Una semana más Bugtraq-es nos aporta el resumen de todas las
vulnerabilidades encontradas durante los últimos días.
1. Vulnerabilidad de buffer overflow en SCO UnixWare ‘xauto’
2. Vulnerabilidad de recorrido de directorio en Symantec
Mail-Gear
3. Vulnerabilidad en el Task Scheduler del Microsoft IE5 Offline
Browsing Pack
4. Vulnerabilidad Remota de buffer overflow en qpop
5. Vulnerabilidad de Cache de las Credenciales en Plaintext en
Microsoft Windows 9x
6. Solaris kcms_configure
7. Vulnerabilidad de buffer overflow de Multiples Vendors en
CDE dtmail/mailtool
8. Vulnerabilidad en el Subst.exe de NT
9. Vulnerabilidad de buffer overflow en FreeBSD gdc
10. Vunerabilidad de Symlink en FreeBSD gdc
11. Vulnerabilidades en Solaris arp/chkprm
12. Vulnerabilidad de setgid dialer en el FreeBSD Seyon
13. Vulnerabilidad de buffer overflow en FreeBSD xmindpath
14. Vulnerabilidad de buffer overflow en FreeBSD angband
15. Vulnerabilidad de buffer overflow en RSAREF
16. Vulnerabilidad de permisos de instalación en IBM Websphere
17. Vulnerabilidad de configuración por Defecto en Endymion
Mailman
18. Vulnerabilidad de spoofing en Microsoft IE5 WPAD
19. Vulnerabilidad de buffer overflow en autenticación de
Netscape Enterprise & FastTrack
20. Vulnerabilidad en permisos de SCO UnixWare ‘/var/mail’
21. Vulnerabilidad en comandos ‘pkg’ de SCO UnixWare
22. Vulnerabilidad de Symlink en SCO UnixWare ‘coredump’

1. Vulnerabilidad de buffer overflow en SCO UnixWare ‘xauto’
BugTraq ID: 848
Remoto: No
Fecha de publicación: 03-12-1999
URL Relevante: http://www.securityfocus.com/bid/848
Resumen:

Ciertas versiones de SCO Unixware contienen una versión de
/usr/X/bin/xauto que es vulnerable a un ataque de buffer overflow
mediante el cual un atacante puede obtener privilegios de root.

Esta vulnerabilidad es explotable para adquirir privilegios de
root aun cuando /usr/X/bin/xauto no sea setuid root. Esto es
debido a un problema en el diseño del sistema SCO Unixware que
se discute en un mensaje adjunto en la sección de ‘Creditos’
titulado «UnixWare 7 uidadmin exploit + discussion» (ver url
relevante).

2. Vulnerabilidad de recorrido de directorio en Symantec
Mail-Gear
BugTraq ID: 827
Remoto: Sí
Fecha de publicación: 29-11-1999
URL Relevante: http://www.securityfocus.com/bid/827
Resumen:

Mail-Gear, un servidor filtrante de email multipropósito, incluye
un servidor web para administración remota y obtención de email.
Este servidor web es vulnerable al ataque de recorrido de
directorio ‘../’.

Esto permite que mediante la Inclusión de la cadena ‘../’ en la
URL, atacantes remotos pueden obtener acceso de lectura a todos
los archivos del sistema a los que el servidor tiene acceso.

3. Vulnerabilidad en el Task Scheduler del Microsoft IE5 Offline
Browsing Pack
BugTraq ID: 828
Remoto: Sí
Fecha de publicación: 29-11-1999
URL Relevante: http://www.securityfocus.com/bid/828
Resumen:

El Internet Explorer 5 Offline Browsing Pack incluye la utilidad
de programador de tareas (Task Scheduler). Este programa es
similar al servicio AT de NT, y en los sistemas NT, reemplaza al
servicio AT. El problema reside en que esta utilidad permite a
usuarios no autorizados crear trabajos AT (AT jobs) mediante la
modificación de un archivo existente cuyo dueño es el
administrador poniéndolo en el folder %systemroot%\tasks.

Esta vulnerabilidad solo puede ser explotada remotamente si la
carpeta «tasks» fue específicamente compartida (shared), o a
través del share C$ (por defecto) en NT. Es posible hacer que el
Task Scheduler haga uso de cualquier otra carpeta arbitraria
mediante la edición de la siguiente llave del registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent\TasksFolder
(Los cambios no surtirán efecto hasta después de reiniciado el
sistema).

El IE5 Offline Browsing Pack viene con el IE5, pero no se instala
por defecto.

