[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]Ese es el pequeño detalle con RedHat... aunque supuestamente lo tiene corregido según esta errata: http://rhn.redhat.com/errata/RHSA-2002-155.html Debian ya sacó nuevo parche... ¿qué pensar?.... El mié, 18-09-2002 a las 12:53, alan maciel escribió: > la bronca es que si tengo redhat el openssl lo tengo instalado como rpm, > como le hago para actualizarlo? si redhat todavia no tienen el parche ni la > actualizacion. > > > ----- Original Message ----- > From: "Gunnar Wolf" <gwolf en campus iztacala unam mx> > To: <ayuda en linux org mx> > Sent: Wednesday, September 18, 2002 2:45 AM > Subject: [Ayuda] Mas de la vulnerabilidad > > > > Les mando este boletín respecto a la vulnerabilidad que les comentaba hace > > rato. > > > > Saludos, > > > > -- > > Gunnar Wolf - gwolf en campus iztacala unam mx - (+52-55)5623-1118 > > PGP key 1024D/8BB527AF 2001-10-23 > > Fingerprint: 0C79 D2D1 2C4E 9CE4 5973 F800 D80E F35A 8BB5 27AF > > > > ---------- Forwarded message ---------- > > Date: Tue, 17 Sep 2002 19:32:34 -0500 (CDT) > > From: UNAM-CERT <unam-cert en seguridad unam mx> > > Reply-To: admin-unam en seguridad unam mx > > To: UNAM-CERT <unam-cert en seguridad unam mx> > > Subject: [Admin-UNAM] Boletin-UNAM-CERT-2002-027 "Gusano Apache/mod_ssl" > > > > -----BEGIN PGP SIGNED MESSAGE----- > > > > ------------------------------------------------------------------ > > UNAM-CERT > > > > Departamento de Seguridad en Cómputo > > > > DGSCA- UNAM > > > > Boletín de Seguridad UNAM-CERT 2002-027 > > > > Gusano Apache/mod_ssl > > > > ------------------------------------------------------------------ > > > > El CERT/UNAM-CERT , a través de sus equipos de respuesta a > > incidentes de Seguridad en Cómputo, han emitido éste boletín en el > > cual informan que han recibido reportes de código malicioso de > > autopropagación que explota una vulnerabilidad ( VU#102795) en > > OpenSSL. Este código malicioso ha sido referenciado como gusano > > Apache/mod_ssl, linux.slapper.worm y gusano bugtraq.c . Reportes > > recibidos por el CERT/UNAM-CERT indican que el gusano > > Apache/mod_ssl ya ha infectado a miles de sistemas. > > > > Fecha de 17 de Septiembre de > > Liberación: 2002 > > > > Ultima Revisión: 17 de Septiembre de > > 2002 > > CERT/CC y diversos > > Fuente: reportes de Equipos de > > Respuesta a > > Incidentes. > > > > > > SISTEMAS AFECTADOS > > ------------------ > > > > * Sistemas Linux ejecutando Apache con mod_ssl accediendo a > > SSLv2 habilitado en OpenSSL 0.9.6d ó en versiones anteriores > > sobre arquitecturas Intel x86 > > > > > > DESCRIPCIÓN > > ----------- > > > > El gusano Apache/mod_ssl es un código malicioso autopropagable que > > explota la vulnerabilidad en OpenSSL descrita en VU#102795. Esta > > vulnerabilidad estaba entre los temas discutidos en el Boletín de > > Seguridad UNAM-CERT 2002-023 Múltiples Vulnerabilidades en > > OpenSSL. Mientras que esta vulnerabilidad en el servidor OpenSSL > > existe en una amplia variedad de plataformas, el gusano > > Apache/mod_ssl aparentemente trabaja solo en sistemas Linux > > ejecutando Apache con el módulo OpenSSL (mod_ssl) en arquitecturas > > Intel. > > > > El gusano Apache/mod_ssl escanea el puerto 80/tcp de sistemas > > potencialmente vulnerables utilizando un requerimiento HTTP GET > > inválido. Cuando un sistema Apache potencialmente vulnerable es > > detectado, el gusano intenta conectarse al servicio SSL por medio > > del puerto 443/tcp para entregar el código de exploit. Si es > > satisfactorio, una copia del código fuente malicioso es colocada > > en el servidor víctima, donde el sistema del intruso intentará > > compilarla