Cisco publicó cinco boletines de seguridad que solventan diversas vulnerabilidades, se encuentran dos escaladas de directorios, dos ejecuciones de código y una denegación de servicio.
Los productos afectados son:
* Cisco Unified Contact Center Express: Permite a un usuario remoto no autenticado obtener archivos a través de una URL especialmente manipulada mediante una escalada de directorios. (CVE-2011-3315)
* Cisco Security Agent: La falla provoca una ejecución de código arbitrario, esto se debe a dos vulnerabilidades de software externo a Cisco, presentes en la librería 'Oracle Outside In' utilizada por Cisco Security Agent. (CVE-2011-0794 y CVE-2011-0808)
* Cisco Video Surveillance IP Cameras: Una denegación de servicio causada por el envío de paquetes RTSP TCP especialmente manipulados, hace que las cámaras dejen de emitir las imágenes grabadas y procedan a reiniciarse. (CVE-2011-3318)
* Cisco WebEx Player: Varios desbordamientos de memoria intermedia en el reproductor Cisco WebEx Recording Format (WRF), pueden permitir que un atacante remoto ejecute código arbitrario con los permisos del usuario afectado. (CVE-2011-3319 y CVE-2011-4004)
* Cisco Unified Communications Manager: El componente de procesamiento de llamadas IP de Cisto también se ve afectado por una falla que permite la revelación, a través de una escalada de directorios, del contenido de archivos que en no deberían ser accesibles desde el exterior del sistema. (CVE-2011-3315)
Junto con los boletines de seguridad, Cisco también publicó las correspondientes actualizaciones que solventan todas las vulnerabilidades comentadas.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4751
Una falla en los Ipad 2 que dispongan de Smart Cover, permite evadir la contraseña de bloqueo y acceder a las aplicaciones del dispositivo.
Smart Cover es un accesorio exclusivo de Ipad2 entre cuyas propiedades se encuentran la posibilidad de activar el dispositivo estando en standby sin necesidad de apretar el botón de encendido.
La falla encontrada, permite a un atacante con acceso físico al aparato, acceder sin necesidad de teclear la contraseña. Parece que el atacante no tiene acceso completo, sino que solamente puede acceder a aquello que se encontraba en ejecución antes de pasar al estado de standby.
Esta falla se ha corroborado en la versión IOS 5, y quizás funcione en la rama anterior. Por ahora, la manera de corregir temporalmente esta falla pasaría por la desactivación del encendido automático por parte del dispositivo Smart Cover.
Los pasos para probar el error son:
* Bloquear el dispositivo.
* Mantener presionado el botón de apagado hasta que muestre el deslizador de apagado.
* Cerrar el Smart Cover.
* Abrir el Smart Cover.
* Presionar el botón de cancelar.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4749
JBoss Application Server es un servidor de aplicaciones J2EE. Se distribuye bajo licencia GPL por lo que es muy utilizado tanto por los desarrolladores como por las empresas.
Se detectó un gusano que afecta a los servidores que ejecutan JBoss AS y aplicaciones basadas en él. Se aprovecha de consolas JMX incorrectamente aseguradas o sin ninguna protección para ejecutar código arbitrario. Se propaga inyectándose en la consola a través del método HEAD con una llamada a la función 'store' del servicio 'jboss.admin'.
También se aprovecha de sistemas antiguos que no están parcheados para corregir la vulnerabilidad CVE-2010-0738 subsanada en abril de 2010. El gusano se encuentra escrito en Perl.
Para evitar la infección se deben aplicar los parches de seguridad disponibles así como las siguientes configuraciones para asegurar la consola JMX: http://community.jboss.org/wiki/SecureTheJmxConsole
Además se recomienda configurar las siguientes protecciones lógicas:
* Quitar los privilegios de 'root' a los procesos de JBoss AS.
* Cambiar la configuración de seguridad por defecto de la consola JMX para bloquear las peticiones a través de los métodos GET y POST que no estén debidamente autenticadas. Para eso se debe editar el archivo 'deploy/jmx-console.war/WEB-INF/web.xml' y eliminar las líneas indicadas.
