Boletín 00044 – 06/02/2006

La vulnerabilidad se debe a un liberación incorrecta de un puntero inválido cuando un mensaje es rebotado al remitente o al postmaster local. Esto puede ser aprovechado para hacer que el programa deje de responder.

Las versiones vulnerables son 6.3.x anteriores a 6.3.2 y las versiones candidatas 6.3.2-rc1, -rc2, y -rc3.

==== 4.- Vulnerabilidades en ADOdb para PostgreSQL ==== Se ha descubierto un problema en el conector ADOdb para bases de datos de tipo PostgreSQL, que podría implicar un riesgo moderadamente crítico en sistemas que contengan el componente afectado. ADOdb es un componente muy popular para proporcionar conectividad a bases de datos mediante lenguajes PHP y Python. Entre los muchos formatos de base de datos con drivers ADObd están MySQL, Interbase, Oracle, MS SQL, DB2, SAP DB, LDAP, bases genéricas ODBC y ODBTP, y la base de datos sujeta a la vulnerabilidad que documentamos, PostgreSQL. Afortunadamente, la vulnerabilidad sólo se ha diagnosticado en los entornos PostgreSQL con conectividad vía ADOdb, no constando noticia alguna de que otras versiones para otros tipos de base de datos estén afectadas. Este factor, sin duda, mitiga gran parte del riesgo.

ADOdb Database Abstraction Library for PHP (and Python) está especialmente pensada para obtener consultas ágiles, ya que en opinión de muchos usuarios, se trata de la librería de abstracción más rápida existente en la actualidad para PHP. ADOdb es código abierto, y tiene un mantenimiento muy exhaustivo, además de una amplia comunidad de usuarios que ofrece soporte continuo e innovación a sus funcionalidades.

Los problemas detectados por Andy Staudacher podrían facilitar la inyección de código SQL en los sistemas afectados, con el consiguiente riesgo de manipulación remota de datos. Se han corregido algunos fallos en las conexiones DSN, especialmente cuando se emplean nombres con guiones bajos, guiones bajos que además provocaban ciertos problemas en la versión 5 de PHP, los cuales se han corregido aprovechando el lanzamiento de la versión no vulnerable. Se consideran afectadas todas las versiones anteriores 4.x anteriores a 4.71 Otros problemas menores son la correcta implementación del flag de hora y fecha, presente en la matriz ADORecordset_array, correcciones de compatibilidad en la función GetInsertSQL(), y correcciones en la función qstr() y adodb_getdriver().

Además de los problemas corregidos, se ha introducido soporte para las conexiones tipo PDO DSN en la función NewADOConnection(), así como un nuevo parámetro de base de datos en la función PDO::Connect(). La nueva versión añade compatibilidad para PHP 5 también en el registro de cierre session_write_close del fichero adodb-session.inc.php, fichero que sin duda conocerán los administradores de sistemas de gestión de contenido como Postnuke, cuando se opta por su empleo con ADOdb y PostgreSQL.

La solución al problema pasa por la actualización a la versión 4.71

==== 7.- Múltiples vulnerabilidades en FreeBSD ==== Los usuarios de soluciones FreeBSD tienen a su disposición soluciones efectivas a dos problemas de seguridad aparecidos recientemente, que explotados con éxito podrían permitir la realización de ataques de denegación de servicio y la revelación de información sensible. FreeBSD es un sistema operativo de alta calidad diseñado para sistemas x86, con soporte para arquitecturas amd64, Alpha/AXP, IA-64, PC-98 y UltraSPARC. Existen ramas de desarrollo experimental para abastecer equipos con otras arquitecturas, como ARM, MIPS, y PPC.

FreeBSD es un sistema derivado del UNIX desarrollado por la Universidad de Berkeley, aquel 4.4BSD-Lite desarrollado por el Computer Systems Research Group (CSRG). Este sistema multiusuario y multitarea por apropiación, es compatible con los estándares POSIX, e incluye además del kernel, un completo sistema de ficheros y utilidades adicionales para dar servicios a sus usuarios. Sus orígenes se remontan a 1993, con las nomenclaturas “386BSD 0.5″ y “386BSD Interim”, ya que sus autores, Jordan Hubbard, Nate Williams y Rod Grimes, pretendían derivar una versión del 386BSD para mitigar diversos problemas técnicos y someter al producto a mejoras para sus labores de investigación.