y ejecutarla. Una vez infectado, el servidor víctima > > comienza a escanear otros servidores para continuar la propagación > > del gusano. > > > > Adicionalmente, el gusano Apache/mod_ssl puede actuar como una > > plataforma de lanzamiento de ataques DDoS (Distributed Denial of > > Service) contra otros sitios, mediante la construcción de una red > > de servidores infectados. Durante el proceso de infección, el > > servidor del intruso da instrucciones a la nueva víctima infectada > > para inicializar el tráfico de regreso al sistema del intruso en > > el puerto 2002/udp. Una vez que este canal de comunicación ha sido > > establecido, el sistema infectado forma parte de la red DDoS del > > gusano Apache/mod_ssl. Los servidores infectados pueden de esta > > forma compartir información con otros sistemas infectados de > > acuerdo a las instrucciones del intruso. De esta forma, el tráfico > > en el puerto 2002/udp puede ser utilizado por un intruso remoto > > como una canal de comunicación entre los sistemas infectados para > > coordinar ataques contra otros sitios. > > > > Reportes realizados al CERT/UNAM-CERT indican que el alto volumen > > de tráfico en el puerto 2002/udp generado entre los servidores > > infectados con el gusano Apache/mod_ssl puede crear problemas de > > rendimiento en redes con servidores infectados. Además, reparando > > un servidor infectado no remueve su dirección IP de la red Punto a > > Punto del gusano Apache/mod_ssl, los sitios que han tenido > > servidores infectados con el gusano Apache/mod_ssl y han sido > > parchados subsecuentemente, pueden continuar presentando niveles > > de tráfico significantes en el puerto 2002/udp direccionados a los > > sistemas infectados. > > > > * Identificar Servidores Infectados > > ----------------------------------- > > > > Los reportes indican que el código fuente del gusano > > Apache/mod_ssl es colocado en /tmp/.bugtraq.c en los sistemas > > infectados. Este es compilado con gcc , dando como resultado un > > binario ejecutable almacenado en /tmp/.bugtraq; De esta forma, la > > presencia de cualquiera de los siguientes archivos en los sistemas > > Linux ejecutando Apache con OpenSSL es indicio de compromiso del > > sistema. > > > > > > /tmp/.bugtraq.c > > /tmp/.bugtraq > > > > > > La fase de prueba del ataque puede observarse en el registro del > > servidor Web como se muestra en el ejemplo siguiente. Es > > importante hacer notar que pueden existir otras causas para tales > > entradas de registro, de esta forma, la aparición de las entradas > > marcadas (o similares) en el registro de un servidor Web no > > deberían ser interpretadas como evidencia de compromiso. Sin > > embargo, su presencia es un indicio para la realización de una > > investigación a fondo. > > > > Ejemplo: La prueba inicial para identificar la versión del > > software del servidor. > > > > > > GET / HTTP/1.1 > > > > > > Nota: En base a los reportes recibidos inicialmente por el > > CERT/UNAM-CERT, las versiones anteriores de éste Boletín > > mencionaron otros mensajes de error de SSL que podrían ser > > registrados en los servidores potencialmente vulnerables. En un > > análisis más completo, hemos concluido que éstos mensajes de > > registros no tienen relación con el gusano Apache/mod_ssl. Una > > explicación de una posible causa de éstos otros mensajes de error > > en mod_ssl fue proporcionada por Inktomi y aparece en el Apéndice > > A. > > > > Los servidores que se encuentren escuchando en el puerto 2002/udp > > para la transmisión de datos son también indicativos de compromiso > > por el gusano Apache/mod_ssl. > > > > * Detectar Actividad del Gusano Apache/mod_ssl en la Red > > --------------------------------------------------------- > > > > Los sistemas infectados son fácilmente identificables en una red > > por las siguientes características de tráfico: > > > > * Prueba - Escaneos al puerto 80/tcp > > * Propagación - Conexiones al puerto 443/tcp > > * DDoS - Transmisión o recepción de datagramas con fuente y > > destino en el puerto 2002/udp. Este tráfico es utilizado como > > un canal de comunicación entre los sistemas infectados para > > coordinar ataques contra otros sitios. > > > > Adicionalmente, los servidores infectados que están activamente > > participando en ataques DDoS contra otros sistemas pueden generar > > altos volúmenes inusuales de tráfico de ataques utilizando varios > > protocolos (TCP, UDP, ICMP por ejemplo). > > > > > > IMPACTO > > ------- > > > > El compromiso por el gusano Apache/mod_ssl indica que un intruso > > remoto puede ejecutar código arbitrario como el usuario apache en > > el sistema víctima. Puede ser posible para un intruso > > subsecuentemente ejecutar un exploit de elevación de privilegios > > locales con el objetivo de obtener acceso de Administrador Local > > en el sistema víctima. El alto volumen de tráfico generado en el > > puerto 2002/udp entre los servidores infectados con el gusano > > Apache/mod_ssl puede conducir a problemas de rendimiento en redes > > con servidores infectados. Además, las capacidades de los ataques > > DDoS incluidas en el gusano Apache/mod_ssl permiten a un sistema > > víctima utilizar a otros sistemas como plataformas de lanzamiento > > de ataques. > > > > > > SOLUCIONES > > ---------- > > > > * Aplicar un Parche > > ------------------- > > > > Se recomienda a todos los Administradores de los sistemas > > ejecutando OpenSSL revisar CA-2002-23 y VU#102795 para obtener > > recomendaciones detalladas de los parches proporcionados por los > > distribuidores. Información adicional de distribuidores está > > disponible en el Apéndice A. > > > > Se debe hacer notar que mientras la vulnerabilidad explotada por > > el gusano Apache/mod_ssl fue solucionada desde la versión 0.9.6e > > de OpenSSL, a la última versión de OpenSSL, la 0.9.6g. Los > > administradores podrían actualizar su versión de OpenSSL a alguna > > de las anteriormente mencionadas. > > > > El siguiente texto es tomado del CA-2002-23. > > > > Actualizar a la Versión 0.9.6e de OpenSSL > > > > Actualizar a la versión 0.9.6e de OpenSSL para resolver > > los problemas mencionados en este boletín. Como se hizo > > notar en el Boletín de OpenSSL, también se encuentran > > disponibles los parches por separado: > > > > Parches combinados para OpenSSL 0.9.6d: > > http://www.openssl.org/news/patch_20020730_0_9_6d.txt > > > > Después de aplicar los parches anteriores o actualizar a > > la versión 0.9.6e , se deben recompilar todas las > > aplicaciones utilizando OpenSSL para soportar servicios > > SSL o TLS, y se deben reiniciar dichos servicios o > > sistemas. Esto eliminará todo el código vulnerable > > conocido. > > > > Los sitios ejecutando la preliberación de la versión > > 0.9.7-beta2 de OpenSSL pueden actualizar a la versión > > 0.9.7-beta3, la cual corrige estas vulnerabilidades. Los > > parches están disponibles también por separado. > > > > Parches combinados para OpenSSL 0.9.7 beta 2: > > http://www.openssl.org/news/patch_20020730_0_9_7.txt > > > > > > Deshabilitar SSLv2 > > ------------------ > > > > Deshabilitando el handshaking en SSLv2 prevendrá el exploit de > > VU#102795 . El CERT/UNAM-CERT recomiendan consultar la > > documentación de mod_ssl para obtener una completa descripción de > > las opciones, pero uno de los métodos para deshabilitar