Resumen de Bugtraq del 06-12-1999 al 13-12-1999

Esta semana, además del resumen de todas las vulnerabilidades,
se incluye un apartado con los parches para la actualización
de los sistemas afectados.
1. Vulnerabilidades de buffer overflow en SCO Unixware
pkginstall/pkgcat
2. Vulnerabilidad en regeneración de base de datos de
aliases de Sendmail
3. Vulnerabilidad de buffer overflow en Solaris snoop
(print_domain_name)
4. Vulnerabilidad de URL vns.ms.radio en MS IE5
5. Vulnerabilidad de DoS en GoodTech Telnet Server NT
6. Vulnerabilidad de buffer overflow en Xshipwars
7. Vulnerabilidad de buffer overflow en Solaris snoop (GETQUOTA)
8. Vulnerabilidad de buffer overflow en Netscape Enterprise
Server para Netware Admin
9. Vulnerabilidad de buffer overflow en Solaris sadmind
10. Vulnerabilidad en ejecución de comando remoto de htdig
11. Vulnerabilidad de troyano de Microsoft Help File
12. Vulnerabilidad de debugeo de programa privilegiado en
SCO Unixware

Actualización de parches del 06-12-1999 al 13-12-1999
—————————————————–
1. Vulnerabilidad parcheada: buffer oveflow en Solaris snoop
(GETQUOTA)
2. Vulnerabilidad parcheada: buffer overflow en Xshipwars
3. Vulnerabilidad parcheada: vulnerabilidad de ejecución de
Comando Remoto en htdig
4. Vulnerabilidad parcheada: DoS en Communigate Pro Web Admin
5. Vulnerabilidad parcheada: buffer overflow en mensaje Wu-ftpd

1. Vulnerabilidades de buffer overflow en SCO Unixware
pkginstall/pkgcat
BugTraq ID: 853
Remoto: No
Fecha de publicación: 06-12-1999
URL Relevante: http://www.securityfocus.com/bid/853
Resumen:

Es posible ver las entradas en /etc/shadow explotando un
buffer overflow en pkgcat y pkginstall. Aunque ninguna de
estas utilidades es setuid, Los permisos dacread que son
otorgados en /etc/security/tcb/privs le dan la posibilidad
de leer /etc/shadow. Cuando el buffer de datos sobredimensionado
es pasado a los programas como argv[1], el stack se corrompe
y es posible ejecutar un programa el cual podria
hacer un «cat» de /etc/shadow con los privilegios de dacread.

2. Vulnerabilidad en regeneracion de base de datos de
aliases de Sendmail
BugTraq ID: 857
Remoto: No
Fecha de publicación: 07-12-1999
URL Relevante: http://www.securityfocus.com/bid/857
Resumen:

Para regenerar la base de datos de aliases de Sendmail hay que
ejecutarlo localmente con los parámetros -bi. No se efectúa
ningún tipo de chequeos de los privilegios del usuario para
determinar si deberían realizar esta acción o no. En
consecuencia, es posible que un usuario malicioso intente
regenerar la base de datos de alias y luego interrumpa la
regeneración, lo que provocará que se corrompa la base.

3. Vulnerabilidad de buffer overflow en Solaris snoop
(print_domain_name)
BugTraq ID: 858
Remoto: Sí
Fecha de publicación: 07-12-1999
URL Relevante: http://www.securityfocus.com/bid/858
Resumen:

Si una maquina Solaris está corriendo snoop, puede ser posible
comprometer remotamente su seguridad a través de un buffer
overflow en dicho servicio. El problema esta en un buffer con una
longitud fija de 1024 que se puede desbordar a través de la
función print_domain_name. Los privilegios otorgados
al código arbitrario que se pudiera ejecutar son los del
usuario que ejecuta snoop, root.

