Sierra, Safari, watchOS y tvOS

Apple ha publicado actualizaciones para sus productos más destacados, que incluyen macOS Sierra 10.12.1, iOS 10.1, Safari 10.0.1, tvOS 10.0.1 y watchOS 3.1. En total se solucionan 23 nuevas vulnerabilidades (aunque muchas de ellas se presentan en múltiples sistemas).

Dada la gran cantidad de novedades y productos actualizados, vamos a realizar un breve repaso de las actualizaciones publicadas y problemas solucionados.

Se ha publicado macOS Sierra 10.12.1 para OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 y macOS Sierra 10.12; destinado a corregir 16 vulnerabilidades, la mayoría de ellas podrían llegar a permitir la ejecución de código arbitrario. Afectan a componentes tan importantes como AppleGraphicsControl, AppleSMC, ATS, CFNetwork Proxies, CoreGraphics, FaceTime, FontParser, ImageIO, libarchive, libxpc, ntfs, NVIDIA Graphics Drivers, Security y System Boot. macOS Sierra 10.12.1 también incluye el contenido de seguridad de Safari 10.0.1.

Las actualizaciones también han llegado a Safari, el popular navegador web de Apple, que se actualiza a la versión 10.0.1 para OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 y macOS Sierra 10.12. Se solucionan dos vulnerabilidades relacionadas con problemas en WebKit (el motor de navegador de código abierto que es la base de Safari). Una de ellas podría permitir la ejecución remota de código arbitrario con solo acceder a una página web específicamente creada. Con identificadores CVE-2016-4613, CVE-2016-4666 y CVE-2016-4667.

Por otra parte, iOS se actualiza a la versión 10.1 que soluciona 12 nuevas vulnerabilidades, las más graves podrían llegar a permitir la ejecución de código arbitrario. Se ven afectados los componentes CFNetwork Proxies, Contacts, CoreGraphics, FaceTime, FontParser, Kernel, libarchive, libxpc, Sandbox Profiles, System Boot y WebKit.
  
De forma similar, Apple publica WatchOS 3.1, destinada a su reloj inteligente (smartwatch) conocido como Apple Watch, con la que se solucionan ocho vulnerabilidades, la mayoría de ellas podrían permitir la ejecución remota de código arbitrario. Los problemas corregidos afectan a los componentes CoreGraphics, FontParser, Kernel, libarchive, libxpc, Sandbox Profiles y System Boot.

Por último, también ha publicado tvOS 10.0.1, el sistema operativo para Apple TV (de cuarta generación), que soluciona un total de 12 vulnerabilidades, las más graves de ellas podrían permitir la ejecución de código arbitrario. Se ven afectados los componentes: CFNetwork Proxies, CoreGraphics, FontParser, Kernel, libarchive, libxpc, Sandbox Profiles, System Boot y WebKit.

Más información:

About the security content of macOS Sierra 10.12.1

About the security content of Safari 10.0.1

About the security content of iOS 10.1

About the security content of watchOS 3.1

About the security content of tvOS 10.0.1



Antonio Ropero
Twitter: @aropero

lunes, 24 de octubre de 2016

Publicada la píldora formativa Thoth 39 "¿Cómo funciona el algoritmo RSA?"

Se ha publicado en el canal YouTube de la UPM la píldora formativa 39 del proyecto Thoth que lleva por título "¿Cómo funciona el algoritmo RSA?"

En febrero de 1978, es decir poco más de un año después de aquel intercambio de clave propuesto por Diffie y Hellman, otros tres investigadores norteamericanos, en este caso del Instituto Tecnológico de Massachusetts MIT, Ron Rivest, Adi Shamir y Leonard Adleman, proponen un sistema de cifra que llevará las iniciales de sus apellidos, algoritmo que se patenta como RSA. El algoritmo RSA basa su fortaleza en la dificultad computacional de factorizar un número compuesto muy grande, producto de dos primos grandes, un problema inabordable para la capacidad mundial de cómputo en 2016 con magnitudes por encima de mil bits.

Enlace en YouTube a la píldora Thoth 39 "¿Cómo funciona el algoritmo RSA?"

El proyecto Thoth publica de manera periódica píldoras formativas en seguridad de la información. Pueden ser tratados como complementos formativos basados en el concepto de vídeos cortos (con una duración en torno a los cinco minutos), muy didácticos y sobre temas muy específicos.

