Sun corrige 15 vulnerabilidades en JRE 1.5,x y 6.x

La nueva versión 13 de la rama 6 de Java Runtime Environment corrige múltiples vulnerabilidades, como viene siendo habitual. El “Update 13”, como su propio nombre indica, es la decimotercera tanda de corrección de problemas de seguridad desde que apareció la rama 6 hace ahora dos años.

 

También se han corregido la rama 5 con el Update 18 y el JDK para desarrolladores. Los siete boletines publicados corrigen hasta 15 vulnerabilidades diferentes que podrían ser aprovechadas por un atacante remoto para escalar privilegios, provocar denegación de servicio y potencialmente, ejecutar código arbitrario.

 

Brevemente, las vulnerabilidades son:

 

  • Se ha corregido una vulnerabilidad en su implementación del servidor HTTP. Esto podría se aprovechado por un atacante remoto sin privilegios para causar una denegación de servicios a través de vectores no especificados.
  • * Se han corregido múltiples desbordamientos de memoria en JRE al procesar ficheros de imagen en formato PNG o GIF, así como ficheros de fuentes. Esto podría permitir a un atacante remoto escalar privilegios a través de applets o aplicaciones Java Web Start especialmente manipuladas
  • Se ha corregido un error en la máquina virtual de JRE, que podría permitir a un atacante remoto la ejecución de código arbitrario a través de applets especialmente manipulados.
  • * Se han corregido múltiples vulnerabilidades en Java Plug-in, podrían permitir a un atacante remoto escalar privilegios y obtener información sensible a través de applets especialmente manipulados.
  •  Se han corregido dos vulnerabilidades en JRE al procesar y almacenar ficheros fuentes de carácter temporal consumiendo gran cantidad de espacio en disco. Esto podría permitir a un atacante remoto provocar denegación de servicio a través de applets especialmente manipulados.
  • *Se ha corregido un error de desbordamiento de enteros y memoria en la utilidad de desempaquetado ‘unpack200’ de JRE. Esto podría ser aprovechado por un atacante remoto para escalar privilegios a través de applets especialmente manipulados.
  •  Se ha corregido un error en la implementación de LDAP, que podría permitir a un atacante remoto realizar denegación de servicio a través de la realización múltiples conexiones desde un cliente LDAP.

 

Las vulnerabilidades han sido solucionadas en JDK y JRE 6 Update 13 y JRE 5.x Update 18 desde:

http://www.java.com/es/download/

 

Continuar leyendo “Sun corrige 15 vulnerabilidades en JRE 1.5,x y 6.x”

El formato PDF, de nuevo en el punto de mira

Al parecer se ha detectado un paquete de exploits capaz de aprovechar vulnerabilidades en el lector más usado de este formato, Adobe Reader.

El “PDF Xploit Pack” permite explotar vulnerabilidades y gestionar de forma centralizada a las víctimas en las que se ha conseguido ejecutar código arbitrario. Muy al estilo del Mpack o cualquier otro producto engendrado por la industria del malware, pero específico para este producto.

“PDF Xploit Pack” parece ser el primer paquete de exploits que se encarga exclusivamente de aprovechar y gestionar vulnerabilidades en el lector PDF de Adobe. Es importante tener en cuenta que los fallos pueden aprovecharse no sólo abriendo un fichero PDF que llegue por correo, sino también a través del navegador porque permiten visualizar archivos PDF incrustados en él gracias a un plugin. Los atacantes están consiguiendo (como viene siendo habitual) violar la seguridad de páginas legítimas y esconder ciertos IFRAMEs dentro. Al ser visitadas, se carga un enlace especialmente manipulado que aprovecha las vulnerabilidades.

Lo que no se aclara desde la fuente original es si el paquete aprovecha vulnerabilidades conocidas (para las que se pueda estar protegido con las últimas versiones del lector) o desconocidas hasta el momento.

El archivo PDF, cuando se abre con el lector vulnerable, descarga otro malware que realmente contiene el payload. Hay que recordar que el formato PDF ya fue usado como “downloader” en febrero de este mismo año, y el ataque resultó bastante “popular”. Instalaba el troyano Zonebac.

