Feb
9
Boletín 00018 – 27/06/2005
Category: Seguridad | 
Leave a Comment
1. Productos de Sybari y Microsoft
2. Revelación de información sensible en Cisco VPN 3000
3. Acceso remoto a archivos con Adobe Reader
4. Denegación de servicio en SpamAssasin 3
5. Enterprise Update Scan Tool (standalone version) de Junio.
6. Guía para implementar WSU
7. Actualización acumulativa para Outlook Express
8. Salto de mecanismos de seguridad del Sandbox en Java Web Start / Sun JRE
9.-Salto de restricciones de seguridad en IBM DB2 Universal Database 8
10.-Actualizacion de ExBPA Version 2.1
11.-Vulnerabilidad en Samba para Sun Solaris 9 y 10
12.- Toolkit para bloquear Temporalmente la implementación de Windows Server 2003 SP1
13.- Ejecución de código de forma remota con Sun ONE Messaging Server
14.- Information Disclosure Vulnerability in Telnet Client
==== 1. Productos de Sybari y Microsoft ====
Microsoft hoy ha anunciado la adquisición de la empresa Sybari software, esta adquisición que se anunció desde el 8 de febrero hoy se ha hecho formal. Los productos de la empresa Sybari Software ayudan a proteger a los clientes de Windows del software malicioso.
Con esta adquisición Sybari ayudará a asegurar los productos de Microsoft ya que continuará ofreciendo productos de protección para la plataforma Windows.
Algunos de los productos en los que se enfoca la protección de Sybari Software son:
- Protección en los servidores de producción de las organizaciones, que
ayudan a detener y prevenir el malware y el spam.
- Protección del ancho de banda de la red y el rendimiento en los equipos.
- Protección mediante aplicaciones que ayudan a filtrar tráfico en la organización.
Se piensa que este trabajo en conjunción ayudara mucho a la protección de las organizaciones y al rendimiento de los productos y aplicaciones que tengan de la plataforma Microsoft.
En este sitio se pueden encontrar algunos productos que en este momento se ofrecen y algunas evaluaciones.
http://www.microsoft.com/windowsserversystem/solutions/security/sybari.mspx
==== 2.Revelación de información sensible en Cisco VPN 3000 ====
Se ha descubierto una debilidad en el concentrador Cisco VPN 3000 que puede ser explotada por usuarios maliciosos para conseguir acceso a cierta información.
El problema se debe a que dicho dispositivo devuelve respuestas diferentes dependiendo de si se ha dado un nombre válido de grupo o no cuando está configurado para autenticar nombres de grupo.
Una vez se ha conseguido un nombre válido de grupo, puede facilitar las cosas para conseguir el hash de la clave del grupo.
Se recomienda tanto actualizar a la versión 4.7.1 como utilizar un método alternativo de autenticación.
Más información:
Cisco VPN Concentrator Groupname Enumeration Vulnerability
http://www.nta-monitor.com/news/vpn-flaws/cisco/VPN-Concentrator/index.htm
==== 3. Acceso remoto a archivos con Adobe Reader ====
Se ha anunciado la existencia de una vulnerabilidad en las versiones recientes de Adobe Reader (anteriormente conocido como Acrobat Reader) por la que un atacante remoto podría descubrir la existencia de archivos en el sistema remoto e incluso llegar a leer determinados tipos de archivos.
El problema se debe a un tipo de ataques conocido como XML External Entity (XXE). Las versiones recientes de Adobe Reader permiten la inclusión de código JavaScript en los archivos pdf. De igual forma, a través de JavaScript se pueden incluir documetos XML dentro del pdf. Estos documentos XML pueden hacer referencia a entidades externas (External Entities) a través de URIs, y la mayoría de los analizadores XML, incluido el empleado en Adobe Reader, permiten el acceso a cualquier URI para entidades externas, incluidos archivos, a menos que se diga específicamente lo contrario.
Para solucionar el problema Adobe ha publicado la versión 7.0.2 para Windows, disponible en
http://www.adobe.com/support/downloads/
En breve estará disponible la versión actualizada del lector para Mac OS, hasta dicha publicación se recomienda desactivar el soporte JavaScript.
Más información:
XML External Entity vulnerability (Adobe Reader and Acrobat 7.0-7.0.1) http://www.adobe.com/support/techdocs/331710.html
Adobe Reader 7 XML External Entity (XXE) Attack http://www.securiteam.com/securitynews/5XP0B2KG0Q.html
==== 4. Denegación de servicio en SpamAssasin 3 ====
Se ha anunciado recientemente una vulnerabilidad en SpamAssasin (versiones de la 3.0.1 a la 3.0.3) que puede ser explotada por usuarios maliciosos remotos para provocar denegaciones de servicio en dicho programa y en el flujo normal del correo electrónico lícito.
SpamAssasin es una popular y eficaz herramienta open source para filtrado de correo no deseado (spam). Escrita en Perl, implementa un complejo sistema mixto de filtrado que incluye análisis de cabeceras y texto, filtrado bayesiano, listas de bloqueo DNS y bases de datos de filtrado colaborativo.
La vulnerabilidad descubierta se debe a un problema de SpamAssasin a la hora de procesar ciertas cabeceras cuando estas están construidas de forma maliciosa. Un atacante puede crear un mensaje de tal forma que el programa tardará una gran cantidad de tiempo en analizarlo. Repitiendo dicha operación, provocará una denegación de servicio efectiva, con lo que se puede entorpecer gravemente el acceso normal al correo electrónico de usuarios en sistemas que utilicen este programa.
Se recomienda actualizar a la versión 3.0.4, publicada el pasado día seis de este mismo mes, y disponible en la siguiente URL:
http://spamassassin.apache.org/downloads.cgi?update=200506061100
Más información:
SpamAssassin Bug in Processing Long Message Headers Lets Remote Users Deny Service
http://securitytracker.com/alerts/2005/Jun/1014219.html
==== 5. Enterprise Update Scan Tool (standalone version) de Junio. ====
Microsoft liberó la versión Enterprise Update Scan Tool del mes de Junio hace algunos días con la cual se puede detectar sistemas sin actualizaciones críticas que no son detectables por Microsoft Baseline Security Analyzer
(MBSA) o la herramienta Offiice Inventory. Esta herramienta puede ser utilizada para escanear computadoras que requieran las actualizaciones de seguridad no detectadas por las herramientas mencionadas. La herramienta puede ser ejecutada desde un script de startup o logon por un usuario que tenga derechos administrativos locales. Esta herramienta esta pensada para ser usada en ambientes donde no se utilice SMS u otra solución administrativa. Para SMS visite el sitio de este producto para obtener la versión de esta herramienta.
Limitantes:
-Necesita una cuenta administrativa.
-Se requiere una herramienta diferente para cada uno de los meses de actualización.
-Solo funciona la herramienta de manera local.
-No detecta actualizaciones de seguridad para los siguientes sistemas operativos.
. Windows 2000 Service Pack 2 y versiones previas
. Windows NT 4.0 (Todas las versiones)
. Windows 98, Windows 98 SE, y Windows Millennium Edition
. Windows XP 64-bit Editions
. Windows Server 2003 64-bit Editions
. Windows XP Embedded
-Leer el archivo adjunto con la herramienta para leer más limitantes.
Modo de uso:
-Descomprimir el archivo obtenido en alguna localidad.
-Este no arrojara varios archivos de los cuales la herramienta solo utiliza
el ejectutable y el dll.
-ejecutar en una ventana de linea de comando:
UpdateScan.exe /xml:UpdateScan.xml /logfile:UpdateScan.log /loglevel:3 /deleteresults
Los resultados pueden ser visualizados en el archivo “Results.xml”.
Para detectar con mayor facilidad si las actualizaciones son necesario buscar el campo “Status” y verificar el valor. Si Status esta con el valor “Applicable” indica que la actualización de seguridad es necesaria y no esta instalada.
Si Status esta con el valor “Installed” significa que la actualización de seguridad esta instalada en el sistema.
Algo que hay que mencionar es que el archivo “Results.xml” lanzara el resultado “No checks apply to this system” cuando la herramienta sea ejecutada sobre alguna de las versiones no afectadas por el producto, no este instalado el producto o no cumpla con lo requerimientos.
La herramienta pueden ser obtenidas de:
Enterprise Update Scan Tool (standalone version) para Junio de 2005
Detecta las actualizaciones de seguridad para los siguientes boletines / productos:
MS05-029 – Exchange 5.5 SP4 for OWA solo cuando Outlook Web Access es configurado como un standalone Internet Information Server.
MS05-030 – Outlook Express 5.5 SP2 cuando este instalado en Windows 2000 SP3/SP4; Outlook Express 6 SP1 cuando este instalado en Windows 2000 SP3/SP4 o Windows XP SP1; Outlook Express 6 para servidores Windows Server 2003 RTM
MS05-031 – Todos los Microsoft Interactive Training / Step-by-Step applications cuando esten instalados en Windows 2000 SP3/SP4, Windows XP SP1/SP2, y Windows Server 2003 (todas las versiones)
MS05-033 – Todos las instalaciones de Servicios para UNIX de TELNET.EXE cuando esten instalado en Windows 2000 SP3/SP4.
Ya aplicadas las actualizaciones se pude ejecutar nuevamente la herramienta
y verificar el archivo “results.xml” el cual deberá indicar “No missing updates detected”
==== 6. Guía para implementar WSUS ====
Microsft libero hace algunos días la guía “Deploying Microsoft Windows Server Update Services”
La cual es una guía para implemetar Microsoft Windows Server Update Services
(WSUS) además de que incluye una descripción de cómo funciona WSUS y descripción de las características de administración del ancho de banda y la escalabilidad de WSUS. En la guía encontraras como configurar Automatic Updates en clientes y servidores que utilicen WSUS, los pasos para la migración de SUS a WSUS y los pasos para levantar WSUS en un segmento aislado de tu red e importar actualizaciones manualmente. También encontraras los diseños de red de WSUS.
Es una guía con la cual podemos implemetar WSUS facilmente.
La guía puede obtenerse en:
==== 7. Actualización acumulativa para Outlook Express ====
Dentro del conjunto de boletines de junio publicado por Microsoft y del que efectuamos un adelanto esta semana, se cuenta el anuncio (en el boletín MS05-030) de una actualización acumulativa para Outlook Express.
La actualización publicada para Outlook Express 5.5 y 6 se debe a que se ha detectado una vulnerabilidad que puede facilitar que un atacante remoto llegue a comprometer la seguridad del sistema.
La vulnerabilidad, que permitiría la ejecución remota de código arbitrario, se da cuando dicho cliente se usa como lector de grupos de noticias. Un atacante puede configurar un servidor de este tipo de tal manera que puede provocarse dicha ejecución si la víctima pide noticias al servidor.
La compañía recomienda utilizar Windows Update para actualizar los sistemas afectados, aunque la actualización está disponible también para su descarga en las siguientes direcciones:
* Outlook Express 5.5 Service Pack 2 sobre Microsoft Windows 2000 Service Pack 3 y Microsoft Windows 2000 Service Pack 4
http://www.microsoft.com/downloads/details.aspx?FamilyId=a6932151-2ae2-4c6e-861a-6ff5bde61191
* Outlook Express 6 Service Pack 1 para Microsoft Windows 2000 Service Pack 3, Service Pack 4, o para Microsoft Windows XP Service Pack 1:
http://www.microsoft.com/downloads/details.aspx?FamilyId=89e4d8ee-4d8e-4660-a53d-28502b3d2518
* Outlook Express 6 Service Pack 1 para Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium):
http://www.microsoft.com/downloads/details.aspx?FamilyId=b765c0e1-f4e2-495b-aae5-2db3eeaf71bb
* Outlook Express 6 para Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium):
http://www.microsoft.com/downloads/details.aspx?familyid=69901ec1-a11f-4135-9874-3698bcf7c760
* Outlook Express 6 para Microsoft Windows Server 2003 para sistemas Itanium:
http://www.microsoft.com/downloads/details.aspx?familyid=5fc7d68b-92a6-4c03-8d88-b2501aea8da6
* Outlook Express 6 para Microsoft Windows Server 2003:
http://www.microsoft.com/downloads/details.aspx?FamilyId=d439eee9-05eb-4ecb-9e86-6259f1acaabb
Más información:
Boletín de seguridad de Microsoft MS05-030 Actualización de seguridad acumulativa en Outlook Express (897715)
http://www.microsoft.com/spain/technet/seguridad/boletines/MS05-030-IT.mspx
==== 8. Salto de mecanismos de seguridad del Sandbox en Java Web Start / Sun JRE ====
Se han descubierto dos vulnerabilidades en Java Web Start y Sun JRE (Java Runtime Environment) que pueden ser explotadas por usuarios maliciosos para comprometer un sistema afectado.
La primera vulnerabilidad, debida a un error sin especificar, puede ser explotada para que una aplicación en la que no se tenga confianza ejecute código arbitrario. Esta vulnerabilidad afecta al Java Web Start incluido en J2SE versiones 5.0 y 5.0 Update 1 para Windows, Solaris y Linux.
El segundo de los problemas también se debe a un error sin detallar y podría permitir a un applet sin confianza ejecutar código arbitrario. Esta vulnerabilidad afecta a versiones 5.0 y 5.0 Update 1 de J2SE para Windows, Solaris y Linux, además de J2SE 1.4.2 (versiones 1.4.2_07 y anteriores) para las mismas plataformas.
Se recomienda actualizar a J2SE 5.0 Update 2 o a la versión 1.4.2_08 para Windows, Solaris y Linux. Estas versiones pueden descargarse de las siguientes direcciones:
http://java.sun.com/j2se/1.5.0/download.jsp
http://java.sun.com/j2se/1.4.2/download.html
Más información:
Security Vulnerability With Java Web Start
http://sunsolve.sun.com/search/document.do?assetkey=1-26-101748-1
Security Vulnerability With Java Runtime Environment May Allow Untrusted Applet to Elevate Privileges
http://sunsolve.sun.com/search/document.do?assetkey=1-26-101749-1
==== 9.-Salto de restricciones de seguridad en IBM DB2 Universal Database 8 =====
Se ha anunciado la existencia de una vulnerabilidad en IBM DB2 Universal Database, que puede ser empleada por un atacante para evitar las medidas de seguridad del sistema.
La vulnerabilidad está provocada por un error no detallado en el aviso de IBM y que permite evitar la comprobación de autenticación. El problema puede permitir que un usuario que sólo tenga permisos para SELECT en una tabla realice inserción, actualización o borrado de contenidos en esa tabla, incluso aunque no tenga los privilegios para dichas acciones.
IBM ha publicado los siguientes FixPaks que corrigen la vulnerabilidad:
DB2 Universal Database Version 8 FixPak 6c:
http://www-1.ibm.com/support/docview.wss?rs=0&uid=swg24009926
DB2 Universal Database Version 8 FixPak 7b:
http://www-1.ibm.com/support/docview.wss?rs=0&uid=swg24009931
DB2 Universal Database Version 8 FixPak 8a:
http://www-1.ibm.com/support/docview.wss?rs=0&uid=swg24009930
DB2 Universal Database Version 8 FixPak 9a:
http://www-1.ibm.com/support/docview.wss?rs=0&uid=swg24009929
Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/2437/comentar
Más información:
Alert on DB2 Universal Database security vulnerability
http://www-1.ibm.com/support/docview.wss?uid=swg21209727
IY73104: Security: DB2 security vulnerability related to incorrect authorization checks
http://www-1.ibm.com/support/docview.wss?uid=swg1IY73104
==== 10.-Actualizacion de ExBPA Version 2.1 ====
Microsoft ha liberado una actualización de la herramienta Microsoft Exchange Best Pratices Analyzer (ExBPA Versión 2.1) Esta herramienta realiza un escaneo para determinar si las configuraciones y latopología de Exchange cumplen con las buenas prácticas recomendadas.
Exchange Server Best Practices Analyzer recopila la configuración y los valores de datos como Active Directory, registros, la metabase y el monitoreo de rendimiento y unas vez recopilada la información se aplica un conjunto de reglas recomendadas a la topología. Una vez procesados los datos se da un informe detallado con sus respectivas recomendaciones para que se configure
el servidor de una forma más eficiente y los resultados sean los óptimos.
La herramienta ExBPA Versión 2.1 se puede obtener de:
==== 11.-Vulnerabilidad en Samba para Sun Solaris 9 y 10 ====
Sun ha anunciado el descubrimiento de una vulnerabilidad en Solaris 9 y 10 que puede ser explotada por usuarios maliciosos para provocar denegaciones de servicio.
La vulnerabilidad, localizada en el servicio Samba, se debe a un error de validación de entradas en la función ‘ms_fnmatch()’, concretamente cuando se intentan procesar nombres que contengan comodines. Un usuario malicioso puede utilizar múltiples comandos especialmente realizados a tal efecto para provocar un enorme consumo de recursos de CPU por parte del servicio afectado.
La compañía sólo ha publicado, de momento, la actualización para la versión 10 de su sistema, que puede descargarse en las siguientes
direcciones:
Para SPARC:
http://sunsolve.sun.com/pub-cgi/pdownload.pl?target=119757-01&method=f
Para x86:
http://sunsolve.sun.com/pub-cgi/pdownload.pl?target=119758-01&method=f
Más información:
Security Vulnerability in Samba’s “ms_fnmatch()” Function May Result in a Denial of Service (DoS)
http://sunsolve.sun.com/search/document.do?assetkey=1-26-101783-1
==== 12.- Toolkit para bloquear Temporalmente la implementación de Windows Server 2003 SP1 ====
Microsoft liberó una herramienta para bloquear la instalación del SP1 para 2003, esta herramienta bloquea temporalmente la instalación del SP1 a través de Automatic Updates (AU), Windows Update y Microsoft Update.
SPBlockerTools.EXE es una herramienta de 81KB la cual contiene tres aplicaciones para realizar la tarea: Un ejecutable, una plantilla administrativa y un script en batch. El método de bloqueo es similar que con Windows XP y el SP2, crear una llave en el registro.
Con esta herramienta se podrá bloquear la instalación del SP1, la cual esta prevista instalarse en los equipos el 26 de Julio de 2005 en equipos con Automatic Updates. También con la herramienta se bloqueara la descarga a través de Windows Update y Microsoft Update. Este periodo de bloqueo deberá de terminar el 30 de Marzo de 2006, después de esta fecha SP1 deberá instalarse en los equipos.
Si se bloque el SP1 se perderán características como:
* Post-Setup Security Updates (PSSU): Esta diseñado para proteger al sistema de amenazas después de instalar el sistema operativo por primera vez en una máquina, además bloquea todo el tráfico entrante hasta que Windows Update haya acabado de actualizar el equipo. Una vez realizado esto, el Firewall de Windows vuelve a su configuración habitual.
* Security Configuration Wizard (SCW): Consiste en una serie de ventanas (wizard’s) que nos ayudan a configurar la seguridad del servidor según el rol que vaya a desempeñar en nuestra red. Desactiva los servicios innecesarios, minimizando así las posibles vías de entrada a extraños.
* Windows Firewall. El cual fue incluido previamente en el SP2 de Windows XP.
Pero ¿Por qué? bloquear el SP1, la principal razón, problemas con aplicaciones de la organización o falta de pruebas del SP1 con las aplicaciones de la organización. Si aún no instalas SP1 se recomienda primero aplicar este en un laboratorio de prueba con las aplicaciones comunes de la organización, para detectar fallas en las aplicaciones.
Para obtener la la herramienta para bloquear el SP1 de Windows 2003.
Más info:
http://www.microsoft.com/WindowsServer2003/evaluation/news/bulletins/ws03sp1blockertool.mspx
==== 13.- Ejecución de código de forma remota con Sun ONE Messaging Server ====
Se ha anunciado la existencia de una vulnerabilidad en iPlanet Messaging Server 5.2 y Sun ONE Messaging Server 6.2, que permitiría a un usuario remoto la ejecución de código arbitrario.
El problema reside en que el atacante remoto podría llegar a ejecutar código Javascript arbitrario en el sistema afectado y con los privilegios del usuario objetivo. Hay que señalar que solo se ven afectados por este problema los usuarios que ejecuten Internet Explorer.
Sun, que actualmente se encuentra trabajando para proporcionar la solución a esta vulnerabilidad, no ha facilitado detalles adicionales sobre el problema.
Más información:
Security Vulnerability in Webmail May Allow an Unprivileged User to Execute Arbitrary Code
http://sunsolve.sun.com/search/document.do?assetkey=1-26-101770-1
Sun ONE Messaging Server Lets Remote Users Execute Arbitrary Code on a Target Webmail User’s System
http://securitytracker.com/alerts/2005/Jun/1014235.html
==== 14.- Information Disclosure Vulnerability in Telnet Client ====
Gael Delalleau and iDEFENSE reported that Microsoft Telnet client contains an information disclosure vulnerability that could let an intruder read session variables of users connected to a Telnet server. Microsoft released a security bulletin, Vulnerability in Telnet Client Could Allow Information Disclosure (896428), and an associated patch to correct the problem.
http://list.windowsitpro.com/t?ctl=CA5F:51B03
