Ataque a SSL/HTTPS: afectadas CA's con firmas MD5

Hola,

Estos días está teniendo lugar en Berlín el 25C3, 25 Chaos Communication Congress. En él se están presentando interesantes ponencias en temas relacionados con la seguridad.

En concreto, hoy se ha presentado MD5 considered harmful today, Creating a rogue CA Certificate, un PoC en el que describen cómo aprovechar las colisiones MD5, para generar un certificado válido y realizar ataques de suplantación de identidad, afectando directamente a las redes de confianza, concepto en el que se basa la Public Key Infrastructure (PKI), y sobre el que se consolida gran parte de Internet.

Los investigadores en cuestión son Alexander Sotirov, Marc Stevens, Jacob Appelbaum, Arjen Lenstra, David Molnar, Dag Arne Osvik, Benne de Weger.

El problema de fondo es que existan CAs que continúen usando MD5 para sus firmas, aún cuando MD5 se sabe que está roto desde 2004, en relación a la posibilidad de encontrar colisiones y ya en 2007 se presentó un paper teórico de como atacar a una CA basado en estas premisas.

Ha tenido que ser en 2008, con la ayuda de un CPD de 200 PS3 equivalente a 8000 CPUs estándar o $20k de tiempo en amazon EC2, cuando un equipo de investigadores de seguridad informática ha demostrado como explotar esta técnica en la práctica para afectar al protocolo HTTPS, (si, el candadito que sale en la parte inferior derecha del navegador), y en realidad cualquier protocolo que use SSL . Pero la pregunta es, quien sigue usando MD5 a día de hoy para cosas serias? y la triste respuesta es que muchos sistemas..., de los 30k certificados que cogieron para realizar el ataque, 9k estaban firmados con md5, a rapidssl.com se le ha atribuido el 97% de ellos.



Para saber si el sitio que visitamos puede correr peligro de ser suplantado y por lo tanto permitiría ataques 'man-in-the-middle' sobre SSL, desde Firefox, podemos ir a "Herramientas" -> "Información de la página" -> "Seguridad" -> "Ver Certificado" -> "Detalles" -> "Algoritmo de firma del certificado". Si veis algo como "PKCS #1 SHA-1 con cifrado RSA" estais a salvo, sin embargo si aparece "MD5" entonce ese sitio es vulnerable.

Este tipo de ataques podrían conducir a ataques de phising "perfectos" o indetectables, con certificados SSL válidos o bien se podrían combinar junto con el fallo descubierto por Dan Kaminsky hace unos meses sobre DNS Poisoning, por lo que serían totalmente eficaces y de muy dificil detección, debido a que la victima no podría darse cuenta que el sitio está siendo suplantado. Este tipo de vulnerabilidades podría llegar a afectar o "salpicar" a la banca o comercio online, ya que son el tipo de tecnologías que usan como medida de seguridad para el protocolo de datos entre el cliente y el servidor, es un tema bastante serio.

La solución pasa porque ningún CA firme con MD5, y sólo se utilice SHA1 o algoritmos más seguros (SHA-2 todavia está en desarrollo y no está totalmente soportado), al mismo tiempo los navegadores tienen que actualizar sus blacklist para revocar esos certificados, mozilla y microsoft se han pronunciado, más abajo os dejo los enlaces.


Enlaces:

Información detallada
Más información técnica
Presentación en el congreso
Sitio de demo (poner la hora del sistema anterior a Agosto 2004 antes de hacer click

Certificados:

Certificado real
Certificado modificado


Respuesta de Mozilla/Microsoft:

Mozilla

Microsoft y 2



Referencias:

ISC SANS: MD5 Considered harmful today - Creating a rogue CA certificate

ISC SANS: MD5 SSL Summary

Predicciones de seguridad informática para 2009

Os dejo una nota corta, leída en el blog de Xavier Caballé sobre las predicciones de seguridad informática para el año 2009 que lo tenemos ahí mismo:

10 Security Predictions for 2009 (Channel Web)
2009 Security Predicitions (SANS Institute)
Security Predicitions: Experts Look Ahead to 2009 and Beyond (CIO.com)
Rich Mogull: 7 Infosec Trends for 2009 (CSO Online)

BSOD en Mac OS X: actualización a 10.5.6

[caption id="attachment_237" align="alignleft" width="472" caption="Kernel Panic Mac OS X"][/caption]

Puestos a criticar, aquí no se salva nadie... ahora le toca el turno a Apple.

Hace apenas un par de días salió la actualización de Leopard a 10.5.6, en principio todo pintaba bien, añadía funcionalidades, actualizaba ciertos componentes, corrgía bugs: Brian Krebs, del washington post, anunciaba que Apple corregía de esta manera 21 fallos de seguridad. y al parecer se iba a convertir en la última actualización antes del esperado Mac OS X 10.6 "Snow Leopard" para los colegas.

Pero llegaron los problemas, un buen número de usuario se quejan de los múltiples problemas que están teniendo con las actualizaciones, y a mí también me ha tocado.

He actualizado varias máquinas, Mac Mini PowerPC, Macbook pro Intel, IMac 20" pero por último ha fallado una máquina un IMac 24" Intel. La actualización no se llegó a instalar correctamente, al reiniciarse el sistema era completamente inestable (fallos inesperados en varios procesos.., no funciona el sonido, etc), y después de un reinicio forzado, la máquina ya no vuelve a arrancar mostrando la pantalla de un bonito kernel panic caraácteristico de Mac que ya había visto otras veces, pero esta vez en el arranque, pocos segundos después de pulsar el botón de encendido, dejando la máquina totalmente inútil.

Al parecer los de Apple le quieren hacer la competencia a M$ con los pantallazos azules (BSOD, Blue Screen Of Death), en este caso color gris. Lo cierto es que, pretendiendo ser un sistema operativo serio, no pueden permitirse este tipo de fallos, realmente están preparados para el desspliegue a nivel corporativo?

Actualización 19/12: Apple reconoce que existen problemas con la actualización a 10.5.6, al parecer el paquete que distribuyeron estaba incompleto.

Referencia: http://support.apple.com/kb/TS2383

Internet Explorer: Critical Microsoft Security Bulletin MS08-078

[caption id="attachment_220" align="alignleft" width="228" caption="IE Bug"][/caption]

Hola,

Cuando por primera vez lo leí, hace ya días, pensé "bueno.. uno más", pero este bug está dando mucho que hablar.

En primer lugar anunciaron que sólo afectaba a IE7, la vulnerabilidad salió a la luz en un foro chino un día antes del segundo martes de diciembre (que pillos!, los segundos martes de cada mes es cuando m$ distribuye los parches de actualizaciones, dejandoles literalmente en bragas), el problema se complicó muchísimo al notificar un investigador de seguridad danés que la vulnerbailidad se extendía a todas las versiones de Internet Explorer y afecta a todos los sistemas operativos Windows. Este fallo, que reside en el manejo de etiquetas XML, permite ejecutar código arbitrario en la máquina remotamente sin intervención alguna por parte del usuario, sólo es necesario que se visite una página web con Internet Explorer para que el malware sea instalado en la máquina.

Microsoft recomendaba deshabilitar el fichero Oledb32.dll para permanecer seguro (así como no navegar como administrador) y tener actualizados los antivirus, anti-spyware, activado firewall, etc... 'lo qué? ' Es decir,... como saben que puede entrar cualquier virus o similar y no son capaces de evitarlo, actualiza el antivirus y agarrese quien pueda... no creo que sea una medida decente, aún te quedan ganas de seguir usando IE? sigue leyendo...

Además, anunciaron que había un bajo riesgo de infectarse, a pesar de la gran fauna de malware que está aprovechando esta vulnerabilidad y está actualmente in the wild, alegando que un número muy bajo de páginas web estaban infectando máquinas y que había un porcentaje muy bajo de infectarse... viva!! juguemos a la ruleta rusa! No es de recibo... Cuando se sabe a ciencia cierta que hay más de dos millones de máquinas infectadas debido a esta vulnerabilidad y más de 10.000 páginas web con el código javascript malicioso... ejem!

Por todo esto las empresas de seguridad han recomentado la instalación y uso de otros navegadores, como Firefox, Opera, Safari o Chrome, por lo que por fin hoy, deciden sacar el parche fuera de ciclo (como era de esperar), aunque ha dejado como semana y media para que cualquiera lo explote siendo publico (viva el full-disclosure!). En theinquirer comentan sobre el lanzamiento del parche "El mismo será distribuido desde Windows Update, Microsoft Update y Windows Server Update Services (WSUS), para usuarios de Windows 2000, XP, Vista, Server 2003 y Server 2008. El parche debe corregir la vulnerabilidad en IE5.01, IE6 e IE7. Para IE8, actualmente en fase beta, la corrección llegará posteriormente ya que no ha sido incluido en la lista de navegadores soportados."

Vamos, a cualquiera le puede pasar, no existe software 100% seguro, no existe aún técnica o manual que pueda certificarlo, pero hay maneras y maneras... y cuando ha pasado ya muchas veces (ya no sólo a nivel de navegador, sino de sistema.... recordemos el blaster, sasser, y los ya más recientes MS08-67, MS08-68...), es hora de plantearse que software usas teniendo en cuenta que mucha gente, un porcentaje muy alto del tiempo que pasa ante una máquina es con el navegador abierto.

Se puede aprender algo de todo esto, siempre se aprende algo de los errores, podemos seguir varios consejos como no navegar con un usuario con privilegios que no necesite (nunca como adminsitrador), tener un sistema de protección para el sistema y la red..., hay gente que no sigue ninguno de ellos e incluso nunca sabrá que existió este fallo.

Personalmente recomendaría un navegador que me ofrezca cierta garantía de calidad/seguridad, yo apuesto por Firefox y Opera, tu por cuál apuestas?

Desde el Sans ISC nos avisan del lanzamiento del parche MS08-078, y recalcan que no sustituye al MS08-073 de principios de mes, ambos son necesarios para hacer a IE "seguro"

Feliz upgrade a la gente que siga usando IE, recordar es imprescindible actualizarlo, y también podeis replantearos si sería conveniente cambiar de navegador. Un dato curioso es que durante este proceso según un estudio la cuota del IE ha bajado al 70%, siendo tan fácil descargar e instalar un navegador, y lo poco traumático que es ya que te importan los marcadores y demás.

Es hora de reflexionar!

Referencias (en este enlace podeis encontrar información técnica y muchas otras referencias):

NIST IT Security: Internet Explorer XML Exploit Allows Remote Code Execution


Instalar parche [microsoft.com]

Botelín de Seguridad: WordPress MU < 2.6 wpmu-blogs.php Cross Site Scripting vulnerability

Hola,

Wordpress-MU, es la versión multi usuario de Wordpress, permite ejecutar ilimitadas instancias de blogs con una única instalación de wordpress. Su uso está muy extendido, algunos ejemplos son Wordpress.com (índice 28 en Alexa) o en universidades como Harvard.

Este post tenía que haber visto la luz hace tiempo (por septiembre), pero se ha demorado hasta ahora.
El 6 de agosto, publiqué un llamamiento a la actualización para Wordpress MU < 2.6 debido a un bug encontrado que hacía posible el robo de credenciales.

Todo empezó el 14 de Mayo, cuando debido a mi trabajo, empezamos a trabajar con Wordpress MU, lo genial que tiene el código abierto es que tu mismo puedes auditar el código que va a correr sobre tus máquinas, siendo esto esencial. Ese mismo día, realizando unas pruebas a la plataforma encontré un bug XSS (Cross Site Scripting) en el panel de adminstración que permite a un atacante robar las cookies al Administrador del sitio y (tenga o no tenga usuario en el sistema) convertirse automágicamente en Adminsitrador Global del Sitio.

Ese mismo día el error fue notificado al equipo de desarrollo de Wordpress MU, me sincronizé con ellos para parchear el código en la rama trunk, después de un par de intentos (en el primero se les quedo un cabo suelto ;)) por fin, sólo dos días después (el 16 de mayo) conseguimos solventar completamente el problema. Más tarde veía la luz la esperada versión 2.6 que incluía esta serie de parches. La solución pasa por instalar cualquier versión superior o igual a la 2.6, tan sólo hace dos días anunciaban el lanzamiento de la versión 2.6.5

Quiero agradecer al equipo de desarrollo, en especial al desarrollador principal Donncha por su cooperación y también por añadirme en los créditos. Gracias!

Del mismo modo los administradores de esta red en la Universidad de Alicante también fueron notificados lo antes posible sobre el error, y proporcioné los parches que eran necesarios.

El boletín de seguridad ha sido publicado en los sitios web y listas con más renombre a nivel internacional y las bases de datos de vulnerabilidades más relevantes sobre seguridad informática:

CVE ID: 2008-4671 Common Vulnerabilities and Exposures
NVD, National Vulnerability Database del NIST (US-CERT)
Bugtraq ID, SecurityFocus
Secunia Advisory ID
OSVDB, Open Source Vulnerability Database
Full-disclosure

Podeis leer el Advisory entero aquí mismo:



- Security Advisory -

- - WordPress MU < 2.6 wpmu-blogs.php Cross Site Scripting vulnerability -
- -----------------------------------------------------------------------


Product: Wordpress-MU (multi-user)
Version: Versions prior to 2.6 are affected
Url: http://mu.wordpress.org
Affected by: Coss Site Scripting Attack


I. Introduction.

Wordpress-MU, or multi-user, allows to run unlimited blogs with a
single install of wordpress. It's widely used, some examples are
WordPress.com or universities like Harvard


II. Description and Impact

Wordpress-MU is affected by a Cross Site Scripting vulnerability, an
attacker can perform an XSS attack that allows him to access the
targeted user cookies to gain administrator privileges

In /wp-admin/wpmu-blogs.php an attacker can inject javascript code,
the input variables "s" and "ip_address" of GET method aren't properly
sanitized


Here is a poc:

PoC: http://site/path/wp-admin/wpmu-blogs.php?action=blogs&s=%27[XSS]
PoC:
http://site/path/wp-admin/wpmu-blogs.php?action=blogs&ip_address=%27[XSS]


The impact is the attacker can gain administrator privileges on the
application.


III. Timeline

May 14th, 2008 - Bug discovered
May 14th, 2008 - Vendor contacted and the start of a syncronized
code patching
May 16th, 2008 - MU trunk code fixed
July 28th, 2008 - WPMU 2.6 released
September 2nd, 2008 - WPMU 2.6.1 released
September 29th, 2008 - Security advisory released


IV. Solution

Upgrade to version 2.6 or upper of wordpress multi-user. It can be
downloaded from http://mu.wordpress.org


V. Credits

Juan Galiana Lara
http://blogs.ua.es/jgaliana

GNU/Linux en tu llavero: Distribuciones Live y Virtualización

Una nota rápida para daros el enlace a las slides que utilizamos Héctor y yo en el taller sobre GNU/Linux que comenté ayer en la universidad que llevaba por nombre el título de este post

Descarga: PDF [1.9M]

IV Jornadas por el Conocimiento Abierto y el Software Libre celebradas en la Universidad de Alicante

Hola!,

La semana pasada durante los días 20 y 21 de Noviembre se celebraron las IV Jornadas por el Conocimiento Abierto y el Software Libre en la Universidad de Alicante.

Este evento está organizado de la mano del Vicerrectorado de Tecnología e Innovación Educativa a través de la iniciativa COPLA la cual tiene como objetivo difundir el conocimiento abierto e implantar soluciones de software libre en la universidad.

El primer día consistió en conferencias, a las cuales, sólo pude acercarme a la primera, que estuvo interesante, trató sobre start-ups relacionadas con el softeware libre, y el segundo día se impartieron varios talleres.

Un par de miembros de GULA (Grupo de Usuario de Linux de Alicante) impartimos un taller sobre GNU/Linux: Distribuciones Live y Virtualización en dos sesiones y que tuvo una muy buena acogida, presentando las ventajas del uso de dispositivos de almacenamiento externo usb como soporte para llevar GNU/Linux a cualquier lugar, ya fuera de forma arrancable mediante sistemas live o empleando software de virtualización, con las ventajas que esto conlleva: sin interacción con el disco, problemas con permisos, privacidad, cómodidad en cuanto a perfiles y datos móviles, un sistema totalmente personalizado y con persistencia de datos.

Por último se presentó una solución para virtualizar GNU/Linux sin requerir instalar ningún tipo de software en la máquina gracias a Qemu (actualmente único software que permite realizar este tipo de técnica) por la cual, podemos llevar en un dispositivo de almacenamiento usb tanto la imagen como el software de virtualización al más estilo "todo en 1".

Este tipo de eventos sirve para concienciar a la gente en este movimiento, que ya a día de hoy es imparable, y para convencer a la gente que piensa del modo "eso es una moda", o "tiene los días contados"..., señores el software libre ha llegado para quedarse.

Más tarde tengo pensado colgaros la presentación, así como un par de post pendientes...





Saludos!

Últimos Congresos y Jornadas relacionados con Informática

Hola,

Hace ya bastante tiempo desde la última vez que escribí por aquí... aunque tengo intención de recuperar el hilo para publicar muchas ideas que tengo en la cabeza.

En este post enumero rápidamente algunos de los últimos congresos/jornadas a los que he asistido:

- Google Developer Day 2008 (25 Sept 2008) Madrid. Google Inc.

Google Developer Day es un evento que se celebra un varias ciudades a lo largo de todo el mundo, y en concreto en Madrid es el 2º año que se realiza. Consta de conferencias técnicas y talleres a manos de los ingenieros de Google y el lugar elegido fue el parque de atracciones de madrid, además este año coincidió con el 5º Aniversario de Google España y a última hora hubo fiesta y tarta de cumpleaños. Yo personalmente lo pasé muy bien y la organización fue excelente, aprovecho para mandar un saludo para Clara e Isabel, sin olvidarme de Chewy ;)

- Encuentro Multidisciplinar sobre Tecnologías de la Información y las Comunicaciones para la Asistencia Social y Sanitaria. Oct 2008. Grupo de domótica y ambientes inteligentes. Dpto Tecnología Informática y Computación. Universidad de Alicante

- V Jornadas para el Desarrollo de Grandes Aplicaciones en Red (JDARE). Grupo de investigación de Redes y Middleware. Dpto. Tecnología Informática y Computación. Oct 2008 Universidad de Alicante

- Asegur@IT IV. Microsoft TechNet, S21Sec, CryptoRed (UPM), Informática64, Debian. 27 Oct 2008.
Evento sobre seguridad informática dirigido a profesionales de IT, celebrado en el Centro de Formación en Tecnologías de la Información y Comunicaciones Madrid-Sur Getafe, (Madrid), la agenda fue muy interesante:

Alfonso Muñoz (UPM): Esteganografía 2.0: Pasado, presente y futuro de la ocultación de las comunicaciones
David Barroso (S21Sec): Botnets 2.0: adquiriendo el control de Internet
Chema Alonso (Informática64): RFD. Descarga de ficheros con Blind SQL Injection
Luciano Bello (Debian). Debian OpenSSL Bug, el cómo, el porqué y las consecuencias
Héctor Sánchez Montenegro (Microsoft) ¿Qué está haciendo Microsoft en Seguridad?

Además tuve la oportunidad de intercambiar algunas palabras con Chema Alonso y Luciano Bello, espero poder volver a asistir a otro de los muchos eventos que organizan y porqué no, colaborar con ellos en un futuro.



.


En el punto de mira:

- III Congreso de Software Libre de la Comunidad Valenciana. Conselleria d’Educació de la Generalitat Valenciana. Palacio de Congresos de Alicante

Los días 5, 6 y 7 de Noviembre se está celebrando en Alicante este congreso de Software Libre que reúne a 1500 asistentes y ponentes de todo el mundo para hablar de algo que hoy día se ha convertido en imprescindible cuando hablamos de informática: El Software Libre.

Tuve la oportunidad de estar ayer y hoy mismo, han habido gran cantidad de charlas y talleres durante todo el día. Mañana se clausurará el evento alrededor de la 13:00 horas.

En el congreso además de presentar la nueva versión de Lliurex (8.09), han venido hasta Alicante personalidades importantes del mundillo como Jon "Maddog" Hall (de Linux Internacional), y que hoy mismo asistí a su conferencia (aunque no es la primera vez que le veía), a los que se suman Marcelo Tosatti (Red Hat) y muchos otros (gente de Sun, Mozilla, OpenOffice, Ubuntu, etc).

También volvió a España Luciano Bello (desarrollador de Debian) con el que pude charlar un rato. Del mismo modo ha habido tiempo para mesas redondas locales, como la de hoy a última hora sobre software libre en las universidades de la comunidad valenciana en la que ha participado el Vicerrector de Tecnología e Innovación Educativa de la UA, y que ha resultado entretenida ya que cada participante ha expuesto qué se está haciendo en cuanto a promoción y uso del software libre en su universidad y se han visto distintos puntos de vista.

Destacar la gran cantidad de conferenciantes (durante tres días, dos de ellos mañana y tarde) con 5 salas más el auditorium, realizandose conferencias y talleres simultaneamente, además de la presencia de empresas con stands en la primera planta.

Simplemente decir que espero no perderme el IV!

- IV Jornadas por el Conocimiento Abierto y Software Libre de la Universidad de Alicante, ya tenemos la vista puesta en estas jornadas que organiza el Vicerrectorado de Tecnología e Innovación Educativa a través del Proyecto COPLA (Conocimiento Abierto y Software Libre en la Universidad de Alicante) donde participaremos como otros años atrás, ya os contaré más. Será el 20 y 21 de noviembre y estais todos invitados.

Enlace: http://copla.ua.es

- Encuentro Interdisciplinar de Domótica. Dpto. Tecnología Informática y Computación, que tendrá lugar los próximos 11 y 12 de diciembre en la Universidad de Alicante

Enlace: http://www.dtic.ua.es/dai/eid/

Por ahora eso es todo.

Se acabaron las vacaciones...

Hola,

Bueno hoy ya es el último día de agosto, y el blog ha estado algo parado... estabamos de vacaciones!

Estos días han pasado muchas cosas, entre las más destacadas y curiosas del mundillo se encuentran:

* Como anunció Rasmus Lerdorf en la charla de Valencia hace unas semanas, el 7/8/2008 se lanzó la última versión de PHP 4 (la 4.4.9). A partir de ahora la rama estable es la 5.2.

* Se celebró el Black Hat USA 2-7 Agosto (en Las Vegas), entre la gran cantidad de charlas destacó Kaminsky hablando sobre vulnerabilidades del protocolo DNS.
* También se celebró la Defcon 16 en las Vegas, y como siempre con su concurso "Capture the Flag", en el que este año el grupo español no ha tenido mucha suerte...
Entre ambas convenciones se han creado una serie de artículos y herramientas muy interesantes, a por ellos!

* Debian cumple 15 años!: El 16 de agosto de 1993 Ian Murdock mandaba un mensaje a la lista de distibución comp.os.linux.development donde anunciaba la disponibilidad de una nueva distribución llamada Debian. Distribución en la que se han basado otras muy conocidas como Knoppix o Ubuntu. Una de sus grandes virtudes, que otros han copiado es su sistema de gestión de paquetes: APT. También se celebró la Debconf 8 en Mar de la Plata, Argentina. El año que viene para la Defcon9 (2009) el lugar elegido es Extremadura: "DebConf9 will take place in Cáceres, Extremadura, Spain." Stay tuned for more details!. Espero que nos veamos por allí.

* El US-CERT avisa sobre un aumento de ataques contra servidores Linux mediante el uso de claves SSH comprometidas. Al parecer todo indica que debido al fallo de debian.

* Comprometidas 8 millones de tarjetas de crédito de Best Western, aunque los datos estaban certificados bajo PCI-DSS (Payment Card Industry Data Security Standard).

* Avances en Cisco IOS Shellcode: Andy Davis publica su "Version-independent IOS shellcode". Uno de los mayores problemas que tenía la explotación en sistemas IOS era la gran cantidad de versiones IOS que existen, cada uno con direcciones diferentes para ejecutar shellcodes útiles... cuidado cisco, Andy lo ha conseguido.
Quiero hacer notar, y este es un claro ejemplo, como cuando una plataforma cobra gran popularidad la gente empieza a interesarse por ella... otro claro ejemplo, y que de ahora en adelante tendremos que tener muy en cuenta, es la plataforma Mac de Apple.

* Al hilo de la frase anterior, macro-actualización de Apple, Security Update 2008-005, fija 17 vulnerabilidades, todos los que usen esta plataforma deberían instalarla. También Apple ha sido criticada por el lanzamiento del parche para DNS: tarde y mal.

* Los servidores de RedHat y Fedora han sido comprometidos. Fedora ha cambiado su clave de firmado de paquetes. En el enlace, hay información del aviso publico por RedHat y un script para saber si estás afectado. El caso ha sido sonado hasta el punto que en OnLamp se preguntan si Fedora está preparado para entornos de producción.

* Publican un listado del "top 10" de software más descargado en Sourceforge y Codeplex.

* Publicado Samba 3.2.1 con mejoras en el soporte de Windows Server 2003/2008

* Kaminsky habla sobre el DNS en Las Vegas, a la par que un físico ruso burla el parche de Kaminsky en 10 horas.

* En medio de todo este lio con los DNS, sale a luz según Wired "El mayor agujero de seguridad de Internet!" (ojo... que eso mismo dijeron con lo del DNS), esta vez dos expertos en seguridad publican un ataque man in the middle en el protocolo BGP (Border Gateway Protocol), Kim Zetter lo explica muy bien en estas dos entradas.

* Desde kriptopolis publican un grave bug en Microsoft Windows Vista, y ya no es que quieran aprovechar cualquier pequeño despiste para poner a parir a los de m$..., o que sea un falló más de vista, sino que han encontrado un fallo de arquitectura mediante el cual cualquier dll cargada mediante .NET se considera segura. Lo que quiere decir que si podemos cargar una dll (desde una página web, sesión o de la manera que se os ocurra) se puede llegar a tener control total sobre la máquina. Según dicen "es una técnica muy sencilla de utilizar y muy flexible" y con dificil solución, ya que es un fallo de arquitectura y no de programación lo que conlleva que el parche tardará en salir... o quizá no salga nunca.

* Fabricante de máquinas de voto admite ahora "error" crítico después de 10 años. Y ahora una viñeta divertida sobre el tema

* La BBC News publicó que varios portátiles llevados a la ISS (International Space Station) por astronautas de la NASA están afectados por Gammima.AG.worm. Al parecer no tienen conexión a la red, por lo que suponen que el gusano subió a bordo por un disco flash usb.

A partir de mañana, vuelta al trabajo, empieza septiembre, todo tipo de promesas y coleccionables por doquier... pero volvemos con ganas!

Saludos!

Resumen Campus Party 2008

Hola,

Aunque ya acabó el domingo, hasta ahora no he encontrado el momento de postear un pequeño resumen y dar mi particular punto de vista sobre este evento tecnológico, para quien no lo conozca decir que es un evento al cual asisten más de 6000 personas y está repleto de actividades: conferencias, talleres, competiciones y mucho más y al que ya he asistido con anterioridad.
En primer lugar, gracias a Héctor por darme una invitación y a mi jefe por darme un par de días para poder pasar por Valencia y disfrutar unos días de la Campus Party.
Llegué ya tarde, puesto que empezaba el lunes día 28, y yo tenía libre jueves y viernes. En principio sólo iba por los talleres de Software Libre, pero nada más llegar había un gran número de conferencias interesantes.
Me perdí algunas cosas interesantes como ver a Tim Berners Lee, considerado el padre de la Web, ya que el y su grupo desarrollaron lenguajes y protocolos que hoy día no podemos dejar de usar: HTML, HTTP, URL, etc
En el área de desarrolladores destacaron conferencia sobre ruby on rails, videojuegos, y de algoritmos para inteligencia artificial.
En el área de Google, asistió gente de Google España (un saludo desde aquí!), y varios ingenieros que trabajan en otros paises para dar conferencias técnicas. Se trataron muchos temas: Android, posibilidades de mapas con Google Earth, API de YouTube, Google Web Toolkit y FriendConnect, iGoogle, Summer of Code, etc, como siempre ... excelente y gente muy maja.
En CampusBlog vino gente de mename, panoramio, tuenti, weblogsl, microsiervos, hipertextual.. y más, para hablar sobre web 2.0 y blogging.

Y por último el área que más me interesa, Software Libre, había varios personajes importantes invitados como Jon Hall, el director ejecutivo de Linux Internacional, o Tony Guntharp, uno de los fundadores de sourceforge, para hablar sobre la incitaiva de abrir este portal que alberga unos 100.000 proyectos alojados y más de un millón de usuarios registrados. Estuvo muy interesante la charla de Rasmus Lerdorf (creador de PHP), sobre optimizaciíon y seguridad en PHP. También se habló sobre seguridad y web 2.0. Así como desde el stand de Telefónica I+D una charla sobre redes seguida de un taller de Wireless que nos entretuvo varias horas...
Sobre las otras áreas no tuve tiempo para poder pasarme, podeis consultar un listado de las actividades, conferencias, talleres, competiciones, etc, en la página oficial para todas las áreas.
Aunque no tuve mucho tiempo y no soy muy dado a participar en competiciones...., le quité alguna hora al sueño para poder participar en una, y me volví para Alicante con 400 € "pa la saca" del 1º premio en el concurso de seguridad del área de Software Libre ¡genial!
Además de aprender, conocer gente muy interesate (junto con saludar a ya conocidos..) y lo divertido que fué no puedo más que etiquetar la experiencia de muy positiva y espero poder pasarme otro año por Valencia.

Un Saludo!

WordPress 2.6 & Wordpress-MU (Multi-User) 2.6 is out!: Llamamiento a la actualización para la rama MU

Wordpress 2.6 'Tyner' (como siempre haciendo referencia a un músico de jazz), fué lanzado el 15 de julio con notables mejoras que hacen de él un CMS aún más potente. Entre ellas destacan la posibilidad de acceder a cualquier versión de un post, realizar comparaciones entre versiones y restaurar alguna si fuera necesario. Muy útil para blogs editados por varios autores.



Han incoportado una novedad "Press This!", y nos da la posibilidad de crear un bookmarklet en nuestro navegador y de esta manera hacer nuestro blogging más cómodo desde cualquier sitio de la web.
Por ejemplo, como dice Matt en el blog, si haces click en "Press This" desde un sitio de YouTube, automáticamente extraerá el código embed del video, o si lo haces desde una página de Flickr hará muy sencillo añadir la imagen en un post.

También existen otras mejoras, como el soporte de Google Gears, la gestión de imágenes, previsualización de temas, versiones más rápidas de TinyMCE, jQuery y jQuery UI.

Otro punto donde han puesto especial atención es la seguridad. Cada vez más Wordpress se está enfocando hacía ser un software más seguro, ejemplos de esto son, la eliminación de los errores de la base de datos en la versión 2.3.2, o la integración de contraseñas salteadas y seguridad en las cookies en la versión 2.5. Esta vez en la versión 2.6 la gran novedad, es la desactivación por defecto de la publicación remota via la variedad de protocolos XML-RPC y Atom Publishing Protocol (aunque se puede activar de manera sencilla), sin duda, minimizar las funciones XML-RPC es un paso para combatir gran cantidad de ataques y evitamos la exposición de un potencial riesgo para la seguridad.
Otro punto destacable es el soporte SSL completo en el núcleo, así como la capacidad de forzar SSL para aplicar seguridad al sitio.

Podeis leer la lista de cambios completa de Wordpress 2.6 en el blog oficial escrito por Matt, así como un video explicando las mejoras.


Ahora, hablaremos sobre Wordpress-MU 2.6 lanzada el 28 de julio. La versión Multi-Usuario basada en Wordpress 2.6, es el motor que usa la red wordpress.com así como muchas otras (incluida esta misma, iniciativa de la Universidad de Alicante).
En primer lugar, decir que no os habeis perdido muchas versiones desde la versión 1.5.1, y es que esta fué la inmediantamente anterior. Han cambiado la numeración de 1.x a 2.x, para evitar la confusión y ajustarla a la de su software base: Wordpress.
Con un gran número de mejoras entre las que destacan mejoras en la lucha contra spammers, nuevas funciones como get_id_from_blogname(), is_main_blog() y más sumadas a las nuevas características ya comentadas para Wordpress 2.6, os dejo la lista completa de cambios, además Donncha (el desarrollador principal de la rama MU), ha tenido el detallazo de citarme en los agradecimientos.
Esta cita se debe, al igual que el título del post al descubrimiento de un fallo grave de seguridad, el cual permite robar las cookies del administrador, y que desvelaré de aquí a un mes. De aquí hasta que se revelen los detalles técnicos todos los administradores que hospeden Wordpress MU (en todas sus versiones, < 2.6) deben actualizar para solucionar el problema a la nueva verisón 2.6.

Nada más descubrir la vulnerabilidad tanto los desarrolladores de Wordpress-MU como los administradores de esta red en la Universidad de Alicante fueron avisados, proporcionandoles un parche para corregirla.

Dentro de un més, publicaré los detalles técnicos, así que hasta entonces..

SourceForge.net Community Choice Awards 2008

Aunque unos días después pero ya estoy aquí de nuevo para cubrir las noticias más relevantes en el mundo del Software Libre, en este caso, le toca a los Premios SourceForge 2008.

Como mejor proyecto salió OpenOffice.org, que además ganó un total de 3 de los 12 galardones, también cabe destacar a phpMyAdmin, Wine, VLC, eMule y más, sin faltar Linux, que se llevó el premio "al software con más opciones de cambiar el mundo".

Aquí os dejo el listado completo de los 12 premios

Como nota, decir que OpenOffice 3 está cerca, y yo ya he estado probando la beta 2 dejandome con un buen sabor de boca, destacando el soporte para Mac OS X Leopard (Intel-Aqua) donde han mejorado muchísimo, (interfaz aqua, soporte copy&paste, arrastrar y soltar, etc), tanto que ya me cuestiono si tiene sentido mantener el proyecto NeoOffice..., que opinais?

Nuevo patrocinador Platinum de la Fundación Apache...

Leo con asombro que Microsoft, se ha convertido en uno de los patrocinadores Platinum de la Fundación Apache, uniendose a Google y Yahoo, que ya lo eran anteriormente.
Extraño paso de esta compañía, que hace poco lanzaba FUDs contra el software libre. La fundación Apache, mantiene muchos proyectos de software libre destacados por su excelente calidad, entre los que se encuentra, su software estrella, el servidor web Apache, competidor del Internet Information Server de MS, y que además, tiene más couta de mercado.

Total, que son 100.000 $ al año que pagan... y ellos pensarán, bah, una miseria y quedamos bien... y qué bien queda el logo en su página!



Además de este paso, Sam Ramji (Director de estrategia para plataformas de Microsoft) ha publicado en su blog que están contribuyendo con Adodb (una capa de acceso a datos usada por muchas aplicaciones libres, con licencia LGPL y BSD), para incoporar un driver nativo de MS SQL Server en PHP.

Que será lo próximo?

Publicados los detalles sobre el caso Kaminsky

Llevaba unos días a ver si encontraba un hueco para poneros al día sobre el "culebrón Kaminsky". Después de todo, se ha desvelado antes de hora (querían que fuera en el Blackhat de Las Vegas), pero se desvelaron los detalles técnicos el 21 de Julio.

Todo empezó cuando el día 8 de Julio el US-CERT sacó a la luz la vulnerabilidad descubierta por Dan Kaminsky sobre DNS, en principio afectaban a una lista de más de 90 fabricantes: Cisco, Microsoft, Sun, Apple, Debian, FreeBSD, Alcatel-Lucent, 3Com, etc y permitía la falsificación de las respuestas DNS y por lo tanto redireccionar tráfico. Desde el día 8 se está produciendo una actualización masiva en cualquier dispositivo que use DNS. Como ya sabeis, cualquier error de seguridad en una aplicación o protocolo puede tener un gran impacto, pero, cuando hablamos de DNS, la gravedad se vuelve exponencial, ya que prácticamente todos los demás protocolos usan DNS para su correcto funcionamiento.

Los detalles técnicos se mantuvieron en secreto, aunque ya se sabía algo y lo comentamos por aquí en la entrada de DNS, Kaminsky fue muy discrito incluso publicó un testeador para saber si nuestros DNS estaban afectados. Y era lógico debido a que incluso uno o dos días después los servidores DNS de ISP como Telefónica estaban afectados, tardaron un par de días en arreglarlo.

El intento de Dan de mantener los detalles en silencio, para dar tiempo a los administradores a actualizar, alguién se le adelantó. Además de la gran cantidad de especulaciones que ha habido y que muchos investigadores se pusieron a estirar del hilo..., el paso definitivo lo dió el director de la compañía Matasano, que era uno de los que conocía todos los detalles. Publicó la información completa en su blog, y luego se arrepintió y lo retiró pero ya era tarde, más tarde se podía encontrar en slashdot y en la caché de Google, esa información corrió como la espuma.

Poco más tarde, empezaron a aparecer los exploits, y aunque la mayoría de fabricantes ya han sacado un parche, es muy peligrosa que esa información ande suelta por Internet, a tan sólo 2 semanas de la publicación del problema.

Como conclusión, (y ahora dejaré los enlaces...), creo que Kaminsky lo hizo muy bien, ya que aun conociendo el fallo desde enero, esperó hasta Julio para que la mayoría de fabricantes tuviera listo el parche, y dejando un mes hasta desvelar la información completa, por el contrario... muy mal por parte de otros que desvelaron los detalles antes de tiempo, lo que hizo que no tardarón en salir programas que aprovechaban el fallo, abajo teneis algunos para Metasploit.

Información:

Noticia en Slashdot, y enlaces a los detalles técnicos

Noticia informando sobre los "DNS exploits in the wild"

Snort signature for DNS servers



Metasploit:
Kaminsky DNS Cache Poisoning Flaw Exploit

Kaminsky DNS Cache Poisoning Flaw Exploit for Domains



Cómo parchear algunos sistemas:

How To Patch BIND9 Against DNS Cache Poisoning On Debian Etch

BIND 9 Vulnerability And Solution - Patch BIND To Avoid Cache Poisoning (Fedora/CentOS)

Otro más: Debian OpenSSH Remote SELinux Privilege Elevation Exploit

Hola,

Ya que saqué el tema comentando el otro día los amores y desamores de Debian y OpenSSL [1] y [2], en este caso os traigo otro bug en el paquete OpenSSH en conjunto con SELinux (Security-Enhanced Linux, proyecto de la NSA de EEUU) en Debian (y según publican posiblemente en otros derivados como Ubuntu, o quizá también Fedora/RHEL). Podeis estar tranquilos si usais la última versión de OpenSSH porque no está afectada.

El problema consiste en que es posible escalar privilegios remotamente, debido a que se puede setear arbitrareamente los roles SELinux cuando OpenSSH está compilado con --with-selinux introduciendolo después de una "/". El parche (diff) que introdujo Debian fue este:

+ authctxt->role = role ? xstrdup(role) : NULL;

La sintaxis de ssh queda de esta manera:

ssh -lusername:[style]/<arbritrary SELinux role> host

Aquí teneis los detalles técnicos

Saludos

Guía de bolsillo de OpenSSL

Hablando de OpenSSL... una nota rápida, para dejaros una guía de bolsillo de Heise Security.
A pocket guide to OpenSSL contiene información actualizada sobre la vulnerabilidad de OpenSSL en Debian, riesgos, herramientas y pasos a seguir para comprobar el impacto en un sistema. (Hace uso del script en perl comentado en la entrada anterior).

Más sobre el caso Debian/OpenSSL

Luciano Bello, desarrollador argentino de Debian y descubridor del fallo del PRNG en el paquete OpenSSL de Debian ha desarrollado un parche para wireshark (antiguo ethereal) gracias al que podemos descifrar las conexiones SSL creadas con versiones vulnerables del paquete.

También ha dejado disponible una versión en español.

Para quien no esté al tanto, el fallo en OpenSSL consistía en que el generador de números aleatorios era predecible, con lo que producía una vulnerabilidad criptografica muy grave. Las claves afectaban iban desde SSH, OpenVPN, DNSSEC, hasta las usadas en los certificados X.509 y conexiones SSL/TLS. Por suerte, las claves generadas con GnuPG o GnuTLS no se vieron afectadas.

Desde este enlace podeis descargar un programa para comprobar si vuestras claves OpenSSH/OpenVPN son lo sufientemente débiles como para tener que reemplazarlas.

Después de este caso de OpenSSL en Debian y el comentado anteriormente sobre implementaciones de DNS, queda patente que tanto en el campo de la seguridad informática como de la criptografía nunca puedes dormirte en los laureles, y siempre tienes que estar mejorando y auditando los sistemas para un correcto funcionamiento.

Y ahora, os dejo con una viñeta graciosa sobre el tema...



La cual me recuerda (exceptuando lo de debian...) a cierto concurso en el salón de actos de la EPS... :P


P.D: podeis leer a Luciano Bello también desde Planeta Debian en español

Multitud de implementaciones de DNS vulnerables a ataques de envenenamiento de caché

Hola,

Al parecer se ha armado un gran revuelo a lo largo de Internet debido a que se ha hecho pública la noticia de que múltiples implementaciones de DNS son vulnerables a ataques conocidos como "Cache poisoning". El servicio DNS es el responsable de convertir los nombres de dominios utilizados comunmente a direcciones IP, es un servicio básico usado a diario para el cotidiano funcionamiento de Internet (navegación web, correo, etc).

En el aviso que ha publicado el US CERT se listas más de 90 vendedores comprometidos.
Poco a poco, van lanzando parches para cada sistema concreto, por ejemplo debian, cisco, red hat, etc

Aunque se le atribuye el descubrimiento a Dan Kaminsky, y no por quitarle mérito ya que fue él junto con un gran grupo de vendedores los que han estado trabajando desde principios de años para parchear el problema, anteriormente, ya se habían dado avisos sobre este problema, por ejemplo D J Bernstein, cuando desarolló djbdns ya se dió cuenta del problema, del mismo modo Ian Green tamibén presento información relacionada hace 3 años.

Es un fallo de diseño en la implementación del protocolo DNS y se habla de la mayor actualización sobre seguridad en la historia de Internet. En los detalles técnicos sale a la luz la razón de todo el problema: la posible predicción de los IDs y puertos usados para las transacciones (ambos de 16 bits), estos datos deberían ser de mayor tamaño además de generarse de manera aleatoria.

Los parches consisten en corregir esta característica para que estos datos se eligan de manera aleatoria, los sistemas que los usan no son vulnerables.

Y es que DNS no fué un protocolo pensado en la seguridad... una solución sería DNSSEC, al igual que el protocolo SMTP se creó del mismo modo y más tarde surgieron las extensiones (ESMTP). Sobre si DNS es seguro, DNSSEC y la viabilidad de implantación se habló en el blog de administración de redes.

El propio Dan, dará más detalles en el Black Hat en agosto, y hasta entonces se espera una rápida labor por parte de los administradores para parcherar los sistemas. Por el momento Dan Kaminsky ha publicado una herramienta que permite conocer si nuestros servidores de DNS son vulnerables (normalmente los de nuestro proveedor, ISP), en "DNS CHECKER" en la parte derecha podemos comprobarlo haciendo click sobre el botón "Check my DNS", así del mismo modo sabremos cuando está parcheado.

Ahora entiendo porque salió publicada hace unos días una noticia citando que habían conseguido redirigir los DNS de la ICANN, organismo que gestiona las direcciones IP a nivel mundial, y aún no se sabía como habían conseguido hacerlo, salió en varios medios, entre ellos meneame y The Inquirer

Otros medios lo señalan, como elmundo.es pero de manera sensacionalista y poco informada.

En hispasec.com también se hacen eco, y dan detalles técnicos en castellano.

Para una información de primera mano recomiendo leer los detalles técnicos publicados por el aviso del US CERT (US Computer Emergency Readiness Team) y del SANS Internet Storm Center

Esperamos una pronta solución coordinada para este problema a nivel global.

Cifrar particiones y datos en OpenBSD

Todos los sistemas operativos modernos disponen de soporte kernel-space para cifrado de datos: Linux (cryptoloop para 2.4, dm-crypt en 2.6, loop-aes 2.4/2.6), FreeBSD (GEOM_BDE, o a partir de 6.0 el nuevo GEOM_ELI), Mac OS X (FileVault), etc, aunque últimamente se han popularizado sistemas user-space por su facilidad como TrueCrypt, algunos siendo además multiplataforma.
Sobre algunos de ellos me gustaría hablar aquí, en concreto sobre loop-aes y GEOM_ELI, pero llevo queriendo hablar de estos temas desde que abrí el blog, así que tiempo al tiempo.

Hoy el tema que nos ocupa es el cifrado de datos en OpenBSD, esta sistema operativo de tipo Unix está basado en BSD4.4 y es descendiente directo de NetBSD, pero con un enfoque especial hacia la seguridad y criptografía.
Actualmente la última versión disponible es la versión 4.3 y su slogan "Free, Functional & Secure" destaca sus mayores virtudes: libre, funcional y seguro. Está liberada bajo licenia BSD, al igual que sus hermanas (FreeBSD, NetBSD...).

Para poder usar este soporte de cifrado no es necesario recompilar el kernel (a diferencia de FreeBSD por ejemplo) y se puede hacer de manera muy sencilla.

Podemos realizar el proceso de dos maneras diferentes, creando una partición del disco duro y cifrandola, o bien creando un fichero y usandolo como una partición virtual, gracias a vnconfig el cual nos permite configurar dispositivos para swapping y pseudo sistemas de ficheros.

En esta pequeña guía voy a utilizar la segunda aproximación por ser más sencilla para alguién que empieza y no tener que tocar el disco físicamente, de esta manera cualquier problema será mucho menos doloroso.

Empezamos, en primer lugar vamos a crear un fichero con contenido aleatorio del tamaño que queramos para nuestra partición cifrada, en este ejemplo voy a poner 100 MB. Crearemos el fichero con este comando:

dd if=/dev/prandom of=/path/to/file bs=1048576 count=100

El parámetro count indica el número de MB que tendrá la partición, el parametro of indica el path y fichero de destino.

Vereis algo similar a esto:


# dd if=/dev/prandom of=/path/to/file bs=1048576 count=100
100+0 records in
100+0 records out
104857600 bytes transferred in 73.364 secs (1429262 bytes/sec)


Bien, ya tenemos el primer paso hecho, ahora vamos a crear el dispositivo especial, más concretamente, lo que vamos a hacer es asociar el dispositivo vnodo encriptado al fichero recién creado, esto lo haremos así:


/usr/sbin/vnconfig -ck -v svnd0 /path/to/file


Nos pedirá la clave de cifrado,


Encryption key:
svnd0: 104857600 bytes on /path/to/file


Cuidado: Debereis teclear la clave conscientemente puesto que sólo la pedirá una vez, si no estais seguros deberéis repetir el proceso, podeis usar svnd1 en adelante, si os indica que svnd0 está ocupado, al igual si creais más de una partición virtual, tendreis que usar distintos dispositivos.

Cuando escribais la clave vereis el mensaje de arriba svnd0: 104857600 bytes on /path/to/file

Una vez linkado el dispositivo cifrado al fichero, pasamos a darle un formato válido para OpenBSD:

# newfs /dev/rsvnd0c
/dev/rsvnd0c: 204800 sectors in 2048 cylinders of 1 tracks, 100 sectors
100.0MB in 2 cyl groups (1568 c/g, 76.56MB/g, 9856 i/g)
super-block backups (for fsck -b #) at:
32, 156832,
#

Nota para usuarios avanzados: Antes de realizar el newfs comprobar que el sistema no se encuentra en securelevel 2, lo podeis hacer mediante:
# sysctl -a|grep kern.securelevel
Si está en ese nivel tendreis que bajar al menos a securelevel 1, de otra manera el sistema no os dejará.
Este aviso es para usuarios que vean un inquietante Operation not permitted siendo root, en ese caso debereis ir a /etc/rc.securelevel y bajar el valor de la etiqueta securelevel a 1, seguido de un reboot.


Seguimos, ya tenemos un formato válido, sólo queda montarlo:

mount /dev/svnd0d /punto/de/montaje

Con df podemos comprobar que se ha montado correctamente, por ejemplo lo podemos montar en /mnt y veremos algo similar a:


# df -h|egrep "Size|svnd"
Filesystem Size Used Avail Capacity Mounted on
/dev/svnd0c 97.5M 2.0K 92.6M 0% /mnt


Ya tenemos nuestros datos cifrados, vnconfig usa el cipher Blowfish antes de escribir en el disco, para más información podeis acceder a la página man de vnconfig: man vnconfig.




Ahora una pequeña chuleta:

Para montar la partición cifrada:

/usr/sbin/vnconfig -ck -v svnd0 /path/to/encrypted/file
mount /dev/svnd0d /punto/montaje


Para desmontarla:

umount /punto/montaje
vnconfig -u -v /dev/svnd0d


Para analiazar la partición:

/usr/sbin/vnconfig -ck -v svnd0 /path/to/encrypted/file
fsck /dev/svnd0c


Error "vnconfig: VNDIOCSET: Device busy"

Si ponemos mal el password, al usar el comando vnconfig, cuando montemos la partición veremos un error como este:

mount_ffs: /dev/svnd0c on /mnt: Invalid argument


Al volver a realizar un vnconfig, veremos


# /usr/sbin/vnconfig -ck -v svnd0 /data/datos/cru
Encryption key:
vnconfig: VNDIOCSET: Device busy


Para solucionarlo tendremos que limpiar ese dispositivo:


# vnconfig -u -v vnd0
vnd0: cleared


Y ya podremos volver a usar vnconfig, otra opción es usar otro dispositivo por ej: svnd1 y svnd1c

Eso es todo amigos.

Parcheada grave vulnerabilidad de seguridad en Mac OS X Leopard < 10.5.4

La actualización que lanzó Apple  ayer de Leopard 10.5.4, 30 de junio de 2008, corrige una grave vulnerabilidad en ARDAgent que permite escalada de privilegios a root de manera sencilla.

La situación se complica al conocer que existe un troyano circulando por ahí llamado AppleScript-THT.

El problema viene debido a un binario setuidado que no realiza las comprobaciones oportunas, se puede hacer una prueba de concepto ejecutando desde un terminal (Aplicaciones -> Utilidades -> Terminal):

osascript -e 'tell app "ARDAgent" to do shell script "id"';

lo que en un sistema comprometido devuelve:

uid=0(root) gid=0(wheel) ...

cuando debería devolver el usuario con el que entramos en la cuenta. Para parchearlo es necesario instalar la acualización a Leopard 10.5.4, aunque mientras Apple se dormía sacando el parche una solución casera era quitarle el bit setuid al binario implicado de esta manera (perdón, tendría que haberlo publicado antes :p):

osascript -e 'tell app "ARDAgent" to do shell script "chmod 755 /System/Library/CoreServices/RemoteManagement/ARDAgent.app/Contents/MacOS/ARDAgent"'

(lo más gracioso es que utilizamos la propia vulnerabilidad para parcherarla, también valdría hacer un chmod 755 como root o mediante sudo a /System/Library/CoreServices/RemoteManagement/ARDAgent.app/Contents/MacOS/ARDAgent )

Una vez parchead, para saber que estamos protegidos deberemos volver a ejecutar el comando,

osascript -e 'tell app "ARDAgent" to do shell script "id"';

y no deberemos ver root por ningún sitio, sino nuestro usuario.

Lo peor de todo esto, el tiempo que ha tardado Apple en dar una respuesta oficial, mientras la solución pasaba por realizar el chmod manualmente para desactivar el bit setuid al binario.

Para mí una de las mayores desventajas de las empresas que desarrollan software propietario, el tiempo hasta una respuesta oficial en forma de parche ante incidencias de seguridad críticas como esta, todas son iguales.

Más información: en el blog del washingtonpost a cargo de Brian Krebs, Security Fix.

Este parche se uno a una serie de correciones de otros fallos de seguridad, en este enlace podeis echarle un ojo al informe de la actualización 10.5.4

Firefox 3 Disponible & Download Day 2008

Desde este instante se puede descargar, al fin, la versión final de Firefox 3.

La nueva versión de nuestro navegador web favorito de código abierto, competirá con las últimas versiones de los navegadores actuales: Opera 9.5, Safari 3.1, Internet Explorer 8.0.

Después de 8 versiones alfa, 6 betas y alguna que otra RC llegó el esperado momento, la fecha del lanzamiento se fijó el 17 de Junio, a las 10:00 (San Francisco). A las 19:00 horas en España, hora en la que todos los sitios de Mozilla Fundation (spreadfirefox.com, difundefirefox.com, mozilla.com, mozilla.org, mozilla-europe.org) estaban congestionados hasta el punto que en algunos momentos han dejado de ofrecer servicio.


Trae nuevas mejoras principalmente enfocadas a la seguridad, el rendimiento y menor consumo de memoria. Así como la incorporación de nuevas funcionalidades y empaquetado con Gecko 1.9

Las reviews y benchmarks de las versiones RC situaban muy bien a Firefox frente a sus competidores más directos (Safari, Opera, IE), y parece que han resuelto uno de los problemas de los que se quejaban los usuarios: el uso de memoria. Aqui os dejo el enlace a un test de velocidad de los últimos navegadores web en el que se evalúa la Release Candidate 3 de Firefox 3.

Coincidiendo con el lanzamiento se organiza el "Download Day 2008" con el objetivo de batir el récord Guinness de software más descargado en 24h.

Han creado un mapa coloreado indicando la cantidad de gente comprometida a descargar el software en esas 24h de cada pais, ya son más de 1'7 millones, de España más de 70.000.

Incluso 1 hora después la web principal sigue colapsada pero se puede descargar Firefox 3.0 desde estos mirrors, os dejo un par donde están los instaladores para varias plataformas:

ftp://mozilla.isc.org/pub/mozilla.org/firefox/releases/3.0/
http://pv-mirror02.mozilla.org/pub/mozilla.org/firefox/releases/3.0/

ACTUALIZACIÓN 20:26: Ya está completamente funcional el sitio de descarga de Firefox 3 en Europa, descarga ya Firefox 3: http://www.mozilla-europe.org/es/firefox/

Yo ya os escribo desde Firefox 3, qué esperas para descargarlo?

ACTUALIZACIÓN 6 Julio: RECORD GUINESS CONSEGUIDO!!

Ya es oficial, han conseguido el record Guiness por el software más descargado en 24 horas, más de 8 millones de descargas, en concreto 8,002,530 personas descargaron Firefox 3.

A día de hoy lleva más de 30 millones de descargas, en concreto cerca de 32 millones y España contribuye casi con 1 millón de ellas (unas 824k y pico), os deja el mapa des descargas por paises aquí, de todas manerasos dejo el enlace a la versión actualizada del mapa.

"

Instalar Java y Tomcat en GNU/Linux CentOS junto con Plesk

Hoy voy a contaros como levantar un tomcat 5 sobre la máquina virtual Java de Sun 6 update 6 (o 1.6), partiendo de una instalación limpia de CentOS 5 y Plesk 8.4.0, que es como os podriais encontrar un servidor dedicado justo después de su contratación. Si no teneis plesk instalado de igual manera podeis seguir los pasos hasta que comienza la configuración de Plesk para tener un sistema con Java y Tomcat totalmente funcional.

Comenzaremos por instalar Java, me moveré a /opt y descargaré todos los ficheros allí,

[root@maquina opt]# cd /opt


Un requisito antes de instalar la JDK es instalar jpackage, si usas CentOS 5 no tienes más que escribir:

[root@maquina opt]# yum install jpackage-utils


Si usa CentOS 4, tendrás que decargar jpackage-utils manualmente en:

http://mirrors.dotsrc.org/jpackage/1.7/generic/free/RPMS/

e instalarlo con:

[root@maquina opt]# wget http://mirrors.dotsrc.org/jpackage/1.7/generic/free/RPMS/jpackage-utils-1.7.5-1jpp.noarch.rpm

[root@maquina opt]# rpm -Uvh jpackage-utils-1.7.5-1jpp.noarch.rpm

Ahora vamos a instalar la JDK de Sun en su versión 6 Update 6.

Nos dirigimos a http://java.sun.com/javase/downloads/index.jsp y descargamos el auto-extraible con RPM (RPM self-extracting file), eligiendo la arquitectura (IA64 para Titanium, i586 para los demás).

El nombre del fichero es: jdk-6u6-linux-i586.rpm.bin

Escribimos:

[root@maquina opt]# chmod +x jdk-6u6-linux-i586.rpm.bin

[root@maquina opt]# ./jdk-6u6-linux-i586.rpm.bin

Acepte el acuerdo de licencia, y procedemos a descargar el fichero http://mirrors.dotsrc.org/jpackage/1.7/generic/non-free/RPMS/java-1.6.0-sun-compat-1.6.0.06-1jpp.i586.rpm

[root@maquina opt] wget http://mirrors.dotsrc.org/jpackage/1.7/generic/non-free/RPMS/
java-1.6.0-sun-compat-1.6.0.06-1jpp.i586.rpm

Instalamos ambos RPMs:

[root@maquina opt]# rpm -Uvh java-1.6.0-sun.compat-1.6.0.06-1jpp.i586.rpm

[root@maquina opt]# rpm -Uvh ./jdk-6u6-linux-i586.rpm

Nota: -U denota upgrade, y cualquier otra versión anterior del paquete se desistala, las demás opciones son de verbose.

Sólo queda configurar el sistema alternatives para que use la JDK:

[root@maquina opt]# alternatives --config java

There are 2 programs which provide 'java'.

Selection Command
-----------------------------------------------
+ 1 /usr/lib/jvm/jre-1.4.2-gcj/bin/java
* 2 /usr/lib/jvm/jre-1.6.0-sun/bin/java

Enter to keep the current selection[+], or type selection number: 2

Eligimos 2, para usar la máquina virtual de Sun.

Ahora tecleamos "java -version" y deberíamos ver:


[root@maquina opt]# java -version
java version "1.6.0_06"
Java(TM) SE Runtime Environment (build 1.6.0_06-b02)
Java HotSpot(TM) Client VM (build 10.0-b22, mixed mode, sharing)


Ya tenemos Java instalado en el servidor!

Una vez superado este paso, procedemos a instalar tomcat5 de manera cómoda


[root@maquina opt]# yum install tomcat5 tomcat5-webapps tomcat5-admin-webapps

Este comando descargará e instalará los paquetes necesarios. Podemos ver los ficheros que ha instalado el sistema para cada paquete con el comando

[root@maquina ~]# rpm -ql tomcat5
/etc/logrotate.d/tomcat5
/etc/rc.d/init.d/tomcat5
/etc/sysconfig/tomcat5
/etc/tomcat5
/etc/tomcat5/Catalina
/etc/tomcat5/Catalina/localhost
/etc/tomcat5/catalina.policy
/etc/tomcat5/catalina.properties
/etc/tomcat5/context.xml

..

similar al dpkg -L de Debian.

Iniciamos tomcat para comprobar que arranca correctamente

[root@maquina ~]# service tomcat5 start

Y bien, accediendo a http://IP:8080 del servidor o bien http://localhost:8080 si estamos en la máquina local deberemos ver la página de bienvenida de tomcat.

Si tenemos problemas podemos comprobar el fichero de log, por defecto situado en /var/log/tomcat5/catalina.out

Ya tenemos listo tomcat 5 sobre Sun JDK 6

Si no tienes un panel Plesk la siguiente sección no te interesa.

Componente tomcat en Plesk

El paquete Plesk es una solución comercial de hosting web automatizado. Originalmente nació en la compañía Plesk Inc, hasta que en 2003 pasó a ser un producto de SWSoft debido a su compra. Hoy día es distribuido por Parallels Inc. (sí los de Parallels Desktop for Mac), desde que Parallels y SWSoft se unieron en Enero de 2008. Trabajaremos con la última versión 8.4.0 que lanzaron el 7 de Mayo de 2008.

Nuestra licencia de Plesk tiene que soportar el componente para tomcat, quizá ya viene instalado y nos ahorramos estos pasos, de todas formas explicamos como instalarlo en caso de que esto no ocurriera, incluso de activar el componente en la licencia.

Necesitamos dos paquetes, los podemos bajar de siguiente url: http://autoinstall.plesk.com/PSA_8.4.0/dist-rpm-CentOS-5-i386/opt/java/

Para otras versiones de Plesk anteriores, indicar el directorio adecuado.

Descargamos los dos RPMs, por ejemplo con wget, tanto mod_jk como psa-tomcat-configurator, el primero es requisito del segundo por lo tanto instalamos ambos en orden.


[root@maquina opt]# wget http://autoinstall.plesk.com/PSA_8.4.0/dist-rpm-CentOS-5-i386/opt/java/
mod_jk-ap20-1.2.15-42psa.cos5.build84080425.19.i586.rpm
[root@maquina opt]# wget http://autoinstall.plesk.com/PSA_8.4.0/dist-rpm-CentOS-5-i386/opt/java/
psa-tomcat-configurator-8.4.0-cos5.build84080425.19.noarch.rpm
[root@maquina opt]# rpm -Uvh mod_jk-ap20-1.2.15-42psa.cos5.build84080425.19.i586.rpm
Preparing... ########################################### [100%]
1:mod_jk-ap20 ########################################### [100%]
[root@maquina opt]# rpm -aq|grep mod_jk
mod_jk-ap20-1.2.15-42psa.cos5.build84080425.19
[root@maquina opt]# rpm -Uvh psa-tomcat-configurator-8.4.0-cos5.build84080425.19.noarch.rpm
Preparing... ########################################### [100%]
1:psa-tomcat-configurator########################################### [100%]
Trying to start MySQL server... Trying to establish test connection... connected
done
Checking for the system groups and users necessary for Tomcat...
Checking for the group 'tomcat'...
Group 'tomcat' already exists

Checking for the user 'tomcat'...
User 'tomcat' already exists

Trying to comment CATALINA_BASE variable in the /etc/sysconfig/tomcat5... done
Trying to find JAVA_HOME variable in the /usr/share/tomcat5/conf/tomcat5.conf...
JAVA_HOME variable is already in the /usr/share/tomcat5/conf/tomcat5.conf and has correct value (/usr/lib/jvm/java)
Trying to replace TOMCAT_USER variable in the /usr/share/tomcat5/conf/tomcat5.conf... done
Making chown and chmod under JDK stuff
Trying to set up Tomcat permissions... done

Veremos toda esta salida configurando los componentes, entre estas líneas destaca:

JAVA_HOME variable is already in the /usr/share/tomcat5/conf/tomcat5.conf and has correct value (/usr/lib/jvm/java)

Como se puede ver, el componente coge la configuración de tomcat5, la JVM está en /usr/lib/jvm, veamos:

[root@maquina opt]# ls -l /usr/lib/jvm/java
lrwxrwxrwx 1 root root 26 Jun 7 19:14 /usr/lib/jvm/java -> /etc/alternatives/java_sdk
[root@maquina opt]# ls -l /etc/alternatives/java_sdk
lrwxrwxrwx 1 root root 27 Jun 7 19:17 /etc/alternatives/java_sdk -> /usr/lib/jvm/java-1.6.0-sun


Correcto, es la Sun JDK 1.6 que acabamos de instalar.

Reiniciamos Plesk:

[root@maquina opt]# service psa restart

Ahora podeis cambiar la configuración de tomcat para adaptarla a vuestras necesidades, como consejo de optimización podeis linkar el tomcat con apache, para que sea este último el que sirva contenido en Internet.

Si accedemos a Plesk, en Servidor -> Sistema -> Inf. componentes, podremos ver:

psa-tomcat-configurator8.4.0-cos5.build84080425.19

tomcat5.5.23-0jpp.3.0.3.el5_1

que antes no teníamos.

Si el componente está soportado por nuestra licencia, podremos ir a Servidor -> Administración de servicios, y veremos a tomcat como un servicio más, el cual podemos activar/desactivar.

Y desde cada dominio, veremos un nuevo icono Servicios -> Tomcat que permite a los clientes subir aplicaciones Java al servidor en formato .war y publicarlas en Internet.

Si nuestra licencia no soporta este componente, veremos la función tomcat desactivada y sin posibilidad de activarla con un mensaje similar a "Esta función no está soportada por la licencia", por lo que tendremos que pagar por ella, normalmente las empresas de dedicados se hacen cargo, el coste es unos 5 €/mes, también podemos comprarla nosotros mismos y activarla desde Servidor -> Administración de licencias.

Una vez comprada la licencia, ya sea mediante un tercero o nosotros mismos, iremos a Servidor -> Administración de licencias -> Obtener licencias compradas y se nos actualizará los datos para nuestra llave de licencia, con esto se activara la función tomcat en Plesk.

Otra opción es configurar tomcat a mano y que los clientes suban las aplicaciones Java por ftp o SSH.

Con esto ya dejamos listo nuestro sistema Java/Tomcat en CentOS y Plesk.

Actualizando a PHP 5.2.5 en RHEL y CentOS

Uno de los posts que tenía por publicar hace tiempo es cómo actualizar a PHP 5.2.5 en las distribuciones GNU/Linux Red Hat Enterprise Linux (RHEL) y su fork Community ENTerprise Operating System (CentOS).



Doy dos buenas razones para actualizar a PHP 5.2.5:

1) Por un lado la seguridad: Aunque no de forma tan exagerada como la versión 5.2 (que corregía muchos bugs del "Month of PHP Bugs"), la versión 5.2.3 corrige uno importante, el bug del HTTP_RAW_POST_DATA. Algunas aplicaciones como Wordpress MU parchean el fallo por código de forma independiente, pero muy pocas lo hacen. Así que es una buena razón para actualizar y más si nuestros servidores ofrencen servicios en Internet donde cualquiera puede consumirlos.

2) Soporte JSON (JavaScript Object Notation): PHP 5.2 es la primera versión de PHP que tiene soporte nativo para JSON, formato ligero de intercambio de datos usado como alternativa a XML en AJAX . Hasta ahora todo el que trabajaba con esta notación tenía que usar librerías externas (pear, zend framework, etc). Hoy día PHP dispone en su core de las funciones json_encode/json_decode las cuales permiten codificar/decodificar representaciones JSON a variables PHP y es posible trabajar con ellas sin instalar ningún paquete o librería extra, por lo tanto muy cómodo.

Además la nueva versión de PHP ofrece mejoras en la seguridad, más de 60 correciones de errores así como la actualización del paquete PCRE a la versión 7.3.

Debido a que oficialmente CentOS no ha introducido en sus repositorios está versión, os dejo el enlace donde un blogger ha montado su propio repositorio para añadir directamente a yum.
También nos ofrece la posibilidad de compilar nosotros mismos el paquete, descargando el rpm fuente y compilandolo nosotros mismos, que es el método que he usado para actualizar.

Paquetes e instrucciones de cómo actualizar a PHP 5.2.5 en RHEL y CentOS

Plan Avanza y Red Social Universitaria

Hola!,

Hace mucho que no escribo por aquí, y no precisamente porque me haya quedado sin temas de los que hablar. Tengo en el tintero varios post que publicar. A pesar de esto, el blog en la última actualización de PageRank, subió a PR4.

Primero, un repaso a estos últimos meses y la situación actual:

En primer lugar, decir que estoy a falta de la entrega del proyecto de fin de carrera para conseguir el título de Ingeniero Informático. Después de la grata experiencia comenzando con la implantación del sistema de monitorización libre nagios (GPL) en la Escuela Politécnica Superior de la Universidad de Alicante y desarrollando plugins para esta plataforma, en esta ocasión el proyecto trata sobre "Monitorización de servicios de Internet basado en sistemas embebidos" por el Dpto de Tecnología Informática y Computación, y es uno de los temas sobre los que quiero hablar por aqui: sistemas embebidos, Xport, y más, pronto colgaré un post con fotos del Xport y algunas notas de introducción sobre especificaciones técnicas y demás.

Por otro lado, a principios de Marzo dejé de trabajar con la beca que tenía en el Centro de Proceso de Datos de la Universidad de Alicante (Servicio de Informática) debido a que me contrataron (sí, contrato, no de becario jeje :p) para trabajar en el proyecto del Plan Avanza financiado por el Ministerio de Industria, Turismo y Comercio concedido a la Universidad de Alicante, en concreto al Grupo de Investigación Tecnología de la Imagen (GTI) dentro del Dpto de Física, Ingeniería de Sistemas y Teoría de la señal, al cual actualmente pertenezco.

