Archivo de la etiqueta: seguridad

MAC OSX siempre da mucho de que hablar Actualizaciones de seguridad de Java para Apple Mac OS X

Apple ha lanzado nuevas actualizaciones de seguridad de Java para su sistema operativo Mac OS X versiones 10.5 y 10.6 que solventan un gran número de vulnerabilidades que podrían ser aprovechadas con diversos efectos.
Esta es la séptima actualización de Java para Mac OS X 10.5 (Java para Mac OS X 10.5 Update 7) y la segunda para MAC OS X 10.6 (Java para Mac OS X 10.6 Update 2). Se han corregido un gran número de problemas en Java, que podrían llegar a permitir a un atacante evitar restricciones de seguridad, obtener información sensible, provocar denegaciones de servicio o comprometer los sistemas afectados.
Las actualizaciones pueden ser instaladas a través de la funcionalidad de actualización (Software Update) de Mac OS X o, según versión y plataforma, descargándolas directamente desde: http://support.apple.com/downloads/

Más información:

About the security content of Java for Mac OS X 10.6 Update 2

http://support.apple.com/kb/HT4171

About the security content of Java for Mac OS X 10.5 Update 7

http://support.apple.com/kb/HT4170

Anuncios

Actualizaciones de seguridad para Debian Linux

Debian ha publicado actualizaciones de seguridad para paquetes de sus distribuciones estable “lenny” e inestable “sid”. A continuación detallamos los paquetes afectados y errores corregidos en cada uno de ellos.
  
* phpMyAdmin:
Corrige tres fallos correspondientes a los CVE-2008-7251, CVE-2008-7252 y CVE-2009-4605.
El primero es un fallo en “libraries/File.class.php” al efectuar una asignación incorrecta de permisos. Cuando crea un directorio temporal permite que pueda ser manipulado por cualquier usuario. Esto podría ser usado por un atacante local para efectuar una escalada de privilegios.
El segundo fallo y relacionado con el primero es debido a la predecibilidad de los nombres de archivos temporales creados por “libraries/File.class.php”.
El tercero y último se encuentra en el script de configuración “scripts/setup.php”. Dicho script permite un uso inseguro de la función “unserialize” sobre los parámetros “configuration” y “v[0]”. Esto podría ser aprovechado por un atacante remoto para causar ataques de cross-site request forgery.
 
* apache2:
Corrige dos fallos correspondientes a los CVE-2010-0408 y CVE-2010-0434.
El primero es un fallo al procesar una peticiones mal formadas en el módulo “mod_proxy_ajp”, concretamente en la función “ap_proxy_ajp_request” del archivo “modules/proxy/mod_proxy_ajp.c”. Un atacante remoto podría aprovechar este problema para causar un ataque de denegación de servicio a través de peticiones HTTP especialmente manipuladas.
El segundo y último reside en la función “ap_read_request” del archivo “server/protocol.c” y podría permitir a un atacante remoto obtener información sensible o causar una denegación de servicio debido a un error en el tratamiento de las cabeceras HTTP en ciertos módulos.
 
* jasper:
Corrige un fallo correspondiente al CVE-2007-2721 y un error de regresión introducido anteriormente al parchear una vulnerabilidad correspondiente al CVE-2008-3521.
El error se encuentra en la función “jpc_qcx_getcompparms” del archivo “jpc/jpc_cs.c”. Dicho error podría permitir a un atacante remoto causar una denegación de servicio o corromper el heap a través de un archivo de imagen especialmente manipulado.
 
* kdm:
Corrige un fallo correspondiente al CVE-2010-0436.
Existe un error de condición de carrera en KDM durante la creación de un socket de control en el inicio de sesión de usuario. Esto podría permitir a un atacante local autenticado elevar privilegios a través de la creación de archivos especialmente manipulados. Se recomienda actualizar a través de las herramientas automáticas apt-get.
 
Más información:
DSA-2034-1 phpmyadmin — several vulnerabilities
 
DSA-2035-1 apache2 — multiple issues
 
DSA-2036-1 jasper — programming error
DSA-2037-1 kdm (kdebase) — race condition

Oracle publica una nueva actualización de seguridad para Java

Fuera de ciclo y en poco más de 15 días tras liberar una actualización múltiple de seguridad para Java, Oracle se ha visto obligada a lanzar una nueva actualización de seguridad para corregir dos vulnerabilidades que podrían permitir a un atacante remoto ejecutar código arbitrario.
El 10 de abril contábamos en “una-al-día” el fallo descubierto, de manera independiente, por los investigadores Tavis Ormandy y Ruben Santamarta en la herramienta de despliegue “Java Deployment Toolkit”; además de la vulnerabilidad que permite inyectar una dll a través de Java Web Start, descubierta por Santamarta.
La respuesta de Oracle no se ha hecho esperar y la actualización 20 ya está disponible para su descarga. En total corrige las dos vulnerabilidades, con CVE-2010-0886 y CVE-2010-0887, e incluye además tres correcciones de bugs, dos de ellas, en los mismos componentes afectados.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/4192/comentar

Más información
Java SE 6 Update Release Notes
http://java.sun.com/javase/6/webnotes/6u20.html

Actualización de seguridad para Adobe Reader y Acrobat

Tal y como anunciamos anteriormente Adobe ha publicado una actualización para corregir 15 vulnerabilidades en Adobe Reader y Acrobat en diferentes plataformas, que podrían permitir a un atacante tomar el control de los sistemas afectados. Las versiones afectadas son Adobe Reader 9.3.1 (y anteriores) para Windows, Macintosh y UNIX; Adobe Acrobat 9.3.1 (y anteriores) para Windows y Macintosh; y Adobe Reader 8.2.1 (y anteriores) y Adobe Acrobat 8.2.1 (y anteriores) para Windows y Macintosh. Las vulnerabilidades anunciadas son de diversa índole, desde cross-site scripting, varios problemas de denegación de servicio, de corrupción de memoria y de desbordamiento de búfer. Adobe recomienda a los usuarios de Reader y Acrobat la actualizaciones a las versiones recientemente publicadas empleando la opción de actualización automática de los productos o bien descargándolas desde la propia web de Adobe: http://www.adobe.com/downloads/
Opina sobre esta noticia:
Más información: Security update available for Adobe Reader and Acrobat

0-day: Inyección arbitraria de parámetros a través de Java Deployment Toolkit

Tavis Ormandy, reputado investigador y empleado de Google, ha publicado un aviso de seguridad en la lista de Full Disclosure donde describe un método para inyectar parámetros arbitrarios a través de Java Deployment Toolkit. Se trata de un 0-day que podría permitir a un atacante remoto ejecutar una aplicación java arbitraria, desde una ubicación controlada por el atacante y sin más restricciones que las aplicadas a una aplicación java lanzada por el propio usuario.
Java Deployment Toolkit provee de un objeto Javascript que facilita a los desarrolladores Java el despliegue de aplicaciones abstrayendo las particularidades de cada navegador y versión del JRE instalado por el usuario. El Java Deployment Toolkit viene incorporado y se instala por defecto en el JRE a partir de la actualización 10 de la versión 6. Para Internet Explorer es un objeto ActiveX a invocar y para los navegadores que lo soporten es un plugin de arquitectura NPAPI asociado a un tipo MIME (en realidad hay dos versiones del tipo MIME asociado, ya que se actualizó la denominación haciéndolo más descriptivo). Una vez cargado, el objeto Javascript “deployJava” ofrece una serie de métodos que, como ya se ha comentado, facilitan al desarrollador el despliegue de aplicaciones en el cliente.
Entre estos, Ormandy descubrió que el método “launch” no valida correctamente la URL pasada como parámetro. Dicho parámetro debería contener una cadena con una URL hacia un archivo .jnlp, que contiene información para el despliegue de una aplicación Java Web Start.
Sin embargo, al no ser validada correctamente, se pasa tal cual a “javaws” (básicamente el ejecutable que carga la aplicación Java Web Start). javaws admite entre sus parámetros una opción ‘-J’ para pasar argumentos a la máquina virtual, Ormandy en su prueba de concepto usó el parámetro de la máquina virtual “-jar”, que insta a la misma a ejecutar una aplicación Java empaquetada en un jar.
Ormandy usó una ruta UNC hacia un jar que lanza la calculadora de Windows (el HelloWorld en la explotación de vulnerabilidades).
Se da la circunstancia de que el investigador español Ruben Santamarta tenía conocimiento del 0-day semanas antes de la publicación por parte de Ormandy. Santamarta incluso llegó más lejos descubriendo adicionalmente dos parámetros de línea de comandos no documentados que soportan los ejecutables “java.exe” y “javaws.exe”, máquina virtual y Java Web Start respectivamente, y que permiten la inyección de una dll remota. En este momento Oracle, la ahora propietaria de toda la tecnología de Sun tras su compra, no se ha pronunciado de manera oficial y no existen recomendaciones del fabricante.
Ambos investigadores ofrecen indicaciones para mitigar las vulnerabilidades en sus respectivos avisos.
Opina sobre esta noticia:
Más información Java Deployment Toolkit Performs Insufficient Validation of Parameters
[0DAY] JAVA Web Start Arbitrary command-line injection – “-XXaltjvm” arbitrary dll loading http://www.reversemode.com/index.php?option=com_content&task=view&id=67&Itemid=1
Java™ Rich Internet Applications Deployment Advice http://java.sun.com/javase/6/docs/technotes/guides/jweb/deployment_advice.html

