1. Vulnerabilidad de ICMP en Open Transport de MacOS9
BugTraq ID: 890
Remoto: Sí
Fecha publicación: 29-12-1999
URL Relevante:http://www.securityfocus.com/bid/890
Resumen:
La implementación de Open Transport en MacOS 9 incluye una debilidad que puede permitir a un atacante usar el Mac como un amplificador de trafico en un ataque de DoS contra otra computadora.
Se puede enviar a una maquina corriendo MacOS 9 un paquete UDP de 29 bytes especialmente construido. El Mac responderá con un paquete ICMP de 1500 bytes. Si el primer paquete UDP se envía con una dirección IP spoofeada (falseada) de una tercera maquina, y estos paquetes falseados son enviados a varias maquinas corriendo MacOS 9, se producirá un DoS efectivo contra la tercera maquina debido al consumo del ancho de banda.
2. Vulnerabilidad de DoS por buffer overflow en el Server Rover
POP3 de aVirt
BugTraq ID: 894
Remoto: S¡
Fecha publicaci¢n: 27-12-1999
URL Relevante: http://www.securityfocus.com/bid/894
Resumen:
El servidor de mail Rover POP3 de aVirt es vulnerable a un ataque de DoS remoto debido a un buffer sin comprobar en el c¢digo que lee el nombre de usuario. Si se especifica un nombre de usuario de mas de 10000 caracteres el servidor se caer la pr¢xima vez que alguien se conecte.
3. Vulnerabilidad de buffer overflow en HELO en el servidor de mail CSM
BugTraq ID: 895
Remoto: S¡
Fecha publicaci¢n: 29-12-1999
URL Relevante: http://www.securityfocus.com/bid/895
Resumen:
El servidor de mail CSM tiene un buffer sin comprobar en el c¢digo que maneja el comando HELO, y es posible hacerlo caer al enviar un argumento de m s de 12000 bytes al comando HELO.
4. Vulnerabilidad de directory traversal en el motor de bosqueda de AltaVista
BugTraq ID: 896
Remoto: S¡
Fecha publicaci¢n: 29-12-1999
URL Relevante: http://www.securityfocus.com/bid/896
Resumen:
El motor de bosqueda de AltaVista instala un servidor web en el puerto 9000 para escuchar los pedidos de bosqueda. La funci¢n principal de bosqueda acepta una onica cadena ‘../’ en la bosqueda, dando acceso a todos los documentos un nivel arriba del directorio ‘http’. Estos documentos contienen informaci¢n administrativa variada, incluyendo la password para la aplicaci¢n de administraci¢n remota. La password esta codificada en base-64, y puede se puede convertir f cilmente en texto plano, dando a un atacante la capacidad de administraci¢n remota del motor de bosqueda.
5. Vulnerabilidad con NULLs del servidor de Web Savant
BugTraq ID: 897
Remoto: S¡
Fecha publicaci¢n: 28-12-1999
URL Relevante: http://www.securityfocus.com/bid/897
Resumen:
El servidor de Web Savant no maneja correctamente los caracteres NULL en un pedido GET, de tal forma que si encuentra uno deja de prestar servicio. El fallo es auditado en:
6. Vulnerabilidades de buffer overflow en Mini-SQL w3-msql
BugTraq ID: 898
Remoto: S¡
Fecha publicaci¢n: 27-12-1999
URL Relevante: http://www.securityfocus.com/bid/898
Resumen:
w3-msql es un programa cgi que viene junto al Mini-SQL y que sirve como interfaz v¡a web para el msql. Existen diversas vulnerabilidades de buffer overflow en el cgi, con una por lo menos probada de ser explotable. El buffer explotable es el campo de content-length y la pila se sobreescribe dentro de una llamada a scanf(). A causa de esto, es posible ejecutar c¢digo arbitrario de forma remota con el uid del servidor de web (generalmente nobody).
7. Vulnerabilidad de evasi¢n de escaneo en InterScan VirusWall
BugTraq ID: 899
Remoto: S¡
Fecha publicaci¢n: 27-12-1999
URL Relevante: http://www.securityfocus.com/bid/899
Resumen:
El InterScan VirusWall de Trend Micro es un producto dise_ado para detener el contagio de virus y gusanos a trav’s del email. Para lograr esto, filtra el trafico SMTP mediante la utilizaci¢n de cadenas de detecci¢n encontradas en estos virus. Es posible evadir el escaneo si el c¢digo malicioso est dentro de un archivo adjunto err¢neamente construido.
Si hay mas caracteres ‘=’ que los requeridos al final del adjunto codificado en base-64, InterScan no escanear la informaci¢n y la dejar pasar sin chequearla. Por otra parte cuando ocurre este error InterScan guarda un registro, de tal forma que escribe lo siguiente a los logs del sistema:
base64: Unexpected EOF seen
El worm (gusano) NewApt explota esta vulnerabilidad.
8. Vulnerabilidad de race condition en IBM Network Station Manager
BugTraq ID: 900
Remoto: No
Fecha publicaci¢n: 27-12-1999
URL Relevante: http://www.securityfocus.com/bid/900
Resumen:
Network Station Manager de IBM es una aplicaci¢n cliente/servidor que facilita el manejo de Network Stations de IBM. Es posible obtener de forma local privilegios de root en los hosts que corren el demonio de NetStation. Netstation (que corre como root) crea archivos temporales en /tmp con nombres de archivos predecibles basados en un nombre parcial de archivo conocido y la hora actual, con lo que se crea una race condition que puede llevar al compromiso del root.
Se deber¡a crear un symlink con un nombre de archivo predecible correcto que apunte a (por ejemplo) /.rhosts, con lo que NetStation escribir en este archivo. El atacante luego agregar¡a «+ +» al archivo, le har¡a un chown root y un rlogin (o rsh) como root.
9. Vulnerabilidad de symbolic link en SCO Unixware pis/mkpis
BugTraq ID: 901
Remoto: No
Fecha publicaci¢n: 27-12-1999
URL Relevante: http://www.securityfocus.com/bid/901
Resumen:
Es posible crear archivos arbitrarios pertenecientes al grupo sys a tav’s de explotar vulnerabilidades de symlink en los binarios mkpis y pis de UnixWare. mkpis/pis crear n un archivo temporal (/tmp/pisdata) perteneciente al grupo sys cuando sean ejecutados, sin determinar si el archivo temporal existe o no o/y si apunta a otros lugares. mkpis/pis seguir los symlinks y sobreescribir los archivos conectados cuando sea posible. El grupo sys puede escribir en /sbin, con lo que ser posible sobreescribir ciertos binarios con versiones maliciosas, que posteriormente pueden ser ejecutadas por root (/sbin est primero en el $PATH) con lo que se puede llegar a comprometer el sistema.
10. Vulnerabilidad local en resend de Majordomo
BugTraq ID: 902
Remoto: No
Fecha publicaci¢n: 28-12-1999
URL Relevante: http://www.securityfocus.com/bid/902
Resumen:
A trav’s de explotar el binario del majordomo «resend» es posible ejecutar comandos arbitrarios con privilegios elevados. Un programa wrapper setuid root llama a resend despu’s de hacer setuid() y setgid() a privilegios menores (pero todav¡a elevados) con los que ejecuta resend. Resend contiene una llamada a open() (es un script perl) a la que se le puede hacer ejecutar comandos del shell si un ‘|’ es el primer car cter que se le pasa, entonces si el primer par metro a resend es ‘@|shell;commands;here’, los comandos shell ser n ejecutados con los privilegios de resend.
11. Vulnerabilidad local en el parametro -C de Majordomo
BugTraq ID: 903
Remoto: No
Fecha publicaci¢n: 29-12-1999
URL Relevante: http://www.securityfocus.com/bid/903
Resumen:
Es posible para un usuario local obtener los privilegios de majordmo a trav’s de una vulnerabilidad que permite ejecutar comandos privilegiados arbitrarios. Si se pasa el par metro -C a majordomo cuando se ejecuta con el wrapper setuid root, el argumento -C se ejecutar con los privilegios de majordomo.
El siguiente es un ejemplo escrito originalmente por Olaf Kirch
shevek@tirin $ cat foo.pl
system(«/bin/csh»);
shevek@tirin $ /usr/local/majordomo/wrapper majordomo -C
/home/shevek/foo.pl
%
%whoami
majordom
12. Vulnerabilidad de PATH en Optivity NETarchitect
BugTraq ID: 907
Remoto: No
Fecha publicaci¢n: 30-12-1999
URL Relevante: http://www.securityfocus.com/bid/907
Resumen:
NETarchitect es una aplicaci¢n para simplificar la tarea de dise_ar e instalar configuraciones complejas de sistemas de redes switcheadas. Producido por Nortel Networks generalmente se incluye junto a la suite de utilidades Optivity Network Configuration System.
Es posible obtener privilegios de root en un sistema HP-UX (posiblemente tambi’n Solaris) corriendo NETarchitect si se explota una vulnerabilidad de path en el binario /opt/bna/bin/bna_pass. bna_passes ejecuta ‘rm’ y asume que el ultimo valor de la variable PATH del usuario es v lido y el binario real de rm est en el directorio desde el cual se llama. A causa de esto, es posible hacer que bna_pass ejecute binarios arbitrarios como root si la variable PATH es manipulada.
Un usuario malicioso puede agregar «.» a su variable de ambiente PATH y hacer que se busquen y ejecuten binarios en el directorio antes que otros directorios en el PATH. Entonces, seria posible ejecutar un falso ‘rm’, con el consiguiente compromiso del sistema.
13. Vulnerabilidad de Buffer Overflow en GET de CamShot
BugTraq ID: 905
Remoto: S¡
Fecha publicaci¢n: 30-12-1999
URL Relevante: http://www.securityfocus.com/bid/905
Resumen:
CamShot es un servidor de web dise_ado para trabajar en conjunto con c maras de v¡deo para computadoras. Si recibe un pedido GET de m s de 2000 bytes el software dejar de prestar servicio y posiblemente permitir la ejecuci¢n de c¢digo arbitrario.
14. Vulnerabilidad de Buffer Overflow en GET de AnalogX SimpleServer:WWW
BugTraq ID: 906
Remoto: S¡
Fecha publicaci¢n: 31-12-1999
URL Relevante: http://www.securityfocus.com/bid/906
Resumen:
El servidor de web personal SimpleServer:WWW de AnalogX puede comprometerse debido a un buffer overflow. Si se recibe un pedido de GET m s largo que 1000 bytes el software dejar de prestar servicio y la informaci¢n de la solicitud se pasa al EIP. Con lo que se puede llegar a crear el c¢digo de un exploit que permita la ejecuci¢n de c¢digo arbitrario.
15. Vulnerabilidad de Buffer Overflow en GET de Netscape FastTrack Server
BugTraq ID: 908
Remoto: S¡
Fecha publicaci¢n: 31-12-1999
URL Relevante: http://www.securityfocus.com/bid/908
Resumen:
La versi¢n de Netscape FastTrack server que se incluye con UnixWare 7.1 es vulnerable a un buffer overflow remoto. Por defecto, httpd escucha en el puerto 457 el host UnixWare y otorga documentos http. Si se le pasa al servidor una solicitud GET con mas de 367 caracteres, se le provoca un overflow a la pila y el EIP se sobreescribe, con lo que es posible la ejecuci¢n de c¢digo arbitrario con los privilegios de httpd (usualmente nobody).
16. Vulnerabilidad en IRIX midikeys/soundplayer
BugTraq ID: 909
Remoto: No
Fecha publicaci¢n: 31-12-1999
URL Relevante: http://www.securityfocus.com/bid/909
Resumen:
El sistema operativo Irix de SGI incluye con una aplicaci¢n X11 llamada ‘soundplayer’ usada para escuchar archivos .WAV. Por defecto no tiene setuid root, pero puede heredar dichos privilegios si se llama por midikeys (que es setuid en algunos viejos sistemas IRIX).
Por su parte, Soundplayer es vulnerable a un problema de validaci¢n del input. Cuando Soundplayer graba un archivo a disco, si un punto y coma se agrega al final del nombre de archivo real seguido por un comando (sin espacios), el comando se ejecutar con los privilegios de soundplayer (elevados o no). Mediante esta vulnerabilidad es posible comprometer de forma local el root si soundplayer se ejecuta a trav’s del midikeys setuid.
17. Vulnerabilidad de Symbolic Link en Ascend CascadeView tftpd
BugTraq ID: 910
Remoto: Desconocido
Fecha publicaci¢n: 31-12-1999
URL Relevante: http://www.securityfocus.com/bid/910
Resumen:
El tftpd que se incluye con CascadeView para los dispositivos de red B-STDX 8000/9000 de Ascend crea un archivo de log en /tmp llamado tftpd_xfer_status.log. Si /tmp/tftpd_xfer_status.log ya existe como un link simb¢lico, tftpd lo va a seguir y sobreescribir cualquier informaci¢n a la que apunte (corre como root). Con ello, es posible comprometer privilegios elevados en el dispositivo. Debe quedar claro que ya que esta es una vulnerabilidad en un dispositivo de red las consecuencias del compromiso pueden ser mucho mas grandes y abarcar a toda la red en vez de a una onica m quina.
Actualizaci¢n de parches del 27-12-1999 al 02-01-2000
1. Vendedor: AltaVista
Producto: Motor de bosqueda
Vulnerabilidad parcheada: Traversal directory en el motor de bosqueda AltaVista
BugTraq ID: 896
URLS relevantes: http://www.securityfocus.com/bid/896
Ubicaci¢n del parche:
http://doc.altavista.com/business_solutions/search_products/free_downloads/search_intranet.shtml
– el parche se llama «AltaVista Search Intranet v2.3A Security Patch 12/99».
2. Vendedor: True North Software
Producto: Internet Anywhere Mail Server
Vulnerabilidad parcheada: Internet Anywhere Mail Server
BugTraq ID: 730
URLS relevantes: http://www.tnsoft.com
http://www.securityfocus.com/bid/730
Ubicaci¢n del parche: http://www.tnsoft.com/download.html
(New version, 3.1.3)
3. Vendedor: Trend Micro
Producto: InterScan VirusWall
Vulnerabilidad parcheada: Evasi¢n de escaneo en InterScan VirusWall
BugTraq ID: 899
URLS relevantes: http://www.trend.com
http://www.securityfocus.com/bid/899
Ubicaci¢n del parche:
http://www.antivirus.com/download/patches.htm
– El parche se llama isvwsol301a_u2.tar
4. Vendedor: FuseWare
Producto: FuseMail
Vulnerabilidad parcheada: Buffer overflow en FuseWare FuseMail
POP Mail
BugTraq ID: 634
URLS relevantes: http://www.securityfocus.com/bid/634
Ubicaci¢n del parche:
http://www.crosswinds.net/ fuseware/FuseMail.exe
(Nueva versi¢n)
5. Vendedor: SCO
Producto: Unixware
Vulnerabilidad parcheada: Buffer overflow remoto en SCO Unixware i2odialogd
BugTraq ID: 876
URL relevante: http://www.securityfocus.com/bid/876
Ubicaci¢n del parche: http://www.sco.com/security
– Parche SSE054
6. Vendedor: SCO<7b>
Producto: Unixware
Vulnerabilidad parcheada: Buffer Overflow en SCO Unixware
pkginstall/pkgcat
BugTraq ID: 853
URL relevante: http://www.securityfocus.com/bid/853
Ubicaci¢n del parche: http://www.sco.com/security
– Parche SSE053
7. Vendedor: SCO
Producto: Unixware
Vulnerabilidad parcheada: SCO UnixWare ‘xauto’ Buffer Overflow
BugTraq ID: 848
URL relevante: http://www.securityfocus.com/bid/848
Ubicaci¢n del parche: http://www.sco.com/security
– Parche SSE047
Hernan Ochoa hochoa@core-sdi.com
una-al-d¡a es un servicio de HispaSec http://www.hispasec.com
