Shell Security - Seguridad informática Noticias diarias de seguridad informática, foros, vulnerabilidades, antivirus, documentación, auditorías, consultorías …

Después de varios meses de pruebas, por fin ha salido la versión final de la nueva rama estable del kernel de Linux, la 2.6. Esta nueva versión aporta mayor estabilidad, mejor soporte para nuevas tecnologías (como usb, firewire…), soporte para procesadores de 64 bits.

Así mismo, se ha tenido en cuenta los sistemas integrados y las máquinas grandes, dotando a este kernel de una mayor escabilidad. En cuanto a seguridad uno de los cambios más importantes es el soporte de Linux de los protocolos IPsec, o IP Security [Seguridad IP]: una colección de protocolos para IPv4 (IP "normal") e IPv6 que incorporan seguridad criptográfica a nivel de protocolo de red. La gestión de seguridad a este nivel implica que las aplicaciones no tienen que preocuparse de ello. Es parecido a SSL y demás protocolos de tunneling/seguridad, pero a nivel más bajo. La encriptación en el kernel incluye actualmente variantes de SHA ("algoritmo de hash seguro", o secure hash algorithm), DES ("estándar de encriptación de datos", o data encryption standard), y otros.

En ‘El maravilloso mundo de Linux 2.6′ ( http://www.escomposlinux.org/wwol26/wwol26.html ) también nos comentan algunos elementos de seguridad:

"Uno de los cambios poco publicitados en Linux 2.6 es la abundancia de mejoras centradas en la seguridad. Como avance fundamental, toda la seguridad del kernel (poderes del superusuario en un sistema operativo tipo UNIX) se ha modularizado, de forma que sea uno más de entre los posibles modelos de seguridad disponibles. (Aunque hasta el momento, sólo se dispone del módulo de seguridad estándar, y un ejemplo de cómo desarrollar uno nuevo.) Como parte de este cambio, todas las partes del núcleo están ahora basadas en el modelo de "capacidades", lo que permite un control de accesos más refinado que el antiguo sistema de "superusuario". Casi todos los sistemas Linux seguirán teniendo una cuenta "root" con acceso total, pero esto permite crear un sistema tipo Linux en el que no se dé por sentado su existencia. Otro cambio en la seguridad es que los módulos binarios (drivers de fabricante, por ejemplo) no pueden "sobrecargar" las llamadas del sistema con las suyas propias: la tabla de llamadas del sistema está ahora oculta. Como resultado, se restringe bastante lo que los módulos propietarios pueden hacer en el kernel, y posiblemente se cierren algunos agujeros legales en la licencia GPL. El último cambio con implicaciones de seguridad es que Linux con el nuevo kernel puede ahora usar generadores de números aleatorios en hardware (como los incluidos en algunos procesadores nuevos), en lugar de depender de un reservorio de entropía basado en fluctuaciones aleatorias del hardware, por bueno que haya resultado"

Podeis encontrar el nuevo kernel en el sitio habitual, http://www.kernel.org

Durante las últimas horas varias de las máquinas de la red del proyecto de Debian han sido atacadas con éxito, consiguiendo los atacantes acceso al sistema. Las máquinas afectadas han sido:

. master (Bug Tracking System)
. murphy (mailing lists)
. gluck (web, cvs)
. klecker (security, non-us, web search, www-master)

El servicio de Debian parece estar reestableciendose, aunque security.debian.org no estará disponible hasta haber comprobado los paquetes. Así mismo, se puede acceder al servidor de la distribución.

Algunas fuentes indican que sólo hubo un robo de contraseñas, otras comentan que fue crackeada. Algunas de las medidas preventivas ha sido bloquear las cuentas que no sean imprescindibles. Seguro que la gente de Debian trabajará lo más rápido posible para que todo esté en perfecto orden.

