Daboweb | Seguridad y ayuda informática |

El equipo de desarrollo de Coppermine ha publicado una actualización de su sistema de galerías (versión 1.5.16) que viene a solventar una vulnerabilidad catalogada como «seria» para la integridad del CMS (Gestor de contenidos).

El bug afecta a la posibilidad de registrarse y acceder a la parte administrativa de las galerías con privilegios de administrador, de ahí que digan; «de obligatoria actualización«. Además de este fallo, se han añadido 4 mejoras en otros aspectos de Coppermine.

La info original y cambios (ENG) | Link a la descarga | Tutorial actualización Coppermine.

Durante el día de ayer y hoy, hemos podido leer tal y como informan en Ontinet y en muchos otros sites, que dos de los servidores destinados a distribuir el Kernel que impulsa nuestras distros de GNU/Linux alojados en kernel.org, fueron víctimas de un ataque que podíamos catalogar como «devastador», dado el grado de acceso que se consiguió.

Hablamos nada más y nada menos que con privilegios de «root» (súper usuario en un sistema *Nix). Este hecho derivó en la inclusión de un troyano en parte de su código fuente con las consecuencias que ello conlleva. A pesar de que la intrusión se llevó a cabo el día 12 de Agosto y fue descubierta el pasado 28, algunos pueden pensar si el Kernel que han descargado desde el día 12 hasta la fecha contiene alguna vulnerabilidad.

Una fuente tan reputada como Jonathan Corbet ya ha dicho que no debemos preocuparnos por la integridad del Kernel reconociendo (cómo no) que es un tema preocupante y que se volcarán backups «limpios» en los sistemas afectados además de revisar el resto.

Hablando de Git…

Los aproximadamente 40.000 ficheros que componen el Kernel, cuentan con una protección como la que ofrece «Git» (creado por el propio Linus Torvalds) el cual se basó para su desarrollo en BitKeeper y en Monotone para llevar un control de versiones eficaz y seguro. Actualmente, Git esta principalmente mantenido por Junio Hamano junto a casi 300 programadores.

Git es usado actualmente además de para desarrollar el código del Kernel, de proyectos de tanto peso como Perl, KDE, Android, Debian o GNOME por citar algún ejemplo.

Os podéis imaginar lo que puede ser llevar ese control de cambios en un mismo fichero por una cantidad tan grande de programadores que trabajan en el código fuente del Kernel. Gracias a Git, ese proceso se realiza de una forma rápida y eficiente. Cuando se realiza un cambio en el código sobre alguna versión previa, los cambios que se hacen posteriormente son notificados en todas ellas.

La gestión distrubuida que ofrece Git proporciona a cada mantenedor del código una copia local con todos los cambios realizados en el desarrollo de un proyecto. Esos cambios se propagan entre repositorios locales y son importados como ramas adicionales pudiendo ser fusionadas del mismo modo que en la ramificación local. Todo ello apoyado por la solidez del «hash» SHA1 para evitar «colisiones» y llevar un mejor control de los cambios realizados.

Trabaja con desarrollos no-lineales que dotan de una mejor gestión de las ramificaciones y la fusión con versiones diferentes del código, se realiza de una forma rápida y eficaz. A pesar de que se hay otras formas de publicar los cambios, se suele optar por el cifrado que ofrece SSH para hacerlo de un modo más seguro. Se pueden usar a modo de emulación, varios módulos y clientes CVS y con «git-svn» trabajaremos con Subversion o svk.

Como podéis ver, la forma de trabajar a través de Git junto a las palabras de Corbet ya deberían ser suficientes como para tranquilizarnos, alguien como él no diría gratuitamente «no hay problemas con el Kernel» caso de haberlos, pero también, muchos de los desarrolladores que se encargan de su mantenimiento, si no fuese así, podéis dar por seguro que darían la voz de alarma.

Lo mejor para ver todas las funcionalidades de Git, es pasaros por sus «FAQs».

Como habéis podido leer hoy en Daboweb, hace unas horas os informábamos acerca de los parches que ha aplicado Debian con una nueva versión de Apache que solventaba la vulnerabilidad y los ataque DoS CVE-2011-3192 (además de uno específico en mod_dav) tanto en la rama «oldstable» (Lenny) como en la «stable» (squeeze).

Os informamos que ya está disponible una nueva versión de Apache (2.2.20) que solventa dicho bug por lo que es más que recomendable su actualización a la mayor brevedad posible, además de revertir los posibles cambios (por ejemplo la activación de mod_deflate) relalizados para mitigar el impacto del bug cuando aún no había parches oficiales.

Información sobre cambios y correcciones | Descarga de la nueva versión | Fuente Sans.

Hace unos días os hablamos de la vulnerabilidad que afectaba al servidor web Apache. Esta vulnerabilidad permitía ataques de denegación de servicio y que con un número limitado de peticiones, dicho ataque dejase al servidor web afectado sin recursos por un excesivo consumo de memoria y CPU.

Debian ha puesto a disposición de los usuarios los correspondientes parches que solventan dicha vulnerabilidad  (CVE-2011-3192) (etiquetados como 2.2.9-10+lenny10 y 2.2.16-6+squeeze2.)

Además, se añade un parche específico para la versión «oldstable» (Lenny) que solventa un bug que afecta a mod_dav (CVE-2010-1452) que también podía derivar en ataques de DoS en el servidor web.

Más información sobre el anuncio (Debian DSA-22981 Apache 2) en Debian.

En estos momentos, en el sitio web oficial de Apache aún no hacen mención a una nueva relase que corrija estos bugs, pero se espera que en unas horas esté disponible una versión con el parche para su instalación/compilación.

Se ha reportado por parte de Norman Hipper una vulnerabilidad catalogada como «seria« por el equipo de phpMyAdmin que afecta a versiones desde la 3.3.0 a la 3.4.3.2 (CVE-2011-3181).

La explotación del XSS vía un ataque «cross-site scripting«, puede hacer posible que un atacante remoto consiga conectarse al popular gestor de bases de datos Open Source con el peligro que ello conlleva.  Para paliarlo, se recomienda encarecidamente actualizar el software a las versiones 3.3.10.4 or 3.4.4 o aplicar los parches que se han puesto a disposición de los usuarios.

Más información y parches; en phpMyAdmin | The H Security.

Visto en; UnixenMac

Fueron detectados hasta nueve problemas de seguridad dentro del kernel de Ubuntu 8.04 LTS que con esta actualización lista para ser descargada quedan solucionados. Concretamente se trataba de vulnerabilidades en el sistema de archivos /proc, en Bluetooth, el filtrado de red, la pila de red DCCP, dispositivos TPM, el subsistema IRDA y redes X.25, que con la versión 2.6.24-29.93 han pasado a la historia. Si aún usáis esta distribución de «soporte largo» debéis proceder a la actualización de su nucleo a la mayor celeridad.

Se trata de fallos de graves cuyas consecuencias pueden ir desde una denegación de servicio hasta incluso la obtención de permisos de root por parte de un atacante. Os dejamos este enlace a la fuente de la noticia donde hay mas información acerca de esta importante actualización de seguridad.

Concretamente, la vulnerabilidad ha sido catalogada como «Range header DoS vulnerability in Apache 1.3 and Apache 2» (CVE-2011-3192:). El tema es serio ya que con un número relativamente bajo de peticiones, pueden producirse ataques de denegación de servicio, debido a un excesivo consumo de memoria y CPU.

Como prueba de concepto, está el script escrito en Perl  denominado»killapache«. Para comprobar si vuestro servidor es susceptible de recibir este tipo de ataques, os recomendamos leer la entrada sobre el tema de Jordi Prats en»systemadmin.es»

Este bug, del que se espera que en 96 h aproximadamente esté parcheado (aunque hablan de parches para las versiones 2.0x y 2.2x, no para la 1.3x según informan), afecta especialmente a Apache junto a módulos relativos a la compresión de ficheros, como puede ser el caso de uno tan popular como mod_deflate. Debido a la falta de actualizaciones, se proponen varias medidas para paliar los efectos del bug.

Estas actuaciones se pueden combinar con otras soluciones de «apoyo» como podrían ser Mod-Evasive, Mod-Security, (D) DoS Deflate, la configuración de vuestro firewall, etc.

(#Disclaimer; En la fuente original ya se informa que estas medidas pueden afectar al normal uso de los sitios webs en los que se implementen. Vídeo por streaming, sesiones activas, ciertas descargas, cookies y otras peticiones legítimas).

1) Utilizar «mod_headers«; (Ponedlo debajo de la directiva «ServerRoot»)

RequestHeader unset Range

2) Usar «mod_rewrite» para limitar el número de intervalos:

RewriteCond % {HTTP:range} ^bytes=[^,]+(,[^,]+) {0,4}$
RewriteRule. *-[F]

3) Reducir el tamaño en bytes de las peticiones; (mejor con la opción 1)

LimitRequestFieldSize 200

4) Usar temporalmente un módulo de «recuento» como mod_rangecnt.c. (esta opción mejor la última…)

http://People.Apache.org/~dirkx/mod_rangecnt.c (descarga directa)

5) Quitar «mod_deflate» temporalmente, la «menos mala» quizás.

(Alguna consideración sobre su desactivación aparte de un «a2dismod» en Debian y derivados)

«Removing any AddOutputFilterByType/SetOutputFilter DEFLATE entries. Disable it with «BrowserMatch .* no-gzip«

Ante las dudas que os puedan surgir, os recomendamos permanecer atentos a posibles parches y leer la fuente original de este artículo o está información de «Debian Security» en el que hablan del bug y cómo afecta a Apache en su versión estable. También es recomendable seguir este hilo para contrastar e ir leyendo más información.

Por David Hernández (Dabo).

Curiosa la noticia que leemos en la red acerca del viejo y conocido «ping de la muerte» que afectaba allá por la década de los noventa a sistemas Windows y que todos creíamos desaparecido. Al parecer Microsoft publicó el boletín de seguridad MS11-064 en el que corrige un fallo de similares características en la pila TCP/IP de Windows Vista y Windows 7, el cual mediante paquetes ICMP especialmente diseñados pueden provocar una denegación de servicios en el sistema afectado. Llama la atención que Windows XP no se vea afectado por esta vulnerabilidad y que sin embargo, los dos últimos sistemas operativos del gigante informático si que «incorporen» este grave fallo.

Sin duda uno de los mas conocidos bugs de la gama de productos made in Microsoft, tanto por la facilidad en su ejecución como por los efectos inmediatos que producía: cuelgue del equipo que lo sufría y la aparición de la tan temida «pantalla azul». Para los que no conozcais este clásico entre los clásico dentro de lo que es su día se dio a conocer como el «IRC War», os dejamos este enlace a la Wikipedia donde podéis leer mas al respecto. Y si sois usuarios de los mencionados Windows Vista y Windows 7, pues ya sabéis lo que procede…

Tal y como se lee en el título de la noticia, Microsoft ha puesto a disposición de los usuarios 13 boletines de seguridad que solventan un total de 22 vulnerabilidades en productos como; Internet Explorer, Microsoft .NET Framework, Microsoft Developer Tools, Microsoft Office y Microsoft Windows.

Desde Microsoft, Angela Gunn, obviamente insta a parchear en primer lugar las dos vulnerabilidades catalogadas como críticas y que afectan a Internet Explorer (MS11-057) donde el parche más serio es el que corrige la posibilidad de ejecución remota de código viendo una web especialmente manipulada para tal fin.

La otra afecta a DNS Server (MS11-058), donde el bug más importante que se ha corregido también impide la ejecución remota de código, si un atacante envía una consulta especialmente manipulada «Naming Authority Pointer» (NAPTR) al servidor DNS.

Más información en Microsoft sobre todos los parches y productos afectados.

La vulnerabilidad y el exploit han sido reportados desde http://0verl0ad.blogspot.com/ (con créditos hacia http://xd-blog.com.ar y portalhacker.net) afecta al sistema de foros SMF 2.0. El asunto es serio, ya que puede desde afectar a usuarios con privilegios administrativos, así como al staff de moderación.

Destacar el gran trabajo que se ha hecho, publicando además del exploit, la solución para paliarlo, junto a una explicación acerca de cómo funciona el robo de «Tokens» y cómo se explota una vulnerabilidad de este tipo.

La solución;

Comenta o elimina las lineas 104 y 105 de /Sources/Subs-Menu.php, esto palía el problema y todo sigue funcionando:

Código;(Líneas 104 y 105).

/////////////////////////////////////////////////////
if (empty($menuOptions[‘disable_url_session_check’]))
$menu_context[‘extra_parameters’] .= ‘;’ . $context[‘session_var’] . ‘=’ . $context[‘session_id’];
/////////////////////////////////////////////////////

Más información y fuente, en exploits-db.

Se encuentra disponible para su descarga e instalación la nueva versión de Foxit Reader 5.0.2 para equipos con sistema operativo Windows, que solventa una grave vulnerabilidad para las versiones 5.0. y anteriores que entre otras, podría permitir la ejecución de código arbitrario al abrir determinados archivos PDF.

Recordemos que  Foxit Reader es un visor de archivos PDF gratuito para sistemas windows, que cuenta con interesantes funcionalidades para su empleo.

Y es que, «debemos instalar las actualizaciones en cuanto se publiquen para tener el sistema totalmente actualizado, ya que de lo contrario, algún malware podría aprovecharse de estas debilidades e infectar nuestros equipos.», como ya indicábamos en una de nuestras entradas de seguridad básica;  Mantener el sistema operativo y el software actualizados.

En el siguiente enlace cuentas con un pequeño manual para actualizar Foxit Reader, que te facilitará la tarea.

Desde la lista de «seguridad» de Apple nos llega el aviso de nuevas versiones (Safari 5.1 y Safari 5.0.6) de su navegador web Apple que vienen a corregir una larga lista de vulnerabilidades para Mac OS X 10.6.8, Windows 7, Vista, XP SP2, etc.

Es por ello, que es más que recomendable su inmediata actualización desde el sitio web de descargas de Safari o bien vía el menú «Actualización de software» en vuestros Mac.

A continuación la lista completa de bugs corregidos y todos los detalles (ENG);

Continue reading…

Se ha notificado una vulnerabilidad XSS (cross-site scripting) en Skype que afecta a las versiones 5.3.0.120 y anteriores para Windows y Mac OS X.

Skype es un programa voip de mensajería instantánea, videollamadas, multiconferencia, etc., gratuito y con versiones disponibles para Windows, Linux y Mac, que permite de igual modo la llamada a teléfonos fijos y móviles de todo el mundo a unos precios interesantes.

En estos momentos aún no existe un parche o solución que solvente el problema, por lo que se recomienda extremar las medidas de precaución en los mensajes recibidos y la redirecciones a otras webs.

A lo largo de la próxima semana esperan solucionar el problema, no obstante estad atentos a actualizaciones del programa.

Tal y como publican hoy a nuestros amigos de «Cajon Desastres» al igual que otros sites,  Adobe ha liberado la versión 10.3.181.26 de su reproductor Flash Player que solventa un bug catalogado como «crítico» (más info sobre este y otros bugs en el blog de Adobe, ENG).

Esta entrada, viene a colación de la conversación que he mantenido con un usuario de Mac OS X sobre cómo se actualizaba Flash Player en OS X, ya que no veía la opción o aviso de actualización que le salía cuando usaba anteriormente Windows (por ejemplo con el plugin para el navegador Firefox).

Bien, eso sucede porque en versiones tipo la «10.1x», en «Preferencias del sistema» de Mac OS X no sale el icono de Flash Player ni las opciones que traen versiones más actuales (se pueden ver las capturas debajo), por lo que es más que necesario la actualización manual (bajar el .dmg e instalar, de ese modo ya avisará de las nuevas actualizaciones además de otras opciones de interés).

En «Preferencias del Sistema –> Complementos» (debajo a la izq);

En las opciones de Flash Player una vez haces click en el icono;

Desde esta dirección podéis comprobar tanto cuál es la versión actual instalada, así como la más reciente disponible para su instalación. (En el caso que se ve en la captura inferior la última disponible).

Por lo que si no tenéis instalada la última versión y dado que muchos de los ataques al usuario llegan desde el navegador web y por ende, vía Flash Player en numerosas ocasiones, es más que recomendable su inmediata actualización, para descargar la versión más reciente de Flash Player podéis hacerlo desde enlace.

Obviamente, estos consejos sobre la forma de actualizar Flash Player o su impacto en la seguridad del usuario, son también válidos para un usuario de Windows, GNU/Linux (donde hay un problema con las versiones de 64 bits y el anunciado fin de soporte por parte de Adobe) o cualquier otra plataforma (incluso móviles como es el caso de Android).

Esperamos que estos consejos os sean de utilidad.

Han sido liberadas cuatro actualizaciones nuevas de las dos ramas de desarrollo de Drupal. Las versiones 7.1 y 6.21 solo solucionan los problemas de seguridad mientras que las versiones 7.2 y 6.22 incluyen además corrección de errores.

No se entiende muy bien por qué lanzar dos versiones diferenciadas en el mismo momento cuando tanto una cosa, corregir problemas de seguridad, y la otra, corrección de errores, deben ir unidas de la mano en busca de un correcto funcionamiento de los sitios.

El archivo .htaccess ha cambiado en la versión 7.2, es importante tener una copia del que tengamos actualmente con las modificaciones que hayamos hecho. settings.php y el robots.txt no se modifican en esta actualización aunque es conveniente también tener una copia, como del resto de archivos.

En la versión 6.22 el que cambia es el robots.txt, así que cuidado a la hora de actualizar.

• Anuncio oficial.
• Descarga versión 7.2
• Descarga versión 6.22