SSLv2 es > > remover SSLv2 como cifra soportada en la directiva SSLCipherSuite > > en el archivo de configuración. Por ejemplo: > > > > > > SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+SSLv2 > > > > > > Lo cual permite que SSLv2 pueda ser cambiado a > > > > > > SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:!SSLv2 > > > > > > deshabilitando SSLv2. Se debe cambiar +SSLv2 a !SSLv2. > > > > Sin embargo, los sistemas pueden permanecer susceptibles a otras > > vulnerabilidades descritas en CA-2002-23. > > > > > > Filtrar el Tráfico de Entrada y Salida > > -------------------------------------- > > > > Los siguientes pasos son solamente efectivos para limitar el daño > > que sistemas ya infectados con el gusano Apache/mod_ssl puedan > > hacer. No proporcionan protección en absoluto contra la infección > > inicial del sistema. Como resultado, estos pasos son solamente > > recomendados como un agregado a los pasos anteriores y no como > > otra solución que reemplace a alguna de las anteriores. > > > > Filtrar los datos de ingreso permite tener un mejor control del > > flujo del tráfico cuando se introduce a la red. Los servidores son > > las únicas máquinas que necesitan aceptar tráfico de entrada desde > > el Internet público. En las políticas de red que se utilizan en > > muchos sitios, los servidores externos se les permite solamente > > inicializar tráfico de entrada a las máquinas que proporcionan > > servicios públicos en puertos específicos. De esta forma, el > > filtrado de los datos de ingreso debería ser realizado en el > > límite para prohibir que sea inicializado externamente tráfico de > > entrada para servicios no autorizados. > > > > Filtrar los datos de salida permite tener un mejor control del > > flujo de tráfico cuando sale de la red. Existe la necesidad de > > limitar típicamente las máquinas que proporcionan servicios > > públicos que inicializan conexiones salientes hacia el Internet. > > > > En el caso del gusano Apache/mod_ssl, empleando el filtrado el > > tráfico de entrada y salida puede ayudar a prevenir que los > > sistemas en la red participen en la red DDoS del gusano y ataquen > > otros sistemas. Bloqueando los datagramas UDP que tienen como > > fuente y destino el puerto 2002 para permitir la entrada y salida > > de datos en la red, reduce el riesgo de que sistemas externos > > infectados se comuniquen con servidores infectados dentro de la > > red. > > > > > > Recuperación de un Sistema Comprometido > > --------------------------------------- > > > > Si se cree que el sistema ha sido comprometido, se deben seguir > > los pasos mencionados en: > > > > Pasos de Recuperación de un Sistema UNIX ó NT > > > > > > APÉNDICE A. Información de Distribuidores > > ------------------------------------------ > > > > Este Apéndice contiene información proporcionada por los > > distribuidores de éste boletín. Tan pronto como los distribuidores > > reporten nueva información al CERT/UNAM-CERT, se actualizará esta > > sección. Si un distribuidor en particular no se encuentra listado > > a continuación, significa que no se han recibido comentarios de su > > parte. > > > > Apple Computer, Inc. > > > > La vulnerabilidad descrita en éste reporte ha sido referenciada > > como: > > > > * Security Update 2002-08-23 para Mac OS X 10.2 (Jaguar), y > > como > > * Security Update 2002-08-02 para Mac OS X 10.1.5. > > > > Covalent Technologies > > > > Covalent Technologies ha sido informado por RSA Security de que > > las bibliotecas BSAFE utilizadas por implementaciones SSL de > > Covalent son potencialmente vulnerables al problema de negociación > > SSL V2 detallado en VU 102795 y los boletines