boletin Marzo 2016

Transcripción

boletin Marzo 2016

Boletín de Seguridad Informática Marzo 2016, Departamento de Seguridad Informática,
Dirección Nacional de Seguridad y Protección. MINSAP
¿Qué trae el boletín?
1. Google corrige vulnerabilidades críticas en Chrome……………………..2
2. Oracle ha publicado una actualización de la plataforma
Java SE (Standard Edition) destinada a solucionar
una nueva vulnerabilidad. ……………………………………………………2
3. Grave vulnerabilidad de Linux afecta a dispositivos Android……………..3
4. Múltiples vulnerabilidades en Moodle……………………………………….4
5. Apple publica actualizaciones para múltiples productos:
OS X Server, OS X El Capitán, Safari, iOS………………………………4, 5
6. Mozilla corrige vulnerabilidades en Thunderbird………………………….6
7. Corregidas dos vulnerabilidades graves en Git………………………….6,7
8. Nuevas versiones de Django solucionan dos vulnerabilidades…………7
9. Vulnerabilidades de denegación de servicio en BIND 9 ………………….8
10. Adobe soluciona 23 vulnerabilidades en Flash Player…………………….9
11. Mozilla publica Firefox 45 y corrige 40 nuevas vulnerabilidades……….10
1
1. Google corrige vulnerabilidades críticas en Chrome
Google ha publicado una actualización de seguridad para
su navegador Google Chrome (versión 49.0.2623.108) para
todas las plataformas (Windows, Mac y Linux) para corregir
cinco nuevas vulnerabilidades de gravedad alta, incluido el
problema descubierto en el Pwn2Own.
En esta ocasión se han corregido cinco vulnerabilidades,
una lectura fuera de límites en V8 y por uso después de
liberar en Navigation y en Extensions. También se soluciona la vulnerabilidad
que se anunció en el Pwn2Own, debida a un desbordamiento de búfer en
libANGLE. Según la política de la compañía las vulnerabilidades anunciadas
han supuesto un total de 18.000 dólares en recompensas a los descubridores
de los problemas.
También del trabajo de seguridad interno, varias correcciones procedentes de
auditoría interna, pruebas automáticas y otras iniciativas. Así como múltiples
vulnerabilidades en V8 en la rama 4.9 (actualmente 4.9.385.33). Los CVE
asociados a las vulnerabilidades van del CVE-2016-1646 al CVE-2016-1650.
Como es habitual, esta actualización está disponible a través de Chrome
Update automáticamente en los equipos así configurados o a través de
"Información sobre Google Chrome" (chrome: //chrome/).
2. Oracle ha publicado una actualización de la plataforma Java SE
(Standard Edition) destinada a solucionar una nueva vulnerabilidad.
El problema, con CVE-2016-0636, afecta a Java cuando se ejecuta en
navegadores. La vulnerabilidad no es aplicable a otras implementaciones Java
habituales en servidores o aplicaciones de escritorio, que cargan y ejecutan
código fiable.
Se ven afectados Oracle Java SE 7 Update 97 y Java SE 8 Update 73 y 74
para Windows, Solaris, Linux y Mac OS X. La vulnerabilidad
podría explotarse en remoto y sin necesidad de
autenticación. El fallo reside en el componente Hotspot y
bastaría con que un usuario con una versión de Java
afectada visite una web específicamente creada.
Los usuarios de Oracle Java SE pueden descargar la última
versión desde http://java.com. Los usuarios de la plataforma Windows pueden
usar las actualizaciones automáticas para obtener la última actualización.
2
3. Grave vulnerabilidad de Linux afecta a dispositivos Android
Google ha confirmado la detección de una aplicación
disponible de forma pública que aprovechando una
vulnerabilidad permitía obtener permisos de "root" en
dispositivos Android.
Google ha publicado un aviso de seguridad en el que
informa de una vulnerabilidad no parcheada de
elevación de privilegios en el kernel de algunos
dispositivos Android. La compañía confirma que tras la
detección de este fallo de seguridad se ha bloqueado la instalación de
aplicaciones que permitan "rootear" dispositivos mediante el uso de esta
vulnerabilidad. Tanto desde Google Play como desde fuera de Google Play
(mediante Verify Apps) y ha actualizado sus sistemas para detectar
aplicaciones que usen esta vulnerabilidad concreta.
El problema ya era conocido en el kernel de Linux, e incluso fue corregido en
abril de 2014, sin embargo no se le asignó un CVE
(CVE-2015-1805) con un parche de seguridad hasta febrero de 2015. Ha sido
en febrero de este año, cuando C0RE Team notificó a Google que el problema
podía explotarse en Android y se desarrolló un parche para incluirse en las
actualizaciones periódicas de Android.
El 15 de marzo, Google recibió un aviso de Zimperium (los mismos que
descubrieron Stagefright) de que la vulnerabilidad había sido aprovechada en
un Nexus 5. Tras lo que Google pudo confirmar la existencia de aplicaciones
disponibles públicamente, para proporcionar permisos de "root" en Nexus 5 y 6.
Según confirma Google, no se han detectado aplicaciones que puedan
considerarse maliciosas que aprovechen esta vulnerabilidad.
Se ven afectados todos los dispositivos Android con versiones de kernel 3.4,
3.10 y 3.14. Dispositivos Android con versiones del kernel 3.18 o superior no
son vulnerables. Google ha calificado este problema como de gravedad crítica
dada la posibilidad de realizar una escalada de privilegios local y permitir la
ejecución de código arbitrario que daría lugar a un compromiso total y
permanente del dispositivo afectado.
Para proporcionar una capa final de defensa para este problema, se ha
proporcionado a los fabricantes un parche para este problema. Google ha
desarrollado actualizaciones para sus dispositivos Nexus y se ha publicado el
código fuente de los parches en el repositorio Android Open Source Project
(AOSP).
3
4. Múltiples vulnerabilidades en Moodle
Moodle ha publicado 10 alertas de seguridad en las que se
corrigen vulnerabilidades con diversos efectos, desde los
habituales XSS hasta saltos de restricciones. Se ven
afectadas todas las ramas soportadas 2.7, 2.8, 2.9, 3.0, y
anteriores versiones ya fuera de soporte.
Moodle es una popular plataforma educativa de código abierto que permite a
los educadores crear y gestionar tanto usuarios como cursos de modalidad elearning. Además proporciona herramientas para la comunicación entre
formadores y alumnos.
Se han publicado un total de 10 boletines de seguridad (del MSA-16-0003 al
MSA-16-0012) que corrigen otras tantas vulnerabilidades de carácter leve.
Estos errores de seguridad podrían permitir ataques Cross Site Scripting (XSS),
Cross Site Request Forgery (CSRF), revelación de información, elusión de
restricciones, y obtención de permisos adicionales.
Los identificadores asignados a las vulnerabilidades comprenden del
CVE-2016-2151 al CVE-2016-2159 y CVE-2016-2190.
Las versiones 2.7.13, 2.8.11, 2.9.5 y 3.0.3 solucionan todas las
vulnerabilidades. Se encuentran disponibles para su descarga desde el sitio
oficial de Moodle.
http://download.moodle.org/
5. Apple publica actualizaciones para múltiples productos: OS X Server,
OS X El Capitan, Safari, iOS.
Apple ha publicado actualizaciones para sus productos
más destacados: una nueva versión de OS X (OS X El
Capitan 10.11.4) y Security Update 2016-002, Safari 9.1,
iOS 9.3, OS X Server 5.1, Xcode 7.3, tvOS 9.2 y watchOS
2.2. En total se solucionan 173 nuevas vulnerabilidades.
Dada la gran cantidad de novedades y productos actualizados, vamos a
realizar un breve repaso de las actualizaciones publicadas y problemas
solucionados.
Se ha publicado OS X El Capitan v10.11.4 y Security Update 2016-002 para
OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 y OS X El Capitan v10.11 a
v10.11.3; destinado a corregir 59 vulnerabilidades, la mayoría de ellas podrían
llegar a permitir la ejecución de código arbitrario.
4
Afectan a componentes importantes como AppleRAID, Bluetooth, FontParser,
HTTPProtocol, Graphics Driver, IOGraphics, IOUSBFamily, Kernel, libxml2,
OpenSSH, OpenSSL, QuickTime, Security, o Wi-Fi.
También ha publicado la versión OS X Server v5.1 (para OS X Yosemite
10.10.5 y posteriores). Se han solucionado cuatro vulnerabilidades que afectan
a los componentes Server App, Web Server y Wiki Server. Con identificadores
CVE-2016-1774, CVE-2016-1776, CVE-2016-1777 y CVE-2016-1787.
Las actualizaciones también han llegado a Safari, el popular navegador web de
Apple, que se actualiza a la versión 9.1 para OS X Mavericks v10.9.5, OS X
Yosemite v10.10.5 y OS X El Capitan v10.11.x. Se solucionan 12
vulnerabilidades relacionadas principalmente con problemas en WebKit (el
motor de navegador de código abierto que es la base de Safari). Otros
componentes afectados son libxml2, Safari Downloads, Safari Top Sites. Con
identificadores CVE-2009-2197, CVE-2016-1762, CVE-2016-1771, CVE-20161772, CVE-2016-1778, CVE-2016-1779 ,
CVE-2016-1781 al CVE-2016-1786.
Por otra parte, iOS se actualiza a la versión 9.3 que incluye mejoras no
relacionadas directamente con la seguridad y soluciona 38 nuevas
vulnerabilidades. Gran parte de los fallos podrían permitir la ejecución de
código arbitrario. Se ven afectados los componentes AppleUSBNetworking,
FontParser, HTTPProtocol, IOHIDFamily, Kernel libxml2, Messages, Profiles,
Security, TrueTypeScaler, WebKit, WebKit History y WebKit Page Loading.
De forma similar, Apple publica WatchOS 2.2, destinada a su reloj inteligente
(smartwatch) conocido como Apple Watch, con la que se solucionan hasta 34
vulnerabilidades, la mayoría de ellas podrían permitir la ejecución remota de
código arbitrario.
Apple también ha publicado Xcode 7.3, el entorno de desarrollo de Apple, que
corrige una vulnerabilidad en otool y dos vulnerabilidades en subversión (que
se actualiza a la versión 1.7.22).
Por último, también ha publicado tvOS 9.2, el sistema operativo para Apple TV
(de cuarta generación), que no solo incluye novedades y mejoras sino que
además soluciona un total de 23 vulnerabilidades.
5
6. Mozilla corrige vulnerabilidades en Thunderbird
Mozilla Foundation ha publicado la nueva versión de
Thunderbird 38.7, su popular cliente de correo, en la que
corrigen 24 vulnerabilidades. Se agrupan en 10 boletines
(seis de nivel crítico, tres clasificados de gravedad alta y
uno de baja).
Dado que Thunderbird 38 contiene código subyacente que se basa en el de
Firefox 38 ESR (versión de soporte extendido), los problemas corregidos
también fueron solucionados en Firefox 38.7 ESR (publicado la semana
pasada).
Las vulnerabilidades críticas residen en dos problemas (CVE-2016-1952 y
CVE-2016-1953) de tratamiento de memoria en el motor del navegador que
podrían permitir la ejecución remota de código. Por usos después de liberar en
el tratamiento de cadenas HTML5 (CVE-2016-1960), en SetBody (CVE-20161961), y durante transformaciones XML (CVE-2016-1964). También por un
desbordamiento de búfer al decodificar ASN.1 en NSS (CVE-2016-1950). Por
último, 14 vulnerabilidades en el tratamiento de fuentes en la librería Graphite 2
en la versión 1.3.5 (CVE-2016-1977 y
CVE-2016-2790 al CVE-2016-2802).
Además, también se han corregido otras vulnerabilidades de gravedad alta
como una sobreescritura local de archivos y escalada de privilegios a través de
informes CSP, corrupción de memoria con plugins NPAPI maliciosos y un uso
después de liberar mientras se procesan llaves codificadas DER en las librerías
Network Security Services (NSS).
La nueva versión está disponible a través del sitio oficial de descargas de
Thunderbird:
https://www.mozilla.org/thunderbird/
7. Corregidas dos vulnerabilidades graves en Git
Se ha informado de dos vulnerabilidades que posibilitan la ejecución de código
remoto y que afectan a todas las versiones de Git, tanto cliente como servidor,
anteriores a la 2.7.1. También se ven afectadas las versiones compatibles,
como GitHub, Bitbucket o Gitlab.
Git es un software de control de versiones diseñado por Linus Torvalds,
diseñado para la confiabilidad del mantenimiento de versiones de aplicaciones
cuando estas tienen un gran número de archivos de código fuente. En la
actualidad proyectos de relevancia usan Git para el mantenimiento de sus
versiones, como el grupo de programación del núcleo Linux.
6
El primer problema, con CVE-2016-2315, podría permitir a un usuario remoto
autenticado enviar un repositorio específicamente manipulado para provocar un
desbordamiento de búfer y ejecutar código arbitrario en los sistemas afectados.
De forma similar, y relacionado con el anterior, un desbordamiento de entero
(con CVE-2016-2324) por el que un usuario autenticado que envíe o clone un
repositorio específicamente manipulado podría ejecutar código arbitrario en los
sistemas afectados.
Para hacer un push a un repositorio Git remoto es necesario tener permiso de
escritura, para lo que en general se requiere de algún tipo de autenticación o
autorización. Sin embargo, en servicios tipo Bitbucket o Github en los que se
puede crear o clonar un repositorio sin la aprobación del administrador, estos
problemas pueden ser mayores ya que cualquiera podría intentar explotar la
vulnerabilidad. Hay que señalar que en dichos servicios el problema ya está
corregido, pero en otros de similares características (especialmente los autohospedados) podrían ser vulnerables.
Estos problemas fueron corregidos en la versión 2.7.1 de Git, publicada en
febrero, si bien no se han conocido hasta ahora (ni los desarrolladores de Git
informaron de ello en su momento).
8. Nuevas versiones de Django solucionan dos vulnerabilidades
La Django Software Foundation ha publicado nuevas
versiones de las ramas Django 1.9 y 1.8 de Django,
que solucionan dos vulnerabilidades que podrían
permitir redirecciones maliciosas, posibles ataques de
cross-site scripting y una enumeración de usuarios.
Django es un framework de código abierto basado en Python para el desarrollo
de sitios web siguiendo el patrón MVC (Modelo-Vista-Controlador). Fue
publicado por primera vez en 2005, y desde entonces su uso ha experimentado
un considerable crecimiento entre los desarrolladores. Se compone de una
serie de herramientas para facilitar la creación de páginas Web, siguiendo las
directrices 'DRY'
(Do not repeat yourself – No se repita) evitando redundancias de código y
consecuentemente reduciendo tiempo y esfuerzo.
La primera vulnerabilidad, identificada como CVE-2016-2512, debida a que en
algunos casos Django confía en los datos introducidos por el usuario (p.ej
django.contrib.auth.views.login () e i18n) para redireccionar al usuario a una
URL "on success". Los controles de seguridad para estas redirecciones
(django.utils.http.is_safe_url ()) consideran algunas URLs con credenciales de
autenticación básica "segura" cuando no deberían serlo. Esto podría permitir
redirecciones maliciosas y posibles ataques de cross-site scripting a través de
redirecciones introducidas por el usuario con autenticación básica.
