Feb
8
Boletín 00007 – 04/04/2005
Category: Seguridad | 
Leave a Comment
1.- Microsoft publica Service Pack 1 para Windows Server 2003
2.- Nueva actualización de seguridad para PHP
3.- Concentradores Cisco VPN 3000 vulnerables a ataques a través de SSL
4.- Denial of Service Attack in Windows Server 2003 and Windows XP
5.- Media Player Update Protects Against Spyware
6.- Yahoo Messenger Vulnerabilities
7.- Office XP Security Vulnerability
8.- “Pharming” Attacks: New Identity Theft Tactic?
9.- Beware Blank Passwords after an Upgrade
10.- Service Pack 1 para Microsoft ISA Server 2004 Standard Edition
11.- Falsificación de barra de estado en Firefox
12.- Microsoft Windows Malicious Software Removal
13.- Microsoft AntiSpyware Software Beta 1
==== 1.- Microsoft publica Service Pack 1 para Windows Server 2003 ====
Microsoft ha publicado el Service Pack 1 para su sistema operativo Windows Server 2003 con importantes novedades en materia de seguridad. Esta actualización amplia la infraestructura de seguridad del sistema incluyendo nuevas herramientas de seguridad como el Asistente de Configuración de Seguridad (que ayuda a reforzar la seguridad del servidor a la hora de realizar operaciones basadas en roles), la Protección de Ejecución de Datos (que ayuda a mejorar la defensa en profundidad), y el Asistente de Actualización de Seguridad Post-Configuración (que ayuda a crear un escenario de primer arranque más seguro).
Service Pack 1 para Windows Server 2003 incluye el Windows Firewall, similar al incluido con Windows XP Service Pack 2. Sin embargo, al contrario que con Windows XP Service Pack 2, el servicio de firewall está desactivado por defecto el Server 2003 Service Pack 1, y debe ser activado para la protección de los sistemas en caso de que se desee dicho servicio.
Microsoft también ha incluido una serie de mejoras en este Service Pack 1 como configuraciones por defecto más robustas y una reducción de los privilegios en los servicios. Por ejemplo, se han establecido más autenticaciones en las llamadas RPC y DCOM. Windows Server 2003 SP1 incluye los componentes Rqs.exe y Rqc.exe para facilitar el Control de Cuarentena de Acceso a Red (Network Access Quarantine Control).
La dirección para descargar esta actualización (por ahora solo para la versión en inglés) es la siguiente:
Más información:
Learn About and Install Windows Server 2003 Service Pack 1 (SP1) http://www.microsoft.com/technet/prodtechnol/windowsserver2003/servicepack/default.mspx
Technical Overview of Windows Server 2003 Service Pack 1 (SP1)
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/servicepack/overview.mspx
==== 2.- Nueva actualización de seguridad para PHP ====
Las versiones no actualizadas de PHP permiten que un atacante con permiso para ejecutar código PHP pueda burlar los mecanismos de seguridad de este lenguaje. PHP (PHP: Hypertext Preprocessor) es un popular lenguaje de scripting de propósito general, idóneo para el desarrollo web al ser posible su integración dentro del HTML. Se trata de un proyecto de código abierto muy utilizado para la confección de páginas web dinámicas (gracias a la capacidad de lanzar consultas a bases de datos).
Las versiones no actualizadas de PHP (tanto en su versión 4 como 5) permiten que un atacante con permisos para ejecutar código PHP en el servidor pueda burlar los mecanismos de seguridad de este lenguaje, en concreto los mecanismos “safe_mode”.
No han transcendido demasiados detalles sobre las vulnerabilidades resueltas. Algunas de las mismas son:
* Desbordamiento entero en “pack()” y “unpack()”, que permite la ejecución de código arbitrario en el servidor.
* Desbordamiento de búfer en “shmop_write()”, igualmente permite ejecutar código arbitrario en el servidor.
* A través de metacaracteres en la llamada a “virtual_popen()”, es posible vulnerar los mecanismos de seguridad de PHP.
* Múltiples vulnerabilidades en el módulo EXIF.
* Múltiples vulnerabilidades en el módulo CURL.
Y otros problemas de seguridad no especificados.
