Resumen de BugTraq del 15-11-1999 al 21-11-1999

A partir de hoy contaremos con la colaboración de Hernán Ochoa,
miembro del Equipo de Investigación y Desarrollo de CoreLabs
(http://www.core-sdi.com). Como moderador de BugTraq-ES, Ochoa
tiene entre sus funciones la traducción al español del resumen
semanal que recoge lo más destacado de la archiconocida BugTraq,
la lista de seguridad más importante a nivel mundial, y sus
homónimas en español y japonés.
1. Vulnerabilidad de Attachment en respuesta del FormHandler.cgi
2. Vulnerabilidad de Buffer Overflow en E-MailClub
3. Vulnerabilidad de Buffer Overflow en Cgitest.exe del W4 Server
4. Vulnerabilidad de Buffer Overflow en WebBBS login & password
5. Vulnerabilidad de verificación en Lynx en el parámetro “secure”
en URLs Internas
6. Vulnerabilidad DoS Buffer Overflow en Gene6 G6 FTP Server
7. Vulnerabilidad en Tektronix PhaserLink Webserver
8. Vulnerabilidad de Buffer Overflow en Microsoft Riched20.dll
9. Vulnerabilidad de DoS en syslogd de Linux
10. Vulnerabilidad de Pine en Expansión de Variables de Entorno
en URLS
11. Vulnerabilidad de DoS en Solaris rpc.ttdbserver
12. Vulnerabilidad ProFTPD mod_sqlpw
13. Vulnerabilidad de DoS en ZetaMail Login
14. Vulnerabilidad DoS con URL largos en el HP JetDirect
Internal Webserver

RESUMEN DE BUGTRAQ del 15-11-1999 al 21-11-1999
———————————————–

1. Vulnerabilidad de Attachment en respuesta del
FormHandler.cgi
BugTraq ID: 799
Remoto: Si
Fecha publicación: 16-11-1999
URL relevante:
http://www.securityfocus.com/bid/799
Resumen:

Todo archivo al que FormHandler.cgi tenga acceso de lectura (el
cgi se ejecuta comúnmente como el usuario ‘nobody’ en sistemas unix)
se puede especificar como un attachment en una respuesta a un email.
Esto puede permitir a un atacante obtener acceso a archivos
importantes como /etc/passwd mediante la simple modificación del
document form.

2. Vulnerabilidad de Buffer Overflow en el E-MailClub
BugTraq ID: 801
Remoto: Si
Fecha publicación: 15-11-1999
URL relevante:
http://www.securityfocus.com/bid/801
Resumen:

Ciertas versiones de EmailClub, un paquete de servidor de mail de
Admiral Systems Inc., son vulnerables a un buffer overflow remoto.
Este overflow es explotable mediante el server POP3 de EmailClub
el cual falla al realizar chequeos de límites en la cabecera ‘From:’
de los e-mail entrantes.

Este desbordamiento compromete totalmente la maquina Windows
95/98 que es blanco del ataque. Es posible que también afecte de la
misma manera a instalaciones en Windows NT. Sin embargo, no está
claro si EmailClub corre con privilegios de Administrador en éstas.

3. Vulnerabilidad en el Cgitest.exe del W4 Server
BugTraq ID: 802
Remoto: Si
Fecha publicación: 15-11-1999
URL relevante:
http://www.securityfocus.com/bid/802
Resumen:

Ciertas versiones del W4-Server 32-bits personal webserver por
Antelope Software vienen con un script vulnerable, Cgitest.exe.
Este script CGI compilado no realiza apropiadamente el chequeo de
límites en la información que le es dada por el usuario y es
vulnerable a un buffer overflow.

4. Vulnerabilidad de Buffer Overflow en WebBBS login &
password
BugTraq ID: 803
Remoto: Si
Fecha publicación: 15-11-1999
URL relevante:
http://www.securityfocus.com/bid/803
Resumen:

Ciertas versiones de WebBBS por Mike Bryeans de International
TeleCommunications contienen un fallo en el programa inicial de
acceso. La información dada por el usuario como nombre de usuario
y contraseña no se chequeada apropiadamente y puede provocar un
buffer overflow. Esto puede llevar a comprometer al sistema
corriendo WebBBS.

