boletin Marzo 2016
Transcripción
boletin Marzo 2016
Boletín de Seguridad Informática Marzo 2016, Departamento de Seguridad Informática, Dirección Nacional de Seguridad y Protección. MINSAP ¿Qué trae el boletín? 1. Google corrige vulnerabilidades críticas en Chrome……………………..2 2. Oracle ha publicado una actualización de la plataforma Java SE (Standard Edition) destinada a solucionar una nueva vulnerabilidad. ……………………………………………………2 3. Grave vulnerabilidad de Linux afecta a dispositivos Android……………..3 4. Múltiples vulnerabilidades en Moodle……………………………………….4 5. Apple publica actualizaciones para múltiples productos: OS X Server, OS X El Capitán, Safari, iOS………………………………4, 5 6. Mozilla corrige vulnerabilidades en Thunderbird………………………….6 7. Corregidas dos vulnerabilidades graves en Git………………………….6,7 8. Nuevas versiones de Django solucionan dos vulnerabilidades…………7 9. Vulnerabilidades de denegación de servicio en BIND 9 ………………….8 10. Adobe soluciona 23 vulnerabilidades en Flash Player…………………….9 11. Mozilla publica Firefox 45 y corrige 40 nuevas vulnerabilidades……….10 1 Boletín de Seguridad Informática Marzo 2016, Departamento de Seguridad Informática, Dirección Nacional de Seguridad y Protección. MINSAP 1. Google corrige vulnerabilidades críticas en Chrome Google ha publicado una actualización de seguridad para su navegador Google Chrome (versión 49.0.2623.108) para todas las plataformas (Windows, Mac y Linux) para corregir cinco nuevas vulnerabilidades de gravedad alta, incluido el problema descubierto en el Pwn2Own. En esta ocasión se han corregido cinco vulnerabilidades, una lectura fuera de límites en V8 y por uso después de liberar en Navigation y en Extensions. También se soluciona la vulnerabilidad que se anunció en el Pwn2Own, debida a un desbordamiento de búfer en libANGLE. Según la política de la compañía las vulnerabilidades anunciadas han supuesto un total de 18.000 dólares en recompensas a los descubridores de los problemas. También del trabajo de seguridad interno, varias correcciones procedentes de auditoría interna, pruebas automáticas y otras iniciativas. Así como múltiples vulnerabilidades en V8 en la rama 4.9 (actualmente 4.9.385.33). Los CVE asociados a las vulnerabilidades van del CVE-2016-1646 al CVE-2016-1650. Como es habitual, esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados o a través de "Información sobre Google Chrome" (chrome: //chrome/). 2. Oracle ha publicado una actualización de la plataforma Java SE (Standard Edition) destinada a solucionar una nueva vulnerabilidad. El problema, con CVE-2016-0636, afecta a Java cuando se ejecuta en navegadores. La vulnerabilidad no es aplicable a otras implementaciones Java habituales en servidores o aplicaciones de escritorio, que cargan y ejecutan código fiable. Se ven afectados Oracle Java SE 7 Update 97 y Java SE 8 Update 73 y 74 para Windows, Solaris, Linux y Mac OS X. La vulnerabilidad podría explotarse en remoto y sin necesidad de autenticación. El fallo reside en el componente Hotspot y bastaría con que un usuario con una versión de Java afectada visite una web específicamente creada. Los usuarios de Oracle Java SE pueden descargar la última versión desde http://java.com. Los usuarios de la plataforma Windows pueden usar las actualizaciones automáticas para obtener la última actualización. 