03-2016 Corregidas dos vulnerabilidades graves en Git Se han detectado dos vulnerabilidades que posibilitan la ejecución de código remoto y que afectan a todas las versiones de Git, tanto cliente como servidor, anteriores a la versión 2.7.1. También se ven afectadas las versiones compatibles, como GitHub, Bitbucket o Gitlab. Git es un software de control de versiones diseñado por Linus Torvalds, ha sido creado para la confiabilidad del mantenimiento de versiones de aplicaciones cuando éstas tienen un gran número de archivos de código fuente. En la actualidad proyectos de relevancia usan Git para el mantenimiento de sus versiones, tales como el grupo de programación del núcleo Linux. En este sentido, el primer problema, con CVE-2016-2315, podría permitir a un usuario remoto autenticado enviar un repositorio específicamente manipulado para provocar un desbordamiento de búfer (buffer overflow) y ejecutar código arbitrario en los sistemas afectados. La segunda vulnerabilidad (CVE-2016-2324) permitiría un desbordamiento de entero (integer overflow), por el que un usuario autenticado que envíe o clone un repositorio específicamente manipulado podría ejecutar código arbitrario en los sistemas afectados. Para hacer un push a un repositorio Git remoto es necesario tener permiso de escritura, para lo que en general se requiere de algún tipo de autenticación o autorización. Sin embargo, en servicios tipo Bitbucket o Github en los que se puede crear o clonar un repositorio sin la aprobación del administrador, estos problemas pueden ser mayores ya que cualquiera podría intentar explotar la vulnerabilidad. Hay que señalar que en dichos servicios el problema ya está corregido, pero en otros de similares características (especialmente los auto-hospedados) podrían ser vulnerables. Más información: Remote Code Execution in all git versions (client + server) < 2.7.1: CVE-2016-2324, CVE-2016‑2315 ● https://ma.ttias.be/remote-code-execution-git-versions-client-server-2-7-1-cve-2016-2324-cve-20162315/ Server and client side remote code execution through a buffer overflow in all git versions before 2.7.1 (unpublished ᴄᴠᴇ-2016-2324 and ᴄᴠᴇ‑2016‑2315): ● http://seclists.org/oss-sec/2016/q1/645 ● http://seclists.org/oss-sec/2016/q1/653 Git v2.7.1 Release Notes: ● https://raw.githubusercontent.com/git/git/master/Documentation/RelNotes/2.7.1.txt Git: ● https://git-scm.com/ @vencert VenCERT Oficial Team VenCERT http://www.vencert.gob.ve/ 0800-VenCERT (8362378) - [email protected] 03-2016 Cross-site scripting en productos VMware vRealize VMware ha publicado actualizaciones de seguridad para corregir dos vulnerabilidades en VMware vRealize Automation (vRA) y vRealize Business Advanced y Enterprise (vRB), que podrían permitir realizar ataques de cross-site scripting almacenados. VMware es un software que permite ejecutar diferentes sistemas operativos en un mismo PC de forma virtual. Entre otras aplicaciones, VMware es muy utilizado en seguridad informática por la versatilidad que ofrece. Por ejemplo, se suele utilizar de forma habitual en la investigación del malware, ya que permite ejecutar y analizar especímenes en entornos virtuales controlados. Los problemas afectan a VMware vRealize Automation 6.x anteriores a 6.2.4 (CVE-20152344) y a VMware vRealize Business Advanced y Enterprise 8.x anteriores a 8.2.5 (CVE-20162075). En ambos casos, se trata de una modalidad grave de ataques cross-site scripting y la explotación podría dar lugar al compromiso de la estación de trabajo cliente de usuario vRA o vRB. Los cross-site scripting almacenados o persistentes sin duda resultan la modalidad más peligrosa de estos ataques. Igualmente se producen al no comprobar los datos de entrada en una web, normalmente formularios, con la diferencia de que quedan "grabados". El atacante puede introducir un código JavaScript que quedará almacenado en la base de datos y cuando un usuario legítimo visite la web, se cargará ese código malicioso (en esta ocasión sí se cargará desde la web legítima). Por tanto, se han publicado las siguientes actualizaciones para corregir el problema en todas las versiones afectadas: VMware vRealize Automation 6.2.4: ● https://my.vmware.com/web/vmware/info/slug/i nfrastructure_operations_management/vmware_v realize_automation/6_2 VMware vRealize Business Advanced and Enterprise 8.2.5: ● https://my.vmware.com/web/vmware/info/slug/inf rastructure_operations_management/vmware_v realize_business/8_2 Más información: VMSA-2016-0003 VMware vRealize Automation and vRealize Business Advanced and Enterprise address CrossSite Scripting (XSS) issues: ● @vencert VenCERT Oficial http://www.vmware.com/security/advisories/VMS A-2016-0003.html Team