Resumen de Bugtraq del 24-01-2000 al 30-01-2000

Vulnerabilidades en el File System /proc de múltiples vendedores,
Symlink en VMware, conversión en Microsoft East Asian Word,
enumeración de archivo del registro en NT RDISK, Directory
Transversal en NT Index Server, buffer overflow en Inter7
vpopmail y en ‘LIST’ en Qualcomm qpopper.
1. Vulnerabilidad en el File System /proc de múltiples vendedores
BSD
2. Secuestro de dominios DNS TLD & Out Of Zone NS
3. Vulnerabilidad de buffer overflow en Inter7 vpopmail (vchkpw)
4. Vulnerabilidad de Symlink en VMware
5. Vulnerabilidad de DoS en HP Path MTU Discovery
6. Vulnerabilidad de conversión en Microsoft East Asian Word
7. Vulnerabilidad en enumeración de archivo del registro en NT
RDISK
8. Vulnerabilidad de buffer overflow en ‘LIST’ en Qualcomm
qpopper
9. Vulnerabilidad de Directory Traversal en NT Index Server

Actualización de parches del 24-01-2000 al 30-01-2000
—————————————————–

1. Vulnerabilidad parcheada: Buffer overflow en ‘LIST’ de
Qualcomm qpopper
2. Vulnerabilidad parcheada: NT Index Server Directory Traversal
3. Vulnerabilidad parcheada: /proc File System de múltiples
Vendedores BSD
4. Vulnerabilidad parcheada: /proc File System de múltiples
Vendedores BSD
5. Vulnerabilidad parcheada: Buffer overflow en Inter7 vpopmail
(vchkpw)
6. Vulnerabilidad parcheada: Enumeración de archivo de registro
en NT RDISK
7. Vulnerabilidad parcheada: Conversión en Microsoft East Asian
Word
8. Vulnerabilidad parcheada: Race Condition en make /tmp de
múltiples vendedores BSD

Resumen de Bugtraq del 24-01-2000 al 30-01-2000
———————————————–

1. Vulnerabilidad en el File System /proc de múltiples vendedores
BSD
BugTraq ID: 940
Remoto: No
Fecha de publicación: 21-01-2000
URL Relevante: http://www.securityfocus.com/bid/940
Resumen:

Ciertos sistemas operativos derivados de BSD usan una
implementaron del filesystem /proc que es vulnerable al ataque de
usuarios locales maliciosos. Este ataque le permite obtener al
atacante acceso root al host.

El filesystem proc fue originalmente diseñado para permitir el
acceso fácil a información sobre procesos (de ahí su nombre). Su
beneficio típico es el acceso más rápido a la memoria y por lo
tanto operaciones más fluidas. Como se dijo anteriormente,
ciertas implementaciones tienen una seria vulnerabilidad. En
resumen, la vulnerabilidad está en que los usuarios pueden
manipular procesos del sistema que usen /proc para obtener
privilegios de root. Los detalles completos se encuentran en el
aviso de seguridad adjunto en la sección ‘Credit’ de esta
vulnerabilidad en la base de datos de Bugtraq.

2. Secuestro de Dominios DNS TLD & Out Of Zone NS
BugTraq ID: 941
Remoto: Sí
Fecha de publicación: 23-01-2000
URL Relevante: http://www.securityfocus.com/bid/941
Resumen:

Existe una vulnerabilidad en el mecanismo usado por el DNS, en
general, para determinar el servidor de nombres asociado con TLDs
(top level domains). DNS está construido sobre niveles de
confianza, y al explotar puntos individuales donde falla este
sistema de confianza un atacante puede convencer a un servidor de
nombres cache que permite la recursividad a través de él mismo,
que el servidor root para un TLD dado es otro que el que
verdaderamente es. Un usuario malicioso al realizar este ataque
al cache consecutivamente, podría tomar posesión de todo el
servicio de DNS para un dominio dado.

La vulnerabilidad en verdad no es especifica para TLDs. Se puede
usar el mismo ataque para tomar posesión de cualquier dominio que
tenga registros NS fuera de zona (out of zone NS records) si se
compromete cualquiera de los servidores que actúan como servidor
de nombres para el dominio fuera de zona.

La explicación más simple fue presentada en el ejemplo que dio
el descubridor de esta vulnerabilidad, Dan Bernstein, en la lista
de correo Bugtraq, el 23 de enero del 2000: “Supóngase que un
atacante puede hacer consultas recursivas a través de su cache.
Dejenme enfatizar que esto no significa que el atacante es uno de
sus amados usuarios; muchos programas actúan como herramientas de
encapsulación de consultas DNS.”