4. Vulnerabilidad remota de buffer overflow en qpop
BugTraq ID: 830
Remoto: Sí
Fecha de publicación: 30-11-1999
URL Relevante: http://www.securityfocus.com/bid/830
Resumen:

Existe una vulnerabilidad de buffer overflow presente en
versiones actuales (3.x) del daemon popper de Qualcomm. Estas
vulnerabilidades son explotables remotamente ya que el demonio
corre como root y el host que ejecute qpopper puede ser
completamente comprometido anónimamente. El problema esté en
pop_msg.c, alrededor de la línea 68 y resulta de llamadas a
vsprintf() o sprintf() sin hacer ningún chequeo de limites.

5. Vulnerabilidad de cache de las credenciales en Plaintext en
Microsoft Windows 9x
BugTraq ID: 829
Remoto: Sí
Fecha de publicación: 29-11-1999
URL Relevante: http://www.securityfocus.com/bid/829
Resumen:

Windows 95 y 98 cachean el nombre de usuario y password en texto
plano en memoria RAM. Este comportamiento fue incluido por un
tema de compatibilidad hacia atrás (backwards compatibility) con
Windows for Workgroups, que implementaba este mecanismo para su
uso con el programa ‘net’ que manejaba la mayoría de los
requerimientos de configuración de red en el sistema operativo
WfW.

Este problema se puede explotar mediante llamadas a funciones
específicas para obtener las credenciales de otro usuario. Para
que esto funcione, el atacante debe tener acceso a la consola
de la maquina atacada, y esta no debe haber sido rebooteada
desde el ultimo logout. Solo es posible obtener las credenciales
del usuario mas reciente.

6. Solaris kcms_configure
BugTraq ID: 831
Remoto: No
Fecha de publicación: 30-11-1999
URL Relevante: http://www.securityfocus.com/bid/831
Resumen:

El binario kcms_configure, parte del paquete Kodak Color
Management System que viene con OpenWindows (y por ende, con
Solaris) es vulnerable a un buffer overflow local. El buffer al
cual se copia el contenido de la variable de ambiente NETPATH
tiene una longitud predeterminada, la cual si se excede puede
corromper la pila y causar la ejecución de código arbitrario
escondido dentro del buffer sobrecargado. kcms_configure se
instala con setuid root y la explotación resultara en el
compromiso del root.

7. Vulnerabilidad de buffer overflow de Multiples Vendors
en CDE dtmail/mailtool
BugTraq ID: 832
Remoto: No
Fecha de publicación: 30-11-1999
URL Relevante: http://www.securityfocus.com/bid/832
Resumen:

Existen tres vulnerabilidades de buffer overflow en las
utilidades de mail CDE, las cuales son instaladas sgid mail
por defecto.

La primera es explotable al sobrecargar un buffer en el campo
Content-Type: el cual se vería algo así:

Content-Type: image/aaaaaaaa long ‘a’ aaaaaa; name=»test.gif»

Mailtool producirá un overflow cuando se seleccione un
email que tenga un campo content-type como este. Puede ser
posible que un atacante obtenga privilegios de root si se
escribe el shellcode apropiado y el usuario root selecciona
el email malicioso.

La segunda vulnerabilidad está en dtmail, el cual se caerá (y
posiblemente ejecute código arbitrario) si un parámetro largo es
pasado al argumento -f de la línea de comando.

El tercero esta en mailpr, el cual también es vulnerable a un
parametro -f largo.

La consecuencia mas básica de la explotación de estas
vulnerabilidades es el compromiso del email local, ya que todo
los datos de mail se cambian a 0660, con lo que se otorgan
permisos de lectura y escritura a los miembros del grupo mail.

Al 30 de Noviembre de 1999, La única plataforma que se sabe
es vulnerable es Solaris 7.

8. Vulnerabilidad en el Subst.exe de NT
BugTraq ID: 833
Remoto: No
Fecha de publicación: 30-11-1999
URL Relevante: http://www.securityfocus.com/bid/833
Resumen:

El comando SUBST se usa para mapear una letra de unidad de disco
a una carpeta o disco existente. Este comando puede ejecutarse
por cualquier usuario. Luego de ser ejecutado, el mapeo sigue en
vigencia hasta que se borra, al ejecutar el comando subst
nuevamente con la opción /d. Por lo tanto, es posible que
un usuario de consola mapee una letra de unidad de disco a una
carpeta de su elección, y luego se desloguee, dejando el
mapeo activo para el próximo usuario. Si el siguiente usuario
trata manualmente de mapear un lugar diferente a esa letra,
va a obtener un error 85 «El nombre local de dispositivo ya
esta en uso» («The local device name is already in use.»). Sin
embargo, si la letra de unidad utilizada es igual a la de su
disco de home mapeado por la red, la operación va a fallar sin
ningún mensaje de error. Desde la perspectiva del usuario, no
sucederá nada obvio que le permita saber que su ‘disco home’ no
es para nada su disco habitual. Esto abre la posibilidad de hacer
ejecutar a un usuario programas maliciosos o troyanos, como
también la posibilidad de hacerle escribir documentos
potencialmente confidenciales a un directorio públicamente
accesible e incluso a un lugar compartido.

9. Vulnerabilidad de buffer overflow en FreeBSD gdc
BugTraq ID: 834
Remoto: No
Fecha de publicación: 01-12-1999
URL Relevante: http://www.securityfocus.com/bid/834
Resumen:

Existe una vulnerabilidad de buffer overflow en la versión de
gdc contenida en la versión 3.3-RELEASE de FreeBSD. Por defecto,
sólo los usuarios en el grupo wheel tienen acceso de ejecución
al gdc. El overflow ocurre cuando el argumento pasado al flag
-t (hora) excede el largo del buffer predefinido. Así es posible
corromper la pila y alterar el flujo de ejecución (y ejecutar
código arbitrario). Si el gdc está configurado como setuid root
(como ocurre por defecto) esto puede llevar a un compromiso del
root local si es explotado por usuarios que tienen, han obtenido
acceso o pertenecen al grupo wheel.

10. Vunerabilidad de Symlink en FreeBSD gdc
BugTraq ID: 835
Remoto: No
Fecha de publicación: 01-12-1999
URL Relevante: http://www.securityfocus.com/bid/835
Resumen:

Es posible escribir salida de debug (debug output) desde gdc a un
archivo (/var/tmp/gdb_dump). Desafortunadamente, gdc sigue los
links simbólicos que pueden crearse en tmp y sobreescribir así
cualquier archivo en el sistema gracias a que es setuid root.
Esto no causa ningún compromiso inmediato y se asemeja más a un
ataque de negación de servicios ya que no cambia los permisos del
archivo sobreescrito (es decir, escribibles para todos o para el
grupo). Los usuarios locales deben estar en el grupo wheel (o
equivalente) para ejecutar gdc.

11. Vulnerabilidades en Solaris arp/chkprm
BugTraq ID: 837
Remoto: No
Fecha de publicación: 01-12-1999
URL Relevante: http://www.securityfocus.com/bid/837
Resumen:

Es posible leer archivos cuyo dueño es bin aun cuando el acceso
de lectura no esté permitido a los usuarios locales, explotando
sutiles vulnerabilidades en arp y chkperm.

Con arp, esto se hace mediante la especificación de un archivo
con el parámetro -f. Cuando arp trata de interpretar el contenido
del archivo (como es sgid/suid bin puede abrirlo y leerlo
perfectamente), fallará y mostrará las «líneas erróneas»
(«erroneous lines» ) del archivo junto con sus mensajes de error.
Esas «líneas erróneas» son el contenido del archivo al cual
usualmente el usuario no tiene acceso de lectura (y pertenece al
usuario/grupo bin).

Con chkperm, esta vulnerabilidad se explotaría mediante la
configuración de una variable de ambiente en la cual chkperm
referencia donde escribir un archivo con un nombre conocido
(siendo posible indicar lugares arbitrarios, donde un atacante
tenga acceso de escritura). El hacker creará un subdirectorio lib
dentro del path especificado en VMSYS, y un archivo en /lib
llamado .facerc, que será un symlink a cualquier archivo que se
quiera leer. Luego chkperm se ejecutará con el flag -l y el
contenido del archivo apuntado será mostrado (como lo vería bin).

Se sabe que Solaris 2.x es vulnerable.

12. Vulnerabilidad de setgid dialer en el FreeBSD Seyon
BugTraq ID: 838
Remoto: No
Fecha de publicación: 1999-12-01
URL Relevante: http://www.securityfocus.com/bid/838
Resumen:

FreeBSD 3.3-RELEASE viene con el Seyon, un programa de
comunicaciones que contiene varias vulnerabilidades que pueden
permitir a un usuario malicioso elevar sus privilegios. La
vulnerabilidad, sin embargo, es que Seyon todavía se instala como
setgid dialer en FreeBSD.