Hace justo un año, se aprovechó también de forma masiva una vulnerabilidad compartida entre Adobe Reader y Windows con Internet Explorer 7. En esta ocasión se usaba el fallo para, a través de una línea de comandos incrustada en el PDF, descargar por FTP y ejecutar código automáticamente al abrir el fichero. También ese mismo año, en junio, se popularizó de forma fulgurante pero efímera el correo basura en formato PDF, inundando los buzones de todo el mundo y eludiendo unos filtros antispam que no estaban preparados.

Continuar leyendo “El formato PDF, de nuevo en el punto de mira”

Actualización de seguridad para Wireshark

Se ha publicado una nueva versión de Wireshark puesto que en las anteriores se han encontrado múltiples vulnerabilidades que podrían ser explotadas por un atacante remoto, por medio de una serie de paquetes especialmente manipulados, para causar una denegación de servicio.

Wireshark (todavía muy conocido por su nombre anterior Ethereal) es una aplicación de auditoría orientada al análisis de tráfico en redes. Su popularidad es muy elevada, puesto que soporta una gran cantidad de protocolos y es de fácil manejo. Además Wireshark es software libre (sujeto a licencia GPL) y se ejecuta sobre la mayoría de sistemas operativos Unix y compatibles, así como en Microsoft Windows.

Las vulnerabilidades corregidas en la última versión son:

* Múltiples errores en epan/dissectors/packet-ncp2222.inc que podrían ser aprovechados por un atacante remoto para causar una denegación de servicio por medio de paquetes NCP especialmente manipulados. Afecta a las versiones de la 0.9.7 a la 1.0.2.

* Un error al descomprimir los paquetes comprimidos con zlib que podría causar que Wireshark dejase de responder. Todas las versiones entre la

0.10.14 y la 1.0.2 se verían afectadas, ambas inclusive.

* Un error al leer archivos .rf5 de Tektronix podría causar que Wireshark dejase de responder. Afecta a las versiones de la 0.9.6 a la 1.0.2.

Se recomienda actualizar a la versión 1.0.3 de Wireshark, disponible para su descarga desde:

http://www.wireshark.org/download.html

Opina sobre esta noticia:

http://www.hispasec.com/unaaldia/3602/comentar

Más Información:

Multiple problems in Wireshark versions 0.9.7 to 1.0.2 http://www.wireshark.org/security/wnpa-sec-2008-05.html

Pablo Molina

Denegación de servicio en Adobe Flash Player

Se ha encontrado una vulnerabilidad en Adobe Flash Player que podría ser aprovechada por un atacante remoto para causar una denegación de servicio.

Un usuario remoto podría crear un archivo SWF especialmente manipulado, que una vez visto por el usuario hiciera uso de la función ‘setClipboard’ para pegar repetidamente texto arbitrario desde el portapapeles, causando así un mal funcionamiento. Además esto podría causar que un usuario visitase por error un sitio web potencialmente peligroso si se intenta copiar y pegar una URL en la barra de direcciones.

Para que el portapapeles vuelva a funcionar de forma correcta es necesario cerrar el navegador. En la actualidad se ha detectado que esta vulnerabilidad se está explotando de forma activa.

Más información:

Adobe Flash Player setClipboard() Function Lets Remote Users Deny Service http://securitytracker.com/alerts/2008/Aug/1020724.html

Laboratorio Hispasec

La versión 4.4.9 de PHP solventa múltiples vulnerabilidades

Han sido descubiertas varias vulnerabilidades en PHP 4.4.x que podrían permitir a un atacante remoto acceder a información sensible, causar una denegación de servicio o comprometer un sistema vulnerable.

 

PHP es un lenguaje interpretado de propósito general ampliamente usado, que está diseñado para desarrollo web y puede ser embebido dentro de código HTML. PHP está orientado a la creación de páginas web dinámicas, ejecutándose en un servidor web (server-side scripting), de forma que primero se toma el código en PHP como entrada y se devuelven las páginas web como salida.

 

A continuación se detallan los problemas de seguridad corregidos en la última versión:

 

  • La primera vulnerabilidad consiste en múltiples errores en la librería PCRE (Perl Compatible Regular Expressions) que podrían ser aprovechados para acceder a información sensible, causar una denegación de servicio o comprometer un sistema vulnerable.
  •  
  • La segunda vulnerabilidad está causada por un error no especificado en la función “imageloadfont”. Un atacante remoto podría provocar que el sistema dejase de responder mediante el uso de una fuente no válida.
  •  
  • La tercera vulnerabilidad consiste en un error no especificado en la extensión “curl” relacionado con el manejo de la función “open_basedir”.
  •  
  • La última vulnerabilidad está causada por un fallo de desbordamiento en la función “memnstr” que podría ser aprovechado por un atacante para ejecutar código arbitrario.

