HCastelli

Microsoft otra vez tarde

Nando — Thu, 08 Nov 2007 01:22:39 +0000

El 5 de noviembre Microsoft publica el Microsoft Security Advisory (944653), con respecto a la vulnerabilidad en el driver secdrv.sys. Dicha vulnerabilidad se hizo publica el 23 de Octubre por la gente de Symantec.

Leyendo el Advisory me quedo con algunas frases:

Microsoft is working with Macrovision, investigating new public reports of a vulnerability in the Macrovision secdrv.sys driver

Microsoft is actively monitoring this situation to keep customers informed and to provide customer guidance as necessary.

Microsoft is concerned that this new report of a vulnerability in the Macrovision secdrv.sys driver on supported editions of Windows Server 2003 and Windows XP was publicly disclosed, potentially putting computer users at risk.

No entiendo como Microsoft dice estar “investigando los reportes sobre la vulnerabilidad” y que esta “monitoreando activamente la situación”, en un advisory publicado 13 días después de que se dio a conocer la vulnerabilidad.
Entiendo que la última frase es para la gente de Symantec que hizo pública la información, me pregunto: ¿Por que Symantec no lo informo a Microsoft? será porque Microsoft a pesar de que tiene responsabilidades sobre la últimas vulnerabilidades (a través de programas de terceros) se niega a reconocerlas. Como el caso del manejo de las URI en firefox y IE URI Handling Command Execution Vulnerability y su derivada en los pdf que fue reconocida, luego de idas y venidas de esta manera por el “Microsoft Security Response Center”.

History Repeating

Nando — Sun, 28 Oct 2007 22:31:34 +0000

The word is about, there’s something evolving,
whatever may come, the world keeps revolving
They say the next big thing is here,
that the revolution’s near,
but to me it seems quite clear
that it’s all just a little bit of history repeating

The newspapers shout a new style is growing,
but it don’t know if it’s coming or going,
there is fashion, there is fad
some is good, some is bad
and the joke is rather sad,
that its all just a little bit of history repeating

.. and I’ve seen it before
.. and I’ll see it again
.. yes I’ve seen it before
.. just little bits of history repeating

Some people don’t dance, if they don’t know who’s singing,
why ask your head, it’s your hips that are swinging
life’s for us to enjoy
woman, man, girl and boy,
feel the pain, feel the joy
aside set the little bits of history repeating

.. just little bits of history repeating
.. and I’ve seen it before
.. and I’ll see it again
.. yes I’ve seen it before
.. just little bits of history repeating

Artist: Propellerheads featuring Miss Shirley Bassey

Buffer Overflow en plugin check_snmp

Nando — Fri, 26 Oct 2007 16:07:12 +0000

Parece que este es el mes de los plugins de Nagios, algunos días despues del anuncio de un buffer overflow en el plugin de Nagios check_http, y la correspondiente actualización a la versión 4.10, nos llega la noticia de otro buffer overflow, esta vez en el plugin check_snmp.

Un atacante de forma remota podría realizar un DoS o ejecutar código en el servidor donde se encuentra corriendo Nagios, aprovechandose de esta vulnerabilidad, la cual es causada por la falta de chequeos a las respuestas snmp get.
Aún no se ha publicado una nueva versión del plugin pero se encuentra disponible un Patch en el siguiente link

Escalada de privilegios en Windows XP/2003

Nando — Wed, 24 Oct 2007 21:48:52 +0000

Esta nueva vulnerabilidad afecta a los sistemas con Windows XP SP2 y Windows Server 2003 SP1 (Vista no es afectado), permitiendo a los usuarios con privilegios limitados conseguir privilegios de sistema.
Esto es posible debido a una vulnerabilidad buffer overflow en el driver secdrv.sys, parte de la protección anticopia SafeDisc, dicho driver se encuentra disponible “por defecto” en Windows.
Según la gente de Symantec, mediante esta vulnerabilidad, se puede inyectar código malicioso en la memoria y obtener privilegios de sistema.
Ya se encuentra disponible en la red un exploit, existe la limitación de que el atacante debe tener acceso físico al sistema.
Microsoft ya fue informada sobre esta vulnerabilidad, veremos cuando se deciden a solucionarla.
Por el momento se recomienda limitar el acceso a los sistemas y servicios a todas las cuentas que no tengan privilegios de administrador (facil de decir, dificil de hacer).

Fuente: Symantec

Nagios 2.10

Nando — Mon, 22 Oct 2007 01:34:57 +0000

Se encuentra disponible la version 2.10 de Nagios, la misma tiene varias correcciones, entre las que se encuentra un cross site scripting en los CGI la interfaz web.