* Habilitar 'RewriteValve' para bloquear peticiones externas que intenten acceder a URLs de administración editando el archivo 'deploy/jbossweb.sar/server.xml'
Además es conveniente crear el directorio 'conf/jboss.web', y en su interior el archivo 'rewrite.properties'.
Esto bloqueará todas las peticiones que no provengan de la propia máquina o de la red LAN.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4748
Han publicado dos fallas de seguridad en Joomla! que permiten a un atacante tener acceso a información sensible.
Joomla! es un sistema de gestión de contenidos y framework web utilizado para la realización de portales web. Cuenta con una la gran cantidad de extensiones de fácil integración que le proporcionan un gran potencial.
La primera falla fue reportada por Aung Khant, perteneciente al grupo de hacking ético YGN. El problema está en la inadecuada comprobación de errores. Un atacante remoto obtiene información sensible. La versión de Joomla! afectada es la 1.7.1 y anteriores. Esta falla fue reportada el dos de agosto a los desarrolladores.
La segunda falla fue reportada por Jeff Channell y está basado en un cifrado débil que permite a un atacante remoto obtener igualmente acceso a información sensible. La versión de Joomla! afectada es la 1.5.23 y anteriores.
La recomendación es la actualización a las versiones 1.5.24 o posterior y 1.7.2 o posterior.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4746
Cisco confirmó la existencia de una vulnerabilidad en CiscoWorks Common Services, en todas las versiones anteriores a la 4.1 para Windows, que permite la ejecución de comandos arbitrarios a atacantes remotos.
Son afectados CiscoWorks LAN Management Solution, Cisco Security Manager, Cisco Unified Operations Manager, Cisco Unified Service Monitor, CiscoWorks Quality de Service Policy Manager y CiscoWorks Voice Manager incluyendo Common Services.
El problema existe en una validación incorrecta de entradas en el componente CiscoWorks Home Page. Un atacante puede enviar una URL específicamente creada a los puertos TCP 443 o 1741, para lograr la ejecución de comandos arbitrarios en el sistema afectado con privilegios de administrador.
Cisco resuelve el problema en la versión CiscoWorks Common Services 4.1 para resolver este problema.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4744
Publicaron 15 boletines de seguridad que afectan a la plataforma Moodle. Las vulnerabilidades permiten saltar restricciones, ejecutar código arbitrario, revelar información sensible, afectar la integridad de los datos, realizar ataques XSS, CSRF, inyección SQL, y denegación de servicio.
Moodle, acrónimo de Modular Object-Oriented Dynamic Learning Environment (Entorno de Aprendizaje Dinámico, Orientado a Objetos y Modular). Plataforma educativa de código abierto escrita en PHP, que permite a los educadores crear y gestionar tanto usuarios como cursos de modalidad e-learning. Además proporciona herramientas para la comunicación entre formadores y alumnos.
Los boletines, del MSA-11-0027 al MSA-11-0041, contienen diferentes vulnerabilidades que afectan a la plataforma Moodle en las versiones 1.9.x, 2.0.x, y 2.1.x. Ninguna de las vulnerabilidades tiene asignado un identificador CVE de momento:
* MSA-11-0027: existe un error de falta de validación de las peticiones HTTP hechas por los usuarios que puede ser utilizado para realizar un 'cross site reference forgery' (CSRF) con los enlaces de la wiki.
* MSA-11-0028: error de falta de validación en determinadas entradas relacionadas con los comentarios de la wiki que podría ser usado para llevar a cabo ataques 'cross-site scripting' (XSS).
* MSA-11-0029: revela una falla de falta de comprobación de permisos en el servidor de archivos que podría utilizarse para revelar información acerca de las categorías y cursos a usuarios sin acceso a ellos.
* MSA-11-0030: expone una falla en la implementación del plugin 'Box.net' al no incluir las funcionalidades de autenticación OAuth de la aplicación para solicitar los credenciales de los usuarios.
* MSA-11-0031: existe un error en la función 'setConstant' que toma los valores de los formularios y que puede ser aprovechado para modificar los valores enviados a través de dichos formularios.
* MSA-11-0032: revela un error al manipular los datos entregados por la función 'openssl_verify' en 'MNet' que podría ser usado para evitar la validación de certificados SSL.