 

Las vulnerabilidades están confirmadas para la versión 4.4.8 y todas las anteriores.

 

Se recomienda actualizar a la versión 4.4.9 o superior, disponible

desde:

http://www.php.net/downloads.php

 

 

Más información

 

PHP 4 ChangeLog version 4.4.9

http://www.php.net/ChangeLog-4.php#4.4.9

 

 

Pablo Molina

Detalles sobre la macroactualización de seguridad para Apple Mac OS X

Apple ha lanzado recientemente una nueva actualización de seguridad para su sistema operativo OS X que solventa un total de 17 vulnerabilidades que podrían ser aprovechadas por un atacante local o remoto para falsificar la resolución de dominios, revelar información sensible, saltarse restricciones de seguridad, causar denegaciones de servicio o ejecutar código arbitrario en un sistema vulnerable.

Dentro del paquete Security Update 2008-005 se incluyen parches para los siguientes componentes: Open Scripting Architecture, CarbonCore, CoreGraphics, Data Detectors Engine, Disk Utility, OpenLDAP, OpenSSL, PHP, QuickLook, Rsync y también para la vulnerabilidad de falsificación de DNS en BIND.

Continuar leyendo “Detalles sobre la macroactualización de seguridad para Apple Mac OS X”

Nuevos contenidos en la Red Temática CriptoRed (julio de 2008)

Breve resumen de las novedades producidas durante el mes de julio de

2008 en CriptoRed, la Red Temática Iberoamericana de Criptografía y Seguridad de la Información.

1. NUEVOS DOCUMENTOS Y SOFTWARE PARA DESCARGA LIBRE DESDE CRIPTORED Y LA CÁTEDRA UPM APPLUS+

* ¿ISO 20000 o ISO 27000? (Alejandro Corletti, artículo pdf, 3 páginas,

España)

http://www.criptored.upm.es/guiateoria/gt_m292o.htm

* Métricas de Seguridad, Indicadores y Cuadro de Mando (Alejandro Corletti, artículo pdf, 4 páginas, España) http://www.criptored.upm.es/guiateoria/gt_m292p.htm

* ISO–27001 ¿y las AA.PP.? (Alejandro Corletti, artículo pdf, 3 páginas,

España)

http://www.criptored.upm.es/guiateoria/gt_m292q.htm

* UNE–ISO/IEC 27001:2005 y LOPD (Alejandro Corletti, artículo pdf, 4 páginas, España) http://www.criptored.upm.es/guiateoria/gt_m292r.htm

* ISO/IEC 27001:2005 y LOPD II (Alejandro Corletti, artículo pdf, 4 páginas, España) http://www.criptored.upm.es/guiateoria/gt_m292s.htm

* Vídeo Seminario CAPSDESI Mayores y Acceso Seguro a la Sociedad de la Información (Cátedra UPM Applus+, 250 minutos, España) http://www.criptored.upm.es/paginas/docencia.htm#catedraSEMASSI

* 321 documentos para su libre descarga http://www.criptored.upm.es/paginas/docencia.htm#gteoria

2. NUEVOS DOCUMENTOS RECOMENDADOS PARA SU DESCARGA LIBRE DESDE OTROS SERVIDORES

* Informe de la Red de Sensores de INTECO del Mes de Junio de 2008

(España)

http://alerta-antivirus.es/documentos/rescata/Informe_mensual_200806.pdf

* Métricas de Inseguridad de la Información (Jeimy Cano, Colombia)

http://www.eltiempo.com/participacion/blogs/default/un_articulo.php?id_blog=3516456&id_recurso=450009875&random=9025

* Errores, Fallas y Vulnerabilidades: Reflexiones sobre la Inseguridad en las Aplicaciones (Jeimy Cano, Colombia)

http://www.eltiempo.com/participacion/blogs/default/un_articulo.php?id_blog=3516456&id_recurso=450011111&random=9352

Continuar leyendo “Nuevos contenidos en la Red Temática CriptoRed (julio de 2008)”

Consejos útiles contra el malware 2.0 en Windows

Los consejos obsoletos ofrecen una falsa sensación de seguridad de la que se están aprovechando los atacantes. Muchas de las informaciones publicadas sobre seguridad en general y sobre malware en particular no han sabido renovarse, y se perpetúan coletillas y axiomas que (aunque útiles y necesarios) no se han matizado ni completado correctamente con el tiempo. Son consejos de hace años, que no se han adaptado a una industria (la del malware) que avanza mucho más rápido de lo que podamos imaginar. Vamos a ofrecer algunos consejos útiles contra el malware…

de hoy.

