Han publicado múltiples boletines de seguridad por parte de la fundación Mozilla referentes a vulnerabilidades encontradas en diferentes productos de la firma.
Según la propia clasificación de la fundación siete de los boletines han sido clasificados con un impacto crítico, uno de ellos con un impacto alto y dos con un impacto moderado.
Los boletines críticos son:
* MFSA 2011-36: Tres problemas de corrupción de memoria.
* MFSA 2011-37: Desbordamiento de enteros al emplear expresiones JavaScript RegExp (sólo afecta a la rama 3.x).
* MFSA 2011-40: Dos problemas de instalación de software al presionar la tecla "Intro".
* MFSA 2011-41: Dos fallos de potencial ejecución de código a través de WebGL.
* MFSA 2011-42: Un problema de potencial ejecución de código a través de la librería de expresiones regulares YARR.
* MFSA 2011-43: Elevación de privilegios a través de JSSubScriptLoader.
* MFSA 2011-44: Ejecución de código a través de ficheros .ogg.
Los boletines clasificados con un impacto alto son:
* MFSA 2011-38: XSS a través de plugins y objetos "window.location"
Y finalmente los boletines clasificados con un impacto moderado son:
* MFSA 2011-39: Problemas de potencial inyección CRLF a través de cabeceras Location.
* MFSA 2011-45: Captura de pulsaciones a través de "motion data".
Cabe destacar que las vulnerabilidades clasificadas con un impacto crítico permiten a un atacante ejecutar código e instalar software sin requerir la interacción con el usuario.
Los productos afectados han sido principalmente Firefox y el cliente de correo electrónico Thunderbird. Se recomienda la actualización a la última versión de dichos productos.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4723
IBM publicó un Fix Pack para corregir una vulnerabilidad en IBM WebSphere Application Server que permite a un atacante remoto forzar a un administrador a realizar acciones no deseadas en la consola de administración.
IBM WebSphere Application Server (WAS) puede funcionar con diferentes servidores web y sistemas operativos incluyendo Apache HTTP Server, Netscape Enterprise Server, Microsoft Internet Information Services (IIS), IBM HTTP Server en sistemas operativos AIX, Linux, Microsoft, Windows y Solaris.
Afecta a IBM WebSphere Application Server versiones 8.0. La consola de administración de IBM WebSphere Application Server es vulnerable a ataques de Cross-Site Request Forgery (CSRF) o falsificación de petición en sitios cruzados. El servidor no comprueba la procedencia de las peticiones HTTP sobre la interfaz de administración del servidor. Si un administrador con una sesión válida visita una página especialmente manipulada los atacantes pueden ejecutar acciones con privilegio de administrador sobre el servidor.
Para corregir este problema se ha publicado el Fix Pack 1 (APAR PM36734) para IBM WebSphere Application Server V8.0 (8.0.0.1) disponible desde http://www-01.ibm.com/support/docview.wss?uid=swg27022958
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4721
El sitio MySQL.com fue comprometido y modificado para intentar infectar con malware a los visitantes, esto a través de un iframe en la página, se redirige a otra URL que acaba en un exploit pack llamado BlackHole. Esto es un kit conocido que permite servir diferentes exploits según las características del visitante para poder aprovechar vulnerabilidades de su navegador, Java o Flash.
Brian Krebs encontró el 21 de septiembre en un foro un mensaje de un supuesto atacante ruso que mostraba haber tenido acceso a MySQL.com y poseer la contraseña de root. La vendía por 3.000 dólares. Actualmente el link del foro ha sido borrado. El atacante se podía contactar en la dirección sourcec0de@neko.im. Él mismo vendedor reconocía que, con 40.000 visitas diarias, MySQL.com era un excelente punto donde colocar un exploit kit.
Armorize publicó un video en YouTube donde se muestra qué ocurría al visitar MySQL.com cuando estaba infectado, disponible desde: http://www.youtube.com/watch?v=J7prODlHniU
Todavía quedan dudas por resolver con respecto al compromiso. No existen datos oficiales sobre el tiempo que ha estado comprometido el sistema y cómo ha ocurrido. En estos parece que la página opera correctamente.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4720
Han hecho pública una vulnerabilidad que afecta al producto NetworkManager que permite a un atacante local elevar privilegios en el sistema.
NetworkManager es un grupo de utilidades destinadas a simplificar la configuración de redes WIFI, Ethernet, 3G, o bluetooth disponible para Linux.
La vulnerabilidad reportada por Matt McCutchen, se encuentra en el plug-in 'ifcfg-rh', más concretamente en el archivo
'src/settings/plugins/ifcfg-rh/shvar.c' al no realizar correctamente la validación de los datos introducidos por el usuario. El atacante podría elevar privilegios a través de la creación de un nombre de conexión especialmente manipulado.
Los pasos a seguir para explotar la vulnerabilidad, como usuario sin privilegios, serían los siguientes:
* Crear una conexión ethernet con nombre, por ejemplo, "test".
* Cambiar el nombre a "test\nUSERCTL=true\n/bin/bash" donde '\n' se refiere a una nueva línea introducida a través de Ctrl+Shift+U, A.
* Introducir el comando "usernetctl test up"
Nos devuelve una shell con privilegios root.
Las versiones afectadas son la NetworkManager-0.9.0-1.fc15 y anteriores.
Red Hat recomienda la actualización del software.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4719
Han detectado vulnerabilidades en AWStats 6.95 y 7.0 que permiten a un atacante remoto realizar diferentes tipos de ataques.
AWStats es una herramienta open source para la realización de informes de los accesos a servidores web, streaming, mail y FTP, y mostrar los resultados en formato HTML. Los informes resultantes presentan la información en tablas y gráficos de barra.
Se han detectado diversas vulnerabilidades en el script Advanced Web Redirector (awredir.pl) al no validar correctamente los datos introducidos a través de los parámetros "url" y "key". Los problemas permitirían a un atacante remoto realizar ataques de cross-site scripting, inyección SQL o inyección CRLF.
No existe una actualización disponible, por lo que las medidas recomendadas pasan por valorar el uso del script afectado y restringir su uso; o editar el código fuente para que las entradas afectadas sean adecuadamente tratadas.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4717
Adobe publicó una actualización de seguridad destinada a corregir seis vulnerabilidades críticas en Adobe Flash Player versión 10.3.183.7 y anteriores para Windows, Macintosh, Linux y Solaris, y Adobe Flash Player 10.3.186.6 y versiones anteriores para Android.
Las vulnerabilidades, con identificadores CVE-2011-2426, CVE-2011-2427, CVE-2011-2428, CVE-2011-2429, CVE-2011-2430 y CVE-2011-2444, permiten a un atacante provocar la caída del sistema e incluso llegar a tomar el control de los sistemas afectados.
Según confirma Adobe, al menos una de las vulnerabilidades, se está explotando activamente en ataques dirigidos a través de correos electrónicos.
Las vulnerabilidades se encuentran relacionadas con problemas de cross-site scripting, desbordamientos de pila en AVM (ActionScript Virtual Machine), errores lógicos y evasión de controles de seguridad.
Adobe recomienda a los usuarios de Adobe Flash Player para Windows, Macintosh, Linux y Solaris la actualización a la versión 10.3.183.10 disponible en http://get.adobe.com/flashplayer/ o desde la opción de actualización automática.
Los usuarios de Adobe Flash Player 10.3.186.6 para Android actualizar a la versión 10.3.186.7 desde Android Market: https://market.android.com/details?id=com.adobe.flashplayer&hl=en
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4716
A finales de agosto se descubrió una vulnerabilidad de denegación de servicio en el servidor httpd de Apache y vimos como de inmediato todas las firmas que lo utilizaban actualizaban sus sistemas. Oracle lo ha tomado en cuenta después de 20 días de espera y finalmente ha publicado un parche crítico para actualizar las ediciones de Oracle Fusion Middleware y Application Server que se sirven internamente de este servidor.
Esta es la quinta vez desde 2005 que se publica un parche fuera de los periodos oficiales de actualización de Oracle. La gravedad de la misma lo explica todo.
Oracle Fusion Middleware y su componente Oracle Applicaction Server ofrecen un conjunto de aplicaciones y soluciones de desarrollo, implementación y gestión integrado para empresas basados en la arquitectura SOA.
La vulnerabilidad CVE-2011-3192 se caracterizaba por una denegación de servicio a través del envío de peticiones Range especialmente manipuladas que originan un consumo excesivo de memoria en el módulo 'mod_deflate'.
Las versiones afectadas son las siguientes:
* Oracle Fusion Middleware 11g Release 1, versiones 11.1.1.3.0, 11.1.1.4.0, 11.1.1.5.0
* Oracle Application Server 10g Release 3, versiones 10.1.3.5.0 (solamente si Oracle HTTP Server 10g basada en Apache 2.0 ha sido instalado desde el CD Application Server Companion).
* Oracle Application Server 10g Release 2, versión 10.1.2.3.0 (solamente si Oracle HTTP Server 10g basada en Apache 2.0 ha sido instalado desde el CD Application Server Companion).
Desde Oracle se recomienda la aplicación urgente de ésta actualización.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4715
El pasado martes Adobe publicó un boletín de seguridad (APSB11-24) avisando de 13 vulnerabilidades que afectan a Adobe Reader y Acrobat en sus versiones 10, 9 y 8 para Windows, Mac y UNIX.
Todas ellas son calificadas como críticas, caracterizadas por elevaciones de privilegios y ejecución de código. Los CVE asignados son: CVE-2011-1353, CVE-2011-2431, CVE-2011-2432, CVE-2011-2433, CVE-2011-2434, CVE-2011-2435, CVE-2011-2436, CVE-2011-2437, CVE-2011-2438, CVE-2011-2439, CVE-2011-2440, CVE-2011-2441, CVE-2011-2442.
La más significativa es la vulnerabilidad CVE-2011-1353 que sólo afecta a la versión de Adobe Reader X de Windows, permitiendo elevación de privilegios al evadir la propia sandbox incorporada en Adobe Reader X desde dentro: gracias a ciertas reglas de seguridad preestablecidas, un pdf especialmente manipulado consege saltarse el modo protegido y desactivarlo por completo.
Las versiones afectadas son las siguientes:
* Adobe Reader y Acrobat X (10.1) y anteriores versiones para Windows y Macintosh
* Adobe Reader y Acrobat 9.4.5 y anteriores versiones para Windows y Macintosh y UNIX.
* Adobe Reader y Acrobat 8.3 y anteriores versiones para Windows y Macintosh.
Se recomienda actualizar estas versiones lo antes posible con las últimas actualizaciones disponibles: 10.1.1, 9.4.6 y 8.3.1 respectivamente.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4712
Existe un error al filtrar el contenido accesible por un usuario no autenticado en BlueCoat Reporter 9.x. Esto permite acceder a cualquier archivo del sistema a través de HTTP, mediante la modificación de la URL.
BlueCoat Reporter es un software que permite obtener reportes de la actividad de red detectada por otros programas como ProxySG o MACH5.
Un atacante remoto puede usar esta vulnerabilidad para acceder a datos confidenciales fuera del entorno web, y solo afecta cuando el programa está alojado en sistemas Windows.
Por el momento solo está disponible el parche para la versión 9.3. BluCoat otorga una criticidad máxima a esta vulnerabilidad si el producto se encuentra disponible en una red pública sin protección.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4707
Después de que los servidores de kernel.org se viesen comprometidos, la Linux.com detectó brechas de seguridad en sus propios servidores posiblemente relacionadas con los sufridos en agosto por el repositorio del núcleo. Debido a esto, las infraestructuras de Linux Foundation se encuentran en estado de mantenimiento con objeto de mejorar y fortalecer la seguridad en sus servidores.
Linux Foundation es un consorcio sin fines de lucro creado en 2007 de la unión de Open Source Development Labs (OSDL) y Free Standards Group (FSG) con el objetivo de fomentar el crecimiento del sistema operativo GNU/Linux. Promociona, protege y estandariza los recursos y servicios necesarios para que el software libre pueda competir con plataformas cerradas.
En estos momentos y desde el día 8, al visitar los sitios web LinuxFoundation.org, Linux.com, y sus correspondientes subdominios se puede observar un mensaje que informa del mantenimiento que se está llevando a cabo. Además se invita a los usuarios a cambiar las contraseñas y claves SSH que hayan utilizado en estos sitios comprometidos, así como aquellas contraseñas que sean reutilizadas en sitios ajenos a ellos por motivos de seguridad.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4706
Han publicado la versión 1.0.0e de OpenSSL que soluciona dos vulnerabilidades.
OpenSSL es un proyecto pensado en desarrollar una implementación robusta del Protocolo de Capa de Conexión Segura (SSL v2/v3), de los protocolos de seguridad en la capa de transporte (TLS v1) así como de una librería criptográfica de propósito general.
La primera de las vulnerabilidades corregidas, identificada como CVE-2011-3207, es un error al validar CRL. Esta falla permite a un atacante validar como correcto un certificado especialmente diseñado, por ejemplo haciendo uso de X509_V_FLAG_CRL_CHECK o X509_V_FLAG_CRL_CHECK_ALL.
La segunda falla solucionada es un error en 'ephemeral ECDH ciphersuites', que permite provocar una denegación de servicio a través de peticiones en un orden incorrecto. Como contramedida se puede desactivar 'ephemeral ECDH ciphersuites'. Esta falla se ha identificado con el CVE-2011-3210.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4705
Existe una falla en Novell Cloud Manager y PlateSpin Orchestrate que permite a un atacante remoto no autenticado causar una denegación de servicio y ejecutar código arbitrario con los permisos del contexto sobre el que esté funcionando el servicio explotado.
La falla se encuentra en la implementación de los métodos RPC. Al no realizar una validación suficiente de los datos suministrados por el usuario, proceden a la creación de una sesión parcialmente inicializada. Esta sesión es la que permitirá realizar llamadas RPC privilegiadas en el servidor, y por lo tanto, ejecutar código arbitrario en el contexto sobre el que esté funcionando el servicio explotado. No se han dado más detalles de dicha vulnerabilidad.
Las versiones afectadas son Novell Cloud Manager 1.1.x y PlateSpin Orchestrate 2.6.0, para las cuales ya ha puesto a disposición un parche que solventa esta vulnerabilidad. El CVE asignado a esta vulnerabilidad es el CVE-2011-2654.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4700
Han publicado una nueva versión del navegador Opera que solventa una falla que permite a una página sin conexión SSL mostrarse como si estuviera protegida por ese protocolo. Se engaña así a los usuarios que acceden a ella.
En principio, una página que no se encuentre bajo una conexión segura (SSL) debería ser mostrada como tal, sin ninguna notificación en la barra de navegación. Esta falla permite que una página web sin conexión SSL, fuese mostrada como "segura". Esto se consigue a través de una página web especialmente manipulada que sí cargaba contenido SSL, del que se mostrada la información de seguridad en la barra de direcciones de la web principal. No han trascendido más detalles de cómo se consigue explotar esta vulnerabilidad.
La última versión del navegador (Opera 11.51) soluciona esta falla junto con otra vulnerabilidad de severidad baja, descubierta y reportada por Thai Duong y Juliano Rizzo, de la que no se ha dado ningún detalle hasta la fecha. Con respecto a los certificados fraudulentos emitidos por DigiNotar, no ha sido necesaria una actualización del navegador por el propio funcionamiento de Opera al comprobar las listas de revocación.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4696
Kernel.org anunció que el día 28 de agosto descubrieron que alguien había conseguido ser root en sus servidores. Al parecer el código del Kernel no se ha visto alterado, aunque tienen que comprobarlo. El servidor parecía llevar comprometido dos semanas.
Atacantes han llegado a tener acceso root a ciertos servidores, uno de ellos Hera. Quizás pudieron hacerse con las credenciales de algún usuario y luego conseguir root. Con estos privilegios, modificaron archivos del servidor OpenSSH ejecutándose en esa máquina y añadieron un troyano para que se lanzase en el inicio de sistema. La organización de Kernel.org han registrado todos los movimientos de los usuarios y los están investigando, además de reinstalar, avisar a las autoridades, analizando código... y todos los pasos necesarios en estos casos. Entre ellos, modificar las credenciales de los 448 usuarios de kernel.org e incluso eliminar por precaución algunos paquetes de los servidores.
Aseguran que es muy complicado que se haya modificado alguno de los más de 40.000 archivos que componen el Kernel en sí, debido a la naturaleza istribuida del Git. Además el sistema de integridad SHA1 utilizado, hace que cualquier modificación pueda ser detectada por cualquier desarrollador al actualizar de los repositorios.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4695
