Boletín 00078 - 22/11/2006

==== 2.- Desbordamiento de memoria intermedia en Red Hat Package Manager 4 ====
Se ha encontrado una vulnerabilidad en el Red Hat Package Manager por la que un atacante podría ejecutar código arbitrario en el sistema víctima.

Un atacante podría crear un paquete RPM especialmente manipulado que, al ser consultado por un usuario con ciertas locales especificadas (ru_RU.UTF-8, por ejemplo), provocaría un desbordamiento de memoria intermedia y permitirtía la ejecución de código con los privilegios del usuario que ejecutara la consulta.

==== 3.- Nueva versión de Firefox, Thunderbird y SeaMonkey corrige graves  vulnerabilidades ====
Mozilla ha publicado una nueva actualización para la rama 1.x de su navegador, que solventa hasta cinco fallos de seguridad agrupados en tres “boletines”, todos calificados como críticos. Varias de estas vulnerabilidades son aprovechables para ejecutar código arbitrario.

La nueva versión de la rama 1.x de los productos Mozilla (Firefox, SeaMonkey y Thunderbir) corrige cinco fallos de seguridad que permiten eludir restricciones e incluso ejecutar código. Los tres “boletines”
publicados (del número 65 al 67 de 2006) especifican las vulnerabilidades:

El primer fallo se debe a un problema de corrupción de memoria en el motor de diseño que puede ser aprovechado por atacantes para hacer que la aplicación deje de responder (causar una denegación de servicio) y potencialmente ejecutar código arbitrario.

El segundo fallo se debe a un problema de corrupción de memoria en XML.prototype.hasOwnProperty. Este error se suponía en principio un fallo que permitía hacer que la aplicación dejase de funcionar, pero se ha demostrado que puede ser aprovechado por atacantes remotos para ejecutar código.

El tercer fallo se debe también a un problema de corrupción de memoria en el motor JavaScript a la hora de procesar datos mal formados. Esto puede permitir a atacantes hacer que el sistema deje de responder o, potencialmente, ejecutar código arbitrario.

El cuarto fallo se debe un error a la hora de validar firmas digitales RSA con exponente 3. Este problema, encontrado por primera vez en OpenSSL en septiembre y heredado a innumerables productos, no fue completamente corregido en la librería  NSS que incorpora la rama 1.x de los productos Mozilla y ha sido de nuevo parcheado para proteger de una variante del ataque original.

El quinto fallo se debe a un error por el que ciertos objetos Script podrían ser modificados durante la ejecución. Esto podría ser aprovechado por atacantes para ejecutar bytecode JavaScript arbitrario.

Los productos afectados son:
Mozilla Firefox 1.5.0.7 y anteriores.
Mozilla Thunderbird 1.5.0.7 y anteriores.
Mozilla SeaMonkey 1.0.5 y anteriores.

==== 8.- Revelación de información sensible en Lotus Dominio 5.x, 6.x y 7.x ====
Se ha descubierto un problema de seguridad en Lotus Domino que permite a atacantes obtener información sensible. El protocolo NRPC puede utilizar una transacción no autenticada durante el primer registro de un usuario para obtener el fichero ID. Un atacante (a través del puerto 1352) podría construir una lista de posibles nombres de usuario e intentar validarlos usando la transacción de búsqueda de nombres no autenticada. Si el nombre de usuario existe y el registro contiene un fichero ID, sería posible descarga el fichero ID del usuario. El atacante tendría que ejecutar un ataque de fuerza bruta para poder usar el fichero ID.

El problema ha sido solucionado en Domino 7.0.2 y Domino 6.5.5 Fix Pack 2 (FP2). Para que funcione, hay que establecer la variable BLOCK_LOOKUPID en el fichero notes.ini del servidor con los valores
1 ó 2. El valor 2 evita todo tipo de ataques pero evita también que nuevos clientes se configuren usando ficheros ID en el directorio.

Los administradores deberían asegurarse de que los ficheros ID no permanecen en el Domino Directory durante largos periodos de tiempo, o utilizar otro método de distribución de ficheros ID para nuevos usuarios.

==== 10.- Vulnerabilidades en el servicio IMA de Citrix Presentation Server ====
Se han identificado dos vulnerabilidades en Citrix Presentation Server, que podrían ser aprovechados por atacantes remotos para provocar que la aplicación dejase de responder o incluso ejecutar código arbitrario. Citrix Presentation Server es una solución muy popular de virtualización de aplicaciones (o servidor de distribución de aplicaciones) que permite, de forma segura, implementación y administración centralizada de aplicaciones.

El primer fallo se debe a un desbordamiento de heap en la función
IMA_SECURE_DecryptData1 de la librería ImaSystem.dll, que no valida adecuadamente datos de autenticación (cifrados) especialmente manipulados recibidos a través del servicio Independant Management Architecture (IMA) que escucha en el puerto 2512 ó 2513. Esto puede ser aprovechado para ejecutar código arbitrario.

El segundo problema se debe a un error de validación de entrada también en el servicio Independant Management Architecture (IMA) que no maneja adecuadamente ciertos tipos de paquetes. Esto pude ser aprovechado por atacantes remotos para hacer que el proceso IMA se detenga de forma abrupta, creando una condición de denegación de servicio.

Ambas vulnerabilidades han sido desveladas por miembros de TippingPoint e iDefense respectivamente, compañías que encabezan iniciativas que incentivan económicamente el descubrimiento de problemas de seguridad.
La primera fue notificada a Citrix en junio de 2006 y la segunda en julio del mismo año.

Las versiones vulnerables, junto con su solución (hotfix) para lenguajes inglés y español son:

==== 11.- Ejecución de código arbitrario en  HP OpenView  Client Configuration Manager ====
Se ha encontrado un problema de seguridad en HP OpenView Client Configuration Manager que puede ser aprovechado por atacantes para provocar una denegación de servicio o incluso ejecutar código arbitrario. HP OpenView Client Configuration Manager es una solución (presentada hace apenas un año) basada en tecnología Radia que permite administración avanzada de hardware y software HP, tales como inventario, distribución de parches, control remoto, actualización…

La vulnerabilidad está provocada por una manejo no adecuado de datos en el Radia Notify Daemon (representado por el archivo radexecd.exe). Un fallo en el diseño hace que no se requiera nombre de usuario y contraseña para ejecutar comandos en el directorio donde se instala radexecd.exe. Si se envía un paquete especialmente manipulado, se permiten ciertas acciones sin necesidad de autenticación, como reiniciar el sistema con radbootw.exe o, a través de radcrecv.exe, descargar nuevos programas en el directorio y ejecutarlos.

Esta vulnerabilidad ha sido descubierta por miembros de TippingPoint y fue notificada a HP a principios de Octubre.

==== 12.- Ejecución de código en múltiples dispositivos inalámbricos ====
El controlador de dispositivo inalámbrico Broadcom, BCMWL5.SYS, es vulnerable a un desbordamiento de memoria intermedia basado en pila que permite la ejecución de código arbitrario en modo núcleo. El fallo se debe a manejo inseguro de respuestas sonda 802.11 que contengan un campo SSID muy largo.

El problema se considera bastante grave por varias razones. La primera es que el controlador BCMWL5.SYS se proporciona unido a los sistemas de muchos fabricantes. Broadcom tiene acuerdos con diferentes compañías que incorporan sus chipsets en los controladores inalámbricos. Viene integrado por ejemplo en ordenadores Dell, HP o tarjetas Linksys y todos comparten básicamente el mismo controlador.

La segunda razón es que puede ser aprovechado sin interacción por parte del usuario. Se está en riesgo si la tarjeta inalámbrica con controladores vulnerables permanece activa en cualquier lugar público y alguien emite información. Este sería recogido por la tarjeta y podría permitir el aprovechamiento de la vulnerabilidad. Por ejemplo, en Windows, el escáner integrado que permite descubrir nuevas redes lo volvería vulnerable si posee una tarjeta funcionando con estos controladores.