Todos los vídeos del proyecto Thoth cuentan con un archivo srt original de subtítulos incluido en YouTube, importante para personas con limitaciones auditivas, así como un archivo podcast mp3 que puede descargarse desde el sitio web, válido en este caso tanto para personas con limitaciones visuales como para quienes deseen realizar solamente la audición de estas lecciones.

Puedes acceder a la documentación en pdf, el podcast en mp3 y también al vídeo de esta nueva píldora y de todas las anteriores, desde la página web del Proyecto Thoth, que te permite además una búsqueda de vídeos mediante los siguientes cinco filtros: Fundamentos de seguridad, Criptografía clásica, Historia de la criptografía, Matemáticas en criptografía y Criptografía moderna.

Como siempre, quedamos a la espera de tus comentarios en YouTube, muy importantes y necesarios para la supervivencia de este proyecto de formación y difusión masiva y gratuita.

La próxima entrega del proyecto Thoth será en noviembre de 2016 con la píldora 40 de título "¿Es vulnerable el algoritmo RSA?"


Jorge Ramió, Alfonso Muñoz
Directores Proyecto Thoth


domingo, 23 de octubre de 2016

Mozilla publica actualización para Firefox

La Fundación Mozilla ha publicado una actualización para el navegador Firefox destinada a corregir dos vulnerabilidades de gravedad alta

El primer problema (CVE-2016-5287) reside en un uso de memoria después de liberar durante la destrucción de actor con service workers. Por otra parte, también se ha corregido otra vulnerabilidad (CVE-2016-5288) que podría permitir acceder a la información en la caché sí e10s está desactivado. Esto podría revelar las URLs visitadas y su contenido.

Para corregir estas vulnerabilidades, se ha publicado la versión Firefox 49.0.2, disponible para su descarga a través de los canales habituales o mediante las actualizaciones automáticas.

Más información:

Security vulnerabilities fixed in Firefox 49.0.2


Antonio Ropero

Twitter: @aropero

sábado, 22 de octubre de 2016

Denegación de servicio en versiones antiguas de BIND 9

ISC ha publicado un aviso en el que informa de una vulnerabilidad de denegación de servicio en versiones del servidor DNS BIND 9 anteriores a mayo de 2013. 

El servidor de nombres BIND es uno de los más usados en Internet. Creado en 1988, en la universidad de Berkeley, actualmente es desarrollado por el ISC (Internet System Consortium). BIND se encuentra disponible para una amplia gama de sistemas tanto Unix como Microsoft Windows.

El problema, con CVE-2016-2848, reside en que un paquete con la sección de opciones específicamente construida puede provocar un fallo de aserción, con la consiguiente caída del servicio. El problema fue corregido en las versiones de BIND distribuidas por ISC en mayo de 2013. Sin embargo algunas versiones de BIND, distribuidas por otras partes, siguen siendo vulnerables al no contener el cambio #3548.

Afecta a versiones de BIND 9.1.0 a 9.8.4-P2 y 9.9.0 a 9.9.2-P2, que no incluyan el cambio #3548 (anteriores a mayo de 2013).

Se recomienda actualizar a las versiones más recientes BIND 9.9.9-P3, 9.10.4-P3 y 9.11.0, disponibles en:

Más información:

CVE-2016-2848: A packet with malformed options can trigger an assertion failure in ISC BIND versions released prior to May 2013 and in packages derived from releases prior to that date.


Antonio Ropero

Twitter: @aropero

viernes, 21 de octubre de 2016

Elevación de privilegios en el kernel de Linux

Se ha anunciado una vulnerabilidad que podría permitir elevar privilegios en sistemas Linux. Aunque no se ha aclarado, es posible que se esté explotando de forma activa en la actualidad.

Sigue la moda de poner nombres a vulnerabilidades, en esta ocasión el fallo ha sido bautizado como Dirty Cow (vaca sucia). En este caso Cow hace referencia al uso de la técnica "copy-on-write" que es donde reside el fallo. Nada mejor que un buen nombre, una web rebosante de ironía (https://dirtycow.ninja/) y, por supuesto, un logo atractivo, para que la vulnerabilidad destaque como no lo haría de otra forma. En esta ocasión incluso podemos hablar de… ¡una vulnerabilidad con Twitter!



