Shell Security - Seguridad informática Noticias diarias de seguridad informática, foros, vulnerabilidades, antivirus, documentación, auditorías, consultorías …

Este popular cliente de IRC (Internet Relay Chat) para sistemas Windows, contiene una vulnerabilidad que afecta a las versiones 6.01 a la 6.1.

Mediante un ataque, se podría conseguir un desbordamiento del búfer en el cliente, debido a que MIRC asume que la cadena de caracteres del servidor no es superior a 110 bytes. Al enviar una cadena mayor, se produciría este buffer overflow.

Más información en http://www.securiteam.com/windowsntfocus/5NP0R2KB5W.html

Jan Hruska, investigador y fundador de Sophos antivirus, cree que mientras haya ordenadores habrá virus que infecten el sistema. Añade que no existe un remedio general sino un antivirus contra cada virus. Estima que al mes se crean unos 1.000 virus para intentar destruir nuevos sistemas operativos.

En la entrevista se habla sobre el sector viral actual, la creación de virus y la propia empresa Sophos. Podeis encontrar la entrevista en http://www.el-mundo.es/navegante/2003/09/19/entrevistas/1063968875.html

El gusano informático, que se esparce a través del correo electrónico y en lugares de intercambio como el IRC, se aprovecha de un error en la programación del Internet Explorer sobre el que Microsoft alertó en marzo de 2001.

Expertos informáticos consultados por CNET News advirtieron de que los riesgos son grandes para los usuarios individuales que estén utilizando versiones antiguas del citado ’software’.

Direcciones relacionadas

Aparición de ‘Swen’: http://www.shellsec.net/noticias.php?num=251

Noticia en ElMundo: http://www.elmundo.es/navegante/2003/09/19/seguridad/1063956028.html

ProFTPd es un servidor de correo muy extendido entre usuarios de sistemas basados en UniX. Ha aparecido una nueva versión que corrige diversos problemas de seguridad, en especial un fallo que permite comprometer al servidor de forma remota en transacciones ASCII. Esto podría llevar a un atacante a manipular el contenido del ftp, eliminar información, etc…

Las versiones afectadas son:

ProFTPD 1.2.7
ProFTPD 1.2.8
ProFTPD 1.2.8rc1
ProFTPD 1.2.8rc2
ProFTPD 1.2.9rc1
ProFTPD 1.2.9rc2

La versión actualizada (y libre de estas vulnerabilidades) es la 1.2.8p.

Por su parte, OpenSSH no había corregido del todo los desbordamientos de búfer aparecidos en las últimas semanas, por lo que se ha lanzado una nueva versión, la 3.7.1p2, la cual esperamos que solucione definitivamente estos problemas de seguridad. Esta última versión (la p2) es necesaria en sistemas que no contengan como OpenBSD, ya que en dicho sistema sí se corregían los fallos con la anterior versión (3.7.1)

Enlaces relacionados

ProFTPd: http://www.proftpd.org

OpenSSH: http://www.openssh.org

Nueva versión de ProFTPd: ftp://ftp.proftpd.org/distrib/source/proftpd-1.2.8p.tar.gz

Nueva versión de OpenSSH: ftp://ftp.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-3.7.1p2.tar.gz

Aviso de seguridad en ProFTPd: http://xforce.iss.net/xforce/alerts/id/154

Finalmente el Parlamento Europeo optó por votar ‘no’ a las patentes de software. Recordamos que en su momento apoyamos las 2 huelgas contra esta ley que nos perjudica a todos (o casi todos). La noticia de prensa emitida por Proinnova el 24 de Septiembre es la siguiente:

"Votación de la propuesta de directiva. Se aceptan las enmiendas que limitan efectivamente la patentabilidad del software. El Parlamento Europeo dice no a las patentes de software en una votación histórica.