Los problemas documentados son, en esencia, dos. El primero de ellos está causado por un error en la gestión de fragmentos IP en el componente de filtrado “pf”. Una secuencia maliciosa especialmente preparada de paquetes fragmentados IP podría provocar pánico en el kernel, con las consecuentes denegaciones de servicio. El fallo se ha verificado en todos los sistemas FreeBSD versiones 5.3, 5.4 y 6.0 que tengan “pf” en uso con reglas temáticas del tipo “scrub fragment crop” y “scrub fragment drop-ovl”. Esta condición atenuante convierte el problema en moderadamente crítico.

El segundo problema es de criticidad leve, y ha sido documentado en las versiones 5.4-STABLE y 6.0. Explotable solamente a nivel local, los sistemas sin corregir podrían facilitar la revelación de información sensible. Ambos problemas están debidos a errores de diseño en el mecanismo ioctl, utilizado para el control de flujo de entrada y salida a dispositivos, es posible a causa del error descrito, que el contenido de la memoria se copie a búferes del espacio de usuario. La memoria podría contener información sensible, como claves. Este mismo componente tiene también un comportamiento anómalo a la hora de calcular tamaños de búfer, lo que podría igualmente ser aprovechado para volcar contenidos de memoria a búferes del espacio de usuario, siendo factible que los volcados contengan información sensible, como en el caso anterior.

La solución a estos problemas pasa por la actualización, la cual animamos a ejecutar desde estas líneas.

Los problemas documentados afectan a un amplio espectro de soluciones Oracle. Se han identificado como vulnerables Application Server, Database Enterprise Edition y Database Standard Edition versiones 9i, así como la ramas 8.x y 9.x del servidor HTTP de Oracle. Son vulnerables también Oracle Application Server 10g, y Oracle Database 8.x, si bien no es descartable que otros productos sean vulnerables, según se vayan ejecutando más pruebas en entornos distintos a los empleados por el descubridor de los problemas, David Litchfield.

Los problemas de seguridad están causados por un error en el Gatway PL/SQL de Oracle, cuando procesa y valida peticiones HTTP. Estas peticiones podrían ser adulteradas, y ser empleadas para evitar la lista de exclusiones de PL/SQL, lo que otorgaría a los atacantes acceso a paquetes y procedimientos privilegiados.

PL/SQL es un lenguaje muy empleado en Oracle, que permite ampliar las capacidades nativas del estándar SQL y faculta a los usuarios poder definir secuencias de control, de flujo y toma de decisiones. Esto lo convierte en un lenguaje de utilidad para administradores y programadores, que reducen esfuerzos de control y simplifican los programas, y para usuarios finales, que se pueden ver beneficiados por las implicaciones de los resultados de los procesos de toma de decisiones, los cuales pueden ser empleados para dotar de funcionalidad “business intelligence” a los programas escritos en este lenguaje.

La gravedad de los problemas puede ser calificada como altamente crítica, ya que no existe solución del fabricante en la actualidad. Los fallos son además explotables de modo remoto, y la explotación exitosa de los mismos puede conducir a saltos de restricciones de seguridad, que comprometan seriamente los entornos donde estén desplegadas estas soluciones Oracle. Puesto que los atacantes podrían ganar acceso a las bases de datos a través del servidor Web.

El modelo de seguridad de Oracle está siendo sometido constantemente a revisiones y críticas de toda índole. Especialmente en este caso, ya que los problemas descubiertos fueron comunicados a Oracle en octubre de 2005, y posteriormente, el 7 de noviembre, al NISCC británico. Ante la severidad del problema, se esperaba que el parche de Oracle de enero contuviera soluciones al problema, pero no ocurrió así. El fallo continúa vigente, siendo poco comprensible la actitud del fabricante ante la notificación de un problema tan comprometido como el descrito, ante el cual han hecho caso omiso. Esta actitud sólo está ayudando a tensar la ya tensa cuerda de la administración de seguridad de la compañía, la cual es frecuentemente acusada de ser lenta y poco flexible ofreciendo soluciones de seguridad.

En ausencia de respuesta oficial del fabricante, se aconseja a los administradores Oracle filtren las posibles cadenas maliciosas a través de un proxy o un firewall que tenga capacidad de filtrado de URLs. Existe la posibilidad, siempre que emplee el módulo de Apache mod_rewrite, presente en la distribución Apache de Oracle, de efectuar reescrituras de URL que contengan el carácter del paréntesis de cierre, ‘)’. Esto es posible mediante la introducción de las siguientes reglas mod_rewrite en el fichero http.conf, si bien es posible aplicar estas reglas en directorios específicos mediante .htaccess. Es posible incluir estas reglas dentro de un bucle de comprobación IfModule, del tipo <IfModule mod_rewrite.c> [Reglas mod_rewrite] </IfModule>

==== 11.- Corrupción de datos en conexiones TCP con Sun Solaris 8 y 9 ==== Sun ha publicado paquetes actualizados para sus Solaris 8 y 9 debido a que se han detectado problemas a la hora de interactuar con otros sistemas operativos a la hora de realizar conexiones TCP.

Cuando Solaris 8 o 9 utiliza TCP para recibir datos desde otros sistema y el sistema que envía los datos utiliza una implementación defectuosa del protocolo, puede recibirse información incorrecta. Dependiendo de la aplicación que se ejecute, esto puede llevar a la corrupción de datos.

Las versiones afectadas son la 5.12 y anteriores.

No existe parche oficial conocido. Se recomienda no ejecuta ficheros con extensión “pls” que provengan de fuentes no confiables o navegar por páginas desconocidas.

Los productos vulnerables son los concentradores de la serie Cisco VPN 3000 con software 4.7.0 hasta 4.7.2.A, lo que incluye la versión 4.7REL. Las versiones anteriores a 4.7.x no son vulnerables.  Esto incluye a los modelos 3005, 3015, 3020, 3030, 3060 y 3080.

Cisco ha publicado un parche para solventar este problema, aunque existen contramedidas para mitigar el impacto de la vulnerabilidad, como por ejemplo, deshabilitar HTTP del servidor si no se utiliza.

Desde la semana anterior se ha propagado el gusano “Blackworm” infectando cerca de 300 000 sistemas. La diferencia de este nuevo gusano de otros es que sobrescribirá los archivos de los usuarios el próximo viernes 3 de febrero.

Hasta entonces, el gusano será detectado por las firmas antivirus. Se recomienda tener actualizados los sistemas antivirus aunque otra de las características que posee este código malicioso es que deshabilite o borre el software antivirus del equipo.

Las extensiones de los archivos que serán sobreescritos son las siguientes: DOC, XLS,MDE, MDB, PPT, PPS, RAR, PDF, PSD, DMP, ZIP y una vez sobreescritos mostrarán un error  con el siguiente mensaje (‘DATA Error [47 0F 94 93 F4 K5]‘).

Se recomienda también realizar respaldos en caso de una posible infección. Este gusano se propaga a través de un archivo adjunto en el correo electrónico y a través de archivos compartidos y una vez infectado el equipo pretende infectar la red a la que pertenece. Intentará infectar todos los archivos compartidos para tener acceso a los demás sistemas. Cuando se ha infectado el sistema se podría ver un nuevo icono de un archivo zip en el escritorio. Este código malicioso ha tomado diversos nombres por las distintas firmas antivirus. Sin embargo, los mejores alias conocidos son: Blackmal, Nyxem, MyWife, Tearec, entre otros.