2 Boletín de Seguridad Informática Marzo 2016, Departamento de Seguridad Informática, Dirección Nacional de Seguridad y Protección. MINSAP 3. Grave vulnerabilidad de Linux afecta a dispositivos Android Google ha confirmado la detección de una aplicación disponible de forma pública que aprovechando una vulnerabilidad permitía obtener permisos de "root" en dispositivos Android. Google ha publicado un aviso de seguridad en el que informa de una vulnerabilidad no parcheada de elevación de privilegios en el kernel de algunos dispositivos Android. La compañía confirma que tras la detección de este fallo de seguridad se ha bloqueado la instalación de aplicaciones que permitan "rootear" dispositivos mediante el uso de esta vulnerabilidad. Tanto desde Google Play como desde fuera de Google Play (mediante Verify Apps) y ha actualizado sus sistemas para detectar aplicaciones que usen esta vulnerabilidad concreta. El problema ya era conocido en el kernel de Linux, e incluso fue corregido en abril de 2014, sin embargo no se le asignó un CVE (CVE-2015-1805) con un parche de seguridad hasta febrero de 2015. Ha sido en febrero de este año, cuando C0RE Team notificó a Google que el problema podía explotarse en Android y se desarrolló un parche para incluirse en las actualizaciones periódicas de Android. El 15 de marzo, Google recibió un aviso de Zimperium (los mismos que descubrieron Stagefright) de que la vulnerabilidad había sido aprovechada en un Nexus 5. Tras lo que Google pudo confirmar la existencia de aplicaciones disponibles públicamente, para proporcionar permisos de "root" en Nexus 5 y 6. Según confirma Google, no se han detectado aplicaciones que puedan considerarse maliciosas que aprovechen esta vulnerabilidad. Se ven afectados todos los dispositivos Android con versiones de kernel 3.4, 3.10 y 3.14. Dispositivos Android con versiones del kernel 3.18 o superior no son vulnerables. Google ha calificado este problema como de gravedad crítica dada la posibilidad de realizar una escalada de privilegios local y permitir la ejecución de código arbitrario que daría lugar a un compromiso total y permanente del dispositivo afectado. Para proporcionar una capa final de defensa para este problema, se ha proporcionado a los fabricantes un parche para este problema. Google ha desarrollado actualizaciones para sus dispositivos Nexus y se ha publicado el código fuente de los parches en el repositorio Android Open Source Project (AOSP). 3 Boletín de Seguridad Informática Marzo 2016, Departamento de Seguridad Informática, Dirección Nacional de Seguridad y Protección. MINSAP 4. Múltiples vulnerabilidades en Moodle Moodle ha publicado 10 alertas de seguridad en las que se corrigen vulnerabilidades con diversos efectos, desde los habituales XSS hasta saltos de restricciones. Se ven afectadas todas las ramas soportadas 2.7, 2.8, 2.9, 3.0, y anteriores versiones ya fuera de soporte. Moodle es una popular plataforma educativa de código abierto que permite a los educadores crear y gestionar tanto usuarios como cursos de modalidad elearning. Además proporciona herramientas para la comunicación entre formadores y alumnos. Se han publicado un total de 10 boletines de seguridad (del MSA-16-0003 al MSA-16-0012) que corrigen otras tantas vulnerabilidades de carácter leve. Estos errores de seguridad podrían permitir ataques Cross Site Scripting (XSS), Cross Site Request Forgery (CSRF), revelación de información, elusión de restricciones, y obtención de permisos adicionales. Los identificadores asignados a las vulnerabilidades comprenden del CVE-2016-2151 al CVE-2016-2159 y CVE-2016-2190. Las versiones 2.7.13, 2.8.11, 2.9.5 y 3.0.3 solucionan todas las vulnerabilidades. Se encuentran disponibles para su descarga desde el sitio oficial de Moodle. http://download.moodle.org/ 5. Apple publica actualizaciones para múltiples productos: OS X Server, OS X El Capitan, Safari, iOS. Apple ha publicado actualizaciones para sus productos más destacados: una nueva versión de OS X (OS X El Capitan 10.11.4) y Security Update 2016-002, Safari 9.1, iOS 9.3, OS X Server 5.1, Xcode 7.3, tvOS 9.2 y watchOS 2.2. En total se solucionan 173 nuevas vulnerabilidades. Dada la gran cantidad de novedades y productos actualizados, vamos a realizar un breve repaso de las actualizaciones publicadas y problemas solucionados. Se ha publicado OS X El Capitan v10.11.4 y Security Update 2016-002 para OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 y OS X El Capitan v10.11 a v10.11.3; destinado a corregir 59 vulnerabilidades, la mayoría de ellas podrían llegar a permitir la ejecución de código arbitrario. 