VenCERT http://www.vencert.gob.ve/ 0800-VenCERT (8362378) - [email protected] 03-2016 Parche en Java contiene una vulnerabilidad desde 2013 Un parche para Java liberado en 2013 se ha mostrado ineficaz y la vulnerabilidad puede ser explotada contra computadores de escritorio y servidores que estén usando la última versión de esta tecnología. La vulnerabilidad tiene como código CVE-2013-5838 en la base de datos de Vulnerabilidades y Exposiciones Comunes (CVE), recibiendo una nota de 9,3 en CVSS. Esta puede ser explotada de forma remota y sin autenticación, comprometiendo así la confidencialidad, integridad y la disponibilidad del sistema afectado. Security Explorations, empresa polaca que ha reportado este fallo, comenta que los atacantes pueden explotarla para escapar del sandbox de seguridad de Java. En condiciones normales la Máquina Virtual de Java (JRE) ejecuta el código en su interior, estando debajo de las restricciones de seguridad. En este sentido, la vulnerabilidad ha podido ser explotada con éxito en Java SE 7 Update 97, Java SE 8 Update 74 y Java SE 9 Early Access Build 108. En resumidas cuentas, todas las versiones con soporte están afectadas, y las versiones anteriores de esta tecnología no reciben actualizaciones. La empresa polaca ha informado además que el bug original, descubierto en 2013 y con código CVE2013-5838, estuvo mal diagnosticado, siendo en un principio descrito como un bug que afectaba a los despliegues de Java a nivel de cliente y que podía ser explotada a través de "aplicaciones Java Web Start y applets detrás de un sandbox". A nivel de cliente, la tecnología solo permite la ejecución de applets firmados y otros contenidos que forzosamente requieren de hacer clic sobre ellos para reproducirlos, ofreciendo así restricciones de seguridad para evitar ataques silenciosos automatizados. Para poder explotar esta vulnerabilidad actualmente, los atacantes tendrían que encontrar otro fallo que les permita realizar la derivación en las indicaciones de seguridad o convencer a los usuarios para aprobar la ejecución de alguna applet maliciosa, siendo esta última posibilidad la más probable. Aún se desconoce si Oracle pondrá en marcha una actualización de emergencia de Java para contrarrestar esta vulnerabilidad o si esperará a la próxima actualización trimestral programada para el 19 de abril. Fuente: http://blog.segu-info.com.ar/2016/03/parche-en-java-contiene-una.html @vencert VenCERT Oficial Team VenCERT http://www.vencert.gob.ve/ 0800-VenCERT (8362378) - [email protected] 03-2016 OpenSSL soluciona ocho vulnerabilidades El proyecto OpenSSL ha anunciado la publicación de nuevas versiones de OpenSSL destinadas a corregir ocho vulnerabilidades, dos calificadas de impacto alto, una de gravedad media y otras cinco de importancia baja. El primero y más destacado de los problemas reside en una vulnerabilidad, de gravedad alta, que puede permitir descifrar sesiones TLS mediante el uso de un servidor que soporte SSLv2 y suites de cifrado de categoría EXPORT, basándose en DROWN (Decrypting RSA with Obsolete and Weakened eNcryption). DROWN (con identificador CVE-2016-0800) es una nueva forma de protocolo cruzado Bleichenbacher padding oracle attack, que permite a un atacante descifrar conexiones TLS interceptadas mediante conexiones específicamente creadas a un servidor SSLv2 que use la misma clave privada. Y por último, de gravedad baja, se corrigen vulnerabilidades de denegación de servicio cuando OpenSSL trata claves DSA privadas mal construidas (CVE-2016-0705), una fuga de memoria en búsquedas SRP (CVE-2016-0798), referencia a puntero nulo y corrupción de montículo (heap) en funciones BN_hex2bn y BN_dec2bn (CVE-20160797) y problemas de memoria en funciones BIO_*printf (CVE-2016-0799). En este sentido, OpenSSL ha publicado las versiones 1.0.2g y 1.0.1s disponibles desde: ● http://openssl.org/source/ También se recuerda por parte de OpenSSL que las versiones 1.0.1 acaban su soporte a finales de año y se recomienda estar al tanto de las actualizaciones. Fuente: http://www.cert.gov.py/index.php/noticias/opensslsoluciona-ocho-vulnerabilidades Por otra parte, se solucionaron dos vulnerabilidades, una de gravedad alta y otra moderada (con CVE-2016-0703 y CVE-20160704), que solo afectan a versiones de OpenSSL anteriores a marzo de 2015, momento en el cual el código fue rediseñado para hacer frente a la vulnerabilidad CVE-20150293. Estas vulnerabilidades afectan a OpenSSL versiones 1.0.2, 1.0.1l, 1.0.0q, 0.9.8ze y anteriores. Fueron corregidas en OpenSSL 1.0.2a, 1.0.1m, 1.0.0r y 0.9.8zf. @vencert VenCERT Oficial Team VenCERT http://www.vencert.gob.ve/ 0800-VenCERT (8362378) - [email protected]
© Copyright 2024