Boletín 00095 – 22/05/2007

VMware es un software que permite ejecutar diferentes sistemas operativos en un mismo PC de forma virtual. Entre otras aplicaciones, VMware es muy utilizado en seguridad informática por la versatilidad que ofrece. Por ejemplo, se suele utilizar de forma habitual en la investigación del malware, ya que permite ejecutar y analizar los especimenes en entornos virtuales controlados.

Las vulnerabilidades anunciadas son:

* Un error en la implementación de ACPI cuando recoge información sobre el estado de los procesos en ejecución de las máquinas virtuales podría ser aprovechado por un atacante para provocar que el proceso leyese partes de memoria inválidas.

* Un error no especificado en VMX al guardar ciertas configuraciones malformadas que podría ser aprovechado por un atacante para causar una denegación de servicio.

* Un error no especificado en el manejo de fallos de protección general (GPFs), en sistemas Windows virtualizados podría ser aprovechado por un atacante para hacer que deje de funcionar el sistema virtual.

* Errores no especificados a la hora de depurar aplicaciones en un sistema virtualizado Windows 64-bit podría ser aprovechado por un atacante para provocar punteros corruptos por ejemplo.

* Un error de diseño en las carpetas compartidas podría ser aprovechado en un sistema virtual para leer y escribir ficheros arbitrarios en el sistema huésped. Para que un atacante pudiera aprovechar esta vulnerabilidad sería necesario que hubiese al menos una carpeta compartida y que la opción de solo lectura estuviese deshabilitada.

==== 4.- Actualización del kernel para Red Hat Enterprise Linux 5.x ====
Red Hat ha publicado una actualización para el kernel que solucionan múltiples vulnerabilidades que podrían permitir a un atacante provocar una denegación de servicio:

* Un error en el manejo del sockets en IPv6 permitía a un usuario local leer memoria del kernel o causar una denegación de servicio.

* Un error en utrace permitía a un usuario local producir una denegación de servicio en el sistema.

* Fuga de memoria en el subsistema de auditoría.

* Corrupción de datos en los sistemas s390.

Se recomienda actualizar a través de las herramientas automáticas up2date. Según versión y plataforma, las actualizaciones están disponibles desde Red Hat Network.

==== 5.- Múltiples vulnerabilidades a través de VPN en dispositivos Cisco PIX y ASA ====
Se han encontrado varias vulnerabilidades en Cisco PIX y ASA por las que un atacante remoto podría eludir la autenticación LDAP o provocar una denegación de servicio.

* Un atacante remoto podría eludir la autenticación en dispositivos que usen servidores LDAP AAA para autenticar túneles IPSec basados en L2TP.
Se ven afectados los dispositivos configurados para usar LDAP en conjunto con CHAP, MS-CHAPv1, o MS-CHAPv2 para autenticación.

* Un atacante remoto que tuviese conocimiento del nombre IPSec de un grupo VPN y de la contraseña de grupo, podría provocar una denegación de servicio en el túnel VPN si está configurado para que la contraseña expire. El dispositivo víctima se recargaría.

* Los Cisco ASA que usen VPNs basadas en SSL son vulnerables a una denegación de servicio a través del servidor SSL VPN HTTP. Un atacante tendría que provocar una condición de carrera para poder llevar a cabo el ataque.

Cisco ha puesto a disposición de sus clientes software para solucionar el problema, a través de los canales habituales.

==== 6.- Múltiples vulnerabilidades en PHP 4.4.x y 5.2.x ====
Se han descubierto múltiples vulnerabilidades en PHP de las cuales algunas tienen un impacto desconocido y otras podrían ser aprovechadas por un atacante para obtener acceso a información importante, manipular datos, eludir restricciones de seguridad o causar denegaciones de servicios.

* Un error no especificado en ftp_putcmd podría ser aprovechado por un atacante para inyectar caracteres newline.

* Un error no especificado en import_request_variables podría ser aprovechado por un atacante para sobrescribir variables globales.