4 Boletín de Seguridad Informática Marzo 2016, Departamento de Seguridad Informática, Dirección Nacional de Seguridad y Protección. MINSAP Afectan a componentes importantes como AppleRAID, Bluetooth, FontParser, HTTPProtocol, Graphics Driver, IOGraphics, IOUSBFamily, Kernel, libxml2, OpenSSH, OpenSSL, QuickTime, Security, o Wi-Fi. También ha publicado la versión OS X Server v5.1 (para OS X Yosemite 10.10.5 y posteriores). Se han solucionado cuatro vulnerabilidades que afectan a los componentes Server App, Web Server y Wiki Server. Con identificadores CVE-2016-1774, CVE-2016-1776, CVE-2016-1777 y CVE-2016-1787. Las actualizaciones también han llegado a Safari, el popular navegador web de Apple, que se actualiza a la versión 9.1 para OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 y OS X El Capitan v10.11.x. Se solucionan 12 vulnerabilidades relacionadas principalmente con problemas en WebKit (el motor de navegador de código abierto que es la base de Safari). Otros componentes afectados son libxml2, Safari Downloads, Safari Top Sites. Con identificadores CVE-2009-2197, CVE-2016-1762, CVE-2016-1771, CVE-20161772, CVE-2016-1778, CVE-2016-1779 , CVE-2016-1781 al CVE-2016-1786. Por otra parte, iOS se actualiza a la versión 9.3 que incluye mejoras no relacionadas directamente con la seguridad y soluciona 38 nuevas vulnerabilidades. Gran parte de los fallos podrían permitir la ejecución de código arbitrario. Se ven afectados los componentes AppleUSBNetworking, FontParser, HTTPProtocol, IOHIDFamily, Kernel libxml2, Messages, Profiles, Security, TrueTypeScaler, WebKit, WebKit History y WebKit Page Loading. De forma similar, Apple publica WatchOS 2.2, destinada a su reloj inteligente (smartwatch) conocido como Apple Watch, con la que se solucionan hasta 34 vulnerabilidades, la mayoría de ellas podrían permitir la ejecución remota de código arbitrario. Apple también ha publicado Xcode 7.3, el entorno de desarrollo de Apple, que corrige una vulnerabilidad en otool y dos vulnerabilidades en subversión (que se actualiza a la versión 1.7.22). Por último, también ha publicado tvOS 9.2, el sistema operativo para Apple TV (de cuarta generación), que no solo incluye novedades y mejoras sino que además soluciona un total de 23 vulnerabilidades. 5 Boletín de Seguridad Informática Marzo 2016, Departamento de Seguridad Informática, Dirección Nacional de Seguridad y Protección. MINSAP 6. Mozilla corrige vulnerabilidades en Thunderbird Mozilla Foundation ha publicado la nueva versión de Thunderbird 38.7, su popular cliente de correo, en la que corrigen 24 vulnerabilidades. Se agrupan en 10 boletines (seis de nivel crítico, tres clasificados de gravedad alta y uno de baja). Dado que Thunderbird 38 contiene código subyacente que se basa en el de Firefox 38 ESR (versión de soporte extendido), los problemas corregidos también fueron solucionados en Firefox 38.7 ESR (publicado la semana pasada). Las vulnerabilidades críticas residen en dos problemas (CVE-2016-1952 y CVE-2016-1953) de tratamiento de memoria en el motor del navegador que podrían permitir la ejecución remota de código. Por usos después de liberar en el tratamiento de cadenas HTML5 (CVE-2016-1960), en SetBody (CVE-20161961), y durante transformaciones XML (CVE-2016-1964). También por un desbordamiento de búfer al decodificar ASN.1 en NSS (CVE-2016-1950). Por último, 14 vulnerabilidades en el tratamiento de fuentes en la librería Graphite 2 en la versión 1.3.5 (CVE-2016-1977 y CVE-2016-2790 al CVE-2016-2802). Además, también se han corregido otras vulnerabilidades de gravedad alta como una sobreescritura local de archivos y escalada de privilegios a través de informes CSP, corrupción de memoria con plugins NPAPI maliciosos y un uso después de liberar mientras se procesan llaves codificadas DER en las librerías Network Security Services (NSS). La nueva versión está disponible a través del sitio oficial de descargas de Thunderbird: https://www.mozilla.org/thunderbird/ 7. Corregidas dos vulnerabilidades graves en Git Se ha informado de dos vulnerabilidades que posibilitan la ejecución de código remoto y que afectan a todas las versiones de Git, tanto cliente como servidor, anteriores a la 2.7.1. También se ven afectadas las versiones compatibles, como GitHub, Bitbucket o Gitlab. Git es un software de control de versiones diseñado por Linus Torvalds, diseñado para la confiabilidad del mantenimiento de versiones de aplicaciones cuando estas tienen un gran número de archivos de código fuente. En la actualidad proyectos de relevancia usan Git para el mantenimiento de sus versiones, como el grupo de programación del núcleo Linux. 6 Boletín de Seguridad Informática Marzo 2016, Departamento de Seguridad Informática, Dirección Nacional de Seguridad y Protección. MINSAP El primer problema, con CVE-2016-2315, podría permitir a un usuario remoto autenticado enviar un repositorio específicamente manipulado para provocar un desbordamiento de búfer y ejecutar código arbitrario en los sistemas afectados. De forma similar, y relacionado con el anterior, un desbordamiento de entero (con CVE-2016-2324) por el que un usuario autenticado que envíe o clone un repositorio específicamente manipulado podría ejecutar código arbitrario en los sistemas afectados. Para hacer un push a un repositorio Git remoto es necesario tener permiso de escritura, para lo que en general se requiere de algún tipo de autenticación o autorización. Sin embargo, en servicios tipo Bitbucket o Github en los que se puede crear o clonar un repositorio sin la aprobación del administrador, estos problemas pueden ser mayores ya que cualquiera podría intentar explotar la vulnerabilidad. Hay que señalar que en dichos servicios el problema ya está corregido, pero en otros de similares características (especialmente los autohospedados) podrían ser vulnerables. Estos problemas fueron corregidos en la versión 2.7.1 de Git, publicada en febrero, si bien no se han conocido hasta ahora (ni los desarrolladores de Git informaron de ello en su momento). 8. Nuevas versiones de Django solucionan dos vulnerabilidades La Django Software Foundation ha publicado nuevas versiones de las ramas Django 1.9 y 1.8 de Django, que solucionan dos vulnerabilidades que podrían permitir redirecciones maliciosas, posibles ataques de cross-site scripting y una enumeración de usuarios. Django es un framework de código abierto basado en Python para el desarrollo de sitios web siguiendo el patrón MVC (Modelo-Vista-Controlador). Fue publicado por primera vez en 2005, y desde entonces su uso ha experimentado un considerable crecimiento entre los desarrolladores. Se compone de una serie de herramientas para facilitar la creación de páginas Web, siguiendo las directrices 'DRY' (Do not repeat yourself – No se repita) evitando redundancias de código y consecuentemente reduciendo tiempo y esfuerzo. La primera vulnerabilidad, identificada como CVE-2016-2512, debida a que en algunos casos Django confía en los datos introducidos por el usuario (p.ej django.contrib.auth.views.login () e i18n) para redireccionar al usuario a una URL "on success". Los controles de seguridad para estas redirecciones (django.utils.http.is_safe_url ()) consideran algunas URLs con credenciales de autenticación básica "segura" cuando no deberían serlo. Esto podría permitir redirecciones maliciosas y posibles ataques de cross-site scripting a través de redirecciones introducidas por el usuario con autenticación básica. 7 Boletín de Seguridad Informática Marzo 2016, Departamento de Seguridad Informática, Dirección Nacional de Seguridad y Protección. MINSAP La segunda vulnerabilidad, con identificador CVE-2016-2513, podría permitir una enumeración de usuarios a través de la diferencia de tiempo entre una petición de login de un usuario válido con contraseña codificada y la petición de login para un usuario no existente. Django Software Foundation ha publicado las versiones 1.9.3, 1.8.10 de Django que solucionan estas vulnerabilidades. Las actualizaciones están disponibles a través del repositorio PyPi o la página oficial de Django. Django 1.9.3 https://www.djangoproject.com/m/releases/1.9/Django-1.9.3.tar.gz Django 1.8.10 https://www.djangoproject.com/m/releases/1.8/Django-1.8.10.tar.gz 9. Vulnerabilidades de denegación de servicio en BIND 9 ISC ha liberado nuevas versiones del servidor DNS BIND 9, destinadas a corregir tres vulnerabilidades consideradas de gravedad alta que podrían permitir a un atacante provocar condiciones de denegación de servicio. El servidor de nombres BIND es uno de los más usados en Internet. Creado en 1988, en la universidad de Berkeley, actualmente es desarrollado por el ISC (Internet System Consortium). BIND se encuentra disponible para una amplia gama de sistemas tanto Unix como Microsoft Windows. El primer problema, con CVE-2016-2088, reside en que servidores con soporte para cookies DNS habilitado son vulnerables a una denegación de servicio si un atacante puede hacer que reciban y procesen una respuesta que contenga múltiples opciones de cookies. Afecta a versiones 9.10.x. Una segunda vulnerabilidad, con CVE-2016-2088, puede afectar a los servidores que acepten comandos remotos sobre el canal de control. Los servidores que son vulnerables pueden ser detenidos (denegación de servicio) por un atacante mediante el envío de un paquete malicioso desde un sistema de la lista de direcciones especificada en la sentencia "controls". Afecta a versiones de BIND 9.2.0 a 9.8.8, 9.9.x, 9.9.3-S1 a 9.9.8-S5 y 9.10.x Por último, con CVE-2016-1286, un error al analizar los registros de firmas para registros DNAME que tengan propiedades específicas puede provocar una denegación de servicio por un fallo en resolver.c o db.c. Se recomienda actualizar a las versiones publicadas BIND 9 versión 9.9.8-P4 BIND 9 versión 9.10.3-P4 BIND 9 versión 9.9.8-S6 disponibles en: http://www.isc.org/downloads. 8 Boletín de Seguridad Informática Marzo 2016, Departamento de Seguridad Informática, Dirección Nacional de Seguridad y Protección. MINSAP 10. Adobe soluciona 23 vulnerabilidades en Flash Player Adobe ha publicado una nueva actualización para Adobe Flash Player, que en esta ocasión soluciona 23 vulnerabilidades que afectan al popular reproductor. Los problemas podrían permitir a un atacante tomar el control de los sistemas afectados. Todos los problemas que se corrigen en este boletín (APSB16-08) permitirían la ejecución de código arbitrario aprovechando 11 vulnerabilidades de uso de memoria después de liberarla, un desbordamiento de búfer, tres desbordamientos de entero y ocho de corrupción de memoria. De igual forma, Microsoft también ha publicado el boletín MS16-036, fuera de su ciclo habitual, para reflejar estas actualizaciones de Adobe Flash. Las vulnerabilidades afectan a las versiones de Adobe Flash Player 20.0.0.306 (y anteriores) para Windows, Macintosh, y navegadores Chrome, Internet Explorer y Edge; Adobe Flash Player Extended Support Release 18.0.0.329 (y anteriores) para Windows y Macintosh; y Adobe Flash Player 11.2.202.569 (y anteriores) para Linux. También afecta a Adobe AIR. Los CVE asignados son: CVE-2016-0960 al CVE-2016-0963, CVE-2016-0986 al CVE-2016-1002, CVE-2016-1005 y CVE-2016-1010 Adobe ha publicado las siguientes versiones de Adobe Flash Player destinadas a solucionar las vulnerabilidades, y se encuentran disponibles para su descarga desde la página oficial: * Flash Player Desktop Runtime 21.0.0.182 * Flash Player Extended Support Release 18.0.0.333 * Flash Player para Linux 11.2.202.577 Igualmente se ha publicado la versión 21.0.0.182 de Flash Player para navegadores Internet Explorer, Edge y Chrome. También se han actualizado AIR Desktop Runtime, AIR SDK, AIR SDK & Compiler a la versión 21.0.0.176 (Windows, Macintosh, Android e iOS). Adobe recomienda a los usuarios de Adobe Flash Player Desktop Runtime para Windows y Macintosh actualizar a través del sistema de actualización del propio producto o desde http://www.adobe.com/go/getflash Los usuarios de Adobe Flash Player Extended Support Release deben actualizar desde: http://helpx.adobe.com/flash-player/kb/archived-flash-player-versions.html. Para actualizar Adobe Flash Player para Linux: http://www.adobe.com/go/getflash Para actualizar Adobe AIR desde: http://get.adobe.com/air/ 9 Boletín de Seguridad Informática Marzo 2016, Departamento de Seguridad Informática, Dirección Nacional de Seguridad y Protección. MINSAP 11. Mozilla publica Firefox 45 y corrige 40 nuevas vulnerabilidades Mozilla ha anunciado la publicación de la versión 45 de Firefox, junto con 22 boletines de seguridad destinados a solucionar 40 nuevas vulnerabilidades en el navegador. También se ha publicado Firefox ESR 38.7. Hace poco más de un mes que Mozilla publicó la versión 44 de su navegador. Ahora acaba de publicar una nueva versión que incorpora nuevas funcionalidades y mejoras. Por otra parte, se han publicado 22 boletines de seguridad del año (del MSFA2016-016 al MSFA-2016-037). Ocho de ellos están considerados críticos, siete de gravedad alta, seis moderados y uno de nivel bajo. En total se corrigen 40 nuevas vulnerabilidades en Firefox. 15 de los boletines publicados también afectan a Firefox ESR 38.7 (versión de soporte extendido) especialmente destinada a grupos que despliegan y mantienen un entorno de escritorio en grandes organizaciones como universidades, escuelas, gobiernos o empresas. Las vulnerabilidades críticas residen en dos problemas (CVE-2016-1952 y CVE-2016-1953) de tratamiento de memoria en el motor del navegador que podrían permitir la ejecución remota de código. Otro fallo por una lectura fuera de límites en Service Worker Manager (CVE-2016-1959). Por usos después de liberar en el tratamiento de cadenas HTML5 (CVE-20161960), en SetBody (CVE-2016-1961), al usar múltiples canales de datos WebRTC (CVE-2016-1962) y durante transformaciones XML (CVE-2016-1964). También por un desbordamiento de búfer al decodificar ASN.1 en NSS (CVE-2016-1950). Por último, 14 vulnerabilidades en el tratamiento de fuentes en la librería Graphite 2 en la versión 1.3.5 (CVE-2016-1977 y CVE-2016-2790 al CVE-2016-2802). Firefox 45 y Firefox ESR 38.7 han actualizado Graphite 2 a la versión 1.3.6. Además, también se han corregido otras vulnerabilidades de gravedad alta como una sobreescritura local de archivos y escalada de privilegios a través de informes CSP, salto de la política de mismo origen mediante performance.getEntries y el historial de navegación con la restauración de la sesión, un desbordamiento de búfer en la descompresión de la librería Brotli, corrupción de memoria con plugins NPAPI maliciosos, un uso después de liberar en GetStaticInstance en WebRTC o un uso después de liberar mientras se procesan llaves codificadas DER en las librerías Network Security Services (NSS). La nueva versión está disponible a través del sitio oficial de descargas de Firefox: http://www.mozilla.org/es-ES/firefox/new/ 10