Feb
9
Boletín 00020 – 12/07/2005
Category: Seguridad | 
Leave a Comment
1.- Vulnerabilidad en Adobe Acrobat Reader para versiones Unix
2.- Parche crítico para Internet Explorer
3.- Vulnerabilidades TCP e IPFW en FreeBSD
4.- “Shered Computer Toolkit”
5.- Actualización para Solaris 8 y 9 por problemas en dos módulos perl
6.- MBSA 2.0
7.- Security Advisory
8.- Descubierto desbordamiento de búfer en Zlib
9.- Vulnerabilidad HTTP Request Smuggling en Apache 2.0.x
==== 1.- Vulnerabilidad en Adobe Acrobat Reader para versiones Unix ====
Descubierta una vulnerabilidad en Adobe Reader 5.0.9 y 5.0.10 para plataformas Linux, Solaris, IBM-AIX y HP-UX que podría ser aprovechada por un atacante para ejecutar código arbitrario de forma remota. El desbordamiento de buffer explotable se localiza en la función UnixAppOpenFilePerform(), utilizada por Adobe Reader cuando abre archivos PDF que contienen la etiqueta /Filespec.
A efectos prácticos, un atacante podría diseñar un PDF que, al intentar ser visualizado por una versión de Adobe Reader vulnerable, ejecutara código arbitrario con los mismos privilegios que el usuario local. El atacante podría hacer llegar a la víctima el PDF malicioso a través de una página web, adjunto en un e-mail, o con cualquier otra estrategia.
Para corregir la vulnerabilidad, los usuarios de Adobe Reader 5.0.9 o 5.0.10 para Linux o Solaris deberán actualizar a la versión 7.0, mientras que los usuarios de plataformas IBM-AIX o HP-UX deberán actualizar a la versión 5.0.11.
Todas las actualizaciones están disponibles a través de la dirección:
http://www.adobe.com/products/acrobat/readstep2.html
Más información:
Buffer overflow vulnerability in Adobe Reader (Linux, Solaris, HP-UX,IBM-AIX)
http://www.adobe.com/support/techdocs/329083.html
Adobe Adobe Reader UnixAppOpenFilePerform() Buffer Overflow Vulnerability
http://www.idefense.com/application/poi/display?id=279&type=vulnerabilities
==== 2.- Parche crítico para Internet Explorer ====
Microsoft obligada a distribuir de forma urgente un parche de seguridad para Internet Explorer al publicarse los detalles de una grave vulnerabilidad que afecta al navegador. La vulnerabilidad se localiza en un desbordamiento de buffer explotable en el objeto COM Javaprxy.dll que forma parte de la máquina virtual Java de Microsoft.
A efectos prácticos un atacante puede provocar la ejecución de código arbitrario si la víctima visualiza una página HTML especialmente construida para la ocasión. Es decir, el atacante podría lograr el control total del sistema afectado. La mayoría de sistemas Windows se encuentran afectados por la vulnerabilidad, si bien la máquina virtual Java de Microsoft no se instala por defecto en Windows XP SP1a, Windows XP SP2 y Windows Server 2003 SP1. No obstante, estos sistemas también pueden ser vulnerables si la máquina virtual de Java de MS, y por tanto el componente afectado, se ha instalado con posterioridad por necesidades de cualquier otra aplicación.
Para comprobar si nuestro sistema se encuentra afectado abriremos una ventana de línea de comando y ejecutaremos el comando “jview”. Si el sistema devuelve el siguiente mensaje no somos vulnerables:
“jview” no se reconoce como un comando interno o externo, programa o archivo por lotes ejecutable.
Si por el contrario devuelve varias líneas de texto, explicando el uso y argumentos del comando, estaremos afectados. Las primeras líneas que aparecerían tendría el aspecto de:
Cargador de línea de comandos de Microsoft (R) para Java Versión x.xx.xxxx
Copyright (C) Microsoft Corp 1996-2000. Todos los derechos reservados.
Otra opción es buscar en nuestro sistema la existencia del archivo donde se localiza la vulnerabilidad, “javaprxy.dll”, si se localiza nos encontraremos afectados. La publicación en Internet de pruebas de concepto sobre dicha vulnerabilidad ha forzado que Microsoft tenga que distribuir un parche de urgencia para mitigar probables usos maliciosos de la vulnerabilidad, fuera de su ciclo periódico de actualizaciones de seguridad al que nos tenía acostumbrados el segundo martes de cada mes.
