Boletines de seguridad para Debian

Debian ha publicado cinco boletines de seguridad que corrigen varias vulnerabilidades en python-django, beep, irssi, libevt y remctl. Estos fallos podrían permitir a un atacante provocar una denegación de servicio, escalar privilegios o ejecutar código arbitrario.

El primer boletín, DSA-4159, corrige un fallo en el paquete 'remctl'. La aplicación cliente-servidor para ejecutar comandos de forma remota utilizando la librería 'Kerberos GSS-API' para la autenticación. En él se corrige un fallo de "uso de memoria tras liberación" que podría ser aprovechado para ejecutar código arbitrario si la aplicación está configurada con la opción de 'sudo'. La vulnerabilidad tiene asignado el CVE-2018-0493.

El siguiente boletín, DSA-4160, corrige un error de validación en el componente 'libevt', una biblioteca que permite acceder al registro de eventos de Windows (EVT). Esto permitiría a un atacante provocar una denegación de servicio o la ejecución de código arbitrario. Esta vulnerabilidad fue etiquetada con CVE-2018-8754.

El siguiente boletín DSA-4161 corrige dos vulnerabilidades, descubiertas por James Davis en el popular framework de desarrollo web Django. Un atacante podría provocar una denegación de servicio manipulando la entrada de la función 'django.utils.html.urlize()' o de los métodos 'chars()' y 'words()' de 'django.utils.text.Truncator'. Estas vulnerabilidades tienen asignados los códigos CVE-2018-7536, CVE-2018-7537.

El siguiente boletín DSA-4162 corrige múltiples vulnerabilidades que afectan al cliente IRC 'irssi'. Diversos errores a la hora de validar algunas entradas, desreferencias a punteros nulos o accesos fuera de los límites de la memoria; podrían permitir a un atacante provocar denegaciones de servicio. 


La última vulnerabilidad corregida en el boletín DSA-4163 permitiría a un atacante local escalar privilegios aprovechando una condición de carrera en el paquete 'beep'. Esta vulnerabilidad se etiquetó con CVE-2018-0492.

Francisco Salido
fsalido@hispasec.com

Más información:

Debian Security Advisory
https://www.debian.org/security/2018/dsa-4163
https://www.debian.org/security/2018/dsa-4162
https://www.debian.org/security/2018/dsa-4161
https://www.debian.org/security/2018/dsa-4160
https://www.debian.org/security/2018/dsa-4159

Ejecución arbitraria de comandos en ShadowSocks

El investigador de seguridad, Niklas Abel, ha descubierto un problema de seguridad en la librería shadowsocks que podría resultar en una ejecución de comandos del shell arbitrarios.

Shadowsocks es una librería que implementa socks5 de forma segura.

El problema reside en el componente ss-manager, el cual no valida adecuadamente la entrada proveniente de usuario, en concreto, peticiones de configuración en formato JSON. Un usuario malintencionado podría ejecutar comandos de forma arbitraria a través de una petición especialmente manipulada.

La vulnerabilidad tiene asignado el CVE-2017-15924. 

El parche del fallo está publicado aquí.

Recomendamos que actualice sus paquetes y/o librerías para solventar esta vulnerabilidad.

Más información:

DSA-4009-1 shadowsocks-libev -- security update

https://www.debian.org/security/2017/dsa-4009

Shadowsocks
https://shadowsocks.org/en/index.html

Actualización del kernel para Debian Linux 8

Debian ha publicado una actualización del kernel 3.16.x, que soluciona cuatro vulnerabilidades en la última distribución estable del sistema operativo (Debian 8, jessie) y que podrían permitir a un atacante llegar a elevar privilegios, causar denegaciones de servicio y otros impactos no descritos. 

El primer problema, con CVE-2016-5696, reside en la implementación Linux de la característica TCP Challenge ACK que resulta en un canal lateral que se puede utilizar para encontrar las conexiones TCP entre direcciones IP específicas, y para inyectar mensajes en esas conexiones.

Esta vulnerabilidad puede permitir a atacantes remotos suplantar a otro usuario conectado al servidor o suplantar al servidor ante un usuario conectado. En caso de que el servicio utilice un protocolo con autenticación de mensajes (por ejemplo, TLS o SSH), esta vulnerabilidad sólo permite la denegación de servicio. Para realizar el ataque son necesarios unas decenas de segundos por lo que las conexiones TCP deberán mantener una duración para ser vulnerables.

Con CVE-2016-6136, un fallo 'double-fetch' o 'TOCTTOU' ("Time of check to time of use") en el subsistema de auditoría por el tratamiento de caracteres especiales en el nombre de un ejecutable. Cuando está activo el registro de auditoría de execve() puede permitir a un usuario local generar falsos mensajes de registro.

Por otra parte, con CVE-2016-6480, otro fallo 'double-fetch' o 'TOCTTOU' en el driver aacraid de las controladoras RAID Adaptec en la validación de mensajes 'FIB' pasados a través de llamadas al sistema ioctl().

Las vulnerabilidades 'TOCTTOU' ("Time Of Check To Time Of Use") se dan cuando se produce un cambio entre el momento en que se realiza una comprobación ("Time of Check") y el momento en que se usa esa comprobación ("Time of Use").

Por último, con CVE-2016-6828, una vulnerabilidad por uso de memoria después de liberarla en la implementación TCP, que puede ser aprovechada por usuarios locales para provocar denegaciones de servicio o elevar privilegios.

Se ha actualizado el kernel a la versión 3.16.36-1+deb8u1, además la nueva versión incluye otros cambios no relacionados con problemas de seguridad.

Se recomienda actualizar a través de las herramientas apt-get.

Más información:

Debian Security Advisory

DSA-3659-1 linux -- security update

https://www.debian.org/security/2016/dsa-3659

https://lists.debian.org/debian-security-announce/2016/msg00238.html

Antonio Ropero

antonior@hispasec.com

Twitter: @aropero

Actualización de seguridad de MySQL 5.5 en Debian Linux

Debian ha publicado una actualización del paquete correspondiente a la base de datosMySQL en la cual corrige múltiples vulnerabilidades y un par de errores de seguridad limitados a Debian.

Entre los fallos corregidos se encuentran vulnerabilidades que podrían causar denegación de servicio y revelación de información sensible a un atacante autenticado (con cuenta en la base de datos) a través de múltiples vectores.

La lista de identificadores CVE: CVE-2013-1861, CVE-2013-2162, CVE-2013-3783, CVE-2013-3793, CVE-2013-3802, CVE-2013-3804, CVE-2013-3809, CVE-2013-3812,CVE-2013-3839 y CVE-2013-5807.

Cabe destacar que dos de las vulnerabilidades no son inherentes a MySQL, sino que son introducidas por un error en el mecanismo de instalación del paquete y otro de regresión al no contener los parches adecuados y anteriormente publicados para la rama 5.1 de MySQL.

El primero de ellos reside en un script de post-instalación que podría verse afectado por una condición de carrera haciendo que el archivo 'etc/mysql/debían.cnf' pueda ser leído por todos los usuarios del sistema al otorgar los permisos de manera erronea. Dicho archivo contiene información sensible tal como las credenciales del usuario "debian-sys-mant".

El otro error es debido, como se ha comentado, a la falta de aplicación de ciertos parches anteriormente publicados en la rama 5.1 de MySQL. Este parche borra la base de datos "test". Cualquier usuario con una cuenta anónima y sin credenciales podía acceder a estas bases de datos. De igual forma, este usuario anónimo podría acceder a cualquier base de datos que comenzase por la cadena "test_".

Además de las vulnerabilidades mencionadas se han corregido errores de programación, mejoras de rendimiento y nuevas características, algunas de ellas, avisan, podrían causar problemas de compatibilidad.

Los paquetes para la versión estable (wheezy) e inestable (sid) se han publicado en los repositorios correspondientes con la salvedad de que los dos problemas específicos de Debian serán corregidos más adelante para la versión inestable.

Durante el proceso de actualización, según Debian, no se modifican las bases de datos existentes ni sus permisos.

Más información:

DSA-2818-1 mysql-5.5 -- several vulnerabilities

http://www.debian.org/security/2013/dsa-2818

David García

dgarcia@hispasec.com

Twitter: @dgn1729

Boletines de seguridad para Debian

Debian ha publicado dos boletines de seguridad que corrigen varias vulnerabilidades en php5 y kfreebsd-9. Estos fallos podrían permitir a un atacante falsificar certificados SSL, revelar información importante y evadir restricciones de seguridad.

El primer boletín, DSA-2742, corrige un fallo en el paquete correspondiente a php5. El popular lenguaje de programación ampliamente usado en aplicaciones web. En el se corrige un fallo al no procesar correctamente el carácter '\0' o NUL en el campo de extensión 'subjectAlrName' de los certificados X.509.

Este error permite a un atacante falsificar un certificado SSL si la aplicación no restringe adecuadamente la Autoridad Certificadora (CA). La vulnerabilidad tiene asignado el CVE-2013-4248

El segundo boletín, DSA-2743, corrige varios fallos de seguridad en kfreebsd-9. Esto no es un simple paquete, kFreeBSD se trata de una distribución Debian pero con el núcleo FreeBSD (de hecho la k delante de FreeBSD significa que usa el kernel exclusivamente). Un interesante proyecto de Debian que, aunque lanzado en 2010, se encuentra en la fase de "technology preview".

En dicho boletín se corrigen 3 vulnerabilidades:

Existe un error de desbordamiento de entero cuando se está calculando el tamaño de un búfer en operaciones IP multicast. Dicho búfer podría ser de un tamaño menor del esperado provocando que se lean páginas de memoria del kernel. Esto podría permitir a un atacante obtener información importante e incluso elevar privilegios en determinadas ocasiones (por ejemplo si pueden leerse contraseñas o hashes almacenados en memoria)

El fallo tiene asignado el CVE-2013-3077 y fue descubierto por Clement Lecigne del equipo de seguridad de Google.

El siguiente error es provocado por un uso incorrecto por parte del kernel de las credenciales que un usuario envía en operaciones con NFS (Network File System). Esto permitiría a un atacante evadir ciertas restricciones y acceder a archivos en recursos compartidos por NFS.

El fallo fue descubierto por Rick Macklem, Christopher Key y Tim Zingelman. Tiene asignado el CVE-2013-4851.

La última vulnerabilidad corregida por el boletín permite leer partes de la memoria del kernel cuando se inicializa la cookie de estado de SCTP. El búfer que se reserva para dicha operación no es inicializa correctamente por lo que ciertos fragmentos de la memoria del kernel se incrustarán en los paquetes respuesta de SCTP. Al igual que la primera vulnerabilidad de este boletín, esto permitiría a un atacante revelar información importante e incluso elevar privilegios si en dichos fragmentos de memoria residen credenciales o hashes de cuentas de usuarios.

La vulnerabilidad fue descubierta por Julian Seward y Michael Tuexen y tiene asignado el CVE-2013-5209.

Más información:

Debian Security Advisory

http://www.debian.org/security/2013/dsa-2743

http://www.debian.org/security/2013/dsa-2742

David García

dgarcia@hispasec.com

Twitter: @dgn1729

Elevación de privilegios en Debian y distribuciones derivadas

Tavis Ormandi, conocido investigador de seguridad del equipo de seguridad de Google, ha publicado en su blog una interesante prueba de concepto sobre un problema de seguridad que afecta a Debian y distribuciones derivadas como Ubuntu.

Desde la publicación de Debian Squeeze en febrero de 2011 los desarrolladores cambiaron el intérprete de comandos por defecto, que era "bash", por "dash" (Debian Almquist Shell) creado por Herbert Xu. Este cambio suponía una mejora en el tamaño, las dependencias y supuestamente, según Debian, mejora la velocidad de ejecución de los shell scripts. Como contrapartida dash perdía ciertas funcionalidades respecto a bash. Tampoco faltaron los problemas de compatibilidad al ejecutar scripts que en principio estaban diseñados para ejecutarse en bash.

Ormandy, observó que dash tiene un comportamiento diferente a bash cuando ha de relajar los permisos con los que corre cuando detecta que está siendo invocada como "sh".

Normalmente, bash invocará la función "disable_priv_mode" si detecta que el "uid" del usuario es distinto del UID efectivo.

La función "disable_priv_mode" está definida de la siguiente forma:

void

disable_priv_mode ()

{

 setuid (current_user.uid);

 setgid (current_user.gid);

 current_user.euid = current_user.uid;

 current_user.egid = current_user.gid;

}

Es decir, a todos los efectos, el UID efectivo será el del usuario (y no uno privilegiado) y el mismo proceso rebajará sus privilegios (mediante la llamada a "setuid" y "setgid") a los del usuario igualmente.

Esto es una efectiva medida para minimizar el riesgo de vulnerabilidades en aquellos ejecutables que tienen el bit "setuid" activado y que por lo tanto adquirirán los privilegios del propietario del archivo cuando se conviertan en un proceso.

Ormandy hace una sencilla prueba de concepto con un ejecutable privilegiado perteneciente a las utilidades de VMware que invoca a "lsb_release" para obtener información del sistema:

cc -xc - -olsb_release<<<'main(){system("sh>`tty` 2>&1");}';PATH=.:$PATH vmware-mount

Este trozo de código compila un ejecutable con nombre "lsb_release" y añade el directorio actual "." a la variable de entorno PATH. Cuando se ejecute el programa de las utilidades de VMware, vmware-mount, este abrirá un proceso con la llamada al sistema "popen" llamando al ejecutable "lsb-release". Como nuestro directorio de trabajo o "." está antes en la variable PATH el ejecutable que utilizará será el código que acabamos de compilar.

Respecto al código del ejecutable este contiene una llamada a "system" donde ejecutamos "sh". En bash este código no supondría una shell con privilegios de root ya que al ejecutar "sh" se rebajarían los privilegios gracias al "privmode", sin embargo, en dash no existe un mecanismo que prevenga esta situación y se nos abrirá una shell con los máximos privilegios.

Curiosamente, según comenta Ormandi, Debian ya desechó el "privmode", que impedía este problema, porque rompía la compatibilidad con UUCP (Unix to Unix CoPy) un programa, prácticamente ya en desuso, para transferir archivos entre sistemas UNIX de manera remota.

VMware ya ha publicado un parche que soluciona esta vulnerabilidad de elevación de privilegios, a la que le ha sido asignado el CVE-2013-1662.

Tavis ha enviado un parche a los desarrolladores de "dash" para agregar el "privmode". Podemos ver la conversación en la lista de oss-security desde aquí

De momento todas las máquinas virtuales Debian (a partir de Squeeze) con el script de VMware mencionado son vulnerables a elevación de privilegios. Aunque no solo se restringe a dicho componente, si existiese un programa en el sistema con la misma funcionalidad y con el bit setuid activado tendríamos el mismo problema y por supuesto no es necesario que sea una máquina virtual.

Más información:

Security Debianisms

http://blog.cmpxchg8b.com/2013/08/security-debianisms.html

David García

dgarcia@hispasec.com

Twitter: @dgn1729

Debian aconseja no confiar en el dominio debian-multimedia.org

El dominio no-oficial de software de terceros "debian-multimedia.org" fue abandonado hace unos meses por sus administradores. Posteriormente, el dominio expiró y fue registrado el día 1 de enero de este año por alguien ajeno a la organización Debian y desconocido por estos.

Anteriormente el dominio era usado para apuntar al repositorio no oficial de software multimedia para Debian. Tras una discusión en la lista de mantenedores de paquetes se llegó a un acuerdo para que no se usara el dominio "debian-multimedia.org" y pasara a usarse el dominio "deb-multimedia.org".

Sin embargo, el dominio anterior podría encontrarse en la lista de fuentes de paquetes (source.list) de muchas distribuciones, sobre todo antiguas. Debido a que las intenciones del nuevo propietario del dominio no se conocen, Debian ha optado por alertar a sus usuarios e insta a borrar la entrada correspondiente en el archivo de fuentes de paquetes.

Un repositorio que se encuentre en el archivo sources.list y no sea controlado por alguien de la organización o reconocido por ellos, como es el caso, es totalmente inseguro ya que se podría utilizar para distribuir malware. Es por esto que Debian recomienda eliminar las ĺíneas concernientes a este repositorio del archivo sources.list.

En primer lugar, para comprobar si se tiene, se podría ejecutar esta orden en el terminal:

grep -i debian-multimedia.org /etc/apt/sources.list 
/etc/apt/sources.list.d/*

Si devuelve algo (debian-multimedia.org), quiere decir que existe un archivo con este repositorio en alguna de sus líneas y debería ser eliminado.

Se recuerda también que no solo la distribución Debian está afectada ya que existen multitud de distribuciones basadas en Debian que aprovechan los mismos repositorios de paquetes e incluso podrían contener la entrada mencionada en el archivo sources.list.

Más información:

Debian - Remove unofficial debian-multimedia.org repository from your sources

http://bits.debian.org/2013/06/remove-debian-multimedia.html

on package duplication between Debian and debian-multimedia

http://lists.alioth.debian.org/pipermail/pkg-multimedia-maintainers/2012-May/026944.html

Software distributions based on Debian

http://www.debian.org/misc/children-distros

David García

dgarcia@hispasec.com

Antonio Sánchez
asanchez@hispasec.com

Debian publica cuatro avisos de seguridad

Debian ha publicado cuatro avisos de seguridad (del DSA-2499 hasta el DSA-2502) que corrigen otros tantos paquetes. Tres de los avisos solucionan varios fallos de seguridad y otro un error de programación. En total se han corregido 13 vulnerabilidades.

DSA-2499: Corrige tres vulnerabilidades en el cliente de correo electrónico "Icedove". Los CVEs asignados son: CVE-2012-1937, CVE-2012-1939, CVE-2012-1940, que solucionan distintos problemas relacionados con la memoria que podrían permitir la ejecución de código arbitrario.

DSA-2500: Con este aviso se han corregido seis fallos de seguridad que afectan al sistema de tracking de errores "Mantis Bug Tracker". Los CVEs de las vulnerabilidades corregidas son: CVE-2012-1118, CVE-2012-1119, CVE-2012-1120, CVE-2012-1122, CVE-2012-1123, CVE-2012-2692. Los errores solucionados están relacionados con la gestión de bugs y con la API SOAP que proporciona este sistema.

DSA-2501: Soluciona tres vulnerabilidades (con CVEs: CVE-2012-0217, CVE-2012-0218 y CVE-2012-2934) del gestor de entornos de virtualización "Xen". Se solucionan distintos fallos en el hypervisor relacionados con la gestión de direcciones en CPUs de 64 bits, con las instrucciones SYSCALL y SYSENTER, y con la detección de CPUs antiguas de AMD.

DSA-2502: Este último boletín soluciona una vulnerabilidad en la biblioteca crypto de Python, cuyo CVE es CVE-2012-2417. El fallo reside en la producción de números primos utilizados por el algoritmo ElGamal para generar una clave. Esto podría facilitar a un atacante obtener la clave privada mediante un ataque de fuerza bruta.

Se recomienda actualizar estos paquetes a través de la herramienta apt-get.

Más información:

DSA-2499-1 icedove:

http://www.debian.org/security/2012/dsa-2499

DSA-2500-1 mantis:

http://www.debian.org/security/2012/dsa-2500

DSA-2501-1 xen:

http://www.debian.org/security/2012/dsa-2501

DSA-2502-1 python-crypto:

http://www.debian.org/security/2012/dsa-2502

Antonio Sánchez

asanchez@hispasec.com

Debian actualiza su paquete Cacti para corregir vulnerabilidades de hace dos años

Debian ha publicado un nuevo paquete de Cacti que corrige cinco vulnerabilidades encontradas en 2010 y 2011.

Cacti es un software especialmente diseñado para crear gráficas de monitorización mediante los datos obtenidos por diferentes herramientas que emplean el estándar RRDtool. Es uno de los sistemas de creación de gráficas más empleado en el mundo de la administración de sistemas y puede encontrarse como parte fundamental de otros programas.

Las vulnerabilidades corregidas con esta actualización son:

• CVE-2010-1644: Corrige múltiples vulnerabilidades de cross site scripting. Un atacante remoto podría inyectar código arbitrario a través de los parámetros "hostname" y "description" pasados al fichero host.php o a través del parámetro "host_id" del fichero "data_sources.php".
   
• CVE-2010-1645: Corrige un error por el que administrador remoto autenticado podría ejecutar comandos arbitrarios mediante metacaracteres de shell.
   
• CVE-2010-2543: Corrige un error en el fichero "top_graph_header.php" por el que un atacante remoto podría ejecutar scripts a través del parámetro "graph_start".
   
• CVE-2010-2545: Corrige errores de cross site scripting.
   
• CVE-2011-4824: Existe un error en la comprobación de los datos pasados a través del parámetro "login_username" del fichero "auth_login.php" que permitiría a un atacante remoto ejecutar sentencias SQL especialmente manipuladas.
   

Más información:

DSA-2384-1 cacti -- several vulnerabilities

http://www.debian.org/security/2012/dsa-2384

Borja Luaces

bluaces@hispasec.com