Esta mañana ha tenido lugar en sesión plenaria del Parlamento Europeo la votación sobre la propuesta de directiva sobre patentes de software. Se votaron más de 50 enmiendas al texto propuesto por la Comisión Europea. Entre las enmiendas que han aprobado los eurodiputados están las necesarias para definir límites claros a lo patentable en lo que afecta a los programas de ordenador, dejando bien claro que el software no es patentable. La propuesta de directiva así enmendada fue aprobada por más de dos terceras partes del pleno, y muchos de los que no la votaron lo hicieron al parecer por querer límites incluso más claros a la patentabilidad del software.

Con esta decisión el Parlamento Europeo se desmarca claramente de los esfuerzos de la Comisión Europea por introducir las patentes de software en Europa, y envía una clara señal a la Oficina Europea de Patentes (OEP). En caso de que la directiva se aprobase finalmente con el texto votado por el Parlamento Europeo, las más de 20.000 patentes de software que la OEP ha aceptado quedarán aún más claramente fuera del ámbito de lo legalmente definido como patentable en Europa.

El resultado de la votación del Parlamento Europeo puede considerarse como histórico, pues es la primera vez que una coalición amplia (que incluye a partidos de todo el arco parlamentario) vota en contra de la (hasta hoy) permanente extensión del ámbito de las patentes y otras formas de restricción del conocimiento libre y abierto.

La votación no tiene el efecto de terminar el trámite de la propuesta de directiva que aún continuará el proceso de codecisión entre el Parlamento Europeo, el Consejo Europeo y la Comisión Europea, y probablemente volverá a ser votada más adelante en segunda lectura. El próximo trámite por el que pasará tendrá lugar en el Consejo Europeo (compuesto por los gobiernos de los países miembros de la Unión), donde es de esperar que varios gobiernos traten de eliminar las enmiendas introducidas por el Parlamento Europeo, cediendo a las presiones de los grupos que tratan de introducir la patentabilidad en Europa.

ProInnova, igual que otros grupos europeos como EuroLinux o FFII, felicitan a los eurodiputados que han hecho posible este resultado, y se congratulan de que no hayan cedido a los intentos de presentar este asunto como una mera armonización sin mayor importancia política. Como ciudadanos europeos, nos sentimos orgullosos de que nuestros políticos hayan dedicado a este tema la atención que se merece, hayan entendido los problemas que plantea, y hayan votado valientemente la opción más conveniente para la sociedad.

ProInnova también invita a los gobiernos nacionales y a la Comisión Europea a considerar esta votación en profundidad, y a estudiar los problemas que la patentabilidad del software acarrearía a la industria del software y al desarrollo de la sociedad de la información en Europa, como tan bien ha hecho una mayoría de eurodiputados."

La nota de prensa la podeis encontrar en http://proinnova.hispalinux.es/notas-prensa/nota-028.html

En BandaAncha, un usuario:

"Esta mañana me disponia a mirar mis facturas en mi proveedor de ADSL ya.com. El caso es tras fiajrme en la URL y me doy cuenta de que mi numero de factura esta en la misma. Como soy programador web y se como funcionan estas cosas -aunque cualquiera con un minimo de conocimientos de internet lo sabe- me dio por cambiar el numero de la factura de la URL. Casi me caigo de la silla al verlo. Ante mi tenia una factura de otra persona. Completa. Con su numero de cuenta corriente, Telefono, Direccion y NIF/CIF."

Continua en http://bandaancha.st/weblogart.php?artid=2041&umbral=0&modo=2

Swen es un destructivo gusano de propagación masiva a través mensajes de correo con asuntos, contenidos y archivos anexados aleatorios. Alguno de ellos simulan ser enviados por Microsoft y contener parches para sus sistemas operativos.

Se difunde además vía la red Peer to Peer Kazaa, redes con recursos compartidos y el IRC (Internet Chat Relay). Deshabilita antivirus, firewalls y sistemas de control.

Asimismo, este gusano infecta con tan sólo pre-visualizar el mensaje, aprovechando las vulnerabilidades MIME (Multipurpose Internet Mail Extensions) e iFrame de algunas versiones de Microsoft Outlook y Outlook Express que permiten que el archivo anexado sea ejecutado automáticamente, con la opción de Vista Previa.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en Microsoft Visual C++ con una extensión de 104 KB.