* Un error no especificado podría ser aprovechado para causar un desbordamiento de buffer en la función make_http_soap_request.

* Un error no especificado podría ser aprovechado para causar un desbordamiento de búfer en la función user_filter_factory_create.

* Un error no especificado en la librería libxmlrpc podría ser aprovechado por un atacante remoto para causar un desbordamiento de búfer.

* Un error de la validación de la entrada de datos en la función mail permitiría a un atacante inyectar cabeceras a través de los parámetros To y Subject.

* Un error en la función mail permitiría a un atacante truncar mensajes a través de bytes ASCIIZ

* Los mecanismos de protección safe_mode y open_basedir podrían ser eludidos por un atacante a través de los wrappers zip:// y bzip://

* Un desbordamiento de entero en substr_compare podría ser aprovechado por un atacante para leer la memoria más allá de la zona de memoria donde están localizadas las variables de PHP. Esto también afecta a la función substr_count.

* Un error en mb_parse_str podría ser aprovechado por un atacante para activar register_globals.

* Un error en el motor Zend referido a los arrays anidados de variables podría ser aprovechado por un atacante para hacer que una aplicación dejase de funcionar.

Se recomienda otorgar permisos de ejecución de código PHP sólo a usuarios de confianza.

==== 7.- Dos vulnerabilidades en Novell Secure Login 6.x ====
Se han descubierto dos vulnerabilidades en Novell Secure Login (solución single sign-on de Novell) de las cuales una tiene un impacto desconocido y la otra podría ser aprovechada por un atacante para obtener una escalada de privilegios.

* Se ha detectado un error no especificado cuando se cambia la contraseña de Active Directoy.

* Un error en la utilidad ADSCHEMA podría otorgar a los usuarios permisos excesivos.

Estas vulnerabilidades afectan a entornos con Active Directory.

Se ha publicado una solución oficial a estas vulnerabilidades. Se recomienda aplicar el parche 6.0.106. La descarga se encuentra disponible desde:

==== 8.- Siete boletines de seguridad de Microsoft en mayo ====
Tal y como adelantamos, este martes Microsoft ha publicado siete boletines de seguridad (MS07-023 al MS07-029) dentro de su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft todos los boletines presentan un nivel de gravedad “crítico”.

* MS07-023: Evita tres vulnerabilidades en Microsoft Excel que pueden ser explotadas por atacantes remotos para comprometer los sistemas afectados.

* MS07-024: Se trata de una actualización para evitar tres vulnerabilidades en Microsoft Word que podrían permitir a un atacante remoto ejecutar código arbitrario.

* MS07-025: Esta actualización resuelve una vulnerabilidad en Microsoft Office que podría permitir la ejecución remota de código y obtener completo control del sistema.

* MS07-026: Esta actualización resuelve cuatro vulnerabilidades en Microsoft Exchange que pueden permitir a un atacante remoto obtener información sensible, provocar denegaciones de servicio o incluso la ejecución de código arbitrario.

* MS07-027: Actualización acumulativa para Microsoft Internet Explorer que además soluciona cinco nuevas vulnerabilidades que podrían permitir la ejecución remota de código arbitrario. Afecta a Internet Explorer 5.01, 6 y 7.

* MS07-028: En este boletín, de carácter crítico como todos los publicados, se ofrece la resolución para una vulnerabilidad de ejecución remota de código arbitrario en Cryptographic API Component Object Model, CAPICOM. Afecta a Microsoft CAPICOM 1.X y Microsoft BizTalk Server 2004.

* MS07-029: Se trata de la actualización para la vulnerabilidad en la implementación de la interfaz RPC del servidor DNS (Domain Name System) de Windows y que ya ha sido ampliamente analizada en “una-al-día”.

Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible.

==== 11.- Vulnerabilidades en Trend Micro ServerProject 5.x ====
Se han descubierto dos vulnerabilidades en Trend Micro ServerProject
5.58 que podrían ser aprovechadas por un atacante para causar una denegación de servicios o para obtener control total sobre la máquina atacada.