El pasado jueves día 24 de abril, estuve dando una charla como responsable técnico del proyecto en el programa "Sistemas y Servicios de Telecomunicación: Jueves con Empresas", concretamente en el aulario II, para hablar sobre la tecnología que usamos y los proyectos en los que estamos trabajando.

El objetivo es crear una Red Social Universitaria de Ocio, Cultura y Tecnología accesible a toda la comunidad universitaria española. Quiero hacer notar que a pesar de que está siendo desarrollado en la Universidad de Alicante, el ámbito es nacional, y engloba a todas las universidades públicas y privadas españolas.

Ahora mismo nos encontramos en fase de desarrollo, y espero contaros más sobre el proyecto y los aspectos técnicos, así como también publicar pronto los posts que tengo en mente ahora mismo sobre varios temas.

Un Saludo

Rendimiento de los navegadores actuales: Safari vs Firefox

Según indicó Philip Schiller, vicepresidente de Marketing de Apple el nuevo navegador web Safari 3.1 promete “rapidez y fiabilidad, ejecutando JavaScript seis veces más rápido que IE7 y cargando páginas casi en la mitad de tiempo que Firefox 2”, pero, es cierto?

El problema viene ya que los datos han sido obtenidos de un software de benchmark del año 2003: Ibench 5.0, por lo que no parece que sea el adecuado para evaluar los navegadores modernos.

Desde ZDNet han usado SunSpider JavaScript para comprobar si esto es cierto y es tán rápido como dicen. Éste es el resultado:





El test ACID3 comprueba el cumplimiento con los estándares web definidos por el W3C, y a pesar que ninguno pasa la totalidad de las pruebas Opera junto las últimas versiones de Safari y Firefox son los que más se acercan.

En general tanto en rendimiento como en cumplimiento de estándares Safari 3.1 y Firefox 3 son los mejores, y se puede ver como otros tendrán que mejorar si quieren competir contra estos. Una imagen dice más que mil palabras:

De vuelta del Congreso Online Marketing España 2008

Este post debería haberlo publicado el jueves noche, que es precisamente cuando volví del Online Marketing España. El Congreso & Feria para Marketing Digital y Publicidad en Internet celebrado en el Palacio Municipal de Congresos de Madrid el pasado 12 y 13 de Marzo, este año en su 4ª edición.



Sobre los expositores, decir que estaban presentes compañías como Double Click, Nielsen, TradeDuobler, Vodafone y muchos más hasta completar 80.

Sobre los ponentes, fueron más de 60, y los temas estuvieron relacionados con Marketing Online, buscadores, SEO, SEM, posicionamineto, redes sociales, blogs y web 2.0.

Os dejo los enlaces del programa del congreso:

Descargar progamación del congreso, día 12.03.2008 (PDF)
Descargar progamación del congreso, día 13.03.2008 (PDF)
Descargar progamación de los seminarios (PDF)

El proyecto Android-ES publica un wiki de documentación en español

Android es la primera plataforma completa, abierta y libre para dispositivos móviles, de la mano de The Open Handset Alliance, una agrupación de más de 30 compañías tecnológicas, entre las que destaca Google.

El proyecto Android-ES publica una aplicación colaborativa basada en la tecnología wiki, con el objetivo de dar cabida a la comunidad de desarrolladores de la plataforma Android de habla hispana. Esta reciente iniciativa pretende albergar traducciones de la documentación oficial de Google así como manuales y howtos sobre cualquier tema relacionado con la plataforma.

Enlaces

Suscribete al grupo Android-ES
Accede al wiki del proyecto Android-ES

Si teneis problemas con el grupo o el wiki podeis contactar conmigo mediante este blog o en admin <at> android-es.org

Talleres GNU/Linux módulo IES San Vicente en la Universidad de Alicante

Desde GULA (Grupo de Usuarios de Linux de Alicante) y gracias a la colaboración de COPLA (Coneixement Obert i Programari Lliure a la Universitat d'Alacant) hemos preparado unos talleres para alumnos del módulo en Administración de Sistemas Informáticos del IES San Vicente sobre GNU/Linux.

El primero de ellos está orientado a mantenimiento y administración del sistema donde se trararán temas como sistemas de ficheros, X Window System, monitorización de procesos, configuración de red, módulos del kernel, sistema de paquetería, sistema de arranque (runlevels), etc.

Ambos tendrán una parte práctica, en este caso se aplicará el uso de comandos para administración, se realizará la configuración de adaptadores de red y de las X mediante la edición del fichero xorg.conf.

La segunda está más enfocada a seguridad en red sobre GNU/Linux: networking, iptables, monitorización de red, IDS, estudio de logs del sistema, securización de servicios, análisis forense, etc.

En cuanto a la parte práctica, se trabajará con ejemplos de filtrado con iptables usando una distribución empaquetada por el GrupoM la cual incluye una aplicación que permite configurar una topología de red virtual de manera automática virtualizando máquinas con UML (User-Mode-Linux) y se pondrán en uso comandos de evaluación de red como nmap, ping/sing, etc




Saludos

Sun anuncia la compra de Innotek después de adquirir MySQL

Sun Microsystems después de la adquisición de MySQL, el gestor de bases de datos de libre más popular a lo largo del mundo, se rasca el bolsillo esta vez con Innotek, de la cual ya hemos hablado por aqui: 1 y 2, y es la empresa creadora de la solución de virtualización libre VirtualBox.

La idea que tiene Sun con esta jugada es extender su plataforma xVM hacia el escritorio y fortalecer el liderazgo en el mercado de la virtualización.

Y es que VirtualBox con más de 4 millones de descargas desde enero de 2007 le viene de perlas a Sun para complementar el reciente lanzamiento de su producto Sun xVM Server, en portatiles y máquinas de escritorio.

Enlaces

VirtualBox

OpenXVM

Meme: ¿Cuánto Software Privativo usas en tu Debian o derivado?

Me hago eco de un interesante meme visto en el Planet de debian sobre cuánto software usamos que no es Libre en nuestra Debian o derivado.

Instala el paquete vrms y simplemente ejecuta el comando vrms:

6 non-free packages, 0.5% of 1191 installed packages.

Via Planet debian

Grave fallo en el núcleo Linux afecta a versiones entre 2.6.17 y 2.6.24.1: Solución

Ha salido a la luz un bug en el kernel Linux que afecta a versiones entre la 2.6.17 y 2.6.24.1. En concreto afecta a la syscall vmsplice y permite a usuarios no autorizados leer y escribir en posiciones de memoria arbitrarias haciendo posible una escala de privilegios local a root.

Las distribuciones más importantes en sus versiones del kernel por defecto están afectadas: Ubuntu Gutsy 7.10, Fedora 8, OpenSuse 7.3, Debian, etc

En securityfocus han archivado el advisory de seguridad, podeis leerlo en Linux Kernel Multiple Prior to 2.6.24.1 Multiple Memory Access Vulnerabilities. Incluye información para solucionar el problema, además de código para saber si tu kernel está afectado.

SOLUCIÓN

Existe un parche para desactivar vmsplice en vivo (en el aire) y de esta manera el parche no funcionará, ya que busca la dirección de sys_vmsplice (via /proc/kallsyms) y reemplaza el primer byte con una instrucción RET (mediante mmap a /dev/kmem), lo podeis encontrar aquí:

http://www.ping.uio.no/~mortehu/disable-vmsplice-if-exploitable.c

Pero la solución realmente pasa por actualizar a 2.6.24.1.

ACTUALIZACIÓN 01:00 AM: Al parecer el kernel 2.6.24.1 sólo corrige parcialmente el fallo.

Según indican en la lkml existe una variante que aún afecta a esta versión y explican cómo solucionar completamente esta fallo.

He adaptado estas instrucciones para crear un parche que funcione en la versión 2.6.24.1 y corrige totalmente el fallo del vmsplice, está probado y funciona perfectamente:

--- a/fs/splice.c 2008-02-08 20:55:30.000000000 +0100
+++ b/fs/splice.c 2008-02-11 22:00:53.000000000 +0100
@@ -1242,6 +1242,12 @@
if (unlikely(!base))
break;

+ /* CVE-2008-0009, CVE-2008-0010 fix */
+ if(!access_ok(VERIFY_READ, base, len)) {
+ error = -EFAULT;
+ break;
+ }
+
/*
* Get this base offset and number of pages, then map
* in the user pages.

Lo podeis descargar desde aqui.

Para aplicarlo simplemente:

penelope:/usr/src/linux# patch -p1 <../patch-vmsplice-2.6.24.1.diff
patching file fs/splice.c

Sólo queda recompilar el kernel e instalarlo.

ACTUALIZACIÓN 10:00 AM: kernel.org ha lanzado la versión oficial 2.6.24.2 que corrige totalmente el fallo de igual manera.

De todos modos el bug ya estaba corregido en versiones git, y no afectaba a kernels securizados con grsecurity, pax o selinux.

Podeis encontrarlo en kernel.org

Este es un ejemplo de la rapidez con la que responde el software libre ante problemas de seguridad, algo impensable en el modelo de software privativo en el cúal normalmente se demora demasiado el lanzamiento de parches o soluciones ante incidencias de seguridad críticas, algo inaceptable.

Podeis encontrar información sobre la incidencia y parches no oficiales para los kernels por defecto de Debian:

http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=464953

En la rama oficial no estoy seguro si ya se ha incluido el parche ya que yo uso un núcleo personalizado.

Ya se ha producido la actualización de los núcleos de debian, teneis más información en el informe detallado junto con los paquetes deb.

ACTUALIZACIÓN: aep nos cuenta en los comentarios que existe un módulo para el kernel que soluciona el fallo en el aire, para los servidores que no hayan podido reiniciarse aún.

En la nueva versión 2.6.24.1 y 2.6.24.2 sigue funcionando el parche de bootsplash 3.1.6 presentado anteriormente en este blog.

Feliz upgrade!

Este post fue barrapunteado: post original