Se recomienda a los administradores de sistemas PHP que actualicen con urgencia a la versión 4.3.11 o 5.0.4. también verificar la integridad de los ficheros, sobre todo si se bajan de “mirrors” en vez de servidor original. Los “hashes” criptográficos de los ficheros de código fuente son:
PHP 4.3.11 (tar.bz2) [3,919Kb] – md5: fbc67d240812136a9842bc1f2a217b7a
PHP 4.3.11 (tar.gz) [4,761Kb] – md5: 5de2ba1aababb5868d55ea43cf3bebef
PHP 5.0.4 (tar.bz2) [4,618Kb] – md5: 47727afde39329d5cebda4cb5e5ecee0
PHP 5.0.4 (tar.gz) [5,700Kb] – md5: c8f5fa441fd99c1b363bd2a071a0bd97
Más Información:
Version 5.0.4
http://www.php.net/ChangeLog-5.php#5.0.4
Version 4.3.11
http://www.php.net/ChangeLog-4.php#4.3.11
PHP: Hypertext Preprocessor
==== 3.- Concentradores Cisco VPN 3000 vulnerables a ataques a través de SSL ====
Un usuario malicioso podrá enviar una ataque específicamente creado a través de SSL (Secure Sockets Layer) a los concentradores Cisco VPN 3000 que puede provocar el reinicio del dispositivo o la caída de conexiones de usuario. La explotación repetida puede llegar a provocar una condición de denegación de servicio (DoS).
Cisco anuncia como vulnerables la serie de concentradores VPN 3000 que ejecuten el software 4.1.7.A y anteriores. La serie afectada incluye los modelos 3005, 3015, 3020, 3030, 3060, 3080 y el Cisco VPN 3002 Hardware Client.
Secure Sockets Layer (SSL) es un protocolo que se emplea para el cifrado de datos que se envían en una sesión TCP. En los productos Cisco el uso de SSL se centra principalmente en el servicio https para el que el puerto por defecto es el 443. Cisco no ha ofrecido detalles adicionales del problema, salvo que sus efectos pueden permitir a un atacante el envío de paquetes https que provoquen el reinicio del dispositivo afectado o la pérdida de conexiones de usuarios.
Los productos afectados solo serán vulnerables si tienen activo el servicio https, configuración que no se encuentra activa por defecto y debe habilitarse de forma manual. Los concentradores afectados no son vulnerables por transmitir tráfico https, los paquetes maliciosos deben estar dirigidos al propio dispositivo para explotar la vulnerabilidad.
Los usuarios de la serie Cisco VPN 3000 pueden actualizarse a la versión 4.1.7.B o posterior para resolver la vulnerabilidad.
Cisco VPN 3000 Concentrator Vulnerable to Crafted SSL attack
http://www.cisco.com/warp/public/707/cisco-sa-20050330-vpn3k.shtml
==== 4.- Denial of Service Attack in Windows Server 2003 and Windows XP ====
Dejan Levaja discovered that a Denial of Service (DoS) condition can be caused by sending a specially crafted packet to the system. After the packet is received, the system will become unresponsive for several seconds. Some testers report that a DoS condition exists for as much as half a minute or more. Testers also report that the system reaches 100 percent CPU utilization during the DoS condition. The discoverer said he contacted Microsoft on February 25, 2005, to report the condition. No response from Microsoft was available at the time of this writing and it’s unknown whether other versions of Windows are affected by the problem.
http://list.windowsitpro.com/t?ctl=4DBE:51B03
==== 5.- Media Player Update Protects Against Spyware ====
Microsoft has released an update for Windows Media Player, after news broke that hackers were able to install spyware and viruses using the digital rights management (DRM) copyright protection feature in WMP. The update can be downloaded here:
http://www.winxpnews.com/rd/rd.cfm?id=050222TI-WMP_Update
==== 6.- Yahoo Messenger Vulnerabilities ====
If you use Yahoo’s Instant Messaging software, you should download the newest version, which contains fixes for security vulnerabilities. The vulnerabilities could allow an attacker to execute code on your computer. Get the new version here:
http://www.winxpnews.com/rd/rd.cfm?id=050222SE-Yahoo
==== 7.- Office XP Security Vulnerability ====
If you’re still using Office XP, Project 2002, Visio 2002 or Microsoft Works Suite, you should check out this security bulletin that warns of a vulnerability that can allow remote code execution. You can also download the update to fix it here.
http://www.winxpnews.com/rd/rd.cfm?id=050222SE-MS_Office
==== 8.- “Pharming” Attacks: New Identity Theft Tactic? ====
You’ve heard about “phishing” schemes, but what about “pharming?” Instead of sending you e-mail that directs you to a Web site pretending to be that of a legitimate site, the “pharmer” hijacks your browser to his own site when you type a legitimate site’s URL (such as that of your online bank) into the browser’s address bar.
