Boletín 00022 – 26/07/2005

Se ha anunciado la existencia de múltiples vulnerabilidades en Oracle Reports y Forms que pueden ser explotadas por usuarios maliciosos para realizar escaladas de privilegios, acceder a información sensible, sobreescribir archivos arbitrarios, llevar a cabo ataques cross site scripting o incluso, potencialmente, comprometer un sistema afectado.

La primera de la lista se debe a la falta de un filtrado robusto de diversos parámetros que posteriormente son enviados al usuario. Un atacante puede aprovechar esta circunstancia para realizar ataques de tipo cross site scripting (ejecutando código HTML y script arbitrario en el navegador de la víctima con el contexto de seguridad del sitio afectado). Esta vulnerabilidad ha sido confirmada en Oracle Reports 9.0.2 con patchset 2, aunque no se descarta que pueda afectar a otras versiones.

Otra vulnerabilidad descubierta permite leer una pequeña parte del principio de cualquier archivo XML en un sistema afectado pasando la ruta del archivo a otro parámetro, en este caso ‘customize’.

La siguiente en la lista de vulnerabilidades permite a un atacante leer una pequeña parte del principio de cualquier fichero en un sistema vulnerable poniendo su ruta en otro parámetro, en este caso ‘desformat’.

Otra vulnerabilidad descubierta permitiría a un atacante sobreescribir archivos arbitrarios pasando una cadena especialmente construida al parámetro ‘desname’. En plataformas Windows se puede utilizar esta vulnerabilidad para sobreescribir cualquier archivo en el sistema, mientras que en Linux se podrán sobreescribir archivos que pertenezcan al usuario Oracle Application Server. Esta vulnerabilidad en concreto ha sido confirmada en Oracle Reports versiones 6.0, 6i, 9i y 10g.

Se ha descubierto también que es posible ejecutar archivos de informes (*.rep y *.rdf) arbitrarios especificando la ruta del parámetro ‘report’. Esto puede ser explotado por un atacante local para ejecutar comandos arbitrarios con los privilegios del usuario ‘Oracle’ o SYSTEM. Para conseguir esto, sólo tiene que colocar un archivo de informe malicioso en un directorio del servidor. Esta vulnerabilidad ha sido confirmada en Oracle Reports versiones 6.0, 6i, 9i y 10g.

Finalmente, se ha descubierto que es posible ejecutar archivos de formulario (*.fms) arbitrarios especificando su ruta en los parámetros ‘form’ o ‘module’. Al igual que la anterior vulnerabilidad, esta permitiría ejecutar comandos con los permisos del usuario ‘Oracle’ o SYSTEM por parte de atacantes locales que colocasen archivos maliciosos de este tipo en el directorio del servidor. Esta última vulnerabilidad se ha confirmado en las versiones 4.5, 5.0, 6.0, 6i, 9i y 10g de Oracle Forms.

A la espera de parches de actualización por parte de Oracle, se recomienda utilizar algún tipo de mecanismo de filtrado intermedio (un proxy o un firewall con capacidad de filtrado de URLs) para descartar peticiones maliciosas. También se recomienda dar acceso a los sistemas afectados sólo a usuarios de confianza, además de restringir la capacidad de subida de archivos.

Hay que señalar que todos los problemas anunciados fueron comunicados a Oracle hace más de 650 días. Durante el transcurso de casi dos años no se ha publicado ningún parche ni actualización de producto que corrija ninguna de las vulnerabilidades, motivo por el cual Alexander Kornbrust, descubridor de los fallos, ha decidido publicar todos los detalles sobre ellos.

Más información:

Se ha descubierto un problema de seguridad en Apple AirPort que puede provocar que un usuario se asocie a una red no segura sin recibir aviso sobre tal hecho. El problema de seguridad se debe a que la tarjeta original AirPort se asocia automáticamente a una red no segura cuando no lo está a una conocida o de confianza. Esta vulnerabilidad afecta a las tarjetas AirPort originales, no a las AirPort Express, que son las que actualmente se montan en los sistemas.

Más información:

Se ha descubierto una vulnerabilidad en Novell GroupWise 6.5 que puede ser explotada por usuarios maliciosos para realizar ataques de inserción de scripts. Novell GroupWise es un software de colaboración con funcionalidades para uso de correo electrónico, calendarios, mensajería instantánea, coordinación de tareas, control de documentación, etc.

