Resumen de Bugtraq del 10-01-2000 al 16-01-2000

Ataque DoS en MsgCore/NT, vulnerabilidad en el reprocutor
MP3 Winamp, en MySQL, en el lpd de Linux, Corel para
Linux y buffer overflow remoto en ICQ.
1. Vulnerabilidad de negación de servicio en MsgCore/NT
2. Vulnerabilidad en Playlist de Winamp
3. Vulnerabilidad de cambio global de passwords usando permisos
GRANT en MySQL
4. Vulnerabilidad en el lpd de Linux
5. Vulnerabilidad get_it PATH en Corel Linux
6. Vulnerabilidad de buffer overflow remoto en URL en ICQ

Actualización de parches del 10-01-2000 al 16-01-2000
—————————————————–
1. Vulnerabilidad parcheada: Negación de servicio en MsgCore SMTP
2. Vulnerabilidad parcheada: Cambio global de passwords en MySQL
con GRANT
3. Vulnerabilidad parcheada: Vulnerabilidades en Linux lpd

Resumen de Bugtraq del 10-01-2000 al 16-01-2000
———————————————–

1. Vulnerabilidad de negacion de servicio en MsgCore/NT
BugTraq ID: 930
Remoto: Sí
Fecha publicación: 13-01-2000
URL relevante: http://www.securityfocus.com/bid/930
Resumen:

Existe una condición de negación de servicio en el servidor SMTP
MsgCore de Nosque Workshop. El problema reside en que la memoria
usada para almacenar la información entrante en el servidor no se
libera, por lo que eventualmente se agota y causa que la máquina
NT atacada se cuelgue y necesite ser reiniciado.

Si un cliente smtp (o un usuario que envíe los datos de forma
manual) transmite múltiples secuencias de comandos «HELO/ MAIL
FROM / RCPT TO / DATA» en una misma conexión, la memoria empleada
para guardar todos esos valores no será liberada. Por lo que el
servidor atacado dejara de funcionar una vez que se quede sin
memoria.

2. Vulnerabilidad en Playlist de Winamp
BugTraq ID: 925
Remoto: No
Fecha publicación: 10-01-2000
URL relevante: http://www.securityfocus.com/bid/925
Resumen:

Winamp, un programa para escuchar música en formato mp3s y otros
tipos de archivos de audio, usa archivos playlist (*.pls, lista
de temas) para guardar la lista de archivos a reproducir. Se
puede causar un desbordamiento de buffer y lograr la ejecución de
código arbitrario debido a que el código que lee estos archivos
tiene un buffer sin chequear. Si se especifica una entrada mayor
de 580 bytes en el archivo, el EIP se sobreescribe.

Esta vulnerabilidad sólo se puede explotar de forma remota,
convenciendo al usuario atacado para que se baje el playlist
malicioso y lo cargue en Winamp. Si Winamp está instalado
Internet Explorer bajará archivos .pls sin pedir la confirmación
del usuario

3. Vulnerabilidad de cambio global de passwords usando permisos
GRANT en MySQL
BugTraq ID: 926
Remoto: Sí
Fecha publicación: 11-01-2000
URL relevante: http://www.securityfocus.com/bid/926
Resumen:

MySQL es un RDBMS popular, usado por muchos sitios como back-end.
Es posible que los usuarios con permisos de GRANT cambien los
passwords de todos los usuarios en la base de datos (lo que
incluye al superusuario de mysql). MySQL por defecto incluye una
cuenta «test» con privilegios de GRANT y sin password, lo que
significa que cualquiera se puede conectar a la base de datos.
Estos dos problemas combinados pueden resultar en un compromiso
remoto total de la base de datos (y probablemente también
anónimo).

La base de datos se puede ver comprometida aun si la cuenta test
está deshabilitada (si se tiene una cuenta de usuario local con
privilegios de GRANT).

4. Vulnerabilidad en el lpd de Linux
BugTraq ID: 927
Remoto: Sí
Fecha publicación: 11-01-2000
URL relevante: http://www.securityfocus.com/bid/927
Resumen:

La versión de lpd incluida con la mayoría de las distribuciones
de Linux es vulnerable a diversos problemas de seguridad de gran
seriedad. El mas significativo es la falta de autenticación
correcta. Esto se basa en el nombre del host, y se realiza
comparando el hostname reverse-resolved del IP que se conecta con
el hostname local.

Si el atacante cambia el reverse-resolved hostname de su
dirección IP para que concuerde con el hostname de la maquina
atacada, obtendrá acceso a lpd sin ningún tipo de problemas.

Luego se podría hacer lo siguiente:

– el atacante puede enviar tantos archivos como quiera al
directorio de spool de la impresora

– se puede especificar cualquier cosa en el archivo de control

– es posible enviar argumentos arbitrarios al sendmail (porque
existe una opción para enviar mail a alguien cuando un trabajo
de impresión se finaliza, pero se puede usar cualquier cosa
como argumento en vez de una dirección de e-mail). Esto puede
llevar a un compromiso del root si se envía a imprimir un
archivo cf de sendmail disfrazado y se usa cuando el argumento
«-C» se pasa al sendmail.

Existían problemas similares descubiertos por SNI (adquirida por
Network Associates) en versiones anteriores de lpd de los *BSD,
que fueren subsanados prontamente.