Supongase que el atacante también tiene la posibilidad, de alguna
manera, de tomar posesión de ns2.netsol.com. Este no es uno de
los servidores .com, pero es un servidor de nombres para el
dominio gtld-servers.net. Esto es lo que sucede:

(1) El atacante le pregunta a su cache acerca de z.com. Su cache
contesta (digamos) k.root-servers.net, que proporciona:

com NS j.gtld-servers.net (entre otros)
j.gtld-servers.net A 198.41.0.21

estos registros son almacenados en cache.

(2) El atacante le pregunta a su cache por z.gtld-servers.net. Su
cache contacta (digamos) f.root-servers.net, que proporciona:

gtld-servers.net NS ns2.netsol.com (entre otros)
ns2.netsol.com A 207.159.77.19

estos registros se almacenan en cache.

(3) El atacante toma posesión de ns2.netsol.com.

(4) El atacante le pregunta a su cache sobre zz.gtld-servers.net.
Su cache contacta ns2.netsol.com, y el atacante responde:

zz.gtld-servers.net CNAME j.gtld-servers.net
j.gtld-servers.net A 1.2.3.4

Estos registros se almacenan en cache y se elimina el obsoleto j.

(5) Un usuario legítimo le pregunta a su cache por yahoo.com. Su
cache contacta j.gtld-servers.net, y el atacante responde:

yahoo.com A 1.2.3.4

el usuario contacta a yahoo.com en esa dirección.

El ataque ofrecido requiere que un atacante pueda comprometer la
operación del servidor DNS que se ejecuta, en este caso, sobre
ns2.netsol.com, aunque potencialmente este no es el único
servidor que podría usarse para lanzar un ataque de este tipo. El
autor indica mas adelante que hay mas de 200 servidores que
pueden ser usados para manipular la resolución de todos los
dominios .COM.

3. Vulnerabilidad de Buffer Overflow en Inter7 vpopmail (vchkpw)
BugTraq ID: 942
Remoto: Sí
Fecha de publicación: 21-01-2000
URL Relevante: http://www.securityfocus.com/bid/942
Resumen:

Vpopmail (vchkpw) es un paquete de software GPL gratuito escrito
para ayudar en la administración de dominios virtuales y cuentas
de email que no usen /etc/passwd en servidores de mail Qmail.
Este paquete está desarrollado por Inter7 (referenciado en la
sección ‘Credit’) y no se distribuye, ni mantiene por la
distribución principal de Qmail.

Ciertas versiones de esta software son vulnerables a un buffer
overflow remoto en la autenticación del password de vpopmail.

4. Vulnerabilidad de Symlink en VMware
BugTraq ID: 943
Remoto: No
Fecha de publicación: 21-01-2000
URL Relevante: http://www.securityfocus.com/bid/943
Resumen:

VMware es un software que ejecuta múltiples computadoras
virtuales en un solo PC al mismo tiempo, sin particionar o
reiniciar.

Ciertas versiones de VMWare para Linux no hacen chequeos de
sanidad en /tmp y crean archivos en el directorio /tmp que siguen
symlinks. Esto puede usarse por un usuario malicioso para
sobreescribir cualquier archivo (con información de log) que
caiga dentro de los permisos de escritura del user ID como el
cual se esta ejecutando VMWare. Típicamente es root. Este ataque
mayormente resultará en una negación de servicio y no en un
compromiso del root.

5. Vulnerabilidad de DOS en HP Path MTU Discovery
BugTraq ID: 944
Remoto: Sí
Fecha de publicación: 24-01-2000
URL Relevante: http://www.securityfocus.com/bid/944
Resumen:

Existe una potencial negación de servicio en el protocolo
propietario de Hewlett-Packard para descubrir el PMTU (maximum
path MTU) para una conexión dada.

Esta facilidad puede usarse potencialmente para causar negaciones
de servicio, mediante el uso de maquinas HPUX como
“amplificadores”. Esencialmente, las máquinas HP que son
vulnerables pueden, bajo ciertas condiciones, ser obligadas a
enviar mucha más data outbound de la inbound que reciben. Al
falsificar direcciones de origen, es posible enviar una pequeña
cantidad de paquetes y decir que son de una determinada fuente.
De esta forma se puede causar que la maquina HPUX envíe múltiples
paquetes en respuesta. Esto puede usarse potencialmente para
lleva a cabo ataques de negación de servicio.

