Avisos Tecnicos INTECO (España)

Fecha: 04/02/2012

Descripción: Solucionan 3 vulnerabilidades del nucleo de Joomla! que permiten la revelación de información confidencial.

Detalle: 

En esta nueva versión se solucionan tres vulnerabilidades que afectan al core de Joomla!. Las dos siguientes afectan a las versiones 2.5.0 y 1.7.0 - 1.7.4:

• [20120201] (baja): validación inadecuada puede provocar la revelación de información en el back end (/administrator).
• [20120203] (baja): validación inadecuada puede provocar revelación de rutas ("path disclosure") del back end (/administrator).

La siguiente afecta a las versiones 1.7.4 - 1.7.x:

• [20120202] (moderada): en algunos servidores el log de error puede ser leído por usuarios sin autorización.

• Revelación de información confidencial.

2012-02-04T10:17:20Z

Fecha: 04/02/2012

Descripción: Se encuentra en un parámetro de cadena de formato de texto en una llamada a la función fprintf que puede ser controlado por el atacante.

Detalle: 

La vulnerabilidad, la CVE 2012-0809, se encuentra en el código de depuración de sudo.

En la función sudo_debug(), el nombre del propio programa sudo es utilizado como parte del argumento de cadena de formato de texto que utiliza fprintf(). El problema se encuentra en que el nombre del programa puede ser controlado mediante un enlace simbólico o estableciendo argv[0], lo permite la aplicación de variadas técnicas de explotación de vulnerabilidades en las cadenas de formato de texto:

Para la explotación de esta vulnerabilidad el atacante no necesita estar listado en el archivo sudoers.

• Escalado de privilegios a root.
• Caída ("cuelgue") de sudo.

2012-02-04T10:17:17Z

Fecha: 03/02/2012

Descripción: VeriSign, una de las entidades certificadoras más importantes del mundo reconoce haber sido comprometida en 2010 y ser víctima de robo de información.

Detalle: 

De acuerdo al informe trimestral 10-Q del 2010, VeriSign reconoce la instrusión de sus sistemas así como el robo de información (véase apartado We experienced security breaches in the corporate network in 2010 which were not sufficiently reported to Management.).

Según el informe, el equipo de seguridad reaccionó rápidamente frente a la intrusión para implementar las medidas de seguridad oportunas que ayudasen a mitigar el mismo y frustrar ataques posteriores. Sin embargo, la compañía admite que dichas acciones no garantizan la prevención de futuros ataques así como la difusión de la información sustraida. Aunque la compañia no ha hecho declaraciones sobre el tipo de información robada ni la procedencia de los ataques, se cree que dicha información no está relacionada con los servicios DNS.

Por otro lado Symantec, responsable de la unidad de negocios de seguridad de Verisign desde 2010, aseguró a The Register que los servicios de seguridad SSL, User Authentication (VIP) y otros entornos de seguridad adquiridos por la compañia no fueron comprometidos por la brecha de seguridad mencionada en el informe trimestral de VeriSign.

2012-02-03T09:26:58Z

Fecha: 02/02/2012

Descripción: Apple ha publicado un conjunto de actualizaciones de seguridad para OS X Lion que solucionan gran cantidad de vulnerabilidades y que añaden nuevos cambios y mejoras destinadas a la optimización general del sistema.

Detalle: 

Soluciona los siguientes problemas de seguridad:

• Address Book: Un atacante en una posición privilegiada en la red puede interceptar los datos de CardDAV.
• Apache: Soluciona múltiples vulnerabilidades. La más grave podría permitir a un atacante descifrar paquetes protegidos por SSL.
• ATS: Una fuente maliciosa Font Book podría permitir la ejecución de código o la finalización inesperada de la aplicación.
• CFNetwork: Visitar un sitio web malicioso puede provocar la revelación de información confidencial.
• ColorSync: Visualizar una imagen maliciosa con un perfil ColorSync embebido podría permitir la ejecución de código o la finalización inesperada de la aplicación.
• CoreAudio: La reproducción de contenido de audio malicioso podría permitir la ejecución de código o la finalización inesperada de la aplicación.
• CoreMedia: La reproducción de un archivo multimedia malicioso podría permitir la ejecución de código o la finalización inesperada de la aplicación.
• CoreText: La visualización o descarga de un documento con una fuente maliciosa podría permitir la ejecución de código o la finalización inesperada de la aplicación.
• CoreUI: Visitar un sitio web malicioso puede provocar la terminación inesperada de la aplicación o la ejecución de código arbitrario.
• Curl: Un servidor remoto podría impersonar clientes mediante solicitudes GSSAPI.
• Data Security: Un atacante con una posicion privilegiada en la red podría interceptar credenciales u otra información confidencial.
• dovecot: Un atacante podría ser capaz de descifrar paquetes protegidos por SSL.
• filecmds: Descomprimir un fichero malicioso podría permitir la ejecución de código o la finalización inesperada de la aplicación.
• ImageIO: La visualización de un fichero TIFF malicioso podría dar lugar a la terminación inesperada de la aplicación o la ejecución de código arbitrario.
• Internet Sharing: Una red Wi-Fi creada por Internet Sharing puede perder la configuración de seguridad despues de una actualización del sistema.
• Libinfo: Visitar un sitio web malicioso puede provocar la revelación de información confidencial.
• libresolv: Aplicaciones que usan la librería libresolv OS X podrían ser vulnerables a una terminación inesperada de la aplicación o a la ejecución de código arbitrario.
• libsecurity: Algunas certificados EV pueden aparecer como confiables incluso si el correspondiente certificado raiz los ha marcado como no confiables
• OpenGL: Aplicaciones que usan la implementación OpenGL OS X podrían ser vulnerables a una terminación inesperada o a la ejecución de código arbitrario.
• PHP: Soluciona múltiples vulnerabilidades, entre ellas, visualizar un fichero PDF malicioso podría provocar la terminación inesperada de la aplicación o la ejecución de código arbitrario.
• QuickTime: La visualización de un fichero MP4, una imagen JPEG2000 o una imagen PNG maliciosa podría dar lugar a la terminación inesperada de la aplicación o a la ejecución de código arbitrario.
• SquirrelMail: Soluciona múltiples vulnerabilidades.
• Subversion: Acceder a un repositorio Subversion puede provocar la revelación de información confidencial.
• Time Machine: Un atacante remoto podría acceder a nuevas copias de seguridad.
• Tomcat: Soluciona múltiples vulnerabilidades en Tomcat 6.0.32.
• WebDAV Sharing: Usuarios locales podrían escalar privilegios.
• Webmail: La visualización de un mensaje de correo malicioso puede provocar la divulgación del contenido del mensaje.
• X11: La visualización de un fichero PDF malicioso puede provocar la terminación inesperada de la aplicación o la ejecución de código arbitrario.

2012-02-02T10:05:12Z

Fecha: 25/01/2012

Descripción: La nueva versión, la 1.7.4, corrige dos vulnerabilidades XSS y otras dos de revelación de información confidencial.

Detalle: 

Se ha publicado la versión 1.7.4 de Joomla! en la que se solucionan las siguientes vulnerabilidades del gestor de contenidos debidas a un filtrado inadecuado:

• [20120101] y [20120103] (gravedad baja): revelación de información confidencial.
• [20120102] y [20120104] (gravedad moderada): vulnerabilidades XSS.

• Revelación de información confidencial.
• Realización de ataques XSS.

2012-01-25T04:37:11Z

Fecha: 24/01/2012

Descripción: Permite escalar privilegios aprovechándose de una vulnerabilidad en la interfaz de lectura y escritura /proc/pid/mem.

Detalle: 

El fichero /proc/[pid]/mem proporciona un medio para acceder al espacio de memoria del proceso [pid] mediante llamdas open, fseek y read.

Debido a una vulnerabilidad (CVE-2012-0056) en el control de permisos implementado en el mismo, un usuario sin privilegios podría escribir en el espacio de direcciones de dicho proceso.

Para ver una descripción más detallada de la vulnerabilidad, puede consultar el write up publicado por zx2c4.

2012-01-24T00:07:59Z

Fecha: 18/01/2012

Descripción: Paquete de actualizaciones publicado en Enero que suman un total de 78 parches de seguridad para diversos productos de Oracle.

Detalle: 

El resumen de las vulnerabilidades solucionadas o parches publicados son para cada familia de productos:

• Oracle Database Server: 2 vulnerabilidades. 1 de las vulnerabilidades podría ser explotable de forma remota sin necesidad de autenticación (CVE-2012-0072).
• Oracle Fusion Middleware: 11 vulnerabilidades. La más grave de ellas (CVE-2012-0083) afecta al componente Oracle WebCenter Content. En total, 5 de las vulnerabilidades podrían ser explotables de forma remota sin necesidad de autenticación (CVE-2012-0083, CVE-2011-3531, CVE-2011-3569, CVE-2011-3566, CVE-2012-0085).
• Oracle Applications: 18 vulnerabilidades. La más grave de ellas (CVE-2012-0080) afecta al componente Oracle WebCenter Content. En total, 3 de las vulnerabilidades podrían ser explotables de forma remota sin necesidad de autenticación (CVE-2011-2324, CVE-2011-3192, CVE-2012-0073).
• Oracle Sun Products Suite: 17 vulnerabilidades. La más grave de ellas (CVE-2012-0094) afecta al componente Solaris. En total, 6 de las vulnerabilidades podrían ser explotables de forma remota sin necesidad de autenticación (CVE-2012-0094, CVE-2011-5035, CVE-2012-0104, CVE-2012-0096, CVE-2012-0079, CVE-2012-0099).
• Oracle Linux and Virtualization: 3 vulnerabilidades.
• Oracle MySQL: 27 vulnerabilidades. 1 de las vulnerabilidades podría ser explotable de forma remota sin necesidad de autenticación (CVE-2011-2262).

• Ejecución de código malicioso.
• Denegación de servicio.
• Revelación de información confidencial.

2012-01-18T11:47:16Z

Fecha: 11/01/2012

Descripción: Esta actualización consta de 7 boletines y el más crítico afecta a Windows Media. Otro resuelve la vulnerabilidad en los protocolos SSL y TLS explotable por el programa BEAST.

Detalle: 

Los boletines del mes de enero son los siguientes:

• MS12-004 (crítico): resuelve dos vulnerabilidades en Windows Media que podrían permitir la ejecución remota de código al abrir un archivo malicioso.
• MS12-001 (importante): resuelve una vulnerabilidad en el Kernel de Windows que podría permitir evitar la medida de seguridad SafeSEH y ejecutar código malicioso. Sólo afecta a aplicaciones compiladas con Visual C++ .NET 2003.
• MS12-002 (importante): resuelve una vulnerabilidad en el componente de Windows «Object Packager» que permite ejecutar código malicioso.
• MS12-003 (importante): resuelve una vulnerabilidad en el componente de Windows «Client/Server Run-time Subsystem» que permite escalar privilegios. Ni Windows 7 ni Windows Server 2008 R2 son vulnerables y sólo afecta a sistemas con una configuración regional china, japanesa, o koreana.
• MS12-005 (importante): vulnerabilidad que podría permitir la ejecución remota de código al abrir un archivo de Office que contenga una aplicación ClickOnce embebida maliciosa.
• MS12-006 (importante): resuelve una vulnerabilidad en los protocolos SSL y TLS, para cuya explotación se desarrolló la herramienta BEAST, que permitían la interceptación del protocolo HTTPS.
• MS12-007 (importante): resuelve una vulnerabilidad en librería AntiXSS que permite la revelación de información confidencial.

Impacto:

• Ejecución remota de código.
• Escalado de privilegios.
• Revelación de información confidencial.

2012-01-11T09:15:58Z

Fecha: 11/01/2012

Descripción: Solucionan vulnerabilidades críticas en los productos Adobe Reader y Adobe Acrobat para sistemas Windows y Mac.

Detalle: 

Se han detectado vulnerabilidades que podrían causar que la aplicación fallé de forma repentina y, además, podrían permitir a un atacante tomar el control del sistema, afectado por esta vulnerabilidad.

Estas actualizaciones incluyen parches para las vulnerabilidades CVE-2011-2462 y CVE-2011-4369 que fueron detectadas previamente en Adobe Reader y Adobe Acrobat v9.x para sistemas Windows, como se refleja en el boletín de seguridad APSB11-30.

2012-01-11T08:50:50Z

Fecha: 09/01/2012

Descripción: La versión 2.3.1.1 soluciona 4 vulnerabilidades que permiten la ejecución de código Java arbitrario.

Detalle: 

La nueva versión, la 2.3.1.1, del framework de desarrollo Java de aplicaciones web soluciona 4 vulnerabilidades que permiten evitar las medidas de seguridad xwork.MethodAccessor.denyMethodExecution, allowStaticMethodAccess o el filtro allowStaticMethodAccess y ejecutar código arbitrario mediante DMI.

Las vulnerabilidades se encuentran en los siguientes componentes:

• ExceptionDelegator: ejecución de comandos remotos.
• CookieInterceptor: ejecución de comandos remotos.
• ParameterInterceptor: sobreescritura de archivos.
• DebuggingInterceptor: ejecución de comandos remotos.

• Ejecución de código Java malicioso.
• sobreescritura de archivos.

2012-01-09T11:20:34Z

Fecha: 09/01/2012

Descripción: 

Investigadores de la Universidad de Columbia han descubierto una vulnerabilidad crítica que afecta a impresoras LaserJet de HP, haciendo posible el robo de información o provocar daños a nivel hardware.

Detalle: 

El pasado mes de noviembre, investigadores de la Universidad de Columbia descubrieron un fallo de seguridad en el proceso de actualización del firmware de impresoras LaserJet de HP. En las pruebas realizadas, fueron capaces de instalar de forma remota un firmware alterado en varias impresoras, aunque los investigadores no han informado de los modelos utilizados.

Según los investigadores, la instalación del firmware fue posible gracias a una vulnerabilidad en los procesos de autenticación y comprobación del firmware durante el proceso de actualización remota, de forma que es posible conseguir que una impresora acepte un firmware modificado de una fuente no confiable.

A través de varias demostraciones, consiguieron instalar un firmware alterado, mediante el cual fueron capaces de causar daños físicos, generando un sobrecalentamiento del dispositivo. Además del daño físico, también demostraron que era posible el robo de información (robo de documentos) e incluso la posibilidad de atacar otros ordenadores que se encuentren en la misma red en la que está conectada la impresora.

Fuentes en HP han indicado que los resultados obtenidos por los investigadores son demasiado preliminares. Aunque el riesgo existe, aún no se conocen los modelos de las impresoras que están afectados y según HP, ningún usuario ha reportado una incidencia en relación con este fallo de seguridad. En relación con el sobrecalentamiento y la posibilidad de que pueda usarse una impresora vulnerable para generar un fuego, HP indica que esta es muy remota, por los mecanismos de seguridad que incorporan sus impresoras.

Por otro lado, HP ha indicado que el fallo de seguridad se encuentra actualmente en investigación y han alertado de la posibilidad de que haya modelos de impresoras de otros fabricantes que también estén afectados.

2012-01-09T02:58:12Z