Boletín 00013 – 16/05/2005

1.- Vulnerabilidades en Oracle Web Cache / Application Server

2.- SP4 para SQL Server 2000 liberado

3.- Microsoft informará sobre alertas de seguridad de forma anticipada

4.- Microsoft liberó Windows Server 2003 R2 Beta

5.- Grave vulnerabilidad remota en Firefox 1.0.3 permite ejecución de código

6.- Microsoft sólo publica una actualización de seguridad en mayo

7.- Malicious Software Removal de Microsoft

==== 1.- Vulnerabilidades en Oracle Web Cache / Application Server ====

Se han ofrecido los detalles de dos vulnerabilidades en Oracle9iAS Web Cache y Oracle Application Server que pueden ser explotadas por usuarios maliciosos para realizar ataques de tipo cross-site scripting, manipular datos y saltarse ciertos mecanismos de seguridad.

La primera se debe a que las entradas recibidas en los parámetros ‘cache_dump_file’ y ‘PartialPageErrorPage’ en ‘webcacheadmin’ en el puerto 4000 no son filtradas adecuadamente antes de ser devueltas al usuario, lo que puede ser explotado para ejecutar código HTML y script arbitrario en el navegador de la víctima con el contexto de seguridad del sitio afectado. Esta vulnerabilidad puede ser explotada con posterioridad para escribir basura en archivos arbitrarios con el parámetro ‘cache_dump_file’.

Se puede acceder a URLs restringidas en Oracle Application Server (puerto 7779) mediante Web Cache en el puerto 7778.

Estas vulnerabilidades han sido confirmadas en un sistema con Oracle Application Server y Oracle9iAS Web Cache. La actualización que Oracle publicó el día 13 de abril y que también fue comentada en una-al-dia, incluye (entre otros muchos) la corrección para estos problemas. Hay que recordar que Oracle no facilitó en aquel momento detalle alguno sobre los problemas corregidos, sus causas y sus incidencias, pero desarrolladores e investigadores independientes empiezan a publicar dicha información. Desde Hispasec recomendamos la actualización de los sistemas con el parche publicado por Oracle, disponible en:

http://metalink.oracle.com/metalink/plsql/showdoc?db=Not&id=301040.1

Cross Site Scripting in Oracle Webcache 9i

http://www.red-database-security.com/advisory/oracle_webcache_CSS_vulnerabilities.html

Append file in Oracle Webcache 9i

http://www.red-database-security.com/advisory/oracle_webcache_append_file_vulnerabilitiy.html

Critical Patch Update – April 2005

http://www.oracle.com/technology/deploy/security/pdf/cpuapr2005.pdf

==== 2.- SP4 para SQL Server 2000 liberado ====

Microsoft liberó el SP4 para SQL Server 2000 agrega soporte para la plataforma de Edición de Microsoft Windows Server 2003 x64, permitiendo a aplicaciones de 32 bits ejecutarse en plataformas de 64 bits usando un emulador de Windows (WOW64).

El SP4 puede ser descargado de:

http://www.microsoft.com/downloads/details.aspx?FamilyId=8E2DFC8D-C20E-4446-99A9-B7F0213F8BC5&displaylang=es

Y se puede obtener más información de:

http://www.microsoft.com/sql/downloads/2000/sp4.asp

http://support.microsoft.com/?kbid=884525

==== 3.- Microsoft informará sobre alertas de seguridad de forma anticipada ====

Microsoft introducirá un servicio de boletines de seguridad el martes que confirmará reportes en fallas y proporcionará una solución temporal hasta que una actualización sea liberada. El programa piloto denominado Microsoft Security Advisories se esforzará para emitir una alerta dentro del rango de un día hábil para que la compañía este consciente de un problema y ofrezca formas para mitigarlo. Esta acción proviene de un debate continuo de cómo y cuándo la información sobre vulnerabilidades debería ser revelada.