El problema, con CVE-2016-5195, reside en una condición de carrera en la forma en que el subsistema de memoria del kernel de Linux maneja el concepto "copy-on-write" de mapeados de memoria privada de solo lectura. El fallo existe desde hace 9 años, se introdujo en la versión 2.6.22 (publicada en 2007).

Existe prueba de concepto disponible y también se ha encontrado un exploit que aprovecha la vulnerabilidad, sin embargo no está claro si se está empleando de forma activa. Hay que tener claro que se trata de una vulnerabilidad de elevación de privilegios, por lo que para poder explotarla es necesario tener un acceso local, con privilegios restringidos, en el sistema afectado.

Ya se han publicado una actualización del kernel de Linux que soluciona el problema:
Por otra parte las principales distribuciones como Red Hat, Debian, Ubuntu o SUSE ya han publicado actualizaciones, contramedidas o información sobre el problema.

Más información:

Dirty Cow

Antonio Ropero
Twitter: @aropero



jueves, 20 de octubre de 2016

Nuevas versiones de PHP corrigen múltiples vulnerabilidades

El equipo de desarrollo de PHP ha publicado actualizaciones para las ramas 7.0 y 5.6 de PHP para solucionar múltiples vulnerabilidades que pueden ser aprovechadas para provocar denegaciones de servicio e incluso comprometer los sistemas afectados. 

Son múltiples las vulnerabilidades corregidas, aunque ninguna de ellas tiene asignado CVE. En el propio núcleo de PHP los problemas incluyen, entre otros, un desbordamiento de búfer en virtual_popen de zend_virtual_cwd.c, lectura fuera de límites por password_verify, escritura fuera de límites en number_format o uso de memoria después de liberarla en unserialize().

Además del núcleo se ven afectados un gran número de componentes: BCmath, COM, Date, DOM, Filter, GD, Intl, Mbstring, Mysqlnd, Opcache, OpenSSL, PCRE, PDO_DBlib, phpdbg, Session, SimpleXML, SOAP, SPL y Zip. Además en PHP 7 se ha actualizado SQLite3 a la versión 3.14.2.

Se recomienda actualizar a las nuevas versiones 7.0.12 y 5.6.27 desde

Más información:

PHP 7 ChangeLog
Version 7.0.12

PHP 5 ChangeLog
Version 5.6.27




Antonio Ropero

Twitter: @aropero

miércoles, 19 de octubre de 2016

Oracle corrige 253 vulnerabilidades en su actualización de seguridad de octubre

Siguiendo su ritmo de publicación trimestral de actualizaciones, Oracle publica su boletín de seguridad de octubre. Contiene parches para 253 nuevas vulnerabilidades diferentes en múltiples productos pertenecientes a diferentes familias, que van desde el popular gestor de base de datos Oracle Database hasta Solaris, Java o MySQL.