Listado completo:

Added ‘make install-webconf’ command to install Apache web config file
Sample config files are now installed without a -sample extension
Fix for SIGTERMs being seen as SIGEXITs, non-logging of SIGTERMs/shutdowns
Minor fix for notification timeout log messages
Fix for not logging passive host check results
Minor bug fixes in CGIs
Fix for a segfault when processing passive host check results with empty output/perfdata
Fix for incorrect latency calculation for passive service checks
Bug fix with attempting to access an uninitalized mutex if external commands are disabled
Fix for keeping service checks in the event queue when active service checks are disabled globally
Fix for a potential cross site scripting vulnerability in the CGIs
Program version is now displayed in CGIs

Charla Nagios CaFeConf 2007

Nando — Tue, 16 Oct 2007 02:43:37 +0000

El sábado 6 de octubre di una charla sobre Nagios en CaFeConf, “Nagios, Monitorización y Seguridad de la Red“. A pesar de ser una de las primeras en el cronograma, a las 11 de la mañana, afortunadamente asistió mucha gente con la que hubo un feedback interesante.

Para aquellos que quieran acceder al archivo de la charla, subí el pdf aqui:

Nagios, Monitorización y Seguridad de la Red

De todas maneras en poco tiempo también estará disponible en el sitio de CaFeConf.

Si tienen alguna consulta referente a Nagios, pueden comunicarse conmigo a través del blog, dejando comentarios, que pueden servir para que esa información ayude a todos.

Buffer Overflow en plugin de Nagios

Nando — Tue, 09 Oct 2007 02:44:11 +0000

Se reporto una vulnerabilidad del tipo “Buffer Overflow” en el plugin check_http, la cual puede ser explotada para comprometer el equipo que ejecuta el plugin.

La vulnerabilidad es causada por un error en el procesamiento del header HTTP “Location:”, mediante la función redir() del plugin check_http. La misma puede ser explotada desde un web server malicioso (obviamente monitoreado), a través del envío de un string demasiado largo en el header “Location:”, permitiendo la ejecución de codigo en el equipo que ejecuta el plugin.
Se deben actualizar los plugins de Nagios a la última versión, Nagios Plugins.

Referencia: http://secunia.com/advisories/27124/

HSM – Luna SA

Nando — Fri, 28 Sep 2007 00:51:19 +0000

Acabo de volver de Canada, de Ottawa para ser preciso, por un curso de capacitación dictado por la empresa Safe-Net sobre uno de sus productos, el HSM (Hardware Security Module) Luna SA.
Definitivamente el equipo es excelente, la gente de Safe-Net tiene un producto muy sólido con el Luna SA. Algunas caracteristicas:

Aceleración SSL de multipes servidores web.
Los certificados nunca salen del equipo.
Permite mas de 1200 operaciones cryptograficas por segundo (1024-bit RSA).
Administración segura mediante Two-factor Authentication, trusted path (administración segura por red a través de ssh y certificados) y multi-person authentication mediante el uso de “llaves” y un PED (PIN Entry Device).

Varias APIs criptográficas:
• PKCS#11 v2.01
• Microsoft CAPI v2.0
• JCA (Java Cryptographic Architecture)
• JCE (Java Cryptographic Extensions)
• OpenSSL
Chasis resistente a intrusiones.

Web Metropolitano

Nando — Wed, 26 Sep 2007 23:28:38 +0000

No voy a hablar del estado del tren Metropolitano (menos del estado general del transporte público), soy usuario del tren y lo conozco bien. Para eso están las siguientes páginas:

www.comovacas.blogspot.com
www.hacerse-cargo.blogspot.com
www.mecagoenmetrovias.wordpress.com
www.usuariosdelroca.blogspot.com
www.x1subteseguro.blogspot.com
www.tbamemata.blogspot.com
www.desesperadosdelsarmiento.blogspot.com
www.pasajerosdelroca.blogspot.com

Como ya es obvio la situación del Metropolitano no cambio en nada, solo cambio de dueño ahora pertenece a la Unidad Operativa Ferroviaria. Bueno lo que cambio fue la página www.metropolitano.com.ar parece que se dejo de pagar el hosting, y los nuevos dueños ni en subir pagina nueva están interesados (como tampoco en mejorar el servicio). Es gracioso ver en donde deberia estar la página de Metropolitano, las estadísticas de Adolfo Antiguedades. Me pregunto si los administradores del hosting tienen idea de esto, o de como configurar un Apache.

Charla sobre Nagios – Cafeconf 2007

Nando — Wed, 19 Sep 2007 18:03:33 +0000

Ya esta disponible el Programa de charlas de Cafeconf 2007. La mía (por ahora) es el Sabado 6 a las 11:00.
Los espero.