jueves, 21 de octubre de 2010

Oficial el lanzamiento del Kernel de Linux 2.6.36

Linus Torvals hace oficial el lanzamiento del nuevo kernel 2.6.36 de linux. Esta versión incluye: soporte para la arquitectura Tilera; una nueva interface de notificación del sistema de ficheros llamada fanotify; cacheo local de CIFS; soporte para Intelligent Power Sharing de Intel en sistemas i3/5; integración del depurador del kernel y KMS; inclusión del sistema de seguridad AppArmo; r ediseño de las colas de trabajo optimizado para concurrencia; bastantes controladores nuevos y pequeñas mejoras. Aquí está la lista completa de cambios.

miércoles, 13 de octubre de 2010

Actualización de Moodle para Debian Linux

Debian ha publicado una actualización del paquete moodle que soluciona múltiples vulnerabilidades.
Moodle es un gestor de cursos educativos de aprendizaje en línea libre. Es modular y orientado a objetos, está escrito en el lenguaje PHP. Moodle fue creado por Martin Dougiamas, el cual trabajó como administrador de WebCT, plataforma educativa propietaria similar a Moodle.
Además de los fallos de seguridad se soluciona un error de regresión introducido en la actualización anterior. El error reside en la falta de inclusión de la dependencia del paquete wwwconfig-common.

Los fallos en orden de CVE corregidos son los siguientes:
CVE-2010-1613
Existe un error de comprobación de restricciones que podría permitir a un atacante remoto acceder a la plataforma a través del uso del ID de sesión del usuario objeto del ataque.
CVE-2010-1614
Existe un error de comprobación de restricciones que podría permitir a un atacante remoto inyectar código (html o javascript) a través de un ataque XSS.
CVE-2010-1615
Existen varios errores de comprobación de restricciones en 'mod/wiki/view.php' y en 'lib/form/selectgroups.php'. Esto podría ser aprovechado por un atacante remoto para ejecutar consultas SQL arbitrarias a través de una petición http especialmente manipulada.
CVE-2010-1616
Existe un error de comprobación de restricciones que permitiría a ciertos usuarios sin permisos 'moodle/user:create' crear nuevas cuentas a través de vectores no especificados.
CVE-2010-1617
Existe un error de comprobación de restricciones en 'user/view.php'. Esto podría permitir a un usuario autenticado revelar datos personales de otro usuario a través de la página 'perfil del curso'.
CVE-2010-1618
Existe un error al procesar ciertas urls en la librería 'phpCAS'. Esto podría ser aprovechado por un usuario remoto para inyectar código (HTML, javascript) a través de una url especialmente diseñada.
CVE-2010-1619
Existe un error de comprobación de restricciones en la función 'fix_non_standard_entities' de la librería 'weblib.php'. Esto podría permitir a un atacante remoto inyectar código (html, javascript) a través de una petición http especialmente diseñada
CVE-2010-2228
Existe un error de comprobación de restricciones en la interfaz de control de acceso 'MNET'. Esto podría ser aprovechado por un atacante remoto para inyectar código (html, javascript) a través del uso de caracteres extendidos en el nombre de usuario
CVE-2010-2229
Existe un error de comprobación de restricciones en 'blog/index.php' que podría permitir a un atacante remoto inyectar código (html, javascript) a través de vectores no especificados.
CVE-2010-2230
Existe un error de comprobación de restricciones al procesar urls vbscript en la librería 'lib/weblib.php'. Esto podría permitir a un atacante remoto inyectar código (html, javascript) a través de una entrada html especialmente diseñada.
CVE-2010-2231
Existe un error de comprobación de restricciones en 'report/overview/report.php'. Esto podría permitir a un atacante remoto eliminar información sobre el número de intentos de un test a través de un ataque CSRF.

 

Más información:
[SECURITY] [DSA-2115-2] New moodle packages fix several vulnerabilities
http://lists.debian.org/debian-security-announce/2010/msg00168.html


martes, 12 de octubre de 2010

Actualización de múltiples paquetes para SuSE Linux

SuSE ha publicado una actualización para múltiples paquetes de diversos productos SuSE Linux que corrigen hasta 35 problemas de seguridad que podrían permitir la ejecución remota de código. Los problemas afectan a SuSE Linux Enterprise Server 9; SuSE Linux Enterprise 10-SP3, 11 y SLE11-SP1; openSUSE 11.1, 11.2 y 11.3.
De forma resumida, las vulnerabilidades son:
  • Se ha corregido un desbordamiento de búfer en samba que podría ser aprovechado por un atacante remoto para conseguir ejecutar código arbitrario.
  • Se han corregido fallos de desbordamiento de entero en el tratamiento de libgdiplus0 de imágenes tiff, bmp o jpeg específicamente manipuladas.
  • Se ha actualizado el motor de navegación libwebkit a la versión 1.2.4 para corregir once problemas de diversa índole.
  • Se ha corregido un fallo en bzip2 que podría permitir la ejecución de código arbitrario.
  • PHP se ha actualizado a la versión 5.2.14 para corregir 20 vulnerabilidades en OpenSuSE 11.1.
  • Por último, se ha corregido un desbordamiento de búfer en Okular al abrir archivos pdf específicamente creados.
Se recomienda actualizar a través de las herramientas automáticas YoU
(Yast Online Update).

Más Información:

[security-announce] SUSE Security Summary Report: SUSE-SR:2010:018
http://lists.opensuse.org/opensuse-security-announce/2010-10/msg00000.html

sábado, 9 de octubre de 2010

Actualización de MySQL por múltiples vulnerabilidades

Se ha publicado la versión 5.1.51 de MySQL destinada a corregir múltiples vulnerabilidades en MySQL, que podrían permitir a un atacante provocar condiciones de denegación de servicio o lograr ejecutar comandos con privilegios elevados.
Existe un problema en el tratamiento de comentarios de versión en MySQL que podría permitir a un atacante remoto ejecutar sentencias SQL con privilegios de superusuario.
Otros problemas de denegación de servicio residen en la evaluación de argumentos de funciones como "LEAST()" y "GREATEST()", en la re-evaluación de valores provenientes de tablas auxiliares, en el tratamiento de la la sentencia 'GROUP_CONCAT' en combinación con 'WITH ROLLUP', en el tratamiento de funciones como "GREATEST()" o "LEAST()", en la ejecución de sentencias que utilizan tablas temporales, al procesar sentencias "join" anidadas en procedimientos almacenados o un error cuando se pre-evalúan argumentos "LIKE" durante la preparación de la vista.

Se recomienda la actualización a MySQL versión 5.1.51 :
http://dev.mysql.com/downloads/

Más Información:
Changes in MySQL 5.1.51 (10 September 2010)
http://dev.mysql.com/doc/refman/5.1/en/news-5-1-51.html

lunes, 4 de octubre de 2010

Firefox el navegador más seguro contra el fraude

Un estudio realizado con 20.263 webs maliciosas revela que Firefox, en comparación con Chrome, Internet Explorer y Opera, es el navegador que bloquea de forma más efectiva los intentos de fraude.

De un tiempo a esta parte los navegadores incluyen, entre sus mecanismos de protección, filtros para evitar que los usuarios visiten páginas webs peligrosas para su seguridad. Básicamente se trata de listas negras confeccionadas a partir de distintas fuentes que clasifican las páginas de phishing, scam, distribución de malware, exploits, etc. Si el usuario intenta navegar por alguna de esas páginas, reconocidas por el navegador como peligrosas, la bloquea y avisa al usuario.

El estudio ha evaluado el grado de protección que ofrecen los distintos navegadores al visitar las páginas webs clasificadas como maliciosas y recopiladas desde diferentes fuentes, destacando la extracción de links de los mensajes de spam y arañas webs.

De las 20.263 páginas webs maliciosas, los distintos navegadores protegieron al usuario en los siguientes casos:

  • Chrome: 6.639 (32,76%)
  • Firefox: 7.108 (35,08%)
  • Internet Explorer: 5.114 (25,39%)
  • Opera: 1.690 (8,34%)

    De los resultados se extrae que Firefox es el navegador que logra un mayor número de bloqueos, seguido de cerca por Chrome, Internet Explorer en tercer lugar y por último, a una considerable distancia, Opera.

    También destaca el bajo porcentaje de protección en general, aunque es comprensible ya que en un alto grado estos filtros son en su mayoría reactivos. Es decir, son más débiles en las primeras horas tras la activación y publicación de las webs maliciosas, precisamente cuando los atacantes logran un mayor número de víctimas.


    Algunas notas sobre el origen del estudio y la metodología

    • Todas las URLs utilizadas han sido detectadas como maliciosas por alguno de los navegadores evaluados y/o filtros de URLs de similares características (de soluciones de seguridad).

    • Los resultados obtenidos son aplicables a las últimas versiones de los navegadores disponibles y en muchos casos a versiones anteriores, ya que comparten el mismo mecanismo de filtrado de URLs.

    • En el caso de Internet Explorer que utiliza Microsoft SmartScreen, un protocolo y servicio propietario y registrado cuyo copyright impide su emulación, la automatización es igualmente posible mediante el uso directo del navegador vía COM.

    • Aunque Firefox utiliza el servicio Google Safebrowsing, al igual que Chrome, se pueden observar resultados diferentes. Esto es debido a que, si bien utilizan el mismo protocolo, la respuesta del servicio es distinta en función del ID del navegador. Consultado a Google sobre este comportamiento confirmaron nuestras hipótesis, y nos informaron que mantienen distintos acuerdos y fuentes de listas negras según el producto final.

    Conclusiones

    Los filtros de URLs son mecanismos que aumentan la protección de los usuarios y, por tanto, es de agradecer a las empresas desarrolladoras de navegadores que incluyan esta funcionalidad por defecto.

    Como puede observarse en los resultados, siempre existe un porcentaje elevado de casos donde el filtro del navegador no bloqueará automáticamente el sitio web malicioso, especialmente durante las primeras horas del ataque. Por tanto es fundamental concienciar a los usuarios sobre ciertas prácticas de "higiene" y seguridad básica en Internet.

    Existe un grado de complementariedad muy alto entre los filtros de los distintos navegadores. Las páginas webs detectadas por Firefox no son en muchos casos detectadas por Internet Explorer y viceversa. Por lo tanto existe una área de oportunidad muy interesante en la compartición de las fuentes de datos en pro de la seguridad global. Aunque somos conscientes de que la competencia e intereses comerciales no favorecen este tipo de colaboración, la propia industria de la seguridad nos ha demostrado que es posible y beneficioso.

    Dado los bajos porcentajes de bloqueo obtenidos, cobra sentido el instalar soluciones de seguridad adicionales con funciones similares, basadas en el filtrado de URLs, ya que actuarán de forma complementaria para aumentar el grado de protección que logran los navegadores.