mejora tus conocimientos en networking

Instalación de MS Forefront para SharePoint con Service Pack 3

2010-10-20T15:43:00.000-07:00

MS Forefront Security para Sharepoint es la solución antimalware de la Familia Forefront para Tecnologías Sharepoint. Este porducto es una evolución de Antigen, la solcuíon original de la extinta Sibary que tantos premios recibió. MS Forefront Security para Sharepoint permite establecer protección antimalware de servidor que protegerá todas las colecciones de sitios de Sharepoint en las que exista un riego de seguridad y se desee disponer de una solución antimalware. Debido a la proliferación de malware, troyanos y exploits centrados en documentos ofimáticos (MS Office, OpenOffice y PDF), hoy en día, es más que reomendable que cualquier repositorio documental al que se pueden subir ficheros esté escaneado por motores antimalware que busque troyanos, exploits o virus.
En este artículo de dos partes vamos a ver como se puede instalar la versión MS Forefront Security para Sharepoint con Service Pack 3 en castellano. Una versión de evaluación del producto se puede descargar de la siguiente URL: [MS Forefront para SharePoint con SP3 en Castellano ]

Requisitos de instalación: Para poder instalar este producto, se necesitan cumplir los sigueintes requisitos: - Sistema operativo MS Windows Server 2003 o MS Windows Server 2008. - MS Office Sharepoint Server 2007 o MS Windows Sharepoint Services 3.0. - 1 GB de memoria RAM disponible (recomendado 2 GB de memoria). - 2 GB de espacio disponible en disco. - Microprocesador a 1 GHz mínimo. - Revisión SharePoint KB 936867 o posterior, o Service Pack 1 de WSS o MOSS.

Asistente de Instalacion.

Paso 1: Inico del asistente

Paso 2: Aceptación de licencia de MS Forefront Security for Sharepoint con Service Pack 3.

Paso 3: Identificación del responsable y la compañía de la licencia.

Llegado a este punto, el asistente ofrece dos posibilidades de instalación. La instalación Remota o Local. Eligiendo la instlación Local se asume que se está realizando sobre el servidor donde están corriendo los servicios de Sharepoint y donde se desea realizar el escaneo antimalware. Si se elige la instlación Local se podrá elegir entre instalar los motores antimalware y/o la consola de administración de MS Forefront Security para Sharepoint. Si se elige la instalación Remota, únicamente se podrá instalar la consola de adminsitración de MS Forefront Security para SharePoint.

Paso 4: Elección de tipo de instalación.
Si se elige la instalación Local se podrá elegir entre sólo el motor, sólo la herramienta de administración o ambos componentes.

Paso 5: Elección de componetes a instalar Si se elige la instalación Local será necesario actualizar los motores antimalware con las últimas firmas creadas. Este es un proceso que se deberá realizar dentro de las tareas normales de mantenimiento, pero que deberá realizarse durante la instlación también. Así, una vez informados de esta necesidad se procederá a solicitar la información de la conexión a Internet, para saber si es directa o se realizará mediante un servidor Proxy.

Paso 6: Información de actualización de los motores antimalware.

Figura 7: Configuración de la conexión a Internet.

Espero que les haya servido de ayuda este post , si necesitan alguna ayuda no olviden escribirme a mao@misena.edu.co

OWA (Outlook Web Access)

2010-08-06T09:57:00.000-07:00

Cuando no pueda ingresar a Microsoft Outlook®, Ud. puede acceder fácilmente a su bandeja de entrada desde cualquier navegador web. Outlook Web Access es prácticamente una réplica de Outlook 2003 con la ventaja de incluir muchas de las características de las que Ud. más depende, como corrector ortográfico, listado de tareas, búsqueda de carpetas, reglas, bloquear/aceptar listas de envíos, deslogueo automático y más.

Los empleados que trabajen en forma remota siempre van a tener acceso a la misma información que los empleados de sus oficinas. Podrán revisar su e-mail, calendario y contactos desde su computadora personal, notebook o cibercafé de cualquier rincón del planeta.

Outlook Web Access también le permite tener toda la información de sus contactos dentro de su libreta de direcciones en una ubicación central. La libreta de direcciones se puede acceder fácilmente en todo momento y desde cualquier lugar.

Debe completar sólo dos casilleros de la siguiente manera:

Dirección de correo electrónico: La cuenta de e-mail de Exchange a la que desea acceder. En nuestro ejemplo, usuario.apellido@miempresa.com.

Contraseña: La contraseña que Ud. creó para esta cuenta de correo.

Al loguearse por primera vez, se le solicitará que elija su zona horaria. Simplemente ubíquela en el desplegable y haga click sobre “Aceptar”.

Eso es todo! Ya puede acceder a Outlook Web Access y comenzar a usar su correo.

Eso es todo de esta manera estara disfrutando de un entorno grafico mas amigable para el usuario final.

Manual de proxy basico en Windows

2009-12-09T09:25:00.000-08:00

Lo primero es descargar la ultima version estable de squidNT la pueden descargar de esta direccion http://squid.acmeconsulting.it/download/dl-squid.html

Despues descomprimimos el contenido de la carpeta zip en nuestro disco duro en este caso el disco local C:\
quedaria algo asi

Continuamos accede a la carpeta C: \squid\etc y renombramos los archivos que hay alli squid.conf.default y mime.conf.default deja una copia de los archivos por si te equivocas editando el original

Con el notepad o el editor de texto que tu prefieras abre el archivo squid.conf y busca las siguientes lineas y realiza las modificaciones siguientes.

#cache_dir ufs C: \squid\var\cache 100 16 256

Elimina el simbolo de numero de esta linea (#) y ponle la direccion donde se ubicara la cache de squid

El numero que sale por defecto es (100) es el espacio en mega bytes que se destinara para la cache, según el espacio que quieras asignar y el disponible en el disco duro puedes poner desde 10MB hasta 10Gb o mas, para este ejemplo asignaremos 1 GB

cache_dir ufs C: \squid\var\cache 1000 16 256

Busca el siguiente grupo de lineas

unregistered ports

acl Safe_ports port 280 # http-mgmt

acl Safe_ports port 488 # gss-http

acl Safe_ports port 591 # filemaker

acl Safe_ports port 777 # multiling http

acl CONNECT method acl all src 0.0.0.0/0.0.0.0

acl manager proto cache_object

acl localhost src 127.0.0.1/255.255.255.255

acl to_localhost dst 127.0.0.0/8

acl SSL_ports port 443 563

acl Safe_ports port 80 # http

acl Safe_ports port 21 # ftp

acl Safe_ports port 443 563 # https, snews

acl Safe_ports port 70 # gopher

acl Safe_ports port 210 # wais

acl Safe_ports port 1025-65535 #CONNECT

Cada una de estas líneas son variables con las que trabajara tu proxy, aquí podrás agregar quien (accede PC o usuario) o que accede a internet o no permitir descargar algunos formatos de archivos (exe, mov, mp3)

De momento bastara con agregar las siguientes líneas

acl net src 192.168.101.0/255.255.255.0

Donde 192.168.101.0 representa el segmento de red en que está configurada 255.255.255.0 representa la máscara de tu red

Busca la siguiente línea

http_access allow manager localhost

Y después de esta agregamos la siguiente línea

http_access allow net

Donde 192.168.101.0 representa el segmento de red en que está configurada 255.255.255.0 representa la máscara de tu red

Donde net representa a tu red, esta regla está dando permisos a tu red de usar el proxy

Si queremos filtrar determinadas palabras hacemos lo siguiente

Crearemos un archivo de texto con las palabras que queremos que nos filtre el proxy y lo guardamos en la siguiente ruta C:\squid\etc\denegado.txt

Después agregamos una regla después de la siguiente línea ósea que nos vamos a devolver

acl net src 192.168.101.0/255.255.255.0

Le agregamos esta línea

acl palabras url_regex “C:/squid/etc/denegado.txt”

En la imagen anterior vemos como queda la regla

Buscamos la siguiente línea y la modificaremos

http_access allow net

Y le agregas !palabras

Asi quedaría

http_access allow net !palabras

Al final del archivo agregamos esta línea

Visible_hostname server

Busca la siguiente línea y las quitas el símbolo #

http_port 3128

Busca la siguiente línea quítale el símbolo # y cambia la palabra off por on esto hablita la aceleración de navegación

httpd_accel_with_proxy of

Quedaria de la siguiente forma

httpd_accel_with_proxy on

Ahora agregaremos el DNS entonces para hacer esto buscamos estas líneas

# Example: dns_nameservers 10.0.0.1 192.172.0.4

#Default:

# none

Y agregamos esta línea

dns_nameservers 192.168.101.1

Con esto acabamos de configurar los parámetros básicos de squid ahora falta ponerlo a funcionar

Por medio de consola o de inicio ejecutar ponemos el siguiente comando

C:\squid\sbin\squid –z

Si no marca ningún error significa que hicimos todo bien

Después ejecutamos este comando

C:\squid\sbin\squid –i

Esto comando instala el servicio proxy en la lista de servicios de Windows server 2003

Ahora reinicias l servicio de squid, esto lo podernos hacer de dos formas, reiniciando tu PC o ir al panel de control, herramientas administrativas , servicios allí busca uno que se llama squidNT y le das reiniciar

Ahora ya tenemos nuestro proxy corriendo

Esta entrada fue publicada el Septiembre 28, 2009 a las 2:41 pm y archivada bajo Proxy . Puedes seguir cualquier respuesta a esta entrada a través del feed RSS 2.0 Puedes dejar una respuesta, o trackback desde tu propio sitio.

campus party el mejor evento de tecnologia en el mundo

2009-07-09T01:27:00.000-07:00

Tercer día desde Corferias!
Los campuseros colombianos ya hacen parte del evento más grande de tecnología y entretenimiento del mundo, los patrocinadores e invitados participaron de la ceremonia de inauguración de Campus Party Colombia 2009. Esta noche la velada estará acompañada por el concierto que ofrecerá Vive.in a los Campuseros con la agrupación musical Superlitio.

http://www.campus-party.com.co/tl_files/Campus-Colombia/2009/general/campustv/

Se acerca el momento Campus Party Colombia 2009

2009-03-19T09:41:00.000-07:00

amigos una invitacion a que conozcan la gran tecnologia que acerca a el hombre a la excelencia.

Estamos a pocos días de la apertura de inscripciones de Campus Party Colombia 2009, tú ya eres parte de la comunidad de campuseros más grande del mundo, queremos contarte que este año la forma de inscribirte ha mejorado para facilitar tu acceso al evento.
Tu cupo se garantizará solo a partir del momento en que realices el pago de tu entrada a través en el banco BBVA o medios electrónicos hasta completar las plazas disponibles.
Pronto recibirás toda la información necesaria sobre precios, fechas y servicios. Por ahora puedes ir alistando tu computador.
Campusero, nos veremos en Bogotá

Malware a través de spam simula ser de Windows Live Messenger

2009-03-19T09:21:00.000-07:00

En las últimas horas se ha detectado un alto porcentaje de correo electrónico no deseado que propaga malware simulando ser enviado por Windows Live de Microsoft.

El spam es generado desde una computadora infectada con el malware desde la cual se reenvía el correo a los contactos que se encuentran en el equipo víctima. En este caso, la estrategia de engaño consiste en la recepción de un correo electrónico de un contacto conocido. El correo electrónico malicioso (en portugués) es similar al siguiente:

En el remitente del correo, se agrega una dirección falsa que simula el dominio microsoft.windowslive.com. Con esta acción, los creadores del malware intentan ganar la confianza del usuario.

Un detalle importante a destacar es la dirección que figura en la barra de tareas cuando se posiciona el cursor sobre el enlace. El mismo, no muestra la descarga de un archivo ejecutable sino las direcciones de correo involucradas (remitente y emisor); sin embargo, el malware es llamado desde el servidor a través del archivo panico.php. Este accionar también responde a la estrategia de engaño.

Ese enlace direcciona a la víctima hacia la descarga de un archivo binario llamado panico.scr que es el código malicioso intentando pasar como un protector de pantalla. El malware es detectado por ESET NOD32 bajo el nombre de Win32/VB.EA.

Este correo está siendo empleado de manera activa, por lo que recomendamos, además de la implementación de los productos de ESET, hacer caso omiso de correos similares, más aún, cuando el mensaje se encuentra, como en este caso, en otro idioma.

Gainward ya dispone de lo último de Nvidia

2009-02-17T10:53:00.001-08:00

Tanto GTX 285 como GTX 295 ya se encuentran en el catalogo de este prestigioso fabricante. Modelos de referencia con el soporte de uno de los fabricantes más afamados del panorama actual.

Lo mejor es que partirán con precios muy agresivos de 450€ para el modelo GTX 295 y 350€ para la GTX 285. Ambas están fabricadas mediante el modelo de referencia de Nvidia, aunque Gainward no descarta modelos personalizados en un futuro cercano, por lo que comparten las prestaciones generales que marca Nvidia como estándar para estos nuevos modelos.

Concretamente la nueva GTX 285 de Gainward dispone de 1GB de memoria GDDR3 de alta velocidad a 2.5GHz con un bus de 512-Bit, 240 Stream processors con una frecuencia de 1474MHz y una GPU a 648MHz. Este modelo se puede montar en sistemas SLI de dos o tres tarjetas trabajando en paralelo y dispone de doble salida DVI y componentes. Es en realidad una GTX 280 realizada con un proceso de fabricación reducido lo que permite aumentar frecuencias a la vez que se templan los consumos. Por su precio se convierte en una opción más que interesante para los que busquen potencia y no quieran depender de soluciones de doble chip grafico.

Gainward ya dispone de lo último de Nvidia

2009-02-17T10:53:00.000-08:00

Tanto GTX 285 como GTX 295 ya se encuentran en el catalogo de este prestigioso fabricante. Modelos de referencia con el soporte de uno de los fabricantes más afamados del panorama actual.

Fanáticos de los videojuegos ¡escuchen esto!, Asus P6T6

2009-02-17T10:35:00.000-08:00

ASUS mostró su nueva línea de placas base que muestran toda la potencia que provee para todos aquellos que necesitan equipos de alto rendimiento. La nueva Asus P6T6, aparte de tener un nuevo diseño en cuanto a sus capacidades, viene equipada con, que a simple vista de hace notar, 6 sócalos PCI-EXPRESS 2.0 16X para que los utilicemos como más nos plazca.

Se pueden conectar hasta 6 tarjetas gráfica (sí, aunque parezca un tanto exagerado, se puede) al mismo tiempo. De los seis, tres están enlazados para soportar 3-Way de NVidia o CrossFire de ATI, nosotros decidimos. Pero el único inconveniente, que igualmente se puede solucionar, es que las tarjetas, muchas, utilizan el espacio de dos sócalos, por lo que es un poco inútil tener tantos slots y obligadamente tener que usar menos.

La placa es compatible únicamente con los chips Intel Core i7 así que, aparte de imaginarnos que este hardware tiene un precio muy elevado, también tendremos que ir pensando en gastar una buena cantidad de euros más para adquirir el microprocesador que le corresponde y sus otros elementos que tienen que ser acordes a este equipo.

Pero lo basto no viene solamente por el lado de los puestos PCI-EXPRESS, sino también con las memorias. El Asus P6T6 tiene a disponibilidad el poder insertar 6 tarjetas de memorias DDR3 en triple channel, por lo que nos damos una idea la velocidad que podemos manejar. Otros elementos de esta placa base son 2 puertos Ethernet, muchos puerto USB (como de costumbre en la actualidad). En lo que respecta al precio todavía no se sabe nada, pero no es nada dudoso que por las características que nombramos llegue a cotizar en precios superiores a los 350 o 400 euros. ¿Te lo comprarías?

Disco de 400Gb legibles desde unidades Blue-Ray

2009-02-17T07:22:00.000-08:00

«La empresa japonesa Pioneer se ha lanzado en la carrera de los discos ópticos presentando en sociedad un disco de hasta 400 GB de memoria, ocho veces más que lo que puede almacenar un Blu-ray de doble capa. Para lograr esta capacidad de memoria, Pioneer usa un sistema con 16 capas una vez resueltos algunos problemas de interferencia en la lectura entre una y otra capa y, lo más importante, legible para el sistema óptico Blu-Ray, evitando cualquier problema de incompatibilidad de los sistemas. Como aún no existen grabadores comerciales para esta tecnología, Pioneer anunció que de momento sólo estará disponible para venderse con contenidos pregrabados. Pioneer presentará los detalles del disco de 400 GB en el 'Simposio Internacional de Memorias ópticas o dispositivos ópticos de datos' que se celebrará en Hawaii la próxima semana.

Para lograr esta capacidad de memoria, Pioneer utilizó precisamente el sistema de las capas similar al de su competidor Blu-Ray, sólo que en vez de dos capas esta empresa añadió 16 y el experimento le ha salido bien.

Resolvieron algunos problemas de interferencia en la lectura entre una y otra capa y, lo más importante, los hicieron legibles para el sistema óptico Blu-Ray, evitando cualquier problema de incompatibilidad de los sistemas.

El ahorro de discos con motivos ecológicos es otro de los beneficios que más se anunciarán desde Pioneer, que ha definido a su nuevo disco como "un gran paso en el futuro de los sistemas de gran almacenaje", según información de un comunicado de la empresa.

Pioneer presentará los detalles del disco de 400 GB en el 'Simposio Internacional de Memorias ópticas o dispositivos ópticos de datos' que se celebrará en Hawaii la próxima semana.

Visto en:

http://barrapunto.com/articles/08/07/09/151253.shtml

http://www.elmundo.es/navegante/2008/07/08/tecnologia/1215501130.html

Instalacion paso a paso de ubuntu linux

2009-02-12T05:00:00.000-08:00

1.Primero, debe bajarse la siguiente imagen de CD: Ubuntu Desktop i386. Una vez bajada hay que «quemarla» en un CD. Todos los programas de grabación de CDs son capaces de hacerlo, es un sencillo procedimiento que se escapa del propósito de este tutorial. Si no sabe hacerlo, un paseo por Google le dará la respuesta.

2.Reinicie su equipo con el CD que acabamos de crear en el lector de CDs. Aparecerá una pantalla de bienvenida (en inglés). Para elegir el castellano, solo hay que pulsar F2 y seleccionarlo de la lista.

3.Tras unos instantes, el escritorio de Ubuntu aparecerá en su pantalla. Puede explorar los menús para ver una pequeña muestra de lo que Ubuntu puede hacer. Tenga en cuenta que una vez instalado es mucho más rápido que al ejecutarlo desde el CD. ¿Listo? Relájese, póngase cómodo y busque el siguiente icono en el escritorio:

4.Haciendo doble clic en él, comenzará el proceso de instalación.El primer paso es elegir el idioma. Si en la pantalla de bienvenida eligió el español, simplemente pulse adelante («forward»). En otro caso seleccione «Español» en la lista, y siga.

5.Lo siguiente es elegir la zona horaria. Simplemente pulse sobre su zona, y después la ciudad. En el caso de España: pulsar sobre España y luego sobre Madrid. ¡Fácil!

6.Siguiente paso: elegir el tipo de teclado. Si todo va bién, y no tiene un teclado «raro», debería estar ya seleccionado. Cerciórese de que esto es así escribiendo en la caja de texto que hay en la parte inferior. Pulse algunas teclas específicas de aquí, como la Ñ, y algunos simbolos para asegurarse de que todo está donde debería.

7.Quién es usted? En el siguiente paso la instalación le preguntará sus datos. Su nombre real, y su nombre de usuario. Por ejemplo, el nombre real podría ser «Jesús López», y el nombre de usuario «flopez». A continuación escoja una contraseña, y el nombre del ordenador. Puede dejar el que pone por defecto, por ejemplo «flopez-laptop» o «flopez-desktop». ¡Siguiente!.

8.¡Cuidado! El siguiente paso es el más delicado. Se trata de decirle al instalador dónde debe instalarse. Asegúrese de que escoge la opción correcta, o podría formatear una partición no deseada. Existen varias opciones al instalar:

Formatear todo el disco duro. Elija esta si desea borrarlo todo y realizar una instalación limpia de Ubuntu.
Espacio libre contiguo. Ubuntu usará un trozo de espacio libre en su disco duro para instalarse, esta es la opción más recomendable si desea conservar su antiguo sistema operativo y/o sus datos. En mi caso no aparece porque no tenía espacio suficiente en ninguna partición.
Particionamiento manual. Si se siente valiente, puede hacer a mano una o varias particiones para ubuntu. Tenga en cuenta que la partición debe tener al menos 2 GB, y debe habilitar una partición para la memoria de intercambio («Swap»). Esta opción no es recomendable si nunca ha hecho una partición o nunca ha usado Linux antes.

En la pantalla siguiente, el instalador le mostrará los datos para que los revise. Asegúrese de que todo está en orden, y pulse siguiente para comenzar a instalar Ubuntu en su ordenador.
¡Ya falta poco! El instalador mostrará su progreso mientras el sistema se instala…

¡Ya está! Si todo ha ido bien, verá la siguiente pantalla:

Al reiniciar arrancará ubuntu y podrá comenzar a disfrutarlo. Si ha tenido algún problema, puede visitar los foros de Ubuntu-es. Asegúrese antes de realizar una búsqueda en Google, seguramente encuentre la solución a sus problemas en el primer resultado. Para instalar códecs multimedia, flash, java y otras cosas de utilidad en su nueva Ubuntu, pulse sobre el menú Aplicaciones->Acessorios->Terminal, y pegue las siguientes líneas:

wget http://robotgeek.org/eu/easyubuntu-3.0.tar.gz
tar -zxf easyubuntu-3.0.tar.gz
cd easyubuntu
sudo python easyubuntu.py

En unos instantes aparecerá una ventana preguntandole qué componentes desea instalar, seleccione los que desee y pulse «Install». ¡Felicidades! Es usted un poquito más libre.

Problema de regresión en sshd de Sun Solaris 9 y 10

2009-02-10T06:28:00.000-08:00


Sun ha publicado una alerta de seguridad para Solaris 9 y 10 que 
solventa un problema de regresión en sshd que podría causar una 
denegación de servicio. 
 
El fallo está causado porque un grupo anterior de parches introducen un 
problema de regresión que podría causar que la característica de reenvío 
de Secure Shell X11 deje de funcionar en los sistemas que estén 
configurados solo con interfaces IPv4. 
 
Los parches que causan el problema son: 
 
Para la plataforma SPARC: 
Solaris 9 con parche 114356-14 o superior. 
Solaris 10 con parche 126133-03 o superior. 
 
Para la plataforma x86: 
Solaris 9 con parche 114357-13 o superior. 
Solaris 10 con parche 126134-03 o superior. 
 
Según versión y plataforma, el problema ha sido solucionado en los 
siguientes nuevas actualizaciones: 
 
Para SPARC: 
Solaris 9 instalar 114356-15 o posterior desde: 
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-114356-15-1
 
Solaris 10 instalar 138060-04 o posterior desde: 
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-138060-04-1
 
Para x86: 
 
Solaris 9 instalar 114357-14 o posterior desde: 
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-114357-14-1

 http://www.hispasec.com/copyright.

BackTrack

2009-02-06T04:38:00.000-08:00

BackTrack es una distribución GNU/Linux en formato LiveCD pensada y diseñada para la auditoría de seguridad y relacionada con la seguridad informática en general.

Actualmente tiene una gran popularidad y aceptación en la comunidad que se mueve en torno a la seguridad informática .

Deriva de la unión de dos grandes distribuciones orientadas a la seguridad, el Auditor + WHAX .

WHAX es la evolución del Whoppix (WhiteHat Knoppix), el cual pasó a basarse en la distribución Linux SLAX en lugar de Knoppix .

Incluye larga lista de herramientas de seguridad listas para usar, entre las que destacan numerosos scanners de puertos y vulnerabilidades, archivos de exploits, sniffers, herramientas de análisis forense y herramientas para la auditoría Wireless.

Fue incluida en la famosa lista Top 100 Network Security Tools del 2006 disponible en SecTools.Org

Bueno, esta maravillosa herramienta la pueden descargar de 3 formas... en live cd, en usb y una maquina virtual de vmware, sinembargo ninguna de las mencionadas trae la opcion instalar (en un HDD por decir) como sus predecesoras (version 2) entonces hay q hacerlo manualmente, tan son solo son un par de pasos nada dificil.

Comenzamos con la instalacion:
1. No voy explicar paso a paso como particionar un disco duro y q este listo para instalar linux... si han llegado hasta q y quieren practicar "ethical" hacking... pues ya deberian minimo saber particionar su disco, pero

2. Creamos 2 carpetas para montar el BackTrack3 (el boot y el backtrack, OJO: que /dev/hda5 es mi disco duro.. en su caso puede cambiar):

bt ~ # mkdir /mnt/backtrack
bt ~ # mount /dev/hda5 /mnt/backtrack/
bt ~ # mkdir /mnt/backtrack/boot/

3. Copiamos el contenido del CD al punto donde se tiene q montar (tardara unos 5 a 10min):

bt ~ # cp --preserve -R /{bin,dev,home,pentest,root,usr,etc,lib,opt,sbin,var} /mnt/backtrack/

4. Creamos los directorios en el hdd de los directorios q estan activos en el live:

bt ~ # mkdir /mnt/backtrack/{mnt,proc,sys,tmp}

5. Ahora montamos el contenido q se esta ejecuntando a los directorios creados anteriormente:

bt ~ # mount --bind /dev/ /mnt/backtrack/dev/
bt ~ # mount -t proc proc /mnt/backtrack/proc/

6. Finalmente copiamos la imagen vmlinuz al directorio boot y dar los permisos:

bt ~ # cp /boot/vmlinuz /mnt/backtrack/boot/
bt ~ # chroot /mnt/backtrack/ /bin/bash

7. Listo! Ahora solo queda configurar el lilo para iniciar desde esa particion:

bt / # nano /etc/lilo.conf bt / # lilo -v

8. Solo tienen q dejar algo parecido a esto... ya q puede cambiar dependiendo q disco y particiones estan usando (lo q esta en negrita mucho ojo):

# LILO configuration file
# generated by 'liloconfig'
# Start LILO global section
lba32 # Allow booting past 1024th cylinder with a recent BIOS
boot = /dev/hda
#message = /boot/boot_message.txt
prompt
timeout = 60
# Override dangerous defaults that rewrite the partition table:
change-rules
reset
# VESA framebuffer console @ 1024x768x256
vga = 791
# Linux bootable partition config begins
image = /boot/vmlinuz
root = /dev/hda5
label = BackTrack3
read-only
# Linux bootable partition config ends

Y bueno ahora solo reiniciar y listo! ya tenemos BackTrack3 instalado en nuestra PC... ahora si quieren hacer un dualboot con winxp u otro linux ya es solo configurar el lilo, ajeno a este tutorial quizas en otro... pero la cosa no acaba ahi, BackTrack3 emplea KDE 3.5.7 como entorno de escritorio (creo q tb flux) pero por default inicia el KDE el cual no me gusta mucho... en fin todo esta en ingles y como ultimo paso para tenerlo en español solo hacemos lo siguiente.

9. Opcional: Para cambiar el idioma del entorno simplemente nos descargamos el siguiente paquete:

* ftp://ftp.red.telefonica-wholesale.net/slackware/slackware-12.1/slackware/kdei/kde-i18n-es-3.5.9-noarch-1.tgz

tambien lo pueden encontrar aca entre otros mirros: http://www.slackware.com/getslack

10. Una vez descargado el paquete de idioma nos vamos a:

* K > System > Settings > Regional&accesibility > Country/Region & Language > add language > Spanish

(y seleccionamos el paquete q descargamos y lo cargamos... asi de facil)

Tu BackTrack 3 instalado en tu disco duro y en español... (obviamente solo el entorno ya que todas las herramientas de seguridad estan en ingles).
En hora buena! ya tienes para darle largo uso a esta excelente distro orientada a seguridad.. espero les haya servido, espero comentarios, salu2!

Informacion adicional:

* http://es.wikipedia.org/wiki/BackTrack

Links de interes:

* http://offensive-security.com/
* http://sectools.org/

Vulnerabilidades en Cisco Wireless LAN Controllers

2009-02-06T04:18:00.000-08:00


Cisco ha publicado una actualización que solventa múltiples
vulnerabilidades en Cisco Wireless LAN Controllers (WLCs), Cisco
Catalyst 6500 Wireless Services Modules (WiSMs) y Cisco Catalyst 3750
Integrated Wireless LAN Controllers que podrían permitir a un atacante
remoto no autenticado escalar privilegios o causar una denegación de
servicio.

Los problemas corregidos son:

* Debido a un fallo en el sistema de autenticación web, un atacante
remoto podría utilizar un escáner de vulnerabilidades para hacer que el
dispositivo dejase de ofrecer la autenticación web o se reiniciase
(denegación de servicio).

* Un atacante podría forzar el reinicio del dispositivo por medio de un
POST especialmente manipulado enviado a la página de autenticación web
'login.html'.

* Los dispositivos Cisco WLC, WiSM y Catalyst 3750 Wireless LAN
Controller podrían dejar de responder al recibir ciertos paquetes IP
especialmente manipulados.

* Se ha encontrado un fallo de seguridad en la versión 4.2.173.0 de
Wireless LAN Controller (WLC) que podría ser aprovechado por usuario
restringido para escalar privilegios, consiguiendo control total sobre
un dispositivo afectado.

Cisco, a través de los canales habituales, ha puesto a disposición de
sus clientes soluciones para solventar el problema.

Se aconseja consultar la tabla de versiones vulnerables y contramedidas
en:
http://www.cisco.com/warp/public/707/cisco-sa-20090204-wlc.shtml

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3756/comentar

http://www.hispasec.com/copyright.

Acceso a la raíz del sistema de archivos en Samba

2009-01-08T04:30:00.000-08:00

Se ha anunciado una vulnerabilidad en Samba por la que un usuario remoto
autenticado podría llegar a acceder a determinados archivos del sistema.

Samba es una implementación Unix "Open Source" del protocolo
SMB/NetBIOS, utilizada para la compartición de archivos e impresora en
entornos Windows. Gracias a este programa, se puede lograr que máquinas
Unix y Windows convivan amigablemente en una red local, compartiendo
recursos comunes.

El problema reside cuando un usuario remoto autenticado se conecta a un
compartido con un nombre vacío ("") mediante una versión antigua de
smbclient (anterior a 3.0.28), el usuario podrá acceder a la raíz del
sistema de archivos ("/"). Por ejemplo con: smbclient //server/ -U
user%pass

Se ven afectados los sistemas configurados como: "registry shares = yes"
y con "include = registry" y "config backend = registry" (no se trata de
la configuración por defecto).

Se ha publicado la versión 3.2.7 que corrige este problema.


Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3726/comentar

http://www.hispasec.com/copyright.

El año de las "grandes catástrofes" en Internet

2008-12-26T12:33:00.000-08:00


Si por algo se ha caracterizado (y se recordará) 2008 es por convertirse
en el año de las grandes catástrofes en Internet, con el descubrimiento
de hasta cinco graves vulnerabilidades que hacían tambalearse los
cimientos de la Red. En contraste, durante el año, la mayoría de los
atacantes han seguido valiéndose sobre todo de fallos "tradicionales".

El "despiste" de Debian

En mayo se descubre que el generador de números aleatorios del paquete
OpenSSL de Debian es predecible. Esto hace que las claves generadas con
él ya no sean realmente fiables o verdaderamente seguras. Alguien (por
error) del equipo de Debian eliminó en 2006 una línea de código en el
paquete OpenSSL de Debian que ayudaba a generar la entropía al calcular
el par de claves pública y privada.

Kaminsky y los DNS

El 8 de julio de 2008 se publica una actualización coordinada para
la mayoría de los dispositivos en Internet que utilizan DNS. Ha sido
descubierta una vulnerabilidad inherente al protocolo que permite
falsificar las respuestas DNS y, por tanto, redireccionar el tráfico.
Cisco, Microsoft, BIND... todos publican una nueva versión o actualizan
sus sistemas para solucionar un misterioso fallo. Dan Kaminsky es el
responsable de orquestar la macroactualización. Thomas Dullien se
aventura semanas después a publicar en su blog su particular visión
de lo que podía ser el problema descubierto por Kaminsky, sin tener
conocimiento previo de los detalles. Y no se equivoca en su teoría:
es posible falsificar (a través del envío continuo de cierto tráfico)
los servidores autorizados de un dominio.

Espionaje a "gran escala" con BGP

En agosto se habla de nuevo de la mayor vulnerabilidad conocida al
demostrar Tony Kapela y Alex Pilosov una nueva técnica (que se creía
teórica) que permite interceptar el tráfico de Internet a una escala
global. Se trata de nuevo de un fallo de diseño en el protocolo BGP
(Border Gateway Protocol) que permitiría interceptar e incluso modificar
todo el tráfico de Internet no cifrado. BGP es un protocolo que se
utiliza para intercambiar tablas de enrutamiento entre sistemas
autónomos (AS). El problema es que nunca se ha llegado a idear un
sistema que realmente autentique a ambas partes, y los routers estén así
seguros de que la información recibida desde un AS es legítima y viene
del sitio adecuado.

La denegación de servicio "perfecta"

Por cuarta vez en el año, se habla de la mayor vulnerabilidad encontrada
en la Red. La compañía sueca Outpost24 dice que descubrió en el 2005
(aunque lo saca a la luz 3 años después, posiblemente animada por los
otros acontecimiento) varias vulnerabilidades de base en el mismísimo
protocolo TCP/IP que podrían permitir la caída de cualquier aparato con
comunicación TC en la Red. Es la llamada "denegación de servicio de bajo
ancho de banda". Aunque todavía no se conocen los detalles, todo son
conjeturas. Dicen no conocer una implementación de la pila que no sea
vulnerable. La información sobre lo que se da en llamar Sockstress se
estanca. Finalmente no ofrecen los detalles prometidos aunque pueden
demostrar su eficacia.

¿El fin del WiFi?

A principios de octubre se publica que la compañía rusa ElcomSoft había
conseguido reducir sustancialmente el tiempo necesario para recuperar
una clave de WPA, ayudándose de tarjetas gráficas NVIDIA y fuerza bruta.
Se trata más de una maniobra de publicidad que una vulnerabilidad real.
Sin embargo poco después Tews y Beck encuentran un problema inherente a
una parte de WPA con el cifrado TKIP. Aunque la noticia es exagerada en
medios, realmente se trata de una prueba de concepto que no permite
recuperar la contraseña ni influye al método de autenticación. La
técnica está limitada a descifrar paquetes concretos o inyectar nuevos
(y sólo una pequeña cantidad) de tamaño reducido. Aun así parece el
principio del fin para WPA y un acicate para pasar a WPA2.

Problemas en IPv6

En julio también se descubrió un problema en todas las implementaciones
del protocolo Neighbor Discovery Protocol (NDP) para detectar nodos
IPv6. Un atacante podría interceptar tráfico privado. Todos los grandes
fabricantes deben actualizar.

Los ataques más usados

Aunque se han detectado ataques a servidores SSH que se sospecha estaban
relacionados con el problema de Debian y desde China se han observado
ataques contra la vulnerabilidad DNS descubierta por Kaminsky, del resto
de graves vulnerabilidades no se tiene constancia de que estén siendo
aprovechadas al menos de forma masiva.

En realidad, los ataques masivos del "día a día" que se han sufrido este
año han tenido su origen una vez más en vulnerabilidades "tradicionales"
que permiten ejecución de código en software popular. Las
vulnerabilidades que más han sido aprovechadas de forma masiva en 2008
(aunque no las únicas, sí las de mayor impacto) han sido:

* En enero, los atacantes aprovechan de forma masiva una vulnerabilidad
en RealPlayer.

* En febrero se descubre que un fallo en Adobe Acrobat/Reader 8 está
siendo aprovechado para infectar sistemas. También aprovecharían otra
vulnerabilidad para infectar a través de archivos PDF en noviembre .

* En abril, una vulnerabilidad de ejecución de código en el motor GDI
de Windows.

* En mayo, un problema en el reproductor Flash de Adobe.

* El día 23 de octubre Microsoft publica un parche fuera de su ciclo
habitual en el que se soluciona un fallo de seguridad en el servicio
Server. Es problema es muy parecido al que aprovechó Blaster en 2003.
No se convierte en epidemia pero es muy aprovechado en redes internas.

* La vulnerabilidad en el manejo de etiquetas XML de Internet Explorer.
El 17 de diciembre Microsoft publica otro parche fuera de su ciclo
porque la vulnerabilidad está siendo masivamente explotada.

Casi siempre, todas estas vulnerabilidades se aprovechan con el fin
de instalar malware y obtener así un lucro directo de los sistemas
atacados.

Actualización del kernel para Debian Linux 4.x

2008-12-26T06:07:00.000-08:00


Debian ha publicado una actualización del kernel que corrige múltiples
fallos de seguridad que podrían causar una denegación de servicio o una
elevación de privilegios.

Los problemas corregidos son:

* Denegación de servicio local o escalada de privilegios en
rch/i386/kernel/sysenter.c a través de las funciones
install_special_mapping, syscall y syscall32_nopage.

* Denegación de servicio local a través de los sistemas de archivos ext2
y ext3. Un usuario local con permisos para montar sistemas de archivos
podría crear un sistema de archivos especialmente manipulado pudiendo
hacer que el kernel envíe mensajes de error de forma indefinida.

* Salto de restricciones de seguridad a través de splice() en archivos
abiertos con O_APPEND, que podría permitir la escritura en dicho
archivo.

* Posibles denegaciones de servicio remoto a través del subsistema SCTP
(kernel oops y kernel panic).

* Denegaciones de servicio local a través del sistema de archivos
hfsplus. Un usuario local con permisos para montar sistemas de archivos
podría crear un sistema de archivos especialmente manipulado que podría
dar lugar a una corrupción de memoria o kernel oops.

* Denegación de servicio, a través del subsistema de sockets unix, que
podría causar una corrupción de memoria o kernel panic.

* Denegación de servicio, a través de la función svc_listen de
net/atm/proc.c. Un usuario local podría provocar un bucle infinito
mediante dos llamadas a svc_listen hacia el mismo socket y, a
continuación, una lectura del archivo /proc/net/atm/*em.

* Elevación de privilegios a través de inotify. Un usuario local podría
obtener una elevación de privilegios a través de vectores desconocidos
relacionados con condiciones de carrera en inotify y umount.

* Denegación de servicio a través de la función sendmsg y AF_UNIX. Un
usuario local mediante múltiples llamadas a la función sendmsg podría
causar una denegación de servicio debido a que AF_UNIX no bloquea estas
peticiones durante la recolección de basura y provoca una condición OOM.

Se recomienda actualizar a través de las herramientas automáticas
apt-get.

Ejecución de código a través de la extensión mbstring de PHP 5.x y 4.x

2008-12-26T05:43:00.000-08:00

Se ha encontrado una vulnerabilidad en PHP, en la extensión de
tratamiento de cadenas con tipografía multibyte, que podría permitir
a un atacante ejecutar código arbitrario.

El fallo se debe a un desbordamiento de memoria basado en heap en la
extensión mbstring que podría permitir la ejecución de código con los
privilegios del servicio objetivo. El problema se da en el código que
decodifica cadenas que contienen entidades HTML a cadenas Unicode
(mbfilter_htmlent.c).

Las funciones afectadas (entre otras) son:
mb_convert_encoding()
mb_check_encoding()
mb_convert_variables()
mb_parse_str()

Son vulnerables todas las versiones anteriores a la 4.3.0 y 5.2.7. El
problema ha sido solucionado en la versión 5.2.8 disponible en
www.php.net

La familia de malware DNSChanger instala "simuladores de DHCP" en la víctima

2008-12-23T10:03:00.000-08:00

Hace unos días, tanto el SANS como distintas casas antivirus advertían
de un comportamiento más que curioso en la vieja conocida familia de
malware DNSChanger. Esta ha evolucionado sustancialmente: Comenzó con el
cambio local de la configuración de servidores DNS en el sistema (para
conducir a la víctima a los servidores que el atacante quiera). Ha
llegado hasta el punto de instalar una especie de servidor DHCP e
infectar así a toda una red interna. Los servidores DNS que instala
el malware suelen estar en la red conocida como UkrTeleGroup.

La familia DNSChanger

Una característica interesante de DNSChanger es que es una de las
familias que más han atacado a sistemas Mac, además de a Windows. Entre
otras muchas formas de toparse con ellos, se suelen encontrar en
servidores eMule, camuflados bajo la apariencia de otros programas.

Es una familia conocida desde hace unos tres años. Se caracterizan por
modificar los servidores DNS de la víctima a la que infectan. De esta
forma, la asociación IP-Dominio queda bajo el control del atacante, de
manera que la víctima irá a la IP que el atacante haya configurado en su
servidor DNS particular. Normalmente, se confía en los DNS de los ISP,
pero si se configura cualquier otro, realmente la resolución queda a
merced de su administrador, cualesquiera que sean sus intenciones.

DNSChanger comenzó modificando la configuración del sistema en local, de
forma que cambiaba los servidores DNS del ISP de la víctima por otros
controlados por el atacante. Después, el malware evolucionó hacia la
modificación del router ADSL de la víctima. Buscaba la "puerta de
enlace" del sistema, que suele corresponderse con el router, y realizaba
peticiones o aprovechaba vulnerabilidades de routers conocidos para
modificar estos valores. Así el usuario se veía afectado por el cambio
pero de una forma mucho más compleja de detectar. Además, también se
verían afectadas el resto de las máquinas que tomaran estos valores del
propio router.

Dando un paso más allá

La última evolución observada implica la instalación en la víctima de un
pequeño servidor DHCP. Este es el protocolo usado en las redes locales
para que cuando un sistema se conecta a la red, el servidor lo reconozca
y le proporcione de forma automática los valores necesarios para poder
comunicarse (dirección, ip, puerta de enlace...). Habitualmente también
proporciona los valores de los servidores DNS que haya establecido el
administrador o el router.

El malware instala un driver que le permite manipular tráfico Ethernet a
bajo nivel, o sea, fabricar paquetes de cualquier tipo. Con esta técnica
simula ser un servidor DHCP. Cuando detecta preguntas de protocolo DHCP
legítimas de algún sistema en la red, el malware responde con su propia
configuración de DNS, de forma que el ordenador que acaba de enchufarse
a la red local, quedaría configurado como el atacante quiere, y no como
el administrador ha programado. El atacante confía en la suerte, pues el
servidor DHCP legítimo de la red, si lo hubiese, también respondería.
Quien llegue antes "gana". Consiguen así infecciones "limpias", pues es
complicado saber quién originó el tráfico si éste no es almacenado y
analizado. Además, con este método se pueden permitir realizar muchos
otros ataques en red local con diferentes impactos.

¿Qué valores DNS introduce el malware?

DNSChanger es una familia que necesita de una importante infraestructura
para que sea útil. Los servidores DNS (bajo el control de los atacantes)
de los que se vale, los que modifica en el usuario, suelen estar
alojados en la compañía ucraniana UkrTeleGroup, bajo el rango de
red 85.255.x.y. Casi un 10% de todas las máquinas en ese rango de
direcciones se corresponden con servidores DNS públicos que no contienen
las asociaciones legítimas de domino y dirección IP. En ocasiones
utilizan el servidor DNS para asociar dominios a la IP reservada
127.0.0.1, como es el caso del servidor de descargas de Microsoft
download.microsoft.com. Con esto se consigue que la víctima no pueda
actualizar el sistema operativo con parches de seguridad. Curiosamente,
al parecer, las direcciones de actualización de Apple no están
bloqueadas (a pesar de que suele afectar a este sistema operativo).
También se bloquean un buen número de páginas de actualizaciones de
casas antivirus.

Algunos de estos servidores DNS (ATENCIÓN: no configurarlos en el
sistema bajo ningún concepto) son:

85.255.122.103, 85.255.113.114, 85.255.122.103, 85.255.112.112...

Sólo son necesarias algunas consultas "dig" (comando para averiguar qué
direcciones están relacionadas con qué dominios en un servidor DNS) para
comprobar qué dominios "interesan" o no a los atacantes.

Rogue DHCP servers
http://isc.sans.org/diary.php?storyid=5434

DNSChanger: One Infection, Lots Of Problems
http://www.avertlabs.com/research/blog/index.php/2008/12/16/dnschanger-one-infection-lots-of-problems/

Escalada de privilegios en Microsoft SQL Server 2000 y 2005

2008-12-23T09:56:00.000-08:00

Se ha encontrado una vulnerabilidad en Microsoft SQL Server 2000 y 2005
que podría ser explotada por un atacante de la red local para escalar
privilegios.

La vulnerabilidad está causada por un error de límites en la
implementación de "sp_replwritetovarbin()" que podría provocar un
desbordamiento de búfer basado en heap. Esto podría ser explotado por un
atacante remoto para escalar privilegios mediante el paso de argumentos
especialmente manipulados a la función.

La vulnerabilidad está confirmada para Microsoft SQL Server 2000 versión
8.00.2050 y existe un exploit público capaz de aprovechar esta
vulnerabilidad.

Se recomienda deshabilitar el procedimiento extendido
sp_replwritetovarbin con el comando:
dbo.sp_dropextendedproc 'sp_replwritetovarbin'


Microsoft SQL Server sp_replwritetovarbin limited memory overwrite vulnerability
http://www.sec-consult.com/files/20081209_mssql-2000-sp_replwritetovarbin_memwrite.txt

Ejecución de código arbitrario en CA ARCserve Backup

2008-12-16T05:23:00.000-08:00


Se ha descubierto una vulnerabilidad en CA ARCserve Backup que podría
permitir a un atacante remoto causar una denegación de servicio o la
ejecución de código arbitrario.

CA ARCserve Backup es una suite de gestión de almacenamiento y
recuperación de datos muy usada en el mundo empresarial. Soporta las
diferentes plataformas integradas en la red, servidores bajo diferentes
dominios o soluciones virtualizadas bajo VMware. Ofrece gestión
centralizada de procesos, informes e integración de medidas antivirus y
de cifrado.

El fallo se debe a una insuficiente verificación de los datos del
cliente. Un atacante remoto podría provocar la caída del servicio
LDBserver o ejecutar código arbitrario en el contexto del servicio. Solo
afecta a la aplicación servidor bajo Windows.

CA ha asignado un alto riesgo a esta vulnerabilidad y ha publicado las
siguientes actualizaciones según versión:
CA ARCserve Backup r12.0 Windows: Instalar Service Pack 1 (RO01340)
CA ARCserve Backup r11.5 Windows: RO04383
CA ARCserve Backup r11.1 Windows: RO04382
CA Protection Suites r2: RO04383

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3704/comentar

Denegación de servicio a través de libICE en Solaris

2008-12-16T05:10:00.000-08:00


Sun ha publicado una actualización de libICE para Solaris 8, 9, 10 y
OpenSolaris, que corrige una vulnerabilidad que podría permitir a un
atacante remoto sin privilegios causar una denegación de servicio.

El fallo, del que no se han ofrecido detalles, reside en libICE y afecta
a todas las aplicaciones que enlacen a esta librería. Un atacante remoto
sin privilegios causar una denegación de servicio a través de vectores
desconocidos.

Sun ha publicado los siguientes parches disponibles, según versión y
plataforma:
Para la plataforma SPARC:
Solaris 8 con parche 119067-11 o superior
http://sunsolve.sun.com/pdownload.do?target=119067-11&method=h 
Solaris 9 con parche 112785-65 o superior
http://sunsolve.sun.com/pdownload.do?target=112785-65&method=h 
Solaris 10 con parche 119059-46 o superior
http://sunsolve.sun.com/pdownload.do?target=119059-46&method=h 

Para la plataforma x86:
Solaris 8 con parche 119068-11 o superior
http://sunsolve.sun.com/pdownload.do?target=119068-11&method=h 
Solaris 9 con parche 112786-54 o superior
http://sunsolve.sun.com/pdownload.do?target=112786-54&method=h 
Solaris 10 con parche 119060-45 o superior
http://sunsolve.sun.com/pdownload.do?target=119060-45&method=h 
OpenSolaris versión de compilación snv_85 o superior

Múltiples vulnerabilidades en 3Com Wireless AccessPoint

2008-12-04T05:14:00.000-08:00


Se han encontrado múltiples vulnerabilidades en 3Com Wireless 8760 
Dual-Radio 11a/b/g PoE Access Point que podrían ser aprovechadas por un 
atacante para saltarse restricciones de seguridad, acceder a información 
sensible, inyectar código SNMP y perpetrar ataques de cross-site 
scripting. 
 
* Un fallo en el mecanismo de autenticación podría permitir a un 
atacante remoto entrar al panel de administración (si conoce las URLs 
del mismo) suplantando la IP desde la que se haya establecido el acceso 
como administrador. 
 
* Un fallo en la composición de ciertas páginas como s_brief.htm y 
s.htm, puede ser aprovechado por un atacante para acceder a información 
sensible incluida en las mismas, como la contraseña de administrador. 
 
* Un fallo de comprobación de datos de entrada al establecer el 
nombre del sistema vía SNMP puede permitir a un atacante inyectar 
código arbitrario en el navegador mientras dure la sesión entre 
cliente-servidor (cross-site scripting). Solo es posible si se 
tiene configurado SNMP con privilegios de escritura. 
 
Estas vulnerabilidades han sido reportadas para la versión de firmware 
2.1.13b05_sh aunque no se descarta que afecte a otras versiones. 
 
Actualmente no existe parche disponible para estas vulnerabilidades. 
Como contramedida se recomienda deshabilitar el interfaz web de 
administración y el acceso de escritura a SNMP. 
 
Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3693/comentar
 
Más información:

solución al crackme del décimo aniversario de "una-al-día"

2008-11-25T04:40:00.000-08:00


Coincidiendo con el décimo aniversario de "una-al-día" publicamos hace
una semana un nuevo reto de ingeniería inversa relacionado con el
evento. La idea era analizar y entender un programa conocido como
crackme, destinado específicamente a que su propia protección software
sea sorteada. En la entrega de hoy desvelamos los lectores premiados y
cómo solucionarlo.

Los premiados que han conseguido solucionar el reto, por orden (todas
horas CET):

* Romansoft, de Madrid, el 18/11 a las 23:26
* Hernán Pereira, de Buenos Aires, el 20/11 a las 04:04
* Alejo Murillo, de Madrid el 21/11 a las 1:52
* Lionel Gómez, el 20/11 a las 18:10
* Dani kachakil, de Valencia (España) el 22/11 a las 0:27

Mención especial para Alejo, que realizó un impecable informe que
ponemos a disposición de los lectores en los enlaces de más información.

Estos primeros 5 lectores recibirán el libro "Una-al-día: 10 años de
seguridad informática". Hispasec ha publicado recientemente: "Una al
día: 10 años de seguridad informática" con motivo de la celebración
del décimo aniversario. El libro recorre los hitos más destacados de
la última década y echa una mirada al futuro más inmediato del mundo
de la (in)seguridad informática. La obra cuenta con la inestimable
colaboración, a modo de entrevistas para la ocasión, de figuras
relevantes en este terreno como son Bruce Schneider, Eugene Kaspersky,
Johannes Ullrich, Juan C. García Cuartango, Mikel Urizarbarrena, etc.

Aprovechamos para informar de que en los últimos días se ha solucionado
un error en la imprenta virtual lulu.com, que disparaba los gastos de
envío a países en Latinoamérica. Ahora el precio es mucho más razonable.
Disculpen las molestias.

Además se ha añadido un nuevo punto de venta con distintos gastos de
envío según el país, para que se pueda elegir el lugar que más convenga.

El resto de ganadores que hasta el día de hoy enviaron su solución:

* David Guerrero, de Valencia (España) el 23/11, a las 17:05
* Rafael Antonio Porras, de Madrid, el 23/11, a las 17:35
* Xacobe Rascado, de Vigo (España), el 23/11 a las 19:18
* Alejandro J. Gómez López, de Jaén (España), el 24/11 a las 18:54.

recibirán una camiseta. Gracias a todos los que han participado. La
solución al problema se encuentra en el enlace del apartado de más
información.

Revelación de información a través de ICMP en Check Point VPN-1

2008-11-24T04:32:00.000-08:00


Se ha descubierto una vulnerabilidad en Check Point VPN-1 que podría
permitir a un atacante remoto obtener las direcciones IP de la red
interna.

El fallo reside en un manejo incorrecto de paquetes con un valor TTL
bajo. Al recibir paquetes en puertos del cortafuegos que son mapeados
a puertos internos, dichos paquetes son reescritos para enviarlos al
servidor de administración del firewall. Con un TTL corto este proceso
falla y sea crea un paquete ICMP de respuesta que contiene la dirección
interna del cortafuegos. Un atacante remoto podría obtener las
direcciones IP internas a través de paquetes especialmente manipulados.

Existe una prueba de concepto que explota esta vulnerabilidad. Check
Point ha confirmado que en breve publicará una actualización para
corregir este problema.

Concurso décimo aniversario: Crackme

2008-11-19T05:05:00.000-08:00

Dentro del marco de la celebración por el décimo aniversario de
una-al-día, vamos a presentar un nuevo reto de ingeniería inversa
relacionado con el evento. La idea es analizar y entender un programa
conocido como crackme, destinado específicamente a que su propia
protección software sea sorteada.

La solución a este reto arrojará luz sobre nuestras costumbres diarias.
Para los ganadores habrá libros y camisetas de regalo.

El desafío consiste en generar un fichero de clave válido para este
programa. El reto tiene además un problema de diseño relacionado con el
hecho de que es un programa multi-hilo. Aquellos que además de encontrar
la clave expliquen correctamente en qué consiste el problema tendrán
prioridad sobre el resto, aunque tarden más en enviar la solución.

Las primeras personas que envíen un fichero con la clave correcta
recibirán el libro "Una-al-día: 10 años de seguridad informática" y
además una camiseta de Hispasec. Para puestos sucesivos se entregarán
también camisetas conmemorativas. Hispasec ha publicado recientemente:
"Una al día: 10 años de seguridad informática" con motivo de la
celebración del décimo aniversario. El libro recorre los hitos más
destacados de la última década y echa una mirada al futuro más inmediato
del mundo de la (in)seguridad informática. La obra cuenta con la
inestimable colaboración, a modo de entrevistas para la ocasión, de
figuras relevantes en este terreno como son Bruce Schneider, Eugene
Kaspersky, Johannes Ullrich, Juan C. García Cuartango, Mikel
Urizarbarrena, etc.

Aprovechamos para informar de que en los últimos días se ha solucionado
un error en la imprenta virtual lulu.com, que disparaba los gastos de
envío a países en Latinoamérica. Ahora el precio es mucho más razonable.
Disculpen las molestias.

El enlace para descarga del crackme es:
http://www.hispasec.com/uad/index_html 
dentro de la pestaña crackme.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3679/comentar

Actualización de seguridad para GnuTLS

2008-11-14T04:23:00.000-08:00


El proyecto GNU ha publicado una actualización de seguridad para su
producto GnuTLS, que elimina múltiples fallos menores y una
vulnerabilidad que permitiría la falsificación de certificados X.509.

GnuTLS es una librería para la implementación del protocolo TLS
(Transport Layer Security, capa de seguridad del transporte) y de su
predecesor SSL (Secure Sockets Layer, capa de conexión segura), métodos
utilizados para ofrecer cifrado y integridad de datos en las
comunicaciones entre dos entes a través de una red informática.

Aunque tradicionalmente el uso más frecuente de SSL/TLS es para el
cifrado de las páginas web, en realidad estos protocolos de transporte
son totalmente independientes del protocolo de aplicación. Es decir, se
puede utilizar SSL/TLS para el cifrado de protocolos de aplicación como
Telnet, FTP, SMTP, IMAP o el propio HTTP.

SSL/TLS no ofrecen únicamente la capacidad de cifrar la información,
sino que también permiten a cada una de las partes identificarse de
forma fehaciente, lo que evita posibles ataques de suplantación o de
interceptación de sesiones ("man-in-the-middle").

La vulnerabilidad descubierta, podría ser aprovechada para validar un
certificado de forma automática sin que este sea realmente comprobado
en la lista de certificados válidos.

El error está causado por un fallo en la función
_gnutls_x509_verify_certificate en x509/verify.c, que se encarga de
la cadena de verificación de los certificados X.509. Debido al error,
si se añade un certificado autofirmado confiable a la lista, este será
descartado una vez validado, y el certificado situado inmediatamente
después será dado por válido sin pasar por el proceso de comprobación.

El fallo podría ser aprovechado por un atacante por medio de ataques
man-in-the-middle. Lo que le permitiría suplantar cualquier nombre y
añadirle un certificado confiable falso, que daría con que el cliente
de GnuTLS lo acepte como seguro.

Se recomienda actualizar a la versión 2.6.1 de GnuTLS no vulnerable,
disponible para su descarga desde:
http://www.gnu.org/software/gnutls/

Instalación y configuración de zimbra en debian etch 4.0 o ubuntu server 7.0

2008-11-12T08:37:00.000-08:00

Muchos administradores se matan la cabeza montando un servidor de correo debido a que no es nada facil a pesar de postfix que ha humanisado mas los archivos de configuración porque sendmail es otro nivel, bueno para quitarse muchos dolores de cabeza yo recomiendo instalar zimbra como gestor de correo y aqui les pongo un ejemplo facil de como montarlo a mi me funciono perfecto.

Primero revisamos el /etc/hosts que este hay el el nombre del equipo y dominio para el que va a ser servidor de correo, deberia haber algo parecido a esto

127.0.0.1 localhost.localdomain localhost
192.168.0.110 server1.example.com server1

# The following lines are desirable for IPv6 capable hosts
::1 ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
ff02::3 ip6-allhosts

En caso de que no este el nombre del equipo y el dominio borramos lo que este hay y agregamos el dominio con nombre de host de etsa manera

echo server1.example.com > /etc/hostname

luego reiniciamos para que surtan efecto los cambios en todo el sistema

Al cargar ejecutamos hostname -f y no debe arrojar como resultado esto
server1.example.com

Luego revisamos el archivo /etc/resolv.conf qu eesten configurado los ip de nuestro servidor dns en el caso de que el servidor de correo este detras un firewall o gateway en una red privada, luego de esto desintalamos los paquetes innecesarios para nuestra instalación y que ademas dan problemas con el zimbra

apt-get remove --purge exim4 exim4-base exim4-config exim4-daemon-light

acto seguido instalamos los que si necesitamos

apt-get install libc6-i686 sudo libidn11 curl fetchmail libgmp3c2 libexpat1 libgetopt-mixed-perl libxml2 libstdc++6 libpcre3 libltdl3 ssh
ya con esto tenemos el sistema listo para em pesar con la instalación del zimbra nos cambiamos de directorio y nos descargamos la ultima versión que para el momento es 5.0.8

cd /tmp/
wget 0080709172452.tgz...

Acto seguido que lo hemos descargado empezamos con la instalación

tar xvfz zcs-5.0.8_GA_2462.DEBIAN4.0.20080709172452.tgz
cd zcs-5.0.8_GA_2462.DEBIAN4.0.20080709172452
./install.sh -l

En este paso nos hara una serie de preguntas

Checking for prerequisites...
NPTL...FOUND
sudo...FOUND sudo-1.6.8p12-4
libidn11...FOUND libidn11-0.6.5-1
fetchmail...FOUND fetchmail-6.3.6-1etch1
libpcre3...FOUND libpcre3-6.7+7.4-2
libgmp3c2...FOUND libgmp3c2-2:4.2.1+dfsg-4
libxml2...FOUND libxml2-2.6.27.dfsg-2
libstdc++6...FOUND libstdc++6-4.1.1-21
openssl...FOUND openssl-0.9.8c-4etch1
libltdl3...FOUND libltdl3-1.5.22-4
Prerequisite check complete.
Checking for standard system perl...
perl-5.8.8...FOUND standard system perl-5.8.8

Install zimbra-ldap [Y] Y
Install zimbra-logger [Y] Y
Install zimbra-mta [Y] Y
Install zimbra-snmp [Y] Y
Install zimbra-store [Y] Y
Install zimbra-apache [Y] Y
Install zimbra-spell [Y] Y
Install zimbra-proxy [N] N

The system will be modified. Continue? [N] Y

Main menu

1) Common Configuration:
2) zimbra-ldap: Enabled
3) zimbra-store: Enabled
+Create Admin User: yes
+Admin user to create: admin@server1.example.com
******* +Admin Password UNSET
+Enable automated spam training: yes
+Spam training user: spam.m0bqyoayc@server1.example.com
+Non-spam(Ham) training user: ham.ygch0qyz1@server1.example.com
+Global Documents Account: wiki@server1.example.com
+SMTP host: server1.example.com
+Web server HTTP port: 80
+Web server HTTPS port: 443
+Web server mode: http
+IMAP server port: 143
+IMAP server SSL port: 993
+POP server port: 110
+POP server SSL port: 995
+Use spell check server: yes
+Spell server URL: http://server1.example.com:7780/aspell.php

4) zimbra-mta: Enabled
5) zimbra-snmp: Enabled
6) zimbra-logger: Enabled
7) zimbra-spell: Enabled
Default Class of Service Configuration:
r) Start servers after configuration yes
s) Save config to file
x) Expand menu
q) Quit

Address unconfigured (**) items (? - help)

Aqui tienes que elegir la opción numero 3 y ponerle una clave al usuario admin no menor de 6 digitos, cn este usuario es que vamos a trabajar siempre para administrar nuestro servidor

Store configuration

1) Status: Enabled
2) Create Admin User: yes
3) Admin user to create: admin@server1.example.com
** 4) Admin Password UNSET
5) Enable automated spam training: yes
6) Spam training user: spam.m0bqyoayc@server1.example.com
7) Non-spam(Ham) training user: ham.ygch0qyz1@server1.example.com
Global Documents Account: wiki@server1.example.com
9) SMTP host: server1.example.com
10) Web server HTTP port: 80
11) Web server HTTPS port: 443
12) Web server mode: http
13) IMAP server port: 143
14) IMAP server SSL port: 993
15) POP server port: 110
16) POP server SSL port: 995
17) Use spell check server: yes
18) Spell server URL: http://server1.example.com:7780/aspell.php

Select, or 'r' for previous menu [r]

Enter "4" (without the quotes) and press "Enter" to modify the admin password. Now you'll be asked for the new password.

Password for admin@server1.example.com (min 6 characters): [TR9Fm7uD]

Aqui introduces el password para el usuario admin

Main menu

1) Common Configuration:
2) zimbra-ldap: Enabled
3) zimbra-store: Enabled
4) zimbra-mta: Enabled
5) zimbra-snmp: Enabled
6) zimbra-logger: Enabled
7) zimbra-spell: Enabled
Default Class of Service Configuration:
r) Start servers after configuration yes
s) Save config to file
x) Expand menu
q) Quit

*** CONFIGURATION COMPLETE - press 'a' to apply
Select from menu, or press 'a' to apply config (? - help)

Con esot ya tenemos casi listo nuestro servidor de correo nos hara una preguna sobre donde y en que archivo va a sarvar los cambio le damos a todo enter

Save configuration data to a file? [Yes] Enter
Save config in file: [/opt/zimbra/config.5422]
Saving config in /opt/zimbra/config.5422...done.
The system will be modified - continue? [No] Y

Operations logged to /tmp/zmsetup.02062008-135354.log
Setting local config values...done.
Setting up CA...done.
Creating SSL certificate...done.
Initializing ldap...done.
Setting replication password...done.
Setting Postfix password...done.
Setting amavis password...done.
Deploying CA to /opt/zimbra/conf/ca ...done.
Creating server entry for server1.example.com...done.
Setting spell check URL...done.
Setting service ports on server1.example.com...done.
Adding server1.example.com to zimbraMailHostPool in default COS...done.
Installing skins...
hotrod
lavender
waves
steel
sky
bones
yahoo
sand
lemongrass
beach
bare
done.
Setting zimbraFeatureIMEnabled=FALSE...done.
Setting zimbraFeatureTasksEnabled=TRUE...done.
Setting zimbraFeatureBriefcasesEnabled=TRUE...done.
Setting zimbraFeatureNotebookEnabled=TRUE...done.
Setting MTA auth host...done.
Setting TimeZone Preference...done.
Creating domain server1.example.com...done.
Creating user admin@server1.example.com...done.
Creating postmaster alias...done.
Creating user wiki@server1.example.com...done.
Creating user spam.m0bqyoayc@server1.example.com...done.
Creating user ham.ygch0qyz1@server1.example.com...done.
Setting spam training accounts...done.
Initializing store sql database...done.
Setting zimbraSmtpHostname for server1.example.com...done.
Initializing logger sql database...done.
Initializing mta config...done.
Configuring SNMP...done.
Setting services on server1.example.com...done.
Setting up zimbra crontab...done.
Setting up syslog.conf...done.

After all you'll be asked if you want to notify Zimbra of your installation. Press "Enter" if you want to do that, or enter "N" (without the quotes) and press "Enter" if you disagree to that. Afterwards the system will be initialized - it should look like this:

Starting servers...done.
Checking for deprecated zimlets...done.
Installing zimlets...
com_zimbra_date
com_zimbra_url
com_zimbra_cert_manager
com_zimbra_phone
com_zimbra_search
com_zimbra_local
com_zimbra_email
done.
Initializing Documents...done.
Restarting mailboxd...done.

Moving /tmp/zmsetup.02062008-135354.log to /opt/zimbra/log

Por ultimo para verificar que todo este bien nos cambiamos al usuario zimbra y verificamos que todos los servicios esten arriba de la siguiente manera

su - zimbra
zmcontrol status Esto nos deberia de arrojar como resultado lo siguiente
Host server1.example.com
antispam Running
antivirus Running
ldap Running
logger Running
mailbox Running
mta Running
snmp Running
spell Running
stats Running

En caso de no arrojar un resultado parecido a este intentamos levantar los servicios asi

zmcontrol start

Si todo ha ido bien tenemos listo nuestro servidor de correo sino es porque te slataste algun paso del manual.

Para empezar a administrar nuestro servidor entramos a la consola administrativa de la siguiente manera https://server1.example.com:7071/zimbraAdmin/ impotante que "A" de Admin este en mayuscula si no esta en mayuscula no va a entrar en la consola aqui nos pide un usuraio y una clave el usuario es admin y la clave es la uqe pusimos hace ratos atras, la consola no la voy a explicar porque ella se explica sola es muy facil y eficiente, todo lo que resta es crear los usuarios y los dominios si vas a hacer el servidor multidominio y listo.

Para entrar en modo usuario entras de la siguiente manera http://server1.example.com introduces el usuario en este formato usuario@midominio.com y la clave si no le pones el @dominio no va a entrar debido a que puede ser servidor multi dominio, como información adicional les digo que antes de empezar a instalar el zimbra tienen que tener el DNS bien configurado apuntando hacia la ip de nuestro servidor de correo porque sino el zimbra les va a dar error en la instalación.

Diversas vulnerabilidades en IBM DB2 9.x

2008-11-06T08:25:00.000-08:00


Se han encontrado múltiples vulnerabilidades en IBM DB2, algunas son de
impacto desconocido y otras podrían ser aprovechadas por un atacante
remoto para causar una denegación de servicio o revelar información
sensible.

* La primera vulnerabilidad está causada por un error en la función
"SQLNLS_UNPADDEDCHARLEN()" que podría causar una violación de acceso
(segmentation fault) en servidor DB2 al intentar acceder a una parte de
memoria para la que no se tienen permisos.

* Las vistas (views) y los disparadores (triggers) deberían estar
marcados como no operativos o ser descartados en el Native Managed
Provider para .NET si los objetos no pueden ser mantenidos por quien los
ha definido.

* Un error no especificado en los servicios de ordenación/listado podría
ser explotado para revelar ciertas cadenas relacionadas con la
contraseña de conexión.

Las vulnerabilidades están confirmadas para la versiones anteriores a la
9.x FP6 de IBM DB2.

Se recomienda aplicar el Fixpack 6, disponible desde:
http://www.ibm.com/support/docview.wss?rs=71&uid=swg27007053

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3654/comentar

Dos vulnerabilidades en la rama 2.x de OpenOffice permiten ejecución de código

2008-11-06T08:06:00.000-08:00


OpenOffice.org ha publicado una actualización para la rama 2.x de
OpenOffice. Soluciona dos problemas de seguridad que podrían permitir a
un atacante ejecutar código si se procesan documentos especialmente
manipulados con una versión vulnerable.

* Uno de los fallos se trata de un desbordamiento de memoria intermedia
basado en heap en el intérprete de ficheros EMF.

* El segundo fallo se debe a un desbordamiento de enteros a la hora de
procesar registros META_ESCAPE en ficheros WMF.

Ambos fallos podrían permitir la ejecución de código arbitrario con los
permisos del usuario bajo el que se usara la aplicación.

Ambos también, están relacionados con problemas a la hora de procesar el
formato Windows Meta File y Extended (o Enhanced) Windows Metafile
Format. Estos formatos de imagen se hicieron especialmente famosos a
raíz de la vulnerabilidad descubierta a finales de 2005 en Microsoft
Windows y que infectó a millones de usuarios.

La reciente versión 3.0 de OpenOffice no se ve afectada.

No se han dado detalles técnicos ni parece existir exploit público. Se
recomienda actualizar a la versión OpenOffice 2.4.2. Todas las
anteriores son vulnerables.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3660/comentar

Más información:

Manipulated EMF files can lead to heap overflows and arbitrary code execution
http://www.openoffice.org/security/cves/CVE-2008-2237.html

Una-al-día cumple 10 años

2008-10-29T06:27:00.000-07:00

Hoy, 28 de octubre, se cumple el décimo aniversario de "una-al-día",
primer diario de información técnica sobre seguridad informática
en español. Una década informando puntualmente sobre virus,
vulnerabilidades, fraudes, alertas, y reflexiones sobre la seguridad
en Internet. 3.657 noticias. Aniversarios anteriores en Hispasec se
han caracterizado por una sobria mención o directamente han pasado
desapercibidos. En esta ocasión, hemos decidido festejar esta cifra
tan redonda con algunas sorpresas.

Diez años en la Red es mucho tiempo. Ha sido necesario sobrevivir al
cambio en el modelo económico sufrido a principios de esta década (que
a tantos servicios web dejó atrás), o a la avalancha y saturación de
información que está proporcionando hoy la web 2.0... se han producido
muchos cambios en Internet en general y en la seguridad en particular,
y los hemos intentado reflejar día a día, informando de la única forma
que sabemos: con independencia y honestidad. Estamos muy orgullosos
de seguir produciendo una-al-día y poder ofrecerlas a nuestros
suscriptores, que entre todos los canales de distribución, suman
muchas decenas de miles.

Cuando Bernardo Quintero escribió la primera una-al-día: "28/10/1998
Service Pack 4, los problemas de la solución" no podía ni imaginar que
diez años después el servicio continuaría, que lo haría en Hispasec,
proyecto web fundado exactamente dos meses después del primer envío, a
partir del éxito de los boletines iniciales. En aquel momento, otros
proyectos posteriores como Virustotal.com eran solo un vago concepto
todavía. Pero sobre todo, no podíamos imaginar que 10 años después
una-al-día e Hispasec seguiría siendo un respetado referente en
seguridad para muchos hispanohablantes o que Virustotal.com se
convertiría en un estándar de facto para el envío de malware en todo el
mundo, que procesa 60.000 muestras cada día. Es un éxito que agradecemos
y que asumimos con responsabilidad.

Es gratificante pensar que en estos diez años, hemos llegado incluso a
un cambio generacional. Muchos profesionales reconocidos eran apenas
adolescentes cuando comenzó el servicio de publicación diario. Hoy desde
sus puestos de trabajo, todavía confían en la información que a diario
les ofrece una-al-día.

Este décimo aniversario pensamos que merece una mención especial. Desde
agosto, hemos conseguido arañar algo de tiempo de nuestras agendas para
preparar varias sorpresas que esperamos que agraden a todo el mundo. Han
supuesto un importante esfuerzo y se han concebido como regalo especial
para todos los seguidores del boletín diario.

Durante las próximas semanas, pedimos a nuestros lectores que estén
especialmente atentos a los boletines, porque iremos descubriendo las
sorpresas en sucesivas publicaciones.

Gracias a todos. En especial, a nuestros fieles suscriptores: desde la
primera persona que leyó el boletín en octubre de 1998, hasta el usuario
del último correo que se ha suscrito al servicio hace apenas unos
minutos.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3657/comentar

Activar los killbits y el índice de explotabilidad, novedades en los boletines de Microsoft

2008-10-20T06:08:00.000-07:00


Microsoft está siguiendo una nueva política con la que intenta mejorar
sus boletines de seguridad. Este mes ha introducido un nuevo valor
llamado "índice de explotabilidad" (exploitability index) que indica
las posibilidades de que se cree un exploit para cada vulnerabilidad.
Además, se está proponiendo (por fin) activar el mayor número de
killbits posibles para evitar ataques a través de ActiveX vulnerables.

En octubre Microsoft ha incluido por primera vez en sus boletines el
"exploitability index", un valor que intenta predecir la posibilidad de
que los atacantes creen código capaz de aprovechar la vulnerabilidad.
Los valores posibles que asignará Microsoft son:

* Consistent exploit code likely: Es probable la creación de un exploit
consistente.
* Inconsistent exploit code likely: Es probable la existencia de un
exploit incosistente.
* Functioning exploit code unlikely: Es improbable la existencia de un
exploit funcional.

Refiriéndose con "consistencia" a las probabilidades que funcione bajo
la mayoría de las circunstancias y la mayor parte de las veces. Esta
forma de puntuar el riesgo es exclusiva de Microsoft, y evaluada solo
por su parte.

Por ejemplo, en esta última tanda de boletines, se resuelven 20
vulnerabilidades. Según Microsoft 8 tienen posibilidades de que se cree
un exploit consistente para ellas, y cuatro son poco probables de ser
aprovechadas. Para otras incluso, como el fallo en Windows Printing
Service de Internet Information Services (IIS) Web server, se tiene
constancia de que están siendo activamente aprovechadas. Para una de las
que predijo la posibilidad de un exploit consistente, efectivamente se
ha publicado posteriormente código capaz de aprovechar el fallo.

Microsoft sigue resistiéndose sin embargo a añadir a sus boletines el
valor CVSS (Common Vulnerability Scoring System) de cada vulnerabilidad.
Se trata de un estándar que gradúa la severidad de manera estricta a
través de fórmulas establecidas y que ya siguen Oracle y Cisco entre
otros. Cuando fue creado en 2005, la compañía apoyó la iniciativa, pero
más tarde adujo que su sistema propio de graduación era correcto, y
nunca ha terminado de apoyar este estándar.

Por último, destacar que Microsoft últimamente está incluyendo boletines
oficiales destinados a activar los killbits de componentes ActiveX,
tanto propios como de terceros. Esto es muy positivo. Los ActiveX suelen
ser librerías de Microsoft o de terceros que, en muchas ocasiones,
sirven de puerta para entrar en el sistema a través de Internet
Explorer, gracias a los fallos de seguridad de los propios ActiveX. El
peligro está en que el navegador es capaz de invocarlos, aunque no sea
realmente necesario para cumplir su función. Al activar el killbit, se
asegura que Internet Explorer no puede llamarlos y se anula así un
importante vector de ataque. Al difundir esta activación de killbits
a través de las actualizaciones oficiales de Microsoft, se aseguran
mitigar potenciales problemas con una difusión mucho más extensa que
si lo hiciera el propio fabricante del ActiveX.

Aunque es obligación de los programadores de ActiveX ser precavidos
y activar ese killbit, en la mayoría de las ocasiones sólo una
vulnerabilidad les hace reaccionar. Usar los parches de Microsoft para
anular este vector de ataque, puede impedir muchos problemas de manera
mucho más rápida y mayoritaria. En esta última tanda de boletines (como
medida extra de precaución) se han activado los killbits incluso de
ActiveX propios de Microsoft que ya habían sufrido vulnerabilidades y
para los que existían parches.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3648/comentar

Más información:

Microsoft Exploitability Index
http://technet.microsoft.com/en-us/security/cc998259.aspx

Corregida una vulnerabilidad de ejecución remota de código en Graphviz

2008-10-13T19:02:00.000-07:00

El investigador de IBM, Roee Hay, ha descubierto recientemente una
vulnerabilidad en Gralphviz que podría ser aprovechada para causar una
denegación de servicio o ejecutar código arbitrario en el sistema, si un
usuario intenta abrir un archivo DOT especialmente manipulado.

Graphviz es un software gratuito de visualización de grafos, de código
abierto y que se distribuye bajo licencia Common Public License v.1.0.
El programa permite realizar una descripción de grafos en formato de
texto (lenguaje DOT) y obtener diagramas en múltiples formatos
distintos. Desde la página web de Graphviz se pueden descargar los
paquetes para Windows, Mac, FreeBSD, Solaris y para distintas
distribuciones de Linux.

La vulnerabilidad está causada por una falta de comprobación de límites
del array "Gstack" en la función "push_subg" de "lib/graph/parser.c".
Esto podría ser aprovechado para desbordar el array causando una
corrupción de memoria que podría ser aprovechada para ejecutar código
arbitrario.

A continuación se puede ver la porción de código vulnerable,
perteneciente a la versión 2.20.2 de Graphviz:

static void push_subg(Agraph_t *g) {
G = Gstack[GSP++] = g;
}

Y la función corregida, perteneciente a la última versión (v.2.20.3):

static void push_subg(Agraph_t *g) {
if (GSP >= GSTACK_SIZE) {
agerr (AGERR, "Gstack overflow in graph parser\n"); exit(1);
}
G = Gstack[GSP++] = g;
}

Si bien es cierto que la vulnerabilidad era evitable, y que la
modificación requerida parece trivial, cabe reseñar la eficacia del
grupo de desarrolladores del proyecto, ya que pasó tan solo un día desde
que fueron informados de la vulnerabilidad hasta que pusieron a
disposición de sus usuarios una versión actualizada y no vulnerable.

Se recomienda actualizar a la versión 2.20.3 de Graphviz, disponible
para las distintas plataformas desde:
http://www.graphviz.org/Download..php

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3640/comentar

Denegación de servicio a través de UFS en Sun Solaris 8, 9 y 10

2008-10-13T18:58:00.000-07:00

Se ha encontrado una vulnerabilidad en Sun Solaris 8, 9 y 10 y
OpenSolaris que podría permitir a un atacante provocar una denegación de
servicio.

El fallo se debe a un problema no especificado en la implementación de
las ACL (Access Control List) del sistema de ficheros UFS. Un atacante
local sin privilegios podría provocar un "panic" en el sistema y hacer
que dejase de responder.

No existe parche oficial para las versiones de Sun Solaris, por lo que
se recomienda restringir el acceso a usuarios no confiables. Para
OpenSolaris se recomienda actualizar a OpenSolaris build snv_100 o
posterior.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3640/comentar

Ejecución remota de código en impresoras multifunción Xerox

2008-10-05T18:02:00.000-07:00

Se ha encontrado una vulnerabilidad en el controlador de red/ESS de las
impresoras multifunción WorkCentre de Xerox que podría ser explotada por
un atacante de la red local para ejecutar código arbitrario en la
impresora.

La vulnerabilidad está causada por un desbordamiento de búfer en Samba
al manejar respuestas SMB (Service Message Block) remotas. Esto podría
ser aprovechado por un atacante de la red local para tomar el control de
la impresora.

Samba es una implementación Unix "Open Source" del protocolo
SMB/NetBIOS, utilizada para la compartición de archivos e impresora en
entornos Windows. Gracias a este programa, se puede lograr que máquinas
Unix y Windows convivan amigablemente en una red local, compartiendo
recursos comunes.

Si un atacante consigue tomar el control de una impresora podría cambiar
la configuración de la misma; pero además podría conseguir cierta
información sensible, ya que tendría acceso a la memoria del dispositivo
donde residen aquellos documentos copiados o imprimidos recientemente.
Esto podría suponer un riesgo a tener en cuenta sobre todo en entornos
corporativos.

La vulnerabilidad está confirmada para las siguientes versiones de
impresoras multifunción: Xerox WorkCentre: 232, 238, 245, 255, 265, 275,
7655, 7665, 7675, 5623, 5635, 5645, 5655, 5665, 5675 y 5687. Xerox
WorkCentre Pro: 232, 238, 245, 255, 265 y 275.

El fabricante recomienda consultar la tabla de versiones vulnerables
(disponible en el boletín de seguridad) y aplicar el parche P36v1,
disponible para su descarga desde:
http://www.xerox.com/downloads/usa/en/c/cert_P36v1_WCP275_WC7675_WC5687_Patch.zip

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3633/comentar

Más información:

Xerox Security Bulletin XRX08-009:
Software update to address Network Controller vulnerability
http://www.xerox.com/downloads/usa/en/c/cert_XRX08_009.pdf

Algunas preguntas frecuentes sobre la supuesta vulnerabilidad en el protocolo base de la Red

2008-10-03T13:31:00.000-07:00

Ayer publicábamos un boletín sobre la supuesta vulnerabilidad
descubierta por Outpost24 que podría permitir la caída de cualquier
aparato con comunicación en la Red. Disponemos ahora de más información,
que ayer mismo publicaban fuentes oficiales, sobre el asunto. Además,
aprovechamos para corregir algunos errores.

¿El fallo es nuevo? ¿Por qué "supuesta"?

Probablemente no. Aunque no se conocen los detalles, todo son
conjeturas. Quizás sea una nueva forma de aprovechar una vieja debilidad
conocida del TCP/IP. "Supuesta" es simplemente porque no ha quedado
demostrado todavía por terceras partes independientes.

¿Aprovechar el fallo requiere de un envío continuado de paquetes?

Sobre esto ha habido cierta confusión. Algunos apuntan a que es
necesario bombardear de forma continuada y con un cierto tipo de
paquetes al servidor. Otros que con sólo unos minutos de tráfico se
puede hacer que el sistema quede sin recursos. Según Robert E. Lee de
Outpost 24, depende del dispositivo. Lo normal es que permanezcan caídos
mientras dure el ataque (como ocurre con un DDoS, por ejemplo), pero se
han dado casos en que se agotan sus recursos y se necesita un reinicio
con una mínima cantidad de tráfico.

¿Desactivando la protección "SYN Cookies" se previene el problema?

No. Simplemente se volvería a ser más vulnerable a ataques de tipo SYN
Flood

¿Todos los dispositivos son vulnerables?

Según los descubridores, depende mucho del tipo de ataque y del
dispositivo. Es posible que el dispositivo tenga que ser reiniciado,
pero no siempre se llega a ese punto.

¿El problema está en TCP/IP?

Como nos han comunicado algunos lectores de una-al-día, el problema está
en el protocolo TCP/IP, no exclusivamente en IP, como se apuntaba
erróneamente en el boletín anterior.

¿Por qué ahora todas estas alarmas catastrofistas?

Aunque dicen conocer el problema desde 2005, Outpost24 se habrá decidido
a hacer público este asunto precisamente ahora por varias razones.
Primero para intentar proteger y mejorar el sistema. (¿Por qué no?)
Kaminsky lo hizo con el fallo de DNS. El problema del BGP no tuvo tanta
repercusión mediática pero llamó mucho la atención. La compañía quizás
se ha animado finalmente a hacer público sus descubrimientos tras
comprobar la publicidad que este tipo de declaraciones puede
reportarles. Es evidente que, como siempre ha ocurrido en la publicación
de vulnerabilidades novedosas, la búsqueda de notoriedad y prestigio
juegue un papel importante, aunque no resta importancia al
descubrimiento en sí. Por cierto, también se dijo en la anterior
una-al-día que era una empresa finlandesa cuando en realidad es sueca.

¿Están exagerando?

El hecho de ofrecer un poco de información en forma de "cebo" y prometer
el resto en conferencias posteriores asegura una buena cantidad de
especulación y por tanto mantener a la empresa en boca de todos durante
unas semanas. Esto no resta seriedad al potencial fallo.

¿Es para tanto?

Matizan sus afirmaciones hablando siempre de "bajo circunstancias
concretas" lo que da a entender que no es tan sencillo reproducirlo.
Además, si se trata de una denegación de servicio a través de una
inundación de paquetes continuados, hoy en día tenemos los DDoS más
potentes que nunca a través de las botnets más grandes del momento.
Miles de sistemas zombi infectados bombardean con tráfico (legítimo) las
páginas para intentar echarlas abajo, y resulta bastante efectivo.
Recurrir a este tipo de vulnerabilidades constituyen una novedad, pero
en la práctica existen ya métodos que pueden dar iguales o mejores
resultados a los atacantes. Si, hipotéticamente, se hicieran públicos
los detalles de este fallo y sacaran una herramienta que permitiese a
cualquiera tumbar un servidor con un solo click, protegerse sería
sencillo: se bloquearía el acceso desde esa IP... así que para que fuese
efectivo el atacante tendría que recurrir a diferentes IPs... o sea, a
una botnet. Fyodor, creador de nmap, opina que no es para tanto, pero
desde Outpost24, se le ha dicho que no lleva del todo razón en sus
suposiciones.

¿Internet "se rompe"?

Este tipo de alertas sobre problemas de base deberían servir para
alertar sobre la gran dependencia que tiene hoy en día Internet de
protocolos obsoletos. DNS y SMTP por ejemplo, son protocolos antiguos
que no tienen en absoluto en cuenta la seguridad, aun así son los más
usados en la Red. Estas alertas no deberían servir para vaticinar
catástrofes y que cunda el pánico, sino para que todos seamos
conscientes de que existe la posibilidad de que se vaya necesitando un
cambio en la base de la Red para protegerla convenientemente.

¿Sirven de algo estas alertas catastrofistas?

Si se toman con calma, sí. Por ejemplo, el descubrimiento de Kaminsky ha
servido para retomar con fuerza el debate sobre el uso estandarizado de
DNSSEC para proteger adecuadamente al inseguro DNS. Aunque será extraño
que se implante a corto plazo. Requiere de una infraestructura de
certificados y autoridades confiables que puede resultar compleja, e
invita al control por parte de una sola gran autoridad certificadora. Es
incluso probable que el debate quede en nada una vez más. Las grandes
modificaciones son siempre complicadas y costosas aunque quizás cada vez
más necesarias.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3632/comentar

IPSupuesta vulnerabilidad en el protocolo ip pone (de nuevo) en riesgo a toda la Red

2008-10-03T07:41:00.001-07:00

Una empresa finlandesa llamada Outpost 24 dice haber descubierto un
fallo en el Internet Protocol (IP) que puede provocar una denegación de
servicio en todo dispositivo que lo use. Teniendo en cuenta que es la
base sobre la que se sustenta toda Internet, es equivalente a decir que
se puede provocar la caída de cualquier aparato con comunicación en la
Red. Es la tercera "gran alerta" del año. ¿Necesita Internet una puesta
a punto?

En realidad ni siquiera se podría llamar "denegación de servicio" tal y
como lo conocemos hoy en día. Más bien se trataría de una especie de
(mítico) "ping de la muerte" en el que, con muy poco tráfico (10
paquetes por segundo) se podría llegar a colapsar cualquier dispositivo
que implemente la especificación del protocolo base. Al parecer se
trataría de uno de los mayores problemas detectados en la Red que la
volvería insostenible de forma relativamente sencilla.

No se han ofrecido por tanto muchos más detalles. Parece que el problema
surgió durante el escaneo de varios millones de sitios en Internet.
Alguno de estos tests (realizados con la herramienta Unicornscan) hacía
que los sistemas dejaran de responder, y tras una investigación se
concluyó que existía un problema en todas las implementaciones de la
pila TCP/IP. Aunque afecta de distinta manera, se supone que todas son
vulnerables y que todavía no han encontrado ningún dispositivo que no
puedan bloquear.

Los investigadores han conocido este problema desde 2005. Según dicen,
no han podido encontrar por el momento una solución válida, pero tampoco
quieren difundir los detalles por el peligro que supondría el
conocimiento público. Advierten que, incluso con IPv6 el problema podría
ser incluso más grave.

Darán más detalles sobre el problema el 17 de octubre, durante una
conferencia en Helsinki. Afirman tener una herramienta llamada
sockstress capaz de "tumbar" cualquier dispositivo. Aunque la
información es confusa (y habría que tomarla con cautela mientras no se
tengan detalles), parece que el problema está directamente relacionado
con la técnica de las "SYN cookies". Se utilizan precisamente para
evitar que un atacante pueda realizar una inundación de paquetes SYN.
Básicamente se "recuerda" con esta cookie a quien ha realizado la
conexión y se evita que se falsee la dirección y se perpetre el conocido
ataque (abriendo conexiones a medio realizar que consumen memoria y
agotando los recursos del dispositivo).

Es la tercera gran vulnerabilidad del año que pone en peligro a toda la
Red. En primer lugar fue Kaminsky con su problema DNS. El 8 de julio
todos los grandes y pequeños fabricantes parcheaban sus sistemas DNS.
Kaminsky había descubierto meses antes un fallo que permitía falsificar
cualquier IP asociada a un dominio. Poco después en agosto, durante la
Black Hat, se habla de nuevo de la mayor vulnerabilidad de Internet,
cuando Tony Kapela y Alex Pilosov demostraron una nueva técnica que
permite interceptar el tráfico de Internet a una escala global.
Cualquiera con un router BGP podría interceptar el tráfico de cualquier
gran nodo y devolverlo (modificado o no) de forma transparente.

Y vuelve a ocurrir, repitiendo prácticamente el mismo escenario. En los
tres casos se trata de un problema de diseño de un protocolo creado
muchos años antes. En los tres casos parece haber una demostración
empírica de un problema conocido pero cuyas posibilidades o puesta en
práctica se suponía imposible hasta la fecha... Incluso el hecho de
revelar detalles en una conferencia posterior con la que se crea una
gran expectación. Como le ocurrió a Kamisky, es posible que todos los
detalles del problema salgan a la luz antes de lo esperado si algún
investigador decide juntar todas las pistas ofrecidas por Outpost 24.

Es más que posible que aunque los detalles fueran conocidos desde hace 3
años, haya sido precisamente lo ocurrido con el fallo DNS y con BGP lo
que haya animado a los investigadores a darle publicidad precisamente
ahora. Kaminsky demostró que se puede realizar una actualización masiva
y coordinada entre todos los grandes fabricantes y mantener en secreto
los detalles de un grave problema (siempre que no se divulgue su
existencia).

Nos encontramos posiblemente también ante una nueva era en la Red en la
que, a través de estos graves errores puestos sobre la mesa, estamos
cuestionando su sostenibilidad tal y como la conocemos. Usamos
protocolos diseñados, cuando menos, hace 20 y 30 años. Los ingenieros
estaban mucho más sorprendidos por el hecho de que la Red simplemente
funcionase que preocupados por la seguridad. Hacer que un trozo concreto
de información digital concreta llegase de un punto a otro del planeta
era algo demasiado fantástico como para complicarlo previniendo si
alguien la iba a podía modificar, alterar u obtener de forma ilegítima.
Posteriormente, sobre estos débiles pilares, se ha construido algo
muchísimo más complejo y unido millones de personas y dispositivos con
muy distintas motivaciones. Para abarcar toda esta explosión, se ha ido
parcheando sobre la marcha un monstruo gigante con pies de barro que, a
la vista de estos tres recientes acontecimientos (y de otras
preocupaciones de largo recorrido, como el malware ganando la batalla a
los antivirus), necesita una clara revisión y puesta a punto.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3631/comentar


New attacks reveal fundamental problems with TCP
http://searchsecurity.techtarget.com/news/article/0,289142,sid14_gci1332898,00.html

Ejecución remota de código a través de WinZip en Windows 2000

2008-10-02T05:34:00.000-07:00



 
Se han encontrado múltiples problemas de seguridad en WinZip 11.x que 
podrían ser aprovechadas por un atacante remoto para ejecutar código 
arbitrario en sistemas Windows 2000. 
 
A pesar de que existen alternativas gratuitas y de código abierto, 
WinZip es actualmente unos de los compresores más extendidos debido a su 
modo sencillo de trabajar con los archivos y a que permite el manejo de 
numerosos formatos de compresión, siendo el .zip el usado por defecto. 
 
Las vulnerabilidades encontradas están causadas porque WinZip 11.x 
incluía en la carpeta del programa una versión vulnerable de la librería 
GDI+ de Windows (gdiplus.dll) para procesar archivos de imagen. –La 
versión 11.0 la incluía siempre aunque las 11.1 y 11.2 sólo si los 
equipos estaban basados en Windows 2000-. Aprovechándose de esta 
circunstancia, un atacante remoto podría ejecutar código arbitrario si 
un usuario hiciera uso del modo de visualización para intentar acceder 
una imagen especialmente modificada contenida en un archivo zip. El 
ataque sería efectivo solamente sobre sistemas basados en Windows 2000 
ya que son los únicos que harían uso de la librería obsoleta situada en 
la carpeta de WinZip en vez de usar la versión de la misma librería que 
viene junto con el sistema operativo, y que fue actualizada en el último 
ciclo de actualizaciones. 
 
En el boletín de seguridad MS08-052 publicado por Microsoft el día 9 de 
septiembre, se daban a conocer los detalles de las cinco 
vulnerabilidades críticas en el componente GDI+ de Windows que podrían 
ser aprovechadas para ejecutar código arbitrario. Son las siguientes: 
 
* Un desbordamiento de búfer basado en heap cuando GDI+ procesa de forma 
incorrecta el tamaño de los gradientes manejados por la librería de 
enlaces a vectores gráficos. 
 
* Un error al manejar la reserva de memoria cuando se procesa un archivo 
de imagen EMF (Enhanced Metafile) especialmente manipulado que podría 
causar una corrupción de memoria. 
 
* Un problema de seguridad al procesar los archivos GIF (Graphics 
Interchange Format) especialmente manipulados. 
 
* Un desbordamiento de búfer en GDI+ causado por un fallo al reservar 
memoria cuando se analiza un archivo WMF (Windows Metafile) 
especialmente manipulado. 
 
* Un desbordamiento de enteros al procesar de forma inadecuada ciertas 
cabeceras mal formadas en archivos BMP especialmente manipulados. 
 
El pasado 25 de Septiembre WinZip Computing lanzaba WinZip 11.2 SR-1, 
una actualización de seguridad para los usuarios de las versiones 11.x 
de WinZip en la que se reemplaza la versión obsoleta de gdiplus.dll por 
la versión actualizada, no vulnerable a los citados problemas. La URL de 
descarga de WinZip 11.2 SR-1 (Build 8261) es: 
http://download.winzip.com/nrb/winzip112.exe 
 
La versión 12 de WinZip, que tampoco sería vulnerable, se puede obtener 
desde: 
http://update.winzip.com/downwz.htm 
 
Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3630/comentar

Elevación de privilegios a través de move-faqwiz.sh en Python 2.x

2008-10-01T05:44:00.000-07:00

Se ha descubierto una vulnerabilidad en Python que podría permitir a 
un atacante local realizar una escalada de privilegios. 

Python es un lenguaje de programación sencillo pero extremadamente 
potente y versátil, cuya popularidad crece día a día. 
 
El error consiste en que "Tools/faqwiz/move-faqwiz.sh" genera archivos 
temporales de manera no segura. Un atacante local podrá crear un enlace 
simbólico desde un archivo sensible del sistema a un archivo temporal. 
De esta forma, cuando el script sea ejecutado por el usuario atacado, se 
sobreescribirá el archivo enlazado con los privilegios de la víctima. 
 
La vulnerabilidad se confirma para la versión 2.5.2 y anteriores de 
Python. 
 
Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3629/comentar

Ciclo de actualización de Cisco soluciona 16 vulnerabilidades en IOS

2008-09-26T09:05:00.000-07:00



Cisco cumple su segundo ciclo de actualizaciones bianuales desde que 
anunciara su nueva estrategia de publicación de parches. Desde marzo 
publica sus actualizaciones de seguridad cada seis meses, en el cuarto 
miércoles de marzo y el cuarto miércoles de septiembre. En esta ocasión, 
ha publicado 12 boletines que solucionan 16 vulnerabilidades. Todas 
ellas, como mínimo, son de carácter "importante". 
 
En su ciclo anterior Cisco publicó 5 boletines. En estos 6 meses ha 
acumulado 16 vulnerabilidades y, con el objetivo de facilitar la vida a 
los administradores, ha publicado parches para todas ellas en una sola 
tanda. No se tiene constancia de que los fallos hayan estado siendo 
aprovechados por atacantes, aunque la trivialidad para explotar algunas 
de estas nuevas vulnerabilidades apunta a que pueden comenzar a serlo en 
breve. 
 
Uno de estos fallos en concreto, recibe un 10 en la puntuación base de 
CVSS. CVSS (Common Vulnerability Scoring System) es un estándar que 
gradúa objetivamente la severidad de las vulnerabilidades de manera 
estricta a través de fórmulas establecidas. Esto significa que alcanza 
la máxima severidad, teniendo en cuenta incluso la facilidad de 
explotación del fallo. 
 
Además de aplicar los parches, es posible aplicar algunas sencillas 
contramedidas para evitar que las vulnerabilidades sean aprovechadas. 
Una forma de mitigar uno de los fallos más graves es modificar la 
"comunity string" del protocolo SNMP. Otra es especificar explícitamente 
los vecinos del protocolo PIM (Protocol Independent Multicast). 
 
En cualquier caso, se recomienda revisar el apartado de "Más 
información" y aplicar los parches correspondientes cuanto antes. 
 
Teniendo en cuenta las más graves primero, realizamos una breve 
descripción de los problemas: 
 
* Una actualización para Cisco uBR10012 que corrige un error en el 
acceso SNMP que podría permitir a un atacante remoto hacerse con el 
control del dispositivo. La vulnerabilidad consiste en la no 
verificación de restricciones SNMP en la comunicación con un modulador 
de radio al ser configurado para redundancia de línea. 
 
* Dos fallos en la implementación de PIM (Protocol Independent 
Multicast) que podrían permitir a un atacante remoto efectuar una 
denegación de servicio a través de paquetes PIM especialmente 
manipulados. 
 
* Un error en SCCP (Skinny Call Control Protocol) que podría permitir a 
un atacante remoto provocar una denegación de servicio. La 
vulnerabilidad consiste en un error al procesar una serie de mensajes 
SCPP fragmentados. 
 
* Un error en Cisco IOS firewall AIC (Application Inspection Control) 
que podría permitir a un atacante remoto provocar una denegación de 
servicio. La vulnerabilidad está causada por un fallo en IOS firewall 
AIC al procesar un paquete de tránsito HTTP defectuoso, estando activas 
las reglas de filtrado HTTP por aplicación. 
 
* IOS IPS (Intrusion Prevention System) podría permitir a un atacante 
remoto provocar una denegación de servicio. La vulnerabilidad se debe a 
un error en el motor de SERVICE.DNS al procesar determinado tráfico de 
red. 
 
* MPLS (Multi Protocol Label Switching) y MFI (Forwarding 
Infrastructure) para Cisco IOS podrían permitir a un atacante remoto 
provocar una denegación de servicio. La vulnerabilidad está causada por 
un error en la implementación de MFI en Cisco IOS. 
 
* Una vulnerabilidad en la gestión de VPNs (Virtual Private Network) que 
podría permitir a un atacante remoto acceder a información sensible. La 
vulnerabilidad está causada por un error al procesar redes privadas 
virtuales con MPLS (Multiprotocol Label Switching). 
 
* Un error en la implementación de L2TP (Layer 2 Tunneling Protocol) que 
podría permitir a un atacante remoto provocar una denegación de 
servicio. 
 
* Múltiples fallos de seguridad que podrían ser aprovechados por un 
atacante remoto para causar una denegación de servicio. Los fallos, no 
especificados, se encuentran en la implementación del protocolo SIP. 
 
* Un fallo no especificado en el manejo de paquetes SSL de sesión que 
podría permitir a un atacante remoto no autenticado causar una 
denegación de servicio a través de paquetes SSL especialmente 
manipulados. 
 
Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3625/comentar

Vulnerabilidades en Symantec Veritas NetBackup 5.x y 6.x

2008-09-26T08:56:00.000-07:00

Se han encontrado dos vulnerabilidades en Symantec Veritas NetBackup Server y Enterprise Server 5.x y 6.x que podrían ser explotadas por un atacante remoto autenticado, pero sin privilegios, para revelar información sensible, corromper cierta información del sistema o ejecutar código arbitrario. Symantec Veritas Backup es un popular y completo sistema de almacenado y restauración de copias de seguridad en red. La primera vulnerabilidad está causada por un fallo en la interfaz gráfica de administración jnbSA (Java Administration GUI) que podría ser explotado por un atacante remoto autenticado en la GUI, pero sin privilegios, para escalar privilegios y ejecutar comandos arbitarios. La vulnerabilidad está confirmada para las versiones 5.0, 5.1, 6.0, 6.5 y 6.5.1 de Symantec Veritas NetBackup Server y Enterprise Server. La segunda vulnerabilidad está causada por un error de validación de entrada en un control ActiveX incluido en el componente scheduler de Symantec Veritas NetBackup Server y Enterprise Server para Windows. El fallo podría dar lugar a un desbordamiento de búfer y a la utilización de métodos inseguros, y podría ser aprovechado para causar una denegación de servicio o ejecutar código arbitrario por medio de Internet Explorer. La vulnerabilidad está confirmada para las versiones 5.1 anteriores a la 5.1 MP7, 6.0 anteriores a la 6.0 MP7, 6.5 anteriores a la 6.5.2 de Symantec Veritas NetBackup Server y Enterprise Server. Se recomienda actualizar a las siguientes versiones que en las que se han solventado los problemas: NetBackup Server/Enterprise Server sobre Windows 5.1 MP7: http://www.symantec.com/business/support/downloads.jsp?pid=15143&version=NBUESVRPVER30455 NetBackup Server/Enterprise Server sobre Windows 6.0 MP7: http://www.symantec.com/business/support/downloads.jsp?pid=15143&version=NBUESVRPVER32168 NetBackup Server/Enterprise Server sobre Windows 6.5.2: http://www.symantec.com/business/support/downloads.jsp?pid=15143&version=NBUESVRPVER31008 NetBackup 5.1 Maintenance Pack 7: http://www.symantec.com/business/support/downloads.jsp?pid=15143&version=NBUESVRPVER30455 NetBackup 6.0 Maintenance Pack 7: http://www.symantec.com/business/support/downloads.jsp?pid=15143&version=NBUESVRPVER32168 NetBackup 6.5.2: http://www.symantec.com/business/support/downloads.jsp?pid=15143&version=NBUESVRPVER31008 Opina sobre esta noticia: http://www.hispasec.com/unaaldia/3624/comentar Más información: Symantec Advisory SYM08-016: A non-privileged but authorized user could potentially leverage the NetBackup Java console to execute code with elevated privileges on the server. http://seer.entsupport.symantec.com/docs/308583.htm Symantec Security Advisory SYM08-007: Multiple Vulnerabilities in Scheduler component for NetBackup Server/Enterprise Server on all supported Windows Platforms. http://seer.entsupport.symantec.com/docs/308669.htm

Múltiples vulnerabilidades en Firefox, Thunderbird y Seamonkey

2008-09-25T05:36:00.000-07:00

La Fundación Mozilla ha informado sobre múltiples vulnerabilidades en
varios de sus productos que podrían ser aprovechadas por un atacante
remoto para revelar información sensible, perpetrar ataques de
cross-site scripting, provocar una denegación de servicio, saltarse
restricciones de seguridad o ejecutar código arbitrario en un sistema
vulnerable.

A continuación se detallan las vulnerabilidades publicadas:

1- Desbordamiento de búfer causado por URLs codificadas con UTF-8
especialmente manipuladas. Esto podría ser aprovechado por un atacante
remoto para ejecutar código arbitrario. Afecta a Firefox 2.x y
SeaMonkey.

2- Salto de restricciones de seguridad al no comprobar de forma adecuada
la política de mismo origen en nsXMLDocument::OnChannelRedirect(), lo
que podría ser aprovechado para ejecutar código JavaScript en el
contexto de un sitio web diferente al original. Afecta a Firefox 2.x,
Thunderbird y SeaMonkey.

3- Escalada de privilegios y cross-site scripting causado por múltiples
errores de validación de entrada en feedWriter. Esto podría permitir que
un atacante ejecutase código script arbitrario con los privilegios de
chrome (componente principal de Firefox, no confundir con el navegador
de Google). Afecta sólo a Firefox 2.x.

4- Un error durante el manejo de las pulsaciones del ratón podría
permitir que un atacante moviera el contenido de la ventana mientras el
ratón está siendo pulsado, pudiendo causar que un item fuera arrastrado
en vez de "clickeado". Esto podría ser aprovechado para forzar el
arrastre de ciertos componentes, lo que permitiría, entre otros efectos,
realizar una descarga no solicitada. Afecta a Firefox 2.x, 3.x y
SeaMonkey.

5- Múltiples fallos relacionados con XPCnativeWrapper podrían permitir a
un atacante remoto ejecutar código script arbitrario con los privilegios
de chrome. Afecta a Firefox 2.x, 3.x y SeaMonkey. Podría afectar a
Thunderbird si se habilita la ejecución de JavaScript.

6- Múltiples problemas de estabilidad en los motores de diseño, gráficos
y JavaScript de los productos Mozilla, que podrían ser explotados para
causar una denegación de servicio o incluso ejecutar código arbitrario
aprovechando una posible corrupción de memoria. Afecta a Firefox 2.x,
3.x, SeaMonkey y Thunderbird.

7- Cross-site scripting provocado por la interpretación de forma errónea
de caracteres BOM (Byte-Order Mark, tres caracteres que se encuentran al
principio de un archivo para indicar que está codificado como UTF-8,
UTF-16 o UTF-32. Ejemplo: ï»¿ ). Afecta a Firefox 2.x, 3.x, SeaMonkey y
Thunderbird.

8- Errores en el protocolo "resource:" que podrían ser aprovechados para
conducir ataques de directorio trasversal y revelar información
sensible. Afecta a Firefox 2.x, 3.x, SeaMonkey y Thunderbird.

9- Un error en el decodificador XBM podría permitir la lectura de
pequeñas porciones aleatorias de memoria, lo que daría lugar a la
revelación de información sensible. Afecta a Firefox 2.x y SeaMonkey.

Se recomienda la actualización de los productos Mozilla a las siguientes
versiones no vulnerables: Firefox 2.0.0.17 ó 3.0.2, Thunderbird 2.0.0.17
y SeaMonkey 1.1.12 tan pronto como estén disponibles desde:
http://www.mozilla.com/

Recordamos que también se pueden descargar de forma automática una vez
que el propio programa nos avise de que hay una actualización pendiente.
Notificación que normalmente llegará entre 24 y 48 horas después de que
la nueva versión esté disponible.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3623/comentar

Más información:

Mozilla Foundation Security Advisory 2008-37:
UTF-8 URL stack buffer overflow
http://www.mozilla.org/security/announce/2008/mfsa2008-37.html

Mozilla Foundation Security Advisory 2008-39:
Privilege escalation using feed preview page and XSS flaw
http://www.mozilla.org/security/announce/2008/mfsa2008-39.html

Mozilla Foundation Security Advisory 2008-40: Forced mouse drag
http://www.mozilla.org/security/announce/2008/mfsa2008-40.html

instalar,activar el servicio dhcp en windows 2003 server

2008-09-24T11:49:00.000-07:00

activar y configurar el servicio de DHCP (Protocolo de Configuración Dinámica de Host) en Windows 2003/2003. Este servicio es útil para aquellas empresas / organizaciones que decidan que la configuración de red sea asignada automáticamente por un servidor de DHCP. De esta forma, a cualquier equipo que tenga las propiedades de red automáticas (sin IP fija) le será asignada una IP, una puerta de enlace, unaas DNS, etc automáticamente por el servidor de DHCP.

INSTALAR SERVICIO DHCP EN WINDOWS 2003

Este manual explica cómo instalar, activar y configurar el servicio de DHCP (Protocolo de Configuración Dinámica de Host) en Windows 2003/2003. Este servicio es útil para aquellas empresas / organizaciones que decidan que la configuración de red sea asignada automáticamente por un servidor de DHCP. De esta forma, a cualquier equipo que tenga las propiedades de red automáticas (sin IP fija) le será asignada una IP, una puerta de enlace, unas DNS, etc automáticamente por el servidor de DHCP.

DHCP (siglas en inglés de Dynamic Host Configuration Protocol - Protocolo de Configuración Dinámica de Host) es un protocolo de red que permite a los clientes de una red obtener su configuración automáticamente. Se trata de un protocolo de tipo cliente/servidor en el que generalmente un servidor posee una lista de direcciones IP dinámicas y las va asignando a los clientes conforme estas van estando libres, sabiendo en todo momento quien ha estado en posesión de esa IP, cuanto tiempo la ha tenido, a quien se la ha asignado después, etc.

En primer lugar, en el que será nuestro servidor de DHCP, un equipo con Windows 2000/2003, procederemos a la instalación de este servicio, pulsaremos en el botón "Inicio" - "Configuración" - "Panel de control":

Haremos doble clic sobre "Agregar o quitar programas":

Pulsaremos en "Agregar o quitar componentes de Windows":

Seleccionaremos "Servicios de red" y pulsaremos en "Detalles":

En la ventana de "Servicios de red" marcaremos "Protocolo de configuración dinámica de host (DHCP)" y pulsaremos "Aceptar":

Pulsaremos "Siguiente" en la ventana "Asistente para componentes de Windows":

Si el equipo que va a hacer de servidor de DHCP tiene IP automática nos avisará de que es obligatorio que el servidor de DHCP tenga IP fija. Nos mostrará una aviso como este:

Con el texto: Este equipo tiene al menos una dirección IP asignada dinámicamente. Para un funcionamiento adecuado de Protocolo de configuración dinámica de host (DHCP), debe usar únicamente direcciones IP estáticas. A continuación dispondrá de la opción de cambiar la dirección IP asignada dinámicamente.

Si tenemos la IP dinámica en el PC que hará de servidor de DHCP, le deberemos asignar una IP fija estática. Para ello pulsaremos en "Protocolo de Internet (TCP/IP) y pulsaremos en "Propiedades":

Marcaremos "Usar la siguiente dirección IP" e introduciremos la IP que queramos que tenga el servidor de DHCP, en nuestro caso 192.168.1.200. Introduciremos también la Máscara de subred y la puerta de enlace predeterminada (enrutador). Pulsaremos "Aceptar" para continuar con la instalación del servicio de DHCP:

Mostrará una ventana indicando el progreso de la copia de ficheros:

tras finalizar la instalaciondel servicio DHCP nos mostrara une ventana como esta : pulsaremos finalizar

Tras la instalación del servicio de DHCP procederemos a su correcta configuración para adaptarlo a las necesidades de nuestra organización. Para ello accederemos a "Inicio" - "Programas" - "Herramientas administrativas" - "DHCP":

Nos mostrará una consola de administración del servicio DHCP:

Pulsando con el botón derecho del ratón sobre el servidor (en nuestro caso "pcservidorw2003") nos mostrará un menú emergente, pulsaremos "Ámbito nuevo..." para añadir un nuevo ámbito de asignación de direcciones IP:

Aparecerá un asistente para ámbito nuevo, este asistente nos ayudará a establecer un ámbito para distribuir direcciones IP a los equipos de nuestra red. Pulsaremos "Siguiente" para iniciar la configuración de un nuevo ámbito:

Indicaremos un nombre para el ámbito, en nuestro caso "dhcp_ajpdsoft" y una descripción, en nuestro caso "Red local de la empresa AjpdSoft":

Indicaremos el intervalo de direcciones IP para nuestro ámbito, será el que se utilice para asignar direcciones a los equipos clientes. En nuestro caso hemos reservado las 20 primeras direcciones para los routers, servidores, cortafuegos y cualquier equipo/aparato que necesite una IP fija. Con lo cual el intervalo será: 192.168.1.20 (inicial) a 192.168.1.150 (final). Con esta configuración, las IPs que se les asignarán a los equipos clientes empezarán desde la 192.168.1.20 hasta la 192.168.1.150:

Podremos indicar un intervalo de exclusiones de una o varias direcciones IP. Las IPs aquí indicadas no serán asignadas a los equipos clientes de la red. Serán IPs reservadas. En nuestro caso hemos reservado la IP 192.168.1.100 por estar asignada a un equipo de nuestra red que tiene esta IP fija (estática) y no podemos cambiar por otra:

También podremos indicar la duración mínima de la concesión de la dirección IP. Cuando a un equipo cliente se le a asignado una IP en una fecha determinada, si este equipo permanece "apagado" o desconectado de la red más tiempo que la duración que indiquemos aquí, el servidor de DHCP marcará la IP de este equipo cliente como libre para volvérsela a asignar a otro equipo de la red. Con lo cual la duración de la concesión dependerá del tipo de red que tenga en su organización. Si desea que los equipos no cambien de dirección IP, incluso aunque estén largos períodos de tiempo inactivos deberá indicar una duracción alta:

Con el texto: La duración de las coneciones deberia ser típicamente igual al promedio de tiempo en que el equipo está conectado a la misma red física. Para redes móviles que consisten principalmente de equipos portátiles o clientes de acceso telefónico, las concesiones de duración más corta pueden ser útiles. De otro modo, para una red estable que consiste principalmente de equipos de escritorio en ubicaciones fijas, las conecesiones de duración más largas son más apropiadas. Establecer la duración para la concesión de ámbitos cuando sean distribuidas por este servidor.

Desde el Asistente para ámbito nuevo también podremos configurar las opciones adicionales para el nuevo ámbito, si queremos configurarlas marcaremos "Configurar estas opciones ahora" y pulsaremos "Siguiente":

Podremos indicar la IP del enrutador (puerta de enlace, router) de nuestra red, de esta forma conseguiremos que se le asigne automáticamente a los equipos clientes. La grna ventana de hacerlo así es que no tendremos que configurar las propiedades de red de los equipos clientes para que puedan conectarse a Internet, será suficiente con que tengan marcada la opción de "Obtener una direccion IP automáticamente". Si en algún momento cambiase la IP de nuestro enrutador (puerta de enlace) será suficiente con cambiarla en las propiedades del servidor DHCP, automáticamente (en el próximo reinicio del sistema) se aplicará en los equipos clientes:

También podremos indicar los servidores DNS:

Podremos indicar también el servidor o servidores WINS:

Si queremos que el nuevo ámbito creado se active en este momento, marcaremos "Activar este ámbito ahora" y pulsaremos "Siguiente":

Nos mostrará una última ventana indicando que ha finalizado la creación de un nuevo ámbito:

Desde la consola de configuración de DHCP, desplegando el servidor, desplegando "Ámbito...", tendremos varias opciones: "Conjunto de direcciones" (nos mostrará el intervalo de asignación del ámbito y las exclusiones):

En "Concesiones de direcciones" podremos consultar las IPs que ya hayan sido asignadas a los equipos clientes de nuestra red. En nuestro caso hemos arrancado un equipo portátil, lo hemos conectado a nuestra red y en las propiedades de red de este equipo cliente lo hemos dejado todo automático (como se puede observar en la imagen):

Tras arrancar el equipo portátil cliente, hemos comprobado la IP, la puerta de enlace y las DNS que le han sido asignadas por nuestro servidor de DHCP. Para ello hemos abierto una ventana de consola de MS-DOS y hemos tecleado el siguiente comando:

ipconfig /all

El resultado del comando ipconfig /all puedes verlo pulsando aquí.

Con lo cual el servidor de DHCP le ha asignado la primera IP dispoble del intervalo indicado (192.168.1.20) y la correspondiente puerta de enlace (192.168.1.1) y DNS.

Como decíamos, en "Concesión de direcciones" de la configuración de "DHCP" podremos observar la asignación anteriormente comentada (portatilalonso), la caducidad de la cesión, la IP yel nombre del equipo:

En "Opciones de ámbito" podremos consultar y modificar los enrutadores, los servidores de DNS, los servidores WINS, etc:

Desde "Reservas" podremos añadir las reservas de direcciones IP por la MAC de la tarjeta de red, de esta forma la tarjeta de red (el equipo) siempre tendrá la misma IP. Pulsando con el botón derecho del ratón sore "Reservar" nos mostrará un menú emergente, pulsaremos "Reserva nueva..:":

Introduciremos el nombre de la reserva (en nuestro caso lo haremos coincidir con el nombre del PC "PC001"), dirección IP que se le asignará a la reserva (en nuestro caso 192.168.1.20), dirección MAC (MAC de la tarjeta de red del equipo del que queramos realizar la reserva), esta dirección se puede obtener introduciendo el siguiente comando en la consola de MS-DOS del equipo cliente del que queramos realizar la reserva:

ipconfig /all

Es el valor que aparece a la derecha de "Dirección física" (en nuestro caso: "00-0c-29-0e-f4-25"):

A las reservas realizadas también podremos cambiarles el enrutador, los servidores DNS, WINS, etc:

ANEXO

* Si tenemos un equipo cliente arrancado y no queremos reiniciarlo para que nos asigne la nueva IP el serviodr de DHCP podremos utilizar los siguientes comandos para que nos la asigne sin reinicar el equipo. En primer lugar abriremos una ventana de consola de MS-DOS y teclearemos el siguiente comando:

ipconfig /release

Con este comando desconectaremos la red del equipo, es equivalente a desactivarla desde las propiedades de red. Nos devolverá un mensaje como este:

C:>ipconfig /release

Configuración IP de Windows
Adaptador Ethernet Conexiones de red inalámbricas :

Estado de los medios. . . .: medios desconectados

Adaptador Ethernet Conexión de área local :

Sufijo de conexión específica DNS :
Dirección IP. . . . . . . . . . . : 0.0.0.0
Máscara de subred . . . . . . . . : 0.0.0.0
Puerta de enlace predeterminada :

Una vez desactivada volveremos a activarla con el siguiente comando ipconfig /renew

Que nos devolverá el siguiente resultado:

C:>ipconfig /renew

Configuración IP de Windows

Adaptador Ethernet Conexión de área local :

Sufijo de conexión específica DNS :
Dirección IP. . . . . . . . . . . : 192.168.1.20
Máscara de subred . . . . . . . . : 255.255.255.0
Puerta de enlace predeterminada : 192.168.1.1

Asignándonos la nueva IP, proporcionada por el servidor de DHCP de la red.

* Resultado del comando "ipconfig /all":

C:>ipconfig /all

Configuración IP de Windows

Nombre del host . . . . . . . . . : portatilalonso
Sufijo DNS principal . . . . . . :
Tipo de nodo . . . . . . . . . . : desconocido
Enrutamiento habilitado. . . . . .: No
Proxy WINS habilitado. . . . . : No

Adaptador Ethernet Conexión de área local :

Sufijo de conexión específica DNS :
Descripción. . . . . . . . . . . : Adaptador Fast Ethernet SiS 900-Based PCI
Dirección física. . . . . . . . . : 00-0C-6E-33-BC-F7
DHCP habilitado. . . . . . . . . : No
Dirección IP. . . . . . . . . . . : 192.168.1.20
Máscara de subred . . . . . . . . : 255.255.255.0
Puerta de enlace predeterminada : 192.168.1.1
Servidores DNS . . . . . . . . . .: 80.58.61.250
80.58.61.254

configuracion dns en windows 2003 server

2008-09-24T06:08:00.000-07:00

Un servidor DNS nos va a servir para la resolución de nombres cuando queramos acceder a las web que tenemos alojadas en nuestra intranet. Si el volumen de sitios web es grande, instalando un DNS podremos utilizar una misma IP y tener multitud de webs en un mismo servidor IIS diferenciados por nombre. Si disponemos de IP suficientes esta opción nos servirá para acceder a los webs por un nombre y no por una dirección IP que son más difíciles de recordar.

La misma filosofía se aplica si el servidor lo tenemos en Internet, si instalamos un servidor DNS con una sola IP que nos proporcione nuestro proveedor podremos alojar multitud de dominios en un mismo servidor IIS.

No voy a explicar lo que es un servidor DNS, ni que hace, ni quien lo inventó, aquí trataremos exclusivamente la instalación y la configuración. Doy por supuesto qué se sabe que es un servidor DNS.

El artículo lo he realizado con Windows Server 2003 Enterprise, IIS 6.0 y DNS Server que viene incorporado en Windows Server 2003 pero sirve como guía para instalarlo en Windows 2000 server. La idea es explicar paso a paso las acciones a realizar a la hora de instalar el servidor DNS y relacionarlos con los sitios web. Voy a basarme en una intranet pero el artículo sería similar si lo aplicáramos para un servidor en Internet.

Instalación del servidor DNS. Para instalar un DNS Server vamos a Inicio > Panel de control > Agregar o quitar programas, una vez ejecutada esta opción aparece una ventana donde seleccionaremos de las opciones que aparecen a la izquierda, agregar o quitar componentes de Windows, buscamos en la ventana que nos aparece la opción servicios de red, la seleccionamos y pulsamos el botón detalles, de la nueva ventana que aparece seleccionamos la opción sistema de nombres de dominios (DNS), la seleccionamos (imagen 1) y aceptamos todas las pantallas y pulsamos siguiente. Este proceso de instalación pedirá el CD de Windows debido a que necesita instalar varios componentes.

Una vez terminado el proceso de instalación podemos acceder al DNS desde Inicio > herramientas administrativas > DNS, hacemos clic en DNS y aparecerá la imagen 2, a partir de ahora hay que configurarlo.

Configuración del servidor DNS. Para configurar el DNS y que nos resuelva las IP en nombres lo primero que deberemos crear es una zona de búsqueda inversa. Para realizar esta acción nos pondremos sobre esta rama de la consola del DNS y con el botón derecho seleccionamos nueva zona, nos aparece un asistente donde asignaremos: 1. Tipo de zona: Primaria (imagen 3) 2. Id. De red: Será nuestra IP, en mi caso y para los ejemplos 172.20.0(imagen 4) Y las siguientes pantallas las dejamos tal y como las pone el asistente.

para crear los nombres de dominio pulsaremos con el botón derecho sobre zonas de búsqueda directa y seleccionamos nueva zona, aparece un asistente donde asignaremos: 1. Tipo de zona: Zonal principal. La zona secundaria se utiliza para añadir dominios que ya tienen una zona principal creada en otro servidor DNS, de esta forma cuando creamos una zona secundaria todos los registros que tengamos en la zona principal se replicarán a ésta. Pero no es nuestro caso. 2. Nombre de zona: Aquí ponemos nuestro nombre de dominio, por ejemplo, "barriosesamo".

Para crear los subdominos pulsamos sobre la nueva zona creada (barriosesamo) , imagen 5, y vemos que a la derecha nos aparecen los datos de este domino, pulsamos con el botón derecho sobre el nombre de dominio (imagen 6) y seleccionamos #Host nuevo (A) y aparecerá una ventana similar a la imagen 7, ahí pondremos el nombre de subdominio, es el ejemplo "epi", y la IP que tiene asignada, normalmente la de la maquina y lo añadimos, si ahora abrimos una consola (cmd.exe) y probamos hacer ping a epi.barriosesamo (nuestro dominio de intranet) que acabamos de crear veremos que nos responde afirmativamente (imagen 8) . Si queremos crear más solo tenemos que repetir los pasos, yo en las pruebas he creado los siguiente por si queréis repetirlo

Y las siguientes pantallas las dejamos como las pone el asistente.
Para crear el segundo nombre de domino repetimos los pasos.

Con ésto ya tenemos dado de alta nuestro nombre de dominio para la intranet ahora queda crear los nombres de los subdominos con los que crearemos la dirección web, es decir, accederemos a nuestro web a través de

Nombre_Subdominio.Nombre_dominio

Para crear los subdominos pulsamos sobre la nueva zona creada (barriosesamo) , imagen 5, y vemos que a la derecha nos aparecen los datos de este domino, pulsamos con el botón derecho sobre el nombre de dominio (imagen 6) y seleccionamos #Host nuevo (A) y aparecerá una ventana similar a la imagen 7, ahí pondremos el nombre de subdominio, es el ejemplo "epi", y la IP que tiene asignada, normalmente la de la maquina y lo añadimos, si ahora abrimos una consola (cmd.exe) y probamos hacer ping a epi.barriosesamo (nuestro dominio de intranet) que acabamos de crear veremos que nos responde afirmativamente (imagen 8) . Si queremos crear más solo tenemos que repetir los pasos, yo en las pruebas he creado los siguiente por si queréis repetirlo.

- epi.barriosesamo
- blas.barriosesamo
- coco.barriosesamo
- bart.simpson
- homer.simpson

Configuración del IIS. Ya tenemos el DNS funcionando, enlazado con nuestro servicio TCP/IP y los dominios dados de alta en el DNS, ahora nos queda configurar el IIS para que acepte estos nombres de dominio en lugar de nuestra IP y poder crear las webs que necesitemos sin necesidad de que todas estén dentro del wwwroot. Para crear los nuevos webs podéis seguir este artículo que lo explica paso a paso, así no tengo que repetirlo aquí y vamos directos al grano. Una vez creado el web pulsamos sobre el botón derecho y seleccionamos propiedades, en la pantalla que aparece donde pone la dirección IP pulsamos el botón avanzadas y sobre la nueva pantalla seleccionamos la IP, ahí sale una ventana donde le pondremos la IP, el puerto y las cabeceras. Donde pone valor del encabezado host tenemos que poner nuestro nombre de domino, por ejemplo pondremos epi.barriosesamo (imagen 10). Podemos poner tantos webs como queramos y repetir este proceso por cada web nuevo que deseemos instalar. Una muestra de cómo podría quedar con varios webs instalados la tenéis en la imagen 11.

Con este último paso ya tenemos todo configurado y sólo queda probarlo. Para eso vais al Internet Explorer y ponéis http://epi.barriosesamo y debería apareceros la pagina principal de vuestro web, en mi caso imagen 12.

Denegación de servicio a través de paquetes UDP en ISC BIND 9.x para Windows

2008-09-24T05:37:00.000-07:00



Se ha descubierto una vulnerabilidad en las versiones Windows de ISC BIN 
9.x que podría permitir a un atacante remoto provocar una denegación de 
servicio. El problema no afecta a las versiones Unix. 
 
BIND (también conocido como "named") es el software servidor de nombres 
de dominio (DNS) más popular en las diferentes versiones y distribuciones 
de Unix. Se trata de un software desarrollado por el ISC (Internet 
Software Consortium), un consorcio donde se encuentran representadas 
algunas de las empresas más importantes del sector informático y que 
tiene como objetivo el desarrollo de las implementaciones de referencia 
de los principales protocolos básicos de Internet. 
 
La vulnerabilidad consiste en un error no especificado en el manejo de 
paquetes UDP que hace que el cliente manejador UDP deje de responder. Un 
atacante remoto podría a través de paquetes UDP especialmente 
manipulados provocar una denegación de servicio. 
 
El error afecta a la siguientes versiones de BIND para Windows: 
9.3.5-P2-W1, 9.4.2-P2-W1, y 9.5.0-P2-W1. Se recomienda actualizar a las 
siguientes versiones no afectadas 9.3.5-P2-W2, 9.4.2-P2-W2 o 9.5.0-P2-W2 
disponibles desde: 
http://www.isc.org/index.pl?/sw/bind/index.php  

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3622/comentar
 
Más información:
 
BIND 9.3.5-P2-W2 is now available
http://marc.info/?l=bind-announce&m=122180244228376&w=2
 
BIND 9.4.2-P2-W2 is now available
http://marc.info/?l=bind-announce&m=122180244228378&w=2
 
BIND 9.5.0-P2-W2 is now available
http://marc.info/?l=bind-announce&m=122180376630150&w=2

Ataques "magistrales" de "hackers" mediáticos

2008-09-23T09:18:00.000-07:00

Se han producido en las dos últimas semanas dos "ataques cibernéticos"
que han atraído la mirada de los medios de comunicación generalistas.
Desde el punto de vista técnico, los ataques no son más que
curiosidades, y ya apenas merece la pena detenerse en las inexactitudes,
exageraciones y errores habituales que se comenten desde los medios
generalistas. Sin embargo pueden servir para reflexionar sobre algunos
asuntos.

El primer ataque fue dado a conocer por el Daily Telegraph el 10 de
septiembre. Un grupo de atacantes griegos había desfigurado una de las
páginas relacionadas con el famoso LHC (Large Hadron Collider). El mayor
experimento de la historia de la humanidad ha sido bastante mediático.
Los que auguraban el fin del mundo con su puesta en marcha han sido
también alimentados incondicionalmente por la prensa. El experimento
cuenta obviamente con una inmensa red de sistemas conectados. Una de
las páginas públicas (www.cmsmon.cern.ch), forma parte del CMSMON, que
controla el software que utilizan los científicos para analizar los
resultados de las colisiones. La idea era usar esta página para que todo
el mundo pudiese disfrutar en directo de los resultados obtenidos.
Apareció desfigurada y con un mensaje escrito probablemente por un grupo
de atacantes de poca monta. Calificaban de niñatos a los responsables
de seguridad de la red, que en última instancia es el CERN (European
Organization for Nuclear Research). En la página se ofrecían ciertas
evidencias de que quizás podrían haber llegado un poco más lejos de
la simple desfiguración de la página.

La idea de alguien ajeno a los sistemas colándose en los servidores del
LHC y poniendo en riesgo a la humanidad puede ser muy atractiva para
los medios, pero está lejos de ser real. Una de las declaraciones del
portavoz del CERN, James Gillies, aparecidas en la nota original del
Daily Telegraph fue que: "Tenemos diferentes niveles de red, una red de
acceso general y una mucho más restringida para las cosas sensibles que
hacen funcionar el LHC" pero esta afirmación lógica ha sido omitida en
otros medios. Este detalle es importante. No se sabe bien cómo, es
bastante más que posible que hayan podido entrar en la zona de acceso
general, los vectores de ataque son muchos. Sin embargo, ese salto a la
red verdaderamente sensible, por mucho que fanfarroneen los atacantes,
habría sido mucho más complejo. Incluso, en el improbable caso de que
lo consiguieran, sería extraño que supieran manejar un software tan
específico como para causar ningún daño. Es también más que probable que
el software incorpore medidas de seguridad para evitar comandos erróneos
o peligrosos, y que la inclusión hubiese sido detectada mucho antes de
poder intentar cualquier acción... En definitiva, el ataque puede ser
real, pero tan grave como si un niño se hubiese colado sin permiso en un
despacho privado de un banco, y se comparase la intrusión con el hecho
de acceder a las cajas fuertes y desvalijarlas. Importante, sin duda,
pero no de vital importancia.

El otro acontecimiento de la semana ha sido el acceso por parte de
algún atacante al correo personal de Sarah Palin, la candidata a
vicepresidenta en Estados Unidos con el republicano John McCain. Se
dio a conocer su email personal, alojado (con poco criterio) en el
servicio de correo público de Yahoo! y usado además para cuestiones
gubernamentales. A un tal "Rubico" le costó apenas una hora cambiar la
contraseña del correo de Sarah. Se han hecho públicas conversaciones y
fotografías personales. El método ha sido calificado por las agencias
de noticias como "un magistral ataque cirbenético". La verdad es que
simplemente usó el servicio de recuperación de contraseña, la Wikipedia
y Google para acertar la pregunta secreta y poder acceder a los emails.

Cuando se olvida la contraseña de Yahoo! es posible modificarla
respondiendo a tres preguntas. Una era el código postal de Palin, que
vive en Wasilla, Alaska. Un dato público. Otra su fecha de nacimiento,
disponible también en la Wikipedia. La tercera pregunta secreta era
"¿dónde conociste a tu cónyuge?". Un poco de Google y se puede averiguar
que en el instituto. Un par de pruebas y "Wasilla high" resulta la
respuesta adecuada. Estaba dentro.

Esto ya le ocurrió a Paris Hilton en febrero de 2005. El método fue muy
sencillo. El teléfono de Paris, de T-Mobile, permitía mantener una copia
de los contenidos en un servidor accesible a través de la web. Bastaba
con contestar a la pregunta "¿cuál es el nombre de su mascota favorita?"
para tener acceso a números de teléfonos privados de famosos y fotos
subidas de tono que había tomado con el móvil. El nombre de su perro
chihuahua era bien conocido a raíz de que la famosa heredera ofreció
meses antes una recompensa de varios miles de dólares tras extraviarlo.

Una de las reglas de seguridad (que no se suelen prodigar abiertamente)
es la de intentar obviar el servicio de recuperación de contraseñas a
través de preguntas y respuestas supuestamente secretas. Está demostrado
que se trata del punto más débil de los servicios públicos que ofrecen
esta funcionalidad. Si es imprescindible usarlo, las preguntas y
respuestas deberían ser cadenas aleatorias, tanto si la pregunta es a
elegir de un conjunto determinado, como si se puede escribir cualquiera.
La respuesta a la pregunta secreta debería considerarse como otra
contraseña más, incluso más compleja que la principal si cabe. Basta con
cuidar de la contraseña principal o usar programas de cifrado como el
gratuito Password Safe para mantenerla a salvo y no olvidarla. Así se
evitaría tener que usar los peligrosos servicios de recuperación.

En definitiva, ni el ataque a los sistemas del LHC han llegado a
sistemas críticos ni el ataque al correo de Palin es "magistral", tan
solo ingenioso. "No dejes que la realidad estropee una buena noticia."

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3621/comentar

Más información:

27/02/2005 La pregunta secreta del caso "Paris Hilton"
http://www.hispasec.com/unaaldia/2318

Actualización de bzip para Sun Solaris 8, 9 y 10

2008-09-22T05:59:00.000-07:00

Sun ha publicado una actualización para bzip2 que soluciona un fallo que
podría permitir a un atacante causar una denegación de servicio.

El fallo se debe a un problema en el manejo de archivos bzip2
especialmente manipulados. Esto podría ser aprovechado por un atacante
para causar que la aplicación deje de responder por medio de archivos
especialmente manipulados en este formato.

Según versión y plataforma, las actualizaciones están disponibles desde:

Para SPARC:
* Solaris 8 instalar 138441-01 o posterior desde
http://sunsolve.sun.com/pdownload.do?target=138441-01&method=h
* Solaris 9 instalar 114586-03 o posterior desde
http://sunsolve.sun.com/pdownload.do?target=114586-03&method=h
* Solaris 10 instalar 126868-02 o posterior desde
http://sunsolve.sun.com/pdownload.do?target=126868-02&method=h

Para x86:
* Solaris 8 instalar 138442-01 o posterior desde
http://sunsolve.sun.com/pdownload.do?138442-01&method=h
* Solaris 9 instalar 114587-03 o posterior desde
http://sunsolve.sun.com/pdownload.do?114587-03&method=h
* Solaris 10 instalar 126869-03 o posterior desde
http://sunsolve.sun.com/pdownload.do?126869-03&method=h

Nueva macroactualización de seguridad para Mac OS X

2008-09-22T05:41:00.000-07:00

Apple ha lanzado un nuevo paquete de actualizaciones para su sistema
operativo Mac OS X que solventa un mínimo de 35 problemas de seguridad
que podrían ser aprovechados por un atacante local o remoto para
conducir ataques de falsificación, revelar información sensible,
saltarse restricciones de seguridad, causar denegaciones de servicio o
ejecutar código arbitrario en un sistema vulnerable.

Dentro del paquete Security Update 2008-006, que actualiza a la versión
10.5.5 de Mac OS X se incluyen parches para los siguientes componentes:
ATS, BIND, ClamAV (actualización a la v.0.93.3), Directory Services,
Finder, ImageIO, Kernel, libresolv, Login Window, mDNSResponder,
OpenSSH, QuickDraw Manager, Ruby, SearchKit, System Configuration,
System Preferences, Time Machine, VideoConference y Wiki Server.

A continuación se analizan las distintas vulnerabilidades solventadas en
la última actualización de Mac OS X:

* Desbordamiento de búfer basado en heap en ATS (Apple Type Services)
que podría ser aprovechado para causar una denegación de servicio o
ejecutar código arbitrario.

* Actualización de seguridad de BIND.

* Actualización a ClamAV 0.93.3 que resuelve múltiples vulnerabilidades
encontradas desde el lanzamiento de la versión 0.92.1, última presente
en Mac OS X.

* Revelación de información sensible en Directory Services.

* Posible escalada de privilegios a través de Directory Services si un
administrador usa la herramienta slapconfig para configurar OpenLDAP.

* Fallo en la ventana Get Info de Finder al mostrar los permisos sobre
los archivos.

* Un atacante de la red local podría aprovechar una referencia a puntero
nulo en Finder para causar una denegación de servicio.

* Múltiples problemas de seguridad provocados por fallos en la librería
libTIFF de ImageIO al manejar imágenes especialmente manipuladas, lo que
podría causar una denegación de servicio y permitir la ejecución remota
de código.

* Actualización de seguridad a la versión 1.2.29 de libpng en ImageIO.

* Debido a un fallo en el kernel, un atacante local podría saltarse
restricciones de seguridad y acceder a ciertos archivos sin disponer de
los permisos necesarios.

* mDNSResponder y la librería libresolv son susceptibles de sufrir el
envenenamiento de la caché de DNS.

* Salto de restricciones y escalada de privilegios a través de Login
Window.

* Múltiples vulnerabilidades en OpenSSH.

* Ejecución de código arbitrario o denegación de servicio a través de
QuickDraw Manager.

* Posible denegación de servicio y ejecución de código arbitrario a
través de scripts maliciosos en Ruby.

* Falta de comprobación de límites en SearchKit que podría permitir la
ejecución remota de código arbitrario.

* Un fallo en System Configuration podría permitir que un atacante local
se hiciera con la contraseña PPP.

* Fallo en System Preferences al mostrar el nivel de fortaleza de
ciertas contraseñas.

* Solventado un fallo en System Preferences que podría permitir a
ciertos usuario acceder a archivos remotos a los que no deberían tener
acceso.

* Posible revelación de información sensible al realizar copias de
seguridad con Time Machine.

* Un fallo de corrupción de memoria en VideoConference podría permitir
que un atacante remoto causase una denegación de servicio o ejecutase
código arbitrario.

* Inyección persistente de código JavaScript a través de las listas de
correo en Wiki Server.

Las actualizaciones pueden ser instaladas a través de la funcionalidad
de actualización (Software Update) de Mac OS X o, según versión y
plataforma, descargándolas directamente desde:

Security Update 2008-006 Server (PPC):
http://www.apple.com/support/downloads/securityupdate2008006serverppc.html

Security Update 2008-006 Server (Universal):
http://www.apple.com/support/downloads/securityupdate2008006serveruniversal.html

Security Update 2008-006 (PPC):
http://www.apple.com/support/downloads/securityupdate2008006clientppc.html

Ejecución remota de código PHP en phpMyAdmin

2008-09-19T14:01:00.000-07:00

Se ha dado a conocer una vulnerabilidad en phpMyAdmin 2.x y 3.x que
podría ser aprovechada por un atacante remoto para ejecutar código PHP
arbitrario, pudiendo comprometer el sistema.

PhpMyAdmin es una popular herramienta de administración de MySQL a
través de Internet escrita en PHP. Este software permite crear y
eliminar Bases de Datos, crear, eliminar y alterar tablas, borrar,
editar y añadir campos, administrar privilegios y claves en campos,
exportar datos en varios formatos; y en general ejecutar cualquier
sentencia SQL. Además está disponible en más de 50 idiomas bajo licencia
GPL.

El fallo descubierto, catalogado como serio por el equipo de desarrollo
de phpMyAdmin, está causado porque el valor de entrada pasado al
parámetro "sort_by" en "server_databases.php" no se limpia de forma
adecuada antes de ser utilizado. Esto podría ser aprovechado por un
atacante remoto para inyectar y ejecutar código PHP arbitrario con los
privilegios del servidor web, lo que le permitiría conseguir el control
del sistema vulnerable. Para que el fallo de seguridad pueda ser
explotado, es necesario que el atacante disponga de credenciales de
autenticación válidas.

Se ha comprobado que el problema afecta a las versiones anteriores a la
2.11.9.1 de phpMyAdmin y también a la 3.0.0 RC1. Se recomienda
actualizar a cualquiera de las versiones no vulnerables (2.11.9.1 ó
3.0.0-rc2), disponibles para su descarga desde:
http://www.phpmyadmin.net/home_page/downloads.php

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3618/comentar

Mitos y Leyendas: Cifrado EFS en Windows

2008-09-18T05:43:00.001-07:00


Además de Bitlocker para Vista, Windows XP y 2000 ofrecen una seguridad
integrada, aceptable y sencilla con respecto al cifrado de la
información. Se llama EFS (Encrypted File System), y es una forma nativa
de Microsoft que hace el trabajo del usuario mucho más cómodo. De hecho,
resulta absolutamente transparente para él. Aunque existen herramientas
públicas que, aparentemente, afirman poder romper el cifrado EFS, puede
suponer una importante barrera para atacantes no expertos.

Cómo funciona

EFS es un sistema de cifrado transparente (que sólo puede usarse bajo
NTFS y no en XP Home) para Windows. Desde las propiedades de archivos o
carpetas, opciones avanzadas, es posible acceder a un menú donde se le
puede indicar al sistema que el directorio o unidad será empleado para
almacenar archivos cifrados (con lo que todo lo que se almacene en él se
cifrará) o se puede indicar también el cifrado de un archivo, cosa poco
recomendable. También es posible utilizar la herramienta de línea de
comando cipher.exe con el mismo efecto.

Una vez marcada una unidad o directorio como cifrado, todo lo que se
almacene en él quedará cifrado (incluso para el administrador del
sistema), pero no lo que ya hubiese dentro. El usuario no tendrá que
preocuparse de nada más. Cada vez que inicie sesión, los datos estarán
ahí para poder ser manipulados, pero una vez cerrada la sesión o si otro
usuario diferente se presenta en el sistema (incluso con otro sistema
operativo leyendo el disco duro) los datos aparecerán inaccesibles. En
el explorer los archivos y carpetas cifrados se colorearán de verde.

Es posible añadir la opción de "cifrar" y "descifrar" en el menú
contextual añadiendo en el registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced

una clave DWORD con valor 1 y nombre EncryptionContextMenu

EFS se basa en una mezcla de criptografía simétrica y asimétrica. Crea
certificados digitales para el usuario, que sirven para cifrar y
descifrar en base a claves públicas y privadas. Estos se almacenan
físicamente en tres sitios distintos del sistema.

C:\documents and settings\\application
data\microsoft\crypto\
C:\documents and settings\\application
data\microsoft\protect\
C:\documents and settings\\application
data\microsoft\systemcertificates\

Con esta clave privada, y para agilizar el proceso, cifra a su vez una
contraseña simétrica. En realidad EFS utiliza una contraseña única
generada automáticamente para cada fichero cifrado, pero el usuario no
lo percibe porque su par de claves pública y privada están trabajando
por él. Las contraseñas simétricas automáticas generadas se llaman FEK
(File Encryption key), se genera una cuando se cifra un fichero y se
almacena físicamente con él. Esta FEK es a su vez cifrada con la clave
pública del usuario. Las claves públicas y privadas del usuario se
generan de forma transparente para él la primera vez que cifra un
archivo. Los certificados son accesibles desde certmgr.msc.

Precauciones

En cualquier caso, antes de utilizar EFS, conviene tener claro que por
defecto Windows 2000 utiliza el algoritmo DESx de clave de 56 bits para
cifrar la información. Este algoritmo resulta, a estas alturas,
inseguro, por lo que no se recomienda. En Windows XP a partir del
Service Pack 1, 2003, 2008 y Vista, se utiliza AES de 256 bits por
defecto, estándar bastante seguro. Ya no es necesario activar la
directiva "Codificación de sistema: use algoritmos compatibles FIPS para
codificación, algoritmos hash y firma" en las opciones de seguridad.

Resulta muy conveniente exportar y realizar una copia de seguridad de
estos certificados si se utilizan para cifrar archivos. Estos
certificados están unidos al SID del usuario, de forma que si este
usuario se borra o el sistema se corrompe, los datos se perderán. No
importa si se crea un nuevo usuario con igual nombre... si el
certificado (que va con su SID) no es el mismo, estos no podrán
descifrar la FEK de cada archivo y los datos no podrán ser recuperados.
Además a partir de Windows XP, no existe la figura del "agente de
recuperación de datos" a menos que se le indique. Si se crea, este
usuario podría recuperar la información de otros usuarios con su
certificado.

En cualquier caso, la mejor opción, es exportar y realizar una copia de
seguridad de los certificados (clave privada incluida) y guardarlos en
un lugar seguro. Con estos certificados, aunque el sistema o el usuario
se corrompa, siempre se podrán importar como "agentes de recuperación de
datos" en otro Windows y desde ahí se podrán descifrar los archivos
perdidos..

Hay que tener en cuenta que las carpetas o archivos de sistema no podrán
ser cifradas bajo ninguna circunstancia.

Puntos débiles

EFS es un sistema al que no se le conocen grandes vulnerabilidades. En
entornos no profesionales que requieran de una seguridad media-alta, es
un sistema cómodo y útil. El claro punto débil es que depende totalmente
de la clave del usuario. El usuario se presenta en Windows de forma
normal, y con esto tiene acceso a sus certificados (las claves públicas
y privadas) para hacer uso de EFS, o sea, descifrar la FEK con la que se
almacena el archivo. Por tanto el eslabón más débil es precisamente esa
contraseña habitual de Windows con la que iniciamos la sesión. De nada
sirve cifrar archivos si la contraseña queda accesible por defecto en el
sistema por culpa del LM. Como dijimos, la SAM (Security Account
Manager) almacena dos cifrados por contraseña, LM y NTLM. LM es débil e
inseguro por diseño, y la protección que ofrece es virtualmente inútil.
LM no aprovecha bien los caracteres de las contraseñas y además comete
otra serie de fallos importantes. En Vista y 2008 viene desactivado por
defecto.

EFS se ha calificado en ocasiones de inseguro, cuando en realidad no lo
es. Usa estándares y no se le han encontrado vulnerabilidades graves en
su implementación. Su leyenda viene por depender de la contraseña del
usuario que puede llegar a estar almacenada de forma débil. Si el
usuario lo tiene en cuenta y usa EFS de forma responsable, esto es,
utilizando una contraseña de usuario de más de 15 caracteres o
deshabilitando el hash LM en el sistema, la confidencialidad de sus
datos puede llegar a ser bastante alta.

Para los más expertos o entornos profesionales, el programa libre y
gratuito TrueCrypt es la solución.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3617/comentar

Más información:

18/04/2008 Mitos y leyendas: Las contraseñas en Windows III (LM y NTLM)
http://www.hispasec.com/unaaldia/3464

TrueCrypt
http://truecrypt.org

Denegación de servicio en MySQL 5.x

2008-09-18T05:43:00.000-07:00


Se ha descubierto una vulnerabilidad en MySQL que podría ser utilizada 
por un atacante local para provocar una denegación de servicio. 
MySQL es un sistema de gestión de base de datos relacional, multihilo y 
multiusuario que se desarrolla como software libre y cuenta con millones 
de implantaciones en todo el mundo. En enero de 2008 Sun Microsystems 
adquirió MySQL. 
 
La vulnerabilidad está provocada por un error en 
Item_bin_string::Item_bin_string al procesar un valor binario nulo en 
una sentencia SQL. Un atacante local podría provocar una denegación de 
servicio a través de una sentencia SQL especialmente manipulada. 
 
Las vulnerabilidad afecta a las versiones anteriores a 5.0.66 y 5.1.26. 
Se ha publicado una prueba de concepto. Se recomienda actualizar a la 
versión 5.0.66 y superiores o 5.1.26 y superiores, disponibles desde: 
http://dev.mysql.com/downloads/ 
 
Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3616/comentar

jsl2008 4tas jornadas de software libre bucaramanga -colombia 2008

2008-09-17T06:20:00.000-07:00

¿Que son las JSL?
Las Jornadas de Software Libre (JSL) han sido eventos realizados por la comunidad de Software Libre en Colombia anualmente desde el 2005, dicho evento pretende reunir los grupos que a nivel nacional se han involucrado al proceso de desarrollo de la filosofía, cultura y software libre. Las JSL en sus pasadas ediciones han permitido orientar esfuerzos de los grupos a nivel nacional en el desarrollo y el trabajo coordinado de la difusión de la filosofía del conocimiento libre, y propende el desarrollo de la tecnología desde el panorama global mundial que permita el desarrollo real y la reducción de la brecha tecnológica de los países Latinoamericanos.

Las Jornadas de Software Libre en su IV edición, programadas en Bucaramanga para el año 2008, pretende ser un factor integrante de las comunidades nacionales, y específicamente del nor-oriente Colombiano, de los diferentes grupos, colectivos e individualidades que han trabajado de manera local bajo la filosofía de software y cultura libre, y que no se han integrado a nivel nacional pudiendo aportar en el proceso de construcción tecnológico y/o social desde sus propias dinámicas de trabajo.

Organizadores

Para este año Cusol-UIS (Comunidad Universitaria de Software Libre -UIS) ha hecho propia la organización de las Jornadas, CUSOL conformada por estudiantes de pregrado y egresados de la Universidad Industrial de Santander, ha asistido a versiones anteriores de las Jornadas de Software Libre, haciendo presencia en el desarrollo de JSL 2006 Popayan en la Universidad del Cauca y JSL 2007 Medellin en la sede central del SENA de esta ciudad, logrando de esta manera definir como próximo lugar a celebrar el encuentro en la ciudad de Bucaramanga para el año 2008, para así hacer continuo el trabajo de difusión del conocimiento libre en la ciudad y la región, trabajos que comienzan en el 2005 y se han materializado en múltiples eventos.

Sin embargo a manera de integrar los distintos grupos de trabajo la invitación a organización y coordinación del evento es también para otras Universidades y/o Grupos de trabajo con Software Libre. Todo es trabajo es asesorado y en constante colaboración con la Comunidad de Software Libre Nacional a través de la lista de correo Colibrí y El Directorio .

si quieres conocer mas acerca sobre las jsl ingresa al siguiente link:http://tux.uis.edu.co/jsl/

Vulnerabilidad en Compaq Management Agents

2008-09-17T06:02:00.000-07:00

El equipo de seguridad de Compaq da a conocer una vulnerabilidad que se genera durante la instalación de "Compaq Management Agents" para servidores Windows NT. En el aviso, publicado en Bugtraq y posteriormente es su sitio Web, indica que el agujero se deriva de la creación, sin avisar al administrador, de una cuenta con elevados derechos en el sistema.

El principal problema, como veremos al final de la noticia, viene dado por la creación automática de la contraseña.

Durante la instalación de la versión 4.20D de la herramienta de
administración "Compaq Managament Agents" se crea en el sistema,
sin notificar en ningún momento al usuario, la cuenta "PCFUser".
Esta cuenta es configurada con altos privilegios, y forma parte
del grupo de "Administradores". Compaq ha confirmado que hay
vulnerabilidades que afectan a esta cuenta:

1) La cuenta "PCFUser" es vulnerable debido a la creación
automática de la contraseña.
2) En ningún momento se notifica de la creación de esta cuenta al
usuario.
3) La cuenta tiene elevados derechos en el sistema.
4) Incertidumbre en el proceso de desinstalación.

Compaq recomienda que se cambie la contraseña para la cuenta
"PCFUser" usando la utilidad "PFIMuser" que se facilita durante
la instalación de "Compaq Managament Agents". El aviso hace
hincapié en la necesidad de utilizar esta utilidad,
"PFMIUSER.EXE", en vez del Administrador de Usuarios para
Dominios de Windows NT.
Los pasos a seguir son:

1) Iniciar una sesión como Administrador
2) Abrir una ventana DOS
3) Cambiar de directorio: CD /Winnt/System32/pfc
4) Lanzar la utilidad "PFIMuser": pfmiuser.exe
5) Teclear el nombre de usuario cuando lo solicite: PFCUser
6) Teclear la nueva contraseña
7) Confirmar la nueva contraseña

En el mismo aviso, Compaq también explica con detalle como
desinstalar los componentes necesarios para anular la cuenta
PFCUser. Por último, anuncia la salida de "Compaq Foundation
Agents 4.40B" que estará disponible a finales de septiembre.
Entre las novedades que incorporará se encuentra el aviso al
usuario de la creación de la cuenta, así como la solicitud de la
contraseña.

El problema real, que no se hace público en el aviso de Compaq,
parte en el proceso de creación automático de la contraseña
asignada a la cuenta de usuario "PCFUSer". El grave error
consiste en que la contraseña no es única para cada instalación.
Es decir, alguien puede aprovechar este hecho para atacar dicha
cuenta en un sistema al que tuviera acceso. Utilidades como
"L0pthCrack" darían con la contraseña en apenas unas horas, la
cual se puede utilizar a posteriori para autentificarse ante
cualquier Windows NT que tuvieran la cuenta PCFUser con la
contraseña por defecto, obteniendo el control total sobre el
sistema.

Más información:
Compaq

Múltiples vulnerabilidades en el VLAN Trunking Protocol (VTP) de Cisco IOS

2008-09-17T05:57:00.000-07:00

Se han descubierto múltiples vulnerabilidades en Cisco IOS, que pueden
ser aprovechadas por atacantes para ejecutar código arbitrario o
provocar una denegación de servicio.

El primer fallo se debe a un error en la funcionalidad VLAN Trunking
Protocol (VTP), que no maneja adecuadamente paquetes resumen
especialmente manipulados recibidos en un puerto troncal habilitado.
Esto podría ser aprovechado por atacantes en el segmento de red
local para provocar un reinicio del sistema.

El segundo fallo se debe a error de enteros en la funcionalidad VTP a
la hora de manejar configuraciones especialmente manipuladas
(contadores estadísticos con números negativos). Esto podría ser
aprovechado para que cambios en la base de datos VLAN no sean
propagados adecuadamente por el dominio VTP.

El tercer fallo se debe a un desbordamiento de memoria intermedia en
la funcionalidad VTP a la hora de procesar anuncios de resumen
recibidos en un puerto troncal habilitado con un elemento
Type-Length-Value (TLV) que contenga un nombre de VLAN excesivamente
largo. Si supera los 100 caracteres, esto podría ser aprovechado para
provocar una denegación de servicio y ejecutar código arbitrario.

Los switches configurados con el modo VTP de operación transparente no
se ven afectados.

Las correcciones para los problemas se encuentran accesibles a través de
las siguientes direcciones:
Denegación de servicio a través del campo versión de VTP:
http://www.cisco.com/pcgi-bin/Support/Bugtool/onebug.pl?bugid=CSCsd52629
http://www.cisco.com/pcgi-bin/Support/Bugtool/onebug.pl?bugid=CSCsd34759

Desbordamiento de memoria intermedia a través del nombre VTP VLAN:
http://www.cisco.com/pcgi-bin/Support/Bugtool/onebug.pl?bugid=CSCsd34855
http://www.cisco.com/pcgi-bin/Support/Bugtool/onebug.pl?bugid=CSCei54611

Fallo de enteros en VTP:
http://www.cisco.com/pcgi-bin/Support/Bugtool/onebug.pl?bugid=CSCse40078
http://www.cisco.com/pcgi-bin/Support/Bugtool/onebug.pl?bugid=CSCse47765

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/2884/comentar

Intento de "revival" de los virus de macro

2008-09-17T05:46:00.000-07:00

Se está detectando en Europa un tímido intento de revivir los virus de
macro, a través de un documento en Microsoft Word que está siendo
enviado a través de spam. El virus no representa ninguna evolución del
concepto y no se le espera repercusión alguna, pero supone un renovado y
discreto interés por este tipo de malware, prácticamente extinto desde
finales de los 90.

El espécimen se trata de un virus de macro "de toda la vida". Las macros
en Microsoft Office permiten ejecutar código VBA (Visual Basic for
Applications) incrustado dentro de documentos cuando son abiertos con
esta aplicación. Hasta la versión Office 2000, esto se hacía de forma
automática con todas las macros contenidas en los documentos, lo que
ayudó a popularizar lo que se llamarían los "virus de macro". Virus como
Melissa y sucesivas variantes dotaron a esta forma de ejecución
automática gran popularidad.

El archivo en concreto se ha difundido por algunos países europeos con
el nombre de Rechnung.doc. Lleva dentro incrustado un ejecutable, y la
macro se encarga de copiarlo al disco duro y ejecutarlo. Las casas
antivirus han tenido que rescatar del olvido el prefijo W97M y OF97para
denominar a Fordo, como se ha dado en llamar. La detección general por
parte de los antivirus ha aumentado en los últimos días, aunque desde un
principio ha sido muy efectiva.

http://www.virustotal.com/analisis/d67fcf69c3b2218dba79f4b154e6b930 

La única novedad de Fordo es que en vez de ejecutar su payload
directamente desde la macro, como habitualmente se venía haciendo,
contiene en su interior un ejecutable. La macro lo copia al disco duro y
lo ejecuta. Se trata entonces de un dropper tradicional que en principio
no recurre a un servidor para descargar su componente principal.

La detección de la muestra del ejecutable contenido que hemos analizado
es aceptable. Se trata de un spyware tradicional, que intentará
conectarse a diferentes páginas.

http://www.virustotal.com/es/analisis/def454a819753c1549253844a6249708 

Desde Word 2000 las macros no se ejecutan de forma automática por
defecto, a no ser que estén firmadas por alguien de confianza para el
equipo. Fordo ni siquiera usa vulnerabilidades conocidas o no para
saltarse esta restricción, simplemente confía en que el usuario o bien
use Word 97 o tenga las macros activadas en modo de seguridad "bajo" y
se ejecuten automáticamente. En caso contrario simplemente la macro será
ignorada. De ahí a que su difusión se espere muy discreta. En cualquier
caso el virus, una vez ejecutado, modifica esta opción y marca como
"bajo" el nivel de seguridad de las macros. Con esto puede llegar a
conseguir que otros virus de macro se ejecuten en el futuro.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3615/comentar

Reflexiones sobre Google Chrome y la seguridad

2008-09-16T07:14:00.000-07:00

A principios de septiembre Google lanza (después de muchos rumores) casi
por sorpresa (como suele hacer con todo) su nuevo navegador, conocido
como Chrome. Una semana después, Internet se inunda de comentarios sobre
todos los aspectos de esta nueva aplicación y en particular sobre su
seguridad. Muchos comentarios, exploits, actualizaciones y aclaraciones
después, nos enteramos de que el gobierno alemán ha desaconsejado
explícitamente el uso de este navegador. ¿Por qué?

Se lanza un nuevo navegador, concebido para la Internet de hoy. No es un
programa cualquiera. Genera gran expectación y curiosidad porque es
Google, y todo lo que hace parece hacerlo bien, elegante, sencillo,
robusto y bajo esa filosofía “don't be evil” con la que proyectan una
imagen de cercanía y respeto por el usuario. Si hay que sacrificar la
privacidad, el usuario medio parece sentirse más a gusto si los
servidores son de Google y no de otras compañías. Al fin y al cabo,
somos mayoría los que le confiamos a su buscador todas nuestras
inquietudes varias veces al día.

Además de la sencillez y otras muchas mejoras, de forma breve, las
principales avances técnicos sobre seguridad son:

* Cada pestaña se ejecuta en su propio proceso. Si alguna se cuelga, no
(debería) arrastra(r) a todo el navegador.

* Se ejecuta en una sandbox, de forma que en principio no se podría
acceder al sistema de ficheros real del ordenador a menos que sea
explícitamente ordenado. No está claro qué ocurre con los plugins en
este sentido.

* El modo Incognito (algo que también incorpora Internet Explorer 8 como
InPrivate) en el que el usuario puede navegar sin dejar rastro en su
sistema (básicamente histórico y cookies). Sin embargo sí que se envían
las cookies ya almacenadas si las hubiese por defecto.

En cuanto estuvo disponible para descarga, aparecieron las primeras
vulnerabilidades (y se descubrirán más... lo más grave vendrá cuando de
alguna forma se averigüe cómo saltarse esa sandbox). En principio
denegaciones de servicio básicamente. Una denegación de servicio no es
una vulnerabilidad grave en un navegador. Sí se puede considerar un
fallo de diseño en este caso concreto, puesto que hacer que el navegador
deje de responder por completo en principio contradice la filosofía de
crear cada pestaña en su propio proceso independiente. Por ejemplo,
existen literalmente decenas de formas de hacer que Internet Explorer
deje de responder. Firefox sufrió lo suyo (y aún hoy en día) con los
torpedos de Zalewski, que hacían que el navegador dejase de responder
una y otra vez incluso después de varias actualizaciones intentado
solucionar el problema.

"Es una beta, es normal" se puede argumentar, pero esto depende mucho de
los gustos, y de comulgar con la filosofía de negocio de Google. Hay
quien no es tan condescendiente con fallos en otros navegadores recién
salidos del horno. Google parece abusar de la etiqueta "beta",
manteniéndola más que cualquier otro fabricante en servicios y programas
de uso masivo pero eso nunca ha significado que descuide el producto.
Hay quien por muchos intereses parece retirarla demasiado pronto. Es su
decisión, depende de qué se exija para considerarlo "maduro". Todo
software seguirá teniendo errores y vulnerabilidades en cada ciclo de
producción, independientemente de que se etiquete en un estado u otro.
¿Está listo realmente el navegador? ¿Ser "beta" es una excusa? No hay
respuestas válidas.

La vulnerabilidad "real" vino después. Chrome está basado en Webkit, el
motor de Safari. Esta sí era un problema por dos razones. Primero por
estar heredada de un fallo ya conocido, admitido y corregido en junio
por Apple en Safari. Segundo por lo que permitía: la descarga de
archivos en el escritorio de forma automática (sin preguntar al usuario)
al visitar una web especialmente manipulada. Un atacante podría
descargar muchos archivos automáticamente en el escritorio hasta
"bombardearlo" (carpet bomging). ¿Por qué heredar un fallo ya corregido?
Se descubrieron otras de cierta gravedad. Rishi Narang publicó una
prueba de concepto pública que permitía una denegación de servicio, pero
se intuía la ejecución de código.

Todo se confirma cuando el día 8 se actualiza el navegador y se desvela
que soluciona al menos dos vulnerabilidades que permitían la ejecución
de código. Una a través de nombres largos en el cuadro de diálogo
"Guardar como" y otra relacionada con el manejo de enlaces en la barra
de estado. Sobre el "carpet bombing", se modifica el escritorio como
destino por defecto de archivos descargados. Se dejan sin parchear un
buen número de problemas que atacan directamente a la estabilidad del
programa.

En cuanto a problemas de privacidad, también se ha discutido bastante.
Desde un problema en el diseño de página 404 (en la que sugiere
búsquedas) que permitiría pasar por GET quizás sesiones o contraseñas a
los servidores de Google, hasta el hecho de que, en su política de
privacidad, se hablara claramente de enviar a Google información
tecleada por el usuario. El buscador siempre ha sido el gran recolector
de información en Internet, y nunca lo ha ocultado. En este aspecto
precisamente radica su poder. Gmail ya se curtió en cuestión de
polémicas, cuando pretendieron analizar el contenido de los correos para
ofrecer publicidad más ajustada al perfil del que lo escribía. Google
Toolbar era una extensión para IE sobre la que ya se polemizó en su
momento. Existe Google Calendar, Google Docs, Google Desktop Google
Adsense, las cookies de Google, su lector de RSS, etc... todos son
verdaderos almacenes de hábitos, gustos y datos personales o perfiles
únicos alojados en los servidores de Google. No nos deberíamos
escandalizar ahora por Chrome.

Pero hay quien no opina así. La Oficina Federal para la Seguridad de la
Información alemana advirtió el día 9 que resultaba arriesgado que los
datos de un usuario resultaran acaparados por un único fabricante y
desaconsejó abiertamente el uso del navegador Chrome en un importante
informativo televisado.