El protocolo propietario de HP para hacer path discovery funciona
mediante el envío de información en paralelo con los paquetes
ICMP que se usan para el path discovery. Si bien no se hicieron
públicos los detalles exactos sobre la naturaleza de las
negaciones de servicio, presuntamente podría ser posible utilizar
paquetes UDP, y hacer que los servicios UDP comiencen la cadena
de eventos que llevarían a la negación de servicio.

6. Vulnerabilidad de conversión en Microsoft East Asian Word
BugTraq ID: 946
Remoto: No
Fecha de publicación: 20-01-2000-01-20
URL Relevante: http://www.securityfocus.com/bid/946
Resumen:

Las versiones en lenguajes del Este Asiatico de Word y PowerPoint
son susceptibles a un exploit de buffer overflow. El buffer al
cual se le puede hacer el desbordamiento está en el código que
convierte documentos de Word 5 a nuevos formatos. Word 97, 98 y
2000.

Si se carga un documento Word 5 modificado especialmente en
chino, japonés o coreano, en una nueva versión de Word o
PowerPoint, se puede ejecutar código arbitrario durante el
proceso de conversión, con el nivel de privilegio del usuario
actual.

7. Vulnerabilidad en enumeración de archivo del registro en NT
RDISK
BugTraq ID: 947
Remoto: No
Fecha de publicación: 21-01-2000
URL Relevante: http://www.securityfocus.com/bid/947
Resumen:

La utilidad Rdisk incluida con todas las versiones de Windows
NT4.0 se usa para crear un disco de emergencia (Emergency Repair
Disk). Durante la creación de este disco, se crea un archivo
temporal ($$hive$$.tmp) en el directorio %systemroot%\repair que
contiene las llaves del registro mientras se hace la copia de
seguridad. El grupo Everyone (Todos) tiene permisos de Lectura
para este archivo, y de esta manera es posible que se filtre
información importante acerca del servidor.

El archivo se genera en una ubicación que no se encuentra
compartida (shared) por defecto, y se elimina inmediatamente
después que el disco se crea. El único escenario en el que esto
podría explotarse es en el caso de NT Terminal Server, donde un
administrador y un usuario común pueden estar ambos logueados
simultáneamente en forma interactiva.

8. Vulnerabilidad de buffer overflow en ‘LIST’ en Qualcomm
qpopper
BugTraq ID: 948
Remoto: Sí
Fecha de publicación: 26-01-2000
URL Relevante: http://www.securityfocus.com/bid/948
Resumen:

Existe un buffer overflow explotable de forma remota en el
demonio ‘qpopper’ de Qualcomm, que permite a los usuarios que
tienen un nombre de usuario y password para una cuenta POP
comprometer el servidor donde se ejecuta el demonio.

El problema se encuentra en la función que maneja el comando
‘LIST’ disponible para los usuarios ya autentificados. Al
proveerle un argumento demasiado largo se le puede causar un
desbordamiento a un buffer, con el resultado de que el atacante
gane acceso con el user ID (UID) del usuario cuya cuenta se usa
para llevar a cabo el ataque y el group ID (GID) mail.

Este resulta en el acceso remoto al servidor y posiblemente
(dependiendo en como esté configurada la maquina) en la
posibilidad de leer el correo de usuarios del sistema usando el
GID mail.

9. Vulnerabilidad de Directory Traversal en NT Index Server
BugTraq ID: 950
Remoto: Sí
Fecha de publicación: 26-01-2000
URL Relevante: http://www.securityfocus.com/bid/950
Resumen:

Index Server 2.0 es una utilidad incluida en el Option Pack de NT
4.0. La funcionalidad proporcionada por Index Services ha sido
incluida dentro del Windows 2000 como Indexing Services
(Servicios de Indexación).

Cuando se combina con IIS, Index Server y Indexing Services
incluyen la posibilidad de ver resultados de búsqueda web en su
contexto original. Se generara una pagina HTML mostrando los
términos de la consulta con un pequeño extracto del texto que se
encuentra alrededor, junto con el link a esa pagina.

Esto es conocido como “Hit Highlighting”. Para hacer esto,
soporta el tipo de archivo .htw que es controlado por la
aplicación ISAPI webhits.dll. Esta dll permite el uso del
directorio ‘../’ en la selección de un archivo plantilla. Esto
permitirá ver de forma remota y sin autenticación cualquier
archivo en el sistema cuya ubicación sea conocida por el
atacante.