Los fallos se dan en varios componentes de múltiples productos y como es habitual la lista de productos afectados es extensa:
  • Application Express, versiones anteriores a la 5.0.4.0.7
  • Oracle Database Server, versiones 11.2.0.4 y 12.1.0.2
  • Oracle Secure Backup, versiones anteriores a la 10.4.0.4.0 y anteriores a la 12.1.0.2.0
  • Big Data Graph, versiones anteriores a la 1.2
  • NetBeans, versión 8.1
  • Oracle BI Publisher, versiones 11.1.1.7.0, 11.1.1.9.0 y 12.2.1.0.0
  • Oracle Big Data Discovery, versiones 1.1.1, 1.1.3 y 1.2.0
  • Oracle Business Intelligence Enterprise Edition, versiones 11.1.1.7.0, 11.1.1.9.0, 12.1.1.0.0 y 12.2.1.1.0
  • Oracle Data Integrator, versiones 11.1.1.7.0, 11.1.1.9.0, 12.1.2.0.0, 12.1.3.0.0, 12.2.1.0.0 y 12.2.1.1.0
  • Oracle Discoverer, versiones 11.1.1.7.0
  • Oracle Fusion Middleware, versiones 11.1.1.7, 11.1.1.9, 11.1.2.3, 11.1.2.4, 12.1.3.0, 12.2.1.0 y 12.2.1.1
  • Oracle GlassFish Server, versiones 2.1.1, 3.0.1 y 3.1.2
  • Oracle Identity Manager
  • Oracle iPlanet Web Proxy Server, version 4.0
  • Oracle iPlanet Web Server, version 7.0
  • Oracle Outside In Technology, versiones 8.4.0, 8.5.1, 8.5.2 y 8.5.3
  • Oracle Platform Security for Java, versiones 12.1.3.0.0, 12.2.1.0.0 y 12.2.1.1.0
  • Oracle Web Services, versiones 11.1.1.7.0, 11.1.1.9.0, 12.1.3.0.0 y 12.2.1.0.0
  • Oracle WebCenter Sites, versiones 12.2.1.0.0, 12.2.1.1.0 y 12.2.1.2.0
  • Oracle WebLogic Server, versiones 10.3.6.0, 12.1.3.0, 12.2.1.0 y 12.2.1.1
  • Enterprise Manager, versiones 12.1.4, 12.2.2 y 12.3.2
  • Enterprise Manager Base Platform, version 12.1.0.5
  • Oracle Application Testing Suite, versiones 12.5.0.1, 12.5.0.2 y 12.5.0.3
  • Oracle E-Business Suite, versiones 12.1.1, 12.1.2, 12.1.3, 12.2.3, 12.2.4, 12.2.5 y 12.2.6
  • Oracle Advanced Supply Chain Planning, versiones 12.2.3, 12.2.4 y 12.2.5
  • Oracle Agile Engineering Data Management, versiones 6.1.3.0 y 6.2.0.0
  • Oracle Agile PLM, versiones 9.3.4 y 9.3.5
  • Oracle Agile Product Lifecycle Management for Process, versiones 6.1.0.4, 6.1.1.6 y 6.2.0.0
  • Oracle Transportation Management, versiones 6.1, 6.2, 6.3.0, 6.3.1, 6.3.2, 6.3.3, 6.3.4, 6.3.5, 6.3.6 y 6.3.7
  • PeopleSoft Enterprise HCM, versión 9.2
  • PeopleSoft Enterprise PeopleTools, versiones 8.54 y 8.55
  • PeopleSoft Enterprise SCM Services Procurement, versiones 9.1 y 9.2
  • JD Edwards EnterpriseOne Tools, versión 9.1
  • JD Edwards World Security, versión A9.4
  • Siebel Applications, versiones 7.1 y 16.1
  • Oracle Commerce Guided Search, versiones 6.2.2, 6.3.0, 6.4.1.2, 6.5.0, 6.5.1 y 6.5.2
  • Oracle Commerce Guided Search / Oracle Commerce Experience Manager, versiones 3.1.1, 3.1.2, 6.2.2, 6.3.0, 6.4.1.2, 6.5.0, 6.5.1, 6.5.2, 6.5.3, 11.0, 11.1 y 11.2
  • Oracle Commerce Platform, versiones 10.0.3.5, 10.2.0.5 y 11.2.0.1
  • Oracle Commerce Service Center, versiones 10.0.3.5 y 10.2.0.5
  • Oracle Fusion Applications, versiones 11.1.2 hasta 11.1.9
  • Oracle Communications Policy Management, versiones 9.7.3, 9.9.1, 10.4.1, 12.1.1 y anteriores
  • Oracle Enterprise Communications Broker, versiones Pcz2.0.0m4p5 y anteriores
  • Oracle Enterprise Session Border Controller, versiones Ecz7.3m2p2 y anteriores
  • Oracle Banking Digital Experience, versión 15.1
  • Oracle Financial Services Analytical Applications Infrastructure, versiones 7.3.0, 7.3.1, 7.3.2, 7.3.3, 7.3.4, 7.3.5, 8.0.0, 8.0.1, 8.0.2 y 8.0.3
  • Oracle Financial Services Lending and Leasing, versiones 14.1.0 y 14.2.0
  • Oracle FLEXCUBE Core Banking, versiones 11.5.0.0.0 y 11.6.0.0.0
  • Oracle FLEXCUBE Enterprise Limits and Collateral Management, versiones 12.0.0 y 12.1.0
  • Oracle FLEXCUBE Investor Servicing, version 12.0.1
  • Oracle FLEXCUBE Private Banking, versiones 2.0.0, 2.0.1, 2.2.0, 12.0.0, 12.0.1, 12.0.2, 12.0.3 y 12.1.0
  • Oracle FLEXCUBE Universal Banking, versiones 11.3.0, 11.4.0, 12.0.1, 12.0.2, 12.0.3, 12.1.0, 12.2.0, 12.87.1 y 12.87.2
  • Oracle Life Sciences Data Hub, versiones 2.x
  • Oracle Hospitality OPERA 5 Property Services, versiones 5.4.0.0, 5.4.1.0, 5.4.2.0, 5.4.3.0, 5.5.0.0 y 5.5.1.0
  • Oracle Insurance IStream, versión 4.3.2
  • MICROS XBR, versiones 7.0.2 y 7.0.4
  • Oracle Retail Back Office, versiones 13.0, 13.1, 13.2, 13.3, 13.4, 14.0 y 14.1
  • Oracle Retail Central Office, versiones 13.0, 13.1, 13.2, 13.3, 13.4, 14.0 y 14.1
  • Oracle Retail Clearance Optimization Engine, versiones 13.2, 13.3, 13.4 y 14.0
  • Oracle Retail Customer Insights, versión 15.0
  • Oracle Retail Merchandising Insights, versión 15.0
  • Oracle Retail Returns Management, versiones 13.0, 13.1, 13.2, 13.3, 13.4, 14.0 y 14.1
  • Oracle Retail Xstore Payment, versión 1.x
  • Oracle Retail Xstore Point of Service, versiones 5.0, 5.5, 6.0, 6.5, 7.0 y 7.1
  • Primavera P6 Enterprise Project Portfolio Management, versiones 8.4, 15.x y 16.x
  • Primavera P6 Professional Project Management, versiones 8.3, 8.4, 15.x y 16.x
  • Oracle Java SE, versiones 6u121, 7u111 y 8u102
  • Oracle Java SE Embedded, versión 8u101
  • Solaris, versiones 10 y 11.3
  • Solaris Cluster, versiones 3.3 y 4.3
  • Sun ZFS Storage Appliance Kit (AK), versión AK 2013
  • Oracle VM VirtualBox, versiones anteriores a la 5.0.28, anteriores a la 5.1.8
  • Secure Global Desktop, versiones 4.7 y 5.2
  • Sun Ray Operating Software, versiones anteriores a la 11.1.7
  • Virtual Desktop Infrastructure, versiones anteriores a la 3.5.3
  • MySQL Connector, versiones 2.0.4 y anteriores y 2.1.3 y anteriores
  • MySQL Server, versiones 5.5.52 y anteriores, 5.6.33 y anteriores y 5.7.15 y anteriores