Chrome es mucho más que una navegador, y se ajustará perfectamente a
(los antiguos y a) los nuevos servicios que muy posiblemente lance
Google, con lo que ganará cuota en tanto en cuanto existan personas que
quieran disfrutar de todo lo que les ofrece la compañía sin pensar en
que sus datos están alojados en un sistema ajeno. Google pretende llevar
el escritorio cada vez más hacia la web y alejarlo del disco duro local,
y Chrome será la herramienta adecuada para conseguirlo. Quizás vivamos
una guerra de navegadores mucho más entretenida que la de finales de los
90, en la que Microsoft aplastó con malas artes a Netscape en apenas
unos meses.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3614/comentar

Se celebra el nuevo Asegúr@IT III en Bilbao

2008-09-15T09:39:00.000-07:00


El próximo 25 de septiembre se celebra en Bilbao el evento gratuito
Asegúr@IT III, en la sede de la Universidad de Deusto. Cuenta con la
partición de ponentes de empresas como Panda Security, Microsoft, S21Sec
e Informatica64.

Los ponentes serán Mikel Gastesi, Iñaki Etxeberría, Pablo Garaizar, Juan
Luís Rambla y David Carmona. Tendrá lugar en Bilbao, Universidad de
Deusto. El 25 de septiembre de 2008.

La agenda:

09:00 - 09:15 Registro

09:15 - 10:00 Cracking & protección de software

La disciplina de cracking software tiene mucho que ver con la protección
de software. En esta sesión Mike Gastesi, de S21Sec, contará cuales son
algunas de las técnicas utilizadas para la decompilación y crackeo de
software y al final dará algunas recomendaciones para proteger el
software contra este tipo de técnicas.

10:00 - 10:45 Rootkits in Action

La técnología rootkit llegó ya hace unos años para quedarse con
nosotros. En esta sesión Iñaki Etxeberría, de Panda Security, contará
cómo funcionan hoy en día los rootkits, cuáles son sus objetivos y cómo
podemos protegernos de ellos.

10:45 - 11:15 Café

11:15 - 12:00 Tempest, mitos y realidades

La tecnología Tempest ha dado mucho que hablar. La posibilidad de
interceptar la información generada en un equipo mediante la
intercepción de las ondas radiadas por los dispositivos electrónicos ha
sido utilizada en múltiples novelas y películas de ciencia ficción. No
obstante, las técnicas tempest existen y funcionan con unas
características. En esta sesión Pablo Garaizar, Txipi, de la Universidad
de Deusto mostrará que es mito, que es realidad y hará algún ejemplo de
estas técnicas.

12:00 - 12:45 Network Access Protecction

La protección de las redes en entornos en los que los trabajadores
utilizan dispositivos móviles para conectarse (portátiles, PDA,
teléfonos móviles) necesitan comprobar la salud de los equipos que se
conectan a la red. Windows Server 2008 y Windows Vista incorporan NAP,
una tecnología que permite controlar la salud de los equipos que se
desean conectar a la red. Juan Luís Rambla, MVP de Microsoft en Windows
Security de Informática 64 realizará una demostración de cómo implantar
esta tecnología.

12:45 - 13:30 Protección contra Botnets desplegadas por Web

Las técnicas de expansión de las redes botnets van cambiando día a día
buscando nuevos métodos de infectar máquinas. Actualmente una de las
disciplinas utilizadas consiste en atacar máquinas través de sitios web
legítimos vulnerados mediante fallos de programación. David Carmona,
Evangelista de Microsoft desgranará cómo funcionan estas nuevas formas
de despliegue y dará pautas para protegernos contra ellas.

13:30 - 14:00 Preguntas a los ponentes

El evento es gratuito. Es necesario registrarse desde:
http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032382985&Culture=es-ES

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3611/comentar

Desbordamiento de búfer en ZoneAlarm Internet Security Suite

2008-09-15T09:19:00.000-07:00

Se ha descubierto una vulnerabilidad en el componente antivirus de Zone

Alarm Security Suite que podría ser aprovechado por un atacante para 
ejecutar código arbitrario o causar una denegación de servicio. 
 
ZoneAlarm es un cortafuegos por software producido por Check Point. 
Incluye un sistema de detección de intrusiones entrantes, al igual que 
la habilidad de controlar los programas que pueden crear conexiones 
salientes. Existe una versión gratuita del cortafuegos y después una 
serie de versiones o suites de pago que incluyen características extra. 
La Internet Security Suite es su versión más completa y añade un 
bloqueador de ventanas emergentes y cookies, Internet Messenger Secure, 
antivirus y antispyware entre otras características. 
 
Hace unos días se hizo público un problema de seguridad en el componente 
antivirus (multiscan.exe) de esta última suite, causado por un fallo de 
comprobación de límites al realizar un escáner en busca de virus sobre 
archivos que estén alojados en directorios con un nombre de ruta 
demasiado largo. La vulnerabilidad daría lugar a un desbordamiento de 
búfer, que podría ser aprovechado por un atacante local o remoto para 
causar una denegación de servicio en ZoneAlarm o para ejecutar código 
arbitrario en el sistema afectado, si el usuario analiza una carpeta o 
archivo con un nombre de ruta demasiado largo. 
 
El argentino Juan Pablo Lopez Yacubian, investigador acreditado por el 
descubrimiento de está vulnerabilidad, ha publicado un vídeo a modo de 
prueba de concepto en el que se aprecia como un atacante local escala 
privilegios, logra ejecutar código arbitrario y compromete por completo 
un sistema vulnerable. 
 
Por el momento no existe un parche disponible. La vulnerabilidad ha sido 
comprobada para las versiones 7.0.483.000 y 8.0.020.000 de ZoneAlarm 
Internet Security Suite y también podría afectar a otras versiones del 
producto. 
 
Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3613/comentar

Apple publica una actualización para QuickTime

2008-09-12T05:47:00.000-07:00

Apple lanzó el pasado martes una actualización de seguridad que solventa 
múltiples vulnerabilidades en QuickTime. 
 
También se han publicado actualizaciones para iTunes, iPod Touch y en la 
versión para Windows de Bonjour que describiremos en otra noticia. 
 
A continuación se detallan las vulnerabilidades solventadas en Quicktime 
7.7.5, de las cuales ocho son críticas y las cuatro primeras sólo 
afectan a la versión para Windows. 
 
1- Un problema de acceso a memoria no inicializada en el códec Indeo v5 
(no incluido en QuickTime por defecto) podría ser aprovechado por un 
atacante remoto para hacer que la aplicación deje de responder o 
ejecutar código arbitrario si se abre un archivo de vídeo especialmente 
modificado. 
 
2- Un desbordamiento de búfer basado en pila en el códec Indeo v3.2 
podría ser aprovechado por un atacante remoto para hacer que la 
aplicación deje de responder o ejecutar código arbitrario. 
 
3- Un desbordamiento de enteros causado por un manejo incorrecto de 
archivos de imagen PICT, que podría ser aprovechado, por medio de una 
imagen especialmente manipulada, para causar una denegación de servicio 
o ejecutar código arbitrario. 
 
4- Un fallo al intentar acceder a un puntero no válido durante el manejo 
de imágenes PICT podría ser aprovechado para causar una denegación de 
servicio o ejecutar código arbitrario. 
 
5- Un desbordamiento de búfer basado en heap al procesar archivos QTVR 
(QuickTime Virtual Reality) que podría ser aprovechado para causar una 
denegación de servicio o ejecutar código arbitrario. 
 
6- Un problema de desbordamiento de búfer basado en pila al procesar 
archivos QTVR (QuickTime Virtual Reality) que podría ser aprovechado, 
por medio de un archivo especialmente manipulado, para causar una 
denegación de servicio o ejecutar código arbitrario. 
 
7- Un problema de corrupción de memoria durante el manejo de átomos STSZ 
en archivos de vídeo que podría ser aprovechado para causar una 
denegación de servicio o ejecutar código arbitrario. 
 
8- Múltiples problemas de corrupción de memoria en el manejo de archivos 
de vídeo codificados con H.264, que podrían causar una denegación de 
servicio o permitir la ejecución de código arbitrario. 
 
9- Un intento de lectura fuera de límites al manejar imágenes PICT 
podría causar que la aplicación se cerrase de forma inesperada. 
 
Todas las actualizaciones pueden ser instaladas a través de las 
funcionalidades de actualización automática (Software Update) de Apple, 
a través de iTunes o, según versión y plataforma, descargándolas 
directamente desde: 
http://www.apple.com/support/downloads/

Boletines de seguridad de Microsoft en septiembre

2008-09-12T05:40:00.000-07:00

Según la propia clasificación de Microsoft
los cuatro boletines presentan un nivel de gravedad "crítico".

* MS08-052: Actualización que resuelve cinco vulnerabilidades en GDI+
que podrían ser aprovechadas por un atacante remoto para ejecutar código
arbitrario, si un usuario visualiza una imagen especialmente manipulada.

* MS08-053: Actualización del Codificador de Windows Media 9 Series
Office Excel que corrige una vulnerabilidad que puede permitir la
ejecución remota de código arbitrario, si un usuario visita una página
web especialmente creada.

* MS08-054: Actualización para solucionar una vulnerabilidad en el
Reproductor de Windows Media que podría permitir la ejecución remota de
código arbitrario cuando un archivo de audio especialmente diseñado se
transmite desde un servidor Windows Media.

* MS08-055: Actualización para Microsoft Office que soluciona una
vulnerabilidad que podría permitir la ejecución remota de código
arbitrario si un usuario accede a una dirección URL de OneNote
especialmente diseñada.

Las actualizaciones publicadas pueden descargarse a través de Windows
Update o consultando los boletines de Microsoft donde se incluyen las
direcciones de descarga directa de cada parche. Dada la gravedad de las
vulnerabilidades se recomienda la actualización de los sistemas con la
mayor brevedad posible.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3608/comentar

Nuevas versiones de Java Runtime Environment corrigen diversas vulnerabilidades

2008-09-11T05:59:00.000-07:00


Sun ha publicado nuevas versiones de Java Runtime Environment (JRE) que 
solventan múltiples vulnerabilidades. 
 
El primero de los problemas corregidos reside en que el manejo de 
applets podría permitir que un applet no confiable consiguiera saltarse 
las restricciones de seguridad y estableciera conexiones de red a 
servicios localizados en máquinas distintas a la que realizó la descarga 
del applet. 
 
Otra vulnerabilidad podría permitir que un código JavaScript no 
confiable consiguiera saltarse las restricciones de seguridad y 
estableciera conexiones de red a través de APIs de Java a servicios 
localizados en máquinas distintas a la que realizó la descarga del 
JavaScript. 
 
Por último, una vulnerabilidad podría permitir que un applet no 
confiable descargado a través de un proxy consiguiera saltarse las 
restricciones de seguridad y estableciera conexiones de red a servicios 
localizados en máquinas distintas a la que realizó la descarga del 
applet. 
 
Según versión y plataforma se recomienda actualizar a las siguientes 
versiones no vulnerables: 
JDK y JRE 6 Update 3 o superior 
JDK y JRE 5.0 Update 13 o superior 
SDK y JRE 1.4.2_16 o superior 
SDK y JRE 1.3.1_21 o superior 
 
Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3605/comentar

Múltiples vulnerabilidades en CISCO PIX y ASA

2008-09-11T05:47:00.000-07:00

Cisco ha publicado varias actualizaciones que corrigen vulnerabilidades

en CISCO PIX y CISCO ASA que podrían permitir a un atacante remoto
provocar una denegación de servicio o acceder a información sensible.

* Se han corregido múltiples errores en la inspección SIP (Session
Initiation Protocol). Un atacante remoto podría usarlos para provocar
una denegación de servicio. Se confirma la vulnerabilidad para las
versiones de CISCO PIX y ASA con versiones de software inferiores a
7.0.16, 7.1.71, 7.2.7, 8.0.20 y 8.1.8.

* Otro error corregido reside en la autenticación de cliente IPSec al
terminar una conexión VPN (Virtual Private Network) que hace vulnerables
los equipos ante un ataque de denegación de servicio. Se confirma la
vulnerabilidad para las versiones de CISCO PIX y ASA con versiones de
software inferiores a 7.2.2, 8.0.14 y 8.1.4. Las versiones 7.0 y 7.1 no
están afectadas por este fallo.

* Cisco también confirma la existencia de una vulnerabilidad basada en
una fuga de datos SSL VPN al terminar una conexión de acceso remoto a
VPN sin cliente, que hace vulnerable a los equipos ante un ataque de
denegación de servicio en el software que procesa SSL. Se confirma la
vulnerabilidad para las versiones de CISCO ASA con versiones de software
inferiores a 7.2.2, 8.0.14 y 8.1.4. Las versiones 7.0 y 7.1 no están
afectadas por este fallo.

* Se ha corregido un error al procesar URIs (Uniform Resource
Identifier) al terminar conexiones remotas de acceso VPN que hace
vulnerable a los equipos ante un ataque de denegación de servicio en el
servidor HTTP. Se confirma la vulnerabilidad para las versiones de CISCO
ASA con versiones de software inferiores a la 8.0.15 y 8.1.5. Las
versiones 7.0, 7.1 y 7.2 no están afectadas por este fallo.

* La última vulnerabilidad corregida consiste en un posible acceso a
información sensible al terminar conexiones remotas de acceso VPN. Se
confirma la vulnerabilidad para las versiones de CISCO ASA con versiones
de software inferiores a la 8.0 y 8.1. Las versiones 7.0, 7.1, 7.2,
8.0.15, 8.1.4, superiores a 8.0.16 y superiores a 8.1.5 no están
afectadas por este fallo.

Se aconseja consultar la tabla de versiones vulnerables y contramedidas
en: http://www.cisco.com/warp/public/707/cisco-sa-20080625-cucm.shtml
El software Cisco PIX actualizado puede descargarse desde: 
http://www.cisco.com/pcgi-bin/tablebuild.pl/pix?psrtdcat20e2 
El software Cisco ASA actualizado puede descargarse desde:
http://www.cisco.com/pcgi-bin/tablebuild.pl/asa?psrtdcat20e2

Ekoparty Security Conference - Argentina

2008-09-11T05:41:00.000-07:00

El próximo 2 y 3 de octubre se celebrará la cuarta edición de Ekoparty
Security Conference, en el Centro Cultural Borges, Buenos Aires. Además
se llevarán a cabo tres días previos de training (del 29-30 de
septiembre y 1 de octubre) en las instalaciones de Fundación Proydesa
(Suipacha 280, CABA).

Un evento de nivel internacional con speakers extranjeros y locales,
invitados de Latinoamérica y el mundo. Con excelencia en la elección de
temas a tratar, debates y participación directa del publico. Este es el
perfil de una conferencia de seguridad informática diferente, en donde
lo comercial queda a un lado y finalmente la tecnología, la información
y la diversión son los protagonistas.

Ekoparty está dirigida a profesionales en seguridad informática,
personal de corporaciones líderes de la región y técnicos en
implementaciones IT y en decisión de negocios.

Las actividades post-conferencia dan un valor agregado a este evento,
invitando a todos sus asistentes a interactuar en un plano personal en
desafíos de wargames, lockpicking o wardriving, si olvidar la Aftercon
Party que se celebrará la noche del último día de conferencia.

El programa de conferencias y trainings, registro de asistencia, y más
información, se encuentran disponible en la web del evento:
http://www.ekoparty.com.ar/ 

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3607/comentar

Actualización de seguridad para Wireshark

2008-09-05T08:37:00.000-07:00


Se ha publicado una nueva versión de Wireshark puesto que en las
anteriores se han encontrado múltiples vulnerabilidades que podrían ser
explotadas por un atacante remoto, por medio de una serie de paquetes
especialmente manipulados, para causar una denegación de servicio.

Wireshark (todavía muy conocido por su nombre anterior Ethereal) es una
aplicación de auditoría orientada al análisis de tráfico en redes. Su
popularidad es muy elevada, puesto que soporta una gran cantidad de
protocolos y es de fácil manejo. Además Wireshark es software libre
(sujeto a licencia GPL) y se ejecuta sobre la mayoría de sistemas
operativos Unix y compatibles, así como en Microsoft Windows.

Las vulnerabilidades corregidas en la última versión son:

* Múltiples errores en epan/dissectors/packet-ncp2222.inc que podrían
ser aprovechados por un atacante remoto para causar una denegación de
servicio por medio de paquetes NCP especialmente manipulados. Afecta a
las versiones de la 0.9.7 a la 1.0.2.

* Un error al descomprimir los paquetes comprimidos con zlib que podría
causar que Wireshark dejase de responder. Todas las versiones entre la
0.10.14 y la 1.0.2 se verían afectadas, ambas inclusive.

* Un error al leer archivos .rf5 de Tektronix podría causar que
Wireshark dejase de responder. Afecta a las versiones de la 0.9.6 a la
1.0.2.

Se recomienda actualizar a la versión 1.0.3 de Wireshark, disponible
para su descarga desde:
http://www.wireshark.org/download.html

El "secuestro" del portapapeles

2008-09-03T05:39:00.000-07:00

Desde finales del mes pasado, muchos usuarios están detectando un
comportamiento extraño en su portapapeles. A la hora de copiar y pegar
cualquier dato, encuentran que siempre aparece almacenada en este
memoria una misma dirección de Internet, que no recuerdan haber copiado
nunca. Copian algún dato en su "clipboard", y cuando van a pegarlo esa
información ya ha sido modificada y en su lugar se memoriza una URL. No
parecen estar infectados por malware, en cuanto se visita alguna web el
problema reaparece... es solo que su portapapeles ha sido secuestrado.

Según se admite en una nota publicada por el Equipo de Respuesta ante
Incidentes de Seguridad en Productos de Adobe (Adobe Product Security
Incident Response Team) el problema está causado por una funcionalidad
en Flash Player que podría ser aprovechada por un atacante remoto para
"secuestrar" el portapapeles del sistema, forzando a que devuelva
siempre una misma cadena.

El problema se debe a que por medio de la función "setClipboard" de
ActionScript (el lenguaje de programación de Adobe Flash) se puede
modificar (pero no acceder) el contenido del portapapeles. La
descripción se puede leer en la documentación de Adobe Flash citada a
continuación: "El método System.setClipboard() permite a un archivo SWF
reemplazar el contenido del portapapeles con una cadena de caracteres en
texto claro. Esto no supone un riesgo de seguridad. Para proteger contra
los riesgos que supone que contraseñas y otra información sensible sea
cortada o copiada de los portapapeles, el método "getClipboard" de
lectura desde el portapapeles no existe".

Si se crea un archivo SWF modificado que invoque a esta función
repetidamente en bucle, cada cierto tiempo se actualizará el contenido
del portapapeles para forzar que contenga la cadena elegida.
Independientemente de la aplicación con la que se trabaje, siempre que
se intente copiar y pegar algún dato, dará como resultado la misma
cadena una y otra vez mientras el flash esté activo en una web que está
siendo visitada.

El ataque (más molesto que peligroso) se está usando para secuestrar el
portapapeles, pegando una URL que lleva a una página de un falso
antivirus que resulta ser malware. En el caso concreto detectado en los
últimos días, el código ActionScript malicioso venía incrustado en
anuncios flash alojados en sitios legítimos que tienen un gran tráfico
de visitas diarias, como Newsweek, Digg y MSNBC.

Este fallo no es realmente grave. Desde hace muchos años revive de vez
en cuando la polémica (es una funcionalidad vs. es una vulnerabilidad)
con respecto a un problema mucho más serio: El acceso al portapapeles
por parte de funciones de Internet Explorer. Aunque este ataque flash en
concreto es independiente del navegador, aun hoy día la configuración
por defecto de la mayoría de sistemas con Internet Explorer 6 permite de
forma transparente no solo modificar sino tener acceso al portapapeles.
El objeto clipboardData (incorporado en la versión 5 de Internet
Explorer) admite tres métodos para interactuar con los datos del
clipboard, "getData" para capturar la información, "setData" para
escribir, y "clearData" para borrar. Ya en 2005 Hispasec publicó una
prueba de concepto disponible en el apartado de más información.

También este ataque a través de flash recuerda al que se puso de moda
hace años, lo que se dio en llamar "secuestro del navegador" que
consistía en la modificación persistente de la página de inicio de
Internet Explorer. Mucho malware del momento era capaz de secuestrarla
con más o menos destreza. Hoy en día es una práctica en desuso.

Para "liberar" el portapapeles y que vuelva a funcionar de forma normal,
tan solo hace falta cerrar la pestaña del navegador con la que se está
visitando en el sitio web susceptible de contener el flash especialmente
manipulado.

Aviv Raff ha desarrollado una prueba de concepto que carga de forma
persistente la cadena http://www.evil.com en el portapapeles, disponible
desde http://raffon.net/research/flash/cb/test.html 

fuente: http://www.ispasec.com

Denegación de servicio en Solaris 10

2008-08-29T11:46:00.000-07:00

La vulnerabilidad se debe a un error del que no se han facilitado
detalles en las llamadas a procedimiento remoto (RPC) NFS (Network File
System). Un atacante local podría interceptar o corromper el trafico NFS
hacia otras zonas no globales del sistema provocando una denegación de
servicio.

Para que el ataque tenga éxito es necesario que el atacante posea
privilegios administrativos en una zona no global del sistema.

Según versión y plataforma, se recomienda instalar los siguientes
parches:
Para plataforma SPARC:
* Para Solaris 10 aplicar el siguiente parche:
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-138070-02-1
* Para OpenSolaris actualizar a compilación snv_88 o superior.
Para plataforma X86:
* Para Solaris 10 aplicar el siguiente parche:
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-138071-02-1
* Para OpenSolaris actualizar a compilacion snv_88 o superior.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/35966/comentar

Ejecución de código arbitrario a través de streams mms en VLC

2008-08-29T11:28:00.000-07:00

Se ha descubierto una vulnerabilidad en VLC 0.8.6i que podría permitir a
un atacante remoto ejecutar código arbitrario al reproducir un "stream"
MMS creado a tal efecto.

VLC Media Player es un completo reproductor multimedia que soporta un
gran número de formatos, como pueden ser: MP3, MPEG, DIVX, VCD o DVD
entre otros, así como varios protocolos de streaming. Además está
disponible para un amplio número de plataformas distintas como Windows,
Mac OS X y para varias distribuciones de Linux.

El error se debe a un desbordamiento de memoria basado en heap en la
función "mms_ReceiveCommand" al procesar un stream MMS (Microsoft Media
Server) mediante una URL del tipo "mmst://". La función pertenece a la
librería "modules\access\mms\mmstu.c". Un atacante remoto podría
ejecutar código arbitrario a través de un stream MMS especialmente
manipulado.

La vulnerabilidad afecta a la versión 0.8.6i, pero es posible que otras
versiones puedan verse afectadas. Junto con el aviso original se ha
publicado una prueba de concepto.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3595/comentar

Denegación de servicio por problema de regresión en sshd de Solaris 9 y 10

2008-08-27T07:15:00.000-07:00

Sun ha publicado una alerta de seguridad para Solaris 9 y 10 que
solventa un problema de regresión en sshd que podría causar una
denegación de servicio.

El fallo está causado porque los siguientes parches introducen un
problema de regresión que podría causar que la característica de reenvío
de Secure Shell X11 deje de funcionar en los sistemas que estén
configurados sólo con interfaces IPv4.

Los parches que causan el problema son:

Para la plataforma SPARC:
Solaris 9 con parche 114356-14 o superior.
Solaris 10 con parche 126133-03 o superior.

Para la plataforma x86:
Solaris 9 con parche 114357-13 o superior.
Solaris 10 con parche 126134-03 o superior.

Como contramedida para el problema, es posible ejecutar el siguiente
comando como usuario root:
# ifconfig lo0 inet6 plumb up

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3593/comentar