La tercera razón por la que puede considerarse especialmente peligroso es que ya existe un exploit público en la versión de desarrollo de Metasploit Framework.

La cuarta razón es que es complicado delimitar la responsabilidad de publicar un parche. No está totalmente definida. Ni siquiera organizaciones ajenas pueden acudir en su ayuda. El grupo ZERT, (Zero Day Emergency Response Team) cuyo objetivo es el de programar parches para solventar problemas de seguridad de tipo “0 day” siempre que su gravedad lo requiera, ha publicado una nota donde explica las razones por las que no puede crear una actualización extraoficial en este caso.
Sería impráctico crear un parche para cada controlador de cada fabricante y tampoco sería posible programar uno genérico efectivo.
Para dispositivos Linksys, como excepción por ahora, ya se ha programado una solución disponible en su página web.

La versión comprobada vulnerable es la 3.50.21.10 del controlador BCMWL5.SYS en Windows. Usuarios de Linux y FreeBSD deberían asegurarse de que no están usando el controlador vulnerable a través de la herramienta ndiswrapper. En general, se recomienda que todos los usuarios se pongan en contacto con los fabricantes de sus dispositivos inalámbricos, comprobar si sus controladores son vulnerables y aplicar soluciones específicas.

==== 13.- Seis boletines de seguridad de Microsoft en noviembre ====
Como es habitual, fiel a la cita de los segundos martes de mes, Microsoft ha publicado sus boletines de seguridad. Tal y como adelantamos, en esta ocasión se han publicado seis boletines
(MS06-066 al MS06-071).

Según la propia clasificación de Microsoft cinco de los nuevos boletines presentan un nivel de gravedad “crítico”, mientras que el restante recibe la calificación de “importante”.

Es por tanto, importante conocer la existencia de estas actualizaciones, evaluar el impacto de los problemas y aplicar las actualizaciones en la mayor brevedad posible. Este es un boletín de urgencia en el que describimos superficialmente cada uno de los nuevos boletines de seguridad de Microsoft. En los próximos días publicaremos otros boletines donde analizaremos más detalladamente las actualizaciones más importantes.

* MS06-066: Informa sobre una actualización para Windows 2000, Windows XP y Windows Server 2003 debido a dos vulnerabilidades en Client Service for NetWare (servicio cliente para NetWare) que permiten a un atacante ejecutar código o crear una condición de denegación de servicio. Según la calificación de Microsoft recibe un nivel de “importante”.

* MS06-067: Actualización acumulativa para Microsoft Internet Explorer que además soluciona tres nuevas vulnerabilidades que podrían permitir la ejecución remota de código arbitrario. Según la calificación de Microsoft está calificado como “crítico”. Afecta a Internet Explorer
5.01 e Internet Explorer 6.

* MS06-068: Destinado a evitar una vulnerabilidad en Microsoft Agent que permite ejecución remota de código. Afecta a Windows 2000, Windows XP y Windows Server 2003. Está calificado como “crítico”.

* MS06-69: Resuelve cinco vulnerabilidades en Macromedia Flash Player de Adobe versión 6.0.84.0 y anteriores, que pueden permitir a un atacante remoto ejecutar código arbitrario. Afecta a Windows XP y está calificado como “crítico”.

* MS06-070: En este boletín se anuncian los parches de actualización necesarios para solventar una vulnerabilidad en el servicio “estación de trabajo”, que podría permitir la ejecución remota de código arbitrario. Afecta a Windows 2000 y Windows XP. Está calificado como “crítico”.

* MS06-071: Se trata de una actualización para Microsoft XML Core Services debido a que se ha detectado una vulnerabilidad que puede permitir a un atacante remoto ejecutar código arbitrario. Recibe el nivel de “crítico”.

Las actualizaciones publicadas pueden descargarse a través de Windows Update y Office Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche.