* MSA-11-0033: un error durante el proceso de instalación que provoca que no se establezca correctamente el valor secreto 'registration_hubs.secret' relacionado con los centros de la comunidad.
* MSA-11-0034: falla en la funcionalidad del chat que provoca una revelación de información sensible tal como los nombres completos de todos los usuarios de la plataforma incluidos aquellos que han sido eliminados.
* MSA-11-0035: una falla relacionado con la variable 'CFG->usesid' en las sesiones sin cookies puede ser aprovechado para realizar un salto de restricciones.
* MSA-11-0036: un error de falta de comprobación en 'message/refresh.php' provoca ilimitadas peticiones al cambiar el valor del parámetro 'wait' por cero, y causaría una denegación de servicio.
* MSA-11-0037: existe un error de falta de comprobación de los datos introducidos por los usuarios en 'editsection.html' y que puede ser usado para ejecutar código arbitrario (HTML y JavaScript) a través de datos de entrada especialmente manipulados.
* MSA-11-0038: múltiples errores de filtrado en funciones de la base de datos que podrían utilizarse para realizar ataques de inyección SQL.
* MSA-11-0039: un error de falta de validación del parámetro de entrada 'section' podría ser usado para realizar ataques 'cross site scripting' (XSS).
* MSA-11-0040: existe un error no especificado en 'mod/forum/user.php' que puede ser utilizado para revelar información sensible acerca de los usuarios de la plataforma a personas no autorizadas.
* MSA-11-0041: falla de comprobación de permisos en la funcionalidad del buscador global que permitiría a un usuario invitado revelar información sensible a través de búsquedas de este tipo directamente desde una URL.
Las vulnerabilidades en los boletines MSA-11-0036, MSA-11-0037, y MSA-11-0038 solo afectan a las versiones 1.9.x.
Las vulnerabilidades de los boletines MSA-11-0027, MSA-11-0028, MSA-11-0029, MSA-11-0030, MSA-11-0033, MSA-11-0034, MSA-11-0035, MSA-11-0039, y MSA-11-0041 solo afectan a las versiones 2.0.x, y 2.1.x, aunque la MSA-11-0035 también puede afectar a las versiones 1.9.x si no están correctamente configuradas.
Por último, los boletines MSA-11-0031, MSA-11-0032, y MSA-11-0040 afectan a ambas ramas, tanto las versiones 1.9.x como las 2.0.x, y 2.1.x.
Las actualizaciones se encuentran disponibles para su descarga desde la página oficial de Moodle.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4744
Anunciaron un problema de seguridad en Asterisk (Versiones 1.8.x anteriores a 1.8.7.1 y 10.x anteriores a 10.0.0-rc1) que permite a un atacante remoto provocar condiciones de denegación de servicio.
Asterisk es una aplicación de una central telefónica (PBX) de código abierto. Como cualquier PBX, puede conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el exterior e incluye un gran número de características: buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. Además el software creado por Digium está disponible para Linux, BSD, MacOS X, Solaris y Windows.
El problema reside en una falla en el controlador del canal SIP, que permitiría a un atacante remoto sin autenticar provocar la caída del sistema. Para llevar a cabo el ataque, se debe enviar al servidor una petición específicamente creada de forma que el sistema accede a una variable sin inicializar y se desencadena la vulnerabilidad.
El problema se encuentra solucionado en las versiones 1.8.7.1 y 10.0.0-rc1.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4742
Por medio de Openwall, Alexander Peslyak publicó una falla en el comando "hardlink" que permite provocar una denegación de servicio y ejecutar código arbitrario a través de nombre de directorios especialmente manipulados.
La vulnerabilidad trata de un desbordamiento de memoria intermedia. Su explotación utiliza cadenas especialmente largas. Según se explica en la lista de Openwall, el comando hardlink trabaja con rutas absolutas, lo que facilita el poder forzar a la aplicación a trabajar con cadenas extremadamente largas.
En la falla explotada, se han utilizado rutas con gran profundidad de directorios (20 directorios), con nombres especialmente creados para la ocasión, siendo de una gran longitud (250 caracteres).