Usa su propio servidor SMTP (Simple Mail Transfer Protocol) y se auto-envía a los buzones de correo extraídos de diversas fuentes contenidas en los sistemas infectados, como la Libreta de Direcciones de MS Outlook o las extraídas de otros ficheros.

[ . . . ]

Para propagarse por el IRC (Internet Chat Relay) el gusano sobre-escribe el SCRIPT.INI del software mIRC con su código viral en la carpetas C:\mIRC y C:\Archivos de programa\mIRC e infectará a todos los usuarios que se conecten a una misma sesión.

Para infectar a través de las Redes con recursos compartidos, el gusano se auto-copia en la carpeta de Inicio (Startup) de estas unidades de red.

El parche para tanto el iFRAME exploit y el MIME exploit puede ser descargado de:

http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

El gusano tiene los siguientes payloads:

- Se propaga masivamente a través de su propio Servidor de Correo SMTP, extrayendo direcciones de diversas fuentes del sistema infectado y con una diversidad de formatos de mensajes.
- También usa aleatoriamente algunos servidores SMTP o uno extraído del sistema infectado.
- Algunos de sus mensajes simulan contener actualizaciones o parches correctivos de Microsoft.
- Se difunde además vía la red Kazaa y los canales de Chat.
- Explota las vulnerabilidades MIME e iFrame que permiten infectar los sistemas con tan solo visualizar el mensaje.
- Termina los procesos de los antivirus y software de seguridad, dejando a los sistemas totalmente vulnerables a los virus y a ataques de intrusos.
- Se activa cada vez que se ejecutan archivos con extensiones .BAT, .COM, .EXE, .PIF, .REG, y .SCR
- Bloquea la ejecución del REGEDIT (editor de registros de Windows).
- Se propaga a través de unidades de Red con recursos compartidos.
- Captura la información digitada en un falso formulario y la envía a una dirección de correo, la misma que se encuentra cifrada o a servidores remotos vía HTTP.

Más información en http://www.perantivirus.com/sosvirus/virufamo/swen.htm

Otra actualización para un ‘demonio’ bastante extendido, Sendmail. Esta actualización es necesaria debido a un problema de seguridad que podría permitir a un atacante al acceso al sistema.

La vulnerabilidad se encuentra en la función "prescan()", que podría provocar un desbordamiento de búfer al cargar las reglas de configuración que no vienen por defecto en sendmail. Con las reglas predefinidas en sendmail en la instalación, no debe haber problemas, pero al cambiarlas y añadir nuestras propias reglas, cabe la posibilidad de explotar esta vulnerabilidad.

Ya hay actualizaciones para la mayoría de sistemas operativos y distribuciones. Las versiones afectadas son la 8.12.9 y anteriores, habiendo sido corregido el bug en la versión 8.12.10.

Enlaces relacionados

Parche: http://sendmail.org/parse8.359.2.8.html

Aviso de seguridad de sendmail: http://sendmail.org/8.12.10.html

Más información en Secunia: http://www.secunia.com/advisories/9758/

Hace unos días comentabamos la necesidad de actualizar nuestra versión de OpenSSH a la versión 3.7, ya que habían sido descubiertas varias vulnerabilidades para las versiones anteriores.

Pero la versión 3.7 no corregía todas las vulnerabilidades, tras lo cual ha aparecido la versión 3.7.1, la cual ya parece estar libre de vulnerabilidades conocidas por el momento.

Estas vulnerabilidades se deben a un error en la función "buffer_append_space()".

Más información en http://www.secunia.com/advisories/9743/

Muchas personas y organizaciones estamos protestando contra la propuesta de directiva sobre la patentabilidad del software que se votará en el Parlamento Europeo el 24 de septiembre

Si quieres informarte un poco sobre el problema que representan las patentes de software, echa un vistazo a ¿Por qué las patentes de software son un problema?, al informe Las patentes de software: un problema para Europa, o a esta comparecencia en el Senado español, en el sitio de ProInnova. Si quieres colaborar en esta campaña de cierre temporal de sitios, es fácil, mira la información sobre movilizaciones en la red.