Pharming uses a technique called DNS poisoning. The Domain Name System (DNS) servers contain directories that are used to match Web addresses (such as www.winxpnews.com) to the IP address where that Web server actually resides. DNS poisoning involves changing those records so that the address will take you to a different Web server (usually that of the pharmer’s).
This is especially dangerous because security experts have warned users to type in such addresses instead of clicking on links, thus leading them to believe that if you type it in, you’re safe. Read more about the pharming threat here:
http://www.winxpnews.com/rd/rd.cfm?id=050301TI-Pharming
==== 9.- Beware Blank Passwords after an Upgrade ====
When you upgrade a computer running Windows 9x or Me to Windows XP, the user account passwords are removed. That means someone can log on to the local computer with a blank password, and if the account is an administrative account, they can do all manner of bad things, accessing your files and making changes to your programs and the operating system. Be sure you assign strong passwords to the user accounts after you upgrade.
==== 10.- Service Pack 1 para Microsoft ISA Server 2004 Standard Edition ====
Microsoft ha anunciado la publicación del Service Pack 1 para Internet Security and Acceleration (ISA) Server 2004 Standard Edition.
Aunque la firma de Redmon no ha facilitado detalles de las correcciones, parches y/o mejoras introducidas en el pack, la compañía afirma que mejora la fiabilidad y estabilidad del producto, además de incluir todas las actualizaciones publicadas hasta el momento, correcciones sugeridas por clientes a través del PSS (Product Support Services), y diversas modificaciones (no especificadas) para aumentar la estabilidad de los servicios y herramienta de administración de ISA Server en determinados entornos.
Las direcciones para descargar esta actualización, de aproximadamente 7 MB, son las siguientes (según idioma):
Español:
Inglés:
Más información:
Internet Security and Acceleration (ISA) Server 2004 Standard Edition Service Pack 1 (SP1)
==== 11.- Falsificación de barra de estado en Firefox ====
Se ha descubierto una debilidad en el navegador Firefox que puede ser explotada por atacantes remotos para incitar a usuarios para que salven archivos maliciosos al ofuscar las URLs en la barra de estado.
La barra de estado no puede ser manipulada con código script en la configuración por defecto, pero se puede visualizar una URL incorrecta en dicha barra cuando se posiciona el ratón sobre un enlace, se pulsa el botón derecho y se usa la función de ‘Guardar Como…’. Esta circunstancia puede explotarse incluyendo un enlace anidado en una tabla dentro de un enlace, sin necesidad de recurrir a código script, con simple html es suficiente. La falsificación de la barra de estado hará creer al usuario que el contenido que piensa descargar es inofensivo, sin embargo el atacante podrá grabar contenido malicioso.
Se ha comprobado que el problema está presente en la versión 1.0 y 1.0.1 del navegador. A la espera de una corrección del problema, se recomienda no salvar archivos desde sitios que no sean de total confianza.
Se ha hecho público un código html que demuestra el problema:
<a href=”http://www.mozilla.org/informacion.pdf”>
<table><tr><td>
<a href=”about:mozilla”> http://www.mozilla.org/informacion.pdf
</a><!– Cerrar primer enlace –>
</td></tr></table>
</a><!– Cerrar segundo enlace –>
Más información:
Firefox Link in Embedded Table Lets Remote Users Spoof the Status Bar Contents :
http://www.securitytracker.com/alerts/2005/Mar/1013423.html
==== 12.- Microsoft Windows Malicious Software Removal ====
Microsoft ha lanzado la herramienta Microsoft Windows Malicious Software Removal para ayudar a eliminar software malintencionado muy extendido en Microsoft Windows Server 2003, Microsoft Windows XP o Microsoft Windows 2000. Esta herramienta suplanta a todas las herramientas para eliminar virus que Microsoft lanzó anteriormente. Se puede descargar desde el Centro de descarga de Microsoft. También es posible ejecutar una versión de la herramienta desde el sitio Web de la herramienta Malicious Software Removal en Microsoft.com. Para ejecutar la herramienta Malicious Software Removal desde cualquiera de estas ubicaciones, inicie sesión en el equipo con una cuenta que sea miembro del grupo Administradores. Si utiliza Windows XP, también puede ejecutar la herramienta desde el sitio Web Windows Update o mediante Actualizaciones automáticas.
http://support.microsoft.com/default.aspx?scid=kb;es;890830
==== 13.- Microsoft AntiSpyware Software Beta 1 ====
Ahora podrá probar la versión beta del software que mantiene controlado el ingreso de spyware a nuestra computadora. Pruebe el beta y mantenga fuera de espías sus archivos.
http://www.microsoft.com/athome/security/spyware/software/default.mspx