Oracle publico 47 parches de seguridad el martes

Siguiendo con el calendario trimestral de publicación de actualizaciones de seguridad, Oracle publicará el próximo martes 13 de abril un grupo de parches que corrigen un total de 47 vulnerabilidades.
Se trata así de un día crítico para muchos administradores ya que coincide con la publicación de 11 boletines de seguridad de Microsoft. En esta ocasión cabe reseñar la inclusión del sistema operativo Solaris, el cual, tras la compra de Sun por parte de Oracle pasa a integrarse dentro del calendario de publicaciones trimestrales.
A continuación ofrecemos una relación de productos y número de vulnerabilidades corregidas.
Siete parches afectan a Oracle Database. Ninguna de las vulnerabilidades podrían ser explotadas por un atacante remoto sin autenticar. Los componentes afectados son: Change Data Capture, Core RDBMS, JavaVM, Oracle XDB, RDBMS Security y XML DB.
Cinco parches afectan a Oracle Fusion Middleware. Todas las vulnerabilidades podrían ser explotadas por un atacante remoto sin autenticar. Los componentes afectados son: Oracle Internet Directory y Portal.
Un parche afecta a Oracle Collaboration Suite. La vulnerabilidad podría ser explotada por un atacante remoto sin autenticar. El componente afectado es el interfaz de usuario.
Ocho parches afectan a Oracle E-Bussines Suite y Aplicaciones. Seis de las vulnerabilidades podrían ser explotadas por un atacante remoto sin autenticar. Los componentes afectados son: E-Bussines Intelligence, Agile Engineering Data Management, Application Object Library, HRMS, iStore, Transportation Management, Workflow Cartridge.
Cuatro parches afectan a Oracle PeopleSoft Enterprise y JD Edwards EnterpriseOne. Dos de las vulnerabilidades podrían ser explotadas por un atacante remoto sin autenticar. Todas afectan al componente PeopleTools.
Seis parches afectan a Oracle Industry Suite. Todas las vulnerabilidades podrían ser explotadas por un atacante remoto sin autenticar. Los componentes afectados son: Communications Unified Inventory Management, Clinical Remote Data Capture Option, Thesaurus Management System, Retail Markdown Optimization, Retail Place In-Season y Retail Plan In-Season.
16 parches afectan a la suite de productos Oracle Solaris. Ocho de las vulnerabilidades podrían ser explotadas por un atacante remoto sin autenticar. Los componentes afectados son: Solaris, Sun Cluster, Sun Convergence, Sun Java System Access Manager, Sun Java System Communications Express, Sun Java System Directory Server, Sun Management Center y Sun Ray Server Software.
Opina sobre esta noticia:
Más información: Oracle Critical Patch Update Pre-Release Announcement – April 2010

Microsoft publicará 11 boletines el próximo martes

En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan 11 boletines de seguridad. Afectan a toda la gama del operativo Windows, Office y Exchange. Pueden contener un número indeterminado de vulnerabilidades, aunque está programado corregir 25 vulnerabilidades (cinco de ellas reportadas por Hispasec) entre todos los boletines. Hace más de un año que no se publicaban actualizaciones para Exchange.
Si en marzo se publicaron solo dos boletines de seguridad dentro del ciclo habitual, más un tercerdo de emergencia dedicado a Internet Explorer que fue emitido poco después,, este mes Microsoft prevé publicar 11 el próximo 13 de abril. Se confirma la tendencia que últimamente sigue Microsoft, en la que un mes se publican entre dos y cuatro boletines y al siguiente ciclo suelen dispararse a más de diez. Se consideran críticos cinco de ellos.
Adicionalmente, y como viene siendo habitual, Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool. Además, se publicarán actualizaciones de alta prioridad no relacionadas con la seguridad.
Parece que por fin se corregirá un fallo en SMB que permite provocar una denegación de servicio en el sistema, y que reconoció el 13 de noviembre de 2009.
Los parches anunciados están sujetos a cambios, por tanto, no se garantiza que no se produzcan cambios de última hora.
Hispasec Sistemas publicará puntualmente a través de este boletín información detallada sobre los nuevos parches.
Opina sobre esta noticia:
Más información: Microsoft Security Bulletin Advance Notification for April 2010