En las últimas horas se ha informado que el CME (Common Malware numeration) le ha asignado el ID ‘CME-24′ y se  ha alertado a la comunidad a través de diversos boletines. Microsoft por su parte ha alertado a sus clientes y ha emitido una serie de recomendaciones a través de su aviso de seguridad 904420 que se puede consultar en la siguiente dirección.

==== 15.- Denegación de servicio local en Sun Solaris 10 (x86) ==== Se ha descubierto una vulnerabilidad en Sun Solaris 10 que puede ser explotada por usuarios locales maliciosos para provocar denegaciones de servicio. La vulnerabilidad se debe a un error sin especificar en el código del kernel x64 que puede ser explotado para provocar un mensaje de pánico del kernel. La explotación con éxito requiere que el sistema esté corriendo en modo 64 bits en plataformas x86.

La compañía recomienda aplicar el parche 118844-14 o posterior.

==== 17.- Múltiples vulnerabilidades en Mozilla Firefox ==== Los usuarios de Mozilla Firefox tienen a su disposición una actualización que resuelve numerosas vulnerabilidades altamente críticas, que podrían facilitar diversos tipos de ataques potenciales a los usuarios de esta solución de navegación.

Mozilla Firefox es un navegador Web gráfico libre y multiplataforma desarrollado por Mozilla Corporation y la colaboración de una amplia comunidad de usuarios. Los orígenes de Firefox se remontan a la liberación de la versión “Phoenix” en septiembre de 2002 como culminación de un fork del componente Navigator de la suite de comunicaciones Mozilla Application Suite.

Los errores corregidos podrían ser fuente de diversos problemas de seguridad, tales como la revelación de información sensible y del sistema, Cross-Site Scripting y saltos de restricciones de seguridad.

Los fallos documentados, hasta un total de ocho, son de diversa criticidad. De severidad baja podríamos calificar un determinado comportamiento anómalo en la implementación E4X, la gestión de páginas con títulos extremadamente largos y un error en el intérprete XML, como fallos de criticidad moderada una vulnerabilidad del motor Javascript, un problema de gestión de memoria del motor Gecko, irregularidades en los objetos “Location and Navigator” y algunos fallos descubiertos en las nuevas características E4X, SVG, y Canvas. Todos estos problemas están descritos en los enlaces proporcionados en el epígrafe “Más información”.

El único problema calificado como crítico es el originado por un error en la función XULDocument.persist(), que al no validar el atributo de nombre, permitiría que un atacante inyectase código XML en localstore.rdf, fichero que es leído y cargado cuando iniciamos Firefox, pudiendo resultar la explotación en la inclusión de comandos JavaScript que serían ejecutados con los permisos del navegador. Este problema podría ser todavía más crítico si se permite la ejecución de JavaScript en el cliente de correo Mozilla Thunderbird, si bien la configuración por defecto de Thunderbird no  permite la ejecución de este tipo de scripts.

La solución pasa por la actualización a Firefox 1.5.0.1. Los usuarios que lo deseen, pueden usar SeaMonkey 1.0, exenta de fallos. Seamonkey es un proyecto en la línea de Mozilla Application Suite, que incluye navegador, cliente de correo y otras funcionalidades como cliente IRC y edición de HTML. SeaMonkey, al igual que Firefox, es gratuito para su uso y descarga, estando su código totalmente abierto y disponible.

Es recomendable que los usuarios de Mozilla Thunderbird sigan las noticias oficiales del sitio, puesto que los problemas corregidos para Firefox podrían tener una ventana de explotación en el gestor de correo.

Además permite la compresión HTTP, y priorización de tráfico. Esta nueva función puede aplicarse a cualquier navegador que pase a través del servidor, usando Quality of Service (QoS) y permite a los administradores dar mayor o menor prioridad al tráfico de aplicaciones importantes.

Además corrige varios fallos (no sólo de seguridad) y actualizaciones que mejoran el rendimiento del producto. Incluye soporte para Microsoft Windows Server 2003 R2 y otras aplicaciones R2, mejoras en el protocolo de enrutamiento de arrays de caché, soporte SQM y todos los parches de seguridad acumulados desde hasta el 1 de noviembre de 2005.