A continuación ofrecemos una relación de productos y el número de vulnerabilidades corregidas: 
  • Nueve nuevas vulnerabilidades corregidas en Oracle Database Server (una de ellas explotable remotamente sin autenticación), 2 vulnerabilidades en Oracle Secure Backup (ambas explotables remotamente sin autenticación) y una nueva vulnerabilidad corregida en Oracle Big Data Graph. Afectan a los componentes: OJVM, Kernel PDB, Application Express, RDBMS Programmable Interface, RDBMS Security y RDBMS Security and SQL*Plus.
          
  • Otras 29 vulnerabilidades afectan a Oracle Fusion Middleware. 19 de ellas podrían ser explotadas por un atacante remoto sin autenticar. Los componentes afectados son: BI Publisher (formerly XML Publisher), NetBeans, Oracle Big Data Discovery, Oracle Business Intelligence Enterprise Edition, Oracle Data Integrator, Oracle Discoverer, Oracle GlassFish Server, Oracle Identity Manager, Oracle iPlanet Web Proxy Server, Oracle iPlanet Web Server, Oracle Outside In Technology, Oracle Platform Security for Java, Oracle Web Services y Oracle WebCenter Sites.     
       
  • Esta actualización contiene cinco nuevas actualizaciones de seguridad para Oracle Enterprise Manager Grid Control, cuatro de ellas explotables remotamente sin autenticación. Afectan a Enterprise Manager, Oracle Application Testing Suite y Enterprise Manager Base Platform.   
         
  • Dentro de Oracle Applications, 21 parches son para Oracle E-Business Suite, 19 parches son para la suite de productos Oracle Supply Chain, 11 para productos Oracle PeopleSoft, dos para productos Oracle JD Edwards, tres para Oracle Siebel CRM y siete para Oracle Commerce.
        
     
  • Se incluyen también 36 nuevos parches para Oracle Communications Applications, 31 de ellos tratan vulnerabilidades explotables remotamente sin autenticación. De forma similar tan solo una nueva corrección para Oracle Health Sciences Applications (aunque podría ser explotable remotamente sin autenticación). También incluye un nuevo parche para Oracle Insurance Applications y tres para Oracle Hospitality Applications.
        
     
  • Esta actualización contiene 10 nuevas actualizaciones de seguridad para Oracle Retail Applications, 10 de ellas explotables remotamente sin autenticación.
         
  • También se incluyen dos nuevos parches de seguridad para software Oracle Primavera Products Suite, una de ellas podría explotarse de forma remota sin autenticación.
         
  • En lo referente a Oracle Java SE se incluyen 7 nuevos parches de seguridad, todos referentes a vulnerabilidades que podrían ser explotadas por un atacante remoto sin autenticar.
         
  • Para la suite de productos Oracle Sun Systems se incluyen 16 nuevas actualizaciones, 10 de ellas afectan directamente a Solaris.
        
     
  • 31 nuevas vulnerabilidades afectan a MySQL Server (dos de ellas podrían ser explotada por un atacante remoto sin autenticar).
         
  • Esta actualización también contiene 13 parches para Oracle Virtualización.


Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial en:
Oracle Critical Patch Update Advisory – October 2016

Más información:

Oracle Critical Patch Update Advisory - October 2016



Antonio Ropero

Twitter: @aropero

martes, 18 de octubre de 2016

Elevación de privilegios en VMware vRealize Operations

VMware ha publicado una actualización de seguridad para corregir una vulnerabilidad en VMware vRealize vRealize Operations (vROps), que podría permitir a un atacante local elevar sus privilegios en los sistemas afectados.

VMware vRealize Operations implementa una gestión centralizada de las operaciones de TI, abarcando desde las aplicaciones a la infraestructura, en entornos físicos, virtuales y de cloud.

El problema, con CVE-2016-7457, está considerado crítico pero VMware no ha facilitado información detallada sobre la causa de la vulnerabilidad. Aunque confirma que un usuario de vROps con privilegios limitados podría conseguir acceso total sobre la aplicación. Además podría detener y eliminar máquinas virtuales administradas por vCenter. Afecta a vRealize Operations 6.3.0, 6.2.1, 6.2.0a y 6.1.0.

VMware ha publicado parches como contramedida disponibles desde
vRealize Operations 6.3.0
vRealize Operations 6.2.1
vRealize Operations 6.2.0a
vRealize Operations 6.1.0

Más información:

VMSA-2016-0016
vRealize Operations (vROps) updates address privilege escalation vulnerability

  

Antonio Ropero

Twitter: @aropero

lunes, 17 de octubre de 2016

Anunciadas vulnerabilidades en OpenOffice

Se han anunciado dos vulnerabilidades en OpenOffice que podría llegar a permitir la ejecución remota de código arbitrario.

Apache OpenOffice es una suite ofimática de código abierto y gratuita. Cuenta con aplicaciones de hojas de cálculo (Calc), procesador de textos (Writer), bases de datos (Base), presentaciones (Impress), gráficos vectorial (Draw), y creación y edición de fórmulas matemáticas (Math).

La primera vulnerabilidad, identificada como CVE-2016-6803, reside en el instalador de Apache OpenOffice para Windows por una ruta de búsqueda Windows sin comillas, lo que podría permitir la ejecución de software no deseado por una aplicación troyanizada.

Por otra parte, con CVE-2016-6804, otra vulnerabilidad en el instalador para Windows que podría permitir la carga de una dll falsa y de esa forma lograr ejecutar código arbitrario con privilegios elevados.

Se ven afectadas todas las versiones de OpenOffice 4.1.2 y anteriores, también afectan a OpenOffice.org. Estas vulnerabilidades están corregidas en OpenOffice 4.1.3. Se encuentra disponible para su descarga desde la página oficial.