Administrador no, gracias

El principal consejo para los usuarios de sistemas operativos en general y los de Windows en particular es no usar la cuenta de administrador. Se debe utilizar la cuenta de un usuario sin privilegios, sin excusas. Esto es lo que puede llevar a una mayor protección no solo contra el malware, sino contra posibles despistes del propio usuario. Un “administrador”

está precisamente para “administrar”, y son muy pocas veces las que un usuario utiliza su sistema para realizar modificaciones importantes. La mayor parte del tiempo lee correo o navega, actividad esta última que conlleva un importante riesgo, sea con el navegador que sea. Esta irresponsable actitud de usuario administrador perpetuo está heredada de los tiempos de Windows 9x. No tenía sistema de usuarios local real, ni soportaba NTFS, con lo que no se podían establecer permisos por usuarios. Cuando apareció XP, tras su instalación Microsoft permitía por fin la creación de un usuario distinto al administrador para el uso del sistema. Un gesto que hubiera servido de algo si este mismo usuario no perteneciese por defecto al grupo administradores, y por tanto fuese tan poderoso como él.

A nadie que utilice un sistema operativo que no sea Windows se le ocurre realizar sus actividades cotidianas como “root” o súperusuario. En Windows, lo extraño es precisamente lo contrario, trabajar con cuentas limitadas. Este es el verdadero origen de la mayor parte de los males, y de que el malware pueda campar a sus anchas en un ordenador donde puede escribir, leer, modificar… puesto que es ejecutado con los mismos permisos del usuario que está usando la máquina.

En Windows Vista, Microsoft ha establecido un importante sistema de seguridad para mitigar este problema heredado, rompiendo así una tendencia muy arraigada y limitando el poder del usuario habitual. Se ha relegando por fin el uso del administrador a un segundo plano. Sin embargo esto ha sido visto por muchos usuarios como un estorbo, en vez de como una importantísima mejora en su seguridad.

Aunque se presente aquí como panacea, no lo es. Todavía una parte del malware actual podría seguir actuando. Además, trabajar como usuario raso en XP o 2000 puede llegar a ser incómodo, incluso para usuarios experimentados. Es necesario tener conocimientos sobre permisos, privilegios, NTFS, derechos, herencias, grupos… Por si fuera poco, con ánimo de no complicar al usuario, Windows XP Home Edition escondía deliberadamente la pestaña de seguridad para poder cambiar los permisos, a no ser que se trabajara en modo a prueba de fallos.

Continuar leyendo “Consejos útiles contra el malware 2.0 en Windows”

Denegaciones de servicio en Asterisk

Se han encontrado dos vulnerabilidades en Asterisk, ambas calificadas como críticas, que podrían permitir a un atacante local o remoto causar una denegación de servicio en los sistemas vulnerables.

Asterisk es una aplicación de una central telefónica (PBX) de código abierto. Como cualquier PBX, se pueden conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el exterior. Asterisk es ampliamente usado e incluye un gran número de interesantes

características: buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. Además el software creado por Digium está disponible para plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows.

A continuación se explican con más detalle las vulnerabilidades encontradas y corregidas:

* Por medio del envío masivo de peticiones POKE a un sistema vulnerable, un atacante podría acaparar todos los números de llamada (líneas) asociados con el protocolo IAX2, impidiendo el procesamiento del resto de llamadas o peticiones, provocando una denegación de servicio. El fallo está causado porque, de acuerdo con el protocolo IAX2, una vez que el servidor recibe una petición de POKE, este mandaría una respuesta PONG y se quedaría esperando por un paquete ACK con el mismo número de llamada, manteniendo ocupada esa línea. El problema ha sido solucionado usando única y exclusivamente el número de llamada 1 (línea 1) para las peticiones POKE y descartando los paquetes ACK para dicha línea.