Actualización de parches del 24-01-2000 al 30-01-2000
—————————————————–

1. Vendedor: Qualcomm
Producto: Qpopper
Vulnerabilidad parcheada: Buffer overflow en ‘LIST’ de Qualcomm
qpopper
Bugtraq ID: 948
URLs relevantes:
http://www.eudora.com/freeware/qpop.html#BUFFER
http://www.securityfocus.com/bid/948
Ubicación del parche:
ftp://ftp.qualcomm.com/eudora/servers/unix/popper/qpopper3.0b31.tar.Z

2. Vendedor: Microsoft
Producto: Index Server para Windows NT y 2000
Vulnerabilidad parcheada: NT Index Server Directory Traversal
Bugtraq ID: 950
URLs relevantes:
http://www.microsoft.com/security
http://www.securityfocus.com/bid/950
Ubicación de los parches:
Index Server 2.0:
Intel:
http://www.microsoft.com/downloads/release.asp?ReleaseID=17727
Alpha:
http://www.microsoft.com/downloads/release.asp?ReleaseID=17728
Indexing Services para Windows 2000:
Intel:
http://www.microsoft.com/downloads/release.asp?ReleaseID=17726

3. Vendedor: OpenBSD
Producto: OpenBSD
Vulnerabilidad parcheada: /proc File System de múltiples
vendedores BSD
Bugtraq ID: 940
URLs relevantes:
http://www.openbsd.org/errata.html
http://www.securityfocus.com/bid/940
Ubicación del parche:
http://www.openbsd.org/errata.html#procfs

4. Vendedor: FreeBSD
Producto: FreeBSD
Vulnerabilidad parcheada: /proc File System de múltiples
vendedores BSD
Bugtraq ID: 940
URLs relevantes:
http://www.freebsd.org/security/
http://www.securityfocus.com/bid/940
Ubicación del parche:
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/patches/SA-00:02/procfs.patch

5. Vendedor: Inter7
Producto: vpopmail
Vulnerabilidad parcheada: Buffer Overflow en Inter7 vpopmail
(vchkpw)
Bugtraq ID: 942
URLs relevantes:
http://www.inter7.com/
http://www.securityfocus.com/bid/942
Ubicación del parche:
http://www.inter7.com/vpopmail/ (versión 3.1.11e)

6. Vendedor: Microsoft
Producto: NT 4.0 Terminal Server Edition
Vulnerabilidad parcheada: Enumeración de archivo de registro en
NT RDISK
Bugtraq ID: 947
URLs relevantes:
http://www.microsoft.com/security
http://www.securityfocus.com/bid/947
Ubicación del parche:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=17384

7. Vendedor: Microsoft
Producto: Office (Todas las versiones, incluyendo word y
powerpoint)
Vulnerabilidad parcheada: Conversión en Microsoft East Asian Word
Bugtraq ID: 946
URLs relevantes:
http://www.microsoft.com/security
http://www.securityfocus.com/bid/946
Ubicación del parche:
– Word 97 o 98, PowerPoint 98: –
US:
http://officeupdate.microsoft.com/downloaddetails/ww5pkg.htm
Japón:
http://officeupdate.microsoft.com/japan/downloaddetails/MalformedData-97.htm
Corea:
http://officeupdate.microsoft.com/korea/downloaddetails/MalformedData-97.htm
China:
http://officeupdate.microsoft.com/china/downloaddetails/MalformedData-97.htm
Taiwan:
http://officeupdate.microsoft.com/taiwan/downloaddetails/MalformedData-97.htm
Hong Kong:
http://officeupdate.microsoft.com/hk/downloaddetails/MalformedData-97.htm

– Converter Pack 2000; Office 2000 con Multilanguage Pack; Word
2000, PowerPoint 2000: –
US:
http://officeupdate.microsoft.com/2000/downloaddetails/ww5pkg.htm
Japón:
http://officeupdate.microsoft.com/japan/downloaddetails/2000/MalformedData-2K.htm
Corea:
http://officeupdate.microsoft.com/korea/downloaddetails/2000/MalformedData-2K.htm
China:
http://officeupdate.microsoft.com/china/downloaddetails/2000/MalformedData-2K.htm
Taiwan:
http://officeupdate.microsoft.com/taiwan/downloaddetails/2000/MalformedData-2K.htm
Hong Kong:
http://officeupdate.microsoft.com/hk/downloaddetails/2000/MalformedData-2K.htm

8. Vendedor: FreeBSD
Producto: FreeBSD
Vulnerabilidad parcheada: Race Condition en make /tmp de
múltiples vendedores BSD
Bugtraq ID: 939
URLs relevantes:
http://www.freebsd.org/security
http://www.securityfocus.com/bid/939
Ubicación de los parches:
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/patches/SA-00:01/make.patch