De la mano de Bugtraq nos llega, una vez más, el resumen de las últimas vulnerabilidades y actualizaciones. Destacan en esta ocasión, por el número, los parches para plataformas Microsoft.
1. Vulnerabilidad de buffer overflow remoto en SCO Unixware i20dialogd
2. Vulnerabilidad de download automático de attachment HTML en MS Outlook Express para MacOS
3. Vulnerabilidades de negación de servicio en Solaris DMI
4. vulnerabilidades CGI en Lotus Notes Domino Webserver
5. Vulnerabilidad en el Virtual Directory Naming de Microsoft IIS
6. Vulnerabilidad de Buffer Overflows en SCO LibX11/X11 Toolkit/Athena Widget Library
7. Vulnerabilidad en FreeBSD WMMon
8. Vulnerabilidad en análisis del carácter de escape en Microsoft IIS
9. Vulnerabilidad de Cross-Frame en external.NavigateAndFind() en Microsoft IE
10. Vulnerabilidad de negación de servicio en RealServer 5.0 ramgen
11. Vulnerabilidad de Buffer Overflow en Get en ZBSoft ZBServer
Actualizaci¢n de parches del 20-12-1999 al 26-12-1999
1. Vulnerabilidad parcheada: HTML attachment en MS Outlook Express para MacOS
2. Vulnerabilidad parcheada: IIS Virtual Directory Naming
3. Vulnerabilidad parcheada: Parseo de car cter de Escape en IIS
4. Vulnerabilidad parcheada: IE external.NavigateAndFind() Cross-Frame
5. Vulnerabilidad parcheada: Problema de privilegio con WMMon
Resumen de Bugtraq del 20-12-1999 al 26-12-1999
1. Vulnerabilidad de buffer overflow remoto en SCO Unixware i20dialogd
BugTraq ID: 876
Remoto: S¡
Fecha de publicaci¢n: 22-12-1999
URL relevante: http://www.securityfocus.com/bid/876
Resumen:
i20dialogd es un demonio que provee un front-end para controlar el subsistema i20. Viene incluido en SCO Unixware y se instala ejecut ndose por defecto como root. Existe una seria vulnerabilidad de buffer overflow en su mecanismo de autenticaci¢n. Los buffers para el nombre de usuario y contrase_a son de una longitud fija (88+ caracteres) sin que se realice ningon chequeo de l¡mites sobre ellos. Debido a esto es posible crear un desbordamiento en los buffers, corromper la pila y sobreescribir la direcci¢n de retorno para alterar el flujo de la ejecuci¢n (lo que provoca la ejecuci¢n de c¢digo arbitrario). Debe tenerse en cuenta que el c¢digo del exploit debe ser codificado (en base64) antes de ser enviado al servidor.
2. Vulnerabilidad de download autom tico de Attachment HTML en MS Outlook Express para MacOS
BugTraq ID: 883
Remoto: S¡
Fecha de publicaci¢n: 22-12-1999
URL relevante: http://www.securityfocus.com/bid/883
Resumen:
Outlook Express 5 para MacOS bajara autom ticamente attachments en mensajes HTML, sin preguntar al usuario. Esa debilidad no permite forzar al usuario a ejecutar ningon c¢digo, o poner archivos en determinadas carpetas, pero puede ser utilizado junto con otros ataques.
Tambi’n, la ubicaci¢n por defecto de los attachments bajados es el desktop, donde tienen mas oportunidades de ser vistos y ejecutados por el usuario.
3. Vulnerabilidades de negaci¢n de servicio en Solaris DMI
BugTraq ID: 878
Remoto: S¡
Fecha de publicaci¢n: 22-12-1999
URL relevante: http://www.securityfocus.com/bid/878
Resumen:
DMI es el Desktop Management Interface, y es una suite de aplicaciones de administraci¢n de programas que vienen con Sun Solaris. Cada aplicaci¢n que es manejada a trav’s de DMI tiene un registro MIF (el cual contiene informaci¢n acerca de sus componentes manejables y propiedades) que puede ser insertado en la base de datos MIF (/var/dmi/db) a trav’s del demonio dmispd (DMI Service Provider).
No existe ningon tipo de autenticaci¢n sobre quien env¡a un nuevo MIF, lo que significa que cualquiera puede hacerlo. Esto crea dos posibles condiciones de negaci¢n de servicio.
La primera es el consumo de espacio en disco en /var. No existen limites (por defecto) sobre cuanto espacio puede utilizar la base de datos DMI. Esto se puede emplear junto con otras vulnerabilidades para evitar el logueo, etc.
Una segunda vulnerabilidad es una condici¢n de buffer overflow en dmispd con MIFs de cierto tama_o. Es posible que sea explotable mas alla de una simple negaci¢n de servicio. (puede ser posible ejecutar c¢digo arbitrario como root remotamente).
4. Vulnerabildades CGI en Lotus Notes Domino Webserver
BugTraq ID: 881
Remoto: S¡
Fecha de publicaci¢n: 21-12-1999
URL relevante: http://www.securityfocus.com/bid/881
Resumen:
Se han descubierto tres vulnerabilidades en la forma en que el componente de Webserver del Lotus Domino Server maneja los cgis.
1: Se puede obtener informaci¢n acerca del path.
Al enviar un pedido por un cgi no existente, un atacante puede determinar la estructura del sistema de archivos del servidor. Ejemplo:
URL solicitada:
http: file://victimhost/cgi-bin/asdf
Respuesta:
Error 500
Bad script request — no variation of
‘c:/notes/data/domino/cgi-bin/asdf’ is executable
2: No se puede deshabilitar el acceso an¢nimo.
Aun cuando el acceso an¢nimo se encuentre deshabilitado en el servidor, esta permitido para el directorio cgi-bin.
3: Buffer overflow en el manejo de errores en cgi
Una URL demasiado larga en un pedido GET, hacia el directorio cgi-bin, hace caer al servidor. Parece que no funcionan todas las cadenas, sin embargo una que fue probada y funciona es: ‘GET /cgi-bin/[800 ‘,’][4000 ‘a’] HTTP/1.0′
5. Vulnerabilidad en el Virtual Directory Naming de Microsoft IIS
BugTraq ID: 882
Remoto: S¡
Fecha de publicaci¢n: 21-12-1999
URL relevante: http://www.securityfocus.com/bid/882
Resumen:
El procesamiento de paginas web del lado del servidor puede pasarse por alto bajo un determinado conjunto de condiciones. Si un .asp o archivo similar se encuentra en un directorio virtual cuyo nombre termina en una extensi¢n legal, se puede llegar a enviar el c¢digo fuente del archivo al navegador cliente.
IIS determina que acci¢n tomar sobre un documento web al analizar la URL y la extensi¢n del archivo. La primera extensi¢n registrada encontrada en la cadena se usa para hacer esta decisi¢n. Por lo tanto, si se solicita el siguiente archivo: /webroot/docs.htm/some.asp, y ese archivo existe, IIS analizar la ruta y encontrar la extensi¢n .htm en el directorio virtual llamado docs.htm. Con ello determinar que no se requiere ningon preprocesamiento, y enviar el c¢digo fuente del archivo some.asp.
6. Vulnerabilidad de Buffer Overflows en SCO LibX11/X11
Toolkit/Athena Widget Library
BugTraq ID: 884
Remoto: No
Fecha de publicaci¢n: 20-12-1999
URL relevante: http://www.securityfocus.com/bid/884
Resumen:
SCO Openserver es vulnerable a varios buffer overflows en varias librer¡as compartidas (shared libraries) relacionadas al sistema X window. Esto significa que todos los programas que se compilan con estas librer¡as puede ser vulnerables a ser explotados a trav’s de llamadas maliciosas a las librer¡as. Las librer¡as vulnerables son:
LibX11
LibXt
LibXaw
LibXmu
Aun no est totalmente claro donde se encuentran realmente los overflows y se especula que esta vulnerabilidad puede ser similar a serios overflows en la librer¡a X publicados en Agosto de 1997, en la base de datos Bugtraq con ID: 237 y los problemas de X de Sun archivados en la base de datos Bugtraq con ID: 238 (publicado en Mayo de 1999).
7. Vulnerabilidad en FreeBSD WMMon
BugTraq ID: 885
Remoto: No
Fecha de publicaci¢n: 22-12-1999
URL relevante: http://www.securityfocus.com/bid/885
Resumen:
WMMon es una aplicaci¢n multiplataforma de docking para Window Maker. Monitoriza informaci¢n otil del sistema, tal como el uso de la CPU y la actividad de disco. La aplicaci¢n tambi’n permite al usuario definir comandos que pueden ser lanzados con clicks del rat¢n en la ventana del WMMon.
Si la aplicaci¢n WMMon se instala como SUID o SGID, estos privilegios no se dejan de lado antes de ejecutar los comandos definidos por el usuario. Dado que el usuario puede configurar la aplicaci¢n para ejecutar cualquier comando, un usuario puede correr un shell o cualquier otro ejecutable con los privilegios con los que WMMon fue instalado.
La version de WMMon portada a FreeBSD se instala SGID kmem y versiones mas viejas se instalan como SUID root.
8. Vulnerabilidad en an lisis del car cter de escape en Microsoft Internet Information Server
BugTraq ID: 886
Remoto: S¡
Fecha de publicaci¢n: 21-12-1999
URL relevante: http://www.securityfocus.com/bid/886
Resumen:
Internet Information Server acepta caracteres con el formato del c¢digo de escape que no son d¡gitos hexadecimales validos. Todos los servidores web que cumplen el RFC 1738 aceptan d¡gitos hexadecimales precedidos por un signo de porcentaje, pero IIS tambi’n acepta d¡gitos hexadecimales no v lidos y traduce alguno de ellos en caracteres ASCII validos. Esto crea una forma indirecta de construir URLs (texto plano, hexadecimales validos, y hexadecimales no validos) que puede emplearse para pasar por alto mecanismos accesos de control realizados por terceros como ser sistemas de detecci¢n de intrusiones. Este problema no proporciona una forma directa de comprometer al servidor IIS en si mismo.
9. Vulnerabilidad de Cross-Frame en external.NavigateAndFind() en Microsoft IE
BugTraq ID: 887
Remoto: S¡
Fecha de publicaci¢n: 22-12-1999
URL relevante: http://www.securityfocus.com/bid/887
Resumen:
Mediante la funci¢n window.external.NavigateAndFind() es posible para un servidor remoto ejecutar c¢digo javascript arbitrario en una maquina cliente utilizando IE4, 5 o 5.1 en el contexto de la seguridad local.
Esta funci¢n se usa para cargar un documento web y buscar en ‘l cadenas espec¡ficas, tras lo que se muestran los resultados en un frame secundario. Sin embargo, la funci¢n aceptar URLs del tipo «javascript:», y deber pasar esta URL a la funci¢n, el javascript se ejecutar en el contexto de seguridad del contenido del frame secundario, y tiene acceso al contenido del frame actual.
Esta debilidad puede usarse para obtener archivos pwl, la base de datos SAM local, cookies o cualquier otro tipo de informaci¢n guardada localmente a la que el usuario tenga permiso de lectura. El ataque puede realizarse a trav’s de la web, o en un email HTML o en un post en un grupo de noticias (newsgroup).
10. Vulnerabilidad de negaci¢n de servicio en RealServer 5.0 ramgen
BugTraq ID: 888
Remoto: S¡
Fecha de publicaci¢n: 23-12-1999
URL relevante: http://www.securityfocus.com/bid/888
Resumen:
Es posible hacer caer al RealServer 5.0 envi ndole una solicitud ramgen demasiado larga (4082+ bytes). El funcionamiento normal puede restablecerse al ejecutar el software RealServer.
11. Vulnerabilidad de Buffer Overflow en Get en ZBSoft ZBServer
BugTraq ID: 889
Remoto: S¡
Fecha de publicaci¢n: 23-12-1999
URL relevante: http://www.securityfocus.com/bid/889
Resumen:
ZBServer Pro 1.5 tiene un buffer no chequeado en el c¢digo que maneja los pedidos GET. Esta debilidad permite la ejecuci¢n de c¢digo arbitrario.
Actualizaci¢n de parches del 20-12-1999 al 26-12-1999
1. Vendedor: Microsoft
Producto: MS Outlook Express para MacOS
Vulnerabilidad parcheada: HTML Attachment en MS Outlook
Express para MacOS
BugTraq ID: 883
URLS relevantes: http://www.securityfocus.com/bid/883
Ubicacion del parche: http://www.microsoft.com/mac/download
NOTAS:
Este parche tambi’n incluye una correcci¢n para un problema en la expiraci¢n de certificados en IE5 y IE4.5 para MacOS.
2. Vendedor: Microsoft
Producto: IIS
Vulnerabilidad parcheada: IIS Virtual Directory Naming
BugTraq ID: 882
URLS relevantes: http://www.securityfocus.com/bid/882
Ubicaci¢n del parche:
Intel:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=16378
alpha:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=16379
NOTAS:
El parche cambia la forma en que IIS analiza la URL, tras aplicar el parche retornar un error cada vez que se solicita en un directorio virtual un archivo con una extensi¢n legal.
3. Vendedor: Microsoft Producto: IIS
Vulnerabilidad parcheada: An lisis de car cter de Escape en IIS
BugTraq ID: 886
URLS relevantes: http://www.securityfocus.com/bid/886
Ubicaci¢n del parche:
Intel:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=16357
Alpha:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=16358
4. Vendedor: Microsoft
Producto: Internet Explorer
Vulnerabilidad parcheada: IE external.NavigateAndFind() Cross-Frame
BugTraq ID: 887
URLS relevantes: http://www.securityfocus.com/bid/887
Soluci¢n temporal:
Deshabilitar el Active Scripting
5. Vendedor: FreeBSD
Producto: Windowmaker wmmon 1.0b2
Vulnerabilidad parcheada: Problema de privilegio con WMMon
BugTraq ID: 885
URLS relevantes: http://www.securityfocus.com/bid/885
Ubicaci¢n del parche:
http://www.securityfocus.com/vdb/bottom.html?section=solution&vid=885
Hernan Ochoa
hochoa@core-sdi.com
CoreLabs – Core SDI
http://www.core-sdi.com