Continuar leyendo “Denegaciones de servicio en Asterisk”

Cross-Site Scripting a través de Outlook Web Access en Exchange Server

Dentro del conjunto de boletines de seguridad de junio publicado el pasado martes por Microsoft y del que ya efectuamos un resumen, se encuentra el anuncio (en el boletín MS08-039) de una actualización para Exchange Server que solventa dos vulnerabilidades que podrían ser aprovechadas por un atacante remoto para realizar ataques de cross-site scripting.

* La primera vulnerabilidad está causada porque Outlook Web Access (OWA) para Exchange Server no valida de forma suficiente los campos del email al abrirlo en una sesión individual de OWA. Esto podría ser explotado por un atacante remoto para acceder a los datos de la sesión individual del cliente de OWA, permitiendo una escalada de privilegios.

Continuar leyendo “Cross-Site Scripting a través de Outlook Web Access en Exchange Server”

Escalada de privilegios en Microsoft SQL Server

Dentro del conjunto de boletines de seguridad de junio publicado el pasado martes por Microsoft y del que ya efectuamos un resumen, se encuenta el anuncio (en el boletín MS08-040) de una actualización para Microsoft SQL Server que solventa cuatro vulnerabilidades que podrían ser aprovechadas por un atacante remoto para escalar privilegios y ejecutar código arbitrario.

  • * La primera vulnerabilidad está causada por la forma en la que SQL Server administra la reutilización de las páginas de memoria. Al realojar memoria, SQL Server falla al inicializar las páginas de memoria. Esto podría causar una revelación de información.
  • * La segunda vulnerabilidad está causada por una comprobación de entradas insuficiente en la función de conversión en SQL Server. Esto podría causar un desbordamiento de búfer y permitir a un atacante remoto escalar privilegios y ejecutar código arbitrario.
  • Continuar leyendo “Escalada de privilegios en Microsoft SQL Server”

Ejecución de código a través de JavaScript en Adobe Reader

Se ha encontrado una vulnerabilidad en Adobe Reader y Acrobat que podría permitir a un atacante ejecutar código arbitrario.

El fallo se debe a un error de validación de entrada en el método JavaScript que podría permitir la ejecución de código si se abre con el programa vulnerable un archivo especialmente manipulado.

Son vulnerables Adobe Reader 8.0 a 8.1.2 y Adobe Reader 7.0.9 y anteriores; Acrobat Professional, 3D y Standard versiones 8.0 a 8.1.2 y 7.0.9 y anteriores. Adobe hace notar que la versión 7.1.0 de ambos productos no es vulnerable.

Para Reader se recomienda instalar el Adobe Reader 8.1.2 Security Update

1 patch, disponible:

Para Windows:

http://www.adobe.com/support/downloads/detail.jsp?ftpID=3967 y Para Macintosh:

http://www.adobe.com/support/downloads/detail.jsp?ftpID=3966

Para Acrobat se recomienda instalar el Adobe Acrobat 8.1.2 Security Update 1 patch, disponible:

Para Windows:

http://www.adobe.com/support/downloads/detail.jsp?ftpID=3976

Para Macintosh:

http://www.adobe.com/support/downloads/detail.jsp?ftpID=3977

Para Adobe Reader 7.0 y 7.0.9 se recomienda actualizar a 7.1.0 desde:

http://www.adobe.com/go/getreader.

Más información:

Security Update available for Adobe Reader and Acrobat 8.1.2 http://www.adobe.com/support/security/bulletins/apsb08-15.html

Adobe Reader and Acrobat 8.1.2 Security Update

http://isc.sans.org/diary.php?storyid=4616

Laboratorio Hispasec

Primera vulnerabilidad crítica en Firefox 3

Pocas horas después de su lanzamiento se ha dado a conocer que el navegador que pretendía batir todos récords de descarga, Mozilla Firefox 3, contiene una vulnerabilidad crítica que podría ser aprovechada por un atacante remoto para ejecutar código arbitrario.

Después de que el navegador de código abierto haya tenido más de 8,3 millones de descargas durante las primeras 24 horas desde su lanzamiento, en parte gracias a una interesante campaña de márketing, ahora se descubre que contiene al menos un fallo, que podría permitir la ejecución de código con sólo visitar un enlace que nos lleve a una página web especialmente manipulada.