5. Vulnerabilidad de verificación en Lynx en el parámetro
“secure” en
URLs Internas
BugTraq ID: 804
Remoto: Si
Fecha publicación: 17-11-1999
URL relevante:
http://www.securityfocus.com/bid/804
Resumen:

Lynx generalmente clasifica las páginas web como internas o
externas. Las páginas web internas son aquellas que se usan para
cosas como la configuración, manejo de archivos bajados, etc. las
páginas web externas son aquellas normalmente visitadas por un
navegador y se encuentran en un servidor web en algún lugar
“externo” al cliente.

Para prevenir que autores de páginas maliciosas comprometan al
cliente, los creadores de Lynx ponen un numero de restricciones
para la manipulación de los URLS internos. Lo primero es un valor
escondido en el form que se pasa a las paginas internas llamado
“secure”. Desgraciadamente, el valor no hace honor a su nombre, ya
que esta basado en la función time(). El siguiente método es
verificar si la página que contiene URLS internos tiene permiso
o no. Esto se lleva a cabo al comparar los títulos de las páginas,
verificándose contra lo que deberían ser (si fueran legales). La
sección de código que hace esta ingenua prueba es la siguiente:

[…]

(!strncmp(links[curdoc.link].lname,
“LYNXDOWNLOAD:”, 13) &&
strcmp((curdoc.title ? curdoc.title :””),
DOWNLOAD_OPTIONS_TITLE)) ||
(!strncmp(links[curdoc.link].lname,
“LYNXHIST:”, 9) &&
strcmp((curdoc.title ? curdoc.title :””),
HISTORY_PAGE_TITLE) &&

[…]

Es posible que un atacante (localmente) convenza al usuario a
entrar a una pagina de configuración (‘0’) en lynx, el valor de
“secure” puede ser obtenido a través de una llamada a utime()
en el archivo temporal creado en /tmp (que es donde lynx crea
las páginas html temporales). Una vez que se obtiene el valor
de “secure”, una página maliciosa titulada apropiadamente puede
pasar valores de configuración como valores escondidos de un
form a LYNXOPTIONS://, quien los tomará gustosamente y modificará
las opciones de configuración del usuario silenciosamente (por
ejemplo, configurando el editor a lo que el atacante desee).
Existe la posibilidad de que esto sea explotado remotamente si se
adivina el valor de “secure”.

Existen más vulnerabilidades expuestas por este problema como
son buffer overflows explotables debido al manejo erróneo de las
opciones de configuración. Se conoce la falta de chequeo de
límites en los buffers que guardan (al menos temporalmente) los
valores de las opciones: “user agent”, “preferred language” y
“preferred charset”.

6. Vulnerabilidad DoS Buffer Overflow en Gene6 G6 FTP Server
BugTraq ID: 805
Remoto: Si
Fecha publicación: 17-11-1999
URL relevante:
http://www.securityfocus.com/bid/805
Resumen:

El G6 FTP Server, por Gene6, es vulnerable a un ataque de buffer
overflow. Si se envían 2000 caracteres como nombre de usuario
o contraseña, el software usará toda la memoria y tiempo de CPU
disponible congelando al host atacado.

7. Vulnerabilidad en Tektronix PhaserLink Webserver
BugTraq ID: 806
Remoto: Si
Fecha publicación: 17-11-1999
URL relevante:
http://www.securityfocus.com/bid/806
Resumen:

Ciertas versiones de la impresora Tektronix PhaserLink vienen con
un servidor web para facilitar la configuración del dispositivo.
Este servicio tiene esencialmente nivel de acceso de
administrador, ya que puede modificar completamente las
características del sistema, reiniciar la máquina, asignar
servicios, etc.

En al menos una versión de esta impresora existen una serie de
URLs no documentadas que permitirán a usuarios remotos obtener la
contraseña del administrador. Una vez que el atacante haya
obtenido esta contraseña podrá manipular la impresora a su antojo.

8. Vulnerabilidad de Buffer Overflow en Microsoft
Riched20.dll
BugTraq ID: 807
Remoto: Si
Fecha publicación: 17-11-1999
URL relevante:
http://www.securityfocus.com/bid/807
{* HispaSec: http://www.hispasec.com/unaaldia.asp?id=386 *}
Resumen:

Riched20.dll, usado por el Wordpad para parsear archivos con
formato Rich Text (RTF), contiene un buffer overflow el cual
permite la ejecución de codigo arbitrario. El código puede ser
puesto en un archivo .rtf y enviado por email a la víctima.
Luego, si la víctima abre el documento con el Wordpad, el código
será ejecutado con el nivel de privilegio del usuario.

9. Vulnerabilidad de DoS en syslogd de Linux
BugTraq ID: 809
Remoto: No
Fecha publicación: 19-11-1999
URL relevante:
http://www.securityfocus.com/bid/809
Resumen:

Syslogd usa un unix domain stream socket (/dev/log) para recibir
mensajes de log del sistema. Los Unix domain stream sockets
requieren que se realice una conexión entre el cliente y el
servidor, lo que significa que por cada cliente atendido se crea
un proceso separado.

Es posible causar una negación de servicio (DoS) abriendo muchas
conexiones locales al syslog en un periodo de tiempo corto.
Desgraciadamente, no se tienen mas detalles sobre esta
vulnerabilidad.

10. Vulnerabilidad de Pine en Expansión de Variables de Entorno
en URLS
BugTraq ID: 810
Remoto: Si
Fecha publicación: 18-11-1999
URL relevante:
http://www.securityfocus.com/bid/810
Resumen:

Cuando Pine manipula emails formateados o con HTM, al seleccionar
las urls que contienen variables de shell definidas en la máquina
local donde el cliente se ejecuta estas se expanden. Esto puede
causar muchos problemas de seguridad, desde enviar variables
expandidas a webservers en forma de parámetros cgi (luego logueados
para recolectar información acerca del sistema/usuario atacado)
hasta posiblemente ejecutar comandos arbitrarios en el host atacado
a través de emails maliciosos.

El siguiente ejemplo fue dado por Jim Hebert
en un mensaje a BugTraq:

echo ‘setenv WWW www.securityfocus.com’ >> .tcshrc
source .tcshrc
pine
(ver un link que me envié a mi mismo como: http://$WWW )
funciona, yo visité securityfocus.

11. Vulnerabilidad de DoS en Solaris rpc.ttdbserver
BugTraq ID: 811
Remoto: Si
Fecha publicación: 19-11-1999
URL relevante:
http://www.securityfocus.com/bid/811
Resumen:

Es posible hacer caer al rpc.ttdbserver mediante el uso de un
exploit para un viejo buffer overflow del ttdbserver. Este problema
está causado por un puntero NULL referenciado cuando la función 15
de rpc es llamado con basura. No es posible hacer que rpc.ttdbserver
ejecute código arbitrario con esta vulnerabilidad. La consecuencia
al explotar esta vulnerabilidad es una condición de negación de
servicio (rpc.ttdbserver).

12. Vulnerabilidad ProFTPD mod_sqlpw
BugTraq ID: 812
Remoto: No
Fecha publicación: 19-11-1999
URL relevante:
http://www.securityfocus.com/bid/812
Resumen:

El compilar el módulo mod_sqlpw para ProFTPD hace posible que los
usuarios locales vean las contraseñas de los usuarios que se han
conectado al servidor ftp. Cuando se usa el módulo éste escribe
información a wtmp. Desafortunadamente, escribe la contraseña a
wtmp donde debería estar el nombre de usuario. Las contraseñas se
pueden ver cuando un comando como ‘last’ se usa localmente.

13. Vulnerabilidad de DoS en ZetaMail Login
BugTraq ID: 813
Remoto: Si
Fecha publicación: 1999-11-18
URL relevante:
http://www.securityfocus.com/bid/813
Resumen:

El servidor de mail ZetaMail caerá si el cliente proporciona un
par nombre de usuario/contraseña de más de 3500 caracteres.

14. Vulnerabilidad DoS con URL largos en el HP JetDirect
Internal
Webserver
BugTraq ID: 814
Remoto: Si
Fecha publicación: 18-11-1999
URL relevante:
http://www.securityfocus.com/bid/814
Resumen:

El módulo JetDirect J3111A se usa para conectar muchos modelos de
las impresoras HP a una red. Este incluye un servidor web para la
administración remota de la impresora. Este servidor es
vulnerable a causa de un buffer overflow en el código que maneja
las URLs entrantes. Si se solicita una URL de más de 256 caracteres
la impresora se colgará.