Boletín 00080 - 27/12/2006

Los errores descubiertos son:

* Un error en el servicio principal Netbackup (bpcd.exe) que puede ser aprovechado a través de encadenado de comandos para hacer que el servicio ejecute código arbitrario.

* Un error de límites en el servicio principal Netbackup (bpcd.exe) a la hora de interpretar peticiones largas puede ser aprovechado para provocar un desbordamiento de memoria intermedia basado en pila si se le pasa al servicio una petición muy larga con un campo longitud mal formado.

* Existe por último un error de límites también en el servicio principal Netbackup (bpcd.exe) a la hora de interpretar peticiones CONNECT_OPTIONS puede ser aprovechado para provocar un desbordamiento de memoria intermedia basado en pila a través de una petición muy larga.

Las vulnerabilidades fueron comunicadas al fabricante a través de la iniciativa Zero Day de TrippingPoint el 14 de agosto de 2006.

Las versiones afectadas son:
Veritas NetBackup Advanced Client 5.x y 6.x Veritas NetBackup Enterprise Server 5.x y 6.x Veritas NetBackup Server 5.x y 6.x

==== 4.- Vulnerabilidad de formato de cadena en gdmchooser de GNOME Display Manager ====
Se ha encontrado una vulnerabilidad en GNOME Display Manager por la que un atacante local podría elevar privilegios en el sistema afectado.
gdmchooser es un programa que proporciona funcionalidad XDMCP (X Display Manager Control Protocol) al GNOME Display Manager. Este protocolo permite a un usuario interacturar con sistemas remotos a través del X11 local.

Existe un fallo de formato de cadena en la función gdm_chooser_browser_add_host en el archivo gui/gdmchooser.c a la hora de procesar nombres de hosts, que puede ser aprovechado para ejecutar comandos arbitrarios en el sistema con los privilegios del servicio GNOME Display Manager (gdm). Usuarios locales no autenticados podrían ejecutar gdmchooser e introducir caracteres especialmente manipulados en el cuadro de diálogo para lanzar la vulnerabilidad.

La vulnerabilidad fue comunicada al fabricante a través de iDefense el 4 de diciembre de 2006.

==== 5.-  Elevación de privilegios local a través de ld.so en Sun Solaris ====
Existen dos problemas de seguridad en ld.so de Solaris 8, 9 y 10, que pueden permitir a un atacante local obtener privilegios de root.

* Existe un desbordamiento de memoria intermedia en la función de formateo doprf de ld.so.

* Existe un problema de directorio transversal en ld.so que puede permitir la ejecución local de código como root a través de la definición de una variable de entorno LANG especialmente manipulada.

Según versión y plataforma, las actualizaciones están disponibles
desde:

Plataforma x86:
Para Solaris 10, IDR124829-01

==== 6.- Parche acumulativo para Microsoft Internet Explorer ====
Dentro del conjunto de boletines de diciembre publicado esta semana por Microsoft y del que efectuamos un adelanto el pasado martes, se cuenta el anuncio (en el boletín MS06-072) de una actualización acumulativa para Internet Explorer, que además solventa un total de cuatro nuevas vulnerabilidades descubiertas en las versiones 5.01 y 6 del navegador.

Las vulnerabilidades corregidas son las siguientes:

* Una corrupción de memoria a la hora de manejar scripts puede llevar a la ejecución de código arbitrario.

* Una corrupción de memoria a la hora de manejar scripts DHTML puede llevar a la ejecución de código arbitrario.

* Dos problemas de revelación de información sensible a través de la carpeta TIF.

Este boletín reemplaza al boletín previo MS06-067. No afecta a Internet Explorer 7.

Actualice los sistemas afectados mediante Windows Update o descargando los parches según versión desde las siguientes direcciones:

==== 8.- Actualización de productos Mozilla corrige hasta diez vulnerabilidades ====
En la última actualización, se han corregido hasta diez vulnerabilidades en Mozilla Firefox, SeaMonkey y Thunderbird que pueden ser aprovechadas por atacantes para ejecutar código arbitrario en el sistema afectado o eludir restricciones de seguridad.

De forma resumida, la actualización ha solucionado:

* Problemas de corrupción de memoria en el motor JavaScript y el motor “layout” que podrían ser aprovechados para hacer que la aplicación deje de responder o ejecutar código arbitrario.

