Boletín 00021 – 19/07/2005

El MIT ha publicado sendos parches de actualización para la v5 de su implementación de Kerberos debido a que se han detectado en ella diversas vulnerabilidades que pueden ser explotadas por atacantes remotos para provocar denegaciones de servicio o incluso comprometer sistemas afectados.

Kerberos es un protocolo de autenticación de red diseñado para ofrecer un sistema de autenticación fuerte para aplicaciones cliente/servidor utilizando criptografía de clave secreta. El Instituto Tecnológico de Massachusetts (MIT) ofrece una versión gratuita de la implementación de este protocolo.

La función krb5_recvauth() puede intentar liberar memoria previamente liberada bajo ciertas circunstancias. Este problema puede ser explotado por usuarios maliciosos no autenticados para ejecutar código arbitrario en la máquina afectada.

La implementación del KDC (Key Distribution Center) del MIT krb5 puede corromper el heap al intentar liberar memoria en direcciones aleatorias cuando recibe ciertas peticiones vía conexión TCP. Esta liberación incontrolada de memoria puede terminar con la caída del KDC y con la consiguiente denegación de servicio. Una petición del mismo tipo, recibida por el KDC ya sea mediante TCP o UDP, puede provocar un desbordamiento de búfer en el heap. Un usuario malicioso no autenticado puede utilizar estas dos vulnerabilidades para ejecutar código arbitrario en el host KDC.

Más información:

Como cada segundo martes de cada mes Microsoft ha liberado sus actualizaciones. Hay 3 vulnerabilidades de severidad crítica por lo que se recomienda que a la brevedad se actualicen los Sistemas vulnerables. Agrego las ligas en donde se encuentran las actualizaciones para los sistemas correspondientes. También las actualizaciones están disponibles en Windows Update.

La fundación Mozilla ha publicado la versión 1.0.5 de su cliente de correo electrónico/RSS “Thunderbird”, destinada a solucionar todos los problemas de seguridad conocidos hasta la fecha.

Mozilla es un entorno de código abierto multiplataforma, de gran calidad, nacido a partir de una iniciativa de Netscape. Firefox es el componente navegador web del proyecto Mozilla, un producto de calidad y popularidad creciente, con más de 50 millones de descargas.
Thunderbird, por su parte, es exclusivamente el componente de correo del proyecto Mozilla, muy prometedor y con algunas características muy novedosas e innovadoras.

Apenas unas horas después de que la fundación Mozilla publicase la versión
1.0.5 del navegador Firefox, hizo pública también la versión 1.0.5 del cliente de correo electrónico Thunderbird, poniéndolo así al día en cuestiones de estabilidad y problemas de seguridad.

Esta actualización soluciona nueve problemas de seguridad, la mayoría de ellos compartidos con Firefox. Se pone fin así -de golpe- al retraso de las actualizaciones de seguridad, entre Thunderbird y su hermano Firefox, cuyos mismos problemas de seguridad se han ido solucionando mediante la publicación de nuevas versiones en los últimos meses.

Más Información:

Oracle ha publicado su paquete de actualización crítica trimestral para cubrir múltiples problemas de seguridad. En esta ocasión se ha anunciado el lanzamiento de diversas actualizaciones de varios de sus productos para corregir hasta 47 vulnerabilidades descubiertas. Algunas tienen un impacto desconocido en el sistema, mientras otras pueden ser explotadas para acceder a información sensible y otras para manipulación no autorizada de datos.

Los productos afectados por alguna de las vulnerabilidades descubiertas son las siguientes:
* Oracle Database 10g Release 1, versiones 10.1.0.2, 10.1.0.3, 10.1.0.4
* Oracle9i Database Server Release 2, versiones 9.2.0.5, 9.2.0.6
* Oracle9i Database Server Release 1, versiones 9.0.1.4, 9.0.1.5, 9.0.1.5 FIPS
* Oracle8i Database Server Release 3, versión 8.1.7.4
* Oracle8 Database Release 8.0.6, versión 8.0.6.3
* Oracle Enterprise Manager Grid Control 10g, versiones 10.1.0.2, 10.1.0.3
* Oracle Enterprise Manager 10g Database Control, versiones 10.1.0.2, 10.1.0.3, 10.1.0.4
* Oracle Enterprise Manager Application Server Control, versiones 9.0.4.0,
9.0.4.1
* Oracle Application Server 10g (9.0.4), versiones 9.0.4.0, 9.0.4.1
* Oracle9i Application Server Release 2, versiones 9.0.2.3, 9.0.3.1
* Oracle9i Application Server Release 1, versión 1.0.2.2
* Oracle Collaboration Suite Release 2, versiones 9.0.4.1, 9.0.4.2
* Oracle E-Business Suite and Applications Release 11i, versiones 11.5.1 through 11.5.10
* Oracle E-Business Suite and Applications Release 11.0
* Oracle Workflow, versiones de la 11.5.1 a la 11.5.9.5
* Oracle Forms and Reports, versiones 4.5.10.22, 6.0.8.25
* Oracle JInitiator, versiones 1.1.8, 1.3.1
* Oracle Developer Suite, versiones 9.0.2.3, 9.0.4, 9.0.4.1, 9.0.5, 10.1.2
* Oracle Express Server, versión 6.3.4.0