Además del desbordamiento de memoria como la posibilidad de que cambie la ruta sobre la que se ejecuta 'hardlink' o que se realice un 'enlace duro' hacia un archivo que más tarde se convierta en un enlace.
Según el descubridor de la falla, ha conseguido reproducir dichos errores en Fedora, aunque no se descarta que otras distribuciones se encuentren también afectadas.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4741
F-Secure alerta de la aparición del primer troyano para Mac que detecta si está siendo ejecutado en una máquina virtual, para así alterar su comportamiento y evitar ser analizado.
El hecho de que el malware compruebe si está siendo ejecutando en un entorno de virtualización no es nada nuevo. Es una técnica que se utiliza desde hace años por gran cantidad de malware. Esto tiene un objetivo claro: los que analizamos malware solemos ejecutarlo en un entorno virtual, que permite aislar los efectos y poder volver rápidamente a un entorno "limpio" restaurando a un estado anterior.
Existen varias técnicas para comprobar si se está en una máquina virtual, y se ha convertido en un arte: buscar procesos característicos, archivos, drivers que suelen venir en los virtualizadores más populares... Los troyanos realizan una comprobación al ser ejecutados y, si los detectan, no continúan. Los analistas deben entonces o bien pasar a un entorno físico, intentar conocer qué buscan e intentar engañarlos, o bien utilizar software de virtualización menos popular (evitar VirtualBox o VMWare).
También el malware utiliza la detección de máquinas virtuales para evadir los análisis automáticos que suelen realizar sandboxes públicas que se encuentran automatizadas.
Si bien éste método es antiguo, sí es cierto que es la primera vez que se observa este tipo de comportamiento en malware destinado al sistema operativo de Apple. Los avances técnicos de los creadores de malware suelen estar enfocados hacia evitar a los analistas "manuales". Desde luego, el usuario final no supone tanto problema por ahora, con la ingeniería social le basta y no le hacen falta artificios técnicos. En el caso de Mac, su enemigo más fuerte tampoco son los antivirus ni necesita esforzarse demasiado por eludirlos.
La muestra analizada por F-Secure se hacía pasar por una actualización de Adobe Flash Player, y en caso de detectar una máquina virtual, detiene por completo su ejecución. Por el momento, la única máquina virtual comprueba si está corriendo es VMWare.
Existen numerosas formas para comprobar si se está en un entorno virtual. Se puede encontrar información en la propia página de VMWare:
http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1009458
En este caso en concreto no se utiliza ninguna de las técnicas descritas en la web de VMWare, probablemente porque no funcionan en el 100% de los casos. Este troyano en cuestión recurre a un método descubierto por el investigador Ken Kato, que consiste en interactuar con un puerto de Entrada/Salida (puerto 'VX') que no debería existir en un entorno no virtualizado, puesto que es utilizado por la máquina huésped para comunicarse con la máquina virtual.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4740
Jerry Decime reportó un error en el router DIR-685 Xtreme N Storage de D-Link que hace que una red inalámbrica cifrada pase a transmitir todo su tráfico sin ningún tipo de protección.
Tal parece, una de las condiciones en las que se ha conseguido reproducir la falla se da cuando el router está configurado para ofrecer una red inalámbrica con cifrado WPA o WPA2 y clave AES precompartida (PSK).
La segunda condición que da lugar a la falla es la de transmitir una gran cantidad de datos sobre la red. Bajo esta carga, el router pasa de cifrar todo el tráfico generado, a enviar todos los datos en claro a través de la red. Además no es necesario conocer la contraseña para poder acceder a la red inalámbrica. Hay que reiniciar el dispositivo para volver a la configuración de protección de la red inalámbrica original establecida por el usuario, es decir WPA o WPA2 y clave AES PSK.
Las condiciones para que el tráfico sea desvelado no son nada "extrañas". Precisamente este dispositivo se anuncia como ideal para utilizar aplicaciones y protocolos orientados a la transmisión de gran cantidad de datos, como son BitTorrent, NAS, FTP o streaming... Además, el uso de WPA o WPA2 con clave AES es lo más recomendado por no conocerse ninguna falla grave de seguridad aún en esta configuración.
Por el momento D-Link no ha publicado ningún parche oficial para solventar el problema. Se recomienda a los usuarios del modelo afectado evitar el uso del cifrado AES y pasar a la alternativa "menos mala" en estos momentos, que es RC4 o si es posible, autenticación por RADIUS.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4737
Apple publicó una serie de actualizaciones para varios de sus productos, entre los que destacan OS X, iOS y Safari, encontrándose también nuevas versiones para sus programas Numbers, Pages, iTunes y Apple TV.
La actualización de OS X a la versión 10.7.2 soluciona 75 vulnerabilidades, la mayoría de ellas permiten la ejecución de código arbitrario, además de denegaciones de servicio y elevaciones de privilegios. Muchas de las vulnerabilidades son causadas por software de tercetos, como BIND, PHP, python, X11... Otras, sin embargo, pertenecen a software de Apple, entre ellas encontramos las siguientes:
* Una falla en File Vault deja al descubierto 250 MB de los datos previamente cifrados por la aplicación, al no borrarlos tras la activación del mismo. La falla se ha arreglado borrando el área no cifrada tras la activación de File Vault. (CVE-2011-3212)
* Una persona con acceso físico a la máquina vulnerable puede desbloquear un equipo puesto en suspensión que se encontrase ejecutando Cinema Display. La contraseña necesaria para el desbloqueo y la recuperación de la suspensión del equipo no es requerida en caso de que se encontrase habilitado el modo 'display sleep'. (CVE-2011-3214)
* Una falla conocida desde el mes de julio, permite la obtención de contraseñas de usuarios a través del puerto Firewire durante el proceso de arranque y apagado. (CVE-2011-3215)
* Tres vulnerabilidades en Open Directory permiten la obtención de hashes de las contraseñas de los usuarios, la modificación de las claves sin que fuese necesario el conocimiento de las antiguas, y el acceso a servidores LDAP asociados a Open Directory sin que se requiriese la contraseña (CVE-2011-3435, CVE-2011-3436, CVE-2011-3226)
Otro cambio introducido en esta serie de actualizaciones, es el que hace que los archivos Disk Image (.dmg) y los paquetes de instalación (.pkg) no sean considerados seguros, por lo que no serán ejecutados de manera automática.
De las 98 vulnerabilidades en iOS cabe destacar el envío del AppleID cifrado por parte de las aplicaciones, la revocación de los certificados de DigiNotar o el arreglo de 69 fallas de WebKit. Además se ha añadido soporte para TLS 1.2 en las conexiones cifradas.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4736
Microsoft publicó ocho boletines de seguridad correspondientes a su ciclo habitual de actualizaciones. Seis de los boletines presentan un nivel de gravedad "importante" y los otros dos "críticos". En total se han resuelto 23 vulnerabilidades.
* MS11-075
Ejecución de código en el componente Microsoft Active Accessibility. Boletín de carácter "importante" y la vulnerabilidad afecta a Windows Server 2003 y 2008, Windows XP, Windows Vista y Windows 7 (CVE-2011-1247).
* MS11-076
Ejecución remota de código en Windows Media Center (CVE-2011-2009). Afecta a Windows Vista y 7. Esta vulnerabilidad se basa en la falta de políticas de seguridad al momento de controlar la ruta de ejecución de librerías externas, permitiendo que un atacante utilice DLLs especialmente manipuladas.
* MS11-077
Ejecución de código en los controladores en modo kernel de Windows. Boletín valorado como "importante" y resuelve cuatro vulnerabilidades que afectan a Windows Server 2003 y 2008, XP, Vista y 7 (CVE-2011-1985, CVE-2011-2002, CVE-2011-2003 y CVE-2011-2011).
* MS11-078
Ejecución de código en en .NET Framework y Microsoft Silverlight. Este boletín valorado como "crítico" resuelve una vulnerabilidad que afecta a Windows Server 2003 y 2008, XP, Vista y 7. (CVE-2011-1253).
* MS11-079
Ejecución de código en Microsoft Forefront Unified Access Gateway (UAG), está valorado como "importante" y cuenta con cinco vulnerabilidades (CVE-2011-1895, CVE-2011-1896, CVE-2011-1897, CVE-2011-1969 y CVE-2011-2012 ).