* Un desbordamiento de pila en la función CAgRpcClient::CreateBinding cuando procesa paquetes especialmente manipulados enviados al puerto TCP 5168. Un atacante podría aprovechar esto para hacer que el proceso SpntSvc.exe dejase de funcionar o para ejecutar código arbitrario con privilegios de sistema.

* Un desbordamiento de pila en la función RPCFN_EVENTBACK_Online a la hora de manejar llamadas especialmente manipuladas al puerto TCP 3628.
Un atacante remoto podría hacer que el proceso EarthAgent.exe dejase de funcionar o podría comprometer el sistema.

Estas vulnerabilidades afectan a Trend Micro ServerProtect for Windows
5.58 y anteriores.

Se ha publicado una solución oficial. Se recomienda instalar los siguientes parches:

==== 14.- Actualización para IBM WebSphere Aplication Server 6.x ====
IBM ha publicado una solución para un problema en IBM WebSphere Aplication 6.0.2.

La vulnerabilidad corregida se debe a un error de liberación insegura
(“double-free”) en Java Message Service (JMS) y podría ser aprovechada por un atacante para causar una denegación se servicio o para comprometer un sistema vulnerable.

==== 15.- Varias vulnerabilidades en Nokia Intellisync Mobile Suite ====
Se han descubierto varias vulnerabilidades en Nokia Intellisync Mobile Suite que podría ser aprovechado por un atacante para desvelar información, realizar ataques por cross-site scripting, manipular datos o causar denegaciones de servicio.

* Ciertos scripts ASP de autenticación no son debidamente comprobados.
Un atacante podría aprovechar esta vulnerabilidad para revelar detalles del usuario o deshabilitar cuentas.

* Ciertas entradas de datos pasadas a de/pda/dev_logon.asp, usrmgr/registerAccount.asp, y de/create_account.asp no son debidamente comprobadas antes de ser devueltas al usuario. Un atacante podría aprovechar esto para ejecutar código HTML o scripts arbitrarios en el navegador del usuario atacado.

* Un error de límite en el servidor Apache Tomcat podría ser aprovechado por un atacante para listar directorios y leer el código fuente de ciertos scripts.

Estas vulnerabilidades han sido confirmadas para las versiones 6.4.31.2,
6.6.0.107 y 6.6.2.2 y afecta parcialmente a Nokia Intellisync Wireless Email Express.

Se recomienda actualizar a GSM2

==== 17.- Actualización de Linux Kernel para SuSE Linux 9.x ====
SuSE Linux ha publicado una actualización del Kernel que solventa varios problemas.

* El controlador ftdi_sio permitiría a un atacante local causar una denegación de servicios mediante la escritura por el puerto serie de más datos de los que el hardware puede soportar.

* Múltiples desbordamientos de búfer en la función cmtp_recv_interopmsg del controlador de Bluetooth net/bluetooth/cmtp/capi.c, lo que permitiría a un atacante remoto provocar una denegación de servicio o la ejecución de código arbitrario a través de mensajes CAPI con un valor excesivamente largo para los campos manu (fabricante) o serial (numero de serie).

* La función isdn_ppp_ccp_reset_alloc_state en drivers/isdn/isdn_ppp.c en el Kernel no hace la llamada a la función init_timer para poner a cero el temporizador lo cual podría desembocar en una denegación de servicio.

* Una vulnerabilidad no especificada en listxattr cuando un inodo malo está presente, lo que permitiría a un atacante causar una denegación de servicio y posiblemente una escalada de privilegios.

* Un problema en el protocolo AppleTalk podría permitir a un atacante local causar una denegación de servicio a una máquina de su mismo segmento de red.

* Un atacante local podría provocar una doble liberación de una estructura ipv6 y causar una denegación de servicio.

Se recomienda actualizar a través de las herramientas automáticas YoU (Yast Online Update).

==== 18.- Actualización acumulativa de seguridad para Microsoft Internet Explorer ====
Dentro del conjunto de boletines de mayo publicado esta semana por Microsoft y del que efectuamos un resumen el pasado martes, se cuenta el anuncio (en el boletín MS06-027) de una actualización acumulativa para Internet Explorer, que además solventa un total de cinco nuevas vulnerabilidades descubiertas en las versiones 5.01, 6 y 7 del navegador.

La primera se debe a un problema en la forma en la que Internet Explorer instancia objetos COM que no fueron diseñados para ser instanciados desde este. Un atacante puede aprovechar esto para ejecutar código arbitrario en la máquina de la víctima si esta visita una página web maliciosa especialmente construida a tal efecto.

La segunda se debe a la forma en la que Internet Explorer accede a objetos cuando no han sido aún inicializados o han sido borrados. Un atacante puede explotar esto construyendo una página web maliciosa que, una vez visitada por la víctima, provocará la ejecución de código arbitrario en el sistema de la misma.

La tercera se debe a la forma en la que Internet Explorer trata un método de propiedad. Un atacante puede crear una página maliciosa que, una vez visitada por la víctima, provocará la ejecución de código arbitrario en el sistema de la misma.

La cuarta se debe a una serie de problemas de Internet Explorer a la hora de acceder a memoria sin inicializar en ciertas situaciones. Un atacante puede crear una página maliciosa que, una vez visitada por la víctima, provocará la ejecución de código arbitrario en el sistema de la misma.

Por último, también se ha corregido un problema en un componente de servicio de medios que no era soportado por Internet Explorer. Un atacante puede crear una página maliciosa que, una vez visitada por la víctima, provocará la ejecución de código arbitrario en el sistema de la misma.

==== 20.- Revelación de información del sistema a través de srsexec en Sun Solaris 10 ====
Se ha descubierto una vulnerabilidad en Sun SRS Proxy Core que podría ser aprovechada por un atacante para revelar información importante del sistema.

La vulnerabilidad se debe a un error de diseño en srsexec, que queda instalado con setuid root y no hace una comprobación correcta de los permisos de los archivos de destino. Un atacante podría aprovechar esta vulnerabilidad para revelar la primera línea de ciertos archivos (como
/etc/shadow) con los parámetros –v y –d.

La vulnerabilidad afecta al paquete SUNWsrspx incluido en Sun Solaris 10 y podría ser empleada para obtener el hash de la contraseña de root o cualquier otro tipo de información sensible.

==== 21.- Varias vulnerabilidades en Samba 3.x ====
Se han descubierto varias vulnerabilidades en Samba. Que podrían ser aprovechadas por un atacante para obtener una escalada de privilegios, o para comprometer un sistema vulnerable.

Samba es una implementación Unix “Open Source” del protocolo SMB/NetBIOS, utilizada para la compartición de archivos e impresora en entornos Windows. Gracias a este programa, se puede lograr que máquinas Unix y Windows convivan amigablemente en una red local, compartiendo recursos comunes. Incluso es factible utilizar un servidor Samba para, por ejemplo, actuar como controlador de un dominio Microsoft Windows.

* Un error en smbd a la hora de traducir los SID podría permitir a un atacante realizar operaciones en el protocolo SMB/CIFS con privilegios de root. Para ello el atacante debería tener las credenciales de un usuario.

* Varios errores en el análisis ndr. Un atacante podría aprovechar esto para causar un desbordamiento de heap a través de peticiones ms-rpc especialmente manipuladas y conseguir ejecutar código arbitrario. Para que el ataque tuviese éxito, el atacante debería tener las credenciales de un usuario.

* Un error de entrada al actualizar la contraseña de un usuario. Un atacante podría aprovechar este error para ejecutar comandos shell arbitrarios a través de una llamada ms-rpc especialmente manipulada.
Para que un atacante pudiera aprovechar esto la opción username map script debería estar habilitada en smb.conf, y para que pudiera aprovecharlo a través de un servidor de impresión y archivos, el atacante debería tener las credenciales de un usuario.