5. Vulnerabilidad get_it PATH en Corel Linux
BugTraq ID: 928
Remoto: No
Fecha publicación: 12-01-2000
URL relevante: http://www.securityfocus.com/bid/928
Resumen:

Un componente de la utilidad «Corel Update» distribuida con Corel
Linux OS posee una vulnerabilidad de PATH local. El binario
«get_it» que se almacena en /usr/X11R6/bin se instala por defecto
con setuid root en todos los sistemas Corel Linux OS (esto es
parte de su paquete .deb de utilidades de instalación y
actualización). get_it confía en PATH cuando este hace llamadas
‘cp’ (sin la ruta completa), lo que hace posible soltar un
programa arbitrario (llamado ‘cp’) que heredará privilegios de
root mediante el cambio del primer path buscado por otro en el
que reside el ‘cp’ malicioso. La consecuencia es el inmediato
compromiso de root.

6. Vulnerabilidad de buffer overflow remoto en URL en ICQ
BugTraq ID: 929
Remoto: Sí
Fecha publicación: 12-01-2000
URL relevante: http://www.securityfocus.com/bid/929
Resumen:

ICQ es un programa de chats entre dos personas a través de la
red. Puede presumir de tener clientes instalados en millones de
computadoras alrededor del mundo. Es, de lejos, el mas usado pero
es vulnerable a un buffer overflow remoto. Cuando el cliente
Mirabilis ICQ interpreta una URL recibida de otro usuario _dentro
de un mensaje_, no realiza chequeos de limites en la longitud de
la url. Debido a esto, es posible sobreescribir el EIP y con ello
ejecutar código arbitrario en la maquina destino una vez que se
pulse la URL sobredimensionada.

Esta cadena de ejemplo fue tomada del mensaje de Drew Copley en
Bugtraq:

http://www.yahoo.com/sites.asp?^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð
^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð
^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð
^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð
^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð
^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð
^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð
^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð
^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð
^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð
^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð
^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð
^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð
^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð
^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð
^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð^Ð!!!!·P!^Ð
^Ð^Ð^Ð^Ð^Ð^Ð^Ð

(sin retornos de carro en la url) !!!! es donde se sobreescribe
el EBP, y los 4 caracteres que le siguen es donde se sobreescribe
el EIP.

Las consecuencias de explotar esto pueden ser el compromiso de la
maquina atacada, por ejemplo, lograr instalar el bo2k o netcat
para permitir el acceso y/o control remoto. Se sospecha que del
cliente de ICQ existen más vulnerabilidades similares sin
publicar. Se comprobó que esto hace caer al cliente ICQ versión
.99b Beta v.3.19.

Actualización de parches del 10-01-2000 al 16-01-2000
—————————————————–
1. Vendedor: Nosque Workshop
Producto: servidor SMTP MsgCore
Vulnerabilidad parcheada: Negación de servicio en MsgCore SMTP
BugTraq ID: 930
URL relevante: http://www.securityfocus.com/bid/930
Ubicación del Parche: http://www.web-net.com/supermail/

2. Vendedor: T.C.X DataKonsult
Producto: MySQL
Vulnerabilidad parcheada: Cambio global de passwords en MySQL con
GRANT
BugTraq ID: 926
URL relevante: http://www.securityfocus.com/bid/926
Ubicación del Parche:
http://www.securityfocus.com/vdb/bottom.html?section=solution&vid=926

3. Vendedor: Redhat
Producto: Redhat Linux
Vulnerabilidad parcheada: Vulnerabilidades en Linux lpd
BugTraq ID: 927
URL relevante: http://www.securityfocus.com/bid/927
Ubicación del Parche:

Red Hat Linux 6.x:

Intel:
ftp://updates.redhat.com/6.1/i386/lpr-0.48-1.i386.rpm

Alpha:
ftp://updates.redhat.com/6.1/alpha/lpr-0.48-1.alpha.rpm

Sparc:
ftp://updates.redhat.com/6.1/sparc/lpr-0.48-1.sparc.rpm

Paquetes con el código fuente:
ftp://updates.redhat.com/6.1/SRPMS/lpr-0.48-1.src.rpm

Red Hat Linux 5.x:

Intel:
ftp://updates.redhat.com/5.2/i386/lpr-0.48-0.5.2.i386.rpm

Alpha:
ftp://updates.redhat.com/5.2/alpha/lpr-0.48-0.5.2.alpha.rpm

Sparc:
ftp://updates.redhat.com/5.2/sparc/lpr-0.48-0.5.2.sparc.rpm

Paquetes con el código fuente:
ftp://updates.redhat.com/5.2/SRPMS/lpr-0.48-0.5.2.src.rpm

Red Hat Linux 4.x:

Intel:
ftp://updates.redhat.com/4.2/i386/lpr-0.48-0.4.2.i386.rpm

Alpha:
ftp://updates.redhat.com/4.2/alpha/lpr-0.48-0.4.2.alpha.rpm

Sparc:
ftp://updates.redhat.com/4.2/sparc/lpr-0.48-0.4.2.sparc.rpm

Paquetes con el código fuente:
ftp://updates.redhat.com/4.2/SRPMS/lpr-0.48-0.4.2.src.rpm

Acerca de Hispasec

Hispasec Ha escrito 6939 publicaciones.

• View all posts by Hispasec →
• Blog