El parche de urgencia, para salir del paso, se basa en una simple entrada en el registro de Windows para evitar que el objeto vulnerable pueda ser llamado desde Internet Explorer. Como el CLSID del control javaprxy.dll es 03D9F3F2-B0E3-11D2-B081-006008039BF0, la clave que el parche introduce es la siguiente:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{03D9F3F2-B0E3-11D2-B081-006008039BF0}
editando el valor “Compatibility Flags”, tipo DWORD, con el dato 00000400
En cualquier caso, en vez de manipular directamente el registro, especialmente si no se tiene experiencia en ello, se recomienda instalar el parche publicado por Microsoft.
En el momento de escribir estas líneas no se encuentra disponible el parche a través de las actualizaciones automáticas de Windows ni en el sitio WindowsUpdate. Esperamos que en breve Microsoft corrija el componente afectado y ofrezca una solución más robusta, si bien mientras tanto, y dada la gravedad de la vulnerabilidad, desde Hispasec recomendamos a los usuarios la instalación del parche de urgencia que puede ser descargado, según versiones, desde las siguientes direcciones:
Internet Explorer 5.01 Service Pack 3 para Microsoft Windows 2000
Service Pack 3
Internet Explorer 5.01 Service Pack 4 para Microsoft Windows 2000
Service Pack 4
Internet Explorer 6 Service Pack 1 para Microsoft Windows 2000 Service Pack 3,
Microsoft Windows 2000 Service Pack 4, o Microsoft Windows XP Service Pack 1
Internet Explorer 6 para Microsoft Windows XP Service Pack 2
Internet Explorer 6 para Windows Server 2003 y Windows Server 2003 Service Pack 1
Internet Explorer 6 para Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium), Microsoft Windows Server 2003 para Itanium-based Systems y Microsoft Windows Server 2003 con SP1 para Itanium-based Systems
Internet Explorer 6 para Windows Server 2003 x64 Edition y Windows XP Professional x64 Edition
Internet Explorer 5.5 Service Pack 2 para Windows Millennium Edition
Internet Explorer 6 Service Pack 1 para Microsoft Windows 98, Microsoft Windows 98 SE, o Microsoft Windows Millennium Edition
Más información:
Microsoft Security Advisory (903144)
http://www.microsoft.com/technet/security/advisory/903144.mspx
IE6 javaprxy.dll COM instantiation heap corruption
http://www.sec-consult.com/184.html
==== 3.- Vulnerabilidades TCP e IPFW en FreeBSD ====
En el transcurso de las últimas 48 horas han aparecido dos vulnerabilidades en FreeBSD. La criticidad de ambos grupos de fallos es escasa, pero no por ello desdeñable. FreeBSD es un sistema operativo libre de alta calidad, basado en la versión 4.4BSD-Lite del Computer Systems Research Group de la Universidad de Berkeley.
El primero de los fallos descubiertos ha sido notificado por el propio equipo de desarrollo de FreeBSD, que han actualizado la pila de protocolo TCP, ya que la configuración vulnerable permitía que usuarios maliciosos pudieran ejecutar ataques de denegación de servicio en sesiones activas TCP. Al ser la pila un componente base del sistema, el ramillete de versiones afectadas, según lo descrito en el informe CVE CAN-2005-2068, va desde la rama 2.x hasta la reciente 5.4
Esta problemática tiene lugar cuando la máquina vulnerable con una conexión establecida recibe un paquete TCP con el flag SYN activo, y éste paquete es aceptado, posibilitando la reescritura de ciertas opciones TCP, lo que podría ocasionar denegaciones de servicio.
El segundo fallo declarado, documentado con numeración CVE CAN-2005-2019, describe un error de atomicidad, que podría facilitar el puenteo de reglas de firewall debido a un problema en las consultas a la tabla de direcciones del firewall nativo de FreeBSD, IPFW. El error sólo se presenta en máquinas que tengan la funcionalidad ‘PREEMPTION’ activada, cosa que no ocurre en las instalaciones por defecto. De momento, sólo se ha declarado a la versión 5.4 como vulnerable.
Para ambos casos, hay actualizaciones disponibles que deben ser aplicadas por los administradores y usuarios de soluciones FreeBSD.