Además, los boletínes notificarán a la gente sobre códigos de exploit que hayan sido hechos públicos ó códigos “pruebas de concepto” que podrían estar relacionados con actualizaciones liberadas o vulnerabilidades. Cada alerta tendrá su número de segumiento que permitirá a la gente seguir cualquier cambio en la advertencia. Un boletín podría convertirse formalmente en un Boletín de Seguridad, en el cual una actualización será liberada. Los boletines, sin embargo, no clasificarán la severidad del problema de seguridad.

Más información:

http://www.seguridad.unam.mx/noticias/?noti=555

==== 4.- Microsoft liberó Windows Server 2003 R2 Beta ====

Microsoft liberó Windows Server 2003 R2 Beta, la cual tiene mejoras de este sistema operativo. Para probar estas mejoras es necesario instalar SP1 de 2003.

Lo nuevo de Windows Server 2003 R2 Beta 2

–Simplified Branch Server Management

–Streamlined Access Management

–Efficient Storage Management

–Active Directory Application Mode (ADAM)

–Microsoft Management Console (MMC) 2.1

–Common Log File System (CLFS)

–Configure Your Server (CYS)

–SharePoint V2 SP2 –File Server Role y File Server Management Snap-in

–Hardware Management

–Identity Management para UNIX

–Subsystem para UNIX-based applications

Para obtener el R2 necesitas registrarte y te será enviadó por correo la liga de donde lo puedes obtener y un serial el cual te permitirá evaluar esta beta por 180 días. Para el registro accede a la siguiente liga:

http://www.microsoft.com/windowsserver2003/R2/trial/order.aspx

el tamaño de iso de R2 es de 93 MB.

Más información: en:

Windows Server 2003 R2: Frequently Asked Questions

http://www.microsoft.com/windowsserver2003/R2/R2FAQ.mspx

Windows Server 2003 R2 Trial Software

http://www.microsoft.com/windowsserver2003/R2/trial/default.mspx

Windows Server 2003 R2 Beta 2

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/r2/default.mspx

Installing Windows Server 2003 R2 Beta 2

http://go.microsoft.com/fwlink/?LinkId=46565

===== 5.- Grave vulnerabilidad remota en Firefox 1.0.3 permite ejecución de código ====

Se han descubierto dos vulnerabilidades en Firefox (versiones hasta la 1.0.3) que pueden ser explotadas por atacantes remotos para realizar ataques de tipo cross site scripting o incluso para comprometer la maquina de la víctima.

El primer problema detectado se debe a que las URLs “IFRAME” de JavaScript no son tratadas adecuadamente a la hora de ser ejecutadas con el contexto de otra URL en la lista histórica. Esta circunstancia puede ser aprovechada para ejecutar código HTML y script arbitrario en el navegador de la víctima con el contexto de un sitio arbitrario.

El segundo problema detectado se debe a que las entradas recibidas en el parámetro ‘IconURL’ de InstallTrigger.install()’ no son verificadas antes de ser utilizadas, por lo que esta circunstancia puede aprovecharse para ejecutar código JavaScript con privilegios escalados al usar una URL JavaScript especialmente formada a tal efecto. La explotación con éxito de esta vulnerabilidad requiere que el sitio tenga permitido instalar software (por defecto, los sitios que pueden hacerlo son update.mozilla.org y addons.mozilla.org).

Un atacante puede combinar ambas vulnerabilidades para provocar la ejecución remota de código arbitrario en la máquina de la víctima. El problema es especialmente alarmante si se tiene en cuenta de que hay constancia de la existencia de código de dominio publico para explotar esta vulnerabilidad.

Si bien estas vulnerabilidades han sido confirmadas en la versión 1.0.3 del navegador, no se descarta que pueda afectar a otras también.

A la espera de un parche definitivo que corrija esta situación, se recomiendan dos pasos:

1) Desactivar el soporte de JavaScript

2) Desactivar la instalación de software (Options –> Web Features –> “Allow web sites to install software”)

Más información:

Firefox onload() History Access Bug and Install Function Scripting

Execution Flaw Lets Remote Users Execute Arbitrary Code

http://www.securitytracker.com/id?1013913

==== 6.- Microsoft sólo publica una actualización de seguridad en mayo ====

Como es habitual, hoy segundo martes de mes Microsoft ha publicado las actualizaciones desarrolladas desde el anterior. En mayo, sólo se ha publicado una nueva actualización, que afecta a Windows 2000 y tiene una nivel de gravedad de importante.