La vulnerabilidad en sí se debe a la falta de robustez en el proceso de filtrado de entradas usadas por el componente WebAccess. Esta circunstancia puede ser explotada por atacantes para construir correos electrónicos maliciosos que ejecutarían código HTML y scripts arbitrarios en el navegador de la víctima al ser visualizados (en el contexto de seguridad del sitio afectado).

La vulnerabilidad ha sido corregida en cualquier distribuición de GroupWise 6.5 con fecha posterior al 11 de julio de este año, y en GroupWise 6.5 WebAccess SP5 Field Test File revision D. Esta corrección también será incluida en el Service Pack 5 del producto.

Más información:

Apenas han pasado unos pocos días desde el anuncio de la versión 1.0.5 de Mozilla Firefox, y ya tenemos disponible una nueva versión, numerada como 1.0.6. De un modo paralelo, se ha liberado la versión 1.0.6 de Mozilla Thunderbird. Mozilla es un entorno de código abierto multiplataforma, de gran calidad, nacido a partir de una iniciativa de Netscape. Firefox es el navegador web del proyecto Mozilla, un producto de creciente popularidad creciente, con más de 70 millones de descargas. Thunderbird es el cliente de correo y RSS del proyecto.

Las nuevas versiones han sido catalogadas por los desarrolladores de los proyectos como de estabilización, y nacen para corregir errores en el interfaz de aplicación de los respectivos motores, los cuales originaban que algunas extensiones no funcionasen correctamente con las versiones anteriores.

Hispasec recomienda a los usuarios de las soluciones Mozilla citadas que actualicen a las nuevas versiones, y que tengan especial cuidado al actualizar Thunderbird, ya que se han documentado colapsos del sistema en actualizaciones efectuadas a través del instalador en las mismas carpetas donde se hallaban las versiones anteriores. En este caso, es recomendable desinstalar y reinstalar, para actualizar con la máxima limpieza.

Más información:

Se ha anunciado en la lista de distribución de GreaseMonkey una grave vulnerabilidad mediante la cual un atacante remoto podría literalmente obtener acceso a cualquier fichero del sistema local comprometido. El problema es independiente de la plataforma empleada y por tanto, la explotación es posible en cualquier sistema operativo que opere con Greasemonkey.

Greasemonkey es una extensión para Mozilla Firefox que permite añadir porciones de scripts de usuario DHTML a cualquier página para cambiar su comportamiento. Mediante esta extensión, es habitual encontrar scripts desarrollados por la comunidad de usuarios, con el fin de mejorar la usabilidad de los sitios web que frecuentamos.

A través de una vulnerabilidad todavía sin documentar claramente, sería posible explotar el sistema comprometido a través de peticiones del tipo GM_xmlhttpRequest y acceder a cualquier archivo legible del sistema comprometido. El problema afecta a todas las versiones de Greasemonkey inferiores a 0.3.5.

Adicionalmente, GM_xmlhttpRequest permite el uso de GET y de POST, con lo que la información obtenida podría ser enviada a cualquier lugar sin nuestro conocimiento.

Se recomienda, de modo urgente e inmediato, en consonancia con las directrices del equipo de mozdev.org, la desinstalación o en su defecto, la desactivación de Greasemonkey hasta la publicación de una versión de la extensión que corrija el problema. Opcionalmente, se puede instalar la versión 0.3.5, que, como medida cautelar, neutraliza la presencia de APIs en Greasemonkey, y por tanto, la posibilidad de explotación del bug descubierto.

Más información:

Se ha descubierto una vulnerabilidad en Kate y KWrite (dos utilidades contenidas en KDE) que pueden ser explotadas por usuarios locales para acceder a información sensible. KDE (K Desktop Environment) proporciona un entorno de escritorio
gráfico en los sistemas operativos Unix. Se trata de un proyecto de código abierto, muy maduro y de gran calidad.

El problema de seguridad se debe a que los archivos de backup se crean con permisos por defecto incluso cuando los archivos originales tienen permisos más restrictivos. Esto podría ser explotado por usuarios para acceder a información que normalmente tendrían restringida.

El problema ha sido confirmado en todas las versiones de Kate y Kwrite incluidas en las versiones de la 3.2.x a la 3.4.0 de KDE. Se recomienda aplicar los parches disponibles en la siguiente dirección:

Para KDE 3.3.x:
post-3.3.2-kdelibs-kate.diff (138c3252883171d55ec24ed0318950fd)

Para KDE 3.4.0:
post-3.4.0-kdelibs-kate.diff (50f7bc6d8cf4b7aaa65e4e8062fc46c9)

Más información: