Diversas vulnerabilidades en PHP

Recientemente el equipo de desarrollo de PHP ha publicado actualizaciones para las ramas 5.6, 5.5 y 5.4 de PHP para solucionar tres vulnerabilidades que pueden ser aprovechadas para provocar denegaciones de servicio e incluso comprometer los sistemas afectados.

Se ha solucionado una vulnerabilidad, con CVE-2014-3669, de desbordamiento de enteros en la función "unserialize()"que podría dar lugar a una denegación de servicio. Este problema solo afecta a instalaciones sobre 32 bits. Otra vulnerabilidad de corrupción de memoria, con CVE-2014-3670, en "exif_thumbnail()" que podría permitir la ejecución de código arbitrario si un usuario abre una imagen jpeg específicamente creada. Por último, un desbordamiento de búfer en la función "mkgmtime()" (CVE-2014-3668).

Se recomienda actualizar cuanto antes a las nuevas versiones 5.6.2, 5.5.18 y 5.4.34 desde http://www.php.net/downloads.php

Más información:

PHP 5 ChangeLog

http://php.net/ChangeLog-5.php


Tomado de 

Oracle corrige 154 vulnerabilidades en su actualización de seguridad de octubre

Siguiendo su ritmo de publicación trimestral de actualizaciones, Oracle publicasuboletín de seguridad de octubre. Contiene parches para 154 vulnerabilidades diferentes en cientos de productos pertenecientes a diferentes familias, que van desde el popular gestor de base de datos Oracle Database hasta Solaris, Java o MySQL.

Los fallos se dan en varios componentes de los productos:

• Oracle Database 11g Release 1, versión 11.1.0.7
• Oracle Database 11g Release 2, versiones 11.2.0.3, 11.2.0.4
• Oracle Database 12c Release 1, versiones 12.1.0.1, 12.1.0.2
• Oracle Application Express, versiones anteriores a 4.2.6
• Oracle Fusion Middleware 11g Release 1, versiones 11.1.1.5, 11.1.1.7
• Oracle Fusion Middleware 11g Release 2, versiones 11.1.2.1, 11.1.2.2, 11.1.2.4
• Oracle Fusion Middleware 12c, versiones 12.1.1.0, 12.1.2.0, 12.1.3.0
• Oracle Fusion Applications, versiones 11.1.2 hasta 11.1.8
• Oracle Access Manager, versiones 11.1.1.5, 11.1.1.7, 11.1.2.1, 11.1.2.2
• Oracle Adaptive Access Manager, versiones 11.1.1.5, 11.1.1.7, 11.1.2.1, 11.1.2.2
• Oracle Endeca Information Discovery Studio versiones 2.2.2, 2.3, 2.4, 3.0, 3.1
• Oracle Enterprise Data Quality versiones 8.1.2, 9.0.11
• Oracle Identity Manager, versiones 11.1.1.5, 11.1.1.7, 11.1.2.1, 11.1.2.2
• Oracle JDeveloper, versiones 10.1.3.5, 11.1.1.7, 11.1.2.4, 12.1.2.0, 12.1.3.0
• Oracle OpenSSO version 3.0-04
• Oracle WebLogic Server, versiones 10.0.2, 10.3.6, 12.1.1, 12.1.2, 12.1.3
• Application Performance Management, versiones anteriores a 12.1.0.6.2
• Enterprise Manager for  Oracle Database Releases 10g, 11g, 12c
• Oracle E-Business Suite Release 11i version 11.5.10.2
• Oracle E-Business Suite Release 12 versiones 12.0.4, 12.0.6, 12.1.1, 12.1.2, 12.1.3, 12.2.2, 12.2.3, 12.2.4
• Oracle Agile PLM, versiones 9.3.1.2, 9.3.3
• Oracle Transportation Management, versiones 6.1, 6.2, 6.3.0 hasta 6.3.5
• Oracle PeopleSoft Enterprise HRMS, version 9.2
• Oracle PeopleSoft Enterprise PeopleTools, versiones 8.52, 8.53, 8.54
• Oracle JD Edwards EnterpriseOne Tools, version 8.98
• Oracle Communications MetaSolv Solution, versiones MetaSolv Solution: 6.2.1.0.0, LSR: 9.4.0, 10.1.0, ASR: 49.0.0
• Oracle Communications Session Border Controller, version SCX640m5
• Oracle Retail Allocation, versiones 10.0, 11.0, 12.0, 13.0, 13.1, 13.2
• Oracle Retail Clearance Optimization Engine, versiones 13.3, 13.4, 14.0
• Oracle Retail Invoice Matching, versiones 11.0, 12.0, 12.0 IN, 12.1, 13.0, 13.1, 13.2, 14.0
• Oracle Retail Markdown Optimization, versiones 12.0, 13.0, 13.1, 13.2, 13.4
• Oracle Health Sciences Empirica Inspections, versiones 1.0.1.0 y anteriores
• Oracle Health Sciences Empirica Signal, versiones 7.3.3.3 y anteriores
• Oracle Health Sciences Empirica Study, versiones 3.1.2.0 y anteriores
• Oracle Primavera Contract Management, versiones 13.1, 14.0
• Oracle Primavera P6 Enterprise Project Portfolio Management, versiones 7.0, 8.1, 8.2, 8.3
• Oracle JavaFX, versión 2.2.65
• Oracle Java SE, versiones 5.0u71, 6u81, 7u67, 8u20
• Oracle Java SE Embedded, versión 7u60
• Oracle JRockit, versiones R27.8.3, R28.3.3
• Oracle Fujitsu server, versiones M10-1, M10-4, M10-4S
• Oracle Solaris, versiones 10, 11
• Oracle Secure Global Desktop, versiones 4.63, 4.71, 5.0, 5.1
• Oracle VM VirtualBox, versiones anteriores a 4.1.34, 4.2.26, 4.3.14
• Oracle MySQL Server, versiones 5.5.39 y anteriores, 5.6.20 y anteriores

A continuación ofrecemos una relación de productos y el número de vulnerabilidades corregidas: 

• 31 nuevas vulnerabilidades corregidas en Oracle Database Server, dos de ellas explotables de forma remota sin autenticación. Afecta a los componentes JPublisher, Java VM, SQLJ, Application Express, JDBC y Core RDBMS.
       
• Otras 18 vulnerabilidades afectan a Oracle Fusion Middleware. 14 de ellas podrían ser explotadas por un atacante remoto sin autenticar. Los componentes afectados son: Oracle Adaptive Access Manager, Oracle Enterprise Data Quality, Oracle Identity Manager, Oracle OpenSSO, Oracle Endeca, Information Discovery Studio, Oracle WebLogic Server, Oracle Access Manager y Oracle JDeveloper..
      
• Esta actualización contiene dos nuevas actualizaciones de seguridad para Oracle Enterprise Manager Grid Control por vulnerabilidades no explotables de forma remota sin autenticación.
       
• Dentro de Oracle Applications, 10 parches son para Oracle E-Business Suite, cinco parches son para Oracle Supply Chain Products Suite, cinco para productos Oracle PeopleSoft y uno para productos Oracle JD Edwards.
       
• Igualmente dentro de Oracle Industry Applications se incluyen dos nuevos parches para Oracle Communications Applications, cuatro nuevos parches para Oracle Retail Applications y tres para Oracle Health Sciences Applications.
       
• Dos nuevas actualizaciones de seguridad para Oracle Primavera Products Suite.
       
• En lo referente a Oracle Java SE se incluyen 25 nuevos parches de seguridad. 22 de ellas podrían ser explotadas por un atacante remoto sin autenticar.
       
• 15 de las vulnerabilidades afectan a a la Suite de Productos Sun, 14 de ellas a Solaris (todas afectan a la versión 11 y dos de ellas también afectan a la 10).
      
• Siete nuevas actualizaciones afectan a Oracle Virtualization.
      
• 24 nuevas vulnerabilidades afectan a MySQL Server, Nueve de ellas explotables de forma remota sin autenticación.

Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial en:

Oracle Critical Patch Update Advisory - October 2014

http://www.oracle.com/technetwork/topics/security/cpuoct2014-1972960.html

Más información:

Oracle Critical Patch Update Advisory - October 2014

http://www.oracle.com/technetwork/topics/security/cpuoct2014-1972960.html

Tomado desde:

SSL tocado y hundido

Hoy despedimos a SSL. El último clavo necesario para la tapa de su ataúd fue amartillado por tres investigadores a nómina de Google. No tuvo una existencia fácil. Ya desde su nacimiento demostró una debilidad que le auguraba un porvenir lleno de complicaciones.

La primera versión ni siquiera vio la luz, se quedó en la morgue de Netscape. Sus creadores, que al poco presentaron la versión 2.0 al público, vieron como el escrutinio de la comunidad dejó en evidencia al protocolo con una lista de errores de seguridad que desmoronaba la confianza en su criatura. En 1996 se publicaba la versión definitiva de SSL, la tercera. A la tercera va la vencida. Y vencida fue.