Cuando seyon es explotado, un usuario local puede otorgarse a si
mismo privilegios que le permitirán el acceso a los dispositivos
de comunicaciones o cualquier otra cosa accesible al grupo
dialer.

13. Vulnerabilidad de buffer overflow en FreeBSD xmindpath
BugTraq ID: 839
Remoto: No
Fecha de publicación: 01-12-1999
URL Relevante: http://www.securityfocus.com/bid/839
Resumen:

La versión de xmindpath que viene con FreeBSD 3.3 puede ser
localmente explotada al sobrecargar un buffer de longitud
predefinida. Es posible obtener el effective userid de uucp
a través de esta vulnerabilidad. Quizás sea posible, luego de
obtener privilegios uucp, modificar binarios a los que uucp
tiene acceso de escritura y convertirlos en troyanos para elevar
aun más los privilegios. por ejemplo: modificar minicom para que
cuando el usuario root lo ejecute deje en algún lado un shell
suid.

14. Vulnerabilidad de buffer overflow en FreeBSD angband
BugTraq ID: 840
Remoto: No
Fecha de publicación: 01-12-1999
URL Relevante: http://www.securityfocus.com/bid/840
Resumen:

La versión de angband incluida en FreeBSD 3.3-RELEASE es
vulnerable a un ataque local de buffer overflow. Ya que es setgid
games, es posible el compromiso de archivos y directorios cuyo
dueño sea el grupo games.

15. Vulnerabilidad de buffer overflow en RSAREF
BugTraq ID: 843
Remoto: Si
Fecha de publicación: 01-12-1999
URL Relevante: http://www.securityfocus.com/bid/843
Resumen:

Existe una vulnerabilidad de buffer overflow en la librería
criptográfica RSAREF que posiblemente haga vulnerable
a cualquier programa que use la librería.

La vulnerabilidad existe en cuatro funciones en el archivo rsa.c.
Las funciones son:

int RSAPublicEncrypt()
int RSAPrivateEncrypt()
int RSAPublicDecrypt()
int RSAPrivateDecrypt()

Todas estas funciones definen una variable local llamada
pkcsBlock de 128 bytes de longitud a la que se le puede
provocar un overflow e incluso se puede lograr la ejecución
de código arbitrario.

Esta vulnerabilidad, en combinación con BUGTRAQ ID 797, hace que
versiones de SSHD linkadas con la librería RSAREF2 sean
vulnerables a un exploit remoto.

16. Vulnerabilidad de permisos de instalación en IBM Websphere
BugTraq ID: 844
Remoto: No
Fecha de publicación: 02-12-1999
URL Relevante: http://www.securityfocus.com/bid/844
Resumen:

La aplicación servidor IBM Websphere, crea un shellscript de
desinstalacion cuando se instala en Solaris (o posiblemene AIX).
Este script, de nombre pkgmg, tiene mode 777 en /usr/bin y se
ejecuta por root. Esto significa que un atacante puede modificar
el script y agregarle código malicioso, dando como resultado el
compromiso del root una vez que se ejecute. IBM Websphere también
instala muchos de sus archivos de datos con el mode 777 en sus
permisos.

17. Vulnerabilidad de configuracion por defecto en Endymion
Mailman
BugTraq ID: 845
Remoto: No
Fecha de publicación: 02-12-1999
URL Relevante: http://www.securityfocus.com/bid/845
Resumen:

Endymion mailman es una suite comercial de web mail escrita en
perl. Cuando se instala, por defecto configura los permisos de
manera que lo hace vulnerable localmente (666 para archivos, 777
para directorios). Debido a esto es posible que usuarios locales,
sin privilegios puedan leer y escribir al email de usuarios
arbitrarios (quienes usan el sistema mailman) así como también
a archivos propiedad de uid webmaster.

18. Vulnerabilidad de spoofing en Microsoft IE5 WPAD
BugTraq ID: 846
Remoto: Si
Fecha de publicación: 02-12-1999
URL Relevante: http://www.securityfocus.com/bid/846
Resumen:

La opción de configuración de proxy automático de IE5, WPAD (Web
Proxy Auto-Discovery) puede engañarse para que use o
trate de usar un servidor no autorizado como servidor proxy.
Un atacante en una red diferente podría utilizar esto para
leer el trafico web de los clientes IE5.

IE5 buscara por un servidor WPAD para lo que se fijará en las
máquinas que tengan como nombre wpad.x.x.x en el dominio actual.
Si no se encuentra ninguna procederá a subir por la estructura de
los nombres de dominio, hasta que llegue al tercer nivel de
nombre de dominio.

