Boletín 00066 - 21/08/2006

==== 1.- Publicado Fix Pack 13 para IBM WebSphere Application Server 6.0.2 ==== IBM ha publicado un paquete de actualizaciones para su WebSphere Application Server 6 para servidores AIX que solventa una larga lista de errores, algunos de los cuales tienen implicaciones de seguridad. IBM Websphere es una plataforma orientada a la prestación de servicios empresariales. Estos sistemas están diseñados para obtener flexibilidad en la infraestructura, facilidad en la integración de software y sistemas, mejores tasas de productividad y una mejora en su adaptabilidad ante amenazas y riesgos externos.

La compañía no se ha prodigado en detalles acerca de la naturaleza de los problemas de seguridad en sí, aunque entre ellos se encuentran exposiciones potenciales de seguridad, descritos en los APAR (Authorized Program Analysis
Report) con identificaciones PK22747, PK24334, PK25740 y PK26123 respectivamente. Se puede comprobar también la existencia de una vulnerabilidad que podría permitir acceder al código fuente de archivos JSP (APAR PK23475), además de otros problemas de revelación de información sensible localizados en los archivos de trazas de ffdc (PK24834), y en Trace (PK25568). Finalmente, también se ha encontrado un problema ThreadIdentitySupport (PK25199) que afectaría a mecanismos de autoridad en el servidor.

==== 4.- Desbordamiento de búffer y escalada de directorios en Sony VAIO Media Integrated Server ==== Se han descubierto un par de vulnerabilidades que afectan a diversas versiones de Sony VAIO Media Integrated Server, y que pueden ser utilizadas por atacantes remotos para acceder a información sensible dentro de los sistemas afectados o incluso para comprometerlos.

Las vulnerabilidades, descubiertas por Joe Moore de la compañía británica Pentest Limited, han sido confirmadas en las versiones 2.x, 3.x, 4.x y 5.x de este software. Si bien ni Pentest Limited ni la propia Sony han dado información detallada acerca de los errores que provocan estas vulnerabilidades, si han desvelado que uno de ellos se debe a un problema de desbordamiento de búffer, mientras que el otro se debe a un problema de filtrado de entradas que permitiría realizar escaladas de directorios.

La explotación de la primera vulnerabilidad permitiría a un atacante comprometer el sistema ya que podría ejecutar código arbitrario con privilegios de usuario SYSTEM, mientras que la segunda permitiría acceder a información contenida en archivos arbitrarios, con la consiguiente posibilidad de revelar datos potencialmente sensibles.

==== 5.- Habemus malware para MS06-047 ==== Después de detectar malware destinado a aprovechar una vulnerabilidad en el servicio Servidor de Microsoft Windows (MS06-040), se ha encontrado nuevo código dañino que aprovecha otra vulnerabilidad descrita en el boletín
MS06-047 y que se difunde en forma de documento Word.

El boletín MS06-047 soluciona una vulnerabilidad en diferentes versiones de Office y Works Suite en Visual Basic for Applications que puede ser aprovechada para lograr la ejecución remota de código arbitrario. Está calificado como “crítico” y afecta a Office 2000, Project 2000, Access 2000, Office XP, Project 2002, Visio 2002, Microsoft Works Suites (2004, 2005 y 2006), Visual Basic for Applications SDK 6.x. El error de desbordamiento de memoria intermedia se localiza en la librería vbe6.dll.

Si el malware bautizado como Wgareg fue rápido (apenas 5 días desde la publicación del parche), este nuevo código no ha tardado demasiado en aparecer. Se trata de un documento Word que llega a través del correo y que puede tener el nombre de syosetu.doc y una extensión de 107.520 bytes. El hash MD5 es 7443358555983341CB9BB12BB0A0A191. Si este archivo es abierto con un Microsoft Office vulnerable, tratará de descargar otros componentes desde distintas localizaciones e intentará comprometer el sistema con puertas traseras y troyanos.

La primera muestra de este malware llegó a VirusTotal a las 9 de la mañana (hora española) del día 14 de agosto, lo que indica que puede estar circulando al menos desde entonces. Aun así, a día 17 de agosto son pocos los antivirus capaces de detectarlo, además todos con nombres dispares, sin un distintivo común que lo identifique claramente: W97M/ProjMod!exploit (eTrust-Vet), W32/Bgent.ZE!tr (Fortinet), Exploit-OleModule (McAfee), Exploit:Win32/Ponaml.gen (Microsoft), Trojan.Mdropper (Symantec), TROJ_MDROPPER.BK (TrendMicro).