Zero Day Initiative (ZDI) publicó el descubrimiento de dicho agujero de seguridad tan solo 5 horas después de que Firefox 3 fuera lanzado de forma oficial, a las 19 horas del pasado día 17 en España (aunque es bastante más que probable que tuvieran conocimiento del fallo desde la aparición de las primeras betas, pero hayan esperado al lanzamiento oficial para hacerlo público). Los investigadores de ZDI han confirmado que la vulnerabilidad podría permitir la ejecución de código arbitrario de forma remota con los permisos del usuario ejecutando la aplicación, aunque no parece que el fallo esté siendo explotado en la actualidad.

En todo software relativamente nuevo las posibilidades de que se descubran vulnerabilidades graves se multiplican al lanzar una nueva versión con importantes modificaciones. Este problema no es patrimonio exclusivo ni de compañías específicas ni depende de la filosofía del software (sea código abierto, cerrado, o cualquier otra manera de entender la forma de distribución).

Zero Day Initiative está organizado por TippingPoint (filial de 3com) y premia el descubrimiento de nuevas vulnerabilidades si se le ceden en exclusiva los detalles de cómo aprovecharla. Afirma haber informado a los desarrolladores de Mozilla y siguiendo su política de “Responsible Disclosure”, ha rehusado publicar detalles técnicos al respecto hasta que no se haga público un parche que corrija el fallo. Todo hace indicar que la versión 3.0.1 podría estar disponible muy pronto.

Adicionalmente, otros dos investigadores dicen haber descubierto más problemas de seguridad en la nueva versión del navegador. El primero se trataría de error de límites no especificado y que podría causar una denegación de servicio o permitir la ejecución de código. El segundo, un fallo que podría provocar que Firefox 3 ejecutase ciertas aplicaciones sin permiso del usuario. Éstas supuestas vulnerabilidades no han sido confirmadas por el momento y provienen de listas de correo especializadas en seguridad.

Una vez más se recomienda no visitar enlaces poco fiables y vigilar especialmente aquellos que provengan de correos o a través de mensajería instantánea.

Opina sobre esta noticia:

http://www.hispasec.com/unaaldia/3527/comentar

Más información

Mozilla Firefox 3.0 Vulnerability

http://dvlabs.tippingpoint.com/blog/2008/06/18/vulnerability-in-mozilla-firefox-30

Mozilla Firefox 3 Unspecified Buffer Overflow Vulnerability http://www.securityfocus.com/bid/29794/info

Flaw in Firefox 3.0: protocol-handler.warn-external are ignored http://seclists.org/fulldisclosure/2008/Jun/0228.html

Mozilla Firefox 3.0

http://www.mozilla-europe.org/es/firefox/

Pablo Molina

Vulnerabilidad crítica Linux Debian – Ubuntu

Via: DiarioTi

Vulnerabilidad en Linux implica que, en la práctica, las conexiones seguras hacia servidores basados en Debian, no están cifradas.

Open SSL es una implantación de código abierto de los protocolos Secure Sockets Layer y Transport Layer Security, usados para establecer comunicaciones cifradas en Internet. Los protocolos son usados para asegurar procedimientos como transferencia de archivos, sesiones de banca en línea y correo electrónico.

Según diversos foros dedicados a Linux, un experto identificado como Luciano Bello habría descubierto que el generador de cifras del paquete OpenSSL para la distribución Debian es previsible. Esto implica que las claves criptográficas creadas con este paquete, muy probablemente pueden ser adivinadas.

La distribución Debian es una de las más populares de Linux, y forma a la vez la base para numerosas otras distribuciones, incluida la más usada de ellas, Ubuntu.

Otras distribuciones de Linux que no están basadas en Debian no están afectadas por la presunta vulnerabilidad, que se atribuye a una modificación hecha por los responsables del proyecto Debian.

La vulnerabilidad de todas las conexiones SSH de servidores basados en Debian consiste en que no están cifradas. En la práctica, todos los certificados SSL generados en estos sistemas no están cifrados. En la práctica, los sitios web seguros ejecutados desde tales sistemas no están cifrados. Esto se aplica desde tiendas en línea donde los usuarios proporcionan los datos de sus tarjetas de crédito hasta bancos en línea.