La compañía ha dado detalles sólo sobre algunas de ellas:
* JDeveloper arranca sqlplus usando una clave en texto plano como parámetro.
* Las claves de bases de datos son guardadas en texto plano en JDeveloper (algunos archivos de ejemplo serían IDEConnections.xml, XSQLConfig.xml y settings.xml.
* Los archivos temporales creados por Oracle Forms Builder en el directorio ‘temp’ local, contienen credenciales de acceso en texto plano para acceder a la base de datos sobre la que se está trabajando en Forms Builder. Estos archivos no son borrados cuando el programa termina.
* Oracle Forms crea un archivo temporal en el directorio ‘/tmp’ del servidor de aplicaciones si el número de registros pedidos de la base de datos excede al número especificado en ‘buffered records’. Este archivo temporal es accesible por todos los usuarios y contiene copias no cifradas de registros de la base de datos.
* Se han descubierto diversas vulnerabilidades de inyección SQL y de manipulación de parámetros (sin especificar por el fabricante) en Oracle E-Business Suite.

Microsoft ha publicado una aviso de seguridad para advertir de una vulnerabilidad en Remote Desktop Protocol que se ha demostrado puede ser explotada para causar un ataque por denegación de servicio (DoS).

El protocolo RDP, Remote Desktop Protocol, permite a los usuarios de Windows conectarse de forma remota a los sistemas creando sesiones virtuales de sus escritorios. El protocolo es utilizado tanto en la implementación de Terminal Services en Windows 2000 y Windows 2003 como en Remote Desktop en Windows XP.

Según la investigación de Microsoft, el envío de peticiones RDP especialmente malformadas puede provocar una denegación de servicios y el reinicio del sistema, si bien concluyen que la vulnerabilidad no puede ser utilizada para ejecutar código arbitrario de forma remota y, por tanto, no puede comprometer el control del sistema.

La vulnerabilidad puede afectar, dependiendo de si posee o no activado el servicio afectado, a los siguientes sistemas:

Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP Service Pack 1
Microsoft Windows XP Service Pack 2
Microsoft Windows XP Professional x64 Edition
Microsoft Windows Server 2003
Microsoft Windows Server 2003 for Itanium-based Systems
Microsoft Windows Server 2003 Service Pack 1
Microsoft Windows Server 2003 con  SP1 for Itanium-based Systems
Microsoft Windows Server 2003 x64 Edition

Entre las acciones recomendadas para para prevenir el ataque encontramos:
bloquear el puerto TCP/3389 en el firewall, desactivar Terminal Services o Remote Desktop si no son necesarios, o utilizar IPsec o VPN para las conexiones a estos servicios.

Microsoft ha publicado este aviso de seguridad para informar a sus usuarios del impacto de la vulnerabilidad y las medidas recomendadas para mitigarlo, a la espera de publicar el correspondiente parche en el que ya están trabajando, ya que los detalles para explotar la vulnerabilidad fueron desvelados en Internet.

De hecho estos últimos días se ha podido comprobar un aumento de los barridos en Internet buscando el puerto TCP/3389, puerto por defecto del servicio afectado, lo que podría corresponder a potenciales atacantes buscando sistemas vulnerables.

Más información:

El día 12 del presente mes se ha publicado una nueva versión del navegador Mozilla Firefox (concretamente la 1.0.5). Mozilla es un entorno de código abierto multiplataforma, de gran calidad, nacido a partir de una iniciativa de Netscape. Firefox es el navegador web del proyecto Mozilla, un producto de calidad y popularidad creciente, con más de 70 millones de descargas.

Esta nueva versión parchea diversas vulnerabilidades descubiertas, entre las que se encuentran la ejecución de código mediante objetos de funciones compartidas, falsificación de nodos XHTML, falsificación del origen del prompt JavaScript, inyección de scripts desde el panel de la barra lateral, etc.

Shih-hao Weng discovered that the Microsoft Color Management Module contains a flaw in the way it processes International Color Code (ICC) profile format tags. The flaw could let an intruder take control of an affected system. Microsoft released the security bulletin “Vulnerability in Microsoft Color Management Module Could Allow Remote Code Execution (901214)” and an associated patch to correct the problem.