Por ejemplo, si IE5 se ejecuta en el host a.b.c.d.net primero va
a buscar por wpad.b.c.d.net, luego wpad.c.d.net, luego
wpad.d.net.

En ciertas configuraciones de red, el dominio de tercer nivel no
es necesariamente una parte confiable de la red, y un atacante
puede poner un servidor para ser usado como proxy por los clientes
IE5.

19. Vulnerabilidad de buffer overflow en autenticación de
Netscape Enterprise & FastTrack
BugTraq ID: 847
Remoto: Sí
Fecha de publicación: 01-12-1999
URL Relevante: http://www.securityfocus.com/bid/847
Resumen:

Ciertas versiones de los servidores Netscape FastTrack y
Enterprise para Unix y NT poseen una vulnerabilidad de buffer
overflow explotable remotamente. Esta vulnerabilidad está
presente en los servidores de Aplicación y Administración que
vienen con los paquetes respectivos.

El problema yace en el procedimiento de Autenticación Básica HTTP
(HTTP Basic Authentication) para los dos servidores el cual tiene
una condición de buffer overflow cuando se provee un nombre
de usuario o password largo (mas de 508 caracteres). Esto puede
permitir a un atacante obtener privilegios de root bajo UNIX y
privilegios de SYSTEM bajo NT.

20. Vulnerabilidad en permisos de SCO UnixWare ‘/var/mail’
BugTraq ID: 849
Remoto: No
Fecha de publicación: 03-12-1999
URL Relevante: http://www.securityfocus.com/bid/849
Resumen:

Ciertas versiones de SCO Unixware (solo la 7.1 fue testada)
vienen con el directorio /var/mail/ con permisos 777 (-rwxrwxrwx).
Esto en efecto permite a usuarios maliciosos leer el mail
entrante de los usuarios que todavía no tienen un archivo de mail
(/var/mail/username) presente. Esto se puede hacer simplemente al
crear el archivo en cuestión con permisos que le permitan la
lectura al atacante.

21. Vulnerabilidad en comandos ‘pkg’ de SCO UnixWare
BugTraq ID: 850
Remoto: Sí
Fecha de publicación: 03-12-1999
URL Relevante: http://www.securityfocus.com/bid/850
Resumen:

Ciertas versiones de SCO Unixware (solo la versión 7.1 fue
testada) vienen con una serie de utilidades para instalación
y remoción de paquetes. Todas ellas, debido a un problema de
diseño del sistema operativo SCO UnixWare pueden leer cualquier
archivo en el sistema sin importar el conjunto de permisos.
Esto se debe a que los comandos de paquetes (pkginfo, pkgcat,
pkgparam, etc.) tienen acceso extendido debido a los Controles
de Acceso Discrecionales (Discretionary Access Controls (DAC)
vía /etc/security/tcb/privs. Este mecanismo se explica más
profundamente en el mensaje original a Bugtraq el cual se
lista en la sección de ‘Créditos’ de esta vulnerabilidad (ver
url relevante).

22. Vulnerabilidad de Symlink en SCO UnixWare ‘coredump’
BugTraq ID: 851
Remoto: No
Fecha de publicación: 1999-12-03
URL Relevante: http://www.securityfocus.com/bid/851
Resumen:

Bajo ciertas versiones de SCO UnixWare si un usuario puede forzar
a un programa SGID (Set Group ID) a generar un coredump se puede
lanzar un ataque de symlink a través de adivinar el PID (Process
ID) del proceso SGID al que se llama.

Esto es necesario porque el archivo coredump se genera en
el directorio en el cual se ejecuta como ‘./core.pid’. El
programa descargado no chequea la existencia de un archivo
symlink y sobreescribe sin problemas cualquier archivo para
el que tenga los permisos necesarios. Muchos binarios
SGID bajo Unixware estan en el grupo ‘sgid-sys’ un grupo que
tiene permisos de escritura a un gran numero de archivos
críticos del sistema.

Este ataque más probablemente resulte en un ataque de negación
de servicios, sin embargo si el atacante puede proveer alguna
información al archivo core puede ser posible conseguir
acceso root. Por ejemplo, si el intruso pudiera poner ‘+ +’ en
una línea de su propio archivo core este podría sobreeescribir
el archivo .rhosts del root.

Hernan Ochoa
hochoa@core-sdi.com
Investigacion y Desarrollo – CoreLabs – Core SDI
http://www.core-sdi.com

Compártelo: