Buscar este blog
lunes, 12 de noviembre de 2012
miércoles, 1 de agosto de 2012
Múltiples vulnerabilidades en Sybase Adaptive Server Enterprise
Confirmaron la existencia de múltiples vulnerabilidades en Sybase Adaptive Server Enterprise 15.x bajo plataforma Windows, que permiten a un atacante evitar restricciones de seguridad, elevar sus privilegios o comprometer los sistemas afectados.
Sybase Adaptive Server Enterprise (ASE) es un sistema de administración de bases de datos relacionales de alto rendimiento para entornos de uso intensivo. Permite cifrado, virtualización o compresión de datos.
Las fallas están relacionadas con varios problemas de elevación de roles al crear tablas proxy, índices, etcétera; además de numerosos problemas con los métodos Java.
También se dio a conocer que puede sufrir un problema de denegación de servicio.
Se recomienda aplicar el último EBF, como indica el aviso publicado por Sybase. http://www.sybase.com/detail?id=1098877
Si quieren más información pueden visitar: http://unaaldia.hispasec.com/2012/07/multiples-vulnerabilidades-en-sybase.html
Sybase Adaptive Server Enterprise (ASE) es un sistema de administración de bases de datos relacionales de alto rendimiento para entornos de uso intensivo. Permite cifrado, virtualización o compresión de datos.
Las fallas están relacionadas con varios problemas de elevación de roles al crear tablas proxy, índices, etcétera; además de numerosos problemas con los métodos Java.
También se dio a conocer que puede sufrir un problema de denegación de servicio.
Se recomienda aplicar el último EBF, como indica el aviso publicado por Sybase. http://www.sybase.com/detail?id=1098877
Si quieren más información pueden visitar: http://unaaldia.hispasec.com/2012/07/multiples-vulnerabilidades-en-sybase.html
Revelación de información sensible en Bugzilla
Frédéric Buclin y Byron Jones descubrieron dos vulnerabilidades que afectan a Bugzilla y que son debidas a errores de falta de comprobación de permisos.
Bugzilla es una herramienta de seguimiento de errores de código abierto muy utilizada por empresas de desarrollo de software para sus proyectos. Además de la gestión de fallas y vulnerabilidades también permite determinar la prioridad y severidad de las mismas, agregar comentarios, propuestas de solución, designar responsables para cada una, enviar mensajes de correo para informar de un error, etcétera.
* La primera se produce al tener en cuenta los permisos del remitente pero no los del destinatario de un 'bugmail' (email en formato HTML referente a una incidencia o bug). En ese correo se incluyen enlaces a los identificadores de las incidencias y de los adjuntos, además de un resumen de ellos si el que envía tiene permisos para verlos. De esta manera, información reservada puede ser revelada al destinatario del correo aunque éste disfrute de menos permisos que el remitente. Esta vulnerabilidad fue identificada como CVE-2012-1968 y afecta a las ramas 4.x de Bugzilla.
* La otra vulnerabilidad sucede cuando un usuario que tiene permisos para ver un archivo adjunto privado, menciona dicho adjunto en el comentario público de una incidencia. El error se encuentra en la función 'get_attachment_link' que no valida los permisos de los usuarios para mostrar la descripción del adjunto. El identificador CVE-2012-1969 se ha asignado a esta vulnerabilidad que afecta a las versiones 2.x, 3.x, y 4.x.
Se encuentran para su descarga las versiones 3.6.10, 4.0.7, 4.2.2 y 4.3.2 que solucionan estas vulnerabilidades.
Si quieren más información pueden visitar: http://unaaldia.hispasec.com/2012/07/revelacion-de-informacion-sensible-en.html
Bugzilla es una herramienta de seguimiento de errores de código abierto muy utilizada por empresas de desarrollo de software para sus proyectos. Además de la gestión de fallas y vulnerabilidades también permite determinar la prioridad y severidad de las mismas, agregar comentarios, propuestas de solución, designar responsables para cada una, enviar mensajes de correo para informar de un error, etcétera.
* La primera se produce al tener en cuenta los permisos del remitente pero no los del destinatario de un 'bugmail' (email en formato HTML referente a una incidencia o bug). En ese correo se incluyen enlaces a los identificadores de las incidencias y de los adjuntos, además de un resumen de ellos si el que envía tiene permisos para verlos. De esta manera, información reservada puede ser revelada al destinatario del correo aunque éste disfrute de menos permisos que el remitente. Esta vulnerabilidad fue identificada como CVE-2012-1968 y afecta a las ramas 4.x de Bugzilla.
* La otra vulnerabilidad sucede cuando un usuario que tiene permisos para ver un archivo adjunto privado, menciona dicho adjunto en el comentario público de una incidencia. El error se encuentra en la función 'get_attachment_link' que no valida los permisos de los usuarios para mostrar la descripción del adjunto. El identificador CVE-2012-1969 se ha asignado a esta vulnerabilidad que afecta a las versiones 2.x, 3.x, y 4.x.
Se encuentran para su descarga las versiones 3.6.10, 4.0.7, 4.2.2 y 4.3.2 que solucionan estas vulnerabilidades.
Si quieren más información pueden visitar: http://unaaldia.hispasec.com/2012/07/revelacion-de-informacion-sensible-en.html
viernes, 27 de julio de 2012
Solucionadas dos vulnerabilidades en BIND 9
ISC confirmó dos vulnerabilidades que afectan a BIND 9 y que permite a un atacante remoto causar condiciones de denegación de servicio.
BIND (Berkeley Internet Name Domain) es el software para gestión del protocolo DNS más utilizado en Internet gracias a su compatibilidad con los estándares de este protocolo.
El primero de los problemas, con CVE-2012-3817, solamente afecta a sistemas configurados con validación DNSSEC. BIND almacena una caché con los nombres de las consultas que sabe que están fallando debido a una mala configuración de los servidores o a una rotura de la cadena de confianza. Bajo grandes cargas de consultas cuando la validación DNSSEC está activa, es posible provocar una condición en que se usen los datos de esta caché de consultas fallidas antes de que esté totalmente inicializada, provocando un error de aserción. Afecta a las versiones 9.6-ESV-R1 hasta 9.6-ESV-R7-P1; 9.7.1 hasta 9.7.6-P1; 9.8.0 hasta 9.8.3-P1; 9.9.0 hasta 9.9.1-P1. Las versiones de BIND 9.4 y 9.5 también se ven afectadas, pero estas ramas están fuera del soporte y no se van a publicar actualizaciones de seguridad.
El problema con CVE-2012-3868 afecta a las versiones 9.9.0 hasta 9.9.1-P1. BIND realiza el seguimiento de las consultas entrantes a través de una estructura llamada "ns_client". Cuando se ha respondido una consulta y la estructura "ns_client" ya no es necesaria, se almacena en una cola de "ns_client" inactivos. Cuando se necesita un nuevo "ns_client" para una nueva consulta, se comprueba la cola para ver si hay disponible algún "ns_client" inactivo antes de asignar uno nuevo. Esto acelera el sistema, evitando asignaciones y desasignaciones de memoria innecesarias. Sin embargo, cuando la cola está vacía, y un hilo inserta un "ns_client" en ella mientras otro hilo intenta eliminarlo, una condición de carrera podría provocar la pérdida del "ns_client", ya que la cola puede parecer vacía. En este caso, se asigna en memoria un nuevo "ns_client". Es raro que se produzca esta condición con consultas UDP, pero puede ser bastante frecuente con altas cargas de consultas TCP; con el tiempo, el número de asignaciones erróneas de "ns_client" puede ser suficientemente grande para afectar el rendimiento del sistema. Incluso, puede provocar un cierre automático del proceso named en sistemas con mecanismo "OOM (out-of-memory) Killer".
Se recomienda actualizar a las versiones más recientes de BIND 9 versión 9.9.1-P2, versión 9.8.3-P2, versión 9.7.6-P2 o versión 9.6-ESV-R7-P2 disponibles desde: http://www.isc.org/downloads/all
Si quieren más información pueden visitar: http://unaaldia.hispasec.com/2012/07/solucionadas-dos-vulnerabilidades-en.html
BIND (Berkeley Internet Name Domain) es el software para gestión del protocolo DNS más utilizado en Internet gracias a su compatibilidad con los estándares de este protocolo.
El primero de los problemas, con CVE-2012-3817, solamente afecta a sistemas configurados con validación DNSSEC. BIND almacena una caché con los nombres de las consultas que sabe que están fallando debido a una mala configuración de los servidores o a una rotura de la cadena de confianza. Bajo grandes cargas de consultas cuando la validación DNSSEC está activa, es posible provocar una condición en que se usen los datos de esta caché de consultas fallidas antes de que esté totalmente inicializada, provocando un error de aserción. Afecta a las versiones 9.6-ESV-R1 hasta 9.6-ESV-R7-P1; 9.7.1 hasta 9.7.6-P1; 9.8.0 hasta 9.8.3-P1; 9.9.0 hasta 9.9.1-P1. Las versiones de BIND 9.4 y 9.5 también se ven afectadas, pero estas ramas están fuera del soporte y no se van a publicar actualizaciones de seguridad.
El problema con CVE-2012-3868 afecta a las versiones 9.9.0 hasta 9.9.1-P1. BIND realiza el seguimiento de las consultas entrantes a través de una estructura llamada "ns_client". Cuando se ha respondido una consulta y la estructura "ns_client" ya no es necesaria, se almacena en una cola de "ns_client" inactivos. Cuando se necesita un nuevo "ns_client" para una nueva consulta, se comprueba la cola para ver si hay disponible algún "ns_client" inactivo antes de asignar uno nuevo. Esto acelera el sistema, evitando asignaciones y desasignaciones de memoria innecesarias. Sin embargo, cuando la cola está vacía, y un hilo inserta un "ns_client" en ella mientras otro hilo intenta eliminarlo, una condición de carrera podría provocar la pérdida del "ns_client", ya que la cola puede parecer vacía. En este caso, se asigna en memoria un nuevo "ns_client". Es raro que se produzca esta condición con consultas UDP, pero puede ser bastante frecuente con altas cargas de consultas TCP; con el tiempo, el número de asignaciones erróneas de "ns_client" puede ser suficientemente grande para afectar el rendimiento del sistema. Incluso, puede provocar un cierre automático del proceso named en sistemas con mecanismo "OOM (out-of-memory) Killer".
Se recomienda actualizar a las versiones más recientes de BIND 9 versión 9.9.1-P2, versión 9.8.3-P2, versión 9.7.6-P2 o versión 9.6-ESV-R7-P2 disponibles desde: http://www.isc.org/downloads/all
Si quieren más información pueden visitar: http://unaaldia.hispasec.com/2012/07/solucionadas-dos-vulnerabilidades-en.html
miércoles, 30 de mayo de 2012
Solucionadas dos vulnerabilidades en Asterisk
Corrigieron dos vulnerabilidades en Asterisk, en sus versiones 1.8.x y 10.x, que permiten a atacantes remotos provocar denegaciones de servicio.
Asterisk es una implementación de una central telefónica (PBX) de código abierto. Se pueden conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el exterior. Asterisk es ampliamente utilizado e incluye un gran número de características: buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. Además el software creado por Digium está disponible para plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows.
La primera de las vulnerabilidades, con identificador AST-2012-007 (CVE-2012-2947), está basada en el controlador de canal "IAX2". Un atacante remoto puede forzar a la aplicación a intentar usar un puntero no válido pudiendo hacer que dejase de funcionar. Esta vulnerabilidad fue reportada en marzo de 2012.
La segunda (CVE-2012-2948), trata de un error de referencia a puntero nulo en el controlador de canal "SCCP" que, usado por un atacante remoto, causaría que el servicio dejase de estar disponible para los usuarios legítimos. Esta fue reportada el 22 de mayo.
Las vulnerabilidades se corrigen en las versiones 1.8.12.1 y 10.4.1 publicadas en los boletines AST-2012-007 y AST-2012-008.
Si quieren más información pueden visitar: http://unaaldia.hispasec.com/2012/05/solucionadas-dos-vulnerabilidades-en.html
Asterisk es una implementación de una central telefónica (PBX) de código abierto. Se pueden conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el exterior. Asterisk es ampliamente utilizado e incluye un gran número de características: buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. Además el software creado por Digium está disponible para plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows.
La primera de las vulnerabilidades, con identificador AST-2012-007 (CVE-2012-2947), está basada en el controlador de canal "IAX2". Un atacante remoto puede forzar a la aplicación a intentar usar un puntero no válido pudiendo hacer que dejase de funcionar. Esta vulnerabilidad fue reportada en marzo de 2012.
La segunda (CVE-2012-2948), trata de un error de referencia a puntero nulo en el controlador de canal "SCCP" que, usado por un atacante remoto, causaría que el servicio dejase de estar disponible para los usuarios legítimos. Esta fue reportada el 22 de mayo.
Las vulnerabilidades se corrigen en las versiones 1.8.12.1 y 10.4.1 publicadas en los boletines AST-2012-007 y AST-2012-008.
Si quieren más información pueden visitar: http://unaaldia.hispasec.com/2012/05/solucionadas-dos-vulnerabilidades-en.html
lunes, 28 de mayo de 2012
Múltiples vulnerabilidades en Wireshark
Wireshark publicó tres boletines de seguridad informando de múltiples vulnerabilidades que afectan a las ramas 1.4.x y 1.6.x.
Wireshark es una aplicación de auditoría orientada al análisis de tráfico en redes. Su popularidad es muy alta, debido a que soporta una gran cantidad de protocolos y es de fácil manejo. Además Wireshark es software libre y se ejecuta sobre la mayoría de sistemas operativos Unix y compatibles, así como en Microsoft Windows.
Las tres vulnerabilidades publicadas tienen denegación de servicio y como vector el uso de un paquete de trazas especialmente manipulado:
* wnpa-sec-2012-08: Varios disectores ('ANSI MAP', 'ASF', 'BACapp', 'Bluetooth' 'HCI', 'IEEE 802.11', 'IEEE 802.3', 'HTP' y 'R3') pueden provocar que la aplicación entre en un bucle infinito o lo suficientemente largo como para afectar a la disponibilidad de la aplicación.
* wnpa-sec-2012-09: La aplicación se puede cerrar de forma inesperada debido a un error en la asignación de memoria en el disector "DIAMETER".
* wnpa-sec-2012-10: Debido a un error en el manejo de memoria en los procesos "SPARC" y "Itanium" la aplicación dejaría de funcionar.
Estas vulnerabilidades se han solucionado en las versiones 1.4.13 y 1.6.8. Ambas pueden ser descargadas desde: http://www.wireshark.org/download.html
Si quieren más información pueden visitar: http://unaaldia.hispasec.com/2012/05/multiples-vulnerabilidades-en-wireshark.html
Wireshark es una aplicación de auditoría orientada al análisis de tráfico en redes. Su popularidad es muy alta, debido a que soporta una gran cantidad de protocolos y es de fácil manejo. Además Wireshark es software libre y se ejecuta sobre la mayoría de sistemas operativos Unix y compatibles, así como en Microsoft Windows.
Las tres vulnerabilidades publicadas tienen denegación de servicio y como vector el uso de un paquete de trazas especialmente manipulado:
* wnpa-sec-2012-08: Varios disectores ('ANSI MAP', 'ASF', 'BACapp', 'Bluetooth' 'HCI', 'IEEE 802.11', 'IEEE 802.3', 'HTP' y 'R3') pueden provocar que la aplicación entre en un bucle infinito o lo suficientemente largo como para afectar a la disponibilidad de la aplicación.
* wnpa-sec-2012-09: La aplicación se puede cerrar de forma inesperada debido a un error en la asignación de memoria en el disector "DIAMETER".
* wnpa-sec-2012-10: Debido a un error en el manejo de memoria en los procesos "SPARC" y "Itanium" la aplicación dejaría de funcionar.
Estas vulnerabilidades se han solucionado en las versiones 1.4.13 y 1.6.8. Ambas pueden ser descargadas desde: http://www.wireshark.org/download.html
Si quieren más información pueden visitar: http://unaaldia.hispasec.com/2012/05/multiples-vulnerabilidades-en-wireshark.html
miércoles, 23 de mayo de 2012
Nuevas versiones de SpyEye graban imágenes de sus víctimas
Dmitry Tarakanov de Kaspersky descubrió un nuevo plugin para SpyEye (una de las familias de troyanos bancarios más utilizados) que permite grabar a través de la cámara de la computadora imágenes del usuario mientras
está siendo robado por el troyano.
Existen alrededor de 40 plugins diferentes para la rama 1.3 de SpyEye, que es la más utilizada. Uno de los últimos detectados se denomina "flashcamcontrol.dll". Esta librería modifica los permisos de FlashPlayer para permitir a los documentos flash descargados desde cualquier página web, la grabación con la cámara y el micrófono sin pedir permiso al usuario.
Una vez infectado, cuando la víctima visita la página de su banco, descarga un archivo swf (flash) desde un punto controlado por el atacante y se inyecta en la web legítima del banco. Este archivo comenzará la grabación, enviándola a un servidor remoto a través del protocolo Real Time Messaging Protocol (rmpt). En realidad el atacante se asegura de que puede grabar con la cámara con otro archivo adicional llamado "camara_test.sfw", que pregunta al usuario por otra cámara cuando no puede grabar a través de la definida por defecto.
¿Por qué grabar al usuario?
Tarakanov se plantea la utilidad de grabar al cliente mientras está siendo robado. La mayoría de los bancos piden al usuario un dato adicional de autenticación cuando realizan una transacción, ya sea un código de una tarjeta de coordenadas o el código devuelto en forma de SMS por el banco. Los troyanos han solucionado este "problema" bien modificando la página web que la víctima "ve" en su navegador para que requiera todas las coordenadas de la tarjeta, bien infectando también el celular. La última modalidad, la "transferencia ficticia" implica que al usuario se le indica que debe hacer una transferencia de prueba usando el código que el banco le enviará al teléfono. En este esquema, es en realidad la víctima la que está realizando una transferencia al atacante sin que lo sepa, a través de una interfaz simulada. Por tanto, Tarakanov afirma que se desea estudiar cómo reacciona el usuario ante este esquema de ingeniería social.
Lo interesante es que SpyEye sigue activo, desarrollándose y buscando nuevas vías con las que eludir los avances técnicos de autenticación de la banca electrónica. Ante la mejora de los dos factores de autenticación, a los atacantes les queda sobre todo trabajar en la ingeniería social, y este módulo puede que vaya encaminado hacia ese objetivo.
Si quieren más información pueden visitar: http://unaaldia.hispasec.com/2012/05/nuevas-versiones-de-spyeye-graban.html
está siendo robado por el troyano.
Existen alrededor de 40 plugins diferentes para la rama 1.3 de SpyEye, que es la más utilizada. Uno de los últimos detectados se denomina "flashcamcontrol.dll". Esta librería modifica los permisos de FlashPlayer para permitir a los documentos flash descargados desde cualquier página web, la grabación con la cámara y el micrófono sin pedir permiso al usuario.
Una vez infectado, cuando la víctima visita la página de su banco, descarga un archivo swf (flash) desde un punto controlado por el atacante y se inyecta en la web legítima del banco. Este archivo comenzará la grabación, enviándola a un servidor remoto a través del protocolo Real Time Messaging Protocol (rmpt). En realidad el atacante se asegura de que puede grabar con la cámara con otro archivo adicional llamado "camara_test.sfw", que pregunta al usuario por otra cámara cuando no puede grabar a través de la definida por defecto.
¿Por qué grabar al usuario?
Tarakanov se plantea la utilidad de grabar al cliente mientras está siendo robado. La mayoría de los bancos piden al usuario un dato adicional de autenticación cuando realizan una transacción, ya sea un código de una tarjeta de coordenadas o el código devuelto en forma de SMS por el banco. Los troyanos han solucionado este "problema" bien modificando la página web que la víctima "ve" en su navegador para que requiera todas las coordenadas de la tarjeta, bien infectando también el celular. La última modalidad, la "transferencia ficticia" implica que al usuario se le indica que debe hacer una transferencia de prueba usando el código que el banco le enviará al teléfono. En este esquema, es en realidad la víctima la que está realizando una transferencia al atacante sin que lo sepa, a través de una interfaz simulada. Por tanto, Tarakanov afirma que se desea estudiar cómo reacciona el usuario ante este esquema de ingeniería social.
Lo interesante es que SpyEye sigue activo, desarrollándose y buscando nuevas vías con las que eludir los avances técnicos de autenticación de la banca electrónica. Ante la mejora de los dos factores de autenticación, a los atacantes les queda sobre todo trabajar en la ingeniería social, y este módulo puede que vaya encaminado hacia ese objetivo.
Si quieren más información pueden visitar: http://unaaldia.hispasec.com/2012/05/nuevas-versiones-de-spyeye-graban.html
Suscribirse a:
Entradas (Atom)