* MS11-080
Elevación de privilegios a través de el controlador de función auxiliar de Windows (AFD.SYS). Esta vulnerabilidad afecta a XP y Windows Server 2003 (CVE-2011-2005).
*MS11-081
Ejecución de código en Internet Explorer. Está valorado como "crítico" y soluciona ocho vulnerabilidades que afectan a todas sus versiones.(CVE-2011-1993, CVE-2011-1995, CVE-2011-1996, CVE-2011-1997, CVE-2011-1998, CVE-2011-1999, CVE-2011-2000 y CVE-2011-2001 ).
* MS11-082
Denegación de servicio en Host Integration Server. Un atacante remoto que envía paquetes de red especialmente diseñados a un servidor Host Integration Server que escuche en el puerto UDP 1478 o en los puertos TCP 1477 y 1478 puede causar una denegación de servicio. (CVE-2011-2007 y CVE-2011-2008).
Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4735
Cisco anunció una serie de vulnerabilidades que afectan al módulo Firewall Services Module (FWSM) de los switches Catalyst serie 6500 y los routers de la serie 7600 en las versiones 3.1.x, 3.2.x, 4.0.x, y 4.1.x.
Las vulnerabilidades tienen un impacto de denegación de servicio o salto de restricciones.
* Denegación de servicio a través de un error en los mensajes 'syslog'.
El error se encuentra en la implementación de un mensaje de log cuyo identificador es 302015. Cuando se genera este mensaje a causa del tráfico IPv6, puede ocurrir una falla de memoria que provoque una denegación de servicio. A esta vulnerabilidad se le ha asignado el identificador CVE-2011-3296.
* Denegación de servicio a través de 'Authentication Proxy'.
Existe un error en la autenticación para permitir el acceso a los usuarios de la red conocida como 'Authentication Proxy' o 'cut-through'. Cuando esta autenticación se configura a través de los comandos 'aaa authentication match' o 'aaa authentication include', puede producirse una denegación de servicio si hay un elevado número de peticiones de autenticación. El identificador asignado a esta vulnerabilidad es el CVE-2011-3297.
* Salto de restricciones a través de TACACS+.
TACACS+ ('Terminal Access Controller Access Control System') protocolo utilizado para gestionar el acceso a servidores y dispositivos. A través de un error no especificado en la implementación de este protocolo, es posible eludir la autenticación de usuarios utilizando una respuesta TACACS+ especialmente manipulada. Su identificador es el CVE-2011-3298.
* Denegación de servicio a través del motor de inspección de SunRPC.
El motor de inspección habilita o deshabilita la inspección de aplicaciones para el protocolo SunRPC ('Sun Remote Procedure Call'). Se publicaron 4 vulnerabilidades que pueden causar la sobrecarga del dispositivo al procesar mensajes SunRPC especialmente manipulados cuando está activado el motor. Los identificadores asignados a estas vulnerabilidades son: CVE-2011-3299, CVE-2011-3300, CVE-2011-3301, y CVE-2011-3302.
* Denegación de servicio a través del motor de inspección ILS
El motor de inspección ILS ('Internet Locator Server') proporciona el servicio de traducción de direcciones de red o NAT ('Network Address TranslationT') al intercambiar información de directorios con el servidor ILS. Existe un error no especificado que sobrecarga el dispositivo al procesar mensajes ILS malformados cuando éste se encuentra habilitado. Se le ha asignado el identificador CVE-2011-3303.
Las dos últimas series de vulnerabilidades no se ven afectadas por el tráfico dirigido a estos dispositivos, sino únicamente por el tráfico de paso.
Por otra parte, las 3 últimas series de vulnerabilidades, las que se refieren a TACACS+, SunRPC, e ILS, afectan además a los módulos Adaptive Security Appliances de Cisco ASA serie 5500 y ASA Services Module de Cisco Catalyst serie 6500, en las versiones 7.0.x, 7.1.x, 7.2.x, 8.0.x, 8.1.x, 8.2.x, 8.3.x, 8.4.x, y 8.5.x.
Los parches se encuentran disponibles para su descarga en la página de Cisco.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4733
Han publicado una falla en el módulo 'mod_proxy' de Apache 2.x que permite a un atacante obtener información sobre la red interna detrás de un servidor vulnerable.
'mod_proxy' es un módulo de Apache que desempeña la función de un proxy/gateway, permitiendo configuraciones 'forward' y 'reverse'.
La configuración 'forward proxy' actúa de intermediario entre el cliente y el servidor, y requiere que el cliente esté debidamente configurado para usarlo. El uso más común de este tipo de configuración es proporcionar acceso a Internet a usuarios que se encuentran en una intranet protegida por un firewall.
La configuración 'reverse proxy' es totalmente transparente al usuario, por lo que éste no necesita realizar ningún tipo de configuración especial. El uso típico de esta configuración es permitir a usuarios de Internet el acceso a servidores alojados tras un firewall.
http://blog.hispasec.com/laboratorio/images/apache1.jpg
Sin embargo existe una falla en el módulo 'mod_proxy', al utilizar las directivas 'RewriteRule' y 'ProxyPassMatch' para configurar un servidor Apache en modo 'reverse proxy' mediante coincidencias de patrones. Esto puede provocar que los servidores internos o no públicos queden expuestos, de tal manera que un atacante remoto obtenga información sensible a través de peticiones especialmente manipuladas.
La falla está provocada por una configuración como la que sigue
RewriteRule (.*)\.(jpg|gif|png) http://images.ejemplo.com$1.$2 [P]
ProxyPassMatch (.*)\.(jpg|gif|png) http://images.ejemplo.com$1.$2
ya que, ante una petición de este tipo
GET @otro.ejemplo.com/otro.png HTTP/1.1
puede traducirse, por ejemplo, en:
http://images.ejemplo.com@otro.ejemplo.com/algo.png
lográndose una conexión a la máquinaque en principio no debería ser accesible, confundiendo el sistema la parte izquierda de la URL con credenciales. Un atacante podría obtener información de los sistemas internos de una red según la respuesta data ante la petición.
http://blog.hispasec.com/laboratorio/images/apache2.jpg
La configuración siguiente no se ve afectada por esta vulnerabilidad (nótese el carácter '/' antes de '$1.$2'):
RewriteRule (.*)\.(jpg|gif|png) http://images.ejemplo.com/$1.$2 [P]
ProxyPassMatch (.*)\.(jpg|gif|png) http://images.ejemplo.com/$1.$2
La vulnerabilidad tiene asignado el identificador CVE-2011-3368, y el parche puede descargarse desde: http://www.apache.org/dist/httpd/patches/apply_to_2.2.21/
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4732
Microsoft publicará el próximo 11 de octubre ocho boletines de seguridad, del MS11-075 al MS11-082. Los boletines solucionan hasta 23 vulnerabilidades en total.
Las fallas afectan a toda la gama de sistemas Windows, Internet Explorer, .NET Framework, Silverlight, Forefront Unified Access Gateway, y Microsoft Host Integration Server.
Dos de los boletines consideran las fallas en Windows, Internet Explorer, .NET Framework, y Silverlight como críticos, lo que conlleva ejecución remota de código. Los demás boletines son calificados como importantes, y afectan a Windows, Forefront Unified Access Gateway, y Host Integration Server.
Además Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool que estará disponible desde Microsoft Update, Windows Server Update Services, y el centro de descarga.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4731
El boletín Red Hat Security Advisory 2011-1349-01 publicó una serie de fallas que afectan al gestor de paquetes RPM.
RMP Manager Packet, más conocido por sus siglas RPM, es un gestor de paquetes utilizado por sistemas operativos GNU/Linux, aunque originalmente fue desarrollado por Red Hat.
Se han detectado múltiples fallas en la forma en que la biblioteca RPM analiza las cabeceras de dichos paquetes, de forma que permite a un atacante remoto llevar a cabo una denegación de servicio o, incluso, ejecutar código arbitrario utilizando un paquete RPM especialmente manipulado.
La vulnerabilidad tiene asignado el identificador CVE-2011-3378.
Las distribuciones de GNU/Linux que utilizan el gestor de paquetes RPM ya han comenzado a actualizarlo para corregir este problema.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4730
