Member of The Internet Defense League Últimos cambios
Últimos Cambios
Blog personal: El hilo del laberinto Geocaching

Noticias (4)

Última Actualización: 3 de Noviembre de 1.999 - Miércoles

Artículo escrito el 14/Dic/98 y publicado en Linux Actual, Número 6, páginas 70-71.


NOTICIAS

  • Ataque al RC5-64:

    Desde Noviembre de 1.997 se está desarrollando un concurso mundial, cuyo objetivo de demostrar al Gobierno de EE.UU. que su legislación sobre exportación criptográfica impone restricciones excesivas, y que no garantiza en absoluto la seguridad de la información transmitida y almacenada. El premio son 10.000 dólares. Se puede encontrar más información en la página de la empresa RSA, promotora del reto.

    Hay un esfuerzo coordinado, denominado "bovine", en el que diferentes equipos compiten entre sí. Puede encontrarse más información en http://www.distributed.net/rc5/.

    Uno de estos equipos es el llamado "Equipo Hispano RC5-64 (eÑe Power)", en el puesto 164 mundial (a fecha 10 de Diciembre). Podéis encontrar más información sobre él en:

    http://www.arnal.es/rc5/
    http://www.argo.es/~jcea/artic/rc5-6401.htm
    http://www.argo.es/~jcea/artic/rc5-6403.htm
    http://www.argo.es/~jcea/artic/rc5-64sts.htm
    http://www.arnal.es/rc5/nota.jpg

    Toda ayuda es poca, así que si tienes ciclos de CPU libres, ya sabes dónde invertirlos :-).

    Existe una lista de correo electrónico de coordinación del grupo, de acceso libre, a la que podéis suscribiros enviando un mensaje a "majordomo@arnal.es", con el cuerpo "subscribe rc5". Su tráfico es muy reducido.

  • Nuevo Kernel 2.0.36: ¡¡Al fin!!

    Tras la nada despreciable cifra de 22 "previews", el pasado 15 de Noviembre se presentó oficialmente la versión 2.0.36 del Kernel Linux. Esta versión, como ya hemos ido adelantando en columnas anteriores, tiene una gran cantidad de mejoras, sobre todo a nivel de "drivers" RDSI, SCSI y de tarjetas de red.

    Destacan también cosas como la gestión de hasta un Gigabyte de RAM, mejora en el soporte SMP, y, por supuesto, las inevitables correcciones de bugs. Una interesantísima mejora respecto a kernels anteriores es el "traffic shapper", que permite limitar el consumo de ancho de banda por IP.

    Puede encontrarse información detallada sobre los cambios en:

    http://www.linuxhq.com/kpatch20.html

  • Nuevo Kernel 2.0.37: (preview)

    Tres semanas después de la aparición del kernel 2.0.36 empiezan a aparecer parches para él, de cara al futuro 2.0.37. En esta ocasión tenemos numerosas actualizaciones de drivers y soporte para PPTP masquerade.

    Más información en: ftp://ftp.linux.org.uk/pub/linux/alan/2.0.37pre/

  • Microsoft es noticia:

    El pasado Octubre un español informó de un gravísimo problema de seguridad que afecta al Internet Explorer 4.01, y que permite leer los archivos locales del usuario y su contenido a una máquina remota. En honor a su descubridor patrio, el bug se bautizó como "Cuartango". Técnicamente la vulnerabilidad es muy simple y explota el hecho de que acceso al "clipboard" (portapapeles) del sistema no está protegido. Por tanto un script malicioso puede enviar a una máquina remota tanto el contenido actual del "clipboard" como "pegar" previamente en él el contenido de cualquier fichero, de nombre conocido, existente en el ordenador del usuario. En la página de Juan Carlos García Cuartango se indican unos cuantos bugs más, igual de mortíferos. Microsoft ha reaccionado rápidamente y ya se dispone de un parche para el Internet Explorer 4.01.

    http://pages.whowhere.com/computers/cuartangojc/index.html
    http://support.microsoft.com/support/kb/articles/q169/2/45.asp
    http://www.microsoft.com/security/bulletins/ms98-015.htm
    http://www.microsoft.com/windows/ie/security/paste.htm

    Lamentablemente el parche soluciona el problema de forma parcial. Unos días después de que Microsoft publicase el parche anterior, Juan Carlos García Cuartango publicaba una versión modificada del "exploit", "The Son of Cuartango Hole", capaz de funcionar también en sistemas parcheados. Microsoft ha publicado una revisión de su boletín de seguridad y del parche correspondiente. Más información en los enlaces mostrados arriba.

    Por otra parte, el Internet Explorer combinado con el Outlook Express 4.72.3110.x ejecuta Java aunque esté deshabilitada la opción correspondiente del menú. Ello es un problema grave cuando muchas vulnerabilidades dependen de la capacidad de ejecutar código Java. Por ejemplo, usando las extensiones propietarias (y recientemente declaradas ilegales) de Microsoft para Java, es posible bloquear Windows, si el usuario utiliza Internet Explorer. En este caso se utilizan llamadas "Direct Draw".

    http://www.anfyjava.com/iebug/

    http://www.news.com/News/Item/0,4,28419,00.html

    En general, la ejecución de programas remotos siempre ha de ser un tema a estudiar con gran detenimiento y atención, prestando especial cuidado a todo lo referente a seguridad. Si Microsoft siguiera unas reglas mínimas no sería posible algo como el virus "html.internals", que permite la ejecución de código VBScript que busca documentos con extensiones ".htm" y ".html" en el disco y se añade a ellos, actuando como un virus. Probablemente el primer virus HTML de la historia.

    Por otra parte, los servidores Windows NT que instalen SNMP son vulnerables al filtrado de información confidencial y, peor aún, a la modificación de parámetros por atacantes maliciosos. Aunque no se instala SNMP por defecto, en Windows NT, si se activa su configuración por defecto deja el sistema abierto. Además, antes del Service Pack 4 cualquier "community" que se declare tiene permisos de lectura y escritura; no es posible tener "communities" exclusivamente de lectura. Además, aunque en el panel de control se pueden filtrar las IPs con acceso SNMP, dado que SNMP se transporta sobre datagramas UDP, hacer spoofing y, por tanto, superar esa barrera de pretendida seguridad es trivial. Por si ello fuera poco, cualquier usuario con una cuenta en la máquina tiene acceso al registro donde se guardan las "communities", por lo que el sistema es vulnerable a cualquier usuario local. EL SP4 soluciona el problema en gran medida, pero debe configurarse correctamente para proporcionar protección.

    También hay que tener mucho cuidado con todo el tema de las zonas de seguridad de Internet Explorer, ya que se presta a abusos.

    Por ejemplo, si se escribe una dirección IP con su valor numérico 32 bits, sin los puntos (por ejemplo 127.0.0.1 = 127*256*256*256+1 = 2130706433), el Internet Explorer la interpretará como "intranet". Si tenemos unos controles de seguridad reducidos en la configuración de intranet (por ejemplo, permitir la ejecución de código Active X) seremos susceptibles a ataques arbitrarios. Aunque la configuración por defecto parece segura, no lo es: el Internet Explorer intentará hacer "login" -sin advertir al usuario- en un servidor que así lo demande y que esté clasificado como "intranet". Bonita forma de hacer colección de claves... :-)

    http://www.worldwidewait.com/
    http://support.microsoft.com/support/kb/articles/q168/6/17.asp
    http://www.microsoft.com/ie/security/dotless.htm
    http://www.microsoft.com/security/bulletins/ms98-016.htm

    Por último señalar que ya está disponible el tan esperado Service Pack 4 para Windows NT 4.0. El paquete básico mide 32Mbytes, aunque existe una versión de ¡¡76Mbytes!! que, entre otras cosas, corrige temas de año 2000 de varias aplicaciones. Desde una perspectiva de seguridad, su instalación es prácticamente obligada, aunque puede dar problemas con algunas aplicaciones, servicios y drivers.

    http://www.nthelp.com/nt4sp4.htm

  • Netscape también es noticia:

    Si el Internet Explorer de Microsoft nos dá tantos sustos, tampoco Netscape se libra de problemas. El primero de ellos es una cuestión de privacidad asociada al botón "what's related", disponible a partir de la versión 4.06 del navegador. Si se configura el navegador (smart browsing) a "always", enviará al servidor "www-rl.netscape.com" información sobre todas y cada una de las páginas que visitemos. Afortunadamente la opción por defecto es "after first use". No es la solución perfecta, porque casi ningún usuario es consciente de sus implicaciones, pero resulta más aceptable.

    Un sniffer en la red muestra el significado de cada opción:

    • Always: Solicita la lista de URLs relacionadas mientras la página se está cargando. Es decir, se informa a Netscape de todas las páginas que visitemos.
    • Never: Sólo solicita la lista de URLs relacionadas cuando se pulsa sobre el icono.
    • After first use: Solicita la lista de URLs relacionadas con una página cuando se visite y se haya solicitado la lista en alguna ocación anterior. También se solicita la lista de URLs relacionadas con las tres páginas siguientes a las que accedamos.
    • Disabled: No se solicitan nunca.

    Las implicaciones de privacidad e, incluso, comerciales, son muy importantes. Sólo hay que pensar en el número de usuarios que utilizan Netscape Communicator para su navegación web y en el cruce de datos posibles a través del uso de cookies.

    http://www.interhack.net/pubs/whatsrelated/
    http://www.vortex.com/privacy/priv.07.17
    http://www.alexa.com/
    http://home.netscape.com/escapes/related/faq.html
    http://news.flora.org/flora.comnet-www/1335

    Una posibilidad aún más aterradora es capturar la navegación de un usuario a través, por ejemplo, de "DNS Poisoning", o bien modificando el archivo "prefs.js", "preferences.js".

    Un segundo problema es la imposibilidad de deshabilitar la ejecución de código JavaScript en el nuevo Netscape Communicator 4.5. Aunque deshabilitemos JavaScript en el botón correspondiente, lo veremos desactivado al abrir una nueva ventana o al ejecutar una nueva sesión Netscape, pero el navegador sigue interpretando el código JavaScript que encuentra. Al parecer en el "release" final la versión Windows funciona correctamente, pero las versiones Unix (Linux, BSD, Solaris, etc) no lo han corregido. Una posible solución temporal es habilitar y deshabilitar de nuevo el JavaScript cada vez que se arranca el programa. La versión anterior del Communicator, la 4.07, también parece tener problemas similares.

    Si combinamos el bug anterior con el que sigue, tendremos un cóctel más que peligroso: bajo Netscape Navigator 3.04 y Communicator 4.07 y 4.5 existe un fallo de seguridad en la interpretación JavaScript que permite la lectura del caché de navegación del usuario, así como de sus directorios y ficheros locales. El bug puede utilizarse desde una página web y desde el correo electrónico.

    http://www.geocities.com/ResearchTriangle/1711/b4.html
    http://www.geocities.com/ResearchTriangle/1711/b5.html
    http://www-miaif.lip6.fr/willy/security/netscape.html
    http://www.kics.bc.ca/~trev/cgi-bin/test.html

    Se ha descubierto un cuarto fallo de seguridad asociado a las páginas marcadas como "no-cache" por el servidor web. Este problema parece exclusivo del Communicator 4.5. Se supone que dichas páginas no son almacenadas en disco, por lo que es muy normal emplearlas en formularios de transacciones seguras, por ejemplo. El problema es que dichas páginas, aunque no son guardadas en disco, son conservadas en la caché que se mantiene en la memoria del navegador. Por tanto, al volver a la página, si no se ha reiniciado el Netscape, se volverá a visualizar el contenido de la caché de memoria. Ello puede contener información sensible, como tarjetas de crédito o demás material de carácter personal. Esta información es accesible aunque la página sea HTTPS y se haya marcado como "no-cache".

    Este problema es importante en entornos de máquinas compartidas. La solución es cerrar el Netscape cuando terminamos la navegación. Para más seguridad, hay que borrar primero la caché en el menú correspondiente.

    Como no hay cuatro sin cinco, Netscape almacena información sobre los formularios que el usuario va rellenando en ficheros de nombre "nsformXX.tmp". En esos ficheros se almacena información sobre los distintos campos y su contenido. Para que esta situación se produzca debe estar definida la variable de entorno "temp" (o la que corresponda a cada sistema operativo) y el formulario debe declararse como "MIME-Encoded" y no "URL-Encoded".

    Como tampoco hay cinco sin seis, se ha descubierto recientemente un "buffer overflow" en el Netscape que permite la ejecución de código arbitrario. Este problema afecta a las versiones 3.x, 4.0x y 4.5 del navegador, en Unix (por extensión Linux). Netscape ha reconocido el problema, aunque no así la posibilidad de que sea utilizado con fines maliciosos. No obstante puede encontrarse un "exploit" en la propia página de su descubridor.

    http://www.news.com/News/Item/0,4,27856,00.html?owv
    http://www.netscape.com/products/security/resources/bugs/mimebufferoverflow.html
    http://www.shout.net/~nothing/buffer-overflow-1/index.html

    Habiendo un seis no podía faltar, tampoco, un séptimo problema de seguridad: Netscape Communicator 4.5 almacena en "preferences.js" (o "prefs.js", según el sistema operativo) la clave de lectura de correo aunque se le haya indicado expresamente que no lo haga. Bajo Windows, además, la clave se almacena tambien en el registro, en "HKEY_CURRENT_USER\Software\Netscape\Netscape Navigator\biff\users\\servers\\password". Por si ello no fuera lo bastante grave, la clave se guarda cifrada con un método trivial: OR exclusivo con una cadena fija y una subsiguiente codificación en "base64". Dependiendo de la configuración, la clave se borra al cerrar el programa, pero en un entorno multiusuario (o en caso de que el proceso "muera" por algún error interno) el fichero contendrá datos valiosos durante -puede ser- bastante tiempo.

  • Cisco tampoco se salva:

    Ya en el número anterior publicamos algunos problemas de seguridad de Cisco, pero parece que se siguen sucediendo. El último permite que cualquier usuario con acceso al login del router pueda listar las últimas líneas introducidas durante una sesión previa. Para ello no es necesario conocer ninguna clave, sino simplemente tener acceso al "prompt" de acceso. La solución es la misma que se propuso en el número anterior, aparte de actualizar el IOS: utilizar las reglas de acceso para permitir el acceso al router exclusivamente desde una serie de IPs determinadas. El problema es que esto no es efectivo 100%, ya que en los accesos por Módem, por ejemplo, no existe ese control.

    http://www.cisco.com/warp/public/770/ioshist-pub.shtml

    Por otra parte, un fallo que afecta a la serie 7xxx bajo DFS (Distributed Fast Switch) posibilita que algunos paquetes sean distribuidos aunque las reglas de acceso lo prohiban:

    http://www.cisco.com/warp/public/770/iosdfsacl-pub.shtml

  • ¿Vulnerabilidad en el SSH 1.2.26?. Pues no:

    El pasado 28 de Octubre se produjo una violación de seguridad en uno de los lugares web dedicados al "hacking" más populares: www.rootshell.com. En un primer momento, se lanzaron acusaciones contra el célebre, popular y utilizadísimo software "Secure Shell" (SSH). Este programa proporciona conexiones cifradas y autentificadas, y es utilizado por administradores de sistemas de todo el mundo para acceder a máquinas remotas de forma segura. La justificación para acusar a dicho software, de importancia tan crítica y fundamental, fue que era el único servicio que se estaba ejecutando en esa máquina y que permitía conexiones exteriores (una vez autentificadas).

    Tras un análisis superficial, el "IBM Emergency Response Team" hace público un aviso en el que dice haber detectado "graves" problemas de seguridad en el SSH. Dos días más tarde, el IBM-ERT reconocía que se había tratado de una falsa alarma. No obstante la alerta se propagó rápidamente, contribuyendo a ello el que la propia lista de correo de "rootshell" distribuyó la alerta inicial del IBM-ERT, aunque no así su cancelación. Se puede encontrar en el boletín 25, del 1 de Noviembre.

    Para mayor confusión, esa misma fecha se corrió el rumor de que existía un "exploit" para SSH 1.2.26, llamado "sshdwarez.c" y también conocido como "sshdexp". El programa es, en realidad, un troyano que añade dos entradas de "root" en el "/etc/passwd" y luego envía la información de acceso al autor del código. Evidentemente para que este ataque tenga éxito, debe ejecutarse el "exploit" como superusuario.

    Por si ello fuera poco, el 5 de Noviembre se descubrió un "buffer overflow" real en el código SSH 1.2.26. Dicho error es difícil de utilizar de forma maliciosa, y sólo se compila el fragmento de código relevante cuando se utiliza la opción "--with-kerberos5". Pueden verse más detalles en el anuncio original, en

    http://www.ssh.fi/sshprotocols2/kerberos.txt

    Ya se ha editado un parche para solucionar el problema. La versión 1.2.27 lo tendrá integrado, y eliminará las llamadas conflictivas que dispararon las primeras voces de alarma. Aunque se haya tratado de una falsa alarma, se pretende que el nuevo código sea más fácil de auditar, precisamente para evitar este tipo de situaciones.

    Se puede ver una interesante cronología de todo este proceso en una página del propio autor del SSH:

    http://www.ssh.fi/sshprotocols2/rootshell.html

  • Noticias breves:

    • Las versiones 2.8.x de Lynx tienen un "buffer overflow" en URLs "telnet", "rlogin", "finger", "news", etc., que permiten la ejecución de código arbitrario simplemente intentanto seguir un enlace. Existe también un grave error de "parsing" que permite la ejecución de comandos arbitrarios en la máquina local cuando se pulsa sobre un enlace "rlogin". Este último problema existe en todas las versiones de Lynx desde Mayo de 1.994.

    • Existe un sencillo ataque DoS al Sendmail, ya que un fallo en un "accept()" de una conexión SMTP bloquea el demonio unos 5 segundos. Por tanto es trivial bloquear un servidor de correo sin más que generar conexiones fallidas SYN+RST de forma periódica. El problema es específico de Linux (versiones anteriores a las 2.1.x), ya que en los sistemas operativos con semántica BSD, el "accept()" no finaliza hasta que se ha completado el handshake.

    • La versión 3.0 de FreeBSD es vulnerable al ataque "nestea2", aunque la versión 2.2.6 era inmune. Existe parche desde el 27 de Octubre.

    • También son vulnerables al "nestea2" algunos productos de 3Com, como el USR NetServer.

    • Hay un "buffer overflow" en el demonio "klogd", que forma parte del paquete "sysklogd", en su versión 1.3. Es de esperar que cuando el lector lea esta noticia ya exista un parche para el problema.

    • Algunas implementaciones SNMP tienen puertas traseras no documentadas. Por ejemplo, Sun Microsystems Solstice Enterprise Agent, el propio sistema operativo Solaris versión 2.6, y el HP OpenView. Sun ha hecho público un parche para Solaris 2.6, deshabilitando la "community" "all private". Para Solstice Enterprise Agent, Sun recomienda la migración a versiones iguales o superiores a 1.0.3.

    • La configuración por defecto del "Firewall-1" de Checkpoint es insegura, ya que permite la entrada de tráfico no autorizado expresamente mediante una regla: DNS, ICMP, RIP, etc. Aunque dicho hecho está documentado en los manuales, sus implicaciones son importantes, ya que al no tratarse de reglas explícitas es muy fácil obviarlas. La solución es deshabilitar todas las opciones por defecto y dejar que sean las reglas que definamos de forma explícita las que controlen el tráfico.

    • Existe un programa SETGID vulnerable en la distribución 1.9.18 de SAMBA, llamado "wsmbconf". Las instalación SAMBA deberían borrarlo, en pro de la seguridad del sistema, sin ningún impacto en el servicio en sí. Por otra parte, las instalaciones SAMBA que hagan uso del directorio "/var/spool/samba" deben asegurarse de hacer poner en el directorio el bit "t" (sticky bit).

    • Acaba de hacerse pública la versión 3.3.3 de Xfree, que corrige numerosos problemas de seguridad. Se recomienda su instalación automática. Más información en http://www.xfree86.org/.

    • La versión actual del "ipfwadm" no reconoce algunas de las características de los nuevos Kernels Linux. Ello permite, por ejemplo, ocultar tráfico. Un tirón de orejas para los encargados de dicho paquete, cuya versión más reciente en ftp://ftp.xos.nl/pub/linux/ipfwadm/ es de 1.996.

    • "bootp" y las versiones antiguas del demonio "dhcp" son vulnerables a un ataque que en el mejor de los casos mata el proceso y en el peor permite ejecutar código arbitrario. Pueden encontrarse los parches para "dhcp" en http://www.princeton.edu/~irwin/dhcpd.html.

    • El paquete "fte" para Debian permite que cualquier usuario tenga privilegios de "root". Los administradores con este software instalado deben actualizarse a una versión igual o superior a la 0.46b-4.1.



Python Zope ©1999 jcea@jcea.es

Más información sobre los OpenBadges

Donación BitCoin: 19niBN42ac2pqDQFx6GJZxry2JQSFvwAfS