==== 15.- Vulnerabilidades en dispositivos Citrix Access Gateway ====
Se ha encontrado varias vulnerabilidades en los dispositivos Citrix Access Gateway que pueden ser aprovechadas por atacantes para obtener información sensible. Citrix Access Gateway son soluciones para redes privadas virtuales (VPN) que cifran el tráfico (con SSL) y permiten acceso remoto seguro a recursos de red.

El primer problema se debe a un fallo no especificado a la hora de usar Advanced Access Control como funcionalidad de Access Gateway. Los datos del dispositivo podrían ser obtenidos por un atacante sin privilegios para ello.

Los productos afectados son:
Access Gateway appliance 4.2
Access Gateway appliance 4.2.1
Access Gateway appliance 4.2.2
Access Gateway 4.5 Advanced Edition
Access Gateway 4.2 con Advanced Access Control 4.2 (Access Gateway 4.2 Advanced Edition)

Un fallo en la funcionalidad de acceso “Browser only” podría permitir a usuarios acceder a recursos protegidos. Otro error en el proceso de login podría permitir a a usuarios tener acceso a esos recursos.

Las vulnerabilidades se han confirmado en Citrix Access Gateway distribuido con Advanced Access Control 4.0 y 4.2. Las versiones Access Gateway Standard Edition y Access Gateway Enterprise Edition no se ven afectadas.

==== 16.- Varios problemas de seguridad en WinZip 10.x ====
Se han encontrado dos problemas de seguridad en WinZip que pueden permitir la ejecución de código arbitrario si se visita una página especialmente manipulada. Los detalles para aprovechar la vulnerabilidad son públicos. Se han encontrado dos problemas de seguridad en WinZip que pueden permitir la ejecución de código arbitrario si se visita una página especialmente manipulada. Los detalles para aprovechar la vulnerabilidad son públicos.

El primero de los problemas reside en varios métodos no seguros en el control ActiveX FileView(WZFILEVIEW.FileViewCtrl.61) que permitirían la ejecución de código por desbordamiento de memoria intermedia basada en pila.

El segundo fallo se debe a un error de límites en el mismo control ActiveX y un manejo no adecuado de la propiedad “filepattern”, lo que podría llevar también a un desbordamiento de memoria intermedia y potencialmente permitir la ejecución de código.

Los problemas se han confirmado en las versiones previas a WinZip 10.0 Build 7245.

La solución consiste en actualizarse a esta versión, pero el creador del exploit anuncia con la notación “WinZip <= 10.0.7245″ que el fallo afectaría también (por el símbolo “=”) a la última actualización hasta la fecha. Aunque podría tratarse de un simple error del creador del código, es posible que esta versión todavía tenga problemas.

En cualquier caso, a falta de confirmación, se recomienda deshabilitar la ejecución de ActiveX para la zona de Internet en Internet Explorer y, por supuesto, actualizar Winzip 10.0. La versión 9.x no se ve afectada.

El primero de los problemas fue notificado a Winzip a través de ZDI (Zero Day Iniciative) a finales de agosto de 2006.

==== 17.- Análisis y situación de los últimos parches de Microsoft ====
Habitualmente (y no sólo con Microsoft) junto con la aparición de los parches, los investigadores que han descubierto los problemas de seguridad hacen públicos los detalles sobre sus pesquisas, tras haber esperado pacientemente a la existencia de un parche oficial. Inevitablemente esto conlleva la aparición de nuevos exploits. Tras unos días “ahí fuera”, hacemos un repaso a la situación de los últimos parches de seguridad de Microsoft.

MS06-066:
Ejecución de código remoto en servicios de cliente NetWare.
Probablemente el usuario medio no tenga instalado ese protocolo. Existe prueba de concepto pero no es pública. La vulnerabilidad es calificada como de criticidad importante.

