Boletín 00042 - 16/01/2006

El anuncio de Microsoft de que publicaría la actualización el segundo martes de mes, día 10 de enero, según su política periódica, había originado muchas críticas. No en vano se trata de una vulnerabilidad considerada por la propia Microsoft como crítica y que está siendo aprovechada de forma efectiva para comprometer los sistemas.

Aunque estaba claro que Microsoft debía seguir sus controles de calidad para comprobar la robustez del parche y evitar efectos colaterales no deseados, no se entendía que se retrasase precisamente hasta el día 10, segundo martes de enero, tal y como si se tratara de una actualización periódica sin carácter de urgencia. La mayoría entendía que los parches deberían ser publicados en el mismo instante en que se finalizaran los controles pertinentes, pero no retrasarlos de forma artificial.

Finalmente Microsoft ha escuchado y rectificado, publicando hoy con carácter extraordinario un boletín de seguridad y los parches para la vulnerabilidad en el procesamiento WMF. Desde Hispasec, de la misma forma que criticamos el retraso anunciado, aplaudimos ahora la rectificación de Microsoft, que a buen seguro evitará muchos incidentes.

En las primeras pruebas realizadas, parece que el parche oficial de Microsoft no presenta incompatibilidad alguna en los sistemas que hayan llevado a cabo la desactivación de la biblioteca Shimgvw.dll con el comando “regsvr32″ y/o aplicado el parche no oficial de Ilfak Guilfanov.

Aunque la vulnerabilidad puede afectar a otras versiones de Windows más antiguas, como Windows 98, ME, etc., Microsoft considera que su explotación es más complicada, no se conocen casos reales de ataques, y por tanto no considera una vulnerabilidad crítica en esos entornos. Según la política de Microsoft sobre el ciclo de vida y soporte de dichos sistemas, en la actualidad no publica para ellos parches que no sean considerados críticos.

En el anuncio previo de Microsoft, donde anunciaba la publicación de esta actualización extraordinaria, también avisa de que el próximo día 10 publicará dos actualizaciones más consideradas críticas, una para Windows y otra para Exchange.

Más información:

Los fallos son causados por varios desbordamientos en “JBIG2Stream.cc”, “Stream.cc” y “JPXStream.cc” y pueden ser aprovechados para provocar desbordamientos de memoria y la ejecución de código arbitrario en sistemas afectados.

El fallo afecta a la versión 3.01 aunque otras versiones podrían verse afectadas. Como contramedida se recomienda restringir el uso de ficheros PDF que provengan de fuentes confiables.

Más información:

* Un error localizado en “mm/mempolicy.c” a la hora de tratar ciertas llamadas de sistema puede utilizarse para provocar la referencia a nodos no definidos. Esto, potencialmente, puede ser explotado por usuarios locales maliciosos para provocar mensajes de pánico del kernel al llamar a “set_mempolicy()” con una máscara de bit de valor 0.
* Un error localizado en “net/ipv4/fib_frontend.c” a la hora de validar la cabecera y carga de los mensajes ‘fib_lookup’ de netlink puede terminar en referencias ilegales de memoria al tratar mensajes netlink maliciosos.
* Un error de truncamiento localizado en “kernel/sysctl.c” puede ser utilizado para desbordar el búfer dado por el usuario con un byte nulo cuando la cadena de salida es demasiado larga para ser almacenada en dicho búfer.
* Un problema de tratamiento de tamaños de variable en el CA-driver de TwinHan DST Frontend/Card (localizado en “drivers/media/dvb/bt8xx/dst_ca.c”)
puede ser aprovechado para provocar un desbordamiento de búfer cuando se leen más de 8 bytes en una matriz de dicha longitud.

La vulnerabilidad se debe a un desbordamiento de búfer en el tratamiento de la parte del named pipe del parámetro ’server’ que se pasa a la función ‘mysql_connect()’. Esta circunstancia puede ser explotada por un atacante para provocar desbordamientos de búfer si ejecuta código PHP y puede controlar la entrada que se recibe en el parámetro afectado.

Se tiene constancia de que hay código de explotación de la vulnerabilidad circulando por la red. A la espera de un parche de actualización que solvente este problema, se recomienda comprobar los scripts PHP para que no llamen a la función ‘mysql_connect()’ con entradas que provengan de sitios que no sean de confianza.

Más información:

Lotus Domino es un conocido servidor de trabajo colaborativo muy empleado en ámbitos empresariales, que abastece a aplicaciones cliente del tipo Lotus Notes. La actualización facilitada por IBM resuelve diversos problemas de seguridad que en opinión del fabricante podrían facilitar la construcción de ataques de denegación de servio (DoS), así como otros ataques de impacto no especificado y desconocido.

El abanico de problemas documentados es bastante extenso:

* Un error sin especificar en el servidor IMAP podría causar que el servicio quede sin posibilidad de ofrecer respuestas e iniciar nuevas sesiones IMAP

* Un error, también sin especificar, podría provocar la caída completa del servidor una vez que los clientes opten por realizar operaciones de compactación de datos.

* Errores sin especificar en el directorio de servicios podrían ser explotados para ejecutar denegaciones de servicio, por ejemplo, en las búsquedas LDAP.

* Múltiples problemas, también sin documentar, podrían provocar ceses inesperados de ejecución en el servidor web cuando se eliminen ficheros adjuntos en mensajes, o bien a la hora de gestionar imágenes de bitmap corruptas.

* Un desbordamiento de pila en la versión AIX de Lotus Domino podría ser aprovechado para cesar la actividad del servidor, en caso de que sometiéramos al mismo a la evaluación de fórmulas recursivas largas.

* Se han detectado problemas que podrían desembocar en un desbordamiento de búfer en la conversión CD a MIME, debidos a errores de violación de límites en algunas variables. Estos problemas podrían dejar el servicio colapsado y sin ofrecimiento de respuestas de ningún tipo.

* Por último, se ha barajado la posibilidad de la existencia de potenciales fallos de seguridad, tampoco documentados, en el componente Agentes del servidor.

Ante la incertidumbre provocada por desconocerse la naturaleza de los fallos, y ante la más que probable existencia de problemas colaterales o no especificados, recomendamos a los administradores de soluciones Domino actualicen a la versión 6.5.5, carente de problemas. Para ello, deben seguir las instrucciones facilitadas por el fabricante. Los problemas son en algunos casos explotables de modo remoto, con lo que la gravedad de los mismos es digna de ser considerada, aconsejándose la premura en las tareas de actualización.

Más información:

* MS06-002: Destinado a solucionar una vulnerabilidad en las fuentes Web incrustadas de Windows que puede permitir a un atacante lograr el control completo de un sistema afectado. Afecta a Windows 2000, Windows XP, Windows Server 2003, Windows 98, y Windows ME.

* MS06-003: Soluciona una vulnerabilidad en la descodificación de TNEF en Microsoft Outlook y Microsoft Exchange que permite la ejecución remota de código. Afecta a Office 2000, Office XP, Office 2003 y Exchange Server.

Más información:

Según una detallada descripción enviada el lunes a la lista de seguridad Bugtraq, es posible detener abruptamente el funcionamiento de explorer.exe en los sistemas Windows si se visualiza una imagen WMF especialmente manipulada. Además se han publicado dos pruebas de concepto del problema.
Explorer.exe es un componente crítico en los sistemas operativos Windows que se encarga de ejecutar la interfaz de usuario, el manejo de los ficheros, la barra de tareas y otros importantes componentes.

En un comunicado oficial, Microsoft se ha pronunciado respecto a esta nueva forma de denegación de servicio, restando importancia al fallo, alegando que ya estaban al tanto de este comportamiento y evaluando una posible inclusión de soluciones en el próximo Service Pack. En cualquier caso, no son considerados por Microsoft como problemas de seguridad, sino como “cuestiones de rendimiento que podrían causar que una aplicación dejara de responder”.

Después de la popularidad alcanzada por la vulnerabilidad WMF, que ha obligado a Microsoft a romper su ciclo de publicación de parches, no es de extrañar que los esfuerzos de los investigadores de seguridad se centren en este nuevo componente de Windows, obviado hasta ahora y potencialmente responsable de otros posibles fallos de seguridad. Son muchos los que, a raíz del incidente, han escudriñado el motor gráfico de Windows hasta su última función, y es más que posible que en los próximos días sigan apareciendo alertas de seguridad centradas en él, o que se descubra que estas denegaciones de servicio ya expuestas, pueden conducir a la ejecución de código.