* Un fallo de desbordamiento de memoria intermedia a la hora de usar la  propiedad CSS cursor para establecer el cursor en ciertas imágenes en Windows. Esto podría ser aprovechado para hacer que la aplicación deje de responder o ejecutar código arbitrario.

* Un error en el manejo de la función watch de JavaScript que podría permitir a un atacante ejecutar código arbitrario en el sistema.

* Un problema de corrupción de memoria en LiveConnect, que podría ser ser aprovechado para hacer que la aplicación deje de responder o ejecutar código arbitrario.

* Un error a la hora de manejar el atributo src de un elemento IMG cargado en un marco. Esto podría ser aprovechado para perpetrar ataques de cross site scripting.

* Un desbordamiento de memoria intermedia a la hora de procesar correos con las cabeceras Content-Type o rfc2047-encoded excesivamente largas, podría permitir a atacantes hacer que la aplicación deje de responder o ejecutar código arbitrario.

* Una corrupción de memoria a la hora de manejar comentarios SVG podría permitir a un atacante ejecutar código arbitrario en el sistema.

* La funcionalidad Feed Preview contiene un fallo que podría permitir la revelación de información sensible.

* Existe por último una regresión en una función prototipo, que podría permitir eludir restricciones de seguridad o perpetrar ataques de cross site scripting.

Varias alcanzan el estado de críticas, por lo que se recomienda actualizar de inmediato.

==== 15.- Múltiples vulnerabilidades en JRE (Java Runtime Environment) de Sun ====
Sun han publicado actualizaciones para JDK, JRE y SDK debido a que se han encontrado numerosos problemas de seguridad no especificados que afectan a diferentes versiones. Estas herramientas también se engloban dentro del producto Java 2 Platform, Standard Edition

JDK (Java Development Kit)  y SDK (Software Development Kit) son productos destinados a los desarrolladores de programas Java. JRE (Java Runtime Environment) es un entorno que permite a las aplicaciones Java ejecutarse en el sistema e interpretar gran cantidad de contenido web.

Se han encontrado dos vulnerabilidades relacionadas con la serialización de Java Runtime Environment que podrían, de forma independiente, permitir a un applet no confiable o aplicación elevar sus privilegios.

Estas vulnerabilidades están solucionadas en las versiones (para Windows, Solaris y Linux):
JDK y JRE 5.0 Update 8 o posterior.
SDK y JRE 1.4.2_13 o posterior.

Se han encontrado dos vulnerabilidades más en  Java Runtime Environment que podrían, de forma independiente, permitir a un applet acceder a los datos de otro.

El primer problema está solucionado en (para Windows, Solaris, y Linux):
JDK y JRE 5.0 Update 6 o posterior.
SDK y JRE 1.4.2_11 o posterior.
SDK y JRE 1.3.1_19 o posterior.

El segundo problema está solucionado en (para Windows, Solaris, y Linux):
JDK y JRE 5.0 Update 7 o posterior.
SDK y JRE 1.4.2_13 o posterior.
SDK y JRE 1.3.1_19 o posterior.

Por último, se ha encontrado dos vulnerabilidades de desbordamiento de memoria intermedia en Java Runtime Environment que podrían permitir de forma independiente a applets elevar sus privilegios. Esto le permitiría darse permisos de escritura en ficheros locales o ejecutar aplicaciones accesibles por el usuario que ejecutar el applet no confiable.

Estos problemas han sido solucionados en las versiones (para Windows, Solaris, y Linux):
JDK y JRE 5.0 Update 8 o posterior.
SDK y JRE 1.4.2_13 o posterior.
SDK y JRE 1.3.1_19 o posterior.

Para conocer la versión instalada en el sistema, se debe escribir en una consola (tanto en Windows como Linux o Solaris):

java -version

==== 16.- Actualización del núcleo 2.6.x para Novell SuSE Linux ====
SuSE ha publicado una actualización para la rama del núcleo 2.6.x que corrige múltiples problemas de seguridad.

Entre los problemas corregidos se pueden destacar los siguientes:

* Un fallo en el sistema de ficheros UDF podía provocar una denegación de servicio.

