Una semana más el resumen de Bugtraq nos trae un gran número de vulnerabilidades de todo tipo de sistemas, Windows 95/98, NT, Microsoft SQL, Unix, Linux, Firewalls, etc.
1. Vulnerabilidad en Telnet de POC32
2. Vulnerabilidad en accesos directos de ayuda de MS IE
3. Vulnerabilidad de tipo buffer overflow en Microsoft Clip Art
4. Vulnerabilidad en el instalador de Oracle para Linux
5. Vulnerabilidad en CGI rpm_query en Caldera OpenLinux 2.3
6. Vulnerabilidad de compromiso del password del share de la impresora en Printtool
7. Vulnerabilidad en mtr de múltiples vendedores
8. Vulnerabilidad de Buffer Overflow Remoto en StarOffice StarScheduler
9. Vulnerabilidad de lectura de archivos arbitrarios en StarOffice StarScheduler
10. Vulnerabilidad de Query no validado en Microsoft SQL Server
11. Vulnerabilidad en carpetas de usuarios del shell de NT
12. Vulnerabilidad de DoS en nombre de dispositivos MS-DOS en Microsoft Windows 95/98
13. Vulnerabilidad en la llave del registro AEDEBUG en Microsoft Windows
14. Vulnerabilidad de FTP «ALG» en el cliente de moltiples Vendedores de Firewalls
15. Vulnerabilidad en IrcII DCC Chat de tipo buffer overflow
16. Vulnerabilidad en wmcdplay de tipo buffer overflow
Resumen de Bugtraq del 06-03-2000 al 12-03-2000
1. Vulnerabilidad en Telnet de POC32
BugTraq ID: 1032
Remoto: S¡
Fecha de publicaci¢n: 07-03-2000
URL Relevante:
http://www.securityfocus.com/bid/1032
Resumen:
POC32 es un programa designado para decodificar los mensajes POCSAG capturados v¡a el escaneo de las frecuencias de los buscapersonas. Estos mensajes codificados son transferidos a la computadora a trav’s de se_ales audibles, y decodificadas y mostradas por el programa POC32. Esta utilidad permite su utilizaci¢n de forma remota v¡a TCP/IP. Existe una opci¢n para inhabilitar esta funci¢n, sin embargo aun con esta funci¢n desactivada sigue siendo posible efectuar un telnet al puerto del POC32.
El programa permite moltiples intentos, por eso el password es susceptible a ataques de fuerza bruta. Una conexi¢n exitosa puede permitir al atacante ver mensajes de buscapersonas decodificados.
El port por defecto es 8000 y el password por defecto es ‘password’.
2. Vulnerabilidad en accesos directos de ayuda de MS IE
BugTraq ID: 1033
Remoto: S¡
Fecha de publicaci¢n: 01-03-2000
URL Relevante:
http://www.securityfocus.com/bid/1033
Resumen:
El m’todo window.showHelp() en el Internet Explorer permite al IE abrir archivos de ayuda HTML (.chm). Estos archivos pueden contener accesos directos a archivos ejecutables que pueden correr con nivel privilegiado del usuario actual. Los archivos ..chm no se pueden abrir v¡a http, pero un archivo .chm remoto puede ser visualizado si est en un servidor con Microsoft Networking (incluyendo Samba) instalado.
Por esto, un atacante puede configurar una p gina web con un enlace apuntando a un archivo .chm en cualquier host con NetBios activado. Ese archivo .chm puede estar construido para ejecutar cualquier programa que est’ en la maquina v¡ctima o en cualquier servidor con NetBios activado.
3. Vulnerabilidad de tipo buffer overflow en Microsoft Clip Art
BugTraq ID: 1034
Remoto: S¡
Fecha de publicaci¢n: 06-03-2000
URL Relevante:
http://www.securityfocus.com/bid/1034
Resumen:
Existe una vulnerabilidad en Microsoft Clip Art Gallery, donde un usuario remoto puede colgar la aplicacion Clip Art o posiblemente ejecutar c¢digo arbitrario. Clip art puede descargarse desde cualquier sitio web e incorporarse en la galer¡a local. Se usa un formato particular de archivo (llamado .CIL) para transportar nuevos archivos de Clip art a los usuarios. La vulnerabilidad reside en que un usuario puede abrir un .CLI malformado que contenga un campo largo descargado de algon website malicioso o en la forma de un adjunto contenido en un email.
4. Vulnerabilidad en el instalador de Oracle para Linux
BugTraq ID: 1035
Remoto: No
Fecha de publicaci¢n: 05-03-2000
URL Relevante:
http://www.securityfocus.com/bid/1035
Resumen:
Exsiste una vulnerabilidad en el programa de instalaci¢n de Oracle 8.1.5i. El script de instalaci¢n de Oracle crea un directorio llamado /tmp/orainstall, perteneciente a oracle:dba, con modo 711. Dentro de este directorio se crear otro script llamado orainstRoot.sh, con modo 777. El script de instalaci¢n parar su ejecucion y preguntar a la persona que lo est instalando si desea ejecutar el otro script, pero en ningon momento intenta determinar si el directorio o el script ya existen. Esto hace posible crear un enlace simb¢lico desde orainstRoot.sh a cualquier lugar del sistema de archivos. Esto se puede usar para crear un archivo .rhost y ganar acceso a la cuenta root.
Adem s de esto, desde que el archivo orainstRoot.sh se encuentra en modo 777, es posible para cualquier usuario en la maquina editar el script para ejecutar comandos arbitrarios que corren como root. Nuevamente esto puede comprometer la cuenta root. No se tiene conocimiento exacto de que versiones de Oracle est n afectadas, aunque est confirmado en Oracle 8.1.5i bajo plataformas Linux/Intel. Es posible que esta vulnerabilidad exista en otras versiones y otras plataformas.
5. Vulnerabilidad en CGI rpm_query en Caldera OpenLinux 2.3
BugTraq ID: 1036
Remoto: S¡
Fecha de publicaci¢n: 05-03-2000
URL Relevante:
http://www.securityfocus.com/bid/1036
Resumen:
Existe una vulnerabilidad en la instalaci¢n por defecto del caldera OpenLinux 2.3. Se instala un CGI llamado rpm_query en /home/httpd/cgi-bin/ de forma que cualquier usuario puede ejecutar este CGI y obtener un listado de los paquetes (y sus respectivas versiones) instalados en el sistema. Esto puede usarse para determinar vulnerabilidades en la maquina de forma remota.
6. Vulnerabilidad de compromiso del password del share de la impresora en Printtool
BugTraq ID: 1037
Remoto: No
Fecha de publicaci¢n: 09-03-2000
URL Relevante:
http://www.securityfocus.com/bid/1037
Resumen:
printtool es una herramienta para la configuraci¢n de la impresora para X11 que se vende con RedHat Linux y posiblemente con otras distribuciones de Linux. Cuando se configura una impresora con printtool, los permisos del archivo de configuraci¢n son puestos para que cualquiera los pueda leer. Esto se muestra en un ejemplo enviado a bugtraq en el que se advierte sobre esta vulnerabilidad:
[dubhe@duat dubhe]$ ls -lsa /var/spool/lpd/lp/.config 1 -rw-r–r– 1 root root 96 Mar 6 13:21 /var/spool/lpd/lp/.config
Es posible obtener el password para compartir la impresora desde el momento en que se guarda en el archivo de configuraci¢n, ya que permite lectura para todos los usuarios:
[dubhe@duat dubhe]$ cat /var/spool/lpd/lp/.config
share=’xxxxxHP’
hostip=xxx.xxx.xxx.xxx
user=’username’
password=’1111′
workgroup=’xxxxxxxx’
7. Vulnerabilidad en mtr de moltiples vendedores
BugTraq ID: 1038
Remoto: No
Fecha de publicaci¢n: 03-03-2000
URL Relevante:
http://www.securityfocus.com/bid/1038
Resumen:
Existe una vulnerabilidad potencial en el programa ‘mtr’ de Matt Kimball y Roger Wolff. Las versiones anteriores a la 0.42 asignan privilegios de forma incorrecta en todas las variantes de Unix excepto en HPUX. Mediante una llamada a setuid(getuid()) los autores esperan asignar permisos para prevenir la obtenci¢n de privilegios root, ah¡ deber¡a haber una potencial vulnerabilidad en el mtr o en una librer¡a que depende de este.
Sin embargo, debido a sem ntica del uid guardado, el uid de 0 se puede recobrar de forma simple al hacer un setuid(0). Un atacante solo necesita encontrar un desbordamiento en una de las librer¡as que usa mtr, como por ejemplo gtk o curses. En las versiones parcheadas, las llamadas a seteuid() se han cambiado a setuid(). Esto elimina este potencial problema.
Se ha sugerido que las distribuciones de Linux que incluyen mtr usan la versi¢n 0.28. Esta versi¢n es vulnerable. Por favor consulte en el sitio web de su distribuci¢n para mas informaci¢n.
8. Vulnerabilidad de buffer overflow remoto en StarOffice StarScheduler
BugTraq ID: 1039
Remoto: S¡
Fecha de publicaci¢n: 09-03-2000
URL Relevante:
http://www.securityfocus.com/bid/1039
Resumen:
StarOffice es una suite de utilidades para escritorio de Sun Microsystems. StarScheduler es un servidor de groupware que se vende con StarOffice y que incluye un servidor web vulnerable a ataques remotos de tipo buffer overflow. Por defecto, el webserver corre como root y queda escuchando el port 801. Cuando se realiza un pedido de GET con un par metro mas largo que el predefinido, la pila se desborda y se altera la secuencia de ejecuci¢n. Es posible sobreescribir la direcci¢n de retorno en la pila y poder ejecutar c¢digo arbitrario corriendo como root.
La consecuencia de esta vulnerabilidad compromete la cuenta root de forma remota.
9. Vulnerabilidad de lectura de archivos arbitrarios en StarOffice StarScheduler
BugTraq ID: 1040
Remoto: S¡
Fecha de publicaci¢n: 09-03-2000
URL Relevante:
http://www.securityfocus.com/bid/1040
Resumen:
StarOffice es una suite de utilidades para escritorio de Sun Microsystems. StarScheduler es un servidor de groupware que se vende con StarOffice e incluye un servidor web que corre como root por defecto. Cuando se env¡a un pedido de un documento al webserver, el demonio httpd del StarScheduler va a seguir el path -../-. Como resultado, el explotar esto permite a el atacante ver cualquier archivo en la maquina atacada, inclusive ficheros como /etc/shadow.
10. Vulnerabilidad de Query no validado en Microsoft SQL Server
BugTraq ID: 1041
Remoto: S¡
Fecha de publicaci¢n: 03-08-2000
URL Relevante:
http://www.securityfocus.com/bid/1041
Resumen:
Microsoft SQL Server 7.0 y Data Engine (un add-on compatible con SQL para Access 2000 y Visual Studio 6.0) acepta peticiones de SQL que pueden usarse para comprometer la base de datos o el sistema operativo.
Cualquier usuario con privilegios para ejecutar comandos SQL tiene la posibilidad de pasar comandos a trav’s de la sentencia SELECT del SQL que va a correr en un nivel privilegiado del usuario propietario de la base de datos o del administrador.
11. Vulnerabilidad en carpetas de usuarios del shell de NT
BugTraq ID: 1042
Remoto: No
Fecha de publicaci¢n: 09-03-2000
URL Relevante:
http://www.securityfocus.com/bid/1042
Resumen:
El valor del registro:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerUserShell FoldersCommon Startup
Especifica compartir la carpeta de inicio para todos los usuarios del sistema. Esta entrada esta configurada con permisos de escritura para cualquier usuario autentificado. As¡, cualquier usuario puede especificar una carpeta con un acceso directo a un programa a elecci¢n, que va a correr (con su nivel de privilegios) cada vez que un usuario se conecte.
12. Vulnerabilidad de DoS en nombre de dispositivos MS-DOS en Microsoft Windows 95/98
BugTraq ID: 1043
Remoto: S¡
Fecha de publicaci¢n: 04-03-2000
URL Relevante:
http://www.securityfocus.com/bid/1043
Resumen:
Debido a un error en los sistemas operativos Microsoft Windows 95 y Microsoft Windows 98, los usuarios locales y remotos tienen la capacidad de colgar el sistema simplemente pidiendo un path y un archivo que est’n referidos a un nombre de un dispositivo reservado de la forma dispositivodispositivo.
Los siguientes nombres de dispositivo son los conocidos para hacer el sistema inestable: CON, NUL, AUX, PRN, CLOCK$, COMx, LPT1, y CONFIG$.
Esta vulnerabilidad puede ser explotada en una mont¢n de formas Los usuarios locales son capaces de colgar el sistema operativo con solo intentar abrir un archivo de tipo dispositivodispositivo, ej. con Microsoft Word o el con el s¡mbolo del sistema. Se puede obtener el mismo resultado al visitar un sitio web y consultar una p gina HTML con una referencia local a un dispositivodispositivo como .
Es posible colgar de forma remota una maquina con Windows 95/98. Este bug se puede explotar remotamente a trav’s de cualquier servicio que involucre al usuario remoto a especificar en la maquina v¡ctima ej. ftp o servicios web, netbios shares, etc.
FTP: ftp> ls nul/nul
WWW: http ://target/con/con targetprnprn etc.
13. Vulnerabilidad en la llave del registro AEDEBUG en Microsoft Windows
BugTraq ID: 1044
Remoto: S¡
Fecha de publicaci¢n: 22-06-1998
URL Relevante:
http://www.securityfocus.com/bid/1044
Resumen:
En algunas instalaciones de Windows NT los permisos por defecto permiten a los miembros del grupo ‘Everyone’ escribir en el valor del registro que controla el debugger (depurador) que se ejecuta ante una ca¡da del sistema. El valor del registry en cuestion es:
HKLMSoftwareMicrosoftWindows NTCurrentVersionAeDebugDebugger
Tambi’n, existe un valor que controla si se le presenta alguna pregunta al usuario antes de que se ejecute el debugger seleccionado.
HKLMSoftwareMicrosoftWindows NTCurrentVersionAeDebugauto
Por lo tanto, un atacante puede especificar que programa se ejecutar ante el evento de que un proceso se caiga. Notese que el c¢digo a ejecutar ya debe estar presente en la maquina atacada.
14. Vulnerablidad de FTP «ALG» en el cliente de moltiples vendedores de firewalls
BugTraq ID: 1045
Remoto: S¡
Fecha de publicaci¢n: 10-03-2000
URL Relevante:
http://www.securityfocus.com/bid/1045
Resumen:
Existe un vulnerabilidad en el manejo de ciertas reglas de algunos firewalls, que puede permitir a los usuarios exteriores al cortafuegos ganar acceso limitado a reas protegidas por el firewall. Tambi’n es posible usar clientes basados en esta vulnerabilidad para explotar estos problemas.
Mandando un email que contenga un tag de HTML como el siguiente:
Al balancear el numero de letras A el comando PORT comienza en un nuevo l¡mite, el firewall va a pasar incorrectamente el resultado del RETR /aaaaaaaa[….]aaaaaPORT 1,2,3,4,0,139 como primero un RETR y despu’s un comando PORT, y abrir el puerto 139 a la direcci¢n de origen. Esto permitir al sitio donde esta el servidor conectarse al puerto 139 del cliente. Puede usarse cualquier puerto en lugar del 139, salvo cuando el firewall lo bloquee espec¡ficamente.
15. Vulnerabilidad en IrcII DCC Chat de tipo buffer overflow
BugTraq ID: 1046
Remoto: S¡
Fecha de publicaci¢n: 10-03-2000
URL Relevante:
http://www.securityfocus.com/bid/1046
Resumen:
IrcII es un conocido Cliente de IRC para unix. Es sabido que la version 4.4-7 y posiblemente versiones previas son vulnerables a condiciones de buffer overflow en el DCC chat. Puede ser posible ejecutar c¢digo arbitrario en un cliente intentando iniciar un dcc chat. Explotar esta vulnerabilidad puede resultar en un compromiso remoto con los privilegios del usuario que este corriendo el cliente de ircII.
16. Vulnerabilidad en wmcdplay de tipo buffer overflow
BugTraq ID: 1047
Remoto: No
Fecha de publicaci¢n: 11-03-2000
URL Relevante:
http://www.securityfocus.com/bid/1047
Resumen:
wmcdplay es un cdplayer usado generalmente con el sistema de ventanas WindowMaker X11 en sistemas unix. Cuando wmcdplay se instala por defecto cambia setuid a root. wmcdplay es vulnerable a ataques de buffer overflow debido a la ausencia del chequeo de los l¡mites de un argumento se le pasa. Como resultado, un usuario local puede elevar sus privilegios hasta root, al sobreescribir la pila y ejecutar c¢digo arbitrario con la identificaci¢n de usuario efectiva (euid) del proceso (root).
Hernan M. Gips
chipi@core-sdi.com
Investigacion y Desarrollo – CoreLabs – Core SDI
http://www.core-sdi.com