Son muchas las ocasiones en las que los fallos de seguridad se han centrado en un componente específico de Windows y han sido descubiertos por oleadas.
El parche destinado a solventar la primera vulnerabilidad del año 2005 admitida por Microsoft en su boletín MS05-001, aseguraba solucionar un fallo en el objeto “HTML Help ActiveX control” de Windows. La empresa de seguridad GeCAD NET, aseguró que con la combinación de ésta y otra vulnerabilidad existente pero todavía no hecha pública, se podía crear un exploit válido para la vulnerabilidad descrita en MS05-001 incluso si el usuario estaba parcheado.

En octubre de 2003 salía a la luz un exploit universal (válido para todas las versiones de Windows independientemente del Service Pack instalado) que funcionaba aun en sistemas supuestamente actualizados con MS03-026. Era capaz de violar una vez más la seguridad del RPC (Remote Procedure Call) de prácticamente todos las versiones de Windows, y razón de ser del omnipresente virus MSBlaster. A partir de ahí, surgieron muchas variantes del exploit, que hacían incluso más fácil poder ejecutar código en sistemas ajenos sin necesidad de poseer demasiados conocimientos. Poco después de la aparición del parche que solventaba la vulnerabilidad, se volvió a descubrir otro fallo en el mismo servicio RPC DCOM tan peligroso como el primero, que permitió a otras variantes del virus expandirse de forma muy parecida, aunque las víctimas hubiesen parcheado su sistema con la primera actualización.

Más información:

El día seis de enero se daban a conocer, simultáneamente, dos vulnerabilidades en módulos de Apache. La primera de ellas, la menos grave, podía conducir a una denegación de servicio a través del módulo de cifrado mod_ssl y afectaba sólo a la rama 2.0.x del servidor web. El fallo puede ser reproducido a través de una petición especialmente manipulada que lleva al módulo a referenciar un puntero nulo. Además, para poder atacar un servidor vulnerable, se deben dar otras condiciones que dificultan la explotación del fallo, como por ejemplo, el hecho de que sea necesario que el servidor utilice una página de error 400 propia.

Además, se anunciaba otro fallo en mod_auth_pgsql, un módulo necesario para que el servidor web se autentique contra información almacenada en un servidor PostgreSQL. La vulnerabilidad, catalogada como crítica, permitía el acceso local y la ejecución de código arbitrario con los privilegios del servidor web. El fallo se debe a varios errores en la forma en la que el módulo registra información proporcionada por el usuario, por ejemplo el campo nombre. El atacante debía conocer la URI de al menos un recurso del servidor configurado para usar este módulo de autenticación. El fallo se confirmó en la versión del módulo 2.0.2b1 para Apache 2.x.

Por último el día 10 de enero se identificó una vulnerabilidad en el módulo auth_ldap de Apache, que también puede ser utilizada por atacantes remotos para ejecutar código arbitrario. Este fallo se debe a un error en el formato de cadena en la función auth_ldap_log_reason queno valida correctamente algunas cadenas antes de ser pasadas a la función de registro ap_log_rerror.
Puede ser utilizada por usuarios remotos no autenticados para comprometer servidores web vulnerables donde auth_ldap esté instalado y configurado, por ejemplo, proporcionando un nombre de usuario especialmente manipulado durante la autenticación. Los módulos afectados las versiones anteriores a 1.6.1 de auth_ldap y el error también ha sido calificado como crítico.

Ninguno de estos módulos se instala por defecto con Apache, y en todos los casos son mantenidos por terceros ajenos en un principio a la Apache Software Fundation. Ante estas tres vulnerabilidades independientes, los programadores de estos módulos han proporcionado las correspondientes actualizaciones.

Más información:

                  Departamento de Seguridad en Computo

                             DGSCA- UNAM

               Boletín de Seguridad UNAM-CERT 2006-02

          Vulnerabilidades en Microsoft Windows, Outlook, y Exchange
  ——————————————————————-

 Microsoft ha liberado actualizaciones que solucionan vulnerabilidades  críticas en Windows, Outlook y Exchange. La explotación de estas  vulnerabilidades podría permitir a un intruso remoto no autenticado  ejecutar código arbitrario o causar una negación de servicio en un  sistema vulnerable.