En uno de los foros sobre Linux se escribe que esta situación implica que todos los usuarios que usen este sistema para conectarse e iniciar sesiones seguras en la práctica no están disponiendo de autenticación segura.

El proyecto Debian sugiere que todo el material criptográfico de importancia clave que haya sido creado con las versiones señaladas de OpenSSL deben ser programado nuevamente, desde cero. La vulnerabilidad habría sido introducida en la versión 0.9.8c-1, que fue implementada a partir del 17 de septiembre de 2006.

La primera versión de Debian afectada es la 4.0 (etch). Todas las versiones de Ubuntu, desde Ubuntu 7.04, están afectadas. La vulnerabilidad ha sido eliminada en el paquete OpenSSL de Debian, versión 0.9.8c-4 etch3.

Una lista de las actualizaciones que deben ser instaladas en las distintas versiones de Ubuntu está disponibles en el sitio de Debian.

Mitos y leyendas: Seguridad en ActiveX I (Introducción)

Via: Hispasec

ActiveX es una tecnología propia de Microsoft que con el tiempo ha sido clasificada prácticamente de maldita en cuestión de seguridad. Los numerosos problemas tanto en la tecnología en sí como en los programas que la han usado, han hecho que se gane esta fama a pulso. ¿Cuáles son los riesgos y problemas de seguridad que presenta ActiveX realmente? ¿En realidad es tan peligrosa? Como siempre, no hay respuestas absolutas y todas estas cuestiones son bastante discutibles.

¿Qué es?

De forma resumida, ActiveX es una tecnología de Microsoft. Es una librería (básicamente un ejecutable) con funciones, como otro cualquiera, con la peculiaridad de que implementa una interfaz llamada IDispatch que permite al “objeto” interactuar de una forma concreta (más

abstracta) con el programa que lo aloja (llamado contenedor). Por tanto no son programas “independientes” y suelen crearse con cualquier lenguaje que admita el modelo COM. “Físicamente” tienen forma de librería DLL o OCX. Internet Explorer o Office son programas contenedores que admiten esta tecnología. Un componente ActiveX es pues, código ejecutable (desarrollado por y para Microsoft) encapsulado en un objeto desarrollado mediante esos estándares. De esta forma al tener este código encapsulado, se facilita su portabilidad y reutilización.

Así, es posible usar un objeto ActiveX (llamar a sus funciones) insertándolo en cualquier aplicación que lo soporte, independientemente del lenguaje con el que haya sido creado el control ActiveX. Un ejemplo común es usarlos para interactuar con Internet Explorer y el sistema, llamándolos a través de JavaScript. Un típico ejemplo de llamada a un objeto ActiveX a través de una página es:

<HTML><object id=”nombrecualquiera”

classid=”CLSID:012345567-12345-1234-A1234-F1234567789A”></object>

<script language=”javascript”>

nombrecualquiera.FuncionCualquieraDentroDelActiveX(a, b); </script></HTML>

Continuar leyendo “Mitos y leyendas: Seguridad en ActiveX I (Introducción)”

España, los novenos del mundo en número de sistemas zombi

Via HispaSec

Según G Data, España ocupa el noveno puesto mundial en número de sistemas zombi, casi en empate técnico con Estados Unidos y Rusia. Lo que además, quiere decir que somos grandes productores de spam, una de las funciones más importantes de los sistemas secuestrados. Aun así, se siguen ofreciendo los mismos consejos de hace años para paliar la plaga.

El informe está realizado por G Data según la geolocalización de las direcciones IP. El número de zombis utilizados cada día ronda una media de 350.000, con momentos en los que se utilizan hasta 700.000 ordenadores para los distintos fines de estas botnets. De los diez países más infectados, la mayoría pertenece a Europa. Según el informe, es el continente que goza de líneas de conexión más rápidas y mayor número de ordenadores.

Los países con más ordenadores zombi se reparten así:

  • Alemania: 10 %
  • Italia: 10 %
  • Brasil: 8 %
  • Turquía: 8 %
  • China: 6 %
  • Polonia: 6 %
  • Estados Unidos de América: 5 %
  • Rusia: 5 %
  • España: 5 %
  • India: 4 %

Continuar leyendo “España, los novenos del mundo en número de sistemas zombi”

Ejecución remota de código en IBM Lotus Notes 6.x y 7.x

Se ha encontrado una vulnerabilidad en IBM Lotus Notes que podría ser explotada por un atacante para saltarse restricciones de seguridad o ejecutar código arbitrario.

 La vulnerabilidad está causada por un error en el plugin de Java al procesar código JavaScript especialmente manipulado. Esto podría ser aprovechado por un atacante remoto para comprometer un sistema vulnerable si un usuario abre un email especialmente manipulado que contenga un applet de Java malicioso.

 La vulnerabilidad sólo afecta si la opción “Enable Java access from JavaScript” está activada en las preferencias de usuario.

 Para Lotus Notes 6.x y 7.x se recomienda actualizar a IBM Lotus Notes versión 7.0.2, disponible desde:

http://www.ibm.com/software/lotus/support/upgradecentral/index.html

 Más información:

 

IBM Lotus Notes Java Plugin Sandbox Security Bypass Vulnerability http://www.frsirt.com/english/advisories/2008/0599/solution

 

FUENTE: Laboratorio Hispasec

Elevación de privilegios en el kernel vs. ejecución de código en Adobe Reader

Reacción de los Antivirus

Durante el fin de semana se ha dado a conocer una nueva vulnerabilidad en el kernel de Linux que permite a los usuarios conseguir privilegios de root. El problema es que también se ha hecho público, al mismo tiempo, un exploit que permite aprovechar la vulnerabilidad de forma sencilla. Lo mismo ha ocurrido con un fallo en Adobe Reader, pues durante el fin de semana se ha detectado que una vulnerabilidad estaba siendo aprovechada de forma masiva. Como simple experimento curioso, hemos comparado la reacción de los AV ante estas dos nuevas amenazas.

 

¿Cómo han reaccionado las casas antivirus ante este par de vulnerabilidades? Pertenecen a mundos distintos, una permite elevación de privilegios en el kernel (a través de una llamada a vmsplice) y otra ejecución de código en Windows con los privilegios del usuario que ejecute Adobe Reader. Una la sufren los kernel de Linux y otra los usuarios de Adobe en Windows, y los antivirus han reflejado esta disparidad en su capacidad y velocidad de reacción.

  Continuar leyendo “Elevación de privilegios en el kernel vs. ejecución de código en Adobe Reader”

Múltiples vulnerabilidades en PHP 5.2.x

Se han encontrado múltiples vulnerabilidades en PHP 5.2.x, algunas de ellas son de impacto desconocido y otras podrían ser explotadas por un atacante remoto para saltarse ciertas restricciones de seguridad.

* Una vulnerabilidad está causada por un error en el manejo de variables y podría ser explotada por un atacante remoto para sobrescribir valores en httpd.conf por medio de la función ini_set().

 * La segunda vulnerabilidad está causada por un error al procesar archivos .htaccess y podría ser explotada por un atacante remoto para saltarse la directiva disable_functions si modifica la directiva php.ini mail.force_extra_parameters por medio de un archivo .htaccess.

 * Otra vulnerabilidad está causada por varios errores de límite en las funciones fnmatch(), setlocale(), y glob() que podrían ser explotados por un atacante remoto para provocar desbordamientos de búfer.

 * La última vulnerabilidad está causada por varios errores en las funciones htmlentities y htmlspecialchars que no aceptan secuencias multibyte parciales.

 

Se recomienda a actualizar a la versión 5.2.5 disponible desde:

http://www.php.net/downloads.php

 

Más información:

Fuente: Hispasec

PHP 5.2.5 Release Announcement

http://www.php.net/releases/5_2_5.php

Salto de restricciones a través de objetos COM en PHP 5.x

Se ha encontrado una vulnerabilidad en PHP que podría ser explotada por un atacante local para saltarse ciertas restricciones de seguridad.

 La vulnerabilidad está causada por una imposición incorrecta de restricciones de acceso en PHP cuando se manejan objetos COM. Esto podría ser explotado por un atacante local para saltarse ciertas restricciones de seguridad (como por ejemplo la directiva safe_mode) invocando directamente los métodos COM.

 La vulnerabilidad está confirmada para la versión 5.2.4 de PHP y puede afectar a otras versiones.

Más información:

 

PHP 5.x COM functions safe_mode and disable_function bypass

http://milw0rm.com/exploits/4553

 Fuente:

Laboratorio Hispasec

laboratorio@hispasec.com