En realidad, SSL ha sobrevivido a nuestros días como un reducto del pasado. En 1999 se publicaba la versión 1.0 de TLS. No era un protocolo que se diferenciase técnicamente de SSL. Si leemos el RFC correspondiente, vemos que incluso se refleja en su justificación "Las diferencias entre TLS 1.0 y SSL 3.0 no son dramáticas, pero lo suficientemente razonables para que no interoperen entre ellos". El mensaje era que TLS no iba a ser un SSL 4.0.

SSL ha ido soportando los distintos golpes en forma de BEAST, CRIME, etc. Pero con este último golpe, POODLE (¿GOOGLE?), ya no hay remedio posible, contramedida o unguentum armarium sobre el que prolongar la vida de SSL. Se acabaron las excusas.

POODLE ("Padding Oracle On Downgraded Legacy Encryption") basa su ataque sobre el modo CBC (Cifrado por bloques) lo que hace que este modo sea vulnerable a un ataque variante de Padding Oracle. La alternativa a CBC es usar un cifrado por flujo, RC4, pero este último ya fue condenado al destierro. En marzo de 2013 se publicó un ataque que permitía recuperar componentes de un mensaje cifrado con RC4 si estos componentes se repetían con cierta frecuencia. Pensemos en una cookie de sesión dentro de un mensaje HTTP.

¿Entonces va a destruir Poodle a Internet?

No, al igual que Heartbleed, Shellshock u otros tampoco va suceder nada extraordinario. Simplemente se ha de deshabilitar, siempre que se pueda, SSL y si se usa TLS impedir que se efectúe una renegociación hacia SSL si ambas partes, cliente y servidor, soportan TLS.

A día de hoy, en realidad casi todas las conexiones a sitios "conocidos" o la gran mayoría de servidores y clientes se efectúan en TLS. Ahora depende de los actuales sistemas o software soportar una versión u otra de TLS. SSL, en porcentajes, no es un protocolo muy usado, pero está ahí, latente, soportado y preparado para actuar cuando ambas partes no se ponen de acuerdo con TLS. Y ese es el problema que los investigadores proponen como caso de uso de la vulnerabilidad.

En la práctica

Imaginemos una red local, una víctima, sus secretos más codiciados y un atacante. La víctima se conecta a su banco, el atacante efectúa un hombre en el medio, se mete en la conversación del cliente con el banco y decide "estorbar" lo suficiente como para que el navegador de la víctima y el servidor del banco se cansen de negociar que versión de TLS y con el lio terminen usando SSL.

Ahora que se está usando CBC como cifrado, debido entre otras cosas porque en una auditoría al banco le dijeron que se abstuviese de soportar RC4, el atacante solo tiene que capturar una buena cantidad de paquetes para que mediante un análisis comience a obtener "piezas" de esa conversación privada y haga trizas la privacidad.

¿Dejamos de soportar SSL ya?

Sin duda lo haremos. Pero va a ser una despedida agónica. No podemos cortar las amarras y dar la voz de avante a máquinas hoy mismo. Aun hay un número nada despreciable de servidores y clientes obsoletos que se arrastran por los oscuros callejones de Internet que no conocen otro protocolo que SSL.

Como medida, lo único que podemos hacer es evitar que TLS se manche las manos y permita verse degradado a un apestado SSL. Es decir, evitar el escenario que comentábamos anteriormente. Para ello disponemos de una opción que evita que innecesariamente, a clientes y servidores que soporten TLS, se use SSL en su lugar. De esta forma aunque un tercero esté interceptando las comunicaciones y metiendo ruido en el canal no se termine usando SSL.

La opción en cuestión se denomina TLS_FALLBACK_SCSV documentada aquí (https://tools.ietf.org/html/draft-ietf-tls-downgrade-scsv-00). En principio evitaría que en las negociaciones y renegociaciones de sesión segura se cambie de TLS a SSL. Eso para los servidores que tengamos funcionando, de los clientes ya se están encargando los fabricantes (se puede verificar en esta web si el navegador es vulnerable). Por ejemplo Chrome implementa esta opción desde febrero de este año. Al menos algo es algo.

¿Y tú TLS, como andas de clavos?

Más información:

This POODLE Bites: Exploiting The SSL3.0 Fallback

https://www.openssl.org/~bodo/ssl-poodle.pdf

This POODLE bites: exploiting the SSL 3.0 fallback

http://googleonlinesecurity.blogspot.com.es/2014/10/this-poodle-bites-exploiting-ssl-30.html

POODLE Test

https://www.poodletest.com/

Tomado de:

http://unaaldia.hispasec.com/2014/10/ssl-tocado-y-hundido.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+hispasec%2FzCAd+%28%40unaaldia%29