       Fecha de Liberación:         10 de Enero de 2006

       Ultima Revisión:             10 de Enero de 2006

       Fuente:                        CERT/CC y diversos reportes de Equipos
de
                                  Respuesta a Incidentes, así como Foros y
                                  Listas de Discusión.

   Sistemas Afectados
   ——————
     Microsoft Windows           Exchange  <  KB902412
     Microsoft Windows           Outlook   <  KB902412
     Microsoft Windows           todas las versiones

   Riesgo
   ——
     Crítico

   Problema de Vulnerabilidad
   ————————–
     Remoto

   Tipo de Vulnerabilidad
   ———————-
     Múltiples vulnerabilidades

   I. Descripción
   ==============

      Los Boletines de Seguridad de Microsoft para Enero de 2006 solucionan
      vulnerabilidades en Microsoft Windows, Outlook y Exchange. Mayor
      información está disponible en las siguientes Notas de Vulnerabilidad
      del US-CERT:

          o VU#915930 - Buffer overflow en las fuentes de Web incrustadas
            de Microsoft

            Un buffer overflow basado en heap en la forma en como Microsoft
            Windows procesa fuentes de Web incrustadas podría permitir a un
            intruso remoto no autenticado ejecutar código arbitrario en un
            sistema vulnerable. (CVE-2006-0010)

          o VU#252146 - Vulnerabilidad de decodificación de TNEF en
            Microsoft Outlook y Microsoft Exchange

             Microsoft Outlook y Microsoft Exchange contienen una
             vulnerabilidad no especificada en el procesamiento de
             archivos adjuntos TNEF. Esto podría permitir a un intruso
             remoto no autenticado ejecutar código arbitrario en un
             sistema ejecutando el software vulnerable. (CVE-2006-0002)

   II. Impacto
   ===========

      La explotación de estas vulnerabilidades podría permitir a un intruso
      remoto no autenticado ejecutar código arbitrario con los privilegios
      del usuario. Si el usuario ha iniciado sesión con privilegios
      administrativos, el intruso podría tomar el control completo de un
      sistema afectado. Un intruso podría también ser capaz de causar una
      negación de servicio.

  III. Solución
  =============

          o Aplicar las actualizaciones
             Microsoft ha proporcionado las actualizaciones para estas
             vulnerabilidades en los Boletines_de_Seguridad y en el sitio
             Microsoft_Update.

          o Soluciones temporales
             Consulte las Notas_de_Vulnerabilidades del US-CERT para
             obtener soluciones temporales a estos problemas.

   IV. Apéndice
   ============

       * Jesús Ramón Jiménez Rojas (jrojas at seguridad.unam.mx)
   —————————————————————–

   INFORMACIÓN
   ===========

   Éste documento se encuentra disponible en su formato original en la
   siguiente dirección:

Clam AntiVirus es un juego de herramientas antivirus de alta calidad para UNIX, liberado según licencia GPL, que ofrece integración perfecta con servidores de correo a través de un demonio multihilo muy flexible y escalable. La versión 0.88 de ClamAV, recientemente publicada, soluciona un desbordamiento de búfer potencial en el módulo de gestión de ficheros UPX.
En el proceso de revisión de código se ha mejorado también la seguridad de los módulos UPX, FSG y Petite. Por supuesto, se incluyen también mejoras y nuevas funcionalidades no relacionadas con la seguridad del producto.

Hispasec recomienda a todos los administradores de instalaciones ClamAV que actualicen a la versión 0.88 de este antivirus.

Más Información:

==== 17.- Denegación de servicio en PostgreSQL 8 bajo Windows === Se ha descubierto una vulnerabilidad en PostgreSQL que puede ser aprovechada por atacantes para causar denegaciones de servicio.

PostgreSQL es una base de datos relacional “Open Source”, bastante popular en el mundo UNIX, junto a MySQL. Se trata de una base de datos rápida y de muy buena calidad.

La vulnerabilidad está causada por un error en el manejo de múltiples conexiones concurrentes, esto puede ser aprovechado para acabar con el proceso postmaster.

Si se consigue explotar este error, el servicio no aceptará nuevas peticiones hasta que sea reiniciado a mano. Las versiones afectadas son de la 8.0.0 a la 8.0.5 y de la 8.1.0 a la 8.1.1. Sólo ocurre cuando la base de datos funciona bajo Microsoft Windows.