En el boletín publicado, con código MS05-024, se anuncia la corrección de una vulnerabilidad en Windows 2000 que puede ser explotada por usuarios maliciosos para provocar la ejecución remota de código arbitrario. El problema también afecta a sistemas Windows 98, Windows 98 Second Edition y Windows Millennium Edition (ME) aunque Microsoft no publica actualizaciones para estas plataformas ya que el problema no se considera de carácter crítico.

La vulnerabilidad reside en la forma en la que el Explorador de Windows de Windows 2000 trata ciertos caracteres HTML en los campos de vista previa usando la vista Web. Si un atacante persuade a una victima para que previsualice un archivo malicioso, podría ejecutar código arbitrario en la máquina utilizada para ello.

Se recomienda utilizar Windows Update para aplicar esta actualización. Las direcciones para descargar las versiones en distintos idiomas son las siguientes (requieren tener previamente instalados el SP3 o 4 de Windows 2000):

Español:

http://download.microsoft.com/download/c/8/f/c8fc354b-3112-4011-80de-daa7ab3f26f2/Windows2000-KB894320-x86-ESN.EXE

Inglés:

http://download.microsoft.com/download/d/a/f/dafda7aa-7103-45f9-9491-387e5f3faec5/Windows2000-KB894320-x86-ENU.EXE

Microsoft Security Bulletin MS05-024

Vulnerability in Web View Could Allow Remote Code Execution (894320)

http://www.microsoft.com/technet/security/Bulletin/MS05-024.mspx

==== 7.- Malicious Software Removal de Microsoft ====

Microsoft ya libero su herramienta Malicious Software Removal en su versión 1.4 con la versión de este mes se agrega la detección de otros tres códigos maliciosos con lo cual suma 21 los códigos maliciosos que detecta la herramienta. El agregado de este mes es: Sdbot. La herramienta puede obtenerse de:

http://www.microsoft.com/downloads/details.aspx?FamilyID=ad724ae0-e72d-4f54-9ab3-75b8eb148356&DisplayLang=en

Versión en línea:

http://www.microsoft.com/security/malwareremove/default.mspx

==== 9.- Nueva actualización de seguridad de Mac OS X ====

Cuando apenas hace una semana que Apple ha sacado al mercado la versión 10.4 de Mac OS X, la compañía publica una importante actualización de seguridad para las versiones previas de su sistema operativo.

Mac OS X es el último sistema operativo nativo de la compañía Apple, que proporciona un entorno moderno y de calidad para plataformas PowerPC.

Apple ha publicado una actualización para la versión 10.3.9 de su sistema operativo Mac OS X, solucionando 19 importantes problemas de seguridad. Algunos de los mismos permiten que un atacante remoto obtenga privilegios de administrador o “root” en el sistema vulnerable.

Las actualizaciones son demasiado numerosas para publicarlas aquí, pero atañen a los siguientes componenter: Apache, AppKit, AppleScript, Bluetooth, Directory Services, Finder, Foundation, Help Viewer, LDAP, libXpm, lukemftpd, NetInfo, Server Admin, sudo, Terminal y VPN.

La actualización mide unos 6 Megabytes. Hispasec recomienda la actualización urgente de todos los entornos MacOS X 10.3.9. Otro detalle es que la clave PGP del equipo de seguridad de Apple ha cambiado. Dicha clave se utiliza para verificar la integridad y autenticidad de los boletines de seguridad de Apple.

Apple Release Mega Patch to Fix 19 Flaws

http://apple.slashdot.org/article.pl?sid=05/05/05/1854206

Apple mega-patch fixes 19 flaws

http://www.theregister.co.uk/2005/05/05/apple_mega_patch/

About Security Update 2005-005

http://docs.info.apple.com/article.html?artnum=301528

Apple Downloads

http://www.apple.com/support/downloads/

Possibly related: