Daboweb | Seguridad y ayuda informática |

Se han reportado por parte de Debian dos vulnerabilidades en el gestor de bases de datos phpMyAdmin. Se recomienda su actualización a la mayor brevedad posible debido al impacto de las mismas en el sistema caso de ser explotadas.

La versión «oldstable» (lenny) no está afectada por estos problemas, para la rama actual estable (Squeeze), hay que actualizar phpMyAdmin a la versión 4:3.3.7-7., en la de pruebas «Whezzy» hay que actualizar a la 4:3.4.7.1-1.:

Referencias sobre los bugs (entre ellos un XSS).

In the Debian bugtracking system: Bug 656247.
In Mitre’s CVE dictionary: CVE-2011-1940, CVE-2011-3181, CVE-2011-4107.

Se han reportado varias vulnerabilidades explotables tanto local como remotamente en el Kernel Linux para Debian. De un impacto para el sistema catalogado por Debian como «severo», caso de que los fallos de seguridad localizados sean aprovechados por atacantes, podrían ocasionar denegación de servicio (DoS), la revelación de información sensible sobre el sistema o una escalada de privilegios.

Debido al alcance de estas vulnerabilidades, desde Daboweb os recomendamos actualizar el Kernel a la mayor brevedad posible. En la actual rama estable de Debian (6.0) «Squeeze», los problemas se solventan con la instalación de la versión 2.6.32-1um-4+39squeeze1.

Para la anterior versión estable «Olstable» Debian (5.0) «Lenny», las actualizaciones llegarán próximamente (cabe recordar que el 14-2-2012 dejará de recibir actualizaciones de seguridad).

Lista de bugs corregidos;

CVE Id(s) : CVE-2011-2183 CVE-2011-2213 CVE-2011-2898 CVE-2011-3353 CVE-2011-4077
CVE-2011-4110 CVE-2011-4127 CVE-2011-4611 CVE-2011-4622 CVE-2011-4914. 

Más información (ENG).

Según leíamos en Hispasec hace unos días (se nos pasó por aquello de las fechas), se han detectado varias vulnerabilidades que afectan a la popular aplicación de mensajería del sistema operativo Android, las cuales pueden comprometer la seguridad del aparato atacado. En concreto son:

1. Es posible cambiar el estado de un usuario simplemente proporcionando el número de teléfono registrado en WhatsApp y el texto con el mensaje del nuevo estado ya que no se requiere ninguna autenticación o autorización previa a dicha acción.

2. La función que comprueba el código que se envía durante el proceso de registro de un nuevo número de teléfono es vulnerable a ataques de fuerza bruta, lo cual podría permitir que un atacante remoto registre de números de teléfono arbitrarios y suplante la identidad de estos usuarios.

3. El tráfico de datos a través del protocolo XMPP de WhatsApp no está cifrado, lo cual podría ser aprovechado por un atacante remoto para llevar a cabo un ataque Man-in-the-Middle, y conseguir leer, enviar, recibir, e incluso modificar mensajes que están destinados a otra persona.

Solamente se ha facilitado como medida de protección ante el segundo fallo, una limitación de 10 intentos para introducir el códigoque se envía a la hora de realizar el ataque de fuerza bruta, aunque no hay nada al respecto de las otras dos vulnerabilidades. Recordemos que esta aplicación informática se ha hecho muy popular entre todos los usuarios de teléfonos móviles que disponen de Android como su sistema operativo, lo cual multiplica exponencialmente el número de usuarios que pueden verse afectados. Mas información aquí.

Un mes más, te recomendamos el recopilatorio de entradas publicadas en Daboweb en Diciembre de 2011, por si en el día a día de la publicación, alguna que pudiera interesarte, se te ha pasado por alto.

Todos los comentarios los vamos recogiendo en el foro de noticias que hemos creado para opinar sobre ellas. También te invitamos a participar en nuestros foros para exponer tus dudas o ayudar a despejar las que tengan otros. (Te recomendamos ver nuestro archivo de contenidos publicados).

diciembre 2011

• 31: Desde Daboweb os deseamos un feliz y seguro 2012
• 27: [Breves] Foros SMF 2.0.2 y 1.1.16 solventan vulnerabilidades críticas
• 27: Fallo de seguridad en el navegador de Android
• 24: Nuestra tarjeta de Navidad
• 22: [Breves] phpMyAdmin 3.4.9 solventa dos vulnerabilidades XSS
• 21: Pablo Soto, creador de programas P2P, es declarado inocente
• 21: Firefox 9 ya disponible para Windows, GNU/Linux y Mac OS X (cada vez más rápido)
• 14: Actualizaciones de Microsoft Diciembre de 2011
• 13: Megaupload demanda a la discográfica Universal
• 13: WordPress 3.3 “Sonny”. Versión final, descarga disponible
• 07: Revista electrónica de seguridad (IN)SECURE Magazine, número 32.
• 06: [Breves] Drupal 7.10 Released
• 04: 0-day en Yahoo Messenger
• 02: Publicado en Daboweb. Noviembre de 2011
• 01: [Breves] Abierto el registro para el Congreso de Seguridad Rooted CON 2012

El equipo de desarrollo del sistema de foros SMF, ha liberado dos nuevas versiones para las ramas 2.x y 1.1x que solventan vulnerabilidades catalogadas por ellos como críticas. Debido a este hecho, se recomienda parchear los foros a la mayor brevedad posible.

Recordad que para actualizar hay que poner el foro en mantenimiento, después como idioma «english» y una vez parcheado, hay que ejecutar el script (y luego borrarlo) www/miforo/upgrade.php. Más info y descarga de las versiones 2.0.2 y 1.1.16.

Según podemos leer en Hispasec, se ha detectado un  fallo de seguridad en el navegador web del popular sistema operativo de móviles y tablets Android. Esta vulnerabilidad permite a un atacante, mediante una web especialmente diseñada, conseguir que esta contenga el certificado de seguridad de otra que se pretende suplantar, con lo que de este modo verá un certificado aparentemente seguro y confiará en el sitio web malicioso. Este fallo afecta a la version  2.3.3 de Android, aunque no se descarta que pueda encontrarse en otras también.
Desde varias webs especializadas en seguridad informática se ha calificado este fallo como de bajo riesgo, pero mas vale ser precavidos a la hora de navegar por la red. En este link tenéis mas información detallada y unas cuantas capturas de pantalla al respecto de este fallo.

Se ha reportado una vulnerabilidad 0-day en el programa de mensajería Yahoo Messenger que afecta a las versiones 11.x y anteriores, que podría permitir a atacantes remotos modificar el mensaje de estado de cualquier usuario.

Conforme leemos en Inteco, la forma de explotar esta vulnerabilidad es modificar el mensaje de estado de la víctima con una URL que apunte a una página maliciosa que distribuya malware o que intente explotar alguna vulnerabilidad en el navegador, Java, Flash, PDF, etc. Según describe Sophos, cualquier usuario que pueda recibir mensajes desde contactos fuera de sus listas es 100% vulnerable a dicha vulnerabilidad, opción que se encuentra habilitada por defecto.

Se ha liberado por parte de la comunidad de desarrolladores de BIND, la versión BIND 9.8.1-P1 que solventa una vulnerabilidad seria que afecta al conocido servidor DNS y que según podemos leer en ISC, resuelve fallos en su funcionamiento a través de ciertas peticiones y el registro o log de errores en «query.c».

Descarga | lista de cambios.  (También están disponibles los parches en los «sources» de Debian).

Según leemos en la lista de correo «Apple Security«, demás de solventar el comentado excesivo consumo de batería, gestos multi-táctiles en los iPad de primera generación y problemas con la sincronización de documentos en iCloud, esta actualización de IOS etiquetada como 5.0.1, corrige el bug del desbloqueo y la tapa del iPad2 CVE-2011-3440 , así como en CFNetwork CVE-2011-3246 (posible recopilación de información sensible visitando una web manipulada para tal fin),

También en CoreGraphics CVE-2011-3439 – FreeTipe (ejecución remota de código manejando o visionando una fuente manipulada), la posibilidad de interceptar datos sensibles o comprometer una conexión a través de certificados no confiables (DigiCert Malaysia), se solventa un bug en el Kernel reportado por Charlie Miller CVE-2011-3442 y una vulnerabilidad en libinfo CVE-2011-3441 que podría ser explotada caso de visitar una web maliciosa manipulada para esa finalidad..

Esta actualización está disponible a través de iTunes y por el nuevo método «OTA» (over the air) desde el propio dispositivo.

Se ha descubierto según leemos en Hispasec, una vulnerabilidad en el gestor de bases de datos vía navegador PhpMyAdmin, mediante la cual un atacante remoto podría leer archivos del servidor mediante un fichero XML especialmente creado para tal caso (en la etiqueta «ENTITY» se especifica la ruta al fichero al que se desea tener acceso).

Concretamente el fallo reside en la función «simplexml_load_string» del archivo «libraries/import/xml.php». Este fallo ha sido ampliamente difundido en la red a través de varias webs, lo que lo hace especialmente peligroso si tenemos en cuenta que de momento no se ha publicado parche que lo corrija.

Hay que aclarar que para que un atacante pudiera comprometer nuestro servidor, ha de poder autenticarse en él, es decir, que se trate de uno de nuestros usuarios. Mas información aquí.

Los lectores habituales de Daboweb y otros blogs dedicados a estas cuestiones, ya estaréis al tanto del bug que afectaba a temas y plugins de WordPress con versiones de «Timthumb» vulnerables. Esta herramienta tan utilizada, hace posible la redimensión de imágenes en WP y se reportó una vulnerabilidad que permitía subir cualquier fichero PHP al directorio «cache» de Timthumb, pudiendo ejecutar código y comprometiendo al sitio web afectado.

Hecha esta aclaración, nos hacemos eco de una noticia publicada hoy en «SC Magazine» (ENG), en la que se dan datos acerca de los miles de blogs afectados hasta la fecha, además de recordar que desde hace meses hay una versión de Timthumb corregida.

Como se puede ver, nuevos problemas en viejas vulnerabilidades. Esta es seria y fácil de solventar, os recomendamos revisar vuestras instalaciones de WordPress y reemplazar versiones vulnerables del script caso de haberlas, por otra actualizada (guardadlo en texto plano y renombrarlo como timthumb.php).

Al igual que en anteriores ocasiones, os recomendamos una nueva lección de Intypedia (Enciclopedia de Seguridad de la Información). En este caso, está orientada a los ataques al protocolo SSL, (Interesante también esta información sobre la última vulnerabilidad en SSL y TLS desde Inteco).

Según podemos leer en el resumen de esta lección;

Alicia explica a Bernado los ataques más famosos al protocolo SSL/TLS y como protegerse de ellos. En el vídeo se recomiendan acciones básicas para una navegación más segura utilizando dicho protocolo.

Información de apoyo

Guión [PDF][415KB]
Diapositivas [PDF][134KB]
Ejercicios [PDF][908KB]

La Fundación Mozilla ha publicado hasta diez boletines de seguridad sobre productos suyos acerca de vulnerabilidades que en algunos casos han sido clasificadas como críticas y que en algunos casos ni requerirían la colaboración del usuario afectado. Ejecución de código a través de archivos .ogg, elevación de privilegios a través de JSSubScriptLoader, corrupción de memoria o incluso problemas de instalación de software al presionar la tecla «Intro», son algunos de los fallos encontrados y motivo principal de estos boletines.

Los responsables del proyecto Mozilla recomiendan la actualización inmediata del cliente de correo Thunderbird, de SeaMonkey y del popular y utilizado navegador opensource Firefox para mayor seguridad de sus usuarios. Mas información aquí.

Adobe acaba de publicar una nueva versión de su reproductor Flash Player que solventa varias vulnerabilidades catalogadas como críticas para los sistemas afectados. En Windows, GNU/Linux, Mac OS X o Solaris, si tienes la versión 10.3.183.7 o una anterior, debes actualizar a la 10.3.183.10. En plataformas Android, si tienes la versión 10.3.186.6 o una anterior, debes actualizar a la versión 10.3.186.7.

Si quieres saber la versión de Flash Player que utilizas, puedes comprobarlo desde este enlace.

Concretamente, los bugs corregidos son los siguientes; CVE-2011-2426, CVE-2011-2427, CVE-2011-2428, CVE-2011-2429, CVE-2011-2430, CVE-2011-2444. Hablamos de vulnerabilidades serias caso de ser explotadas, como puede ser la ejecución de código arbitrario en los equipos afectados (AVM stack overflow), ataques cross-site scripting a través de webs o e-mails previamente manipulados para tal fin, en funciones de streaming, etc.

Información detallada en Adobe de los parches incluidos y bugs (ENG) | Descarga de Flash Player.

Se está hablando mucho estos días del bug y el cambio de passwords en Lion tal y como podemos leer en Ontinet y nos han llegado varias consultas sobre cómo actuar hasta que Apple publique una actualización que lo solvente.

Aclaramos en el título lo de «un ataque local», ya que se requiere acceso físico a la máquina para poder llegar a efectuar dicho ataque con sólo tipear el siguiente comando en el terminal; dscl localhost -passwd /Search/Users/NombreUsuario.

Esta vulnerabilidad / debilidad en la gestión de las contraseñas de Mac OS X no es nueva tal y como nos recuerdan desde Genbeta (donde también se dan buenos consejos), ahora, con el lanzamiento de Lion, vuelve a estar de actualidad y es lógica la preocupación de los usuarios de OS X frente a un ataque de este tipo.

Realmente no es algo tan complejo de paliar y obviamente, ayuda que sea un ataque para el que se necesite estar frente al equipo caso de querer efectuarlo. También en LifeHacker (ENG) un usuario ha preguntado lo mismo y vamos a dar un repaso a las medidas a poner en práctica.

Desde el terminal;

• Desactivar los permisos de dscl (como root) tipeando; chmod 100 /usr/bin/dscl

Desde Preferencias del Sistema – Seguridad;

• #Nota. Puedes ver esta imagen de LifeHacker para ver mejor los cambios
• Desactiva el inicio de sesión automático.
• Activa la opción «solicitar password inmediatamente» cuando se active el salvapantallas o la suspensión.
• (Sobre este punto comentar que en Preferencias- Energía podéis bajar el tiempo de esos valores, recomendable).
• Solicitar la contraseña de administrador para desbloquear cualquier preferencia del sistema bloqueada.
• No olvides bloquear el candado en la zona inf izquierda.

Desde Preferencias del Sistema – Usuarios y grupos;

• Desactivar la cuenta de invitado
• (También recomendable en «compartir» desactivar el acceso a carpetas compartidas)

Ahora sólo es cuestión de esperar y ver el «tiempo de respuesta» por parte de Apple para parchear este agujero de seguridad.