MS06-067:
Actualización acumulativa para Microsoft Internet Explorer que además soluciona tres nuevas vulnerabilidades no públicas hasta la fecha. Dos en el control ActiveX DirectAnimation y una en la propia interpretación de HTML (que también podría ser aprovechada a través de correo). Son graves y permiten la ejecución de código. Se debería parchear cuanto antes. Según Websense, uno de los problemas en el control ActiveX DirectAnimation era conocido ya desde septiembre y existen numerosas páginas que estaban aprovechando el problema para instalar malware. No afecta a Internet Explorer 7.

MS06-068:
Corrige una vulnerabilidad en Microsoft Agent (agente de Microsoft que gestiona cuestiones de ayuda al usuario en el sistema) y permite ejecución remota de código. Es más peligrosa porque puede ser invocada a través de ActiveX en el navegador, por tanto, es aprovechable de forma remota. Además del parche, en la página del boletín viene cómo desactivar “el uso” del control por parte de Internet Explorer para prevenir futuros problemas. No se conocen exploits públicos.

MS06-069:
Resuelve cinco vulnerabilidades en Macromedia Flash Player de Adobe.
Afecta sólo al plugin para el navegador en Windows XP. Está calificado como crítico y no se conocen exploits públicos. Se trata de los mismos problemas de los que ya advirtió Adobe a principios de septiembre y para los que existen parches desde entonces. Si se actualizó desde la página Adobe en su día, no hay problema.

MS06-070:
Solventa una vulnerabilidad en el servicio “estación de trabajo”, que podría permitir la ejecución remota de código arbitrario. Afecta a Windows 2000 y Windows XP. Existen numerosos exploits públicos.
Especialmente preocupante si el servicio es accesible a través de internet, y no se tiene cortafuegos instalado. En red interna (aunque se suponga un entorno confiable) supone un verdadero problema, pues el servicio suele estar disponible y accesible para compartir o acceder a recursos, etc. Importantísimo parchear cuanto antes sobre todo en Windows 2000, donde es más fácilmente aprovechable. Parece que no afecta a Windows 2003.

MS06-071:
Corrige una conocida vulnerabilidad que está siendo aprovechada masivamente (al visitar con IE páginas manipuladas) desde hace semanas, el problema con XML Core Services. Se ven afectadas las versiones 4.0 y 6.0. Reemplaza al boletín MS06-061.

No se tiene constancia de que ningún parche esté causando problemas en el sistema. Este mes no se han emitido parches para Windows XP Service Pack 1, pues ha terminado su ciclo de vida. Los usuarios y administradores que no lo hayan hecho ya (recomendable, pues supone considerables mejoras de seguridad) deberían actualizarse con el Service Pack 2. Por otro lado, Microsoft también ha anunciado que alarga la vida de SUS hasta julio de 2007. SUS es un sistema de actualización para redes internas (sustituido ya por WUS), muy útil para administradores, que permite desplegar cómodamente parches a decenas de máquinas.

==== 18.- Elevación de privilegios en servidores X11 de Sun Solaris ====
Existe una vulnerabilidad de desbordamiento a la hora de realizar una multiplicación de enteros dentro de la librería libXfot, utilizada por los servidores X11 que pude provocar un desbordamiento de heap a la hora de cargar las fuentes. Esto puede ser aprovechado por un usuario local no privilegiado para ejecutar comandos arbitrarios con privilegios elevados, o provocar una denegación de servicio a los administradores de visualización.

El problema ha sido resuelto con los siguientes parches:

==== 19.- Salto de restricciones de seguridad en Sun Java JDK y JRE ====
Se ha encontrado una vulnerabilidad en Sun Java JRE que puede ser aprovechada por atacantes para eludir ciertas restricciones de seguridad. El fallo está causado por un error no especificado en la librería Swing de Java Runtime Environment y podría permitir a un applet especialmente manipulado, acceder a datos en otros applets.

Sun ha confirmado el problema en JDK y JRE 5.0 (y 1.5.x) Update 7 y anterior, excepto la rama 1.3.1_xx y 1.4.2_xx.

Se recomienda actualizar a JDK y JRE 5.0 Update 8 o posterior desde www.java.com/en/download/manual.jsp