Boletín 00053 – 25/04/2006

==== 1.-  Múltiples vulnerabilidades en productos Mozilla ====

  Varias vulnerabilidades han sido reportadas en el navegador web Mozilla
  y productos derivados, la más seria podría permitir a un atacante remoto
  ejecutar código arbitrario en un sistema afectado.

     Fecha de Liberación:       17 de Abril de 2006

     Ultima Revisión:           17 de Abril de 2006

     Fuente:                    CERT/CC y diversos reportes de Equipos de
                                Respuesta a Incidentes, así como Foros y
                                Listas de Discusión

    Riesgo
    ——
       Alto

    Problema de Vulnerabilidad
    ————————–
       Remoto

    Tipo de Vulnerabilidad
    ———————-
       Ejecución remota de código y negación de servicio

    I. Descripción
    ==============

      Varias vulnerabilidades han sido reportadas en el navegador web
      Mozilla y productos derivados. Información mas detallada está
      disponible en las notas de vulnerabilidad individuales, incluyendo:
      VU#932734 – Vulnerabilidad en crypto.generateCRMFRquest() de Mozilla
      Existe una vulnerabilidad en la rutina JavaScript generateCRMFRquest
      () de Mozilla que podría permitir a un atacante remoto ejecutar
      código arbitrario. (CVE-2006-1728)

      * VU#968814 – Vulnerabilidad en seguridad JavaScript de Mozilla
      Los productos Mozilla fallan en el manejo de las restricciones de
      seguridad en JavaScript. Esta vulnerabilidad podría permitir a un
      atacante remoto no autenticado ejecutar código arbitrario. (CVE-2006-
      1726)

      * VU#179014 – Vulnerabilidad integer overflow en CSS de Mozilla
      Los productos Mozilla contienen una vulnerabilidad de tipo integer
      overflow que podría permitir a un atacante remoto no autenticado
      ejecutar código arbitrario. (CVE-2006-1730)

      * VU#488774 – Vulnerabilidad en XBL de Mozilla
      Los productos Mozilla fallan al restringir el acceso a código XBL
      privilegiado. Esta vulnerabilidad podría permitir a un atacante
      remoto no autenticado ejecutar código arbitrario. (CVE-2006-1733)

      * VU#842094 – Vulnerabilidad en función JavaScript “clone parent” en
      Mozilla
      Los productos Mozilla fallan al restringir el acceso a las funciones
      JavaScript “clone parent”. Esta vulnerabilidad podría permitir a un
      atacante ejecutar código arbitrario en un sistema vulnerable. (CVE-
      2006-1734)

      * VU#813230 – Productos Mozilla vulnerables a escalación de
      privilegios mediante XBL.method.eval
      Una vulnerabilidad en la manera en que los productos Mozilla y
      programas derivados manejan ciertos métodos XBL podría permitir a un
      atacante remoto ejecutar código arbitrario en un sistema vulnerable.
      (CVE-2006-1735)

      * VU#736934 – Productos Mozilla vulnerables a corrupción de memoria
      mediante una secuencia de etiquetas HTML en particular
      Una vulnerabilidad en la manera en que los productos Mozilla y
      programas derivados manejan ciertas etiquetas HTML podría permitir a
      un atacante remoto ejecutar código arbitrario en un sistema
      vulnerable. (CVE-2006-0749)

      * VU#935556 – Productos Mozilla podrían permitir que código CSS
      escribir mas allá del final de un arreglo
      Una vulnerabilidad en la manera en que productos Mozilla y programas
      derivados manejan ciertos métodos CSS podría permitir a un atacante
      remoto terminar la aplicación o ejecutar código arbitrario en un
      sistema vulnerable. (CVE-2006-1739)

      * VU#350262 – Vulnerabilidades de corrupción de memoria por DHTML en
      Mozilla
      Los productos Mozilla contienen varias vulnerabilidades no
      especificadas en la manera en como manejan el DHTML. Estas
      vulnerabilidades podrían permitir a un atacante remoto ejecutar
      código arbitrario o causar una negación de servicio. (CVE-2006-1724)

      * VU#252324 – Vulnerabilidad en el despliegue de estilos en Mozilla
      Los productos Mozilla contienen una vulnerabilidad no especificada en
      la forma en que manejan el despliegue de estilos. Esta vulnerabilidad
      podría permitir a un atacante remoto ejecutar código arbitrario o
      causar una negación de servicio.