4. Vulnerabilidad de URL vns.ms.radio en MS IE5
BugTraq ID: 861
Remoto: No
Fecha de publicación: 06-12-1999
URL Relevante: http://www.securityfocus.com/bid/861
Resumen:

Internet Explorer puede manejar URL de tipo vnd.ms.radio: para
streaming de audio. Si se especifica una URL de 360 o más
caracteres tras ‘vns.ms.radio’, se sobreescribe un buffer en el
archivo MSDXM.OCX. Lo que permite la ejecución de
código arbitrario en la maquina cliente.

5. Vulnerabilidad de DoS en GoodTech Telnet Server NT
BugTraq ID: 862
Remoto: Sí
Fecha de publicación: 06-12-1999
URL Relevante: http://www.securityfocus.com/bid/862
Resumen:

GoodTech Telnet Server NT 2.2.1 es vulnerable a un ataque de
negación de servicios de forma remota debido a un buffer no
chequeado. Si se escriben 23.870 o más caracteres en el prompt
del nombre de usuario, el software deja de prestar servicios.
Es posible que GooodTech Telnet Server 95/98 también sea
vulnerable a este overflow.

6. Vulnerabilidad de buffer overflow en Xshipwars
BugTraq ID: 863
Remoti: Si
Fecha de publicación: 09-12-1999
URL Relevante: http://www.securityfocus.com/bid/863
Resumen:

Xshipware es un juego gráfico de ‘star battle’ con modelo
cliente/servidor que corre en variedad de plataformas.
Ciertas versiones del servidor que viene con este juego
(versiones anteriores a la 1.25) tenían un buffer overflow
explotable en forma remota. El exploit podría provocar
la ejecución de código arbitrario con el UID del proceso
del servidor.

7. Vulnerabilidad de buffer overflow en Solaris snoop (GETQUOTA)
BugTraq ID: 864
Remoto: Sí
Fecha de publicación: 09-12-1999
URL Relevante: http://www.securityfocus.com/bid/864
Resumen:

Ciertas versiones de Solaris (2.x) incluyen un programa
(/usr/sbin/snoop) diseñado para monitorizar el trafico de
red de un segmento ethernet en el cual se encuentra el
host. Bajo ciertas versiones de Solaris este programa es
vulnerable a un ataque de buffer overflow explotable en
forma remota. El problema se produce cuando snoop
trata de decodificar los pedidos GETQUOTA enviados
al demonio RPC rquotad.

Rquotad es un servidor rpc(4) el cual devuelve cuotas para un
usuario de un file system local el cual esta montado remotamente
por una maquina remota sobre NFS. Los resultados son usados
por quota(1M) para mostrar cuotas de usuario para sistemas de
archivos remotos.

Un pedido GETQUOTA excesivamente largo resulta en un buffer
overflow, que puede ser usado para ejecutar código arbitrario
como root (el nivel de privilegio bajo el que corre snoop).

8. Vulnerabilidad de buffer overflow en Netscape Enterprise
Server para Netware Admin
BugTraq ID: 865
Remoto: Sí
Fecha de publicación: 08-12-1999
URL Relevante: http://www.securityfocus.com/bid/865
Resumen:

El Netscape Enterprise Server para NetWare 4/5 incluye una
opción de Admin que es vulnerable a un ataque de negación
de servicios a causa de un buffer no chequeado en admsrev.nlm,
en el procedimiento de login. Si se introduce un nombre de
usuario de 310 caracteres, el servidor Admin deja de prestar
servicios. Esto no afecta el normal funcionamiento del servidor
web, pero no será posible la administración remota hasta que
se reinicie el servidor.

Nota: Enterprise Server para Netware es soportado por Netware,
no Netscape. Chequee las paginas web en la seccion de creditos
para mas detalles.

9. Vulnerabilidad de buffer overflow en Solaris sadmind
BugTraq ID: 866
Remoto: Sí
Fecha de publicación: 10-12-1999
URL Relevante: http://www.securityfocus.com/bid/866
Resumen:

Ciertas versiones de Solaris vienen con una versión de sadmind
que es vulnerable a un ataque de buffer overflow, que se puede
explotar de forma remota. Sadmind es el demonio empleado
por las aplicaciones de Solstice AdminSuite para realizar
operaciones de administración distribuida del sistema, tales
como agregar usuarios. El demonio sadmind se inicia
automáticamente por el daemon inetd cuando se recibe un
pedido para realizar una operación.

