Descargar - VenCERT

03-2016
Corregidas dos vulnerabilidades graves en Git
Se han detectado dos vulnerabilidades que posibilitan la ejecución de código remoto y que afectan a
todas las versiones de Git, tanto cliente como servidor, anteriores a la versión 2.7.1. También se ven
afectadas las versiones compatibles, como GitHub, Bitbucket o Gitlab.
Git es un software de control de versiones diseñado por Linus Torvalds, ha sido creado para la
confiabilidad del mantenimiento de versiones de aplicaciones cuando éstas tienen un gran número de
archivos de código fuente. En la actualidad proyectos de relevancia usan Git para el mantenimiento de
sus versiones, tales como el grupo de programación del núcleo Linux.
En este sentido, el primer problema, con CVE-2016-2315, podría permitir a un usuario remoto autenticado
enviar un repositorio específicamente manipulado para provocar un desbordamiento de búfer (buffer
overflow) y ejecutar código arbitrario en los sistemas afectados.
La segunda vulnerabilidad (CVE-2016-2324) permitiría un desbordamiento de entero (integer overflow),
por el que un usuario autenticado que envíe o clone un repositorio específicamente manipulado podría
ejecutar código arbitrario en los sistemas afectados.
Para hacer un push a un repositorio Git remoto es necesario tener permiso de escritura, para lo que en
general se requiere de algún tipo de autenticación o autorización. Sin embargo, en servicios tipo Bitbucket
o Github en los que se puede crear o clonar un repositorio sin la aprobación del administrador, estos
problemas pueden ser mayores ya que cualquiera podría intentar explotar la vulnerabilidad. Hay que
señalar que en dichos servicios el problema ya está corregido, pero en otros de similares características
(especialmente los auto-hospedados) podrían ser vulnerables.
Más información:
Remote Code Execution in all git versions (client + server) < 2.7.1: CVE-2016-2324, CVE-2016‑2315
●
https://ma.ttias.be/remote-code-execution-git-versions-client-server-2-7-1-cve-2016-2324-cve-20162315/
Server and client side remote code execution through a buffer overflow in all git versions before 2.7.1
(unpublished ᴄᴠᴇ-2016-2324 and ᴄᴠᴇ‑2016‑2315):
●
http://seclists.org/oss-sec/2016/q1/645
●
http://seclists.org/oss-sec/2016/q1/653
Git v2.7.1 Release Notes:
●
https://raw.githubusercontent.com/git/git/master/Documentation/RelNotes/2.7.1.txt
Git:
●
https://git-scm.com/
@vencert
VenCERT Oficial
Team VenCERT
http://www.vencert.gob.ve/
0800-VenCERT (8362378) - [email protected]
03-2016
Cross-site scripting en productos VMware vRealize
VMware ha publicado actualizaciones de
seguridad para corregir dos vulnerabilidades en
VMware vRealize Automation (vRA) y vRealize
Business Advanced y Enterprise (vRB), que
podrían permitir realizar ataques de cross-site
scripting almacenados.
VMware es un software que permite ejecutar
diferentes sistemas operativos en un mismo PC
de forma virtual. Entre otras aplicaciones,
VMware es muy utilizado en seguridad
informática por la versatilidad que ofrece. Por
ejemplo, se suele utilizar de forma habitual en la
investigación del malware, ya que permite
ejecutar y analizar especímenes en entornos
virtuales controlados.
Los problemas afectan a VMware vRealize
Automation 6.x anteriores a 6.2.4 (CVE-20152344) y a VMware vRealize Business Advanced
y Enterprise 8.x anteriores a 8.2.5 (CVE-20162075). En ambos casos, se trata de una
modalidad grave de ataques cross-site scripting
y la explotación podría dar lugar al compromiso
de la estación de trabajo cliente de usuario vRA
o vRB.
Los
cross-site
scripting
almacenados
o
persistentes sin duda resultan la modalidad más
peligrosa de estos ataques. Igualmente
se
producen al no comprobar los datos de entrada en
una web, normalmente formularios, con la
diferencia de que quedan "grabados". El atacante
puede introducir un código JavaScript que quedará
almacenado en la base de datos y cuando un
usuario legítimo visite la web, se cargará ese
código malicioso (en esta ocasión sí se cargará
desde la web legítima).
Por tanto, se han publicado las siguientes
actualizaciones para corregir el problema en todas
las versiones afectadas:
VMware vRealize Automation 6.2.4:
●
https://my.vmware.com/web/vmware/info/slug/i
nfrastructure_operations_management/vmware_v
realize_automation/6_2
VMware vRealize Business Advanced and
Enterprise 8.2.5:
●
https://my.vmware.com/web/vmware/info/slug/inf
rastructure_operations_management/vmware_v
realize_business/8_2
Más información:
VMSA-2016-0003
VMware vRealize Automation and vRealize
Business Advanced and Enterprise address CrossSite Scripting (XSS) issues:
●
@vencert
VenCERT Oficial
http://www.vmware.com/security/advisories/VMS
A-2016-0003.html
Team VenCERT
http://www.vencert.gob.ve/
0800-VenCERT (8362378) - [email protected]
03-2016
Parche en Java contiene una vulnerabilidad desde 2013
Un parche para Java liberado en 2013 se ha mostrado ineficaz y la vulnerabilidad puede ser explotada
contra computadores de escritorio y servidores que estén usando la última versión de esta tecnología.
La vulnerabilidad tiene como código CVE-2013-5838 en la base de datos de Vulnerabilidades y
Exposiciones Comunes (CVE), recibiendo una nota de 9,3 en CVSS. Esta puede ser explotada de forma
remota y sin autenticación, comprometiendo así la confidencialidad, integridad y la disponibilidad del
sistema afectado.
Security Explorations, empresa polaca que ha reportado este fallo, comenta que los atacantes pueden
explotarla para escapar del sandbox de seguridad de Java. En condiciones normales la Máquina Virtual
de Java (JRE) ejecuta el código en su interior, estando debajo de las restricciones de seguridad.
En este sentido, la vulnerabilidad ha podido ser explotada con éxito en Java SE 7 Update 97, Java SE 8
Update 74 y Java SE 9 Early Access Build 108. En resumidas cuentas, todas las versiones con soporte
están afectadas, y las versiones anteriores de esta tecnología no reciben actualizaciones.
La empresa polaca ha informado además que el bug original, descubierto en 2013 y con código CVE2013-5838, estuvo mal diagnosticado, siendo en un principio descrito como un bug que afectaba a los
despliegues de Java a nivel de cliente y que podía ser explotada a través de "aplicaciones Java Web Start
y applets detrás de un sandbox".
A nivel de cliente, la tecnología solo permite la ejecución de applets firmados y otros contenidos que
forzosamente requieren de hacer clic sobre ellos para reproducirlos, ofreciendo así restricciones de
seguridad para evitar ataques silenciosos automatizados.
Para poder explotar esta vulnerabilidad actualmente, los atacantes tendrían que encontrar otro fallo que
les permita realizar la derivación en las indicaciones de seguridad o convencer a los usuarios para aprobar
la ejecución de alguna applet maliciosa, siendo esta última posibilidad la más probable.
Aún se desconoce si Oracle pondrá en marcha una actualización de emergencia de Java para
contrarrestar esta vulnerabilidad o si esperará a la próxima actualización trimestral programada para el 19
de abril.
Fuente:
http://blog.segu-info.com.ar/2016/03/parche-en-java-contiene-una.html
@vencert
VenCERT Oficial
Team VenCERT
http://www.vencert.gob.ve/
0800-VenCERT (8362378) - [email protected]
03-2016
OpenSSL soluciona ocho vulnerabilidades
El proyecto OpenSSL ha anunciado la
publicación de nuevas versiones de OpenSSL
destinadas a corregir ocho vulnerabilidades,
dos calificadas de impacto alto, una de
gravedad media y otras cinco de importancia
baja.
El primero y más destacado de los problemas
reside en una vulnerabilidad, de gravedad alta,
que puede permitir descifrar sesiones TLS
mediante el uso de un servidor que soporte
SSLv2 y suites de cifrado de categoría
EXPORT, basándose en DROWN (Decrypting
RSA with Obsolete and Weakened eNcryption).
DROWN (con identificador CVE-2016-0800) es
una nueva forma de protocolo cruzado
Bleichenbacher padding oracle attack, que
permite a un atacante descifrar conexiones TLS
interceptadas
mediante
conexiones
específicamente creadas a un servidor SSLv2
que use la misma clave privada.
Y por último, de gravedad baja, se corrigen
vulnerabilidades de denegación de servicio cuando
OpenSSL trata claves DSA privadas mal
construidas (CVE-2016-0705), una fuga de memoria
en búsquedas SRP (CVE-2016-0798), referencia a
puntero nulo y corrupción de montículo (heap) en
funciones BN_hex2bn y BN_dec2bn (CVE-20160797) y problemas de memoria en funciones
BIO_*printf (CVE-2016-0799).
En este sentido, OpenSSL ha publicado las
versiones 1.0.2g y 1.0.1s disponibles desde:
●
http://openssl.org/source/
También se recuerda por parte de OpenSSL que las
versiones 1.0.1 acaban su soporte a finales de año
y se recomienda estar al tanto de las
actualizaciones.
Fuente:
http://www.cert.gov.py/index.php/noticias/opensslsoluciona-ocho-vulnerabilidades
Por otra parte, se solucionaron dos
vulnerabilidades, una de gravedad alta y otra
moderada (con CVE-2016-0703 y CVE-20160704), que solo afectan a versiones de
OpenSSL anteriores a marzo de 2015,
momento en el cual el código fue rediseñado
para hacer frente a la vulnerabilidad CVE-20150293. Estas vulnerabilidades afectan a
OpenSSL versiones 1.0.2, 1.0.1l, 1.0.0q,
0.9.8ze y anteriores. Fueron corregidas en
OpenSSL 1.0.2a, 1.0.1m, 1.0.0r y 0.9.8zf.
@vencert
VenCERT Oficial
Team VenCERT
http://www.vencert.gob.ve/
0800-VenCERT (8362378) - [email protected]