      * VU#329500 – Productos Mozilla vulnerables a una corrupción en
      memoria debido a una expresión regular larga en JavaScript
      Una vulnerabilidad en la manera en que el motor JavaScript de los
      productos Mozilla y programas derivados manejan una expresión regular
      larga y podría permitir que un atacante remoto termine la aplicación
      o ejecute código arbitrario en un sistema vulnerable.

    II. Impacto
    ===========

      El impacto mas severo de estas vulnerabilidades podría permitir a un
      atacante remoto la ejecución de código con los privilegios del
      usuario que ejecute la aplicación. Otros efectos incluyen una
      negación de servicio o acceso a la información local.

    III. Solución
    =============

      Actualizar a Mozilla_Firefox_1.5.0.2, Mozilla_Thunderbird_1.5.0.2 ó
      SeaMonkey_1.0.1. De acuerdo con Mozilla.org, Thunderbird 1.5.0.2 será
      liberado el 18 de Abril del 2006.

      Se recomienda a los usuarios aplicar las opciones descritas en la
      nota_individual_de_la_vulnerabilidad antes de que las actualizaciones
      sean aplicadas.

    —————————————————————–
     El Departamento de Seguridad en Cómputo/UNAM-CERT agradece el apoyo
     en la elaboración, revisión y traducción de éste boletín a:

     * Sergio Alavez Miguel (salavez at seguridad dot unam dot mx)
     * J. Inés Gervacio Gervacio (jgervacio at seguridad dot unam dot mx)
     * David Jiménez Domínguez (djimenez at correo dot seguridad dot unam
       dot mx)
    —————————————————————–

    INFORMACIÓN
    ===========
    Éste documento se encuentra disponible en su formato original en la
    siguiente dirección:

==== 4.- Nueva prueba de concepto capaz de infectar a Windows y GNU/Linux ==== Karpersky anunciaba la semana pasada un virus (o, mejor dicho, prueba de
concepto) capaz de infectar tanto a sistemas operativos Windows de Microsoft como GNU/Linux en general. Lo ha llamado Virus.Linux.Bi.a/Virus.Win32.Bi.a,
y vuelve a alertar sobre la posibilidad de que el mercado de los virus se abra para ambas plataformas.

Virus.Linux.Bi.a/Virus.Win32.Bi.a es bastante inofensivo. Sólo se extiende sobre los archivos en el directorio donde se haya ejecutado, no causa daño alguno y no se auto-propaga a otros sistemas. Su peculiaridad es que es capaz de infectar dos tipos de ejecutables distintos, los PE (Portable
Executable) que son los ejecutables que usa Windows, y los ELF (Executable and Linkable Format) que es el formato estándar binario para Linux.

Está escrito expresamente (no es producto de un programa automático ni deriva de ningún otro malware) en ensamblador, y no es más que el intento de alguien por demostrar que puede existir este tipo de “bichos”. De hecho, el supuesto virus introduce en los archivos “infectados” una referencia a “Immortal Riot” un publicación online donde autores de virus hablaban de código vírico y pruebas de concepto a mediados de los 90.

Aunque algunos medios aprovechen esta curiosidad que supone Bi.a para poco menos que anunciar el principio del fin para usuarios de Linux o la proliferación masiva de virus multiplataforma, no es la primera vez que aparecen este tipo de virus. Smile fue un virus complejo para Windows y Linux que llegó a tener varias versiones. No hacía tampoco daño alguno, tan solo mostraba algunos mensajes en ciertas fechas. Esto ocurría a mediados de 2002.

Incluso, ya a principios de 2001 se anunciaba la aparición de un espécimen extremadamente parecido al que ahora anuncia Karpersky. Winux infectaba ejecutables tanto en Windows como Linux. Se trataba igualmente de una prueba de concepto bastante primitiva no optimizada para su propagación que no poseía ningún tipo de efecto destructivo. Para asemejar aún más ambos casos tan distantes en el tiempo, en el interior de Winux ya se podía encontrar una cadena con el apodo del autor, Benny, y con referencias a 29A, el famoso grupo de creadores también del primer virus multiplataforma y multiprocesador (PC/Mac) aun más antiguo que Winux.

Si ya entonces se hablaba de una posible futura aparición de nuevas formas de malware capaces de fantásticas catástrofes que afectasen a mundos tan distintos como Windows y Linux, esto no ha ocurrido hasta la fecha. Como ocurre en estos casos más o menos curiosos, las alarmas se disparan junto con una cierta confusión sobre el verdadero alcance de este supuesto virus.
Si bien estos especímenes interesarán a investigadores y programadores y es posible que otros creadores copien la idea en el futuro, no se espera que cambie el panorama vírico o de malware en general en lo sucesivo. Como se ha visto, ya se demostró que era posible la creación de este tipo de virus.
Varios años después, incluso cuando el parque de sistemas operativos Linux de escritorio ha aumentado considerablemente, todavía no resulta rentable la creación de este tipo de malware, entre otras razones porque los usuarios de Linux no suponen unas víctimas tan jugosas.

El diseño y la potencial personalización de Linux impide casi por definición que un virus pueda reproducirse fácilmente o que pueda ser ejecutado de forma inadvertida por el usuario. Igual que los multiplataforma, los virus que se han dado a conocer para Linux han sonado más por representar curiosidades que por su capacidad de infección o propagación real. Entre estas pocas curiosidades que se han descubierto en los últimos años habría que contar despropósitos como ELF_FAKEPATCH.A que a finales de 2004 pedía a la potencial víctima a través de un correo descargar el código malicioso y realizar poco a poco todas las acciones necesarias para infectarse uno mismo. Pocos usuarios de este sistema operativo, mucho más concienciados con respecto a la seguridad, consideraron esto como amenaza que pudiese ser tomada en serio.

En general, se espera que la situación a corto y medio plazo siga igual que hasta ahora. El código maligno y el número de virus exclusivos para Windows seguirá creciendo hasta pronto superar los 300.000 ejemplares a cuál más dañino. Exclusivos para Linux, seguirán existiendo apenas unas decenas de virus pocos activos, menos agresivos y la mayoría, casi anecdóticos.

Los virus para ambas plataformas continuarán suponiendo una curiosa excepción ocasional, si bien los usuarios de ambos sistemas operativos, ante cualquier circunstancia e independientemente, deberán seguir cada vez más atentos a las nuevas amenazas.

En esta ocasión, como no podía ser de otro modo, el gran volumen de actualizaciones para diversos productos confiere al paquete de actualizaciones un estatus de urgente, puesto que el carácter global de los problemas solucionados es de nivel crítico o muy crítico en la gran mayoría de los casos.

El ramillete de productos que han sufrido correcciones es muy amplio: el conjunto base lo componen Oracle Database 10g Release 2, versiones
10.2.0.1 y 10.2.0.2; Oracle Database 10g Release 1, versiones 10.1.0.4, 10.1.0.5; Oracle9i Database Release 2, versiones 9.2.0.6, 9.2.0.7; Oracle8i Database Release 3, versión 8.1.7.4; Oracle Enterprise Manager 10g Grid Control, versiones 10.1.0.3, 10.1.0.4, 10.2.0.1; Oracle Application Server 10g Release 2, versiones 10.1.2.0.0 – 10.1.2.0.2, 10.1.2.1.0, 10.1.3.0.0; Oracle Application Server 10g Release 1 (9.0.4), versiones 9.0.4.1, 9.0.4.2 ; Oracle Collaboration Suite 10g Release 1, versiones 10.1.1, 10.1.2.0, 10.1.2.1; Oracle9i Collaboration Suite Release 2, versión 9.0.4.2; Oracle E-Business Suite Release 11i, versiones 11.5.1 – 11.5.10 CU2; Oracle E-Business Suite Release 11.0; Oracle Pharmaceutical Applications versiones 4.5.0 – 4.5.2; Oracle PeopleSoft Enterprise Tools, versiones 8.47GA – 8.47.04; Oracle PeopleSoft Enterprise Tools, versiones 8.46GA – 8.46.12 y JD Edwards EnterpriseOne Tools, OneWorld Tools, versiones 8.95 – 8.95.eJ1.

Adicionalmente, la compañía informa que algunos productos empaquetados dentro de alguno de los productos listados anteriormente disponen de actualizaciones igualmente. Es el caso de Oracle Database 10g Release 1, versión 10.1.0.4.2; Oracle Developer Suite, versiones 6i, 9.0.4.2; Application Server y Oracle Workflow, versiones entre la 11.5.1 y la 11.5.9.5.

También informa Oracle que hay productos que no están soportados como productos independientes, pero sí lo están cuando forman parte de alguno de los productos citados en el conjunto base. Es el caso de Oracle9i Database Release 1, versión 9.0.1.4; Oracle9i Database Release 1, versiones desde la
9.0.1.5 a la 9.0.1.5 FIPS; Oracle8 Database Release 8.0.6, versión 8.0.6.3 y Oracle9i Application Server Release 1, versión 1.0.2.2.

Por último, como casos especiales, Oracle Database 10g Release 1, versión
10.1.0.3 y Oracle9i Database Release 2, versión 9.2.0.5 sólo están soportados en ciertas plataformas, con lo que los administradores deben consultar las guías de instalación para cada caso particular.

Es igualmente recomendable que además de hacer lectura del boletín de la compañía, los administradores de soluciones Oracle, ante posibles dudas o conflictos, hagan uso del soporte de la compañía para obtener asistencia en los complejos procedimientos de actualización. Es imperativo en todos los casos realizar copias de seguridad previas a cualquier intento de actualizar, con vistas a garantizar la continuidad del negocio en caso de incidencias.

==== 7.- Denegación de servicio MPLS de Cisco IOS XR ====

Se han encontrado varias vulnerabilidades en Cisco IOS XR relacionadas con Multiple Multi Protocol Label Switching (MPLS). Cisco IOS XR sólo funciona en CRS-1 y los routers de la serie 12000 de Cisco

La primera vulnerabilidad puede provocar que MSC deje de funcionar abruptamente a la recepción de paquetes MPLS específicos. Este fallo sólo afecta a CRS-1

También se han detectado problemas con el manejo de paquetes MPLS.
Este fallo sólo afecta a CRS-1

La última vulnerabilidad se refiere a un bloqueo de la tarjeta de línea a la recepción de paquetes MPLS específicos. Este fallo afecta a CRS-1 y Cisco 12000.

El aprovechamiento de estas vulnerabilidades puede resultar en la recarga de Modular Services Card (MSC) en un CRS-1 o de las tarjetas de línea en routers Cisco 12000, lo que puede llevar a un ataque de denegación de servicio.

==== 9.- Microsoft publica el Service Pack 1 para Microsoft SQL Server 2005 ==== Microsoft ha publicado el Service Pack 1 para MS SQL Server 2005. Este paquete acumulativo incluye múltiples mejoras en el sistema y corrige problemas de programación y rendimiento.

El nuevo Service Pack 1 para SQL Server 2005 incluye un gran número de mejoras y correcciones en diferentes aspectos de la aplicación, como en los Analysis Services, programación de datos, SQL Server 2005 Integration Services (SSIS), en el Generador de perfiles y reproducción, en el Agente SQL Server, los Objetos de administración (SMO), Planes de mantenimiento y Estudio de administración (SSMS) de SQL Server. El motor de base de datos de SQL Server también sufre un gran número de mejoras y optimización

En general un paquete de actualización y mejora que permitirá a los usuarios y administradores de SQL Server 2005 disfrutar de nuevas características y servicios, así como de un gran número de mejoras y optimización del rendimiento del gestor de base de datos.

Se ha anunciado la existencia de una vulnerabilidad en Sun Java Studio Enterprise, que puede ser empleada por usuarios locales para elevar sus privilegios en los sistemas afectados.

Según informa el aviso de Sun, el problema puede permitir a usuarios locales no privilegiados ejecutar comandos bajo la cuenta del usuario que ejecuta Sun Java Studio debido a que cuando el usuario “root”
instala el producto se crean ciertos archivos con permisos de lectura para todo el mundo.