Esta nueva amenaza para usuarios de Microsoft Office se une a los últimos problemas de seguridad que está sufriendo esta suite ofimática, que se ha convertido en claro objetivo para “atacantes profesionales”.
Afortunadamente, al contrario que Wgareg (malware para MS06-040 que se ejecuta automáticamente conectándose a un servicio), aprovechar esta vulnerabilidad no es tan sencillo pues requiere de interacción por parte de la potencial víctima. Esto limitará su difusión de forma significativa.

Desde Hispasec se recomienda no abrir ningún archivo Office no solicitado y actualizar los sistemas lo antes posible con los parches correspondientes del boletín MS06-047.

==== 9.- Solucionados dos problemas de seguridad en MySQL 5 ==== Se han solucionado dos vulnerabilidades en MySQL que pueden ser aprovechadas por atacantes para eludir ciertas restricciones de seguridad o elevar privilegios. MySQL es un servidor de bases de datos SQL, de código abierto, altas prestaciones y muy difundido en el mundo Linux.

El primer fallo permite a un atacante crear nuevas bases de datos aunque no tenga privilegios para ello. Si un usuario tiene acceso a una base de datos pero no tiene permisos para crear nuevas bases de datos, podrá conseguirlo si la nueva comparte nombre con la que ya tiene acceso, pero con una o más letras modificadas de minúscula a mayúscula o viceversa. Por ejemplo, si un usuario tiene acceso a la base de datos “ejemplo”, podrá crear “ejempLo”
aunque no tenga permisos para ello.

Esto sólo es posible si MySQL se ejecuta en un sistema de ficheros sensible a mayúsculas (por tanto MySQL no es vulnerable si se ejecuta bajo Microsoft Windows). El problema está calificado como “no crítico”.

El segundo fallo se debe a que los argumentos de rutinas suid son calculados en el contexto del que ha definido la rutina, en vez de hacerlo en el contexto de seguridad del que llama a la rutina. Si un atacante tiene suficientes privilegios como para llamar a una rutina suid, podría ejecutar código (consultas o estamentos) bajo los privilegios del que ha definido la rutina suid y por lo tanto elevar sus privilegios. Este problema está calificado como de gravedad “seria”

Las vulnerabilidades, documentadas desde hace algunas semanas, han sido solucionadas en el CVS, y serán solventados en la futura versión 5.0.25 de la base de datos.

==== 10.- Los parches de MS06-042 pueden impedir la visualización de ciertas páginas con Internet Explorer ==== Dentro de los doce boletines de seguridad publicados el pasado día 8 de agosto, el MS06-042 escondía una actualización para ocho problemas de seguridad descubiertos en el navegador Internet Explorer, con varias de estas vulnerabilidades calificadas como críticas. La solución a estos problemas en forma de parche acumulativo ha introducido un nuevo error que hace que el navegador deje de responder al visitar ciertas páginas.

Los usuarios de Windows 2000 SP4 y XP SP1 que hayan aplicado este parche, habrán observado un comportamiento errático del navegador al visitar ciertas webs. El navegador informa de un error irreparable y se cierra de forma abrupta, impidiendo la visualización de la página. Aunque este fallo podría considerarse como una “denegación de servicio”, no parece que en principio permita ser aprovechado por atacantes para ejecutar ningún otro tipo de acción que pueda comprometer el sistema. Es importante destacar que el problema no afecta a los usuarios de Windows XP con el Service Pack 2 instalado, que no sufrirán este error y por tanto no tendrán que realizar ninguna acción al respecto.

Este inconveniente ha sido reconocido por Microsoft, admitiendo que ha sido introducido inadvertidamente con la última actualización acumulativa para Internet Explorer. El fallo se da en las páginas que acepten el uso de la versión 1.1 del protocolo HTTP además de compresión de tráfico. Estas dos circunstancias no son manejadas correctamente por el navegador si ha sido actualizado con los parches del boletín MS06-042 (acción más que recomendada).

Microsoft ha creado un “hotfix” que soluciona el problema, pero no lo ha hecho público para descarga (sólo está disponible a través de la línea de soporte del fabricante). Mientras, como contramedida, los usuarios pueden desactivar el uso de la versión 1.1 del protocolo en el navegador. Esto se consigue a través de las “Opciones  de Internet” en la pestaña “Opciones avanzadas”. En este menú es necesario desactivar la opción “Usar HTTP 1.1”.
Si realmente es este el origen del problema, las páginas “problemáticas”
deberían poder ser visitadas sin problemas.

En cualquier caso, Microsoft planea una nueva publicación del parche el día
22 de agosto, que no contendrá este fallo y que estará disponible a través de los canales habituales de distribución de parches públicos.