Más información:
FreeBSD
FreeBSD TCP Stack Established Connection Denial of Service Vulnerability
http://www.securityfocus.com/bid/14104/
Parches para CAN-2005-2068
http://www.securityfocus.com/bid/14104/solution
FreeBSD IPFW Address Table Lookup Atomicity Error Firewall Rule Bypass Vulnerability
http://www.securityfocus.com/bid/14102
Parche para CAN-2005-2019
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/patches/SA-05:13/ipfw.patch
FreeBSD Handbook: IPFW Firewall
http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/firewalls-ipfw.html
==== 4.- “Shered Computer Toolkit” ====
Microsoft lanzó una versión beta de una herramienta para la administración de equipos Windows XP que trabajan con recursos compartidos. Esta herramienta cubre varios aspectos de los cuales los administradores siempre deben cubrir cuando trabajan con ambientes así. Con “Microsoft Shered Computer Toolkit for Windows XP” se pueden crear políticas y perfiles para determinados usuarios con lo cual facilita la administración de éstos, ofrece protección al disco y la confidencialidad de la información. Esta herramienta presume de tener varias funcionalidades, se puede obtener de:
http://www.microsoft.com/windowsxp/sharedaccess/overview.mspx
==== 5.- Actualización para Solaris 8 y 9 por problemas en dos módulos perl ====
Sun ha anunciado la publicación de parches de actualización para sus sistemas Solaris (versiones 8 y 9) debido a que se han descubierto dos vulnerabilidades que pueden ser explotadas por usuarios maliciosos para saltarse ciertas restricciones de seguridad y realizar ataques de tipo cross site scripting.
La primera vulnerabilidad detectada reside en el módulo ‘Safe.pm’, escrito en Perl, y que puede ser explotada para saltarse ciertos controles de acceso. La segunda vulnerabilidad, descubierta en un módulo también escrito en Perl (concretamente en uno llamado ‘CGI.pm’), se debe a que las entradas recibidas por la función ’start_form()’ no son filtradas adecuadamente. Esta circunstancia puede ser explotada para ejecutar código HTML y script arbitrario en el navegador de la víctima (con el contexto de seguridad del sitio afectado).
Para corregir este problema en la versión 8 de Solaris, Sun recomienda actualizar los paquetes de Perl a los últimos disponibles en http://www.perl.org/.
Para la versión 9, recomienda aplicar el parche descargable desde las siguientes direcciones (según plataforma):
(sparc) http://sunsolve.sun.com/pub-cgi/pdownload.pl?target=119449-01&method=f
(x86) http://sunsolve.sun.com/pub-cgi/pdownload.pl?target=119450-01&method=f
Más información:
Security Vulnerabilities in “Safe.pm” and “CGI.pm” Perl Modules
http://sunsolve.sun.com/search/document.do?assetkey=1-26-101426-1
==== 6.- MBSA 2.0 ====
Microsoft ha liberado Microsoft Baseline Security Analizer en su versión 2.0, dentro de las mejoras que tiene esta nueva versión estan:
* Ligas a las actualizaciones y guias para realizar las acciones necesarias.
* Compatibilidad con otros mecanismos de actualizaciones como WSUS, Microsoft Updates (MU) y SMS (System Management Server)
* Soporte para sistemas Windows de 64 bits
MBSA 2.0 es una escaner que sirve para determinar es estado de seguridad de tu organización, ofreciendo las recomendaciones y las acciones pertinentes que se deben llevar a cabo de acuerdo a las buenas prácticas de seguridad. Te alerta sobre las actualizaciones que hacen falta en los equipos y las configuraciones que tienes en ellos, haciendo las recomendaciones pertinentes.
La nueva versión la puedes obtener de :
http://www.microsoft.com/technet/security/tools/mbsa2/default.mspx#EEAA
==== 7.- Security Advisory====
Lista en días pasados Microsoft liberó dos boletines de su programa Microsoft Security Advisory en el primero de esto se anuncia la liberación de un paquete con actualizaciones para Windows 2000 comprendido entre el SP4 y el 30 de abril de 2004. Posiblemente algunos ya notaron este mediante Windows Update. O puede ser descargado de:
Más información en:
Microsoft Security Advisory para Windows 2000
http://www.seguridad.unam.mx/noticias/?noti=1419
http://support.microsoft.com/kb/891861
En el más crítico, Microsoft anuncia un problema con Internet Explorer con el cual se puede tomar el control total del equipo debido a un problema con un Objeto COM (javaprxy.dll). El FrSIRT publico una prueba de concepto para este problema en:
http://www.frsirt.com/exploits/20050702.iejavaprxyexploit.pl.php. Se espera que el jueves en los avances de los boletines se anuncie una corrección.
Más información en:
http://www.seguridad.unam.mx/noticias/?noti=1420
==== 8.- Descubierto desbordamiento de búfer en Zlib====
Se ha descubierto una vulnerabilidad en la librería zlib que podría ser explotada por usuarios maliciosos para provocar denegaciones de servicio o incluso comprometer la seguridad de un sistema que ejecute un programa que a su vez haga uso de versiones afectadas de esta librería (concretamente, versiones inferiores a la 1.2.2-r1). Zlib es una librería de compresión sin pérdidas que es utilizada por una gran cantidad de programas.