7
La segunda vulnerabilidad, con identificador CVE-2016-2513, podría permitir
una enumeración de usuarios a través de la diferencia de tiempo entre una
petición de login de un usuario válido con contraseña codificada y la petición de
login para un usuario no existente.
Django Software Foundation ha publicado las versiones 1.9.3, 1.8.10 de Django
que solucionan estas vulnerabilidades. Las actualizaciones están disponibles a
través del repositorio PyPi o la página oficial de Django.
Django 1.9.3
https://www.djangoproject.com/m/releases/1.9/Django-1.9.3.tar.gz
Django 1.8.10
https://www.djangoproject.com/m/releases/1.8/Django-1.8.10.tar.gz
9. Vulnerabilidades de denegación de servicio en BIND 9
ISC ha liberado nuevas versiones del servidor DNS BIND 9,
destinadas a corregir tres vulnerabilidades consideradas de
gravedad alta que podrían permitir a un atacante provocar
condiciones de denegación de servicio.
El servidor de nombres BIND es uno de los más usados en Internet. Creado en
1988, en la universidad de Berkeley, actualmente es desarrollado por el ISC
(Internet System Consortium). BIND se encuentra disponible para una amplia
gama de sistemas tanto Unix como Microsoft Windows.
El primer problema, con CVE-2016-2088, reside en que servidores con soporte
para cookies DNS habilitado son vulnerables a una denegación de servicio si
un atacante puede hacer que reciban y procesen una respuesta que contenga
múltiples opciones de cookies. Afecta a versiones 9.10.x.
Una segunda vulnerabilidad, con CVE-2016-2088, puede afectar a los
servidores que acepten comandos remotos sobre el canal de control. Los
servidores que son vulnerables pueden ser detenidos (denegación de
servicio) por un atacante mediante el envío de un paquete malicioso desde un
sistema de la lista de direcciones especificada en la sentencia "controls". Afecta
a versiones de BIND 9.2.0 a 9.8.8, 9.9.x, 9.9.3-S1 a
9.9.8-S5 y 9.10.x
Por último, con CVE-2016-1286, un error al analizar los registros de firmas para
registros DNAME que tengan propiedades específicas puede provocar una
denegación de servicio por un fallo en resolver.c o db.c.
Se recomienda actualizar a las versiones publicadas BIND 9 versión 9.9.8-P4
BIND 9 versión 9.10.3-P4 BIND 9 versión 9.9.8-S6 disponibles en:
http://www.isc.org/downloads.
8
10. Adobe soluciona 23 vulnerabilidades en Flash Player
Adobe ha publicado una nueva actualización para Adobe
Flash Player, que en esta ocasión soluciona 23
vulnerabilidades que afectan al popular reproductor. Los
problemas podrían permitir a un atacante tomar el control
de los sistemas afectados.
Todos los problemas que se corrigen en este boletín (APSB16-08) permitirían
la ejecución de código arbitrario aprovechando 11 vulnerabilidades de uso de
memoria después de liberarla, un desbordamiento de búfer, tres
desbordamientos de entero y ocho de corrupción de memoria.
De igual forma, Microsoft también ha publicado el boletín MS16-036, fuera de
su ciclo habitual, para reflejar estas actualizaciones de Adobe Flash.
Las vulnerabilidades afectan a las versiones de Adobe Flash Player
20.0.0.306 (y anteriores) para Windows, Macintosh, y navegadores Chrome,
Internet Explorer y Edge; Adobe Flash Player Extended Support Release
18.0.0.329 (y anteriores) para Windows y Macintosh; y Adobe Flash Player
11.2.202.569 (y anteriores) para Linux. También afecta a Adobe AIR.
Los CVE asignados son: CVE-2016-0960 al CVE-2016-0963, CVE-2016-0986
al CVE-2016-1002, CVE-2016-1005 y CVE-2016-1010
Adobe ha publicado las siguientes versiones de Adobe Flash Player destinadas
a solucionar las vulnerabilidades, y se encuentran disponibles para su descarga
desde la página oficial:
* Flash Player Desktop Runtime 21.0.0.182
* Flash Player Extended Support Release 18.0.0.333
* Flash Player para Linux 11.2.202.577
Igualmente se ha publicado la versión 21.0.0.182 de Flash Player para
navegadores Internet Explorer, Edge y Chrome.
También se han actualizado AIR Desktop Runtime, AIR SDK, AIR SDK &
Compiler a la versión 21.0.0.176 (Windows, Macintosh, Android e iOS).
Adobe recomienda a los usuarios de Adobe Flash Player Desktop Runtime
para Windows y Macintosh actualizar a través del sistema de actualización del
propio producto o desde http://www.adobe.com/go/getflash Los usuarios de
Adobe Flash Player Extended Support Release deben actualizar desde:
http://helpx.adobe.com/flash-player/kb/archived-flash-player-versions.html.
Para actualizar Adobe Flash Player para Linux:
http://www.adobe.com/go/getflash
Para actualizar Adobe AIR desde:
http://get.adobe.com/air/
9
11. Mozilla publica Firefox 45 y corrige 40 nuevas vulnerabilidades
Mozilla ha anunciado la publicación de la versión 45 de
Firefox, junto con 22 boletines de seguridad destinados a
solucionar 40 nuevas vulnerabilidades en el navegador.
También se ha publicado Firefox ESR 38.7.
Hace poco más de un mes que Mozilla publicó la versión 44
de su navegador. Ahora acaba de publicar una nueva
versión que incorpora nuevas funcionalidades y mejoras.
Por otra parte, se han publicado 22 boletines de seguridad del año (del MSFA2016-016 al MSFA-2016-037). Ocho de ellos están considerados críticos, siete
de gravedad alta, seis moderados y uno de nivel bajo.
En total se corrigen 40 nuevas vulnerabilidades en Firefox.
15 de los boletines publicados también afectan a Firefox ESR 38.7 (versión de
soporte extendido) especialmente destinada a grupos que despliegan y
mantienen un entorno de escritorio en grandes organizaciones como
universidades, escuelas, gobiernos o empresas.
Las vulnerabilidades críticas residen en dos problemas (CVE-2016-1952 y
CVE-2016-1953) de tratamiento de memoria en el motor del navegador que
podrían permitir la ejecución remota de código. Otro fallo por una lectura fuera
de límites en Service Worker Manager (CVE-2016-1959).
Por usos después de liberar en el tratamiento de cadenas HTML5 (CVE-20161960), en SetBody (CVE-2016-1961), al usar múltiples canales de datos
WebRTC (CVE-2016-1962) y durante transformaciones XML (CVE-2016-1964).
También por un desbordamiento de búfer al decodificar
ASN.1 en NSS (CVE-2016-1950). Por último, 14 vulnerabilidades en el
tratamiento de fuentes en la librería Graphite 2 en la versión 1.3.5
(CVE-2016-1977 y CVE-2016-2790 al CVE-2016-2802). Firefox 45 y Firefox
ESR 38.7 han actualizado Graphite 2 a la versión 1.3.6.
Además, también se han corregido otras vulnerabilidades de gravedad alta
como una sobreescritura local de archivos y escalada de privilegios a través de
informes CSP, salto de la política de mismo origen mediante
performance.getEntries y el historial de navegación con la restauración de la
sesión, un desbordamiento de búfer en la descompresión de la librería Brotli,
corrupción de memoria con plugins NPAPI maliciosos, un uso después de
liberar en GetStaticInstance en WebRTC o un uso después de liberar mientras
se procesan llaves codificadas DER en las librerías Network Security Services
(NSS).
La nueva versión está disponible a través del sitio oficial de descargas de
Firefox:
http://www.mozilla.org/es-ES/firefox/new/
10

boletin Marzo 2016

Transcripción

Documentos relacionados

Test de intrusión (Penetration Test)

Bases de datos y sus vulnerabilidades más comunes