Bajo las versiones vulnerables de sadmind (fueron testadas
2.6 y 7.0), si se pasa un buffer demasiado largo a un
pedido NETMGT_PROC_SERVICE (llamado via clnt_call()), es
posible sobreescribir el stack pointer y ejecutar codigo
arbitrario. El buffer real en cuestión parece contener
el nombre de dominio del cliente. El overflow en sadmind
tiene lugar en la función amsl_verify(). Debido a que
sadmind corre como root cualquier código que se ejecute
va a correr con privilegios de root, resultando entonces
en el compromiso de esta cuenta.

10. Vulnerabilidad en ejecucion de comando remoto de htdig
BugTraq ID: 867
Remoto: Sí
Fecha de publicación: 09-12-1999
URL Relevante: http://www.securityfocus.com/bid/867
Resumen:

htdig es un programa que vine con Debian GNU/Linux 2.1 usado
para indexar y buscar archivos en servidores web. Cuando
intenta manipular archivos no HTML, llama a un programa
externo con el documento como parámetro – sin chequear
por shell escapes. Si es posible crear archivos
cuyos nombres contengan shell escapes, puede ser posible
ejecutar comandos de shell arbitrarios en el servidor web
atacado debido a este problema, lo que provoca un compromiso
remoto.

11. Vulnerabilidad de troyano de Microsoft Help File

BugTraq ID: 868

Remoto: No

Fecha de publicación: 10-12-1999

URL Relevante: http://www.securityfocus.com/bid/868

Resumen:

Los archivos de ayuda para el Sistema de Ayuda de Windows (*.cnt,
*.hlp) pueden editarse de forma que ejecuten un programa
arbitrario cuando el usuario los seleccione. El ejecutable
correrá con los privilegios del usuario.

Los archivos *.cnt son como tablas de contenidos que le dicen
al sistema de ayuda que abrir cuando cada se selecciona cada
tema. Estas entradas pueden editarse para realizar llamadas
al sistema y DLLs y a ejecutar programas cuando se seleccione
un tema.

Los archivos de ayuda mismo, *.hlp, pueden ser editados en
similar forma.

12. Vulnerabilidad de Debugeo de Programa Privilegado en
SCO Unixware
BugTraq ID: 869
Remoto: No
Fecha de publicación: 10-12-1999
URL Relevante:
http://www.securityfocus.com/bid/869
Resumen:

El modelo de seguridad de Unixware incluye el concepto de
privilegios. Estos se pueden asignar a procesos y permitirles
hacer tareas que de otra manera solo podrían ser llevados
a cabo por el usuario root. Permiten que los programas
corran con el mínimo privilegio requerido (lo contrario
a correr como root). Una vulnerabilidad en la implementación
de los privilegios de Unixware permite a los usuarios regulares
adjuntar un debugger a un programa privilegiado en ejecución
y obtener sus privilegios.

La mayoría de los sistemas Unix, incluido Unixware, ponen
un numero de restricciones en como los usuarios normales
pueden interactuar con los procesos setuid y setgid. Por ejemplo
no les esta permitido adjuntar un debugger a ellos y el
linker dinamico puede ignorar variables que piden la
pre-carga de algunas librerías compartidas (shared libraries).
La implementaron de Unixware de los privilegios no cuenta
con esas protecciones para los programas privilegiados y permite
a un usuario adjuntar un debugger a un proceso privilegiado
en ejecución que tenga el mismo uid que él y modificarlo.

Cuando se ejecuta un programa que listado en
/etc/security/tcb/privs se le dan los privilegios listados ahí.
Todo lo que un usuario malicioso debe hacer para explotar el
problema es encontrar un programa listado en ese archivo con
los privilegios que quiera obtener y que el mismo pueda ejecutar.
Por ejemplo, algunos programas ejecutables por cualquier con
privilegios son: /usr/ucb/w (DACREAD), /usr/bin/getdev
(DACWRITE) y /usr/ucb/lpr (SETUID).

Actualización de parches del 06-12-1999 al 13-12-1999
—————————————————–

1. Vendedor: Sun
Productp: Solaris
Vulnerabilidad parcheada: Buffer Oveflow en Solaris snoop
(GETQUOTA)
BugTraq ID: 864
URLs Relevantes:
http://www.securityfocus.com/bid/864
http://sunsolve.sun.com
Ubicación del parche:
http://sunsolve.sun.com/pub-cgi/show.pl?target=patches/patch-access
Patch IDs:
Solaris 7 sparc 108482-01
Solaris 7 x86 108483-01
Solaris 5.6 sparc 108492-01
Solaris 5.6 x86 108493-01
Solaris 5.5 sparc 108501-01
Solaris 5.5 x86 108502-01
Solaris 5.4 sparc 108490-01
Solaris 5.4 x86 108491-01
Solaris 5.3 sparc 108489-01

2. Vendedor: Wolfpack Development
Producto: Xshipwars
Vulnerabilidad parcheada: buffer overflow en Xshipwars
BugTraq ID: 863
URLs Relevantes:
http://www.securityfocus.com/bid/863
Ubicación del Patch:
http://fox.mit.edu/xsw/

3. Vendedor: Debian
Producto: GNU/Linux
Vulnerabilidad parcheada: Vulnerabilidad de ejecución de comando
remoto en htdig
BugTraq ID: 867
URLs Relevantes:
http://www.securityfocus.com/bid/867
http://www.debian.org/security/
Ubicación del Patch:
Debian GNU/Linux 2.1 alias slink

Archivos fuente:

http://security.debian.org/dists/stable/updates/source/htdig_3.1.2-4slink6.diff.gz
MD5 checksum: 9151d7e15d7a2759958c09e6c21f28de

http://security.debian.org/dists/stable/updates/source/htdig_3.1.2-4slink6.dsc
MD5 checksum: fc05d22813afaa9fce10e97a5437ed69

http://security.debian.org/dists/stable/updates/source/htdig_3.1.2.orig.tar.gz
MD5 checksum: ddd0305d420e2d6025694d4e1448d5f7

Alpha:
http://security.debian.org/dists/stable/updates/binary-alpha/htdig_3.1.2-4slink6_alpha.deb
MD5 checksum: 1f816b0af2dd5919524d26be2017ec62

Intel ia32:
http://security.debian.org/dists/stable/updates/binary-i386/htdig_3.1.2-4slink6_i386.deb
MD5 checksum: da77c99388d3d9d09afecb2c9f345d58

Motorola 680×0:
http://security.debian.org/dists/stable/updates/binary-m68k/htdig_3.1.2-4slink6_m68k.deb
MD5 checksum: 48986e8f5323db7b899c6341b87c3d4d

Sun Sparc:
http://security.debian.org/dists/stable/updates/binary-sparc/htdig_3.1.2-4slink6_sparc.deb
MD5 checksum: fcd3181ad76a72e82db2f769d88ff18c

Estos archivos van a ser movidos a
ftp://ftp.debian.org/debian/dists/stable/*/binary-$arch/ en breve.

4. Vendedor: Stalker
Producto: Communigate Pro
Vulnerabilidad parcheada: Vulnerabilidad DoS en Communigate Pro
Web Admin
BugTraq ID: 860
URLS Relevantes:
http://www.securityfocus.com/bid/860
http://www.stalker.com
Ubicación del Patch:
ftp://ftp.stalker.com/pub/CommuniGatePro/
(las versiones 3.2, 3.2b5 y 3.2b7 estan arregladas)
5. Vendedor: Hewlett-Packard
Producto: HP-UX
Vulnerabilidad parcheada: buffer overflow en mensaje Wu-ftpd
BugTraq ID: 726
URLS Relevantes:
http://www.securityfocus.com/bid/726
Ubicación del Patch:
ftp://us-ffs.external.hp.com/export/patches/hp-ux_patch_matrix/
Patch: PHNE_18377