Enlaces relacionados

- Noticia 1: http://luonnotar.infodrom.org/~joey/debian-announce.txt

- Noticia 2: http://www.wiggy.net/debian.xhtml

- Noticia en Barrapunto: http://barrapunto.com/articles/03/11/21/1527220.shtml

Según diversas fuentes (como slashdot y kerneltrap), alguien modificó el código fuente del árbol CVS de kernel.bkbits.net para insertar una puerta trasera en forma de exploit que proporcionaría accesos de root a los atacantes en los sistemas que hubiera sido instalado este kernel modificado.

El fichero modificado fue ‘kernel/exit.c’ de la versión de desarrollo actual, 2.6-test. La instrusión fue detectada a tiempo y ya se encuentran de nuevo correctamente todos los ficheros de esta versión de desarrollo del kernel de Linux.

Afortunadamente fue detectado a tiempo, ya que sino podría haber creado muchos sistemas vulnerables con este kernel, aunque esta en teoría es una versión de prueba y debe ser usada para desarrollo y no para sistemas en producción.

Enlaces relacionados:

http://kerneltrap.org/node/view/1584
http://slashdot.org/articles/03/11/06/058249.shtml?tid=106&tid=185
http://www.ussg.iu.edu/hypermail/linux/kernel/0311.0/0621.html

Para instalar los updates en debian se hace de la siguiente manera:

wget url
la url es el la dirección con el paquete que queremos instalar.

dpkg -i file.deb
El archivo de referencia que queremos instalar.

Despues:

apt-get update
Esto es para hacer un update a la base de datos interna.
apt-get upgrade
Esto es para instalar el paquete correcto.

1) Vulnerabilidad en el xgalaga, la vulnerabilidad es un buffer overflow que se aprovecha localmente.
El Update lo encuentran en:

http://security.debian.org/pool/updates/main/x/xgalaga/

2) Vulnerabilidad en el acm, se aprovecha remotamente por un overflow.
El Update lo encuentran en:

http://security.debian.org/pool/updates/main/a/acm/

3) Vulnerabilidad en el mantis (Vulnerabilidad de permisos incorrectos), permite a un atacante local tener acceso a las claves y leer y escribir sobre la “base de datos”
El Update lo encuentran en:

http://security.debian.org/pool/updates/main/m/mantis/

4) Vulnerabilidades en el kernel-source-2.4.17, kernel-patch-2.4.17-mips las cuales se pueden aprovechar localmente y remotamente.
El Update lo encuentran en:

http://security.debian.org/pool/updates/main/k/kernel-patch-2.4.17-mips/

5) Vulnerabilidad en el imagemagick (Vulnerabilidad de archivos temporarios inseguros) se aprovecha
localmente.

El Update lo encuentran en:

http://security.debian.org/pool/updates/main/i/imagemagick/

Ha aparecido una vulnerabilidad local en el kernel 2.4 de Linux, que permite a un atacante conocer información sensible del sistema.

Esta vulnerabilidad está causada por un error en la llamada al sistema por parte de la función “execve()”.

El bug es sólo explotable de forma local, y en principio no debe suponer un problema crítico de la seguridad del sistema.

La lista de los sistemas operativos a los que en principio afecta son:

SuSE Linux 8.x
SuSE Linux 7.x
Slackware Linux 9.0
Conectiva Linux 8
Conectiva Linux 9
Linux Kernel 2.4.x
Mandrake Linux 8.x
Mandrake Linux 9.x
RedHat Linux 7.1
RedHat Linux 7.2
RedHat Linux 7.3
RedHat Linux 8.0
RedHat Linux 9
Slackware Linux 8.x
Conectiva Linux 7.0

Más información: http://www.secunia.com/advisories/9154/

El gv es un programa para ver documentos PDF y PS, las versiones vulnerables son:

ggv ggv 0.82
ggv ggv 1.0.2
ggv ggv 1.1.96
ggv ggv 1.99.90
GhostView GhostView 1.3
GhostView GhostView 1.4
GhostView GhostView 1.4.1
GhostView GhostView 1.5
gv gv 2.7 b5
gv gv 2.7 b4
gv gv 2.7 b3
gv gv 2.7 b2
gv gv 2.7 b1
gv gv 2.7.6
gv gv 2.9.4
gv gv 3.0 .0
gv gv 3.0.4
gv gv 3.1.4
gv gv 3.1.6
gv gv 3.2.4
gv gv 3.4.2
gv gv 3.4.3
gv gv 3.4.12
gv gv 3.5.2
gv gv 3.5.3
gv gv 3.5.8

El problema existe en sscanf() del gv que es inseguro el cual permite a un atacante agregar codigo para que se ejecute en la maquina cuando se abra el documento con el gv, el cual pone en riesgo la seguridad del sistema.

Para solucionar este problema usted puede hacer lo siguiente:

rpm -e gv-3.5.8-13

Esta seria la solución mas rapida, pero si usted quiere parchear el gv puede ver los parches de cada sistema operativo en:

http://www.securityfocus.org/bid/5808/solution/

Ha salido una nueva vulnerabilidad local en el xterm , las versiones vulnerables son red hat 8.0, 7.2 , 7.1, 7.0, y tambien suse 8.0.
Un atacante puede aprovecharse de esta vulnerabilidad y lograr cerrar las xterm que estan abiertas.

La solución para este problema la puede encontrar en:

http://www.securityfocus.org/bid/6950/solution/

Durante el último mes, se han ido anunciando diversas vulnerabilidades que afectan al kernel de Linux.

Otros de los bugs aparecidos son:

- Obtención de privilegios de administrador “root” utilizando las funcionalidades “ptrace”.

- Ataque de denegación de servicio por colisiones en la estructura HASH de caché de rutas ( más información en http://www.shellsec.net/noticias.php?num=7 )

- Posibilidad de acceso indebido de lectura y escritura a ciertos puertos.

Se recomienda a todos los usuarios de la rama 2.4.x que se actualicen a esta última versión.

Página principal del kernel de Linux: http://www.kernel.org

Página de cambios de esta versión: http://kernel.org/pub/linux/kernel/v2.4/ChangeLog-2.4.21

FTP público del kernel: ftp.kernel.org

Uno de nuestros sistemas gestores de bases de datos favorito contiene unos bugs que pueden ser explotados de forma remota:

- Un atacante podría provocar una denegación de servicio mediante un uso determinado de la memoria dinámica. Para ello debe contar con un nombre de usuario y contraseñas válidas para el sistema para poder acceder al servidor MySQL

- Un usuario con ciertos permisos podría crear un fichero de configuración alterado, que haría que MySQL se ejecutara como root (en lugar del usuario “mysql” mediante el cual suele ejecutarse para que no haya problemas de seguridad).

Se recomienda actualizar a las últimas versiones de MySQL (4.0.12 o 3.23.56)

Ha aparecido una vulnerabilidad en la rama estable actual del kernel de Linux

El problema radica en una mala gestión de la caché de routeado por parte del kernel de Linux. Algunas pruebas han conseguido colgar una máquina Linux con 1 Gb de RAM, con sólo 400 paquetes por segundo spoofeados para tener diferente dirección de red de procedencia. Esto provoca que el kernel de Linux consuma una cantidad desmesurada de CPU, causando inestabilidad y colisiones en la caché que provocan la paralización del sistema.

Aún no se ha actualizado el kernel de la rama estable para poder corregir este problema, pero se plantean dos posibles soluciones temporales a esta vulnerabilidad:

- Filtrar el tráfico mediante el uso de la directiva PREROUTING en lugar de INPUT en el firewall iptables. PREROUTING actúa antes de llegar a la caché.

- Reducir el tamaño de la caché, aunque esta opción podría repercutir en el rendimiento del sistema. Puede ser usada como una solución temporal si se detectan ataques de este tipo. Siempre es mejor funcionar despacio, que no funcionar.