Más información:

Windows Installer Can Enable Privileged Trojan Execution

Windows Installer Execution of Arbitrary Code with Elevated Privileges

  

Antonio Ropero
Twitter: @aropero

domingo, 16 de octubre de 2016

Octava lección "Algoritmos de cifra por sustitución monoalfabética" del MOOC Crypt4you

Se ha publicado la octava lección del MOOC Introducción a la seguridad informática y criptografía clásica, de título "Algoritmos de cifra por sustitución monoalfabética" correspondiente al Tema IV: "Algoritmos de Cifra Clásica".

En esta octava lección del MOOC, iniciamos el estudio de los sistemas de cifra por sustitución. Como ya sabes, son los que han tenido un mayor desarrollo en la historia de la criptografía clásica. La lección 8 está dedicada a la cifra monográmica (ciframos letra a letra) y monoalfabética (con un único alfabeto de cifrado) y dejaremos para la lección 9 la cifra monográmica polialfabética. Estudiaremos las operaciones de cifrado, descifrado y criptoanálisis de sistemas de cifra por desplazamiento puro, entre ellos el famoso sistema de cifra del César, sistemas de cifra por decimación pura y sistemas de cifra por multiplicación y adición, más conocida como cifra afín. Vas a comprobar que, además de cifrar y descifrar, la acción de un ataque elegante al criptograma o criptoanálisis basado en la redundancia del lenguaje, será muy sencilla.

En esta lección vamos a utilizar el software para prácticas de criptografía Criptoclásicos v2.1, desarrollado por D. Juan Contreras Rubio. Por favor, comprueba desde ese enlace de descarga que tienes instalada la última versión, dado que se han hecho algunas actualizaciones.

La lección tiene como elementos multimedia de apoyo las píldoras formativas Thot 16 "¿Qué es la cifra del César?", Thot 17 "¿Qué es la cifra afín?" y Thot 18 "¿Cómo se ataca la cifra por sustitución monoalfabética?"

Así mismo, se han publicado en las redes sociales de Twitter y Facebook del MOOC Crypt4you las soluciones al test de la lección anterior número 7; en el caso de Facebook, las respuestas están además comentadas.


La siguiente entrega del MOOC Crypt4you es la Lección 9 Algoritmos de cifra clásica por sustitución polialfabética. Terminado el MOOC, se publicará un examen de tipo teórico y práctico que no se evaluará ni dará derecho, de momento, a certificación.

Más información:

Introducción a la seguridad informática y criptografía clásica
Tema IV: Algoritmos de cifra clásica
Lección 8: Algoritmos de cifra por sustitución monoalfabética

Crypt4you

Estadísticas acumuladas de las lecciones del MOOC Crypt4you

una-al-dia (24/02/2016) Nuevo MOOC en Crypt4you sobre "seguridad informática y criptografía clásica"

una-al-dia (01/03/2016) Publicada la segunda lección del MOOC Crypt4you "Introducción a la seguridad informática y criptografía clásica"

una-al-dia (15/03/2016) Tercera lección del MOOC Crypt4you "Introducción a la seguridad informática y criptografía clásica"

una-al-dia (03/04/2016) Cuarta lección del MOOC Crypt4you "Introducción a la seguridad informática y criptografía clásica"

una-al-dia (17/04/2016) Quinta lección del MOOC Crypt4you "Introducción a la seguridad informática y criptografía clásica"

una-al-dia (11/01/2015) Publicadas las píldoras formativas Thoth 13, 14 y 15 dedicadas a los cifrados clásicos por sustitución y por permutación

una-al-dia (29/05/2016) Sexta lección del MOOC Crypt4you "Introducción a la seguridad informática y criptografía clásica"

una-al-dia (20/06/2016) Séptima lección del MOOC Crypt4you "Introducción a la seguridad informática y criptografía clásica"


Dr. Jorge Ramió; Dr. Alfonso Muñoz
Directores del MOOC Crypt4you 

sábado, 15 de octubre de 2016

Vulnerabilidad de Cross-Site Scripting en IBM iNotes

IBM ha confirmado una vulnerabilidad en IBM iNotes 8.5.x que podría permitir a atacantes remotos la realización de ataques de cross-site scripting.

IBM iNotes (anteriormente conocido como IBM Lotus iNotes) es una versión completa basada en web del cliente de Notes, incluyendo todas sus funciones. iNotes proporciona acceso desde el navegador al correo electrónico, el calendario y los contactos de Notes, así como el acceso a las aplicaciones y herramientas empresariales.

El problema corregido (con CVE-2016-0282) reside en una validación inadecuada de las entradas del usuario. Un atacante remoto podría explotar la vulnerabilidad mediante URLs específicamente creadas, lo que le permitiría ejecutar scripts en el navegador de la víctima. Se podría utilizar esta vulnerabilidad para robar las cookies de las credenciales de autenticación de la víctima y los datos presentados recientemente.

IBM ha publicado las actualizaciones necesarias en IBM iNotes 8.5.3 Fix Pack 6 Interim Fix 2. Disponible desde:

Más información:

Security Bulletin: IBM iNotes Cross-site Scripting Vulnerability (CVE-2016-0282)



Antonio Ropero

Twitter: @aropero

viernes, 14 de octubre de 2016

Actualizaciones para múltiples dispositivos Cisco

Cisco ha publicado seis boletines de seguridad para solucionar otras tantas vulnerabilidades en múltiples productos que podrían permitir a atacantes provocar condiciones de denegación de servicio, ejecutar código arbitrario o acceder al dispositivo sin autorización.

Solo uno de los problemas es considerado crítico y afecta a Cisco Meeting Server, mientras que otros problemas de gravedad media afectan a Cisco Wide Area Application Services, Cisco Unified Communications Manager, Cisco Prime Infrastructure, Evolved Programmable Network Manager, Cisco Finesse y Cisco cBR-8 Converged Broadband Router.

Cisco Cisco Meeting Server

El problema más grave, con CVE-2016-6445, afecta al servicio Extensible Messaging and Presence Protocol (XMPP) de Cisco Meeting Server (CMS) y podría permitir a un atacante remoto sin autenticar acceder al sistema como un usuario legítimo.

Se ven afectadas las versiones de Cisco Meeting Server anteriores a la 2.0.6 con XMPP activo. También afecta a Acano Server anteriores a 1.8.18 y anteriores a 1.9.6 con XMPP activo.

Cisco ha publicado las siguientes versiones actualizadas para los sistemas afectados:
Acano Server 1.8.18
Acano Server 1.9.6
Cisco Meeting Server 2.0.6

Las actualizaciones de firmware pueden descargarse desde Software Center en Cisco.com accediendo a Products > Conferencing > Video Conferencing > Multiparty Conferencing > Meeting Server > Meeting Server 1000 > TelePresence Software.

Vulnerabilidades de gravedad media corregidas

Una vulnerabilidad (CVE-2016-6437) en la administración de la caché de sesión SSL de los Cisco Wide Area Application Services (WAAS) podría permitir a un atacante remoto sin autenticar provocar una condición de denegación de servicio (DoS) por un elevado consumo del disco duro.

Un problema, con CVE-2016-6440, de falsificación de datos en un iframe de una página web afecta a Cisco Unified Communications Manager (CUCM). Por otra parte, existe una vulnerabilidad (con CVE-2016-6443) de inyección SQL en Cisco Prime Infrastructure y en Evolved Programmable Network Manager SQL.

También se ha confirmado una vulnerabilidad (con CVE-2016-6438) en el software Cisco IOS XE en routers Cisco cBR-8 Converged Broadband podría permitir a un atacante remote sin autenticar provocar un cambio en la integridad de la configuración en el dispositivo afectado.

Por último, una vulnerabilidad de cross-site request forgery (CSRF) contra la interfaz web de Cisco Finesse (CVE-2016-6442). Este es el único problema para el que no se han publicado actualizaciones.

Más información:

Cisco Wide Area Application Services Central Manager Denial of Service Vulnerability

Cisco Unified Communications Manager iFrame Data Clickjacking Vulnerability

Cisco Prime Infrastructure and Evolved Programmable Network Manager Database Interface SQL Injection

Cisco Meeting Server Client Authentication Bypass Vulnerability

Cisco Finesse Cross-Site Request Forgery Vulnerability

Cisco cBR-8 Converged Broadband Router vty Integrity Vulnerability



Antonio Ropero
Twitter: @aropero