* Un problema en el protocolo ATM manejando la función clip_mkip podría ser usado por atacantes remotos para hacer que la máquina dejase de responder.

* Un problema en la función grow_buffers podría ser usado para hacer que la máquina dejase de responder al usar sistemas de ficheros corruptos tales como NTFS o ISO9660.

* Un problema en el manejo de IPv6 podría ser usado por atacantes locales para hacer que la máquina deje de responder.

* Un problema en cramfs podría ser usado para hacer que la máquina dejase de responder si se montara una imagen especialmente manipulada.

* Problemas en ext3 y ext2 podrían ser empleados para hacer que la máquina dejase de responder si se montara una imagen especialmente manipulada.

* Un problema en HFS podría ser usado para hacer que la máquina dejase de responder si se montara una imagen especialmente manipulada.

* Múltiples vulnerabilidades no especificadas en netfilter para IPv6 podría permitir a atacantes remotos eludir restricciones de seguridad a través de ataques de fragmentación.

* Un desbordamiento de enteros en el puente de red ioctl podría ser utilizado por atacantes locales para hacer que la memoria del núcleo provocase un desbordamiento y elevar privilegios.

Otros problemas afectan a plataformas específicas como Itanium, i386, PowerPC o S7390.

Se recomienda actualizar a través de la herramienta automática YaST Online Update (YOU).

==== 17.- Problema de seguridad en X Display Manager de Sun Solaris 8, 9 y 10 ====
Existe una condición de carrera en el script Xsession ejecutado por xdm que puede llevar a provocar dos problemas de seguridad.

El primero de los fallos, permitiría a un usuario no privilegiado ver el fichero de error de xdm de otros usuarios en $HOME/.xsession-error.

Por otra parte, un usuario no privilegiado podría ser capaz de ver el fichero alternativo de xdm de otro usuario, en ${TMP-/tmp}/xses-$USER, que se usa cuando el anterior fichero descrito no ha podido ser creado.

Para la versión 10, las actualizaciones están disponibles desde:

# cd /usr/openwin/lib/X11/xdm
# mv xdm-config xdm-config.orig
# sed -e ’s/cp \/dev\/null “$errfile”/umask 077 \&\& cp \/dev\/null “$errfile”/’ Xsession > /etc/X11/Xsession # sed -e ’s/\/usr\/openwin\/lib\/X11\/xdm\/Xsession/\/etc\/X11\/Xsession/’ xdm-config.orig > xdm-config

==== 18.- Denegación de servicio remota en Microsoft Windows ====
Se ha publicado un código que aprovecha una vulnerabilidad que permite, en remoto, hacer que Microsoft Windows deje de responder. Para que el fallo tenga efecto, el atacante debe establecer una sesión nula con el sistema objetivo, lo que mitiga en cierta forma la gravedad del problema.

El día 25 de diciembre se publicó un código que aprovecha un fallo en el servicio “estación de trabajo” en la forma en la que maneja peticiones RPC  NetrWkstaUserEnum con un valor grande en el campo maxlen. Si el atacante tiene acceso a este servicio y envía peticiones especialmente manipuladas, el servicio svchost.exe consumiría toda la memoria disponible y el sistema dejaría de responder. El problema se ha confirmado en Windows 2000 y Windows XP SP2 totalmente parcheados, aunque otros podrían verse afectados.

Debido a las condiciones de este fallo, es mucho más factible que los ataques se lleven a cabo desde sistemas dentro de una misma red interna.

La misma persona que ha revelado el código (un/a polaco/a que se hace llamar h07) hizo también público otro exploit a principios de diciembre.
El código permitía provocar una denegación de servicio a través de una reserva de memoria incorrecta en función GetPrinterData. Para poder aprovechar el fallo, un atacante debería tener acceso al puerto 445, usado para manejar el protocolo NetBIOS.

Al contrario que el primero descrito, este código no representaba una vulnerabilidad desconocida, sino que suponía una nueva forma de atacar un fallo inherente a la implementación RPC en Windows, conocido desde finales de 2005. Ya se sabía que este fallo era aprovechable a través de la función PNP_GetDeviceList del servicio UPNP (Universal plug and play).

Para ninguno de estos problemas existe parche oficial. Se recomienda filtrar el acceso a los servicios vulnerables.