relacionados: > > Boletín de Seguridad UNAM-CERT 2002-023 y Boletín de Seguridad > > UNAM-CERT 2002-027. Todos los productos Covalent utilizando SSL > > son afectados. Covalent tiene actualizaciones de sus productos e > > información disponible en: > > http://www.covalent.net/products/rotate.php?page=110. > > > > Inktomi > > > > Como se hizo notar en el boletín, los mensajes de registro en el > > servidor, como por ejemplo: > > > > > > GET /mod_ssl:error:HTTP-request HTTP/1.0 > > > > > > no indican necesariamente que el sistema este comprometido. > > Cualquier requerimiento HTTP a un puerto que espera prestar > > servicios a requerimientos HTTPS generará este mensaje en el > > registro. El Inktomi Web crawler hace un seguimiento de enlaces > > URL publicados en páginas Web públicas y algunas veces es > > direccionado de forma incorrecta hacia servidores https. El > > crawler no utiliza mod_ssl de Apache (ni ningún tipo de SSL), de > > esta forma no está sujeto al compromiso descrito en este boletín. > > Pero los requerimientos crawler presentan dos de los síntomas del > > gusano Apache/mod_ssl: > > > > * Prueba - Escaneos al puerto 80/tcp > > * Propagación - Conexiones al puerto 443/tcp > > > > El crawler no utiliza el puerto 2002/udp. Los accesos al puerto 80 > > ó los errores de handshake HTTPS de un Inktomi Web crawler no > > representan un ataque al servidor Web. > > > > Los sistemas Inktomi crawler tienen hostnames de la forma > > > > > > j[1-9][0-9][0-9][0-9].inktomisearch.com > > si[1-9][0-9][0-9][0-9].inktomisearch.com > > > > > > Las direcciones IP de los servidores Inktomi crawler se resolverán > > de forma DNS inversa para nombres de esta forma. > > > > > > INFORMACIÓN > > ----------- > > > > Éste documento se encuentra disponible en su formato original en > > la siguiente dirección: > > > > http://www.cert.org/advisories/CA-2002-027.html > > > > Para mayor información acerca de éste boletín de seguridad > > contactar a: > > > > UNAM CERT > > Equipo de Respuesta a Incidentes UNAM > > Departamento de Seguridad en Computo > > DGSCA - UNAM > > E-Mail : seguridad en seguridad unam mx > > http://www.unam-cert.unam.mx > > http://www.seguridad.unam.mx > > ftp://ftp.seguridad.unam.mx > > Tel : 56 22 81 69 > > Fax : 56 22 80 43 > > > > -----BEGIN PGP SIGNATURE----- > > Version: 2.6.3i > > Charset: cp850 > > > > iQEVAwUBPYfJrHAvLUtwgRsVAQGKYAgAjs0/AmejHW9ZSxIaXf0Hgam2MkG7k1Jh > > vTgPqidpg4bxIR0ghD/TM2lQGwCxXVk6OkoRo241s8UncFOwp1GJLDKL3yaII3Lb > > AUGOdBrZe+G/0Xu4SOcsTDjmkSTQAkpOrWrYy/qindZxBc+5u0b+7vvaS5p/yLn4 > > KjzNTm/T8OPLSAj+wKkhQitKcPcXt3W0VEycWvTmS3FSLtfTTH3nDsdvl70x84qa > > wKb85ZYc+KTIVGzIwasTQx1ggZF7DKpTiqXThcARn9gMZ4CJTyS4onEdiWDSt2fn > > oMfgNf7mN8FBlZINQo+aOiRIDshU+HEh/pl3vAxNvv5eEp44Jnh4fw== > > =PpSZ > > -----END PGP SIGNATURE----- > > > > > > > > _______________________________________________ > > Lista de Correo Admin-unam > > > > Mensajes a esta lista : Admin-unam en seguridad unam mx > > Archivos historicos > :http://www.seguridad.unam.mx/mailman/listinfo/admin-unam > > Dar de baja de esta lista : http://www.seguridad.unam.mx/unsubscribe.html > > _______________________________________________ > > > > _______________________________________________ > > Ayuda mailing list > > Ayuda en linux org mx > > Para salir de la lista: http://mail.linux.org.mx/mailman/listinfo/ayuda/ > > _______________________________________________ > Ayuda mailing list > Ayuda en linux org mx > Para salir de la lista: http://mail.linux.org.mx/mailman/listinfo/ayuda/ _______________________________________________ Ayuda mailing list Ayuda en linux org mx Para salir de la lista: http://mail.linux.org.mx/mailman/listinfo/ayuda/