==== 22.- Múltiples vulnerabilidades en productos BEA WebLogic ====
Se han anunciado hasta un total de trece vulnerabilidades en productos de la familia BEA WebLogic que pueden permitir a los atacantes evitar comprobaciones de seguridad, descubrir información sensible o provocar denegaciones de servicio.

Entre otros, los problemas se deben a varios errores de validación de entradas, errores en el puerto SSL del servidor WebLogic, un uso incorrecto del nombre de usuario y contraseña definidos en la configuración Bridge-destination o diversos errores en la consola de administración.

Otras vulnerabilidades residen en el comando “configToScript”, en el módulo LDAP, en JMS o en “HttpClusterServlet” y “HttpProxyServlet”.

Se ven afectados los BEA WebLogic Server versiones 9, 8, 7 y 6; BEA WebLogic Portal 9, BEA WebLogic Integration 9 y BEA WebLogic Workshop/Integration 8.

==== 25.- Escalada de privilegios a través de fallos en MySQL 5 y 4 ====
Se han descubierto dos vulnerabilidades en MySQL que podrían ser aprovechadas por un atacante para obtener una escalada de privilegios.

La primera vulnerabilidad se trata de un fallo que permitiría a un usuario sin privilegios DROP renombrar una tabla.

La segunda vulnerabilidad se debe a que las rutinas almacenadas definidas con SQL SECURITY INVOKER no vuelven a establecer los privilegios originales, lo que permitiría a un atacante obtener una escalada de privilegios.

Estas vulnerabilidades han sido resueltas en la versión 5.1.18-beta y será solventada en las versiones 5.0.42 y 4.1.23.

==== 28.- Actualización del Kernel para Red Hat Enterprise Linux v5 ====
Red Hat ha publicado una actualización del kernel para la versión Enterprise Linux 5. Esta actualización solventa varias vulnerabilidades.

* Un error en el manejo de las cabeceras de enrutamiento IPv6 de tipo 0 que podría ser aprovechada por un atacante para causar una denegación de servicio.

* Un error en el módulo nfnetlink_log de netfilter que podría ser aprovechado por un atacante para causar una denegación de servicio.

* Un error en el flujo de la lista de puertos IPv6 a la escucha que podría ser aprovechado por un atacante local para causar una denegación de servicio.

* Un error en el manejo de los mensajes netlink que permitiría a un atacante local provocar una denegación de servicio.

* Un error en el reenvio IPv4 que permitiría a un atacante local tener acceso fuera de los límites establecidos.

* Un error en el módulo nf_conntrack_netfilter para IPv6 que permitiría a un atacante remoto eludir ciertas reglas de netfilter utilizando fragmentos IPv6 especialmente manipulados.

Las actualizaciones se encuentran disponibles en Red Hat Network. Se recomienda actualizar a través de las herramientas automáticas up2date.

==== 29.- Dos vulnerabilidades en tratamiento de imágenes en Sun JDK 1.5.x ====
Se han descubierto varias vulnerabilidades en Sun JDK (Java Development
Kit) que podrían ser aprovechadas por un atacante para provocar una denegación de servicio o para comprometer un sistema afectado.

* Un desbordamiento de enteros en el analizador de los perfiles icc de imágenes jpg y bmp. Un atacante podría aprovechar esto para ejecutar código arbitrario, manipulando una aplicación para que utilice una imagen especialmente manipulada.

* El analizador de ficheros bmp intenta acceder a /dev/tty mientras analiza los ficheros. Un atacante podría aprovechar esto para causar una denegación de servicio haciendo que una aplicación procese un archivo bmp especialmente manipulado.

Estas vulnerabilidades solo afectan a JVM sobre Linux o sistemas operativos Unix y confirmadas en la versión 1.5.01.5.0_07-b03, aunque otras versiones también podrían verse afectadas.