El problema, descubierto por el equipo de auditoría de código de Gentoo, es un desbordamiento de búfer, localizado en ‘inftrees.c’. La vulnerabilidad se puede dar a la hora de procesar streams corruptos de datos comprimidos, lo que puede ser aprovechado por un atacante malicioso para provocar la caída del programa que usa esta librería, o incluso para ejecutar código arbitrario con los privilegios de la aplicación vulnerable.
Diversas plataformas (Gentoo en sí, Debian, FreeBSD, SuSE, Red Hat, etc.) han publicado ya actualizaciones para solventar el problema. Se recomienda actualizar a la mayor brevedad posible, y posteriormente recompilar las aplicaciones que puedan verse afectadas por este problema. Aunque oficialmente aun no ha salido el parche en la página web de zlib, desde otras distribuciones como Gentoo se facilita un diff que reproducimos a continuación:
>>>>>
- — inftrees.c 2005-07-02 08:56:13.000000000 -0400
+++ inftrees.c 2005-07-02 08:57:15.000000000 -0400
@@ -134,7 +134,7 @@
left -= count[len];
if (left < 0) return -1; /* over-subscribed */
}
- – if (left > 0 && (type == CODES || (codes – count[0] != 1)))
+ if (left > 0 && (type == CODES || max != 1))
return -1; /* incomplete set */
/* generate offsets into symbol table for each length for sorting */
<<<<<
Más información:
zlib: Buffer overflow
http://www.gentoo.org/security/en/glsa/glsa-200507-05.xml
DSA-740-1 zlib — denegación remota de servicio
http://www.debian.org/security/2005/dsa-740
FreeBSD-SA-05:16.zlib
Buffer overflow in zlib
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-05:16.zlib.asc
[suse-security-announce] SUSE Security Announcement:
zlib denial of service attack (SUSE-SA:2005:039)
http://lists.suse.com/archive/suse-security-announce/2005-Jul/0001.html
Important: zlib security update
http://rhn.redhat.com/errata/RHSA-2005-569.html
zlib
==== 9.- Vulnerabilidad HTTP Request Smuggling en Apache 2.0.x ====
Tras un reciente descubrimiento por parte del laboratorio de White Dust, se ha verificado que todas las versiones de Apache previas a la 2.1.6 son vulnerables a un ataque HTTP Request Smuggling (HRS). En un principio, la rama 1.0.x está excluida del problema. Apache es un servidor HTTP de código abierto, seguro, eficiente y extensible, para sistemas operativos UNIX y derivados, así como plataformas Microsoft Windows, que goza de gran popularidad, siendo la solución más empleada para servir HTTP a nivel mundial, con una cuota de mercado estimada en un 68% sobre el total.
La técnica del HRS fue originalmente descubierta y documentada por los analistas de Watchfire, y consiste básicamente en lanzar varias peticiones especialmente preparadas, de modo que dos dispositivos HTTP (clientes, servidores, cachés, etc.) podrían visualizar distintos tipos de peticiones. Esto permitiría que usuarios maliciosos introdujeran peticiones camufladas en un dispositivo, sin que el otro se percatara.
En este caso, la petición preparada con una cabecera ‘Transfer-Encoding: chunked’ y un ‘Content-Length’ pueden provocar que Apache remita una petición modificada con la cabecera ‘Content-Length’ original. En éstas condiciones, la petición maliciosa podría ir de polizón junto a la válida, siendo los posibles resultados tan peligrosos y variopintos como envenenamiento de caché, Cross Site Scripting, secuestro de sesiones y otras tipologías de ataque similares.
La solución de esta vulnerabilidad problema pasa por la actualización de todos los demonios Apache pertenecientes a la rama 2.0.x a la versión 2.1.16, que corrige el problema. Nótese que la rama 2.1.x está en experimentación, con lo que instamos a los administradores de Apache a que repasen concienzudamente los contenidos que el proveedor ofrece en el sitio web oficial y las posibles repercusiones en cuanto a estabilidad que origine la actualización.
Más información:
Apache Web Server
Apache Request Smuggling Vulnerability
http://www.whitedust.net/speaks/825/Apache%20Request%20Smuggling%20Vulnerability/
HRS. Documento original de Watchfire.
http://www.watchfire.com/resources/HTTP-Request-Smuggling.pdf.
